企业信息安全管理体系建设
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SOA是适合组织需要的控制目标和控制的评论, 需要提交给管理者、职员、具有访问权限的第三 方相关认证机构。
SOA的准备一方面是为了向组织内的员工声明对
信息安全面对的风险的态度,更大程度上则是为
了向外界表明组织的态度和作为,以表明组织已
经全面、系统的审视了组织的信息安全系统,并
将所有需要控制的风险控制在能被接受的范围内
15
(三)信息安全管理体系监视和评审
C1-执行ISMS监视程序 C2-执行ISMS评价程序 C3-定期执行ISMS评审 C4-测量控制措施的有效性 C5-验证安全要求是否被满足 C6-按计划进行风险评估 C7-评审可接受残余风险 C8-按计划进行内部审核 C9-按计划进行管理评审 C10-更新信息安全计划 C11-记录对ISMS有影响的行动和事件
企业信息安全管理体系建设
课程内容
信息安全 管理体系建设
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识域:信息安全管理体系建设
知识子域:过程方法与PDCA循环
理解ISMS过程和过程方法的含义 理解PDCA循环的特征和作用
知识子域:建立、运行、评审与改进ISMS
了解建立ISMS的主要工作内容 了解实施和运行ISMS的主要工作内容 了解监视和评审ISMS的主要工作内容 了解保持和改进ISMS的主要工作内容
9
P5-识别和评价风险处理的可选措施
根据风险评估的结果,在已有措施基础上从安全 控制最佳集合中选择安全控制措施。
10
P6-为处理风险选择控制目标和控制措施
在选择控制目标和控制措施时,并没有一套标准 与通用的办法,选择的过程往往不是很直接,可 能要涉及一系列的决策步骤、咨询过程,要和不 同的业务部门和大量的关键人员进行讨论,对业 务目标进行广泛的分析,最后产生的结果要很好 的满足组织对业务目标、资产保护、投资预算的 要求。
组织采用什么样的方法来评估安全需求和选择控 制,完全由组织自己来决定。但无论采用什么样 的方法、工具,都需要靠来自风险、来自法规和 合同的遵从以及来自业务这三种安全需求来驱动 。
11
P7-准备详细的适用性声明SoA
在风险评估之后,组织应该选用符合组织自身需 要的控制措施与控制目标。所选择的控制目标和 措施以及被选择的原因应在适用性声明(SOA: Statement of Application)SOA中进行说明。
8
P4-分析和评估信息安全风险
风险评估主要对ISMS范围内的信息资产进行鉴定 和估价,然后对信息资产面对的各种威胁和脆弱 性进行评估,同时对已存在的或规划的安全控制 措施进行鉴定。
确定风险数值的大小不是评估的最终目的,重要 的是明确不同威胁对资产所产生的风险的相对值 ,即要确定不同风险的优先次序或等级,对于风 险级别高的资产应被优先分配资源进行保护。组 织可以采用按照风险数值排序的方法,也可以采 用区间划分的方法将风险划分为不同的优先等级 ,这包括将可接受风险与不可接受风险进行划分 。
14
信息安全管理体系试运行
体系运行初期处于体系的磨合期,一般称为试运 行期,在此期间运行的目的是要在实践中体验体 系的充分性、适用性和有效性。在体系运行初期 ,组织应加强运作力度,通过实施ISMS手册、程 序和各种作业指导性文件等一系列体系文件,充 分发挥体系本身的各项工程,及时发现体系本身 存在的问题,找出问题的根据,采取纠正措施, 纠正各种不符合,并按照更改控制程序要求对体 系予以更改,以达到进一步完善信息安全管理体 系的目的。
7
P3-确定风险评估方法
组织可采取不同风险评估法方法,一个方法是否 适合于特定组织,有很多影响因素,包括:
业务环境 业务性质与业务重要性; 对支持组织业务活动的信息系统的依赖程度; 业务内容、支持系统、应用软件和服务的复杂性; 贸易伙伴、外部业务关系、合同数量的大小。
这些因素对风险评估方法的选择都很重要,不仅 风险评估要考虑成本与效益的权衡,不出现过度 安全;风险评估自身也要考虑成本与效益的权衡 ,不出现过度复杂。
6
P2-定义ISMS方针
信息安全方针是组织的信息安全委员会或管理当 局制定的一个高层文件,用于指导组织如何对资 产,包括敏感信息进行管理、保护和分配的规则 和指示。
信息安全方针应当阐明管理层的承诺,提出组织 管理信息安全的方法,并由管理层批准,采用适 当的方法将方针传达给每一个员工。
信息安全方针应当简明、扼要,便于理解,至少 包括目标、范围、意图、法规的遵从性和管理的 责任等内容。
。
12
(二)信息安全管理体系实施和运行
D1-开发风险处置计划 D2-实施风险处置计划 D3-实施安全控制措施 D4-实施安全教育培训
D5-管理ISMS的运行 D6-管理ISMS 的资源
D7-执行检测安全事件程序 D8-执行响应安全事故程序
13
信息安全风险处置的分类
根据风险评估的结果进行相关的风险处置: 降低风险:在考虑转移风险前,应首先考虑采取
5
P1-定义ISMS范围
ISMS的范围就是需要重点进行信息安全管理的领 域,组织需要根据自己的实际情况,在整个组织 范围内、个别部门或领域构建ISMS。
在本阶段,应将组织划分成不同的信息安全控制 领域,以易于组织对有不同需求的领域进行适当 的信息安全管理。
在定义ISMS范围时,应重点考虑组织现有的部门 、信息资产的分布状况、核心业务的流程区域以 及信息技术的应用区域。
措施降低风险; 避免风险:有些风险容易避免,例如采用不同的
技术、更改操作流程、采用简单的技术措施等; 转移风险:通常只有当风险不能被降低风险和避
免、且被第三方接受时才采用; 接受风险:用于那些在采取了降Biblioteka Baidu风险和避免风
险措施后,出于实际和经济方面的原因,只要组 织进行运营,就必然存在并必须接受的风险。
3
三、信息安全管理体系建设
(一)信息安全管理体系的规划和建立 (二)信息安全管理体系的实施和运行 (三)信息安全管理体系的监视和评审 (四)信息安全管理体系的保持和改进
4
(一)信息安全管理体系规划和建立
P1-定义ISMS范围 P2-定义ISMS方针 P3-确定风险评估方法 P4-分析和评估信息安全风险 P5-识别和评价风险处理的可选措施 P6-为处理风险选择控制目标和控制措施 P7-准备详细的适用性声明SoA