您的位置:360文档中心› 信息安全管理-信息安全管理实施案例

信息安全管理-信息安全管理实施案例

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全管理第十二章 信息安全管理实施案例

第 2 页目 录

Contents Page

12.1 案例一基于ISO 27001的信息安全管理体系构建

12.2 案例二基于等级保护的信息安全管理测评

12.1 案例一 基于ISO 27001的信息安全管理体系构建

e-BOOKSTORE是网上中文图书城,每天通过互联网向全球读者提供超过100万种中文图书和音像制品。该公司建立了庞大的物流支持系统,每天把大量的图书和音像制品通过航空、铁路等快捷运输手段送往全球各地。下面是该公司遵照ISO/IEC 27001:2005建设信息安全管理体系的过程。

信息安全管理实施案例

采用ISMS是e-BOOKSTORE的一项战略性决策,这不仅能提升信息安全管理水平,对组织的整个管理水平也会有很大的提升。

ISMS的目标直接影响着ISMS的设计和实施,这些目标可能包括如下内容。●保证e-BOOKSTORE网上售书主营业务的连续性。

●提高e-BOOKSTORE网上售书系统等重要业务系统的灾难恢复能力。

信息安全管理实施案例

●提高信息安全事件的防范和处理能力。

●促进与法律、法规、标准和政策的符合性。

●保护信息资产。

●使信息安全能够进行测量与度量。

降低信息安全控制措施的成本。

●提高信息安全风险管理水平。

信息安全管理实施案例

管理者的支持是项目成败的最关键要素之一,这些支持可能包括如下内容。

●为ISMS实施分配独立的预算。

●批准和监督ISMS实施。

●安排充分的ISMS实施资源。

●把ISMS实施和业务进行充分的结合。

●促进各部门对信息安全问题的沟通。

●处理和评审残余风险。

信息安全管理实施案例

在指定ISMS推进责任人时,最重要的考虑因素如下所示。

●保证ISMS的协调最终责任人在高层。

●指定ISMS推进的直接责任人为中层领导。

●由信息安全主管人员具体负责ISMS的推进过程。

●每个员工都要在其工作场所和环境下,承担相应的责任。

信息安全管理实施案例

信息安全管

理实施案例

管理者的支持还应包括对员工思想上的动员。思想上的动员可以采取召开项目启动会议的方式完成。会议应清晰地向员工阐述以下内容。

●ISMS对本组织而言的重要性。

●项目所涉及的初始范围及相关部门。

信息安全管理实施案例

信息安全管

理实施案例

信息安全方针是组织总体方针的一部分,是保护敏感、重要或有价值的信息所应该遵守的基本原则。具体包括制定ISMS方针、准备ISMS方针文件等

内容。ISMS方针文件应该易于理解,并及时传达给ISMS范围内的所有用户。

在管理者已经批准,并定义了ISMS的范围和ISMS方针之后,需要进行业务分析,以确定组织的安全要求。具体包括定义基本安全要求、建立信息资产清单等。

资产清单的建立,可以用不同的方法来完成,一种方法是按照资产分类识别并进行统计的方法,即遵循信息分类方案,然后统计ISMS范围的所有资产,插入到资产列表中;另一种方法是把业务流程分解成组件,并由此识别出与之联系的关键资产,按照这个过程产生资产列表。

信息安全管理实施案例

风险评估是实施ISMS过程中重要的一部分,后续整个体系的设计和实施都把风险评估的结果作为依据之一。

风险评估方法应与风险接受准则和组织相关目标相一致,并能产生可再现的结果。风险评估应包括估计风险大小的系统方法(风险分析),将估计的风险与风险准则加以比较以确定风险严重性的过程(风险评价)。

信息安全管理实施案例

风险评估的具体步骤至少应该包含以下内容。

●识别ISMS范围内的资产。

●识别资产所面临的威胁。

●识别可能被威胁利用的脆弱性。

●识别目前的控制措施。

●评估由主要威胁和脆弱导致安全失误的可能性。

●评估丧失保密性、完整性和可用性可能对资产造成的影响。

信息安全管理实施案例

信息安全管

理实施案例

按确定的风险评估方法进行风险评估时,应定义清晰的范围,该范围与ISMS的范围应保持一致。风险评估的参与人员不但应包括信息安全方面的专家,也应该包括业务方面的专家。为了更客观地实施风险评估,在允许的情

况下,可以考虑聘请外部专家。

对于识别出的风险应予以处理,可采用以下方式。

●风险处理。

●风险转移。

●风险规避。

●风险接受。

信息安全管理实施案例

应选择和实施控制措施以满足组织的安全要求,选择控制措施时应考虑以下因素:

●组织的目标。

●法律、法规、政策和标准的要求和约束。

●信息系统运行要求和约束。

●成本效益分析。

信息安全管理实施案例

在经过了上述各个阶段之后,就进入到体系的设计阶段。

(1)设计安全组织机构

(2)设计文件和记录控制要求

(3)设计信息安全培训

(4)设计控制措施的实施

(5)设计监视和测量

(6)设计内部审核

(7)设计管理评审

(8)设计文件体系(9)制定详细的实施计划

信息安全管理实施案例

信息安全管

理实施案例

实施ISMS基本上涉及整个组织的范围,这个实施流程需要一段时间,而且很可能有变更。成功实施ISMS就必须熟悉整个项目并具有处理变更的能力,

而且能针对变更做出适当的调整,如果有很重大的影响应报告给管理者。

相关文档
最新文档