第7章 建立信息安全管理体系的工作流程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(6)信息安全管理体系组织结构设立及职责划分的注意事项
7.1 信息安全管理体系的策划与准备
信 息
安
全
管
7.1.2 信息安全管理体系的准备
理
与
风
3.编制工作计划(表)
险 评
估
7.1 信息安全管理体系的策划与准备
序号 1
阶段
准备 阶段
项目
负责部门/人
1)领导决策 做出实施ISMS的决策 成立信息安全管理委员会 任命信息安全管理经理
计编方写案指导性文件
信息安全管理委员会;信息
14
文准件备 编阶制段
设立信息安全管理推进小组 10拟)定编I写SMISSM实S施管草理稿手,册并由信息 安编全写管;理讨委论员修会改讨;论审通核过;批准
最安高全管管理理者经;理各部门经理; 信息安全管理经理;推进小 组
信 息 安 全 日期 管 理 与 风 险 评 估
131)详)编细程计制实序I施文SM计件S工划编作写计、划配套表格设 编认培写证训;计计讨划划论修改;审核;批准
确定可接受风险的水平;
进行信息安全管理体系的评审。
7.1 信息安全管理体系的策划与准备
信 息
安
全
管
7.1.2 信息安全管理体系的准备
理
与
风
2.组织与人员建设
险 评
(1)成立信息安全委员会
估
(2)任命信息安全管理经理
(3)组建信息安全管理推进小组
(4)保证有关人员的作用、职责和权限得到有效沟通
(5)组织机构的设立原则
3)将编各制项ISIMSMS工S活作动计划责任分配落 实分详认到配细证实计各矩施划职阵计能表划部门,编制职能
最高管理者;信息安全管 理信息经安理全管理经理;信息安
全管理推进小组
资识培源训别计资划源需求,配置必要的
信 息 安 全 日期 管 理 与 风 险 评 估
4)学习培训
信息安全管理经理;人事部
7.1 信息安全管理体系的策划与准备
信息安全管理经理;信息安 全管理推进小组
ISO/IEC 27001的差距
4)学习培训
信息安全管理经理;人事部
信 息 安 全 日期 管 理 与 风 险 评 估
7.1 信息安全管理体系的策划与准备
序号 阶段
项目
负责部门/人
7.1.2 信息61)安领确全导定决管IS策M理S方体针系和的目准标备
做出实施ISMS的决策
ISMS)是组织在整体或特定范围内建立
的信息安全方针和目标,以及完成这些目
标所用的方法和体系。它是直接管理活动
的结果,表示为方针、原则、目标、方法、
计划、活动、程序、过程和资源的集合。
7.1 信息安全管理体系的策划与准备
信 息
安
全
管
7.1.1 信息安全管理体系
理
与
风
2. 组织内部成功实施信息安全管理体系的关键因素
设规立和信其息他安与全信管息理推安进全小相组关 安全管理经理
12
初状评准阶备段始态审
拟的定文IS件M和S实数施据草;稿,并由信息 安全信管息理安委全员风会险讨评论估通、过 选择
信息安全管理经理;信息 安全管理推进小组
ห้องสมุดไป่ตู้
3)风编险制控ISM制S措工作施计划
详评细估实现施有计信划息安全控制措 认施证的计适划用性 培评训价计现划行管理体系与
险
反映业务目标的安全方针、目标和活动;
评 估
与组织文化一致的、实施安全的方法;
来自管理层的有形支持与承诺:
对信息安全要求、风险评估和风险管理的良好理解;
向所有管理者及雇员推行信息安全意识;
向所有雇员和承包商分发有关信息安全方针和标准的导则;
提供适当的信息安全的培训与教育;
用于评价信息安全管理绩效及反馈改进建议、并有利于综合平衡的测量系 统。
信 息 安 全 管 理 与 风 险 评 估
赵刚
第7章 建立信息安全管理体系的工作流程
7.1 信息安全管理体系的策划与准备
信 息
安
全
7.1.1 信息安全管理体系
管 理
与
1.信息安全管理体系的定义
风
信
息
安
全
管
理
体
系
(
Information
险 评
Security Management System , 估
3.编制工作7)成任计编立命划制信信I息息(S表M安安S)全全管管管理理理方委经案员理会
最高管理者 推最高进管小理组者;组织内相关部 门
2)建立信息安全组织机构,并设
计方案
信息安全管理委员会;信息
设立信息安全管理推进小组 安全管理经理
13
体准备系 8)拟I定SMISSM责S实任施分草配稿及,资并源由配信备息 设阶段计 安必全要管时理委对员组会织讨结论构通进过行调整
序号 阶段
项目
负责部门/人
7.1.2 信息91))安文领全件导的决管总策理体体设计系的准备
确做定出文实件施清ISM单S,的确决定策ISMS文件 与成I立SO信/I息E安C 2全70管01理标委准员条会款的对
最高管理者 信息安全管理经理;推进小
3.编制工作照任计表命划信息(表安)全管理经理
组
2)制建定立文信件息编安写全计组划织机构,并设
7.1 信息安全管理体系的策划与准备
信 息
安
全
管
7.1.1 信息安全管理体系
理
与
风
3. 建立信息安全管理体系的步骤
险 评
(1)信息安全管理体系的策划与准备;
估
(2)信息安全管理体系文件的编制;
(3)建立信息安全管理框架;
(4)信息安全管理体系的运行;
(5)信息安全管理体系的审核;
(6)信息安全管理体系的管理评审。
7.1 信息安全管理体系的策划与准备
信 息
安
全
管
7.1.2 信息安全管理体系的准备
理
与
风
1.管理承诺
险 评
建立信息安全方针;
估
建立信息安全目标和计划;
为信息安全确立角色和责任;
向组织传达信息安全目标和符合信息安全策略的重要性,组 织的责任及持续改进的需要;
提供足够的资源以开发、实施、运行和维护信息安全管理体 系;
最高管理者
2)建立信息安全组织机构,并设
计方案
信息安全管理委员会;信息
设立信息安全管理推进小组 安全管理经理
拟定ISMS实施草稿,并由信息
安全管理委员会讨论通过
3)编制ISMS工作计划 详细实施计划 认证计划 培训计划
信息安全管理经理;信息安 全管理推进小组
信 息 安 全 日期 管 理 与 风 险 评 估
4)学习培训
信息安全管理经理;人事部
7.1 信息安全管理体系的策划与准备
序号 阶段
项目
负责部门/人
7.1.2 信息1)安领全导决管策理体系的准备
5)做成初出立始实信状施息I安态SM全评S管的审理决委策员会
最高管理者
3.编制工作任了计命解划信组息(表织安概)全况管、理经业理务类别、
2)企建业立文信化息安等全基组本织情机况构,,收并设 计方集案适用于组织的法律、法 信息安全管理委员会;信息