亚洲国产精品久久久久秋霞1-秋霞鲁丝片无码一区二区-国产99久久亚洲综合精品

軟件信息
聯系我們
軟件信息
建立和實施信息安全管理體系(ISMS)的路徑
發布時間:2020-04-08 15:35:48  點擊次數:73次

  信息安全管理體系(ISMS)

  信息安全管理體系是組織整體管理體系的一個部分,是基于風險評估、建立、實施、運行、監視、評審、保持和持續改進信息安全等一系列的管理活動。企業建立實施信息安全管理體系能助力企業的信息安全管理科學化,有效地對信息資源形成保護,促使信息化進程有序健康可持續地發展。

  企業通過信息安全管理體系,可以幫助企業:

  ·加強信息資產的安全性、保障業務持續性與緊急恢復;

  ·強化員工的信息安全意識,規范組織信息安全行為;

  ·減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失;

  ·維護企業聲譽、品牌和客戶信任,維持競爭優勢;

  ·滿足客戶和法律法規要求。

  建立實施信息安全管理體系路徑

  企業根據GB/T 22080-2016/ISO/IEC 27001:2013《信息技術安全技術信息安全管理體系要求》的要求建立實施信息安全管理體系(以下簡稱ISMS),主要包括六個階段:

  ·項目啟動

  ·ISMS現狀評估

  ·信息安全風險管理

  ·ISMS體系文件編寫

  ·ISMS體系運行

  ·體系認證審核

  各階段的具體工作內容和成果見下表:

  工作階段

  具體工作內容

  成果說明

  項目啟動

  訪談調研及基本資料收集

  明確調研內容,組織訪談調研;進行基本資料收集

  企業關于ISMS的基本資料收集

  信息安全管理體系基本知識及標準培訓

  準備培訓內容并進行培訓,培訓內容包括信息安全管理體系的基本知識及標準解讀

  現狀評估

  ISMS現有文件分析

  分析企業現有文件哪些包含在ISMS內

  確定ISMS體系管理范圍

  確定信息安全方面的基本管理目標

  確定ISMS體系初步框架

  資料收集、整理,企業信息安全管理現狀分析

  設計的管理范圍:分析企業的基本信息安全要求,包括企業內外部環境、相關方需求和期望等;

  分析企業現狀與ISMS的差距。

  體系文件規劃

  規劃ISMS體系文件的框架

  信息安全風險管理

  確定風險評估程序

  明確風險評估的方法和過程

  資產清冊

  企業各類資產,包括法人資產、物理資產、信息資產、軟件資產、服務資產等;

  風險評估報告

  通過風險評估:識別資產的重要性、識別資產面臨的威脅、識別威脅的脆弱性、分析已有控制措施的有效性、分析信息資產的暴露等級、評估風險的發生容易,依次確定風險值及風險等級,形成風險評估報告。

  風險處置計劃

  針對風險等級的不同,采取不同的處置措施,并形成風險處置計劃。

  信息資產識別與統計

  識別企業的各類信息資產

  威脅脆弱性識別與評估

  針對以識別的信息資產進行威脅脆弱性識別與評估

  完成風險評估報告

  根據風險評估的過程和結果完成風險評估報告。

  風險處置

  確定風險處置程序;

  制定風險處置計劃。

  ISMS體系文件編寫

  ISMS體系文件編寫

  編寫ISMS體系文件,主要包括方針目標、手冊、體系職責、實用性聲明、相關程序文件等。

  本階段主要是完成體系文件,體系文件分三級,體系文件的樣本(僅作為參考,不同企業根據本企業的實際情況,二級、三級文件可能會有差別)

  ISMS體系文件評審與定稿

  組織體系文件的內部評審;

  根據評審意見進行修改完善。

  ISMS體系文件發布

  組織體系文件的發布

  ISMS體系運行

  ISMS內部審核

  制定內審方案、計劃,組織內審員培訓;

  開展內審;

  根據內審情況進行整改并編制內審報告。

  運行過程的記錄表單

  內審文件資料

  管理評審文件資料

  ISMS管理評審

  制定管理評審方案、計劃;

  開展管理評審。

  ISMS持續改進

  針對體系運行過程中發現的問題制定相關改進措施

  體系認證

  審核準備

  提前準備審核需要的相關資料。

  通過ISMS認證后能獲得證書

  一階段審核

  接受審核,并及時進行不符合整改

  二階段審核

  不符合項應答和糾正措施

  信息安全管理體系的三級文件

  一級文件

  ·信息安全方針與目標;

  ·信息安全管理手冊;

  ·適用性聲明;

  ·信息安全組織與職責。

  二級文件

  ·信息文件與記錄控制程序資產管理程序;

  ·風險評估管理程序通訊與操作管理程序;

  ·網絡安全防護作業程序訪問控制管理程序;

  ·人力資源管理控制程序信息安全法律法規控制程序;

  ·信息安全事故管理程序信息交流與溝通控制程序;

  ·信息物理與環境安全管理程序信息系統獲取、開發與維護程序;

  ·內部審核管理程序管理評審控制程序;

  ·糾正及預防措施處理程序監視及測量控制程序;

  ·業務持續性管理程序。

  三級文件

  ·開發安全作業辦法信息安全獎勵、懲戒管理規定;

  ·IT設備安全管理辦法災害復原演練計劃;

  ·信息系統操作手冊保密管理辦法;

  ·備份介質定期檢查和測試記錄計算機硬件管理維護表;

  ·文件發放登記表文件更改申請單;

  ·資產清冊風險評估表;

  ·風險處理計劃表服務器賬號/軟硬件異動申請單;

  ·信息系統角色訪問權限表信息安全薄弱點報告;

  ·信息安全獎勵、懲戒記錄保密承諾書;

  ·保密協議書對外交流與合作保密協議書;

  ·員工離職交接單員工離職申請;

  ·員工入職登記表信息安全糾正及預防措施處理表;

  ·信息安全糾正及預防措施執行追蹤表內部審核檢查清單;

  ·內部審核報告內部審核計劃;

  ·信息安全事件通報單災害回復計劃表;

  ·緊急事故對應生產持續性管理總體方案。

  總結

  組織建立和實施ISMS是一個相對的、動態的持續過程,組織應不斷改進自身的信息安全狀態,調整ISMS體系文件及控制措施,將信息安全風險控制在組織可接受的范圍之內,從而獲得組織現有條件下和資源能力范圍內最大程度的安全。

上一篇:沒有了!

下一篇:CMMI認證與ISO認證的差異

手機:153 6620 3044 武老師    QQ在線:670788733
郵箱:670788733@qq.com   地址:蘇州工業園區唯華路3號君地大廈5幢1210
版權所有:蘇州羅克認證咨詢有限公司   蘇ICP備20012404號-2

亚洲国产精品久久久久秋霞1-秋霞鲁丝片无码一区二区-国产99久久亚洲综合精品