日韩动漫一区二区三区_看看国产女人毛多水多_國產精品一區二區綜合_AV无码在线成人_偷柏自拍亚洲综合图片15p_2017秋霞在线观看免费大奶子_欧美日本91精品久久久网_亚洲中文自拍另类精品视频_欧美在线视频亚洲_欧美黄色免费公开视频

專業(yè)認證服務(wù)專線 138-6258-8960
當(dāng)前位置:首頁 > 行業(yè)分類 > 軟件信息 > ISO27001信息安全管理體系
行業(yè)分類
全國服務(wù)熱線

138-6258-8960

建立和實施信息安全管理體系(ISMS)的路徑
發(fā)布時間:2017-05-31 10:28:47 點擊次數(shù):846

信息安全管理體系(ISMS)

信息安全管理體系是組織整體管理體系的一個部分,是基于風(fēng)險評估、建立、實施、運行、監(jiān)視、評審、保持和持續(xù)改進信息安全等一系列的管理活動。企業(yè)建立實施信息安全管理體系能助力企業(yè)的信息安全管理科學(xué)化,有效地對信息資源形成保護,促使信息化進程有序健康可持續(xù)地發(fā)展。

企業(yè)通過信息安全管理體系,可以幫助企業(yè):

·加強信息資產(chǎn)的安全性、保障業(yè)務(wù)持續(xù)性與緊急恢復(fù);

·強化員工的信息安全意識,規(guī)范組織信息安全行為;

·減少可能潛在的風(fēng)險隱患,減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟損失;

·維護企業(yè)聲譽、品牌和客戶信任,維持競爭優(yōu)勢;

·滿足客戶和法律法規(guī)要求。


建立實施信息安全管理體系路徑

企業(yè)根據(jù)GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求建立實施信息安全管理體系(以下簡稱ISMS),主要包括六個階段:

·項目啟動

·ISMS現(xiàn)狀評估

·信息安全風(fēng)險管理

·ISMS體系文件編寫

·ISMS體系運行

·體系認證審核

各階段的具體工作內(nèi)容和成果見下表:

工作階段

具體工作內(nèi)容

成果說明

項目啟動

訪談?wù){(diào)研及基本資料收集

明確調(diào)研內(nèi)容,組織訪談?wù){(diào)研;進行基本資料收集

企業(yè)關(guān)于ISMS的基本資料收集

信息安全管理體系基本知識及標(biāo)準(zhǔn)培訓(xùn)

準(zhǔn)備培訓(xùn)內(nèi)容并進行培訓(xùn),培訓(xùn)內(nèi)容包括信息安全管理體系的基本知識及標(biāo)準(zhǔn)解讀

現(xiàn)狀評估

ISMS現(xiàn)有文件分析

分析企業(yè)現(xiàn)有文件哪些包含在ISMS內(nèi)

確定ISMS體系管理范圍

確定信息安全方面的基本管理目標(biāo)

確定ISMS體系初步框架

資料收集、整理,企業(yè)信息安全管理現(xiàn)狀分析

設(shè)計的管理范圍:分析企業(yè)的基本信息安全要求,包括企業(yè)內(nèi)外部環(huán)境、相關(guān)方需求和期望等;

分析企業(yè)現(xiàn)狀與ISMS的差距。

體系文件規(guī)劃

規(guī)劃ISMS體系文件的框架

信息安全風(fēng)險管理

確定風(fēng)險評估程序

明確風(fēng)險評估的方法和過程

資產(chǎn)清冊

企業(yè)各類資產(chǎn),包括法人資產(chǎn)、物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)等;

風(fēng)險評估報告

通過風(fēng)險評估:識別資產(chǎn)的重要性、識別資產(chǎn)面臨的威脅、識別威脅的脆弱性、分析已有控制措施的有效性、分析信息資產(chǎn)的暴露等級、評估風(fēng)險的發(fā)生容易,依次確定風(fēng)險值及風(fēng)險等級,形成風(fēng)險評估報告。

風(fēng)險處置計劃

針對風(fēng)險等級的不同,采取不同的處置措施,并形成風(fēng)險處置計劃。

信息資產(chǎn)識別與統(tǒng)計

識別企業(yè)的各類信息資產(chǎn)

威脅脆弱性識別與評估

針對以識別的信息資產(chǎn)進行威脅脆弱性識別與評估

完成風(fēng)險評估報告

根據(jù)風(fēng)險評估的過程和結(jié)果完成風(fēng)險評估報告。

風(fēng)險處置

確定風(fēng)險處置程序;

制定風(fēng)險處置計劃。

ISMS體系文件編寫

ISMS體系文件編寫

編寫ISMS體系文件,主要包括方針目標(biāo)、手冊、體系職責(zé)、實用性聲明、相關(guān)程序文件等。

本階段主要是完成體系文件,體系文件分三級,體系文件的樣本(僅作為參考,不同企業(yè)根據(jù)本企業(yè)的實際情況,二級、三級文件可能會有差別)

ISMS體系文件評審與定稿

組織體系文件的內(nèi)部評審;

根據(jù)評審意見進行修改完善。

ISMS體系文件發(fā)布

組織體系文件的發(fā)布

ISMS體系運行

ISMS內(nèi)部審核

制定內(nèi)審方案、計劃,組織內(nèi)審員培訓(xùn);

開展內(nèi)審;

根據(jù)內(nèi)審情況進行整改并編制內(nèi)審報告。

運行過程的記錄表單

內(nèi)審文件資料

管理評審文件資料

ISMS管理評審

制定管理評審方案、計劃;

開展管理評審。

ISMS持續(xù)改進

針對體系運行過程中發(fā)現(xiàn)的問題制定相關(guān)改進措施

體系認證

審核準(zhǔn)備

提前準(zhǔn)備審核需要的相關(guān)資料。

通過ISMS認證后能獲得證書

一階段審核

接受審核,并及時進行不符合整改

二階段審核

不符合項應(yīng)答和糾正措施


信息安全管理體系的三級文件

一級文件

·信息安全方針與目標(biāo);

·信息安全管理手冊;

·適用性聲明;

·信息安全組織與職責(zé)。

二級文件

·信息文件與記錄控制程序資產(chǎn)管理程序;

·風(fēng)險評估管理程序通訊與操作管理程序;

·網(wǎng)絡(luò)安全防護作業(yè)程序訪問控制管理程序;

·人力資源管理控制程序信息安全法律法規(guī)控制程序;

·信息安全事故管理程序信息交流與溝通控制程序;

·信息物理與環(huán)境安全管理程序信息系統(tǒng)獲取、開發(fā)與維護程序;

·內(nèi)部審核管理程序管理評審控制程序;

·糾正及預(yù)防措施處理程序監(jiān)視及測量控制程序;

·業(yè)務(wù)持續(xù)性管理程序。

三級文件

·開發(fā)安全作業(yè)辦法信息安全獎勵、懲戒管理規(guī)定;

·IT設(shè)備安全管理辦法災(zāi)害復(fù)原演練計劃;

·信息系統(tǒng)操作手冊保密管理辦法;

·備份介質(zhì)定期檢查和測試記錄計算機硬件管理維護表;

·文件發(fā)放登記表文件更改申請單;

·資產(chǎn)清冊風(fēng)險評估表;

·風(fēng)險處理計劃表服務(wù)器賬號/軟硬件異動申請單;

·信息系統(tǒng)角色訪問權(quán)限表信息安全薄弱點報告;

·信息安全獎勵、懲戒記錄保密承諾書;

·保密協(xié)議書對外交流與合作保密協(xié)議書;

·員工離職交接單員工離職申請;

·員工入職登記表信息安全糾正及預(yù)防措施處理表;

·信息安全糾正及預(yù)防措施執(zhí)行追蹤表內(nèi)部審核檢查清單;

·內(nèi)部審核報告內(nèi)部審核計劃;

·信息安全事件通報單災(zāi)害回復(fù)計劃表;

·緊急事故對應(yīng)生產(chǎn)持續(xù)性管理總體方案。


總結(jié)

組織建立和實施ISMS是一個相對的、動態(tài)的持續(xù)過程,組織應(yīng)不斷改進自身的信息安全狀態(tài),調(diào)整ISMS體系文件及控制措施,將信息安全風(fēng)險控制在組織可接受的范圍之內(nèi),從而獲得組織現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。


體系咨詢
ISO9001認證咨詢
ISO14001認證咨詢
OHSMS18001認證咨詢
關(guān)于我們
公司簡介
企業(yè)文化
聯(lián)系方式
聯(lián)系人:常老師
電 話:138-6258-8960
郵 箱:376036130@qq.com
地 址:蘇州高新區(qū)光福工業(yè)園光電路10B
關(guān)注我們

頁面版權(quán)所有 ? 2018 蘇州蘇諾認證咨詢有限公司    蘇ICP備2023000833號-1