- 1、本文档共212页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 这里需要注意,尽管BS7799包含了多达127项的安全控制,但并不是说所有打算通过7799认证的组织都必须严格实施这127项控制,我们的目的只在于 依据7799的控制框架,有选择地实施最符合我们需求的控制措施。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 不同的组织,对CIA三方面的要求侧重会有所不同 * * * * * * * * * * * * * * * * * * * * * * 范围:根据业务、组织、物理位置、资产和技术的特点来确定 安全策略:明确业务需求、法律法规要求和合同中的安全义务。包括一个设定目标的框架。 风险管理途径:识别风险管理方法,定义风险接受标准。 识别风险:识别纳入scope的资产,包括资产的属主。识别资产面临的威胁,识别资产弱点,识别资产在CIA方面的损失。 评估风险:评估业务损害,评估已识别威胁的现实可能性,识别当前实施的控制措施(Gap Analysis),估算风险水平,确定是否接受风险。 识别并评价风险处理方案:采用恰当的控制,避免风险,转嫁风险,接受风险。 选择控制目标和控制:从附录A中选择控制措施,但不限于附录A。 适用性声明:解释选择或排除的理由。这是一份关键文档,它建立起BS7799和ISMS之间的链接。 获得管理层批准:对残留风险予以批准,授权实施并运营ISMS。 * * * * * ISMS的文件体系 Policy Scope,RA,SOA Describes processes who, what, when, where. Describes how tasks and specific activities are done Provides objective evidence of compliance to ISMS requirements 第一级 方针策略 Security Manual 安全手册 第二级 Procedures 程序文件 第三级 Work Instructions, Checklist, Forms, etc. 第四级 Records 记录 ISO27001:2005信息安全管理体系规范 * 5. 管理责任 5.1 管理层的承诺: 建立信息安全方针策略 确保信息安全目标和规划已经建立 为信息安全分派角色和责任 与重要的组织进行沟通 提供开发、实施、操作和维护ISMS所需的足够的资源 确定可接受的风险水平 引导进行ISMS管理评审 5.2 资源管理: 5.2.1 组织应该确定并提供ISMS相关所有活动必要的资源,这些活动包括: 建立、实施、操作和维护ISMS;确保IS程序支持业务需求;识别法律法规和合同要求;正确实施所有的安全控制;执行必要的评审,对结果作出恰当反应;对ISMS进行必要改进 5.2.2 通过培训,组织应该确保所有在ISMS中承担了责任的人员能够胜任其职位 ISO27001:2005信息安全管理体系规范 * ISO27001:2005信息安全管理体系规范 6. 内部ISMS审核 组织应该通过定期的内部审核来确定ISMS的控制目标、控制、过程和程序满足以下要求: 符合本标准和相关法律法规的要求 符合已识别的信息安全需求 得到有效实施和维护 达到预期绩效 计划审核程序,定义审核标准、范围、频度和方法,任命审核员 ISO19011:2002给管理体系审核提供了指导 * 7. 对ISMS的管理评审 7.1 管理层应该对组织的ISMS定期进行评审,确保其持续适宜、充分和有效。 评估是否需要对ISMS加以改进,是否需要进行变更,包括安全策略和目标。 7.2 评审输入: ISMS审计和评审的结果 来自利益伙伴的反馈 可以用来改进ISMS性能及效力的技术、产品或程序 预防和纠正措施的状态 在以前的风险评估中并没有充分挖掘的弱点或威胁 效力衡量的结果 来自以前管理评审的跟进活动 任何可能影响ISMS的变化 改进推荐 7.3 评估输出: 管理复审的输出包括任何与改进ISMS相关的决策和活动:改进ISMS效力;更新风险评估;修改影响信息安全的程序;资源需求 ISO27001:2005信息安全管理体系规范 * 8. ISMS的改进
您可能关注的文档
最近下载
- 翼状胬肉的护理查房-PPT.ppt
- 2022年应急管理工作应知应会知识竞赛题库(含答案).pdf
- 全民微信时代增进了VS减弱了人与人之间的交流辩论赛 正方辩词一辩、二辩、三辩、四辩发言稿.docx
- 超星网课尔雅《人人学点营销学》尔雅答案2022章节测试答案.docx
- 2019CSP-J NOIP普及组初赛C++试卷.pdf VIP
- 2024年《城镇燃气管理条例题库》考试题库(含答案).pdf VIP
- 最新浙教版八年级上册劳动技术 项目三 任务二《打蛋器的制作》课件(课件).pptx
- 纪律意识方面存在不足及措施4篇.pdf
- 消防安全教育PPT课件.pptx VIP
- 《新中国成立75周年》全文课件.ppt VIP
文档评论(0)