ISO信息安全培训基础知识.pptVIP

信息安全管理体系PDCA模型 采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMS 信息安全管理体系PDCA模型 PDCA模式 步骤 方法 定义范围 根据组织业务特征、地理位置、资产、技术等确定 ISMS的范围。 定义方针 方针是信息安全活动的总方向和总原则，是建立目 标的框架，应考虑业务、合同安全义务和法律法规 要求。 确定风险评估的方法 识别适用的风险评估方法，确定风险接收准则，识 别可接受的等级。 策划 识别风险 识别ISMS范围内的资产、资产的威胁、脆弱点以 及机密性、完整性、可用性损失的影响。 评估风险 评估安全失效可能造成的影响，评估安全失效发生 的可能性，估计风险等级以及风险是否可接受。 识别并评估风险处理的措施 包括控制、规避、转嫁风险，接受残余风险。 信息安全管理体系PDCA模型—方法 策划 为处理风险选择控制目标和控制措施 考虑接受风险的准则，选择控制目标和措施 适用性声明 声明应包括选择的控制目标和措施，选择的原因，删减的合理性 实施和运行（DO） 实施和运行ISMS 提供资源，实施培训，提高意识，按策划的要求管理ISMS的运行 检查（CHECK） 监视和评审ISMS 执行监视和评审程序，定期评审ISMS的有效性和测量控制措施的有效性，按计划实施内审和管理评审，识别改进的机会 保持和改进(ACT) 保持和改进ISMS 实施改进措施，