信息安全管理基础培训.ppt

这里需要注意，尽管BS7799包含了多达127项的安全控制，但并不是说所有打算通过7799认证的组织都必须严格实施这127项控制，我们的目的只在于 依据7799的控制框架，有选择地实施最符合我们需求的控制措施。 不同的组织，对CIA三方面的要求侧重会有所不同 范围：根据业务、组织、物理位置、资产和技术的特点来确定 安全策略：明确业务需求、法律法规要求和合同中的安全义务。包括一个设定目标的框架。 风险管理途径：识别风险管理方法，定义风险接受标准。 识别风险：识别纳入scope的资产，包括资产的属主。识别资产面临的威胁，识别资产弱点，识别资产在CIA方面的损失。 评估风险：评估业务损害，评估已识别威胁的现实可能性，识别当前实施的控制措施（Gap Analysis），估算风险水平，确定是否接受风险。 识别并评价风险处理方案：采用恰当的控制，避免风险，转嫁风险，接受风险。 选择控制目标和控制：从附录A中选择控制措施，但不限于附录A。 适用性声明：解释选择或排除的理由。这是一份关键文档，它建立起BS7799和ISMS之间的链接。 获得管理层批准：对残留风险予以批准，授权实施并运营ISMS。 定义ISMS的范围 确定ISMS范围的依据：组织结构（按部门），所处的地域，业务类别，所采用的技术等 可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全