2015版-CISP0301信息安全管理基础与管理体系_v3.0探究.ppt

* * C5-实施管理评审 应定期对ISMS实施管理评审。当系统环境发生较大变化、组织机构发生重大变化或安全需求发生改变时，需要适时进行管理评审 通常以召开管理评审会议的方式进行 评审输入材料 * ISMS审核和评审的结果 相关方的反馈 改进技术、产品和规程 、预防和纠正措施的状况 以往风险评估没有充分强调的脆弱性和威胁 有效性测量的结果 以往管理评审的跟踪措施 可能影响ISMS的任何变更 改进ISMS的任何建议 评审输出 ISMS有效性的改进 风险评估和风险处置计划的更新 资源需求 有效性测量方法的改进 修改ISMS文件和控制措施以响应各种变化 知识域：信息安全管理体系建设 知识子域： 保持和改进ISMS 理解实施纠正和预防措施、沟通措施和改进情况等保持和改进ISMS的主要工作内容 * 保持和改进ISMS A1-实施纠正和预防措施 A2-沟通措施和改进情况 * A1-实施纠正和预防措施 * 不符合项指： 缺少或缺乏有效地实施和维护一个或多个ISMS的要求 在有客观证据的基础上，引起对ISMS安全方针和组织安全目标能力的重大怀疑 从其它组织和组织自身的信息安全实践经验和安全事件教训中学习，采取相应的改进措施，持续提高信息安全管理的水平 纠正性措施：为消除与ISMS要求不符合发生的原因，并防止其再发生所采取的措施 预防性措施：为消除潜在不符合原因，防止其发生所采取的措施 A2-沟通措施和改进情况 * 向所有相关方沟通措施和改进情况 其详细程度应与环境相适应 需要时，商定如何进行 思考和体会 标准不是罗列 文档不是摆设 劣法胜于无法 细节决定成败 * 谢谢，请提问题！ * * * * * * * * * * * * * * * * 系统定级、安全建设整改、自查、等级测评、系统备案、监督检查 * * * * 知识域：信息安全管理体系基础 知识子域： 内部审核和管理评审 了解内部审核的概念，以及内部审核的目的、实施主体、实施方式、审核准则 了解管理评审的概念，以及管理评审的目的、实施主体、实施对象、实施方式 * 内部审核 是用于内部目的，由组织自己或以组织的名义所进行的审核 也称第一方审核 是ISMS能够持续改进的重要动力之一 组织应按照既定的周期实施ISMS内部审核 * 内部审核 目的 确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求 确定各项控制措施是否得到有效的实施和保持 确定员工的业务行为是否符合组织ISMS文件所规定的要求 实施主体 ISMS内审小组 实施方式 文件审核、现场审核 审核准则 相关标准、法规法规、合同条款、ISMS文件 * 管理评审 为实现已建立的目标，而进行的确定管理体系的适宜性、充分性和有效性的活动 也是ISMS能够持续改进的重要动力之一 组织应按照既定的周期实施ISMS管理评审 * 管理评审 目的 确保组织的ISMS持续具备适宜性、充分性和有效性 实施主体 组织的高级管理层 实施对象 ISMS文件体系、各种管理评审输入材料 实施方式 最常见的是召开管理评审会议，由组织的高级管理层亲自主导实施 * 知识域：信息安全管理体系基础 知识子域： 信息安全管理体系认证 了解ISMS认证的概念 理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力 * ISMS认证 ISMS认证，是由ISMS认证机构依据ISO/IEC 27001对申请组织的ISMS进行审核，并向通过审核的申请组织颁发ISMS认证证书的活动 认证机构是指那些从事对产品（服务）、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构 ISMS认证是证明一个组织的信息安全水平达到并满足ISMS国际/国家标准要求的有效途径 ISMS认证活动，能从第三方客观公正的角度，发现ISMS存在的不足和问题，是促进ISMS持续改进的一种外部驱动力 * ISMS认证 ISMS认证通常包含一组审核，包括初次认证审核、年度监督审核和复审 ISMS认证证书有效期一般为三年，颁发认证证书后的第一、第二年需要进行年度监督审核，第三年进行复审，复审通过后重新颁发认证证书 * 知识域：信息安全管理体系建设 知识子域： 规划与建立ISMS 理解定义ISMS范围和边界、实施风险评估、获得管理者对残余风险的批准等规划与建立ISMS的主要工作内容 * 采用过程方法来建立和管理ISMS * ISO27001要求采用过程方法来建立、实施和运行、监视和评审、保持和改进组织的ISMS 按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了ISMS的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的 ISMS应用过程方法的结构 * 规划与建立ISMS P1-定义ISMS范围和边界 P2-制定ISMS方针 P3-确定风险