信息安全管理体系培训课件new.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * 目录 ISO27001认证过程和要点介绍 ISO27001介绍 ISO27001信息安全管理体系准备-风险评估 ISO27001信息安全管理体系设计 ISO27001信息安全管理体系实施 ISO27001信息安全管理体系监控 ISO27001信息安全管理体系改进 ? DO阶段 制定风险处理计划（Risk Treatment Plan） 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源 实施能够激发安全事件检测和响应的程序和控制 * 绝对安全（即零风险）是不可能的。 实施安全控制后会有残留风险或残存风险（Residual Risk）。 为了确保信息安全，应该确保残留风险在可接受的范围内： 残留风险Rr ＝ 原有的风险R0 － 控制ΔR 残留风险Rr ≤ 可接受的风险Rt 对残留风险进行确认和评价的过程其实就是风险接受的过程。决策者可以根据风险评估的结果来确定一个阀值，以该阀值作为是否接受残留风险的标准。 评价残留风险 信息安全管理体系蓝图(示例) * 建立ISMS管理框架的过程 定义安全策略 威胁、弱点、影响 组织风险管理的途径 要求达到的保障程度 ISO17799第三段列出的控