第7章建立信息安全管理体系的工作流程.pptxVIP

第7章 建立信息安全管理体系的工作流程 赵 刚 7.1 信息安全管理体系的策划与准备 7.1.1 信息安全管理体系 1.信息安全管理体系的定义 信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 7.1 信息安全管理体系的策划与准备 7.1.1 信息安全管理体系 2. 组织内部成功实施信息安全管理体系的关键因素 反映业务目标的安全方针、目标和活动； 与组织文化一致的、实施安全的方法； 来自管理层的有形支持与承诺： 对信息安全要求、风险评估和风险管理的良好理解； 向所有管理者及雇员推行信息安全意识； 向所有雇员和承包商分发有关信息安全方针和标准的导则； 提供适当的信息安全的培训与教育； 用于评价信息安全管理绩效及反馈改进建议、并有利于综合平衡的测量系统。 7.1 信息安全管理体系的策划与准备 7.1.1 信息安全管理体系 3. 建立信息安全管理体系的步骤 （1）信息安全管理体系的策划与准备； （2）信息安全管理体系文件的编制； （3）建立信息安全管理框架； （4）信息安全管理体系的运行； （5）信息安全管理体系的审核； （6）信息安全管理体系的管理评审。 7.1 信息安全管理体系的策划与准备 7.1.2 信息安全管理体系的准备 1.管理承诺 建立信息安全方针； 建立信息安全目标和计划； 为信息安全确立角色和责任； 向组织传达信息安全目标和符合信息安全策略的重要性，组织的责任及持续改进的需要； 提供足够的资源以开发、实施、运行和维护信息安全管理体系； 确定可接受风险的水平； 进行信息安全管理体系的评审。 7.1 信息安全管理体系的策划与准备 7.1.2 信息安全管理体系的准备 2.组织与人员建设 （1）成立信息安全委员会 （2）任命信息安全管理经理 （3）组建信息安全管理推进小组 （4）保证有关人员的作用、职责和权限得到有效沟通 （5）组织机构的设立原则 （6）信息安全管理体系组织结构设立及职责划分的注意事项 7.1 信息安全管理体系的策划与准备 7.1.2 信息安全管理体系的准备 3.编制工作计划(表) 7.1 信息安全管理体系的策划与准备 序号 阶段 项 目 负责部门／人 日期 1 准备阶段 1）领导决策 做出实施ISMS的决策 成立信息安全管理委员会 任命信息安全管理经理 最高管理者 ? 2）建立信息安全组织机构，并设计方案 设立信息安全管理推进小组 拟定ISMS实施草稿，并由信息安全管理委员会讨论通过 信息安全管理委员会；信息安全管理经理 ? ? 3）编制ISMS工作计划 详细实施计划 认证计划 培训计划 信息安全管理经理；信息安全管理推进小组 ? 4）学习培训 信息安全管理经理；人事部 ? 7.1 信息安全管理体系的策划与准备 7.1.2 信息安全管理体系的准备 3.编制工作计划(表) 序号 阶段 项 目 负责部门／人 日期 1 准备阶段 1）领导决策 做出实施ISMS的决策 成立信息安全管理委员会 任命信息安全管理经理 最高管理者 ? 2）建立信息安全组织机构，并设计方案 设立信息安全管理推进小组 拟定ISMS实施草稿，并由信息安全管理委员会讨论通过 信息安全管理委员会；信息安全管理经理 ? ? 3）编制ISMS工作计划 详细实施计划 认证计划 培训计划 信息安全管理经理；信息安全管理推进小组 ? 4）学习培训 信息安全管理经理；人事部 ? 2 初始状态评审 5）初始状态评审 了解组织概况、业务类别、企业文化等基本情况，收集适用于组织的法律、法规和其他与信息安全相关的文件和数据； 信息安全风险评估、选择风险控制措施 评估现有信息安全控制措施的适用性 评价现行管理体系与ISO/IEC 27001的差距 信息安全管理经理；信息安全管理推进小组 ? 7.1 信息安全管理体系的策划与准备 7.1.2 信息安全管理体系的准备 3.编制工作计划(表) 序号 阶段 项 目 负责部门／人 日期 1 准备阶段 1）领导决策 做出实施ISMS的决策 成立信息安全管理委员会 任命信息安全管理经理 最高管理者 ? 2）建立信息安全组织机构，并设计方案 设立信息安全管理推进小组 拟定ISMS实施草稿，并由信息安全管理委员会讨论通过 信息安全管理委员会；信息安全管理经理 ? ? 3）编制ISMS工作计划 详细实施计划 认证计划 培训计划 信息安全管理经理；信息安全管理推进小组 ? 4）学习培训 信息安全管理经理；人事部 ? 3 体系设计 6）确定ISMS方针和目标 最高管理者