ISO2001简介.pptVIP

g) 为处理风险选择控制目标和控制措施 ●控制目标和控制措施应加以选择和实施，以满足风险 评估和风险处置过程中所识别的要求。这种选择应考 虑接受风险的准则以及法律法规和合同要求。 ●从附录A中选择控制目标和控制措施应成为此过程的 一部分，该过程适合于满足这些已识别的要求。 ●附录A所列的控制目标和控制措施并不是所有的控制 目标和控制措施，组织也可能需要选择另外的控制目 标和控制措施。 建立 ISMS h) 获得管理者对建议的残余风险的批准 ●建议的残余风险： ●是对选择的风险控制措施实施后的效果所作出的预测； ●对控制措施的预期结果由管理层作出决策. 43 建立 ISMS 建立 ISMS 风险管理活动及输出 i) 获得管理者对实施和运行ISMS的授权 j) 准备适用性声明（SoA） 应从以下几方面准备适用性声明： 1）所选择的控制目标和控制措施，以及选择的理由； 2）当前实施的控制目标和控制措施； 3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。 注：适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗漏控制措施。 建立 ISMS 建立 ISMS 适用性声明（SoA） 建立 ISMS ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。 ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的： 信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）： 信息安全方针 风险评估报告 适用性声明（SoA） 二级文件：各类程序文件。至少包括（可能不限于此）： 风险评估流程 风险管理流程 风险处理计划 管理评审程序 信息设备管理程序 信息安全组织建设规定 新设施管理程序 内部审核程序 第三方和外包管理规定 信息资产管理规定 工作环境安全管理规定 介质处理与安全规定 系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序 安全事件处理流程 三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。 四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。 ISMS 文件体系 建设 ISMS 第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。 建设ISMS的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。 建设ISMS 文件化很重要，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。 风险评估，培训等工作的进行也需要在咨询公司的协助下进行。 ISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。 五、27001认证介绍 提出申请 待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社) 等。 认证审核－预审 预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。 预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 27001：2005要求的差距，包括(但不仅限于)： 分析ISMS方针与程序，组织当前的业务保护情况； 检查ISMS是否与其实际业务融合一起； 检查ISMS是否符合正式审核的基本条件； 检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS 等； 检查ISMS运行的时间长度。 注：预审也是要收费的！ 认证审核－桌面审核 强制性ISMS文件 说明 (1) ISMS方针文件，包括ISMS的范围 根据ISO/IEC 27001:200