ISO27001标准详解课件.pptVIP

A.10 通信与操作管理 * A.10.1操作程序及职责 目标：确保信息处理设施的正确和安全操作。 ? 文件化的操作程序 ? 变更管理 ? 职责分离 ? 开发、测试和运营设施的 分离 * A.10.2第三方服务交付管理 目标：实施并保持信息安全的适当水平，确保 第三方交付的服务符合协议要求。 ? 服务交付 ? 监控和评审第三方服务 ? 管理第三方服务的变更 * A.10.3系统规划和验收 目标：最小化系统失效的风险。 ? 容量管理 ? 系统验收 * A.10.4 防范恶意代码和移动代码 目标：保护软件和信息的完整性。 ? 防范恶意代码 ? 防范移动代码 * A.10.5 备份 目标：保持信息和信息处理设施的完整性和可用性。 ? 信息备份 * ? 网络控制 ? 网络服务的安全 A.10.6 网络安全管理 目标：确保网络中的信息和支持性基础设施 得到保护。 * A.10.7 媒介处置 目标：防止对资产的未授权泄漏、修改、移动 或损坏，及对业务活动的干扰。 ? 可移动计算机介质的管理 ? 介质处理 ? 信息处理程序 ? 系统文档的安全 * Page * 4信息安全管理体系(续) ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的： 信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）： 信息安全方针 风险评估报告 适用性声明（SoA） 二级文件：各类程序文件。至少包括（可能不限于此）： 风险评估流程 风险管理流程 风险处理计划 管理评审程序 信息设备管理程序 信息安全组织建设规定 新设施管理程序 内部审核程序 第三方和外包管理规定 信息资产管理规定 工作环境安全管理规定 介质处理与安全规定 系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序 安全事件处理流程 三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。 四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。 * 5.1管理承诺 5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力 5 管理职责 * 管理者应通过如下所示向ISMS的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据： a) 建立信息安全方针； b) 确保信息安全目标和计划的建立； c) 为信息安全定岗并建立岗位职责； d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性， 以及本组织的法律责任和持续改进的需求； e) 为ISMS的发展、实施、运作和维持提供充足的资源； f )确定接受风险的准则和可接受的风险等级； g)确保ISMS内部审核的实施； h)进行ISMS管理评审。 5.1 管理承诺 * ? 组织应确定并提供以下方面所需资源： ? 建立、实施、运作和维持ISMS； ? 确保信息安全程序支持业务需要； ? 识别和定位法律法规要求和合同安全责任； ? 通过正确的应用所有的已被实施的控制方法来维持适当的安 全； ? 必要时进行评审，并对审核结果采取适当的行动 ； ? 在有需要的地方改进ISMS的有效性 5.2.1 提供资源 * ? ? ? ? 确定员工在执行与ISMS相关的工作时所必需具备的能力； 提供能力培训，必要时，聘请专业人士以满足需要； 评价所提供的培训和采取的行动的有效性； 保持教育、培训、技能、经验和资格的记录 组织应确保所有相关人员认识其信息安全活动的相关性和重要性，并知道怎样为实现ISMS的目标做出贡献 5.2.2 培训、意识和能力 * ? 组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否