ISO27001标准详解学习课件.pptVIP

A.10.2 第三方服务交付管理 目标：实施并保持信息安全的适当水平，确保 第三方交付的服务符合协议要求。 ? 服务交付 ? 监控和评审第三方服务 ? 管理第三方服务的变更 63 2/26/2020 A.10.3 系统规划和验收 目标：最小化系统失效的风险。 ? 容量管理 ? 系统验收 64 2/26/2020 A.10.4 防范恶意代码和移动代码 目标：保护软件和信息的完整性。 ? 防范恶意代码 ? 防范移动代码 65 2/26/2020 A.10.5 备份 目标：保持信息和信息处理设施的完整性和 可用性。 ? 信息备份 66 2/26/2020 ? 网络控制 ? 网络服务的安全 A.10.6 网络安全管理 目标：确保网络中的信息和支持性基础设施 得到保护。 67 2/26/2020 A.10.7 媒介处置 目标：防止对资产的未授权泄漏、修改、移动 或损坏，及对业务活动的干扰。 ? 可移动计算机介质的管理 ? 介质处理 ? 信息处理程序 ? 系统文档的安全 68 2/26/2020 A.10.8 信息交换 目标：应保持组织内部或组织与外部 组织之间交换信息和软件的安全。 ? 信息交换策略和程序 ? 交换协议 ? 物理媒体传输 ? 电子信息 ? 业务信息系统 69 2/26/2020 管理者应通过如下所示向 ISMS 的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据： a) 建立信息安全方针； b) 确保信息安全目标和计划的建立； c) 为信息安全定岗并建立岗位职责； d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性， 以及本组织的法律责任和持续改进的需求； e) 为 ISMS 的发展、实施、运作和维持提供充足的资源； f ) 确定接受风险的准则和可接受的风险等级； g) 确保 ISMS 内部审核的实施； h) 进行 ISMS 管理评审。 5.1 管理承诺 31 2/26/2020 ? 组织应确定并提供以下方面所需资源： ? 建立、实施、运作和维持 ISMS ； ? 确保信息安全程序支持业务需要； ? 识别和定位法律法规要求和合同安全责任； ? 通过正确的应用所有的已被实施的控制方法来维持适当的安 全； ? 必要时进行评审，并对审核结果采取适当的行动 ； ? 在有需要的地方改进 ISMS 的有效性 5.2.1 提供资源 32 2/26/2020 ? ? ? ? 确定员工在执行与 ISMS 相关的工作时所必需具备的能力； 提供能力培训，必要时，聘请专业人士以满足需要； 评价所提供的培训和采取的行动的有效性； 保持教育、培训、技能、经验和资格的记录 组织应确保所有相关人员认识其信息安全活动的相关 性和重要性，并知道怎样为实现 ISMS 的目标做出贡献 5.2.2 培训、意识和能力 33 2/26/2020 ? 组织应按策划的时间间隔对 ISMS 进行内审 , 以决定 ISMS 的控制目标、控制行为、过程和程序是否 ? 与本标准的要求和相关法律法规相适应 ? 与已识别信息安全需求相适应 ? 有效地实施和维护 ? 达到预期目标 文件化内审程序、保持内审记录 6 ISMS 内部审核 34 2/26/2020 7.1 总则 7.2 评审输入 7.3 评审输出 7 ISMS 的管理评审 35 2/26/2020 ? 定期管理评审，以确保适宜性、充分性和有效性 ? 评审应包括评价 ISMS 的改进机会和变更需要，包括安全 方针和安全目标 ? 评审结果应清楚地写入文件，保持评审的记录 7.1 总则 36 2/26/2020 ? ? ? ? ? ? ? ? ? ISMS 审核和评审的结果； 相关方的反馈； 在组织中被用于改进 ISMS 性能和有效性的技术、产 品或程序； 预防和纠正措施的状况； 以前风险评估中没有准确定位的薄弱点或威胁； 有效性测量的结果； 以往管理评审的跟踪措施； 任何可能影响 ISMS 的变更； 改进的建议 7.2 评审输入 37 2/26/2020 ? ISMS 有效性的改进信息 ? 风险评估和风险处理计划的更新 ? 修改影响信息安全的程序，必要时，对可能影响 ISMS 的内部或外部事件做出反应，变更包括如下 ： ? ? ? ? ? 业务需求 安全需求 影响现有业务需求的业务过程 法律法规环境 风险等级或 / 和可接受风险水平 ? 资源需求 ? 对如何测量控制措施的有效性的改进 7.3 评审输出 38 2/26/2020 8.1 持续改进 8.2 纠正措施 8.3 预防措施 8 ISMS 的改进 39 2/26/2020 ? 组织应通过信息安全方针、安全目标、审核结果、监督 事件的分析、纠正和预防措施以及管理评审来持续改进 ISMS 的有效性 8.1 持续改进