ISMS资产分类与控制.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 ISMS资产分类与控制 资产责任 目标：保持对组织资产的适当保护。 应该考虑所有重要的信息资产并指定所有人。 资产责任有助于确保对资产保持适当的保护。应该为所有重要资产指定所有人，并应该分配对其保持适当控制措施的责任。实施控制措施的职责可以委托。责任应由指定的资产所有人承担。 1. 资产清单 资产清单有助于确保进行有效的资产保护，其它商业目的，如卫生和安全、保险或财务（资产管理）原因同样需要资产清单。编制资产清单的过程是风险评估的一个重要方面。组织需要识别其资产及这些资产的相对价值和重要性。基于这些信息，组织能够进而提供与资产的价值和重要性相符的保护等级。应该编制并保持与每一信息系统相关的重要资产的清单。应该清晰识别每项资产、其拥有权、经同意和记录为文件的安全分级（见5.2），以及资产现在的位置（当试图从丢失和损坏状态恢复时是重要的）。和信息系统相关的资产的例子： 信息资产：数据库和数据文档、系统文件、用户手册、培训资料、操作和支持程序、持续性计划、备用系统安排、存档信息； 软件资产：应用软件、系统软件、开发工具和实用程序； 有形资产：计算机设备（处理器、监视器、膝上形电脑、调制解调器），通信设备（路由器、数字程控交换机、传真机、应答机），磁媒体（磁带和软盘），其他技术装备（电源，空调设备），家具和住所； 服务：计算和通信服务，通用设备，如供暖，照明，电力和空调等。  ISO27001信息安全管理标准理解及内审员培训 培训热线：075525936264 李小姐  客服QQ：1484093445、675978375   ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）◆ ISO27001与ISO9001、ISO14001的异同◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件◆ 如何将三体系整合降低公司的体系运行成本◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析◆ ISO27001：2005标准对内审员的新要求◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法◆ 如何应对认证公司的认证审核、监督审核、案例分析◆ 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书” 信息分类 目标：确保信息资产受到适当级别的保护； 应该对信息进行分类以指明要求、优先性和保护等级。 信息具有不同程度的敏感性和重要性。一些项目可能需要额外级别的保护和特殊处理。应该使用信息分类系统来定义一套适当的保护等级，并传达特殊处理措施的要求。 1. 分类原则 信息分类和相应的保护控制措施应该考虑共享或限制信息的商业要求，以及与这些要求相关的商业影响，如对信息未经授权的访问或损坏。一般而言，对信息分类是决定如何处理和保护此信息的一条捷径。 来自处理机密性数据之系统