ISMS体系业务持续性管理程序.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 信息安全管理体系业务持续性管理程序 1 目的与范围本程序规定了当发生重大信息安全事件或灾难时，为保护公司业务活动免受影响，迅速恢复已中断的业务活动，实现公司业务持续发展而实施的管理活动。这些活动包括：建立业务持续性管理程序；进行业务持续性和影响分析；编制业务持续性战略计划；制订业务持续性管理实施计划并实施；对业务持续性管理计划进行定期测试和评审等。本程序适应于本公司应用软件的开发和系统集成的活动等主要业务的持续性管理。 2 相关文件2.1 ISMS-1000《信息安全管理手册》2.2 ISMS-2021《信息资产的识别与风险评估管理程序》2.3 ISMS-2033《事故、薄弱点与故障管理程序》 3 职责3.1 公司常务副总经理负责公司业务中断的恢复的总指挥与总协调。3.2 集成部负责编制、修订公司业务持续性管理程序，并协调、推进公司业务持续性管理活动。3.3 各部门负责部门相关系统的故障处理及与之相关的作业中断的恢复。3.4 技术部负责项目实施过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。3.5 集成部负责后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。3.6 行政部负责本部门管理系统及与之相关的作业中断的恢复。3.7 公司各部门在发生重大信息安全事件或灾难时，负责保护本部门使用的信息系统及业务数据，及时恢复中断的业务活动。 4 工作程序4.1 业务持续性管理过程公司业务持续性管理过程规定如下：4.2 业务持续性和影响的分析4.2.1 公司在首次信息安全风险评估后进行业务持续性和影响的分析。4.2.2 业务持续性和影响的分析由集成部组织，技术部、行政部、生产部及管理者代表指定的相关部门分别开展以下活动：a)对本部门的信息安全进行风险评估；b)识别出对本部门业务持续性造成严重影响的主要事件，如设备故障、火灾等；c)分析这些事件一旦发生对公司业务活动造成的影响和损失，以及恢复业务所需费用等；d)编写本部门《业务持续性和影响分析报告》（格式见ISMS-4341)。4.2.3《业务持续性和影响分析报告》应包括以下内容：a)识别关键业务的管理过程；b)可能引起公司业务活动中断的主要事件；c)主要事件对本部门管理的信息系统的影响；d)信息系统故障或中断对公司业务活动的影响；e)关于系统恢复或替换的费用考虑。 5 记录ISMS-4341《业务持续性和影响分析报告》ISMS-4342《业务持续性管理战略计划》ISMS-4343《业务持续性管理实施计划》ISMS-4344《业务持续性管理计划测试报告》ISMS-4345《业务持续性管理计划评审报告  ISO27001信息安全管理标准理解及内审员培训   ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）◆ ISO27001与ISO9001、ISO14001的异同◆ ISO27001与