ISO27001信息安全不可接受风险处理计划.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 ISO27001信息安全不可接受风险处理计划 一、适用 本计划为按照程序文件 ISMS-2002《信息安全风险管理程序》 要求各部门对本部门不可接受风险做出处理计划，由行政部负责汇总，提交信息安全管理 委员会评审以获得管理层批准实施。 二、目的 根据表 ISMS-4024《重要信息资产风险评估表》中风险等级≥4 以上的资产采取控制措施，保证降低其风险等级至可接受风险等级。 三、职责 针对某项不可接受风险的资产责任人即为此计划的编制人和负责人。 四、详细处理计划 对于上述不可接受风险的资产，处理准则为，对面临同样风险的资产采取一类管理方法，举例对技术部公积金扫描验印系统、票据防伪系统、电子 验印系统、票据影像系统、光盘缩微系统、一票一密系统、上门收款原代码的管理方式应考虑通用的控制措施。 处理计划要求包含以下内容： a) 针对不可接受风险资产的范围。 b) 风险计划实施部门，编制人，批准人、实施人，编制时间，生效时间。 c)对资产的脆弱性和威胁做详细分析和描述。 d)权衡成本和收益提出处理策略。 对于计划处理效果显著，可以转变为公司的统一管理制度。  ISO27001信息安全管理标准理解及内审员培训 培训热线：075525936264 李小姐  客服QQ：1484093445、675978375   ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）◆ ISO27001与ISO9001、ISO14001的异同◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件◆ 如何将三体系整合降低公司的体系运行成本◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析◆ ISO27001：2005标准对内审员的新要求◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法◆ 如何应对认证公司的认证审核、监督审核、案例分析◆ 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书” 此次风险评估的处理计划如下： 部门 集成部 编号 JC-001 编制人 刘健 制表时间 2009-1-1 风险描述 资产名称：交换机、UPS 电源、技术部路由器 资产风险： 1、交换机：本公司的机房环境差，没有温湿度控制，没有除尘设施，机房布线混乱，交换机没有定期检测。 2、UPS：UPS 使用的时间接近报废时间，若出现 UPS 失效，而不及时更换，电力供应中断后服务器数据丢失，不可恢复。 3、技术部路由器：技术部每天产生的项目代码需要通过路由器传到备份服务器，对技术部的路由器的维护措施没有，有 中断业务的风险 目的 1、 降低交换机发生故障的概率。 2、 保障服务器的电力供应。 3、 确保技术部的持续工作。 适用范围 江苏万佳技术部项目组 风险处 置详细策略 交换机： （1