CISP0301信息安全管理基础与管理体系v30.pptVIP

C3-实施内部审核 根据拟审核业务过程和范围的状况、重要性，以及以往审核结果，确定审核的准则、范围、频次和方法 常规的内部审核实施流程： 审核前的准备 编制内部审核计划、成立内审小组、编制内审检查列表 实施内部审核 召开首次会议、文件审核、现场审核、确定不符合项、召开末次会议 编写审核报告 内容包括审核情况概述、审核发现（即符合项和不符合项的描述）、不符合项的统计与分析、审核结论以及纠正措施要求等 内部审核结束后，还应有后续跟踪活动 * 第九十四页，共一百零二页。 C5-实施管理评审 应定期对ISMS实施管理评审。当系统环境发生较大变化、组织机构发生重大变化或安全需求发生改变时，需要适时进行管理评审 通常以召开管理评审会议的方式进行 评审输入材料 * ISMS审核和评审的结果 相关方的反馈 改进技术、产品和规程 、预防和纠正措施的状况 以往风险评估没有充分强调的脆弱性和威胁 有效性测量的结果 以往管理评审的跟踪措施 可能影响ISMS的任何变更 改进ISMS的任何建议 评审输出 ISMS有效性的改进 风险评估和风险处置计划的更新 资源需求 有效性测量方法的改进 修改ISMS文件和控制措施以响应各种变化 第九十五页，共一百零二页。 知识域：信息安全管理体系建设 知识子域： 保持和改进ISMS 理解实施纠正和预防措施、沟通措施和改进情况等保持和改进ISMS的主要工作内容 * 第九十六页，共一百零二页。 保持和改进ISMS A1-实施纠正和预防措施 A2-沟通措施和改进情况 * 第九十七页，共一百零二页。 A1-实施纠正和预防措施 * 不符合项指： 缺少或缺乏有效地实施和维护一个或多个ISMS的要求 在有客观证据的基础上，引起对ISMS安全方针和组织安全目标能力的重大怀疑 从其它组织和组织自身的信息安全实践经验和安全事件教训中学习，采取相应的改进措施，持续提高信息安全管理的水平 纠正性措施：为消除与ISMS要求不符合发生的原因，并防止其再发生所采取的措施 预防性措施：为消除潜在不符合原因，防止其发生所采取的措施 第九十八页，共一百零二页。 A2-沟通措施和改进情况 * 向所有相关方沟通措施和改进情况 其详细程度应与环境相适应 需要时，商定如何进行 第九十九页，共一百零二页。 记录控制 明确记录的保存环境要求 明确保存期限要求 明确访问控制要求 明确检索要求（比如，支持按特定条件进行查询和统计） * 第六十二页，共一百零二页。 知识域：信息安全管理体系基础 知识子域： 内部审核和管理评审 了解内部审核的概念，以及内部审核的目的、实施主体、实施方式、审核准则 了解管理评审的概念，以及管理评审的目的、实施主体、实施对象、实施方式 * 第六十三页，共一百零二页。 内部审核 是用于内部目的，由组织自己或以组织的名义所进行的审核 也称第一方审核 是ISMS能够持续改进的重要动力之一 组织应按照既定的周期实施ISMS内部审核 * 第六十四页，共一百零二页。 内部审核 目的 确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求 确定各项控制措施是否得到有效的实施和保持 确定员工的业务行为是否符合组织ISMS文件所规定的要求 实施主体 ISMS内审小组 实施方式 文件审核、现场审核 审核准则 相关标准、法规法规、合同条款、ISMS文件 * 第六十五页，共一百零二页。 管理评审 为实现已建立的目标，而进行的确定管理体系的适宜性、充分性和有效性的活动 也是ISMS能够持续改进的重要动力之一 组织应按照既定的周期实施ISMS管理评审 * 第六十六页，共一百零二页。 管理评审 目的 确保组织的ISMS持续具备适宜性、充分性和有效性 实施主体 组织的高级管理层 实施对象 ISMS文件体系、各种管理评审输入材料 实施方式 最常见的是召开管理评审会议，由组织的高级管理层亲自主导实施 * 第六十七页，共一百零二页。 知识域：信息安全管理体系基础 知识子域： 信息安全管理体系认证 了解ISMS认证的概念 理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力 * 第六十八页，共一百零二页。 ISMS认证 ISMS认证，是由ISMS认证机构依据ISO/IEC 27001对申请组织的ISMS进行审核，并向通过审核的申请组织颁发ISMS认证证书的活动 认证机构是指那些从事对产品（服务）、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构 ISMS认证是证明一个组织的信息安全水平达到并满足ISMS国际/国家标准要求的有效途径 ISMS认证活动，能从第三方客观公正的角度，发现ISMS存在的不足和问题，是促进ISMS持续改进的一种外部驱动力 * 第六十九页，共一百零二页。 ISMS认证 ISMS认证通常包含一组审核，包括初次认证审核、年