网络管理教师培训讲稿.pptVIP

第四步 风险管理 BS7799-2对ISMS的要求： 组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。 根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。 是否定义了组织的风险管理方法？ 是否定义了所需的信息安全保证程度？ 是否给出了可选择的控制措施供管理层做决定？ 建立ISMS框架 第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。 选择控制措施的示意图 选择的控制措施是否建立在风险评估的结果之上？ 是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？ 选择的控制措施是否反应了组织的风险管理战略？ 针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择 建立ISMS框架 安全问题 安全需求 控制目标 控制措施 解决 指出 定义 被满足 第五步 选择控制目标和控制措施 BS7799-2对ISMS的要求： 未选择某项控制措施的原因 风险原因- 没有识别出相关的风险 财务原因- 财务预算的限制 环境原因- 安全设备、气候、空间等 技术- 某些控制措施在技术上不可行 文化- 社会环境的限制 时间- 某些要求目前无法实施 其它- ？ 建立ISMS框架 第六步 准备适用声明 BS7799-2对ISMS的要求： 组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。 在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。 建立ISMS框架 未来实现公司ISMS 适用声明 风险评估如何贯穿于安全管理BS 7799-2:2002 设计 ISMS Implement and use the ISMS Monitoring and review the ISMS Improve and update the ISMS 计划 DO CHECK ACT ISMS 定义 ISMS 的 执行范围和政策 执行风险评估 对风险评估处理作出决定 选择控制 Design the ISMS 执行和使用 ISMS Monitoring and review the ISMS Improve and update the ISMS PLAN 行动 CHECK ACT ISMS 执行风险评估 处理计划 执行控制 执行意识/培训 将 ISMS 放到 操作使用中 风险评估如何贯穿于安全管理BS 7799-2:2002 Design the ISMS Implement and use the ISMS 监控和检查ISMS Improve and update the ISMS PLAN DO 检查 ACT ISMS 执行监控进程 执行定期检查 检查剩余风险和可接受的风险 内部审计 风险评估如何贯穿于安全管理BS 7799-2:2002 Design the ISMS Implement and use the ISMS Monitoring and review the ISMS 改进和升级ISMS PLAN DO CHECK ACT ISMS 实现改进 矫正性和预防性 的活动 传达结果 检查改进达到的目标 风险评估如何贯穿于安全管理BS 7799-2:2002 ISMS 资产 Business processes Information People Services ICT Physical location Applications asset directory Assets Corporate image People Information/information systems Processes Products/services Applications ICT Physical ISO/IEC 17799 7.1.1 Inventory of assets ISMS 风险 Asset threats vulnerabilities Asset value utility asset directory Assets Corporate image People Information/information systems Processes Products/services Applications ICT Physical Risk treatment Risks impacts Risk treatment 风险等级 不可容忍 的风险 可容忍 的风险 很少发生业务暴露 持续的业务暴露 对业务影响的 因果关系较小