ISO27001体系实施培训.pptVIP

审核过程 文件审核与符合性审核 文件审核 一般来说都是现场进行的 审核ISMS框架，以考查其是否符合BS7799-2的4-7部分的要求 查看策略、范围、风险评估、风险管理、控制选择和适用性声明相关的文件 审核员或许不会非常深入地查看特定程序文件的细节，但却期望能直接在标准、程序和工作指导书上签署意见 符合性审核 对来自文档审核阶段的不符合项进行究根问底 审核抽样，以验证ISMS底实施和操作 审核小组组长会提交一个建议，但并不做最终认证决策 对于审核期间记录在案的不符合项，组织必须在规定时间之内采取纠正性措施 审核报告与结论 审核报告内容 审核场所 组织及适用的ISO27001控制要求 组织关键文件的发布日期与版本，包括：方针、策略、程序、范围、适用性声明等文件 适用于组织的额外的强制性或自愿性标准或规则。 审核结果的综合评论 不符合项和观察报告的编号识别及类别 审核涉及到的人员 审核结论有以下三种情况： 信息安全管理体系己建立，运行有效，无严重不符合项和轻微不符合项，同意推荐认证通过。 信息安全管理体系己建立并正常运行，在审核过程中发现少数轻微不符合项或个别严重不符合项，要求组织在规定的时间内实施纠正措施，同意在验证纠正措施的实施后推荐认证通过。 信息安全管理体系仍有缺陷，在审核过程中发现较多的不符合项，需要在实施纠正措施后安排复审，本次不予以推荐认证通过。 外部审核结论示例 认证证书 组织采取了必要的纠正措施之后，并由认证机构验证通过，认证机构将为组织颁发ISMS证书，证书包括下述内容： 关于认证组织的信息 组织全称，涉及到的相关组织 业务的相关地点 业务的流程 相关的业务功能与活动 认证的范围 适用性声明和特定版本的描述 关于信息安全系统满足BS7799认证标准的声明 证书开始生效的时间 证书号 ISMS培训议程 ISMS的历史与发展 2 ISMS的重要性 3 1 ISO27001内容简介 3 3 如何建立ISMS 3 4 ISMS实施案例解析 3 5 Q A Thank You ! 组织在对风险等级进行划分后，应考虑法律法规（包括客户及相关方）的要求、机构自身的发展要求、风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。风险处理的方式包括：回避风险，降低风险（降低发生的可能性或减小后果），转移风险，接受风险。 回避风险（Avoid Risk）—— 或者Rejecting Risk。有时候，组织可以选择放弃某些可能引来风险的业务或资产，以此规避风险。例如，将重要的计算机系统与互联网隔离，使其免遭来自外部网络的攻击。 降低风险（Reduce Risk）—— 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，建立并实施恶意软件控制程序，减少信息系统受恶意软件攻击的机会。 减少弱点：例如，通过安全教育和意识培训，强化职员的安全意识与安全操作能力。 降低影响：例如，制定灾难恢复计划和业务连续性计划，做好备份。 转移风险（Transfer Risk）—— 也称作Risk Assignment。将风险全部或者部分地转移到其他责任方，例如购买商业保险。 接受风险（Accept Risk）—— 在实施了其他风险应对措施之后，对于残留的风险，组织可以选择接受，即所谓的无作为。 风险处理方式 选择具体风险控制措施 依据风险评估的结果来选择安全控制措施。 选择安全措施（对策）时需要进行成本效益分析（cost/benefit analysis）： 基本原则：实施安全措施的代价不应该大于所要保护资产的价值 控制成本：购买费用，对业务效率的影响，额外人力物力，培训费用，维护费用等 控制价值 ＝ 没有实施控制前的损失 － 控制的成本 － 实施安全控制之后的损失 除了成本效益，还应该考虑： 控制的易用性 对用户的透明度 控制自身的强度 控制的功能类型（预防、威慑、检测、纠正） 可以从ISO27001规定的控制目标范围中选择控制。 确定所选安全措施的效力，就是看实施新措施之后还有什么残留风险。 没有选择某项控制的原因 风险问题，风险暴露并未确认 预算问题，受到财务上的限制 环境问题，影响到安全保护、气候和空间 技术问题，有些措施在技术上是不可行的 文化问题，收到社会因素的限制 时间问题，有些要求目前无法实施 N/A，不适用 其他问题 残余风险评价 对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。 残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。 绝对安全（即零风险）