嘉冠,一站式企業認證服務平臺!
熱門搜索: ISO9001 ISO14001 ISO27001 CMMI

體系認證

ISO9001 ISO14001 OHSAS18001

產品認證

熱門認證 CCC認證 CE認證

資質認證

ITSS 系統集成 安防資質

項目申報

兩化融合 知識產權 創新型企業

管理培訓

五大工具 TPM 質量管理

知道這些信息安全認證將不在困難(二)

2019-11-11 09:41:24

iso27001認證

信息安全認證需要注意的方面還有:確定信息安全方針目標、建立管理組織機構信息安全風險評估ISMS體系文件編寫、ISMS管理體系記錄的設計等,下面和小編一起來看看吧!

五、確定信息安全方針和目標 

目的:明確信息安全方針和目標,為信息安全管理體系提供導向。 

內容:根據業務要求及組織實際情況,制定安全方針和目標。

包括: 

① 與最高管理者進行溝通,理解管理意圖和管理要求,確定信息安全管理方針; 

② 根據方針的要求,制定目標,并分解到各個管理活動中,形成可測量的指標體系,確保方針和目標得以實現; 

六、建立管理組織機構 

目的:建立完善的內控組織架構,為整合體系提供支持。 

內容:良好的組織架構是確保各項管理活動落實的根本

包括: 

① 建立整合體系管理委員會,就重大信息安全事項進行決策; 

② 建立管理協調小組,就日常管理活動中的信息安全事項進行溝通改進; 

③ 明確管理活動中各流程責任人的職責,并文件化。 

七、信息安全風險評估 

目的:實施風險評估,識別不可接受風險,明確管理目標; 

內容:風險評估是整個風險管理的基礎,本階段將根據前期策劃的風險評估方法 

包括: 

① 根據業務要求及信息的密級劃分,對信息資產的重要程度進行判定,識別對關鍵核心業務具有關鍵作用的信息資產清單;對重要信息資產從內部及外部識別其所面臨的威脅; 

② 根據威脅,從管理和技術兩方面識別重要信息資產所存在的薄弱點; 

③ 根據風險評估的方法指南,對威脅利用薄弱點對重要信息資產所產生的風險在保密性、完整性、可用性三方面所造成的影響進行評價;評價威脅利用薄弱點引發安全風險事件的可能性; 

④ 根據風險影響及發生的可能性評價風險等級; 

⑤ 根據信息安全方針,各核心業務流程的安全要求,與管理層進行溝通,確定不可接受風險等級的標準; 

⑥ 針對不可接受的高風險,制定風險處理計劃,從ISO27002及顧問的行業經驗來選擇適宜的風險管控措施;實施所選擇的控制措施,降低、轉移或消除安全風險; 

⑦ 編寫風險評估報告。 

八、ISMS體系文件編寫 

目的:建立文件化的信息安全管理體系。 

內容:根據文件體系策劃的結果,編寫信息安全管理體系文件, 

包括: 

① 整合信息安全管理體系手冊,明確各管理過程的順序及相互關系; 

② 整合信息安全管理體系所要求的程序文件,從體系維護管理、資產管理、物理環境安全、人力資源安全、訪問控制、通信和運作管理、業務連續性管理、信息安全事件管理、符合性等方面對各類管理活動及作業指導進行文件化; 

③ 制定各類安全策略,如:電子郵件策略、互聯網訪問策略,訪問控制策略等。 

九、ISMS管理體系記錄的設計 

目的:設計科學的信息安全管理體系記錄,保證各管理流程的可控性和可追溯性。 

內容:根據各個管理流程和文件對管理過程的記錄要求,設計記錄表格格式 

包括: 

① 搜集原有管理記錄; 

② 優化記錄或重新設計; 

③ 溝通記錄的形式和管理記錄填寫的必要性,保證信息安全管理體系的可控性與記錄保持的數量之間的平衡。

上一篇: 知道這些信息安全認證將不在困難(一)
下一篇: ISO9001糾正和糾正措施的區別

最新資訊

黄金版游戏在线客服 pk10第一名公式算法 排列五基本走势图表 江苏快3 重庆时时安卓手机软件 江西快三查询 七星彩预测最准十专家 黑龙江22选5开奖号码 nba比分文字直播 吉林十一选五 湖南快乐10分app eve 在哪里挖坟赚钱 福建时时彩 84棋牌下载 体彩快乐赛车 棒球比分的x什么意思 重庆烟花区买烟花赚钱吗