【安全、消防、环保行业】G17之ISMS信息安全管理体系建立方法
VIP免费
3.0
2024-06-26
0
0
164.42KB
53 页
1库币
海报
投诉举报
1
信息安全管理体系建立方法
1 信息安全管理体系概述
1.1 什么是信息安全管理体系
1.2 信息安全管理体系的作用
1.3 信息安全管理体系的准备
2 建立信息安全管理体系原则
2.1 PDCA 原则
2.2 文件化
2.3 领导重视
2.4 全员参与
3 信息安全管理体系的建立
3.1 建立信息安全管理体系
3.2 文件要求
3.3 文件控制
3.4 记录控制
4 实施和运作信息安全管理体系
5 监控和评审信息安全管理体系
5.1 监控信息安全管理体系
5.2 维护和改进信息安全管理体系
5.3 信息安全管理体系的管理评审
6 信息安全管理体系改进
6.1 持续改进
6.2 纠正措施
6.3 预防措施
7 控制措施的选择
7.1 安全方针
7.2 安全组织
7.3 资产分类与控制
7.4 人员安全
7.5 物理和环境安全
7.6 通信和操作管理
7.7 访问控制
7.8 系统开发和维护
7.9 应用系统中的安全
7.10 持续运营管理
7.11 遵从性
2
信息安全管理体系建立方法
信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不
同。后续将详细介绍不同部分的管理。
1信息安全管理体系概述
1.1 什么是信息安全管理体系
信息安全管理体系,即 Information Security Management System(简称 ISMS),是组织在整体或特定范
围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表
示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围 ,
制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信
息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安
全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保
护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1. ISMS 的范围
ISMS 的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、
网络和用于过程中的技术、存储以及通信的信息等,ISMS 的范围可以包括:
组织所有的信息系统;
组织的部分信息系统;
特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的 ISMS。例如,可以为组
织和其他公司之间特定的贸易关系定义 ISMS,也可以为组织结构定义 ISMS,不同的情境可以由一个或
者多个 ISMS 表述。
2. 组织内部成功实施信息安全管理的关键因素
反映业务目标的安全方针、目标和活动;
与组织文化一致的实施安全的方法;
来自管理层的有形支持与承诺;
对安全要求、风险评估和风险管理的良好理解;
向所有管理者及雇员推行安全意思;
向所有雇员和承包商分发有关信息安全方针和准则的导则;
提供适当的培训与教育;
用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
3. 建立 ISMS 的步骤
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤
和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:
a) 信息安全管理体系的策划与准备;
b) 信息安全体系文件的编制;
c) 信息安全管理体系的运行;
d) 信息安全管理体系的审核与评审。
3
1.2 信息安全管理体系的作用
1. ISMS 的特点
信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:
体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守
国家有关信息安全的法律法规及其他合同方要求;
强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;
强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性
和可用性,保持组织的竞争优势和商务运作的持续性。
2. 实施 ISMS 的作用
组织建立、实施与保持信息安全管理体系将会产生如下作用:
强化员工的信息安全意识,规范组织信息安全行为;
对组织的关键信息资产进行全面体统的保护,维持竞争优势;
在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
使组织的生意伙伴和客户对组织充满信心;
如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与
信任度;
促使管理层贯彻信息安全保障体系;
组织可以参照信息安全管理模型,按照先进的信息安全管理标准 BS7799 建立组织完整的信息安
全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安
全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
1.3 信息安全管理体系的准备
为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色
明确权限、落实责任并予以沟通。
1.成立信息安全委员会
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成 ,
定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。
评审和审批信息安全方针;
分配信息安全管理职责;
确认风险评估的结果;
对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;
评审与监督信息安全事故;
审批与信息安全管理有关的其他重要事项。
2. 任命信息安全管理经理
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以
下责任:
确定信息安全管理标准建立、实施和维护信息安全管理体系;
负责组织的信息安全方针与安全策略的贯彻与落实;
向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证
据;
就信息安全管理的有关问题与外部各方面进行联络。
3.组建信息安全管理推进小组
在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。
摘要:
展开>>
收起<<
1信息安全管理体系建立方法1信息安全管理体系概述1.1什么是信息安全管理体系1.2信息安全管理体系的作用1.3信息安全管理体系的准备2建立信息安全管理体系原则2.1PDCA原则2.2文件化2.3领导重视2.4全员参与3信息安全管理体系的建立3.1建立信息安全管理体系3.2文件要求3.3文件控制3.4记录控制4实施和运作信息安全管理体系5监控和评审信息安全管理体系5.1监控信息安全管理体系5.2维护和改进信息安全管理体系5.3信息安全管理体系的管理评审6信息安全管理体系改进6.1持续改进6.2纠正措施6.3预防措施7控制措施的选择7.1安全方针7.2安全组织7.3资产分类与控制7.4人员安全7....
温馨提示:66文库--作为在线文档分享平台,一直注重给大家带来优质的阅读体验;让知识分享变得简单、有价值;海量文档供您查阅下载,让您的工作简单、轻松而高效!
1. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
2. 66文库网仅提供信息存储空间,仅对广大用户、作者上传内容的表现方式做保护处理,对上传分享的文档内容本身不做任何修改或编辑,并不对下载的任何内容负责。
3. 广大用户、作者上传的文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
4. 本站不保证、不承担下载资源内容的准确性、安全性和完整性, 同时也不承担用户因使用下载资源对自己和他人造成任何形式的伤害或损失。
相关推荐
-
GB6067.1-2010 起重机械安全规程VIP免费
2024-07-28 227 -
168种常用化学品MSDSVIP免费
2024-07-28 44 -
安委〔2024〕7号:国务院安全生产委员会关于推动建立完善生产经营单位事故隐患内部报告奖励机制的意见VIP免费
2024-09-05 208 -
大宗商品贸易市场调研报告指南
2024-09-07 18 -
企业社会责任报告编制与发布服务合同VIP免费
2024-09-23 23 -
【66安全文库】418危险化学品安全技术说明书VIP免费
2024-10-08 5 -
家电维修服务流程及质量标准
2024-10-15 5 -
三农产品质量安全检测方法及标准
2024-10-22 13 -
节前消防安全检查重点内容(61页)VIP免费
2024-10-28 12 -
AI技术在工业生产中的应用指南
2024-11-02 32
分类:管理文献
价格:1库币
属性:53 页
大小:164.42KB
格式:DOCX
时间:2024-06-26
猜您喜欢
