嘉冠,一站式企业认证服务平台!
热门搜索: ISO9001 ISO14001 ISO27001 CMMI

体系认证

ISO9001 ISO14001 OHSAS18001

产品认证

热门认证 CCC认证 CE认证

资质认证

ITSS 系统集成 安防资质

项目申报

两化融合 知识产权 创新型企业

管理培训

五大工具 TPM 质量管理

知道这些信息安全认证将不在困难(二)

2019-11-11 09:41:24

iso27001认证

信息安全认证需要注意的方面还有:确定信息安全方针目标、建立管理组织机构信息安全风险评估ISMS体系文件编写、ISMS管理体系记录的设计等,下面和小编一起来看看吧!

五、确定信息安全方针和目标 

目的:明确信息安全方针和目标,为信息安全管理体系提供导向。 

内容:根据业务要求及组织实际情况,制定安全方针和目标。

包括: 

① 与最高管理者进行沟通,理解管理意图和管理要求,确定信息安全管理方针; 

② 根据方针的要求,制定目标,并分解到各个管理活动中,形成可测量的指标体系,确保方针和目标得以实现; 

六、建立管理组织机构 

目的:建立完善的内控组织架构,为整合体系提供支持。 

内容:良好的组织架构是确保各项管理活动落实的根本

包括: 

① 建立整合体系管理委员会,就重大信息安全事项进行决策; 

② 建立管理协调小组,就日常管理活动中的信息安全事项进行沟通改进; 

③ 明确管理活动中各流程责任人的职责,并文件化。 

七、信息安全风险评估 

目的:实施风险评估,识别不可接受风险,明确管理目标; 

内容:风险评估是整个风险管理的基础,本阶段将根据前期策划的风险评估方法 

包括: 

① 根据业务要求及信息的密级划分,对信息资产的重要程度进行判定,识别对关键核心业务具有关键作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁; 

② 根据威胁,从管理和技术两方面识别重要信息资产所存在的薄弱点; 

③ 根据风险评估的方法指南,对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价;评价威胁利用薄弱点引发安全风险事件的可能性; 

④ 根据风险影响及发生的可能性评价风险等级; 

⑤ 根据信息安全方针,各核心业务流程的安全要求,与管理层进行沟通,确定不可接受风险等级的标准; 

⑥ 针对不可接受的高风险,制定风险处理计划,从ISO27002及顾问的行业经验来选择适宜的风险管控措施;实施所选择的控制措施,降低、转移或消除安全风险; 

⑦ 编写风险评估报告。 

八、ISMS体系文件编写 

目的:建立文件化的信息安全管理体系。 

内容:根据文件体系策划的结果,编写信息安全管理体系文件, 

包括: 

① 整合信息安全管理体系手册,明确各管理过程的顺序及相互关系; 

② 整合信息安全管理体系所要求的程序文件,从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化; 

③ 制定各类安全策略,如:电子邮件策略、互联网访问策略,访问控制策略等。 

九、ISMS管理体系记录的设计 

目的:设计科学的信息安全管理体系记录,保证各管理流程的可控性和可追溯性。 

内容:根据各个管理流程和文件对管理过程的记录要求,设计记录表格格式 

包括: 

① 搜集原有管理记录; 

② 优化记录或重新设计; 

③ 沟通记录的形式和管理记录填写的必要性,保证信息安全管理体系的可控性与记录保持的数量之间的平衡。

上一篇: 知道这些信息安全认证将不在困难(一)
下一篇: 暂无

最新资讯