久久综合综合久久97色_欧美午夜一区二区三区_亚洲av最新高清每天更新_中天电影网手机在线视频_人妻无码高清在线播放

嘉冠,一站式企業(yè)認(rèn)證服務(wù)平臺(tái)!
熱門搜索: ISO9001 ISO14001 ISO27001 CMMI

體系認(rèn)證

ISO9001 ISO14001 ISO45001

產(chǎn)品認(rèn)證

熱門認(rèn)證 CCC認(rèn)證 CQC認(rèn)證

資質(zhì)認(rèn)證

ITSS 安防資質(zhì) 涉密資質(zhì)

項(xiàng)目申報(bào)

兩化融合 創(chuàng)新型企業(yè) 知識(shí)產(chǎn)權(quán)

管理培訓(xùn)

五大工具 TPM 質(zhì)量管理

知道這些信息安全認(rèn)證將不在困難(二)

2019-11-11 09:41:24

iso27001認(rèn)證

信息安全認(rèn)證需要注意的方面還有:確定信息安全方針目標(biāo)、建立管理組織機(jī)構(gòu)、信息安全風(fēng)險(xiǎn)評(píng)估、ISMS體系文件編寫、ISMS管理體系記錄的設(shè)計(jì)等,下面和小編一起來(lái)看看吧!

五、確定信息安全方針和目標(biāo) 

目的:明確信息安全方針和目標(biāo),為信息安全管理體系提供導(dǎo)向。 

內(nèi)容:根據(jù)業(yè)務(wù)要求及組織實(shí)際情況,制定安全方針和目標(biāo)。

包括: 

① 與最高管理者進(jìn)行溝通,理解管理意圖和管理要求,確定信息安全管理方針; 

② 根據(jù)方針的要求,制定目標(biāo),并分解到各個(gè)管理活動(dòng)中,形成可測(cè)量的指標(biāo)體系,確保方針和目標(biāo)得以實(shí)現(xiàn); 

六、建立管理組織機(jī)構(gòu) 

目的:建立完善的內(nèi)控組織架構(gòu),為整合體系提供支持。 

內(nèi)容:良好的組織架構(gòu)是確保各項(xiàng)管理活動(dòng)落實(shí)的根本

包括: 

① 建立整合體系管理委員會(huì),就重大信息安全事項(xiàng)進(jìn)行決策; 

② 建立管理協(xié)調(diào)小組,就日常管理活動(dòng)中的信息安全事項(xiàng)進(jìn)行溝通改進(jìn); 

③ 明確管理活動(dòng)中各流程責(zé)任人的職責(zé),并文件化。 

七、信息安全風(fēng)險(xiǎn)評(píng)估 

目的:實(shí)施風(fēng)險(xiǎn)評(píng)估,識(shí)別不可接受風(fēng)險(xiǎn),明確管理目標(biāo); 

內(nèi)容:風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)管理的基礎(chǔ),本階段將根據(jù)前期策劃的風(fēng)險(xiǎn)評(píng)估方法 

包括: 

① 根據(jù)業(yè)務(wù)要求及信息的密級(jí)劃分,對(duì)信息資產(chǎn)的重要程度進(jìn)行判定,識(shí)別對(duì)關(guān)鍵核心業(yè)務(wù)具有關(guān)鍵作用的信息資產(chǎn)清單;對(duì)重要信息資產(chǎn)從內(nèi)部及外部識(shí)別其所面臨的威脅; 

② 根據(jù)威脅,從管理和技術(shù)兩方面識(shí)別重要信息資產(chǎn)所存在的薄弱點(diǎn); 

③ 根據(jù)風(fēng)險(xiǎn)評(píng)估的方法指南,對(duì)威脅利用薄弱點(diǎn)對(duì)重要信息資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)在保密性、完整性、可用性三方面所造成的影響進(jìn)行評(píng)價(jià);評(píng)價(jià)威脅利用薄弱點(diǎn)引發(fā)安全風(fēng)險(xiǎn)事件的可能性; 

④ 根據(jù)風(fēng)險(xiǎn)影響及發(fā)生的可能性評(píng)價(jià)風(fēng)險(xiǎn)等級(jí); 

⑤ 根據(jù)信息安全方針,各核心業(yè)務(wù)流程的安全要求,與管理層進(jìn)行溝通,確定不可接受風(fēng)險(xiǎn)等級(jí)的標(biāo)準(zhǔn); 

⑥ 針對(duì)不可接受的高風(fēng)險(xiǎn),制定風(fēng)險(xiǎn)處理計(jì)劃,從ISO27002及顧問(wèn)的行業(yè)經(jīng)驗(yàn)來(lái)選擇適宜的風(fēng)險(xiǎn)管控措施;實(shí)施所選擇的控制措施,降低、轉(zhuǎn)移或消除安全風(fēng)險(xiǎn); 

⑦ 編寫風(fēng)險(xiǎn)評(píng)估報(bào)告。 

八、ISMS體系文件編寫 

目的:建立文件化的信息安全管理體系。 

內(nèi)容:根據(jù)文件體系策劃的結(jié)果,編寫信息安全管理體系文件, 

包括: 

① 整合信息安全管理體系手冊(cè),明確各管理過(guò)程的順序及相互關(guān)系; 

② 整合信息安全管理體系所要求的程序文件,從體系維護(hù)管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪問(wèn)控制、通信和運(yùn)作管理、業(yè)務(wù)連續(xù)性管理、信息安全事件管理、符合性等方面對(duì)各類管理活動(dòng)及作業(yè)指導(dǎo)進(jìn)行文件化; 

③ 制定各類安全策略,如:電子郵件策略、互聯(lián)網(wǎng)訪問(wèn)策略,訪問(wèn)控制策略等。 

九、ISMS管理體系記錄的設(shè)計(jì) 

目的:設(shè)計(jì)科學(xué)的信息安全管理體系記錄,保證各管理流程的可控性和可追溯性。 

內(nèi)容:根據(jù)各個(gè)管理流程和文件對(duì)管理過(guò)程的記錄要求,設(shè)計(jì)記錄表格格式 

包括: 

① 搜集原有管理記錄; 

② 優(yōu)化記錄或重新設(shè)計(jì); 

③ 溝通記錄的形式和管理記錄填寫的必要性,保證信息安全管理體系的可控性與記錄保持的數(shù)量之間的平衡。

上一篇: 知道這些信息安全認(rèn)證將不在困難(一)
下一篇: ISO9001糾正和糾正措施的區(qū)別

最新資訊

在線客服 客服軟件
在線客服系統(tǒng)