网站大量收购独家精品文档,联系QQ:2885784924

ISMS总体要求 _原创文档.pdf

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

4.2.1建立ISMS

组织应:

a)根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性

来确定ISMS范围;

b)根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应:

1)包括建立目标的框架,并建立信息安全活动的总方向和总原则;

2)考虑业务和法律法规要求,以及合同安全义务;

3)根据组织战略性的风险管理框架,建立和保持ISMS;

4)建立风险评价的准则和定义风险评估的结构

5)经过了管理层的批准。

c)确定组织的风险评估方法:

1)识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;

2)开发确定风险接受准则,识别风险的可接受等级[见5.1f]。

风险评估方法的选择应确保可以产生可比较的、可重复的结果。

注:存在多种风险评估方法。如,在ISO/IECTR13335-3《IT安全管理指南-IT安全管理技术》中讨

论的风险评估方法。

d)识别风险:

1)识别ISMS范围内的资产及资产所有者;

2)识别资产的威胁;

3)识别可能被威胁利用的脆弱点;

4)识别资产必威体育官网网址性、完整性、可用性损失的影响。

e)分析并评价风险:

1)评估安全失效可能导致的组织业务影响,考虑因资产必威体育官网网址性、完整性、可用性

的损失而导致的后果;

2)根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安

全失效发生的现实可能性;

3)估计风险的等级;

1/7

4)根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。

f)识别和评价风险处理的选择:

可行的措施包括:

1)实施适当的控制;

2)在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见

4.2.1c)2)];

3)规避风险;

4)将相关业务风险转嫁给他方,如保险公司、供方。

g)选择风险处理的控制目标和控制方式。

应选择并控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求。选择

时,应考虑接受风险的准则(见4.2.1C))以及法律法规和合同要求。

h)管理层批准建议的残留风险;

i)获得管理层对实施和运行ISMS的授权;

j)准备适用性声明

应起草适用性声明,该声明应包括以下方面内容:

1)4.2.1g)中选择的控制目标和控制措施,以及选择的原因;

2)必威体育精装版实施的控制目标和控制措施(见4.2.2e)2))

3)附录A中控制目标和控制措施的删减,以及删减的合理性。

注:适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性,再次确认控制目标没有被

无意识的遗漏。

4.2.2实施和运行ISMS

组织应:

a)阐明风险处理计划,它为信息安全风险管理(见第5章)指出了适当的管理措施、职

责和优先级;

b)实施风险处理计划以达到确定的控制目标,应考虑资金需求以及角色和职责分配;

c)实施4.2.1g)选择的控制以达到控制目标;

d)确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评

估控制的有效性以得出可比较的、可重复的结果;

e)实施培训和意识方案(见5.2.2);

f)管理ISMS的运行;

g)管理ISMS资源(见5.2);

h)实施程序及其它控制以及时检测、响应安全事故(见4.2.3)。

4.2.3监视和评审ISMS

组织应:

a)执行监视和评审程序和其它控制措施:

1)及时检测过程结果中的错误;

2)及时识别失败的或成功的安全违规和事故;

3)使管理层能确定是否将安全活动授权给人,或由信息技术实施的的安全活动是

否按期望的实施;

4)帮助检测安全事件,进而使用指标预防安全事故;

5)确定所采取的措施是否有效解决安全违规。

b)定期评审ISMS的有效性(包括安全方针和目标的实现情况,安全控制评审),考虑

2/7

安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈;

c)测量控制措施的有效性,以证实安全要求已得到满足;

d)按照计划的时间间隔,评估风险评估,并评估残余风险的等级和已识别的接受风险,

考虑以下方面的变化:

1)组织;

2)技术;

3)业务目标和过程;

4)已识别的威胁;

5)已实施的控制措施的有效性;

6)外部事件,如法律法规、合同要求和社会风气的变化。

e)按计划的时间间隔

文档评论(0)

zhangyingqing888 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档