- 1、本文档共7页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
4.2.1建立ISMS
组织应:
a)根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性
来确定ISMS范围;
b)根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应:
1)包括建立目标的框架,并建立信息安全活动的总方向和总原则;
2)考虑业务和法律法规要求,以及合同安全义务;
3)根据组织战略性的风险管理框架,建立和保持ISMS;
4)建立风险评价的准则和定义风险评估的结构
5)经过了管理层的批准。
c)确定组织的风险评估方法:
1)识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;
2)开发确定风险接受准则,识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复的结果。
注:存在多种风险评估方法。如,在ISO/IECTR13335-3《IT安全管理指南-IT安全管理技术》中讨
论的风险评估方法。
d)识别风险:
1)识别ISMS范围内的资产及资产所有者;
2)识别资产的威胁;
3)识别可能被威胁利用的脆弱点;
4)识别资产必威体育官网网址性、完整性、可用性损失的影响。
e)分析并评价风险:
1)评估安全失效可能导致的组织业务影响,考虑因资产必威体育官网网址性、完整性、可用性
的损失而导致的后果;
2)根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安
全失效发生的现实可能性;
3)估计风险的等级;
1/7
4)根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f)识别和评价风险处理的选择:
可行的措施包括:
1)实施适当的控制;
2)在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见
4.2.1c)2)];
3)规避风险;
4)将相关业务风险转嫁给他方,如保险公司、供方。
g)选择风险处理的控制目标和控制方式。
应选择并控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求。选择
时,应考虑接受风险的准则(见4.2.1C))以及法律法规和合同要求。
h)管理层批准建议的残留风险;
i)获得管理层对实施和运行ISMS的授权;
j)准备适用性声明
应起草适用性声明,该声明应包括以下方面内容:
1)4.2.1g)中选择的控制目标和控制措施,以及选择的原因;
2)必威体育精装版实施的控制目标和控制措施(见4.2.2e)2))
3)附录A中控制目标和控制措施的删减,以及删减的合理性。
注:适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性,再次确认控制目标没有被
无意识的遗漏。
4.2.2实施和运行ISMS
组织应:
a)阐明风险处理计划,它为信息安全风险管理(见第5章)指出了适当的管理措施、职
责和优先级;
b)实施风险处理计划以达到确定的控制目标,应考虑资金需求以及角色和职责分配;
c)实施4.2.1g)选择的控制以达到控制目标;
d)确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评
估控制的有效性以得出可比较的、可重复的结果;
e)实施培训和意识方案(见5.2.2);
f)管理ISMS的运行;
g)管理ISMS资源(见5.2);
h)实施程序及其它控制以及时检测、响应安全事故(见4.2.3)。
4.2.3监视和评审ISMS
组织应:
a)执行监视和评审程序和其它控制措施:
1)及时检测过程结果中的错误;
2)及时识别失败的或成功的安全违规和事故;
3)使管理层能确定是否将安全活动授权给人,或由信息技术实施的的安全活动是
否按期望的实施;
4)帮助检测安全事件,进而使用指标预防安全事故;
5)确定所采取的措施是否有效解决安全违规。
b)定期评审ISMS的有效性(包括安全方针和目标的实现情况,安全控制评审),考虑
2/7
安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈;
c)测量控制措施的有效性,以证实安全要求已得到满足;
d)按照计划的时间间隔,评估风险评估,并评估残余风险的等级和已识别的接受风险,
考虑以下方面的变化:
1)组织;
2)技术;
3)业务目标和过程;
4)已识别的威胁;
5)已实施的控制措施的有效性;
6)外部事件,如法律法规、合同要求和社会风气的变化。
e)按计划的时间间隔
您可能关注的文档
- 应急疏散预案(精选5篇) .pdf
- 金融硕士MF金融学综合(外汇与汇率)模拟试卷7(题后含答案及解析).pdf
- 公司经营分析报告(通用5篇) .pdf
- 火焰切割机项目风险评估报告 .pdf
- 智慧城市建设方案评估 .pdf
- 2023年高端装备项目评估报告 .pdf
- 考前必备2022年广东省佛山市警察招考公安专业科目真题(含答案).pdf
- 会计记账借贷记账法 .pdf
- 保险产品设计中的产品生命周期管理 .pdf
- 金融业职业存在的挑战及解决方案 .pdf
- 医学研究统计方法综合运用与结果表达03医学论文中常见统计学错误.pptx
- 医学代谢组学技术与研究系列讲座02ROC曲线分析.pptx
- 冰雪舞蹈与数字媒体艺术的结合论文.docx
- 2025年摄影师(初级)职业技能鉴定试卷:摄影作品版权登记与保护.docx
- 2025年事业单位教师招聘政治学科专业知识试卷(政治思想).docx
- 2025年日语能力测试N2级阅读专项试卷:日语阅读与语法巩固.docx
- 2025年西班牙语DELEC9级口语实战试卷:2025年备考策略.docx
- 2025年无损检测员(中级)无损检测行业标准试卷.docx
- 2025年高考文学类文本阅读(小说)复习.pdf
- 2025年医保知识考试题库及答案(医保谈判药品价格谈判)试卷.docx
文档评论(0)