劃階段,組織應(yīng):
定義ISMS的范圍和方針;
定義風(fēng)險評估的系統(tǒng)性方法;
識別風(fēng)險;
應(yīng)用組織確定的系統(tǒng)性方法評估風(fēng)險;
識別并評估可選的風(fēng)險處理方式;
選擇控制目標(biāo)與控制方式;
當(dāng)決定接受剩余風(fēng)險時應(yīng)獲得管理者同意,并獲得管理者授權(quán)開始運行 信息安全管理體系。
實施階段,組織應(yīng)該實施選擇的控制,包括:
實施特定的管理程序;
實施所選擇的控制;
運作管理;
實施能夠促進安全事件檢測和響應(yīng)的程序和其他控制。
檢查階段,組織應(yīng):
執(zhí)行程序,檢測錯誤和違背方針的行為 ;
定期評審ISMS的有效性;
評審剩余風(fēng)險和可接受風(fēng)險的等級;
執(zhí)行管理程序以確定規(guī)定的安全程序是否適當(dāng),是否符合標(biāo)準(zhǔn),以及是 否按照預(yù)期的目的進行工作;
定期對ISMS進行正式評審,以確保范 圍保持充分性,以及ISMS過程的持續(xù)改進得到識別并實施;
記錄并 報告所有活動和事件。
改進措施階段,組織應(yīng):
測量ISMS績效;
識別ISMS的改進措施,并有效實施;
采取適當(dāng)?shù)募m正和預(yù)防措施;
與涉及到的所有相關(guān)方磋商、溝通結(jié)果及其措施;
必要時修改ISMS,確保修改達到既定的目標(biāo)。
ISMS:ISMS(Information Security Management System)是信息安全管理體系。ISO/IEC17799:2000它是繼ISO9000、ISO14000和OHSAS18000之后,又產(chǎn)生的一個管理體系標(biāo)準(zhǔn)— 信息安全管理體系標(biāo)準(zhǔn)。
信息安全就是組織應(yīng)明確需要保護的信息資源,確保信息的機密性、完整性和 可用性,并保持良好的協(xié)調(diào)狀態(tài)。信息安全對企業(yè)經(jīng)營非常重要,為了防止信息安全事故或事件的發(fā)生,盡管在技術(shù)方面采取了防火 墻和入侵監(jiān)測系統(tǒng),但是人為因素造成的信息機密流失仍然占有很高的比率(據(jù)說約70%)。因此,建立信息安全管理體系十分必要。
為了建立、實施和保持信息安全管理體系,首先應(yīng)策劃信息安全管理體系的方針和目標(biāo),識別、分類和 清理信息資源,根據(jù)其危險程度、薄弱環(huán)節(jié)和發(fā)生頻次,實施風(fēng)險控制,包括回避、轉(zhuǎn)移、控制和消除風(fēng)險。按PDCA循環(huán)模式,建立 信息安全管理體系。建立信息安全管理體系共有8個階段。包括確定ISMS適用范圍、策劃ISMS方針目標(biāo)、策劃風(fēng)險控制的過程、識別和 評估風(fēng)險、對風(fēng)險控制現(xiàn)狀分析、選擇和制訂管理方案、識別存在的遺留風(fēng)險和正式實施ISMS。
用于 ISMS認(rèn)證的標(biāo)準(zhǔn)有ISO/IEC17799:2000和BS7799-2:1999。據(jù)說,到 |
 |
|
手機站
您當(dāng)前位置是:產(chǎn)品大全 >> 商務(wù)服務(wù) >>
認(rèn)證服務(wù)
免責(zé)聲明:以上所展示的信息由會員自行提供,內(nèi)容的真實性、準(zhǔn)確性和合法性由發(fā)布會員負(fù)責(zé),www.qy6.com對此不承擔(dān)任何責(zé)任。如有侵犯您的權(quán)益,請來信通知刪除。
聯(lián)系信息