ISMS实施
确定4大核心目标
- 信息安全评估目标: 依据监管要求完善信息安全管理机制,设计信息安全风险评估方法,对现状进行信息安全风险评估;
- 体系建设与认证支持目标:建立信息安全管理体系并通过ISO27001:2013体系认证;
- 信息安全工作规划目标: 结合组织实际情况,制定未来3年的信息安全工作规划;
- 知识转移和团队培养目标: 信息安全意识测评、培训、宣传
实施流程
实施流程:项目启动与现状调研、差距分析与风险评估、体系建设与建设、体系运行及认证支持、知识转移
项目启动与现状调研:资料收集、现场访谈、按需进行问卷调研、信息资产识别与评价
差距分析与风险评估:ISO27000差距分析、网络安全法差距分析、IT流程评估、技术风险评估、信息安全风险组合
体系建设与建设:信息安全组织架构设计、信息安全制度体系设计
体系运行及认证支持:体系运行计划、体系日常检查、内部审核和管理评审、体系有效性测量、外部认证审核
知识转移:专项培训和交流会
风险评估
- ISO27001差距分析
- 网络安全法差距评估
- IT风险管理流程评估
- IT技术评估
- 风险组合评估
注:技术评估分为:
漏洞扫描:主机、系统、中间件、数据库等
渗透测试:自主研发的软件平台
人工检查:检查其他操作系统或其他厂商的配置
体系建设
体系建设->信息安全规划->体系试运行->体系认证->培训
四级制度文档:
- 一级文件:制度;
- 二级文件:规定;
- 三级文件:细则,指引;
- 四级文件:表单、记录。
信息安全规划包括:排定项目优先级所需的信息、项目优先级排序等
总结ISMS建设的流程
组织环境->领导->规划->支持->运行->绩效评价->改进
组织环境:理解组织及其环境、理解相关方需求和期望、确定ISMS范围
领导:领导的承诺、方针、组织的角色、责任和权限
规划:应对风险和机会的接触、确定ISMS的目标及其实现规划
支持:资源、能力、意识、沟通、文件化信息
运行:运行规划和控制、信息安全风险评估、信息安全风险处置
绩效评价:监控、测量、分析和评价、内部审核、管理评审
改进:不符合及纠正措施、持续改进
ISMS控制域
A5 信息安全策略:信息安全策略需要得到组织高层的批准,并清晰地传达给所有员工。
A6信息安全组织:管理框架支持组织的所有信息安全计划。
A7人力资源安全: 员工和承包商应意识到他们在保护组织信息方面的作用。
A8资产管理:各组织需要确定其资产,并确定每项资产所需的适当保护级别。
A9访问控制:应实施访问控制(经常审查权限),所有用户应负责保护其密码。
A10密码学:应该有效地使用密码学来保护机密性,真实性和完整性。
A11物质和环境安全:必须采取适当措施防止未经授权访问本组织的信息。
A12运行安全:组织需要确保其信息处理设施不受恶意软件、数据丢失和技术漏洞利用的影响。
A13通信安全:组织需要维护内部和外部传输的任何信息的安全。
A14系统获取、开发和维护:组织应将信息安全纳入信息系统的开发生命周期,并在整个测试过程中保护数据。
A15供应商关系:资产需要得到保护,同时保持对供应商的可访问性。
A16信息安全事件管理:应始终有效地管理信息安全事件,包括安全弱点进行沟通改进。
A17 业务连续性管理的信息安全方面:本组织的业务连续性安排应考虑到信息安全。
A18合规性:为法律、法规、规章或合同目的保护信息,并符合组织要求。
4226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
