信息安全管理体系建设_第1页
信息安全管理体系建设_第2页
信息安全管理体系建设_第3页
信息安全管理体系建设_第4页
信息安全管理体系建设_第5页
已阅读5页,还剩5页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

-.z.-.z.**市南海天富科技**信息平安管理体系建立咨询效劳工程编写人员:世荣编写日期:2015年12月7日工程缩写:文档版本:V1.0修改记录:-.z.日期编写人员版本备注-.z.时间:2015年12月-.z.-.z.一、信息化建立言随着我国中小企业息化的普及,信化给我国中小企带来积极影响的同时也带来了信息方面的消极影。一方面:信息在中小企业的开展过程中,对节约企业和到达有效管的起到了积极的动作用。另一方面,伴随着全球信息化网络化进程的开展,与此相关的信平安问题也日趋严重由于我国中小企业模小、经济实力以及中小企业领导者缺乏信息平安领域知识和意,导致中小企业信息平安面临着大的风险,我国中小企业信息化进程已步入普及阶段,决我国中小企业信息平安问题已经刻不容缓。通过制定和实施企信息平安管理体能够标准企业员的行为,保证各种技术手段的有效施,从整体上统安排各种软硬件保证信息平安体系协同工作的高效、有和经济性。信息管理体系不仅以在信息平安事故发生后能够及时采取效的措施,防止息平安事故带来大的损失,而更重要的是信息平安管理系能够预防和防止大多数的信息平安事件的发生。信息平安管理就是信息平安风险进展识别、分析、采措施将风险降到可承受水平并维持水平的过程。企的信息平安管理是一劳永逸的,由于新的威胁不断出现信息平安管理是个相对的、动态的过程,企业能做的就是要不断改良自的信息平安状态将信息平安风险制在企业可承受的范围之内,获得企业有条件下和资源力范围内最大程的平安。在信息平安管理领分技术,七分理〞的理念已经被广承受。结合ISO/IEC27001信息平安管理体,提出一个适合国中小企业的信平安管理的模型,用以指导国中小企业的信平安实践并不断高中小企业的平安管理能力。二、ISO27001息平安管体系框架建ISO27001信息平安理体系框架的搭建必按照适当的程序进展〔如下-.z.-.z.图所示先,各个组织应该根据自身状况来搭建适合身业务开展和信息-.z.平安需求的ISO27001信息平安理体系框架,并在正的业务开展过程具-.z.体实施构架的ISO27001信息平安管理体系。时在信息平安管理系的根底上,建立各种与信息平安管理框架相一致相关文档、文件并对其进展严格的管理。对在具体实施ISO27001信息平安管理体过程中出现的各种息平安事件和平安状况进展严的记录,并建立格的反应流程和度。-.z.〔1〕息平安略组织应制定信息平安策略〔InformationSecurityPolicy〕对组织的信息安全提供管理方向与持。组织不仅要一个总体的平安略,而且,在总体策略的框架内,根据险评估的结果,定更加具体的平安方针,明确规定具体的控制规则,如"清桌面和清楚屏幕略〞控制策略〞等。-.z.-.z.〔2〕围组织要根据组织的性、地理位置、产和技术对信息管理体系范围〔scope〕进展界定组织信息平安管体系范围包括以工程:-.z.需保护的信息系统资产、技术。实物场所〔地理位、部门-.z.〔3〕险评估组织需要选择一个合其平安要求的险评估和管理方,然后进展符合标准的评估,识别前面临的风险及险等级;风险评的对象是组织的信息资产,评估考虑的因素包括资产所的威胁、薄弱点及胁发生后对组织影响。无论采用何种险评估工具方法其最终评估结果是一致的。〔4〕险管理组织应根据信息平安策略和所要求的程度,识别所管理的风险内容。控制风险包括识别需的平安措施,过降低、防止、移将风险降至可承受的水平。风险随着程的更改、组织变化、技术的开展及新出现的潜在威胁而变化。〔5〕制目标控制方的选择风险评估之后,组应从已有信息平安技术中选择适当控制方法,包括额外的控制〔组织增加的和法律法所要求的低已识别的风险。〔6〕用性声信息平安适用性声记录了组织内相的风险管制目标针对每种风险所采取的控制措施。的准备,一方面为了向组织内的工声明对信息平安面对风险的态度;另方面也是为了向界说明组织的态和作为。三、ISO27001息平安管体系实施方ISO27001信息平安理体系〔InformationSecurityManagementSystem〕作为组织完整的管体系中的一个重环节,构成了信平安具有能动性的局部,是指导和控制织的关于信息平安风险的相互协调活动,其针对对象就是组织的信息资产了解信息平安管的方法,我们必先明确企业或组织的信息平安需求。一来说,企业的信平安需求主要有个来源,他们分别是-.z.-.z.法律法规与合同约的要求;组织的原、目标和规定;险评估的结果等。信息平安的成败取于两个因素:技和管理,人们常,三分技术,七分管理,可见管理信息平安的重要,我们可以把平安技术比作信息平安的构筑材料,则平安管理则是真正的合剂和催化剂。实世界里,大多数平安事件的发生和平安隐患的存在,与其说是技术上的原,不如说是管理善造成的,理解并重管理对于信息平安的关键作用,对真正实现信息平安目标来说尤其重要。息平安不是产品简单堆积,也不一次性的静态过,它是人员、技术、作这三种要素的结合的系统工,是不断演进、循环开展的动态过程。信息平安管理是指和控制组织的关信息平安风险的互协调的活动。首先应该制定信息的策略方针,是信息平安管理导向和支持,在此根底上选择控制目标控制方式,企业组织还需考虑控本钱与风险平衡的原则,将风险降低到织可承受的水平整个管理过程需全员的参与,实施动态管理。实施平安理,还应遵循管的一般模式——PDCA模型。PDCA模型,即Plan、Do、Check和Act,是种持续改良的管模式,见下列图所示。-.z.措施〔〕——针对检查结果取应对措施,改良平安状况;方案〔〕——根据风评估结果、法律规要求、组织业务运自身需要来确定控制目标控制措施;实施〔〕——实施所选平安控制措施;检查〔Check〕——依据略、程序、标准法律法规,对平安措施的实施-.z.-.z.情况进展符合性检。PDCA模型是一种抽象的模型,把相关的资源和动抽象为过程进展管理,具有广泛通用性。PDCA是顺序依次进展,依靠组织的力推动,周而复始不断循环,持续改良,组织中的每个门和个人,在履相关职责时,都是基于PDCA这个过程的,组织的内部理,就构成了大环套环层层递进的模,每一次循环完毕,要对其进展总结稳固成绩,改良,同时提出新的目标,以便进入下一更高级的循环。ISO27000/ISO27001标准对于信息平安管理体系定义如下列图所示:-.z.ISO27001信息平安理可操作的一般过程相应的活动包括确定组织的信息平安目标和战略开发信息平安策略进展风险评估〔RiskAssessment确组织的信息平安需,具体活动包括:制定风险评估方案明确范围和责任采集相关信息,述目标系统识别并评价信息资,理解资产的价和敏感性;识别并评估威胁,解威胁发生的可性;识别并评价弱点,解弱点被利用的易程度;评估风险,确定风等级;评估并比拟现有的措施〔控制出目标与现状之的差距;-.z.-.z.7)根据已经明确的需求推荐平安措施。4.进展风险消减〔RiskMitigation体活动包括:确定风险消减策略以便减少、躲避转嫁或承受风险选择平安措施〔控制定平安方案,明平安措施的构建实施方案;实施平安方案和策;对平安方案和策略实施结果进展测和检查。5.进展风险控制〔RiskControl体包括:信息系统的维护与作;平安意识、培训与育;对信息系统的运行平安措施的效力监视;事件响应;再评估与认证。配置管理〔ConfigurationManagement保系统发生的变化不会低平安措施的效力和织的整体平安。变更管理〔ChangeManagement信息系统发生化时,识别新的平安需求。应急方案〔ContingencyPlanning括业务连续性方案、灾难复方案等。对应PCDA模型,信息平安目标与略确实定、信息平安略开发以及风险评估属于方案阶〔Plan险消减属于实施段〔Do险控制、配置管理、变更管理、急方案以及平安识培训等活动都以归入到检查〔Check〕和施〔Action〕段。我们所强调信息平安管理模式,由风险驱动的信息平安管模式,是对组织信息平安风险进展控制和指导的相互协调的活动,风险管理其中的核心。四、工程实施原本工程要求以平安询为根底,重点平安规划、平安管理体系细化和-.z.-.z.周期性平安效劳为。在效劳过程中应遵循以下原则标准性原则:方案的设计和实施依据国际标准ISO27001、数敏感、、国及行业相关标准进展;标准性原则:效劳提供商的工作程和所有文档,具有很好的标准,以便于工程的跟踪和控制;可控性原则:在保证工程质量的提下,按方案进执行,保证甲方于工程的可控性。信息平安调研的工、方法和过程要双方认可的范围内合法进展;完整性原则:调研和规划设计的围和内容应完整覆盖信息平安所及的技术和管理等各个层面,并对种完整性进展说或论证,实施对也应完整地覆盖甲方信息系统的各个方;合理性原则:信息平安规划设计须立足于甲方的实情况,设计方应符合逻辑,过程应完备详实,从确保结论是可信的;可操作性原则:在信息平安架构设中,应根据信息要求提出相应解决方案,方案必须具体可行,易实际操作;最小影响原则:调研工作应防止影系统和网络的正运行,不能对现常运行的系统和网络构成破坏和造停产;**性原则:调研的过程和结果严格**,未经方授权,对工程及的任何信息不得泄露给第三方;经济性原则:方案的设计和实施在到达工程要求前提下,具有较的性价比和经济性;-.z.-.z.先进性原则:方案的设计要具备进性和前瞻性,统筹考虑甲方未五年的信息平安开展需求。五、工程阶段及容-.z.效劳工程阶段过程主要任务主要内容ISO27001咨询效劳准备确定ISMS范围业务战略及规划一致性析ISO27001咨询效劳准备确定ISMS范围法规制度符合性分析ISO27001咨询效劳准备确定ISMS范围业务运营影响分析ISO27001咨询效劳准备确定ISMS范围确定ISMS范围ISO27001咨询效劳准备确定信息平安总体方针政策业务及系统初步平安需分析ISO27001咨询效劳准备确定信息平安总体方针政策确定ISMS总体方针政策ISO27001咨询效劳准备定义风险评估与管理方法确定风险评估模型及相指标准则ISO27001咨询效劳准备定义风险评估与管理方法制定风险评估与管理程ISO27001咨询效劳准备工程准备制定实施方案ISO27001咨询效劳准备工程准备组建工程组ISO27001咨询效劳准备工程准备整理开发工具/模板ISO27001咨询效劳准备工程准备工程启动会ISO27001咨询效劳准备工程准备培训ISO27001咨询效劳风险评估现状分析问卷调查ISO27001咨询效劳风险评估现状分析现场访谈ISO27001咨询效劳风险评估现状分析手工检测ISO27001咨询效劳风险评估现状分析平安扫描ISO27001咨询效劳风险评估现状分析渗透测试ISO27001咨询效劳风险评估现状分析综合分析ISO27001咨询效劳风险评估现状分析撰写报告ISO27001咨询效劳风险评估风险评价资产评价ISO27001咨询效劳风险评估风险评价威胁评价ISO27001咨询效劳风险评估风险评价弱点评价ISO27001咨询效劳风险评估风险评价风险评价ISO27001咨询效劳风险评估风险评价撰写风险评估报告ISO27001咨询效劳风险评估风险处置选择风险处置方式ISO27001咨询效劳风险评估风险处置选择平安控制措施ISO27001咨询效劳风险评估风险处置制定风险处置方案ISO27001咨询效劳风险评估风险处置剩余风险分析ISO27001咨询效劳平安体系规划与设计平安体系规划任务或工程分解ISO27001咨询效劳平安体系规划与设计平安体系规划任务或工程实施规划ISO27001咨询效劳平安体系规划与设计平安体系规划撰写规划报

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论