最新ISO27001信息安全体系培训(条款4-8ISMS)..doc

《最新ISO27001信息安全体系培训(条款4-8ISMS)..doc》由会员分享，可在线阅读，更多相关《最新ISO27001信息安全体系培训(条款4-8ISMS)..doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateISO27001信息安全体系培训(条款4-8ISMS).ISO27001信息安全体系培训(条款4-8ISMS).ISO 27001信息安全体系培训 (条款 48 ISMS ISO27001培训系列 V1.0 内容信息安全管理体系(条款 4 管理职责(条款 5ISMS 内部审核(条款 6 ISMS 管理评审(条款 7 ISMS 改进(条款 8风险评估和处理 条款 4 4

2、.1总要求组织应根据整体业务活动和风险,建立、实施、运 行、监视、评审、保持并改进文件化的信息安全管 理体系。本标准应用了图 1所示的 PDCA 模式。 4.2建立并管理 ISMS4.2.1建立 ISMSa 根据组织业务特征、组织、地理位置、资产、技术以及 任何删减的细节和合理性来确定 ISMS 范围b 根据组织业务特征、组织、地理位置、资产和技术确定 ISMS 方针c 确定组织的 风险评估方法d 识别 风险e 分析并评价 风险f 识别和评价风险 处理的选择g 选择风险处理的 控制目标和控制方式 4.2.2实施和运行ISMSa阐明风险处理计划,它为信息安全风险管理指出了适当的管理措施、职责和优

3、先级;b实施风险处理计划以达到确定的控制目标,应考虑资金需求以及角色和职责分配;c选择的控制以达到控制目标;d确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;e实施培训和意识方案(见5.2.2;f管理ISMS的运行;g管理ISMS资源(见5.2;h实施程序及其它控制以及时检测、响应安全事故(见4.2.3。4.2.3监视和评审ISMSa执行监视和评审程序和其它控制措施b定期评审ISMS的有效性(包括安全方针和目标的实现情况,安全控制评审,考虑安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈;c测量控制措施的有效性,以

4、证实安全要求已得到满足;d按照计划的时间间隔,评估风险评估,并评估残余风险的等级和已识别的接受风险,e按计划的时间间隔进行ISMS内部审核(见条款6;f定期进行ISMS管理评审(至少一年一次,确保范围仍然充分,并识别ISMS过程改进的机会(见7.1;g更新安全计划,考虑监视和评审活动的发现;h记录可能影响ISMS有效性或业绩的措施和事件(见4.3.3。4.2.4保持和改进ISMSa实施ISMS已识别的改进;b按照8.2和8.3的要求采取适当的纠正和预防措施。总结从其它组织或组织自身的安全经验得到的教训;c与所有相关方沟通措施和改进。沟通的详细程度应与环境相适宜,必要是,应约定如何进行;d确保改

5、进活动达到了预期的目的。4.3.1总则文件应包括管理决策的记录,以确保措施可以追溯到管理决策和方针。记录的结果应该是可复制的。重要的是要能够展示从选择的控制措施回溯到风险评估和风险处置过程结果的关系,最终回溯到ISMS 方针和目标。ISMS 文件应包括:a 形成文件的ISMS 方针(见4.2.1b和控制目标;b ISMS 范围(见4.2.1a;c ISMS 的支持性程序和控制;d 风险评估方法的描述(见4.2.1a;e 风险评估报告(见4.2.1c到4.2.1g;f 风险处置计划(见4.2.2b;g 组织为确保其信息安全过程的有效策划、运行和控制以及规定如何规定如何测量控制措施有效性所需的程序

6、文件(见4.2.3 c;h 本标准所要求的记录(见4.3.3。i 适用性声明。4.3.2文件控制ISMS所要求的文件应予以保护和控制。应编制形成文件的程序,以规定以下方面所需的管理措施:a 文件发布前得到批准,以确保文件是充分的;b 必要时,对文件进行评审与更新并再次批准;c 确保文件的更改和现行修订状态得到识别;d 确保在使用处可获得适用文件的相关版本;e 确保文件保持合法,易于识别;f 确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;g 确保外来文件得到识别;h 确保文件的分发是受控的;i 防止作废文件的非预期使用;j 若因任何原因而保留作废文件时,对这些

7、文件进行适当的标识。4.3文件要求4.3.3记录控制应建立并保持记录,以提供符合要求和ISMS有效运行的证据。应保护并控制记录。ISMS应考虑相关的法律要求和合同责任。记录应保持合法,易于识别和检索。应编制形成文件的程序,以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。保持4.2列出的过程业绩的记录以及与ISMS有关的重大安全事件的记录举例:记录包括访问者登记表、审核记录和完成的访问授权表。条款5 管理职责5.1管理承诺管理层应通过以下措施对其建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据:a 建立信息安全方针;b 确保信息安全目标和计划的建立;c 为信息安全分配

8、角色和职责;d 向组织传达实现信息安全目标、符合信息安全策略、法律责任的重要性以及持续改进的需要;e 提供足够的资源,以建立、实施、运行监视、保持和改进ISMS(见5.2.1;f 决定接受风险的准则和可接受的风险等级;g 确保ISMS内部审核的实施(见条款6h 进行ISMS管理评审(见条款7。5.2.1资源提供组织应确定并提供以下方面所需的资源:a 建立、实施、运行、监视、评审、保持和改进ISMS;b 确保信息安全程序支持业务要求;c 识别并指出法律法规要求和合同安全责任;d 通过正确应用所实施的所有控制来保持足够的安全;e 需要时进行评审,并对评审的结果采取适当措施;f 必要时,改进ISMS

9、的有效性。5.2.2培训、意识和能力组织应确保在ISMS中承担责任的人员应能够胜任要求的任务:a 确定从事影响信息安全工作的人员所必需的能力;b 提供培训或采取其他的措施(如雇佣有能力的人员来满足这些需求;c 评价所采取措施的有效性;d 保持教育、培训、技能、经验和资质的记录(见4.3.3。组织应确保所有相关人员认识到,他们的信息安全活动的相关性和重要性,以及他们如何为实现ISMS目标作出贡献。条款6 ISMS内部审核条款6 ISMS内部审核组织应按策划的时间间隔进行ISMS内部审核,以确定组织ISMS的控制目标、控制措施、过程和程序是否:a 符合本标准及相关法律法规的要求;b 符合已识别的信

10、息安全要求;c 得到有效地实施和保持;d 按期望运行。应策划审核方案,考虑受审核过程和区域的状况及重要性,以及上次审核的结果。应规定审核准则、范围、频次和方法。审核员的选择和审核的实施应保证审核过程的客观和公正。审核员不能审核自己的工作。应建立形成文件的程序,以规定策划和实施审核、报告结果和保持记录(见4.3.3的职责和要求。受审核区域的负责人应确保立即采取措施以消除发现的不符合及其原因。跟踪活动应包括所采取措施的验证以及验证结果的报告(见条款8。条款7 ISMS管理评审7.1总则管理者应按策划的时间间隔(至少一年一次评审组织的ISMS,以确保其持续的适宜性、充分性和有效性。评审应包括评价IS

11、MS改进的机会和变更的需要,包括安全方针和安全目标。评审结果应清楚地写入文件,并保持记录(见4.3.3。7.2评审输入管理评审的输入应包括:a ISMS审核和评审的结果;b 相关方的反馈;c 组织用于改进ISMS业绩和有效性的技术、产品或程序;d 纠正和预防措施的实施情况;e 上次风险评估未充分指出的脆弱性或威胁;f 有效性测量的结果;g 上次管理评审所采取措施的跟踪验证;h 任何可能影响ISMS的变更;i 改进的建议。7.3评审输出管理评审的输出应包括与以下方面有关的任何决定和措施:a ISMS有效性 的改进;b 更新 风险评估和风险处置 计划;b 必要时,修订影响信息安全的程序和控制措施,

12、以反映可能影响 ISMS 的内外事件,包括以下方面的变化:1 业务要求;2 安全要求;3 影响现有业务要求的业务过程;4 法律法规要求;5 合同责任;6 风险等级和 /或风险接受准则。c 资源需求;d 改进测量控制措施有效性的方式。 条款 8 8.1持续改进组织应通过应用信息安全策略、安全目标、审核结果、 监视事件的分析、纠正预防措施和管理评审(见条款 7 持续改进 ISMS 的有效性。 8.2纠正措施组织应采取措施,消除与 ISMS 要求不符合的原因,以防 止再发生。纠正措施文件程序应规定以下方面的要求:a 识别不符合;b 确定不符合的原因;c 评价确保不符合不再发生所需的措施;d 确定和实

13、施所需的纠正措施;e 记录所采取措施的结果(见 4.3.3;f 评审所采取的纠正措施。 8.3预防措施组织应采取措施,以消除与 ISMS 要求不潜在不符合的原因,以 防止发生。所采取的预防措施应与潜在问题的影响相适宜。预防 措施文件程序应规定以下方面的要求:a 识别潜在不符合及其原因;b 评价预防不符合发生所需的措施;c 确定并实施所需的预防措施;d 记录所采取措施的结果(见 4.3.3;e 评审所采取的预防措施。组织应识别发生变化的风险,并通过关注变化显著的风险来识别 预防措施要求。应根据风险评估结果来确定预防措施的优先级。 风险评估和处理注:可参考GB-T20984-2007信息安全风险评

14、估规范 风险评估应对照风险接受准则和组织相关目标,识别、量化并区分风险的优先次序。风险评估的结果应指导并确定适当的管理措施及其优先级,以管理信息安全风险和实施为防范这些风险而选择的控制措施。风险评估应包括估计风险大小的系统方法(风险分析,和将估计的风险与给定的风险准则加以比较,以确定风险严重性的过程(风险评价。风险评估还应定期进行,以应对安全要求和风险情形的变化,例如资产、威胁、脆弱性、影响,风险评价;当发生重大变化时也应进行风险评估。风险评估应使用一种能够产生可比较和可再现结果的系统化的方式。为使信息安全风险评估有效,它应有一个清晰定义的范围。风险评估的范围既可以是整个组织、组织的一部分、单

15、个信息系统、特定的系统部件,也可以是服务。 在考虑风险处理前,组织应确定风险是否能被接受的准则。如果经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受。这些决定应加以记录。对于风险评估所识别的每一个风险,必须作出风险处理决定。可能的风险处理选项包括:a应用适当的控制措施以降低风险;b只要它们满足组织的方针和风险接受准则,则要有意识的、客观的接受该风险;c通过禁止可能导致风险发生的行为来避免风险;d将相关风险转移到其他方,例如,保险或供应商。对风险处理决定中要采用适当的控制措施的那些风险来说,应选择和实施这些控制措施以满足风险评估所识别的要求。控制措施应确保在考虑以下因素的情况下,

16、将风险降低到可接受级别:a国家和国际法律法规的要求和约束;b组织的目标;c运行要求和约束;d降低风险相关的实施和运行的成本,并使之与组织的要求和约束保持相称;e平衡控制措施实施和运行的投资与安全失误可能导致的损害的需要。控制措施可以从本标准或其他控制集合中选择,或者设计新的控制措施以满足组织的特定需求。认识到有些控制措施并不是对每一种信息系统或环境都适用,并且不是对所有组织都可行,这一点非常重要。例如,A10.1.3描述如何分割责任,以防止欺诈或错误。在较小的组织中分割所有责任是不太可能的,实现同一控制目标的其他方法可能是必要的。另外一个例子,A10.10描述如何监视系统使用及如何收集证据。所

17、描述的控制措施,例如事态日志,可能与适用的法律相冲突,诸如顾客或在工作场地内的隐私保护。信息安全控制措施应在系统和项目需求说明书和设计阶段予以考虑。做不到这一点可能导致额外的成本和低效率的解决方案,最坏的情况下可能达不到足够的安全。应该牢记,没有一个控制措施集合能实现绝对的安全,为支持组织的目标,应实施额外的管理措施来监视、评价和改进安全控制措施的效率和有效性。Questions?Mike(董翼枫CTOFugle Information Technology Co., Ltd富国信息技术有限公司Tel:086-519-85116808-803M.T.:13775214266E-mail:dongyffugle.infoMSN:dongyifeng78URl:http:/www.fugle.infoFAX:85116808-808Addr:414, 10th Building (Changzhou national Animation Base, Hi-Tech Park, New Northern District, Changzhou, Jiangsu, China常州市新北区高科技园10号楼国家动画产业基地4层414ZIP:213022ENDThank you!-