ISMS信息安全管理体系建立方法4273.docx

《ISMS信息安全管理体系建立方法4273.docx》由会员分享，可在线阅读，更多相关《ISMS信息安全管理体系建立方法4273.docx（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国30000万万经理人人首选培培训网站站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 信信息安全全管理体体系建立立方法 以BSS77999的管管理思想想介绍通通用安全全管理体体系建立立的方法法信息息安全管管理包括括诸多方方面如如风险管管理、工程管理理、业务务连续性性管理等等每项项管理的的要点均均有不同同。后续续将详细细介绍不不同部分分的管理理。 11 信息息安全管管理体系系概述1.1 什么是是信息安安全管理理体系 信信息安全全管理体体系即即Infformmatiion Seccuriity Mannageemennt SSysttem(简称IISMSS)是是组织在在整体或或特

2、定范围内建建立的信信息安全全方针和和目标以及完完成这些些目标所所用的方方法和体体系。它它是直接接管理活活动的结结果表示为方方针、原原则、目目标、方方法、计计划、活活动、程程序、过过程和资资源的集集合。BS777992是建建立和维维持信息息安全管管理体系系的标准准标准准要求组组织通过过确定信信息安全全管理体体系范围围制定信息息安全方方针明明确管理理职责以风险险评估为为基础选选择控制制目标与与控制措措施等一一系列活活动来建建立信息安全管管理体系系体系系一旦建建立组组织应按按体系的的规定要要求进行行运作保持体体系运行行的有效效性信信息安全管理体体系应形形成一定定的文件件即组组织应建建立并保保持一个个

3、文件化化的信息息安全管管理体系系其中中应阐述述被保护的资产产、组织织风险管管理方法法、控制制目标与与控制措措施、信信息资产产需要保保护的程程度等内内容。1. ISMSS的范围围ISMSS的范围围可以根根据整个个组织或或者组织织的一部部分进行行定义包括相相关资产产、系统统、应用用、服务务、网络和用于于过程中中的技术术、存储储以及通通信的信信息等ISMMS的范范围可以以包括组织所所有的信息系统组织的的部分信息系统特定的的信息系统。此外为为了保证证不同的的业务利利益组组织需要要为业务务的不同同方面定定义不同同的ISSMS。例例如可可以为组组织和其他公公司之间间特定的的贸易关关系定义义ISMMS也也可

4、以为为组织结结构定义义ISMMS不不同的情情境可以以由一个个或者多个ISSMS表表述。2. 组织内部部成功实实施信息息安全管管理的关关键因素素反映业业务目标的安全方针、目标和活动与组织织文化一致的实施安全的方法来自管管理层的有形支持与承诺对安全全要求、风险评估和风险管理的良好理解向所有有管理者及雇员推行安全意思向所有有雇员和承包商分发有关信息安全方针和准则的导则提供适适当的培训与教育用于评评价信息安全管理绩效及反馈改进建议并有利于综合平衡的测量系统。3. 建立ISSMS的的步骤不同的组组织在建建立与完完善信息息安全管管理体系系时可可根据自自己的特特点和具具体的情情况采采取不同同的步骤骤和方法。

5、但但总体来来说建建立信息息安全管管理体系系一般要要经过下下列四个个基本步步骤a) 信息安全全管理体体系的策策划与准准备 wwww.doocinn.coom 中国国30000万经经理人首首选培训训网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 b) 信息息安全体体系文件件的编制制c) 信信息安全全管理体体系的运运行d) 信信息安全全管理体体系的审审核与评评审。 1.22 信息息安全管管理体系系的作用用 1. ISSMS的的特点信息安全全管理管管理体系系是一个个系统化化、程序序化和文文件化的的管理体体系。该该体系具具有以下下特点体系的的建立基于系统、全面、科学的安全风险评估体现以

6、预防控制为主的思想强调遵守国家有关信信息安全全的法律律法规及及其他合合同方要要求强调全全过程和动态控制本着控制费用与风险平衡的原则合理选择安全控制方式强调保保护组织所拥有的关键性信息资产而不是全部信息资产确保信息的机密性、完整性和可用性保持组组织的竞竞争优势势和商务务运作的的持续性性。2. 实实施ISSMS的的作用组织建立立、实施施与保持持信息安安全管理理体系将将会产生生如下作作用强化员员工的信息安全意识规范组织信息安全行为对组织织的关键信息资产进行全面体统的保护维持竞争优势在信息息系统受到侵袭时确保业务持续开展并将损失降到最低程度使组织织的生意伙伴和客户对组织充满信心如果通通过体系认证表明体

7、系符合标准证明组织有能力保证重要信息提高组织的知名度与信任度促使管管理层贯彻信息安全保障体系组织可可以参照信息安全管理模型按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体体系并实实施与保保持达达到动态态的、系系统的、全全员参与与、制度度化的、以以预防为为主的信信息安全全管理方式式用最最低的成成本达达到可接接受的信信息安全全水平从根本本上保证证业务的的连续性性。 11.3 信息安安全管理理体系的的准备 为在组组织中顺顺利建设设信息安安全管理理体系需要建建立有效效信息安安全机构构对组组织中的的各类人人员分配配角色、明确权限限、落实实责任并并予以沟沟通。1 成成立信息息安全委委员会

8、信息安全全委员会会由组织织的最高高管理层层与信息息安全管管理有关关的部门门负责人人、管理理人员、技技术人员员组成定期召开开会议就以下下重要信信息安全全议题进进行讨论论并做出出决策为组织织信息安安全管理理提供导导向与支支持。评审和和审批信息安全方针分配信信息安全管理职责确认风风险评估的结果对与信信息安全管理有关的重大事项如组织机构调整、关键人事变动、信息安全设施购置等评审与与监督信息安全事故审批与与信息安全管理有关的其他重要事项。2 任任命信息息安全管管理经理理组织最高高管理者者在管理理层中指指定一名名信息安安全管理理经理分管组组织的信信息安全全管理事事宜具具体由以以下责任确定信信息安全管理标准

9、建立、实施和维护信息安全管理体系负责组组织的信息安全方针与安全策略的贯彻与落实中国3000万经理人首选培训网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 向最高高管理者者提交信信息安全全管理体体系绩效效报告以供评评审并并为改进进信息安安全管理理体系提提供证据就信息息安全管理的有关问题与外部各方面进行联络。3 组组建信息息安全管管理推进进小组在信息安安全委员员会的批批准下由信息息安全管管理经理理组建信信息安全全管理推推进小组组并对对其进行行管理。小小组成员要要懂信息息安全技技术知识识有一一定的信信息安全全管理技技能并并且有较较强的分分析能力力及文字字能力小组成员一般般是企业业各

10、部门门的骨干干人员。4 保保证有关关人员的的作用、职职责和权权限得到到有效沟沟通用适当的的方式如通过过培训、制制定文件件等方式式让每每位员工工明白自自己的作作用、职职责与权权限以以及与其其他部分的的关系以保证证全体员员工各司司其职相互配配合有有效地开开展活动动为信信息安全全管理体体系的建建立做出贡献。5 组组织机构构的设立立原则合适的的控制范围一般情况况下一一个经理理直接控控制的下下属管理理人员不不少于66人但但不应超超过100人。在在作业复复杂的部部门或车间一个组组长对115人保保持控制制。在作作业简单单的部门门或车间间一个个组长能能控制550个人人或更多多的人。合适的的管理层次公司负责责人

11、与基基层管理理部门之之间的管管理层数数应保护护最少程程度最最影响利利润的部部门经理理应该直直接向公司负责责人报告告。一个上上级的原则责、权权、利一致的原则既无重重叠又无空白的原则执行部部门与监督部门分离的原则信息安安全部门有一定的独立性不应成为生产部门的下属单位。6 信信息安全全管理体体系组织织结构建建立及职职责划分分的注意意事项如果现现有的组织结构合理则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的的组织结结构不合合理则则按上面面5中所述述规则对对组织结结构进行行调整。应将组组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。应将部部门内岗位设置及

12、各岗位的职责、权限和相互关系以文件的形式加以规定。日常的的信息安全监督检查工作应有专门的部门负责对于大大型企业来说可以设置专门的安全部可以把信息安全和职业健康与安全的职能划归此部门安安全部设设立首席席安全执执行官首席安安全执行行官直接接向组织织最高管管理层负负责有有的也向向首席信信息官负责责。美美国“9911”恐恐怖袭击击事件以以后在在美国的的一些大大型企业业这种种安全机机构的设设置方式式逐渐流行行它强强调对各各种风险险的综合合管理和和对威胁胁的快速速反应。对于小小型企业来说可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。中国3000万经理人首选培训网站更多免费费资料下下载请进进

13、htttp:/m 好好学学习社区区 IISO2270001信息息安全管管理标准准理解及及内审员员培训培训热线线07755-2599362263、22593362664 李李小姐 客服服QQ1488409934445、667599783375ISO2270001信息息安全管管理标准准理解及及内审员员培训 下载报报名表 内内训调查查表【课程描描述】ISO/IECC270001:20005信息息技术安安全管理理体系要要求用于于组织的的信息安安全管理理体系的的建立和和实施保障组组织的信信息安全全。本课程将将详述IISO 270001:20005/IISO 270002:20005标准准的每一一个要求求

14、指导导如何管管理信息息安全风风险并并附以大大量的审审核实战战案例以作作说明。内内部审核核部分将将以ISSO 1190111:220022为基础础教授授学员如如何策划划和实施施信息安安全管理理体系内内部审核核活动。掌掌握该体系系的具体体执行程程序和标标准并并了解对对该体系系进行检检查和审审核的方方法以及及制作审审核报告告的技巧巧。【课程帮帮助】如果你想想对本课课程有更更深入的的了解请参考考 德德信诚IISO2270001内审审员相关关资料手手册【课程对对象】信息安全全管理人人员欲欲将ISSO2770011导入组组织的人人员在在ISOO270001实实施过程程中承担担内部审审核工作作的人员员有志志

15、于从事事IT信息安全全管理工工作的人人员。【课程大大纲】第一部分分ISSO277001120055信息安安全概述述、标准准条款讲讲解 信息息安全概概述信信息及信信息安全全CIIA目标标信息息安全需需求来源源信息息安全管管理。 风险险评估与与管理风险管管理要素素过程程定量量与定性性风险评评估方法法风险险消减。 ISSO/IIEC 270001简简介IISO2270001标准准发展历历史、现现状和主主要内容容ISSO2770011标准认认证。 信息息安全管管理实施施细则从十个个方面介介绍ISSO2770011的各项项控制目目标和控控制措施施。 信息息安全管管理体系系规范ISOO/IEEC27700

16、11-20005标标准要求求内容PDCCA管理理模型ISMMS建设设方法和和过程。第二部分分ISSO277001120005信信息安全全管理体体系文件件建立ISOO270001与与ISOO90001、IISO1140001管理理体系如如何整合合 ISSO2770011与ISSO90001、IISO1140001的异异同 ISSO2770011与ISSO90001、IISO1140001可以以共用的的程序文文件和三三级文件件 如何何将三体体系整合合降低公公司的体体系运行行成本 ISSO90001、IISO1140001、IISO2270001体系系三合一一整合案案例分析析第三部分分信息息安全管管

17、理体系系内部审审核技巧巧和认证证应对案案例分析析 ISSO277001120005标标准对内内审员的的新要求求 信息息安全管管理体系系认证现现场审核核的流程程、技巧巧及沟通通方法 如何何应对认认证公司司的认证证审核、监监督审核核、案例例分析 考试试 考考试合格格者颁发发“ISSO2770000信息安安全管理理体系内内部审核核员培训训合格证证书” wwww.ddociin.ccom 中中国30000万万经理人人首选培培训网站站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 22 建立立信息安安全管理理体系原原则2.1 PDCCA原则则 PDDCA循循环的概概念最早早是由美美国质量量

18、管理专专家戴明明提出来来的所所以又称称为“戴戴明环”。在在质量管管理中应用广泛泛PDDCA代代表的含含义如下下P(Pllan)计划划确定定方针和和目标确定活活动计划划D(Doo)实实施实实际去做做实现现计划中中的内容容C(Chheckk)检检查总总结执行行计划的的结果注意效效果找找出问题题A(Acctioon)行动对总结结检查的的结果进进行处理理成功功的经验验加以肯肯定并适适当推广广、标准准化失失败的教训加以以总结以免重重现未未解决的的问题放放到下一一个PDDCA循循环。PDCAA循环的的四个阶阶段具体体内容如如下(1) 计划阶阶段制制定具体体工作计计划提提出总的的目标。具具体来讲讲又分为为以

19、下44个步骤骤。分析目前前现状找出存存在的问问题分析产生生问题的的各种原原因以及及影响因因素分析并找找出管理理中的主主要问题题制定管理理计划确定管管理要点点。根据管理理体制中中出现的的主要问问题制制定管理理的措施施、方案案明确确管理的的重点。制制定管理理方案时时要注意整体的的详尽性性、多选选性、全全面性。(2) 实施阶阶段就就是指按按照制定定的方案案去执行行。在管理工工作中全全面执行行制定的的方案。制制定的管管理方案案在管理理工作中中执行的的情况直接影影响全过过程。所以在实实施阶段段要坚持持按照制制定的方方案去执执行。(3) 检查阶阶段即即检查实实施计划划的结果果。检查工作作这一阶阶段是比比较

20、重要要的一个个阶段它是对对实施方方案是否否合理是否可可行有何何不妥的的检查。是为下一一个阶段段工作提提供条件件是检检验上一一阶段工工作好坏坏的检验验期。(4) 处理阶阶段根根据调查查效果进进行处理理。对已解决决的问题题加以以标准化化即把把已成功功的可行行的条文文进行标标准化将这些些纳入制制度、规规定中防止以后后再发生生类似问问题找出尚未未解决的的问题转入下下一个循循环中去去以便便解决。PDCAA循环实实际上是是有效进进行任何何一项工工作的合合乎逻辑辑的工作作程序。在在质量管管理中PDCCA循环环得到了广泛的的应用并取得得了很好好的效果果有人人也称其其为质量量管理的的基本方方法。之之所以叫叫PD

21、CCA循环环是因因为这四个个过程不不是运行行一次就就完结而是周周而复始始地进行行其特特点是“大大环套小小环一一环扣一一环小小环保大环推动大大循环”每个循循环系统统包括PPDCAA四个阶阶段曾螺螺旋式上上升和发发展每每循环一一次要求求提高一一步。建立和管管理一个个信息安安全管理理体系需需要象其其他任何何管理体体系一样样的方法法。这里里描述的的过程模模型遵循循一个连续续的活动动循环计划、实实施、检检查、和和处置。之之所以可可以描述述为一个个有效的的循环因因为它的的目的是是为了保证证您的组组织的最最好实践践文件化化、加强强并随时时间改进进。信息息安全管管理体系系的PDDCA过过程如下下图122- 1

22、所示。 wwww.doocinn.coom 中国国30000万经经理人首首选培训训网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区图12-1 PPDCAA模型与与信息安安全管理理体系过过程ISMSS的PDDCA具具有以下下内容1. 计划和实实施一个持续续提高的的过程通通常要求求最初的的投资文件化化实践将风险险管理的的过程正正式化确定评评审的方方法和配置置资源。这这些活动动通常作作为循环环的开始始。这个个阶段在在评审阶阶段开始始实施时时结束。计计划阶段段用来保保证为信息息安全管管理体系系建立的的内容和和范围正正确地建建立评评估信息息安全风风险和建建立适当当地处理理这些风风险的计划

23、。实实施阶段段用来实实施在计计划阶段段确定的的决定和和解决方方案。2. 检查与行行动检查和处处置评审审阶段用用来加强强、修改改和改进进已识别别和实施施的安全全方案。评评审可以以在任何何时间、以以任何频率实实施取取决于怎怎样做适适合于考考虑的具具体情况况。在一一些体系系中他们们可能需需要建立立在计算算机化的的过程中以运行行和立即即回应。其其他过程程可能只只需在有有信息安安全事故故时、被被保护的的信息资资产变化化时或需需要增加加时、威胁和脆脆弱性变变化时需需要回应应。最后后需要要每一年年或其他他周期性性评审或或审核以以保证整整个管理理体系达达成其目标。3. 控制措施施总结(Summmarry oo

24、f CConttrolls)组织可能能发现制制作一份份相关和和应用于于组织的的信息安安全管理理体系的的控制措措施总结结SooC的的好处。提提供一份控制制措施小小结可以以使处理理业务关关系变得得容易如如供电外外包等。SSoC可可能包含含敏感的的信息因此当当SoCC在外部和和内部同同时应用用时应应考虑他他们对于于接收者者是否合合适。 2.22 文件件化 信信息安全全管理另另一个非非常重要要的原则则就是文文件化即所有有计划及及操作过过的事情情都要有有文件记记录 这样可做到到有章可可循有有据可查查文件件的类型型通常有有手册、规规范、指指南、记记录等使用这这些文件件可以使使组织内部沟沟通意图图统一一行动

25、并为事事件提客客观证据据同时时也可用用于学习习和培训训。如果果有些组组织曾参参与过90000或BSS77999的认认证会会深刻体体会到文文件化的的重要性性。 22.3 领导重重视 组组织建立立信息安安全管理理体系需需要投入入大量物物力和人人力这这就需要要得到领领导的认认可尤尤其是最最高领导导这样才能能确保这这一项目目不会因因缺少资资源支持持而中途途废弃。最最高领导导层在具具体建立立信息安安全管理理体系时时应做到如下下几点 wwww.ddociin.ccom 中中国30000万万经理人人首选培培训网站站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 (11) 管管理层应应提供其其承

26、诺建建立、实实施、运运行、监监控、评评审、维维护和改改进信息息安全管管理体系系的证据据包括a) 建立信息息安全方方针b) 确保建立立信息安安全目标标和计划划c) 为信息安安全确立立职位和和责任d) 向组织传传达达到到信息安安全目标标和符合合信息安安全方针针的重要要性、在在法律条条件下组组织的责责任及持持续改进的需需要e) 提供足够够的资源源以开发发、实施施运行行和维护护信息安安全管理理体系f) 确定可接接受风险险的水平平g) 进行信息息安全管管理体系系的评审审。(2) 管理层层为组织织将确定定和提供供所需的的资源以a) 建立、实实施、运运行和维维护信息息安全管管理体系系b) 确保信息息安全程程

27、序支持持业务要要求c) 识别和强强调法律律和法规规要求及及合同的的安全义义务d) 正确地应应用所有有实施的的控制措措施维护护足够的的安全e) 必要时进行评评审并并适当回回应这些些评审的的结果f) 需要时改进信信息安全全管理体体系的有有效性。 2.44 全员员参与 仅有领领导的支支持没有有实际操操作的人人员同样样信息安安全管理理体系不不能很好好地建立立起来而组织织内由于于普通人员的的误操作作和疏忽忽造成严严重损失失的不止止少数因此我我们必须须明确安安全管理理体系不不是组织织内ITT部门的的事情而而是需要要全体员员工参与与的。组织应确确保所有有被分配配信息安安全管理理体系职职责的人人员具有有能力履

28、履行指派派的任务务。组织织应a) 确定从事事影响信信息安全全管理体体系的人人员所必必要的能能力b) 提供能力力培训和和必要要时聘聘用有能能力的人人员满足足这些需需求c) 评价提供供的培训训和所采采取行动动的有效效性d) 保持教育育、培训训、技能能、经验验和资格格的纪录录。组织应确确保所有有相关的的人员知知道他们们信息安安全活动动的适当当性和重重要性以以及他们们的贡献献怎样达达成信息息安全管理理目标。 3 信信息安全全管理体体系的建建立3.1 建立信信息安全全管理体体系 下下图是建建立信息息安全管管理体系系的流程程图,图图12-2 wwww.doocinn.coom 中国国30000万经经理人首

29、首选培训训网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区图12-2ISSMS流流程图组织应在在整体业业务活动动和风险险的环境境下建立立、实施施、维护护和持续续改进文文件化的的信息安安全管理理体系。为满足该该标准的的目的使用的的过程建建立在图图一所示示的PDDCA模模型基础础上。组织应做做到如下下几点a) 应用业务务的性质质、组织织、其方方位、资资产和技技术确定定信息安安全管理理体系的的范围。b) 应用组织织的业务务性质、组组织、方方位、资资产和技技术确定定信息安安全管理理体系的的方针方针应应1)包括为其其目标建建立一个个框架并并为信息息安全活活动建立立整体的的方向和和原则。2

30、) 考虑业务务及法律律或法规规的要求求及合合同的安安全义务务。3) 建立组织织战略和和风险管管理的环环境在在这种环环境下建立和和维护信信息安全全管理体体系。4) 建立风险险评价的的标准和和风险评评估定义义的结构构。5) 经管理层层批准。c) 确确定风险险评估的的系统化化的方法法识别适用用于信息息安全管管理体系系及已识识别的信信息安全全、法律律和法规规的要求求的风险险评估的的方法。为为信息安全管理理体系建建立方针针和目标标以降低低风险至至可接受受的水平平。确定定接受风风险的标标准和识识别可接接受风险险的水平。d) 确确定风险险1) 在信息安安全管理理体系的的范围内内识别别资产及及其责任任人。2)

31、 识别对这这些资产产的威胁胁。3) 识别可能能被威胁胁利用的的脆弱性性。4) 别资产失失去保密密性、完完整性和和可用性性的影响响。e) 评评价风险险 制订订信息安安全方针方针文档档定义ISSMS范范围进行风险险评估实施风险险管理选择控制制目标措施准备适用用声明 第一步步第二步第三步第四步第五步第六步 ISSMS范围评估报告告 文件件文件文件文件文件文件 文文档化文档化声明文件件m 中国330000万经理理人首选选培训网网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 1)评估由由于安全全故障带带来的业业务损害害要考考虑资产产失去保保密性、完完整性和和可用性性的潜在在后果5) 评

32、估与这这些资产产相关的的主要威威胁、脆脆弱点和和影响造造成此类类事故发发生的现现实的可可能性和和现存的的控制措措施6) 估计风险险的等级级7) 确定介绍绍风险或或使用在在c中建建立的标标准进行行衡量确确定需要要处理。f) 识识别和评评价供处处理风险险的可选选措施可能的行行动包括括1) 应用合适适的控制制措施2) 知道并有有目的地地接受风风险同同时这些些措施能能清楚地地满足组组织方针针和接受受风险的的标准3) 避免风险险4) 转移相关关业务风风险到其其他方面面如保保险业供应商商等。g) 选选择控制制目标和和控制措措施处理理风险应从2.6章节节中控制制措施中中选择合合适的控控制目标标和控制制措施应

33、该根根据风险险评估和和风险处处理过程程的结果调整。h) 准准备一份份适用性性声明。从上面选选择的控控制目标标和控制制措施以以及被选选择的原原因应在在适用性性声明中中文件化化。从22.6章章节中剪剪裁的控制措施施也应加加以记录录i) 提提议的残残余风险险应获得得管理层层批准并并授权实实施和运运作信息息安全管管理体系系。 33.2 文件要要求 信信息安全全管理体体系文件件应包括括a) 文件化的的安全方方针文件件和控制制目标b) 信息安全全管理体体系范围围和程序序及支持持信息安安全管理理体系的的控制措措施c) 风险评估估报告d) 风险处理理计划e) 组织需要要的文件件化的程程序以确确保有效效地计划划

34、运营和和对信息息安全过过程的控控制f) 本标准要要求的记记录g) 适用性声声明。 3.33 文件件控制 信息安安全管理理体系所所要求的的文件应应予以保保护和控控制。应应编制文文件化的的程序以规定定以下方方面所需需的控制a) 文件发布布前得到到批准以确保保文件的的充分性性b) 必要时对对文件进进行评审审与更新新并再再次批准准c) 确保文件件的更改改和现行行修订状状态得到到识别d) 确保在使使用处可可获得适适用文件件的有关关版本e) 确保文件件保持清清晰、易易于识别别f) 确保外来来文件得得到识别别并控控制其分分发g) 确保文件件的发放放在控制制状态下下h) 防止作废废文件的的非预期期使用i) 若

35、因任何何原因而而保留作作废文件件时对对这些文文件进行行适当的的标识。 wwww.doocinn.coom 中国国30000万经经理人首首选培训训网站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 3.4 记记录控制制 应建建立并保保持纪录录以提提供符合合要求和和信息安安全管理理体系的的有效运运行的证证据。记记录应当当被控制制。信息安全管管理体系系应考虑虑任何有有关的法法律要求求。记录录应保持持清晰、易易于识别别和检索索。应编编制形成成文件的的程序以规规定记录录的标识识、储存存、保护护、检索索、保存存期限和和处置所所需的控控制。需需要一个个管理过过程确定定记录的程度。应保留上上述过

36、程程绩效记记录和所所有与信信息安全全管理体体系有关关的安全全事故发发生的纪纪录。例例如访访问者的的签名簿审核记记录和授授权访问问记录。 4 实实施和运运作信息息安全管管理体系系 组组织应按按如下步步聚实施施a) 识别合适适的管理理行动和和确定管管理信息息安全风风险的优优先顺序序即风险处处理计划划b) 实施风险险处理计计划以达达到识别别的控制制目标包括对对资金的的考虑和和落实安安全角色色和责任任c) 实施在上上述章节节里选择择的控制制目标和和控制措措施d) 培训和意意识e) 管理运作作过程f) 管理资源源g) 实施程序序和其他他有能力力随时探探测和回回应安全全事故的的控制措措施。 5 监监控和评

37、评审信息息安全管管理体系系5.1 监控信信息安全全管理体体系 组组织应a) 执行监控控程序和和其他控控制措施施以1) 实时探测测处理结结果中的的错误2) 及时识别别失败和和成功的的安全破破坏和事事故3) 能够使管管理层确确定分派派给员工工的或通通过信息息技术实实施的安安全活动动是否达达到了预预期的目目标4) 确定解决决安全破破坏的行行动是否否反映了了运营的的优先级级。b) 进进行常规规的信息息安全管管理体系系有效性性的评审审包括括符合安安全方针针和目标标及安安全控制制措施的的评审考虑虑安全评评审的结结果、事事故、来来自所有有利益相相关方的的建议和和反馈c) 评评审残余余风险和和可接受受风险的的

38、水平考虑以以下方面面的变化化1) 组织2) 技术3) 业务目标标和过程程4) 识别威胁胁及5) 外部事件件如法律、法法规的环环境发生生变化或或社会环环境发生生变化。d) 在在计划的的时间段段内实施施内部信信息安全全管理体体系审核核。e) 经经常进行行信息安安全管理理体系管管理评审审至少少每年评评审一次次以保保证信息息安全管管理体系系的范围围仍然足够在信息息安全管管理体系系过程中中的改进进措施已已被识别别见信信息安全全管理体体系的管管理评审审f) 记记录所采采取的行行动和能能够影响响信息安安全管理理体系的的有效性性或绩效效的事件件。 m 中国330000万经理理人首选选培训网网站更多免费费资料下

39、下载请进进htttp:/m 好好学学习社区区 5.2 维维护和改改进信息息安全管管理体系系 组织织应经常常a) 实施已识识别的对对于信息息安全管管理体系系的改进进措施b) 采取合适适的纠正正和预防防措施见7.2和77.3. 应应用从其其他组织织的安全全经验和和组织内内学到的的知识。c) 沟通结果果和行动动并得到到所有参参与的相相关方的的同意。d) 确保改进进行动达达到了预预期的目目标。 5.3 信信息安全全管理体体系的管管理评审审 管理理层应按按策划的的时间间间隔评审审组织的的信息安安全管理理体系以确保保其持续续的适宜宜性、充充分性和和有效性。 评评审应包包括评价价信息安安全管理理体系改改进的

40、机机会和变变更的需需要 包括安安全方针针和安全全目标。 评审的的结果应清清楚地文文件化应保持持管理评评审的纪纪录。 5.33.1 评审输输入 管管理评审审的输入入应包括括以下方方面的信信息a) 信息安全全管理体体系审核核和评审审的结果果b) 相关方的的反馈c) 可以用于于组织改改进其信信息安全全管理体体系绩效效和有效效性的技技术产产品或程程序d) 预防和纠纠正措施施的状况况e) 以前风险险评估没没有足够够强调的的脆弱性性或威胁胁f) 以往管理理评审的的跟踪措措施g) 任何可能能影响信信息安全全管理体体系的变变更h) 改进的建建议。 5.33.2 评审输输出 管管理评审审的输出出应包括括以下方方

41、面有关关的任何何决定和和措施a) 对信息安安全管理理体系有有效性的的改进b) 修改影响响信息安安全的程程序必必要时回应内内部或外外部可能能影响信信息安全全管理体体系的事事件包包括以下的变变更1 业业务要求求2 安安全要求求3 业业务过程程影响现现存的业业务要求求4 法法规或法法律环境境5 风风险的等等级和/或可接接受风险险的水平平c) 资源需求求。 55.3.3 内内部信息息安全管管理体系系审核 组织应应按策化化的时间间间隔进进行内部部信息安安全管理理体系审审核以以确定信信息安全全管理体体系的控控制目标标、控制措施施、过程程和程序序是否a) 符合本标标准和相相关法律律法规的的要求 wwww.ddociin.ccom 中中国30000万万经理人人首选培培训网站站更多免费费资料下下载请进进htttp:/m 好好学学习社区区 b) 符合合识别的的信息安安全的要要求c) 被被有效地地实施和和维护d) 达达到预想想的绩效效。任何审核核活动应应策划 策划划应考虑虑过程的的状况和和重要性性审核核的范围围以及前前次审核核的结果果。应确确定