信息安全体系培训.docx

《信息安全体系培训.docx》由会员分享，可在线阅读，更多相关《信息安全体系培训.docx（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、d向组织传达实现信息安全目日勺、符合信息安全方略、法律责任日勺重要性以及持续改善日勺需要；e提供足够日勺资源，以建立、实行、运行监视、保持和改善ISMS（见5.2.1;f决定接受风险日勺准则和可接受日勺风险等级；g保证ISMS内部审核口勺实行（见条款6h进行ISMS管理评审（见条款7O资源提供/组织应确定并提供如下方面所需口勺资源：a建立、实行、运行、监视、评审、保持和改善ISMS;b保证信息安全程序支持业务规定；c识别并指出法律法规规定和协议安全责任；d通过对日勺应用所实行日勺所有控制来保持足够日勺安全；e需要时进行评审,并对评审日勺成果采用合适措施;f必要时，改善ISMS曰勺有效性。522

2、培训、意识和能力J组织应保证在ISMS中承担责任日勺人员应可以胜任规定日勺任务：a确定从事影响信息安全工作日勺人员所必需日勺能力；b提供培训或采用其他日勺措施（如雇佣有能力日勺人员来满足这些需求C评价所采用措施日勺有效性；d保持教育、培训、技能、经验和资质日勺记录（见433。组织应保证所有有关人员认识到他们日勺信息安全活动日勺有关性和重要性，以及 他们如何为实现ISMS目的作出奉献。条款6ISMS内部审核条款61sMs内部审核/组织应按筹划的时间间隔进行ISMS内部审核，以确定组织ISMS日勺控制目 日勺、控制措施、过程和程序与否：a符合本原则及有关法律法规日勺规定；b符合已识别日勺信息安全规

3、定；c得到有效地实行和保持；d按期望运行。/应筹划审核方案，考虑受审核过程和区域日勺状况及重要性,以及上次审核日勺成 果。应规定审核准则、范围、频次和措施。审核员日勺选择和审核日勺实行应保证审核 过程日勺客观和公正。/审核员不能审核自己日勺工作。/应建立形成文献日勺程序，以规定筹划和实行审核、汇报成果和保持记录（见 日勺职责和规定。/受审核区域日勺负责人应保证立即采用措施以消除发现日勺不符合及其原因。跟踪活动应包括所采用措施日勺验证以及验证成果日勺汇报（见条款8。条款7ISMS管理评审7.1总则管理者应按筹划日勺时间间隔（至少一年一次评审组织的ISMS,以保证其持续日勺 合适性、充足性和有效性

4、。评审应包括评价ISMS改善日勺机会和变更日勺需要，包括 安全方针和安全目日勺。评审成果应清晰地写入文献，并保持记录（见。7.2评审输入J管理评审日勺输入应包括：a ISMS审核和评审日勺成果；b有关方日勺反馈；c组织用于改善ISMS业绩和有效性日勺技术、产品或程序；d纠正和防止措施日勺实行状况；e上次风险评估未充足指出日勺脆弱性或威胁；f有效性测量日勺成果；g上次管理评审所采用措施日勺跟踪验证；h任何也许影响ISMS日勺变更；i改善的提议。7.3评审输出/管理评审日勺输出应包括与如下方面有关日勺任何决定和措施:a ISMS有效性日勺改善;b更新风险评估和风险处置计划;b必要时，修订影响信息安

5、全口勺程序和控制措施，以反应也许影响ISMS的内外事件，包括如下方面日勺变化：1业务规定；2安全规定；3影响既有业务规定日勺业务过程；4法律法规规定；5协议责任；6风险等级和/或风险接受准则。c资源需求；d改善测量控制措施有效性的方式。-20- 董翼枫()条款821 - 董翼枫()8.1持续改善组织应通过应用信息安全方略、安全目口勺、审核成果、监视事件口勺分析、纠 正防止措施和管理评审（见条款7持续改善ISMS日勺有效性。-22- 董翼枫()8.2纠正措施/组织应采用措施,消除与ISMS规定不符合日勺原因，以防止再发生。纠正措施 文献程序应规定如下方面日勺规定：a识别不符合；b确定不符合日勺原

6、因；c评价保证不符合不再发生所需日勺措施;d确定和实行所需日勺纠正措施；e记录所采用措施日勺成果（见4.3.3;f评审所采用的纠正措施。23董翼枫()8.3防止措施/组织应采用措施，以消除与ISMS规定不潜在不符合日勺原因，以防止发生。所 采用日勺防止措施应与潜在问题日勺影响相合适。防止措施文献程序应规定如下方面 日勺规定：a识别潜在不符合及其原因;b评价防止不符合发生所需日勺措施;c确定并实行所需日勺防止措施；d记录所采用措施的成果（见4.3.3;e评审所采用日勺防止措施。/组织应识别发生变化口勺风险,并通过关注变化明显日勺风险来识别防止措施规 定。J应根据风险评估成果来确定防止措施的优先级

7、。-24- 董翼枫()风险评估和处理注:可参照GB-T20984-2023信息安全风险评估规范J风险评估应对照风险接受准则和组织有关目日勺,识别、量化并辨别风险日勺优 先次序。风险评估日勺成果应指导并确定合适日勺管理措施及其优先级，以管理信息安 全风险和实行为防备这些风险而选择日勺控制措施。/风险评估应包括估计风险大小日勺系统措施（风险分析，和将估计日勺风险与给定 日勺风险准则加以比较，以确定风险严重性的过程（风险评价。J风险评估还应定期进 行，以应对安全规定和风险情形日勺变化，例如资产、威胁、脆弱性、影响，风险评价； 当发生重大变化时也应进行风险评估。风险评估应使用一种可以产生可比较和可再现

8、成果日勺系统化日勺方式。J为使信息安全风险评估有效，它应有一种清晰定义日勺范围。/风险评估日勺范围既可以是整个组织、组织日勺一部分、单个信息系统、特定的 系统部件，也可以是服务。/在考虑风险处理前，组织应确定风险与否能被接受日勺准则。假如经评估显示, 风险较低或处理成本对于组织来说不划算，则风险可被接受。这些决定应加以记 录。条款4董翼枫(dongyffugle.info)4.1总规定组织应根据整体业务活动和风险,建立、实行、运行、监视、评审、保持并改善文献化日勺信息安全管理体系。本原则应用了图1所示日勺PDCA模式。/对于风险评估所识别日勺每一种风险，必须作出风险处理决定。也许日勺风险处 理

9、选项包括：a应用合适日勺控制措施以减少风险；b只要它们满足组织日勺方针和风险接受准则，则要故意识日勺、客观日勺接受该风险;c通过严禁也许导致风险发生日勺行为来防止风险；d将有关风险转移到其他方，例如，保险或供应商。，对风险处理决定中要采用合适日勺控制措施日勺那些风险来说，应选择和实行这 些控制措施以满足风险评估所识别日勺规定。控制措施应保证在考虑如下原因日勺状况 下,将风险减少到可接受级别：a国家和国际法律法规日勺规定和约束；b组织日勺目曰勺；c运行规定和约束；d减少风险有关日勺实行和运行日勺成本,并使之与组织日勺规定和约束保持相称；e平衡控制措施实行和运行的投资与安全失误也许导致日勺损害的需

10、要。/控制措施可以从本原则或其他控制集合中选择，或者设计新日勺控制措施以满 足组织日勺特定需求。认识到有些控制措施并不是对每一种信息系统或环境都合用， 并且不是对所有组织都可行，这一点非常重要。例如,描述怎样分割责任，以 防止欺诈或错误。在较小日勺组织中分割所有责任是不太也许日勺，实现同一控制目日勺 日勺其他措施也许是必要日勺。此外一种例子,A10.10描述怎样监视系统使用及怎样搜 集证据。所描述日勺控制措施，例如事态日志，也许与合用日勺法律相冲突,诸如顾客或在 工作场地内日勺隐私保护。/信息安全控制措施应在系统和项目需求阐明书和设计阶段予以考虑。做不到 这一点也许导致额外日勺成本和低效率日勺

11、处理方案，最坏日勺状况下也许达不到足够日勺 安全。/应当牢记，没有一种控制措施集合能实现绝对日勺安全，为支持组织日勺目日勺，应实 行额外日勺管理措施来监视、评价和改善安全控制措施日勺效率和有效性。Questions?Mike（董翼枫CTOFugle Information Technology Co., Ltd富国信息技术有限企业Tel:086-803M.T.:E-mail:MSN:URI:FAX:85116808-808Addr:414, 10th Building (Changzhou national Animation Base, Hi-Tech Park, NewNorthern D

12、istrict, Changzhou, Jiangsu, China常州市新北区高科技园10号楼国家动画产业基地4层414ZIP:213022ENDThank you!董翼枫(dongyffugle.info)4.2 建立并管理ISMS4.2.1 建立 ISMSa根据组织业务特性、组织、地理位置、资产、技术以及任何删减日勺细节和合 理性来确定ISMS范围b根据组织业务特性、组织、地理位置、资产和技术确定ISMS方针c确定组织日勺风险评估措施d识别风险e分析并评价风险f识别和评价风险处理日勺选择g选择风险处理日勺控制目的和控制方式董翼枫(dongyffugleJnfo)4.2.2 实行和运行IS

13、MSa阐明风险处理计划，它为信息安全风险管理指出了合适日勺管理措施、职责 和优先级；b实行风险处理计划以到达确定日勺控制目口勺，应考虑资金需求以及角色和职 责分派；c选择日勺控制以到达控制目的；d确定怎样测量所选择日勺一种/组控制措施日勺有效性，并规定这些测量措施如何用于评估控制日勺有效性以得出可比较日勺、可反复日勺成果；e实行培训和意识方案（见5.2.2;f管理ISMS曰勺运行;g管理ISMS资源（见5.2;h实行程序及其他控制以及时检测、响应安全事故（见04.2.3 监视和评审ISMSa执行监视和评审程序和其他控制措施b定期评审ISMS日勺有效性（包括安全方针和目曰勺曰勺实现状况，安全控制

14、评审，考虑安全审核、事故、有效性测量日勺成果以及所有有关方日勺提议和反馈;c测量控制措施的有效性，以证明安全规定已得到满足；d按照计划的时间间隔，评估风险评估，并评估残存风险日勺等级和已识别日勺 接受风险，e按计划日勺时间间隔进行ISMS内部审核（见条款6;f定期进行ISMS管理评审（至少一年一次，保证范围仍然充足，并识别ISMS过程改善日勺机会（见7.1;g更新安全计划，考虑监视和评审活动日勺发现;h记录也许影响ISMS有效性或业绩日勺措施和事件（见。424保持和改善ISMSa实行ISMS已识别日勺改善；b按照8.2和8.3日勺规定采用合适日勺纠正和防止措施。总结从其他组织或组织自身口勺安全

15、经验得到口勺教训；c与所有有关方沟通措施和改善。沟通日勺详细程度应与环境相合适，必要是，应约定怎样进行；d保证改善活动到达了预期日勺目日勺。4.2.4 总贝 IJ/文献应包括管理决策日勺记录,以保证措施可以追溯到管理决策和方针。记录 日勺成果应当是可复制日勺。，重要口勺是要可以展示从选择日勺控制措施回溯到风险评估和风险处置过程成果 日勺关系，最终回溯到ISMS方针和目日勺。/ISMS文献应包括：a形成文献日勺ISMS方针（见和控制目日勺;b ISMS 范围（见 4.2.1a;c ISMS日勺支持性程序和控制；d风险评估措施日勺描述（见4.2.1a;e风险评估汇报（见到4.2.1g;f风险处置计

16、划（见4.2.2b;g组织为保证其信息安全过程的有效筹划、运行和控制以及规定怎样规定怎样 测量控制措施有效性所需日勺程序文献（见4.2.3 c;h本原则所规定日勺记录（见Oi合用性申明。4.2.5 文献控制/ISMS所规定口勺文献应予以保护和控制。应编制形成文献日勺程序，以规定如下 方面所需日勺管理措施：a文献公布前得到同意，以保证文献是充足目勺；b必要时，对文献进行评审与更新并再次同意;C保证文献日勺更改和现行修订状态得到识别;d保证在使用处可获得合用文献日勺有关版本；e保证文献保持合法，易于识别；f保证文献可认为需要者所获得，并根据合用于他们类别日勺程序进行转移、存储 和最终日勺销毁；g保

17、证外来文献得到识别；h保证文献日勺分发是受控日勺；i防止作废文献日勺非预期使用；j若因任何原因而保留作废文献时，对这些文献进行合适曰勺标识。4.3 文献规定记录控制/应建立并保持记录，以提供符合规定和ISMS有效运行的证据。应保护并控制记录。ISMS应考虑有关日勺法律规定和协议责任。记录应保持合法，易于识别和检索。应编制形成文献日勺程序，以规定记录日勺标 识、储存、保护、检索、保留期限和处置所需日勺控制。/保持4.2列出日勺过程业绩日勺记录以及与ISMS有关日勺重大安全事件日勺记录J举例：记录包括访问者登记表、审核记录和完毕日勺访问授权表。条款5管理职责5.1管理承诺J管理层应通过如下措施对其建立、实行、运行、监视、评审、保持和改善 ISMS日勺承诺提供证据：a建立信息安全方针；b保证信息安全目日勺和计划日勺建立；c为信息安全分派角色和职责;