返回
isms深度解析之业务连续性管理类10

isms深度解析之业务连续性管理类10

ID:30552978

大小:510.06 KB

页数:16页

时间:2018-12-31

isms深度解析之业务连续性管理类10_第1页
isms深度解析之业务连续性管理类10_第2页
isms深度解析之业务连续性管理类10_第3页
isms深度解析之业务连续性管理类10_第4页
isms深度解析之业务连续性管理类10_第5页
资源描述:

《isms深度解析之业务连续性管理类10》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ContinuousControlsMonitoringISO27002:2007ISO27002:2007深度解析之十深度解析之十业务连续性管理业务连续性管理概述¢业务连续性管理是一个组织层面的管理过程,BSI针对业务连续性管理推出了BS25999标准,提供实施指南和认证¢27002中的“业务连续性”管理类中,并非关注业务连续性管理的所有方面,那是BS25999的事情,27002在此关注的是在BCM过程中与信息安全有关的方面,并为此建立了1个控制目标“业务连续性管理的信息安全方面”¢27002有一句话“信息安全

2、应当是整体业务连续性过程和组织内其他管理过程的一个有机组成部分”,这句话说明,只有当信息安全管理要素真正渗透和落实到其他的管理过程中去,信息安全管理才真正实现了落地,才真正体现出其价值ContinuousControlsMonitoring概述¢那么,业务连续性管理和信息安全管理之间到底是什么样的关系呢?¢首先,27002的业务连续性管理类要求,需要完整的业务连续性管理过程做支撑,如果没有完整的业务连续性管理,那27002的要求也就成了无的放矢(个人理解,未必正确)¢由信息安全事件或灾难导致的信息资产可用性受损,

3、会导致关键业务过程的中断,这是业务连续性管理所关注的范畴¢个人感觉,因为可用性是信息安全关注的基本属性,因此保证信息资产可用性必然是信息安全的责任,27002里面专门有安全事件处置的内容,然而破坏可用性的事件是有级别差异的,当那些大规模大范围的严重灾难事件发生时,所影响的就不仅仅是信息安全的问题了,还会危及所有的人员和业务过程,这就超出了信息安全管理的范畴,这应当是业务连续性管理的职责ContinuousControlsMonitoring控制目标和控制措施¢27002在“业务连续性”管理类中,提供了1个控制目标

4、和5项控制措施¢业务连续性管理的信息安全方面(目标1)ContinuousControlsMonitoring补俩图【关于PCM/ERM/DRM/BCM】ContinuousControlsMonitoring14.114.1业务连续性管理的信息安全方面业务连续性管理的信息安全方面InformationSecurityAspectsofInformationSecurityAspectsofBusinessContinuityManagementBusinessContinuityManagementContin

5、uousControlsMonitoring14.1控制目标及措施--业务连续性管理的信息安全方面ContinuousControlsMonitoring14.1控制目标及措施--业务连续性管理的信息安全方面ContinuousControlsMonitoring14.1控制目标及措施--业务连续性管理的信息安全方面ContinuousControlsMonitoring控制措施分析之14.1.114.1.1¢控制措施14.1.1为,在业务连续性管理过程中包括信息安全¢本控制措施其实就是把业务连续性管理的过程步骤

6、做了概括性的阐述,其中突出指出了几处与信息安全有关之处ContinuousControlsMonitoring控制措施分析之14.1.114.1.1¢上页PPT的业务连续性管理流程图,明确说明了业务连续性管理过程也是Risk-Oriented的本质¢我认为上图中,与信息安全有关的包括:Æ3,与27002的资产管理有关Æ4、与27002的信息安全事件管理有关Æ7、与具体的安全技术和管理措施有关Æ10、与27002的访问控制管理有关Æ其它的则是业务连续性管理范畴,或者通用的管理过程要素Æ另外1风险分析和评估,多少其实

7、也有瓜葛ContinuousControlsMonitoring控制措施分析之14.1.114.1.1¢我们也能够看到,14.1.1其实是为后续的14.1.2到14.1.5提前做了一个概括性陈述,后续的几个控制措施都是这个管理过程中的特定具体步骤ContinuousControlsMonitoring控制措施分析之14.1.214.1.2¢控制措施14.1.2为,业务连续性和风险评估¢从27002的阐述可以看出,业务连续性本身是组织业务层面的,而非信息系统(或信息处理设施)层面的管理过程,27002反复强调业务人

8、员参与风险评估的重要性,以及全面完整的风险评估(而非仅信息安全风险评估)的必要性¢对应BS25999,这部分应当是RA和BIA的过程,既然业务连续性管理是基于风险的,而业务连续性管理策略、乃至业务连续性计划的制订都要依赖于RA和BIA的结果,因此这个风险评估过程是至关重要的,而且由于其涉及面较广,因此过程也会较为复杂¢个人认为,RA和BIA是整个BCM的关键所在,仅仅27

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。