信息安全系统管理系统体系建立地通用方法

信息安全系统管理系统体系建立地通用方法

ID:39444961

大小:377.74 KB

页数:63页

时间:2019-07-03

信息安全系统管理系统体系建立地通用方法_第1页
信息安全系统管理系统体系建立地通用方法_第2页
信息安全系统管理系统体系建立地通用方法_第3页
信息安全系统管理系统体系建立地通用方法_第4页
信息安全系统管理系统体系建立地通用方法_第5页
资源描述:

《信息安全系统管理系统体系建立地通用方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准第12章信息安全管理体系建立的通用方法本章将以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。本章内容适合参加信息安全高级管理师认证的读者。12.1信息安全管理体系概述12.1.1什么是信息安全管理体系信息安全管理体系,即InformationSecurityManagementSystem(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计

2、划、活动、程序、过程和资源的集合。BS7799-2是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。1.ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网

3、络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:l组织所有的信息系统;l组织的部分信息系统;l特定的信息系统。此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。2.组织内部成功实施信息安全管理的关键因素l反映业务目标的安全方针、目标和活动;l与组织文化一致的实施安全的方法;l来自管理层的有形支持与承诺;l对安全要求、风险评估和风险管理的良好理解;l向所有管理者及雇员推行安全意思;l向所有雇员和承包商分发有关

4、信息安全方针和准则的导则;l提供适当的培训与教育;l用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。3.建立ISMS的步骤文档大全实用标准不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:a)信息安全管理体系的策划与准备;b)信息安全体系文件的编制;c)信息安全管理体系的运行;d)信息安全管理体系的审核与评审。12.1.1信息安全管理体系的作用1.ISMS的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:l体系的建立基于

5、系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求;l强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;l强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。2.实施ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用:l强化员工的信息安全意识,规范组织信息安全行为;l对组织的关键信息资产进行全面体统的保护,维持竞争优势;l在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;l使组织的生意伙伴和客户对组

6、织充满信心;l如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任度;l促使管理层贯彻信息安全保障体系;l组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。12.1.2信息安全管理体系的准备为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。1.成立信息安全委员会信息安全委员会由组织

7、的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。l评审和审批信息安全方针;l分配信息安全管理职责;l确认风险评估的结果;l对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;l评审与监督信息安全事故;文档大全实用标准l审批与信息安全管理有关的其他重要事项。2.任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。