返回
信息安全管理体系建设

信息安全管理体系建设

ID:42454347

大小:231.13 KB

页数:13页

时间:2019-09-15

信息安全管理体系建设_第1页
信息安全管理体系建设_第2页
信息安全管理体系建设_第3页
信息安全管理体系建设_第4页
信息安全管理体系建设_第5页
资源描述:

《信息安全管理体系建设》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目编写人员:黄世荣编写日期:2025年12月7日项目缩写:文档版本:V1.0修改记录:口期编写人员版本备注时间:2015年12月一、信息化建设引言随着我国屮小企业信息化的普及,信息化给我国屮小企业带来积极影响的同时也带來了信息妥全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致屮

2、小企业的信息安全而临着较大的风险,我国屮小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理休系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到口J接受水平并维持该水平的过程。企业的信息安全管理

3、不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围Z内,获得企业现有条件卜•和资源能力范围内最大程度的安全。在信息安全管理领域,〃三分技术,七分管理〃的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国屮小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。二、IS027001信息安全管理体系框架建立IS027001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示

4、)。首先,齐个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的IS027001信息安全管理体系框架,并在正常的业务开展过程中具体实施构架的IS027001信息安全管理体系。同吋在信息安全管理体系的基础上,建立各种与信息安全管理框架相一致的相关文档、文件,并对其进行严格的管理。对在具体实施IS027001信息安全管理体系过程屮出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的反馈流程和制度。第-步第二步信息资产第六步已选的控制丨I标和控制描施风险评估■文档—給果仃结论风险骨理风险管理的区域■文档选抒的理论肚础选择控制II标和将彼执行的控

5、制(1)信息安全策略组织应制定信息安全策略(InformationSecurityPolicy)以对组织的信息安全提供管理方向与支持。组织不仅要有•一个总体的安全策略,而11,在总体策略的框架内,根据风险评估的结果,制定更加具体的安全方针,明确规定具体的控制规则,如“清理桌面和清楚屏幕策略〃、"访问控制策略〃等。(1)范围组织要根据组织的特性、地理位置、资产和技术对信息安全管理体系范围(scope)进行界定。组织信息安全管理体系范围包括以下项口:•需保护的信息系统、资产、技术。•实物场所(地理位置、部门)。(2)风险评估组织需要选择一个适合其安全要求的风险

6、评估和管理方案,然后进行合乎规范的评估,识别口前面临的风险及风险等级;风险评估的对象是组织的信息资产,评估考虑的因素包描资产所受的威胁、薄弱点及威胁发生后对组织的影响。无论采用何种风险评估工具方法,其最终评估结果应是一致的。(3)风险管理组织应根据信息安全策略和所要求的安全程度,识别所要管理的风险内容。控制风险包括识别所需的安全措施,通过降低、避免、转移将风险降至可接受的水平。风险随着过程的更改、组织的变化、技术的发展及新出现的潜在威胁而变化。(4)控制目标与控制方式的选择风险评估之后,组织应从已有信息安全技术中选择适当的控制方法,包括额外的控制(组织新增

7、加的和法律法规所要求的),降低已识别的风险。(5)适用性声明信息安全适用性声明记录了组织内相关的风险管制目标和针对每种风险所采取的控制措施。它的准备,一方面是为了向组织内的员工声明对信息安全面对风险的态度;另一方面也是为了向外界表明组织的态度和作为。三、IS027001信息安全管理体系实施方法IS027001信息安全管理体系(InformationSecurityManagementSystem)作为组织完整的管理体系中的一个重要环节,构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。了解信息

8、安全管理的方法,我们必须先明确企业或组织的信息安全需求。一般来说,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。