还剩20页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
d向组织传达实现信息安全目日勺、符合信息安全方略、法律责任日勺重要性以及持续改善日勺需要;e提供足够日勺资源,以建立、实行、运行监视、保持和改善ISMS(见
5.
2.1;f决定接受风险日勺准则和可接受日勺风险等级;g保证ISMS内部审核口勺实行(见条款6h进行ISMS管理评审(见条款7O资源提供/组织应确定并提供如下方面所需口勺资源a建立、实行、运行、监视、评审、保持和改善ISMS;b保证信息安全程序支持业务规定;c识别并指出法律法规规定和协议安全责任;d通过对日勺应用所实行日勺所有控制来保持足够日勺安全;e需要时进行评审,并对评审日勺成果采用合适措施;f必要时,改善ISMS曰勺有效性522培训、意识和能力J组织应保证在ISMS中承担责任日勺人员应可以胜任规定日勺任务a确定从事影响信息安全工作日勺人员所必需日勺能力;b提供培训或采用其他日勺措施(如雇佣有能力日勺人员来满足这些需求C评价所采用措施日勺有效性;d保持教育、培训、技能、经验和资质日勺记录(见433组织应保证所有有关人员认识到他们日勺信息安全活动日勺有关性和重要性,以及他们如何为实现ISMS目的作出奉献条款6ISMS内部审核条款61sMs内部审核/组织应按筹划的时间间隔进行ISMS内部审核,以确定组织ISMS日勺控制目日勺、控制措施、过程和程序与否a符合本原则及有关法律法规日勺规定;b符合已识别日勺信息安全规定;c得到有效地实行和保持;d按期望运行/应筹划审核方案,考虑受审核过程和区域日勺状况及重要性,以及上次审核日勺成果应规定审核准则、范围、频次和措施审核员日勺选择和审核日勺实行应保证审核过程日勺客观和公正/审核员不能审核自己日勺工作/应建立形成文献日勺程序,以规定筹划和实行审核、汇报成果和保持记录(见日勺职责和规定/受审核区域日勺负责人应保证立即采用措施以消除发现日勺不符合及其原因跟踪活动应包括所采用措施日勺验证以及验证成果日勺汇报(见条款8条款7ISMS管理评审
7.1总则管理者应按筹划日勺时间间隔(至少一年一次评审组织的ISMS,以保证其持续日勺合适性、充足性和有效性评审应包括评价ISMS改善日勺机会和变更日勺需要,包括安全方针和安全目日勺评审成果应清晰地写入文献,并保持记录(见
7.2评审输入J管理评审日勺输入应包括a ISMS审核和评审日勺成果;b有关方日勺反馈;c组织用于改善ISMS业绩和有效性日勺技术、产品或程序;d纠正和防止措施日勺实行状况;e上次风险评估未充足指出日勺脆弱性或威胁;f有效性测量日勺成果;g上次管理评审所采用措施日勺跟踪验证;h任何也许影响ISMS日勺变更;i改善的提议
7.3评审输出/管理评审日勺输出应包括与如下方面有关日勺任何决定和措施:a ISMS有效性日勺改善;b更新风险评估和风险处置计划;b必要时,修订影响信息安全口勺程序和控制措施,以反应也许影响ISMS的内外事件,包括如下方面日勺变化1业务规定;2安全规定;3影响既有业务规定日勺业务过程;4法律法规规定;5协议责任;6风险等级和/或风险接受准则c资源需求;d改善测量控制措施有效性的方式董翼枫-20-条款8・董翼枫21-
8.1持续改善组织应通过应用信息安全方略、安全目口勺、审核成果、监视事件口勺分析、纠正防止措施和管理评审(见条款7持续改善ISMS日勺有效性董翼枫-22-
8.2纠正措施/组织应采用措施,消除与ISMS规定不符合日勺原因,以防止再发生纠正措施文献程序应规定如下方面日勺规定a识别不符合;b确定不符合日勺原因;c评价保证不符合不再发生所需日勺措施;d确定和实行所需日勺纠正措施;e记录所采用措施日勺成果(见
4.
3.3;f评审所采用的纠正措施・・董翼枫
238.3防止措施/组织应采用措施,以消除与ISMS规定不潜在不符合日勺原因,以防止发生所采用日勺防止措施应与潜在问题日勺影响相合适防止措施文献程序应规定如下方面日勺规定a识别潜在不符合及其原因;b评价防止不符合发生所需日勺措施;c确定并实行所需日勺防止措施;d记录所采用措施的成果(见
4.
3.3;e评审所采用日勺防止措施/组织应识别发生变化口勺风险,并通过关注变化明显日勺风险来识别防止措施规定J应根据风险评估成果来确定防止措施的优先级董翼枫-24-风险评估和处理注:可参照《GB-T20984-2023信息安全风险评估规范》J风险评估应对照风险接受准则和组织有关目日勺,识别、量化并辨别风险日勺优先次序风险评估日勺成果应指导并确定合适日勺管理措施及其优先级,以管理信息安全风险和实行为防备这些风险而选择日勺控制措施/风险评估应包括估计风险大小日勺系统措施(风险分析,和将估计日勺风险与给定日勺风险准则加以比较,以确定风险严重性的过程(风险评价J风险评估还应定期进行,以应对安全规定和风险情形日勺变化,例如资产、威胁、脆弱性、影响,风险评价;当发生重大变化时也应进行风险评估风险评估应使用一种可以产生可比较和可再现成果日勺系统化日勺方式J为使信息安全风险评估有效,它应有一种清晰定义日勺范围/风险评估日勺范围既可以是整个组织、组织日勺一部分、单个信息系统、特定的系统部件,也可以是服务/在考虑风险处理前,组织应确定风险与否能被接受日勺准则假如经评估显示,风险较低或处理成本对于组织来说不划算,则风险可被接受这些决定应加以记录条款4董翼枫dongyf@fugle.info
4.1总规定组织应根据整体业务活动和风险,建立、实行、运行、监视、评审、保持并改善文献化日勺信息安全管理体系本原则应用了图1所示日勺PDCA模式/对于风险评估所识别日勺每一种风险,必须作出风险处理决定也许日勺风险处理选项包括a应用合适日勺控制措施以减少风险;b只要它们满足组织日勺方针和风险接受准则,则要故意识日勺、客观日勺接受该风险;c通过严禁也许导致风险发生日勺行为来防止风险;d将有关风险转移到其他方,例如,保险或供应商,对风险处理决定中要采用合适日勺控制措施日勺那些风险来说,应选择和实行这些控制措施以满足风险评估所识别日勺规定控制措施应保证在考虑如下原因日勺状况下,将风险减少到可接受级别a国家和国际法律法规日勺规定和约束;b组织日勺目曰勺;c运行规定和约束;d减少风险有关日勺实行和运行日勺成本,并使之与组织日勺规定和约束保持相称;e平衡控制措施实行和运行的投资与安全失误也许导致日勺损害的需要/控制措施可以从本原则或其他控制集合中选择,或者设计新日勺控制措施以满足组织日勺特定需求认识到有些控制措施并不是对每一种信息系统或环境都合用,并且不是对所有组织都可行,这一点非常重要例如,描述怎样分割责任,以防止欺诈或错误在较小日勺组织中分割所有责任是不太也许日勺,实现同一控制目日勺日勺其他措施也许是必要日勺此外一种例子,A
10.10描述怎样监视系统使用及怎样搜集证据所描述日勺控制措施,例如事态日志,也许与合用日勺法律相冲突,诸如顾客或在工作场地内日勺隐私保护/信息安全控制措施应在系统和项目需求阐明书和设计阶段予以考虑做不到这一点也许导致额外日勺成本和低效率日勺处理方案,最坏日勺状况下也许达不到足够日勺安全/应当牢记,没有一种控制措施集合能实现绝对日勺安全,为支持组织日勺目日勺,应实行额外日勺管理措施来监视、评价和改善安全控制措施日勺效率和有效性QuestionsMike(董翼枫CTOFugle InformationTechnology Co.,Ltd富国信息技术有限企业Tel:086-803M.T.:E-mail:MSN:URI:FAX:85116808-808Addr:414,10th BuildingChangzhou nationalAnimation Base,Hi-Tech Park,NewNorthern District,Changzhou,Jiangsu,China常州市新北区高科技园10号楼国家动画产业基地4层414ZIP:213022ENDThank you!董翼枫dongyf@fugle.info
4.2建立并管理ISMS
4.
2.1建立ISMSa根据组织业务特性、组织、地理位置、资产、技术以及任何删减日勺细节和合理性来确定ISMS范围b根据组织业务特性、组织、地理位置、资产和技术确定ISMS方针c确定组织日勺风险评估措施d识别风险e分析并评价风险f识别和评价风险处理日勺选择g选择风险处理日勺控制目的和控制方式董翼枫dongyf@fugleJnfo
4.
2.2实行和运行ISMSa阐明风险处理计划,它为信息安全风险管理指出了合适日勺管理措施、职责和优先级;b实行风险处理计划以到达确定日勺控制目口勺,应考虑资金需求以及角色和职责分派;c选择日勺控制以到达控制目的;d确定怎样测量所选择日勺一种/组控制措施日勺有效性,并规定这些测量措施如何用于评估控制日勺有效性以得出可比较日勺、可反复日勺成果;e实行培训和意识方案(见
5.
2.2;f管理ISMS曰勺运行;g管理ISMS资源(见
5.2;h实行程序及其他控制以及时检测、响应安全事故(见
04.
2.3监视和评审ISMSa执行监视和评审程序和其他控制措施b定期评审ISMS日勺有效性(包括安全方针和目曰勺曰勺实现状况,安全控制评审,考虑安全审核、事故、有效性测量日勺成果以及所有有关方日勺提议和反馈;c测量控制措施的有效性,以证明安全规定已得到满足;d按照计划的时间间隔,评估风险评估,并评估残存风险日勺等级和已识别日勺接受风险,e按计划日勺时间间隔进行ISMS内部审核(见条款6;f定期进行ISMS管理评审(至少一年一次,保证范围仍然充足,并识别ISMS过程改善日勺机会(见
7.1;g更新安全计划,考虑监视和评审活动日勺发现;h记录也许影响ISMS有效性或业绩日勺措施和事件(见424保持和改善ISMSa实行ISMS已识别日勺改善;b按照
8.2和
8.3日勺规定采用合适日勺纠正和防止措施总结从其他组织或组织自身口勺安全经验得到口勺教训;c与所有有关方沟通措施和改善沟通日勺详细程度应与环境相合适,必要是,应约定怎样进行;d保证改善活动到达了预期日勺目日勺
4.
2.4总贝IJ/文献应包括管理决策日勺记录,以保证措施可以追溯到管理决策和方针记录日勺成果应当是可复制日勺,重要口勺是要可以展示从选择日勺控制措施回溯到风险评估和风险处置过程成果日勺关系,最终回溯到ISMS方针和目日勺/ISMS文献应包括a形成文献日勺ISMS方针(见和控制目日勺;b ISMS范围(见
4.
2.1a;c ISMS日勺支持性程序和控制;d风险评估措施日勺描述(见
4.
2.1a;e风险评估汇报(见到
4.
2.1g;f风险处置计划(见
4.
2.2b;g组织为保证其信息安全过程的有效筹划、运行和控制以及规定怎样规定怎样测量控制措施有效性所需日勺程序文献(见
4.
2.3c;h本原则所规定日勺记录(见Oi合用性申明
4.
2.5文献控制/ISMS所规定口勺文献应予以保护和控制应编制形成文献日勺程序,以规定如下方面所需日勺管理措施a文献公布前得到同意,以保证文献是充足目勺;b必要时,对文献进行评审与更新并再次同意;C保证文献日勺更改和现行修订状态得到识别;d保证在使用处可获得合用文献日勺有关版本;e保证文献保持合法,易于识别;f保证文献可认为需要者所获得,并根据合用于他们类别日勺程序进行转移、存储和最终日勺销毁;g保证外来文献得到识别;h保证文献日勺分发是受控日勺;i防止作废文献日勺非预期使用;j若因任何原因而保留作废文献时,对这些文献进行合适曰勺标识
4.3文献规定记录控制/应建立并保持记录,以提供符合规定和ISMS有效运行的证据应保护并控制记录ISMS应考虑有关日勺法律规定和协议责任记录应保持合法,易于识别和检索应编制形成文献日勺程序,以规定记录日勺标识、储存、保护、检索、保留期限和处置所需日勺控制/保持
4.2列出日勺过程业绩日勺记录以及与ISMS有关日勺重大安全事件日勺记录J举例记录包括访问者登记表、审核记录和完毕日勺访问授权表条款5管理职责
5.1管理承诺J管理层应通过如下措施对其建立、实行、运行、监视、评审、保持和改善ISMS日勺承诺提供证据a建立信息安全方针;b保证信息安全目日勺和计划日勺建立;c为信息安全分派角色和职责;。