《ISMS信息安全管理体系建立方法》由会员分享,可在线阅读,更多相关《ISMS信息安全管理体系建立方法(61页珍藏版)》请在金锄头文库上搜索。
1、中国 3000 万经理人首选培训网站更多免费资料下载请进:http:/好好学习社区信息安全管理体系建立方法信息安全管理体系建立方法以 BS7799 的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管 理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。1信息安全管理体系概述信息安全管理体系概述1.1什么是信息安全管理体系什么是信息安全管理体系信息安全管理体系,即 Information Security Management System(简称 ISMS),是组织在整体或特定 范围内建立的信息安全方针和目标,以及完成这些目标所用的方法
2、和体系。它是直接管理活动的结果, 表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 BS77992 是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围, 制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信 息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安 全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保 护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。 1. ISMS 的范围 ISMS 的范围可以根
3、据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、 网络和用于过程中的技术、存储以及通信的信息等,ISMS 的范围可以包括: 组织所有的信息系统; 组织的部分信息系统; 特定的信息系统。 此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的 ISMS。例如,可以为组 织和其他公司之间特定的贸易关系定义 ISMS,也可以为组织结构定义 ISMS,不同的情境可以由一个或 者多个 ISMS 表述。 2.组织内部成功实施信息安全管理的关键因素 反映业务目标的安全方针、目标和活动; 与组织文化一致的实施安全的方法; 来自管理层的有形支持与承诺; 对安全要求、风险评估和风险管
4、理的良好理解; 向所有管理者及雇员推行安全意思; 向所有雇员和承包商分发有关信息安全方针和准则的导则; 提供适当的培训与教育; 用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。 3.建立 ISMS 的步骤 不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤 和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤: a)信息安全管理体系的策划与准备; b)信息安全体系文件的编制;中国 3000 万经理人首选培训网站更多免费资料下载请进:http:/好好学习社区c)信息安全管理体系的运行; d)信息安全管理体系的审核与评审。1.2
5、信息安全管理体系的作用信息安全管理体系的作用1. ISMS 的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点: 体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国 家有关信息安全的法律法规及其他合同方要求; 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式; 强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和 可用性,保持组织的竞争优势和商务运作的持续性。 2. 实施 ISMS 的作用组织建立、实施与保持信息安全管理体系将会产生如下作用: 强化员工的信息安全意识,规范组织信
6、息安全行为; 对组织的关键信息资产进行全面体统的保护,维持竞争优势; 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度; 使组织的生意伙伴和客户对组织充满信心; 如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与 信任度; 促使管理层贯彻信息安全保障体系; 组织可以参照信息安全管理模型,按照先进的信息安全管理标准 BS7799 建立组织完整的信息安 全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安 全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。1.3信息安全管理体系的准备信息安全管理体系
7、的准备为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角 色、明确权限、落实责任并予以沟通。 1 成立信息安全委员会 信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成, 定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。 评审和审批信息安全方针; 分配信息安全管理职责; 确认风险评估的结果; 对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等; 评审与监督信息安全事故; 审批与信息安全管理有关的其他重要事项。 2 任命信息安全管理经理 组织最高管理者在
8、管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以 下责任: 确定信息安全管理标准建立、实施和维护信息安全管理体系; 负责组织的信息安全方针与安全策略的贯彻与落实; 向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证中国 3000 万经理人首选培训网站更多免费资料下载请进:http:/好好学习社区据; 就信息安全管理的有关问题与外部各方面进行联络。 3 组建信息安全管理推进小组 在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。 小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及
9、文字能力,小 组成员一般是企业各部门的骨干人员。 4 保证有关人员的作用、职责和权限得到有效沟通 用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与 其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立 做出贡献。 5 组织机构的设立原则 合适的控制范围 一般情况下,一个经理直接控制的下属管理人员不少于 6 人,但不应超过 10 人。在作业复杂的部 门或车间,一个组长对 15 人保持控制。在作业简单的部门或车间,一个组长能控制 50 个人或更多的人。 合适的管理层次 公司负责人与基层管理部门之间的管理层数应保护最少程度,
10、最影响利润的部门经理应该直接向 公司负责人报告。 一个上级的原则 责、权、利一致的原则 既无重叠,又无空白的原则 执行部门与监督部门分离的原则 信息安全部门有一定的独立性,不应成为生产部门的下属单位。 6 信息安全管理体系组织结构建立及职责划分的注意事项 如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如 果现有的组织结构不合理,则按上面(5)中所述规则对组织结构进行调整。 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。 日常的信息安全监督检查工作应有专门
11、的部门负责 对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部 门) ,安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席 信息官负责) 。美国“911”恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方 式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。 对于小型企业来说,可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。中国 3000 万经理人首选培训网站更多免费资料下载请进:http:/好好学习社区ISO27001ISO27001 信息安全管理标准理解及内审员培训信息安全管理标准理解及内审员培训
12、培训热线:0755-25936263、25936264 李小姐 客服 QQ:1484093445、675978375ISO27001ISO27001 信息安全管理标准理解及内审员培训信息安全管理标准理解及内审员培训 下载报名表下载报名表 内训调查表内训调查表 【课程描述课程描述】ISO/IEC27001:2005 信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将详述 ISO 27001:2005/ISO 27002:2005 标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。内部审核部分将以 ISO 19011:2002
13、为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助课程帮助】如果你想对本课程有更深入的了解,请参考 德信诚德信诚 ISO27001ISO27001 内审员相关资料手册内审员相关资料手册【课程对象课程对象】信息安全管理人员,欲将 ISO27001 导入组织的人员,在 ISO27001 实施过程中承担内部审核工作的人员,有志于从事 IT信息安全管理工作的人员。 【课程大纲课程大纲】第一部分:ISO27001:2005 信息安全概述、标准条款讲解 信息安全概述:信息及信息安全,CIA 目标
14、,信息安全需求来源,信息安全管理。 风险评估与管理:风险管理要素,过程,定量与定性风险评估方法,风险消减。 ISO/IEC 27001 简介:ISO27001 标准发展历史、现状和主要内容,ISO27001 标准认证。 信息安全管理实施细则:从十个方面介绍 ISO27001 的各项控制目标和控制措施。 信息安全管理体系规范:ISO/IEC27001-2005 标准要求内容,PDCA 管理模型,ISMS 建设方法和过程。第二部分:ISO27001:2005 信息安全管理体系文件建立(ISO27001 与 ISO9001、ISO14001 管理体系如何整合) ISO27001 与 ISO9001、
15、ISO14001 的异同 ISO27001 与 ISO9001、ISO14001 可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001 体系三合一整合案例分析第三部分:信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001:2005 标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000 信息安全管理体系内部审核员培训合格证书”中国 3000 万经理人首选培训网站更多免费资料下载请进:http:/好好学习社区2
16、建立信息安全管理体系原则建立信息安全管理体系原则2.1PDCA原则原则PDCA 循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环” 。在质量管理中 应用广泛,PDCA 代表的含义如下: P(Plan):计划,确定方针和目标,确定活动计划; D(Do):实施,实际去做,实现计划中的内容; C(Check):检查,总结执行计划的结果,注意效果,找出问题; A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的 教训加以总结,以免重现;未解决的问题放到下一个 PDCA 循环。 PDCA 循环的四个阶段具体内容如下: (1) 计划阶段:制定具体工作计划,提出总的目标。具体来讲又分为以下
