《ISMS信息安全持续运营管理》由会员分享,可在线阅读,更多相关《ISMS信息安全持续运营管理(4页珍藏版)》请在金锄头文库上搜索。
1、中国3000万经理人首选培训网站ISMS信息安全持续运营管理1.1 持续运营管理的方面目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。应当实施持续性运营管理过程以通过预防的和恢复的控制措施的结合将由灾难和安全故障所引起的破坏减少到可以接收的程度(例如,安全故障可能是自然灾难,事件,设备故障,和有意行为的结果)。应当分析灾难,安全故障和服务丢失的后果。应制定和实施偶然事故计划,以确保商业过程可以在所要求的时间范围内恢复。该计划应被保留和实施,使之成为所有其他管理过程的组成部分。商业持续性管理应当包括识别和减少风险,限制破坏性事件的后果,确保主要操作的及时恢复的控制措施。,
2、保护关键的商业过程免受主要的故障或灾难的影响。1 持续运营管理过程应当有一个适当的管理过程用于发展和维护整个组织的运营持续性。它应当将下列运营持续性管理的关键要素组合在一起:a) 根据风险出现的可能性和它们的影响,包括对重大运营过程的识别和优先考虑,来理解组织所面临的风险;b) 理解中断对组织所可能产生的影响(重要的是要找到处理较小事故以及能威胁组织生存的严重事故的解决办法),并确立信息处理设施的商业目标;c) 考虑购买合适的保险,它可以形成运营持续性过程的组成部分;d) 将与议定的商业目标和优先权一致的运营持续运营策略公式化和文件化;e) 将与议定的策略一致的运营持续计划公式化和文件化;f)
3、 定期测试和更新处于适当位置上的计划和程序;g) 确保运营持续性的管理并入组织的过程和结构。协调运营持续性管理过程的责任应当在组织内以一种适当的标准进行分配,如信息安全管理委员会(见4.1.1)。2. 持续运营和影响的分析应当从识别可能引起商业过程中断的事件,如设备的故障,洪灾和火灾,来开始商业的持续运营。随后,应当进行风险评估,以决定那些中断的影响(根据破坏的规模和恢复的时间)。这两种活动被进行时,都有商业资源和商业过程所有者的完全参与。该评估考虑所有的运营过程,并不仅限于信息处理设施。应当根据风险评估的结果,制定一个策略计划,以决定商业持续运营的总体处理方法。计划一旦制定,就应当得到管理层
4、的认可。3. 制定和实施持续运营计划应当制定计划,以便在关键的运营过程中断,或出现故障之后的所要求的时间范围内,维护或恢复商业运营。运营持续性计划过程应当考虑如下几点:a) 识别和认同所有的责任和应急流程;b) 实施应急流程,以便在所要求的时间范围内恢复和复原。需要特别注意对外部商业从属性以及合同进行适当的评估;c) 议定的流程和过程的文件化;d) 在议定的应急流程和过程包括危机的管理中对职员进行适当的教育;e) 测试和更新计划。计划的过程应当集中于所要求的商业目标,例如,在一个可以接受的时间范围内,恢复对客户的特殊服务。应当考虑使之出现的服务和资源,包括人员配备,非信息处理资源,以及对信息处
5、理设施的紧急情况安排。4. 持续运营计划框架应当维护持续运营计划的单独框架,以确保所有的计划是一致的,并识别测试和维护的优先性。每一个运营持续运营计划都应当明确规定它活动的条件,以及执行每一部分计划的负责人。当新的需求出现时,应当适当修正已建立的应急流程,例如,撤离计划或任何现有的紧急情况的安排。持续运营计划的框架应当考虑如下几点:a) 启动计划的条件,它描述了每个计划被启动之前所应遵照的流程(如何评估当时的情形,将涉及到什么人,等);b) 应急流程,它描述了在事件发生后所应采取的行动,该事件能危及商业的运营和人类的生活。这应当包括公共关系管理的安排以及与适当的公共权威机构的有效联络,如警察局
6、,消防中心和当地的政府;c) 紧急情况流程,它描述了将必要的商业活动或支持服务转移到可选择的临时位置,并在所要求的时间范围内,使商业过程恢复运营所采取的行动;d) 恢复流程,它描述了恢复到正常的商业运营所采取的行动;e) 维护时间表,它规定了如何和何时测试该计划,以及维护该计划的过程;f) 意识和教育活动,它是被设计用来理解商业持续运营过程并确保该过程持续有效;g) 个人的职责,描述了谁负责执行哪部分计划。应当按照要求指定备选方案。每一个计划都应当有一个特定的负责人。应急流程,人工紧急情况计划和恢复计划都应当在适当的商业资源或有关的商业过程的负责人的责任范围之内。对于可选择的技术服务的紧急情况
7、安排,诸如信息处理和通讯设施,通常应当是服务提供者的责任。5. 测试,维护和重新评估持续运营计划(1) 测试计划持续运营计划在被测试的时候可能失败,这常常是由于不正确的假定,疏忽,或设备或人员的变动所造成的。所以,应当定期测试它们以确保它们是最新的和有效的。这样的测试也应当确保恢复小组的所有成员以及其他有关的职员都知道该计划。对持续运营计划测试的时间表应当指明应如何以及何时测试计划的每个要素。建议经常测试计划的个别部分。应当使用各种技术,以便对计划在实际中运行提供保证。这应当包括:a) 对不同的计划说明书的桌面测试(通过使用中断实例来讨论商业恢复的安排);b) 模拟(尤指培训在事故或紧急情况之
8、后进行管理的人员);c) 技术恢复测试(确保信息系统能够被有效地恢复);d) 在另外的站点测试恢复(运行与远离主站点的恢复操作并联的商业过程);e) 测试供应商的设施和服务(确保外部所提供的服务和产品将符合合同的承诺);f) 完整的演习(测试组织,职员,设备,设施和过程是否能够应付中断)。该技术可以被用于任何组织并应当反映特定的恢复计划的性质。(2) 维护和重新评估计划应当通过定期的回顾和更新来维护持续运营计划,以确保它们的持续有效性。其过程应当包括在组织的变更管理程序中,以确保商业持续性问题被适当地提出。应当为每个商业持续运营计划的定期回顾指定职责;对于商业安排中的改动的识别还没有反映在商业
9、持续运营计划中,其后应当对计划进行适当的更新。这个正式的改动控制过程应当确保通过对这个完整计划的定期回顾来发布和加强这个更新后的计划。需要更新计划的情形可能包括新设备的购买,或操作系统的升级以及下列方面的变动:a) 人员;b) 地址或电话号码;c) 商业策略;d) 位置、设施和资源;e) 法规;f) 承包商、供应商和主要的客户;g) 程序,或者新的/分离的程序h) 风险(操作的和财务的)ISO27001信息安全管理标准理解及内审员培训 培训热线:0755-25936263、25936264 李小姐客服QQ:1484093445、675978375 ISO27001信息安全管理标准理解及内审员培
10、训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解,请参考 德信诚ISO27001内审员相关资料手册【课程
11、对象】信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分:ISO27001:2005信息安全概述、标准条款讲解 信息安全概述:信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。 风险评估与管理:风险管理要素,过程,定量与定性风险评估方法,风险消减。 ISO/IEC 27001简介:ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。 信息安全管理实施细则:从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范:ISO/IEC2
12、7001-2005标准要求内容,PDCA管理模型,ISMS建设方法和过程。第二部分:ISO27001:2005信息安全管理体系文件建立(ISO27001与ISO9001、ISO14001管理体系如何整合) ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分:信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001:2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”更多免费资料下载请进:http:/好好学习社区
