证书查询  |  加入收藏  |  给我留言

如何建立信息安全管理体系(ISMS)

作者 Admin 来源 本站 浏览 发布时间 2011/06/13

照标准要求的ISMS建立步骤

    按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括:
1)  定义ISMS的范围和边界,形成ISMS的范围文件;
2)  定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;
3)  定义组织的风险评估方法;
4)  识别要保护的信息资产的风险,包括识别:
    a) 资产及其责任人;
    b) 资产所面临的威胁;
    c) 组织的脆弱点;
    d) 资产保密性、完整性和可用性的丧失造成的影响。
5)  分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;
6)  识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7)  根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;
8)  管理者正式批准所有残余风险; 
9)  管理者授权ISMS的实施和运行;
10) 准备适用性声明。

4. 完成所需要的ISMS文件 

ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。

(1) ISMS文件的类型 

    根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。
1)  方针类文件(Policies)
    方针是政策、原则和规章。主要是方向和路线上的问题,包括:
    a) ISMS方针(ISMS policy);
    b) 信息安全方针(information security policy)。
其中,ISMS方针是信息安全方针的父集。即在ISMS方针的框架下,组织可根据实际需要,制定其它重要领域的具体的信息安全方针。例如,可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。

2)  程

相关文章
推荐文章
Copyright ◎ 2004-2024 www.isoccc.org All Rights Have Been Reserved. 沪ICP备10013235号-1 沪公网安备 31011202010868号
本网站未注明出处的信息及其版权均属于上海行为企业管理咨询服务有限公司所有,未经授权不得转载,违者必将追究法律责任!