ISMS信息安全ISO27001认证体系内部组织规范一
ISMS信息安全ISO27001认证体系内部组织规范一
ISMS信息安全ISO27001认证体系标准5.3要求明确实施ISO27001认证体系企业的与信息安全相关的角色、责任和权限,其目的是什么?什么角色和职责必须定义呢?本文予以简要说明供参考。
实施ISMS信息安全ISO27001认证体系时首先要建立内部组织,其目标是建立管理框架,以启动和控制组织范围内的信息安全的实施和运行。
1.在明确ISO27001认证体系信息安全角色和职责时要函盖所有的信息安全职责宜予以定义和分配。
a) 宜识别和定义资产和信息安全过程; 实施指南信息安全职责的分配宜与信息安全策略相一致。宜识别各个资产的保护和执行特定信息安全过程的职责。宜定义信息安全风险管理活动,特别是残余风险接受的职责。这些职责宜在必要时加以补充,来为特定地点和信息处理设施提供更详细的指导。资产保护和执行特定安全过程的局部职责宜予以定义。分配有信息安全职责的人员能够将安全任务委托给其别人员。尽管如此,他们仍然负有责任,并且他们宜能够明确任何被委托的任务是否已被正确地执行。个人负责的领域宜予以规定;特别是,宜进行下列工作:
b) 宜分配每一资产或信息安全过程的实体职责,并且该职责的细节宜形成文件;
c) 宜定义授权级别,并形成文件;
d) 能够履行信息安全领域的职责,领域内被任命的人员宜有能力,并给予他们机会,使其能够紧跟发展的潮流;
e) 宜识别供应商关系信息安全方面的协调和监督措施,并形成文件。
在许多组织中,将任命一名信息安全管理人员全面负责信息安全的开发和实施,并支持控制措施的识别。然而,提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。
2.ISMS信息安全ISO27001认证体系内部组织职责分析控制措施是分离相冲突的责任及职责范围,以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指导如下:
宜注意,在无授权或监测时,个人不能访问、修改或使用资产。事件的启动宜与其授权分离。勾结的可能性宜在设计控制措施时予以考虑。小型组织可能感到难以实现这种职责分离,但只要具有可能性和可行性,宜尽量应用该原则。假如难以分离,宜考虑其他控制措施,例如对活动、审核踪迹和管理监督的监视等。
在明确ISMS信息安全ISO27001认证体系内部织组时除了上述两点,还可能会与保持与政府相关部门、利益集团联络,还要考虑项目管理中信息安全职责,本站将另文介绍。本站所有内容仅供参考。
ISMS信息安全风险评估
ISMS建设过程中,信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。在信息安全领域,信息安全风险评估也形成了诸多国际标准和国内标准。本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。以下就相关内容做1个简要描述。
信息安全风险评估包含4个主要方面的内容,即资产识别、威胁识别、脆弱性识别和风险评估。它们之间的关系如图2.3所示:
在图2.3中,风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。下面就其含义作1个简介:
①资产识别
安全的目的始终都是保障组织业务的正常运行。因此,资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析,或者说将组织的业务安全映射成资产的安全,使得我们能够科学的把握组织的业务安全需求以及转变。资产识别包含资产分类和资产赋值两个环节。
②威胁识别
与资产识别相类似,威胁识别分为威胁分类和威胁赋值两个环节。威胁识别的方法形象地讲就是“植树、剪枝、统计,见图2.4:
③脆弱性识别
与资产识别和威胁识别略有不同,脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等4个环节。表2.1是脆弱性分类表
类型在对1个信息系统进行了资产识别、威胁识别和脆弱性识别的基础上,人们能够对信息系统的综合风险等级进行赋值,见表2.2:
等级- •
- 本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们
- ISO9000与QS9000的关系,ISO9000与管理软件应用
- 医疗器械GMP与ISO13485有何区别,医疗器械GMP与ISO9000
- 三标认证之ISO14001认证体系实施与运行指南(ISO认证申
- ISO22000标准咨询(怎么申请ISO认证)
- ISO13485:2003认证体系要求有形成文件的程序(怎么申请
- bsci认证和iso认证哪个好(怎么申请ISO认证)
- ISO9001:2015标准7.1.3基础设施的管理要求,iso9001:20
- ISO9001:2015版标准主要修订转变(怎么申请ISO认证)
- ISO9000体系内审时常见的文件审批问题(ISO认证申请需
- iso9001 2015认证标志(怎么申请ISO认证)
-
在线咨询
021-8034****
(周一至周五 9:00-18:00) -
企业易
微信扫描关注
-
用户反馈
- 返回顶部