ISO20000认证体系信息安全管理变更与文件,ISO20000认证体系信息安全管理的控制

ISO20000认证体系信息安全管理变更与文件

ISO20000认证体系信息安全管理变更与文件

怎样管理ISO20000认证体系信息安全变更？怎样管理ISO20000认证体系信息安全事件？ISO20000认证体系信息安全管理文件和记录有什么呢？ISO20000认证体系信息安全管理需定义有什么职责？

ISO20000认证体系信息安全应怎样管理信息安全变更和事件Managinginformation changes and incidents

信息安全的变更和事件应依据变更管理流程、事件管理流程和服务请求管理流程进行处理。变更请求应进行评估，以识别新的或变更的服务的信息安全风险，并将其作为被提议变更的结果。变更请求也依据对现有服务、流程、方针及现有信息安全控制的潜在影响进行评估。 



服务提供者应利用信息安全事件报告、信息安全评估报告及审核报告的评审结果以识别潜在的不足及改进机会。

ISO20000认证体系信息安全管理文档和记录documentS ANDRECORDS

ISM流程产生和保留的文档和记录包含：

a) 信息安全战略；

b) 信息安全方针；

c) 信息安全计划；

d) 信息安全管理程序；

e) 信息安全报告；

f) ISM 流程的执行效率和效果报告；

g) 信息安全事件管理报告； 

h) 信息安全风险评估； 

i) 信息资产清册。 



文档和记录应定期进行分析以向管理层提供有关信息安全方针执行效果的信息。其他重要的信息包含信息安全事件趋势分析，应将其输入到改善服务及访问信息、资产和系统的控制的计划中。

ISO20000认证体系信息安全管理权限和责任AUTHORITIES ANDRESPONSIBILITIES

除了ISO20000认证标准中描述的流程所有者，流程经理及程序执行的个人，ISM流程所需的权限和责任还包含：

a) 必须访问ISM 配置项和数据的顾客、服务提供者个人和相关方；

b) 维护信息安全控制的个人。

ISO20000认证体系信息安全管理的控制

ISO20000认证体系信息安全管理的控制

怎样实施ISO20000认证体系信息安全管理的控制呢？本篇摘要介绍ISO20000认证体系信息安全管理内容、概念、要求和信息安全控制以供实施ISO20000认证体系企业参考。

ISO20000认证体系信息安全管理要求内容 INTENT OF THEREQUIREMENTS

信息安全管理过程应确保信息安全控制措施能保护信息资产，同时，新的和变更的服务的设计与转换应考虑信息安全需求。

ISO20000认证体系信息安全管理概念 CONCEPTS

信息安全应是一系列方针和程序的结果，以识别、控制和保护组织的信息以及在存储、传送和处理过程中所需的资源。

管理层应明确清晰且明确的信息安全管理目标，并与业务需求相一致。

服务提供者应根据信息资产的价值、机密性或业务影响对其进行分类。对于每类资产，服务提供者和顾客应明确并达成风险可接受等级。

ISO20000认证体系信息安全管理要求说明 EXPLANATION OFREQUIREMENTS

ISO20000认证体系信息安全政策Information security policy

服务需求、法律法规要求和和合同要求是形成信息安全方针的基础。方针应指导物理的、管理的和技术的信息安全控制措施的使用以保护信息资产的安全，如机密性、完整性和可访问性。同时，方针应由对SMS和服务负责的管理人员批准。

信息安全策略的范围应包含但不限于必需的物理的、管理的和技术的控制，以确保SMS范围内信息资产的机密性、完整性和可访问性。信息安全方针的范围可能超越SMS的范围以满足业务需求。

管理层应确保个人、顾客供应商和内部团队不仅能充分理解方针的内容，并且要对坚持遵守方针的重要性予以毫无疑问。

管理层还应确保信息安全方针作为风险评估和信息安全审计时的一部分。

信息安全方针应为制定风险接受准则和管理所识别的信息安全风险提供指导，如口令管理。

信息安全方针应确保定期执行信息安全内部审核，如信息安全漏洞，新的和变更的服务的部署。

信息安全方针应确保对信息安全审核结果进行定期评审，以识别信息安全改进机会。如，改正在信息安全审核中发现的弱点。

注：具备专业信息安全职责的人员会发现熟悉ISO/IEC27002,Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement.是很有协助的。此国际标准包含关于安全策略的内容。

ISO20000认证体系信息安全控制Information securitycontrols

信息安全控制应保证实现信息安全管理目标，同时管理信息安全风险。信息安全控制包含物理控制、管理控制或技术控制。

服务提供者应确保控制控制措施文件化，且描述了相关风险及风险应对策略。服务提供者也应明确评审控制的权限和责任，及评审周期。服务提供者也应明确信息安全控制以管理必须访问、使用或管理组织信息或服务的外部组织或个人。