深圳ISO27001:2013认证信息安全控制措施有什么
深圳ISO27001:2013认证信息安全控制措施有什么?
A.6.1.4项目管理中的信息安全 信息安全应融入项目管理中,与项目类型无关。 加强项目中的安全管理
。
A.6.1.4项目管理中的信息安全
信息安全应融入项目管理中,与项目类型无关。
加强项目中的安全管理。
A.12.6.2限制软件安装
应建立规则来控制用户安装软件
控制版权及技术漏洞风险。
A.14.2.1安全开发策略
应制定及应用关于软件和系统的开发规则
加强信息系统生命周期中的信息安全管理,建立安全开发策略、程序与流程。
A.14.2.5系统开发程序
应建立安全系统开发流程,记录,维护并应用到任何信息系统开发工 作
A.14.2.6安全的开发环境
组织应建立并适当保护开发环境安全,并集成涵盖整个系统开发周期 的工作
A.14.2.8系统安全性测试(安信达咨询www.ISOCSr.com)
在开发的过程中,必须测试功能的安全性
A.15.1.3ICT供应链
与供应商的协议应包含解决信息、通信技术服务、产品供应链相关信 息安全风险的要求
控制供应链中断风险。
A.16.1.4信息安全事件的评估和决策
信息安全事件应当被评估与决策,假如他们被归类为信息安全事件
完善信息安全事件管理生命周期。
A.16.1.5信息安全事故的响应
信息安全事件应依据程序文件响应
A.17.1.2实现信息安全的连续性
组织应建立、记录、实施并维护流程、程序、控制项,以保证在不利 情况下要求的信息安全连续性的等
级。
加强可用性管理,完善原BCM管理的生命周期。
A.17.2.1信息处理设施的可用性
信息处理设施应当实现冗余,以满足可用性需求。
深圳ISO27001认证过程中的问题解决思路
深圳ISO27001认证过程中的问题解决思路
ISO27001信息安全管理本质就是人与事的关系,是人根据制度和流程,采用适宜的方法、工具和手段去降低风险。风险是安全管理
的对象,人员、流程、手段是安全管理基本要素,其中人员是根本,流程是核心,手段是支撑。
培养和建立一支高效干练的人员队伍参与ISO27001信息安全管理的人员应组成1个强有力的管理组织,分工明确、沟通顺畅、协调
有力,运作高效。通常安全管理组织应是扁平化的,以便发现问题,及时响应,能够根据外部威胁的形势,快速进行适应性转变。
参与安全管理的人员的知识、技能应适用其岗位要求,并不断的学习成长,适用信息安全快速转变的时代要求。
建立科学、合理、易于落地的管理体系ISO27001信息安全管理体系构建应采用科学的方法,即按照ISO27001的要求,采用过程方法
,通过过程的控制来为结果提供一种可持续的保证。信息安全管理体系建设不是编制几个制度,它的目的是推动公司行动起来,发
生转变,不断提升其安全管控能力。要使安全管理体系有效发挥作用、起到实效,还必须:
全面化:要针对评估中发现的问题,与最佳实践相比较所存在的差距,应覆盖人员和组织、制度和流程、技术手段等所有要素,覆
盖信息系统的整个生命周期,覆盖管理的整个过程。
系统化:管理体系应符合PDCA(规划、实施、检查、改进)思想,必须要有测量、反馈机制,能够进行内部监督、审计,形成正向
的内部激励机制,不断进行改进和完善。
流程化:制度是有益的、必须的,但还必须贯穿部门间藩篱的、目标可控、易于落地的流程。流程使人员不必须关注过多的制度,
只需按照流程工作即可,减轻了人员负担。
规范化:对于具体工作,必须给出明确的工作指导和表单,规范人员的操作行为。
融合化:安全管理不是1个独立的体系,应与现运维管理、内部控制等现有制度和流程相融合,借鉴Cobit、ITIL、CMMI、
PMP/PRINCE2、隐私数据保护等管理思想或方法的长处。
当然,每个公司都具有一定的个体特性,如文化、人员、组织和信息系统环境等等。在构建时,应采用中医的方法,严格诊断,对
症下药,建立起符合自己特点管理体系。
有效利用各种技术手段这主要体现在两个方面,一是采用技术手段,推动安全管理的电子化、自动化,提升管理效率;二是采用技
术手段,保障管理流程、管理目标的有效强制落实和实现。