【正文】 doubt that practices will meet specified requirements.q 一個(gè)或多個(gè)系統(tǒng)的要素缺失或無效實(shí)施 。 n 就認(rèn)證而言，并沒有對文件的多少有強(qiáng)制性的要求，但是就慣例而言，二級(jí)程序文件通常還包括： 1. 《管理評(píng)審控制程序》 2. 《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》 3. 《 BCP》 4. 《 DRP》 5. 《適用性聲明》 6. 《計(jì)算機(jī)和網(wǎng)絡(luò)安全控制程序》 n 等等。……n ERM：企業(yè)風(fēng)險(xiǎn)管理（目前最高級(jí)別的認(rèn)證）n BCM：業(yè)務(wù)持續(xù)性管理n CSR：企業(yè)可持續(xù)發(fā)展報(bào)告（驗(yàn)證各項(xiàng)指標(biāo)）n RPN：風(fēng)險(xiǎn)優(yōu)先指數(shù)n BCM/BCP：業(yè)務(wù)持續(xù)戰(zhàn)略n Continual Improvement：持續(xù)改進(jìn)n RA：風(fēng)險(xiǎn)分析n ITDRn MCAn BIAn RTO： recovery time objectiven RPO： recovery point objectiven LBCBCP與災(zāi)難恢復(fù)等概念的比較影響公司層面業(yè)務(wù)持續(xù)性的因素n 供應(yīng)鏈中斷：重要原料、 IT硬件n 高層的錯(cuò)誤決策n 客戶不滿n 關(guān)鍵人員流失n 數(shù)據(jù)中心重大事故n 恐怖襲擊、戰(zhàn)爭n 員工信心n 天災(zāi)人禍、火災(zāi)爆炸n 聯(lián)動(dòng)點(diǎn)n 法律法規(guī)n 公眾反應(yīng)BCM非常重要n 實(shí)施 ITSM業(yè)務(wù)連續(xù)性管理的兩條途徑q 公司層面的 BCM（適合于 IT Outsourcing或 BPO企業(yè)）q 信息安全層面的 BCM，適合大型制造業(yè)及工藝流程復(fù)雜的企業(yè)n BCM或 BCP比 “可用性管理 ”有更大的范圍和規(guī)模！BCM: 一個(gè)好的平臺(tái)n Quality managementn Public relationshipn Investment directionn Security managementn Disaster recoveryn Safety managementn Facilities managementn IT/Other disaster recoveryn Supply chain managementn Risk managementBCM的步驟1. 理解你的業(yè)務(wù) BIA (Business Impact Assessment)2. 業(yè)務(wù)持續(xù)性計(jì)劃 BCP (Business Continuity Planning)3. 研究并實(shí)施 BCM行動(dòng)4. 建立并深入公司 BCM文件5. 演練 /維護(hù)及審核 BCMISO27001 LA Training CourseDay 2ShanghaiFeb. 19, 2023建立 ISMS的步驟1. 制定方針2. 確定邊界3. 識(shí)別資產(chǎn)4. 風(fēng)險(xiǎn)評(píng)估5. 風(fēng)險(xiǎn)處置6. 風(fēng)險(xiǎn)接受7. 動(dòng)態(tài)的風(fēng)險(xiǎn)管理制定方針確定邊界識(shí)別資產(chǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受動(dòng)態(tài)的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)、威脅和脆弱性的概念n 風(fēng)險(xiǎn) Risk：q 特定的威脅利用資產(chǎn)漏洞的潛在可能，并可導(dǎo)致對組織的危害。step1如果ISMS和其他體系的聯(lián)系和區(qū)別n 聯(lián)系q 所有管理體系的共性（需要分析的 5大要素）：人、機(jī)、料、法、環(huán)n 區(qū)別q ISMS：n %5的人：做 95%的工作n %95的人：執(zhí)行（需要接受培訓(xùn)）本頁及下頁圖片來源于 BSI中國網(wǎng)站ISMS適用的行業(yè)n 以信息為生命線的行業(yè)：q 金融行業(yè)：銀行、保險(xiǎn)、證券、基金、期貨等q 通信行業(yè)：電信、網(wǎng)通、移動(dòng)、聯(lián)通等q 皮包公司：外貿(mào)、進(jìn)出口、 HR、獵頭、會(huì)計(jì)師事務(wù)所等n 對信息技術(shù)依賴度高的行業(yè)：q 鋼鐵、半導(dǎo)體、物流q 電力、能源q 外包（ ITO或 BPO）： IT、軟件、電信 IDC、 Call Center等n 工藝技術(shù)要求高、競爭對手渴望得到的：q 醫(yī)藥、精細(xì)化工q 研究機(jī)構(gòu)ISO27001, 20230 CMMIRequirementOperateOptimizeDesignBuildDeployCMMIISO20230ISO27001 ISO27001如何成為 LA主任審核員？n 要成為 LA，必須經(jīng)過：q 2 MD observer Junior Auditorq 20MD junior auditor Auditorq 15MD auditor Lead Auditorn 注意：q 后兩項(xiàng)經(jīng)驗(yàn)需分別從 3個(gè)新的、不同的客戶中獲取q 上述每一段經(jīng)驗(yàn)，均需在 2年內(nèi)獲得q DNV可以幫助進(jìn)行 IRCA注冊什么是好的 ISMSn Good Information Security Management q Systematic approachq Improved understanding of business aspectsq Reduction in security breaches and/or claimsq Reduction in adverse publicityq Improved insurance liability ratingq Identify critical assets via the business risk assessmentq Provide a structure for continuous improvementq Be a confidence factor internally as well as externallyq Enhance the knowledge and importance of securityrelated issues at the management levelq Ensure that “knowledge capital” will be “stored” and managed in a business management system實(shí)施 ISMS的關(guān)鍵成功因素n 與組織文化一致的信息安全方法n 老板的支持n 對信息安全的要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理有好的理解n 向所有員工和其他人分發(fā)信息安全指南n 有效的對員工和其他人推銷信息安全（外部人員也被要求進(jìn)行信息安全培訓(xùn)）n 足夠的財(cái)務(wù)支持，以及滿足要求的現(xiàn)有系統(tǒng)的能力和配置水平n 有效的信息安全事故管理過程Tips1重要提示n ISMS（信息安全管理體系）和 ITSM（信息技術(shù)服務(wù)管理）的整合需求越來越大：q 來自最高管理者的關(guān)注增強(qiáng)q 來自客戶的推動(dòng)、壓力q 政府的推動(dòng)并提供資金的支持，如 “十百千 ”工程q 行業(yè)的普遍關(guān)注，如電信 IDC，移動(dòng)，電力系統(tǒng)，海關(guān)總署，國家質(zhì)監(jiān)總局n 目前，各大銀行和電力企業(yè)正在實(shí)施 ITIL，每年有 Very Large的市場。 信息可以以各種形式存在，可以印刷或?qū)懺诩埳?，以電子形式存?chǔ)、郵寄或使用電子手段傳輸，以影片播放或?qū)υ挕Ｐ量嗔撕荛L時(shí)間，開標(biāo)時(shí)卻發(fā)現(xiàn)競爭對手的標(biāo)書中多了很多 HW特有的東西，報(bào)價(jià)也較自己低q 經(jīng)調(diào)閱酒店錄像，發(fā)現(xiàn)投標(biāo)前一晚上當(dāng)他們離開房間去吃飯時(shí)，有人到其中一個(gè)房間取走了筆記本電腦中的硬盤 ……n LM事件q LM一直與中國軍方關(guān)系密切，承接過國家級(jí)信息安全項(xiàng)目q 骨干中一人離職出國，帶出很多涉密文件，結(jié)果 LM被封殺n 艷照門q 很傻很天真什么叫管理體系n Sy