【正文】 化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。立法 信息輸入 摘要 立法 信息輸入 摘要 術(shù)語(yǔ)“ 責(zé)任人 ” 不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán) P5選擇、評(píng)價(jià)和確定風(fēng)險(xiǎn)處理方式、處理目標(biāo)和處理措施 79 常用的處理方式包括 ： ?采用適當(dāng)?shù)目刂拼胧?降低風(fēng)險(xiǎn) ） ?在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地 接受風(fēng)險(xiǎn) ?避免風(fēng)險(xiǎn) ?將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等（ 轉(zhuǎn)移風(fēng)險(xiǎn) ） 風(fēng)險(xiǎn)處理方式及決策原則 80 ?降低風(fēng)險(xiǎn)： 在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn) ?避免風(fēng)險(xiǎn)： 有些風(fēng)險(xiǎn)容易避免，例如采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等 ?轉(zhuǎn)移風(fēng)險(xiǎn)： 通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和避免、且被第三方接受時(shí)才采用 ?接受風(fēng)險(xiǎn)： 用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 81 ?選擇控制目標(biāo)和控制措施應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求 ?將 ISO27001附錄 A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施 ?組織也可能需要 制定 ISO27001附錄 A以外的控制目標(biāo)和控制措施 提示：在選擇控制目標(biāo)和控制措施時(shí)，并沒有一套標(biāo)準(zhǔn)與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的討論、咨詢和決策過程 P6獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn) 82 ?獲得管理層接受風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)所建議的殘余風(fēng)險(xiǎn)的確認(rèn)是風(fēng)險(xiǎn)評(píng)估活動(dòng)中的一個(gè)重要過程 ?管理層確認(rèn)接受殘余風(fēng)險(xiǎn)，是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且必須承擔(dān)引發(fā)的后果 ?如果一個(gè)組織所建立的 ISMS要尋求認(rèn)證，認(rèn)證機(jī)構(gòu)將尋求管理層確認(rèn)接受殘余風(fēng)險(xiǎn)的書面證據(jù) P7獲得管理者對(duì)實(shí)施和運(yùn)行 ISMS的授權(quán) 83 ?必須獲得管理者對(duì)實(shí)施和運(yùn)行 ISMS的授權(quán)。 2023年 1月 23日星期一 下午 8時(shí) 29分 24秒 20:29: 1比不了得就不比，得不到的就不要。 :29:2420:29:24January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 20:29:2420:29:2420:29Monday, January 23, 2023 1知人者智，自知者明。 下午 8時(shí) 29分 24秒 下午 8時(shí) 29分 20:29: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴 。 20:29:2420:29:2420:291/23/2023 8:29:24 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :29:2420:29Jan2323Jan23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 20:29:2420:29:2420:29Monday, January 23, 2023 1乍見翻疑夢(mèng)，相悲各問年。但聯(lián)邦機(jī)構(gòu)應(yīng)采納 FIPS中要求使用的 NIST SP以及 OMB要求的特定 NIST SP。客戶 客戶 信息記錄 客戶 客戶 信息記錄 對(duì)信息安全的正確理解 26 信息安全管理體系的作用 對(duì)內(nèi)： ?能夠保護(hù)關(guān)鍵 信息 資產(chǎn)和知識(shí)產(chǎn)權(quán)， 維持競(jìng)爭(zhēng) 優(yōu)勢(shì) ?在系統(tǒng)受侵襲 時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低 程度 ?建立 起 信息 安全審計(jì)框架，實(shí)施監(jiān)督 檢查 ?建立 起 文檔 化的信息安全管理規(guī)范 ， 實(shí)現(xiàn) 有 “法”可依，有章可循，有據(jù)可查 ?強(qiáng)化 員工的信息安全意識(shí) ， 建立良好的安全作業(yè)習(xí)慣 ， 培育組織的 信息安全企業(yè)文化 ?按照 風(fēng)險(xiǎn)管理的思想 建立 起 自我 持續(xù)改進(jìn)和發(fā)展的信息安全管理機(jī)制 ， 用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的 持續(xù)性 27 信息安全管理體系的作用 對(duì)外： ?能夠 使 各利益相關(guān)方 對(duì)組織充滿信心 ?能夠幫助界定外包時(shí)雙方的信息安全 責(zé)任 ?可以使組織更好地滿足客戶或其他組織的審計(jì) 要求 ?可以使組織更好地符合法律法規(guī)的 要求 ?若通過了 ISO27001認(rèn)證 ，能夠 提高 組織的公 信度 ?可以明確 要求供應(yīng) 商 提高信息 安全水平，保證數(shù)據(jù)交換中的信息安全 28 實(shí)施信息安全管理的關(guān)鍵成功因素 (CSF) ? 組織 的信息安全方針和活動(dòng)能夠反映組織的業(yè)務(wù) 目標(biāo) ? 組織 實(shí)施信息安全的方法和框架與組織的文化相 一致 ? 管理 者能夠給予信息安全實(shí)質(zhì)性的、可見的支持和 承諾 ? 管理 者對(duì)信息安全需求、信息安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理 有深入理解 ? 向 全員 和其他相關(guān)方提供 有效的信息安全宣傳以提升信息安全 意識(shí) ? 向 全員 和 其他相關(guān)方分發(fā)并宣貫信息安全方針、策略和 標(biāo)準(zhǔn) ? 管理 者為信息安全建設(shè)提供足夠的 資金 ? 向 全員提供適當(dāng)?shù)男畔踩嘤?xùn)和 教育 ? 建立 有效的信息安全事件 管理過程 ? 建立 有效的信息安全測(cè)量 體系 29 知識(shí)域：信息安全管理方法與實(shí)施 知識(shí)子域： 信息安全管理 方法 ?理解風(fēng)險(xiǎn)管理是信息安全管理的基本方法，理解風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)， 風(fēng)險(xiǎn)處理 是信息安全管理的核心，理解控制措施是管理風(fēng)險(xiǎn)的具體手段 ?理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解 PDCA模型 30 風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ) ?風(fēng)險(xiǎn)評(píng)估主要對(duì) ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行界定 ?信息安全管理體系的建立需要確定信息安全需求 ?信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估 ?信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，沒有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就沒有依據(jù) 31 風(fēng)險(xiǎn)處理是信息安全管理的核心 ?風(fēng)險(xiǎn)處理是對(duì)風(fēng)險(xiǎn)評(píng)估活動(dòng)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行決策，采取適當(dāng)?shù)目刂拼胧┨幚聿荒芙邮艿娘L(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可按受的 范圍 ?風(fēng)險(xiǎn)評(píng)估活動(dòng)只能揭示組織面臨的風(fēng)險(xiǎn)，不能改變風(fēng)險(xiǎn) 狀況 ?只有通過風(fēng)險(xiǎn)處理活動(dòng)，組織的信息安全能力才會(huì)提升，信息安全需求才能被滿足 ， 才能 實(shí)現(xiàn) 其信息安全 目標(biāo) ?信息 安全管理的 核心就是 這些風(fēng)險(xiǎn)處理措施 的集合 32 風(fēng)險(xiǎn)管理是信息安全管理的根本方法 33 ?應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處理。 規(guī)則 人員 目標(biāo) 項(xiàng) 目 辦 公 室項(xiàng) 目 經(jīng) 理項(xiàng) 目 專 家 組實(shí) 施 小 組 協(xié) 調(diào) 小 組國(guó) 稅 總 局 測(cè) 評(píng) 中 心 福 建 地 稅項(xiàng) 目 領(lǐng) 導(dǎo) 組國(guó) 稅 總 局 福 建 地 稅變 更 控 制 委 員 會(huì)組織 以建立體系的方式實(shí)施信息安全管理的 必要性 7 ? 信息 安全的攻擊和防護(hù)嚴(yán)重不對(duì)稱，相對(duì)來(lái)說(shuō)攻擊成功很容易，防護(hù)成功卻極為 困難 ? 信息 安全水平的高低遵循木桶原理 ：信息 安全水平有多高，取決于防護(hù)最薄弱的 環(huán)節(jié) 信息安全水平 被侵害的資產(chǎn) 防護(hù)措施 信息安全管理體系的定義 ?體系 ?管理體系 ?信息安全管理體系 8 信息安全管理體系的定義 ?體系 ：相互關(guān)聯(lián)和相互作用的一組要素。 5 信息安全管理的對(duì)象 6 ? 信息安全管理的對(duì)象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。 “堅(jiān)持管理與技術(shù)并重”是我國(guó) 加強(qiáng)信息安全保障工作的主要 原則之一 23 信息安全管理的作用 24 ? （三） 信息安全管理能預(yù)防、阻止或減少信息安全事件的發(fā)生 信息安全管理的作用 ?統(tǒng)計(jì) 結(jié)果 顯示 ， 在所有信息安全事故中，只有 20%~30%是由于黑客入侵或其他外部原因造成的， 70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成 的 ?統(tǒng)計(jì) 結(jié)果 表明 ， 現(xiàn)實(shí) 世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)原因，不如說(shuō)是管理不善造成的 ?因此 ，防止發(fā)生信息安全事件不應(yīng)僅從技術(shù)著手，同時(shí)更應(yīng)加強(qiáng)信息 安全管理 25 安全 不是 產(chǎn)品的簡(jiǎn)單堆積，也不是 一次性的靜態(tài)過程，它是 人員、技術(shù)、操作三者緊密結(jié)合的 系統(tǒng)工程 ，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程。信息輸出 收據(jù) 規(guī)定 信息輸出 收據(jù) 規(guī)定 主要 目標(biāo)是有效地提高我國(guó)信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò) 和重要 信息系統(tǒng)的安全 NIST SP 800 聯(lián)邦機(jī)構(gòu)或非政府組織 與 FIPS不同，是非強(qiáng)制性的。 :29:2420:29Jan2323Jan23 1故人江海別，幾度隔山川。 20:29:2420:29:2420:291/23/2023 8:29:24 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 , January 23, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 1月 23日星期一 8時(shí) 29分 24秒 20:29:2423 January 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝