freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

iso27001手冊信息安全管理手冊(編輯修改稿)

2024-10-11 09:14 本頁面
 

【文章內(nèi)容簡介】 準則和可接受水平。 1) 識別適用于 ISMS和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法。 2) 建立接受風險的準則并識別風險的可接受等級 。選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 注:風險評估具有不同的方法。具體參照 國家 《 信息安全風險評估規(guī)范 》 標準 。 3) 公司的風險評估的流程 公司制定《信息安全風險評估控制程序》,建立識別適用于信息安全管理體 系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法,建立接受風險的準則并識別風險的可接受等級。所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 信息安全風險評估的流程見圖 。 輸 入 輸 出 相關(guān)方 信息安全的要求和期望 相關(guān)方 管理的信息安全 建立ISMS 實 施 和運行ISMS 保 持 和改進ISMS 監(jiān)視和評審ISMS Plan Do Check Action 圖 d) 識別風險: 1) 識別 ISMS 控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者;在已確定的 ISMS 范圍內(nèi),對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括 業(yè)務(wù)過程 、 文檔 /數(shù)據(jù)、軟件 /系統(tǒng)、硬件 /設(shè)施、人力資源、服務(wù)、無形資產(chǎn)等。對每 一項信息資產(chǎn),根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn),形成《信息資產(chǎn)識別表》。 2) 識別對這些資產(chǎn)的威脅,一項資產(chǎn)可能面對若干個威脅; 3) 識別可能被威脅利用的脆弱性,一項脆弱性也可能面對若干個威脅; 4) 識別保密性、完整性和可用性損失可能對資產(chǎn)造成的影響。 e) 分析并評價風險: 1) 在資產(chǎn)識別的基礎(chǔ)上,針對每一項重要信息資產(chǎn),依據(jù)《風險評估原則》中的信息資產(chǎn) CIAB 分級標準,進行 CIAB的資產(chǎn)賦值計算; 2) 針對每一項重要信息資產(chǎn),參考《風險評估原則》中的《威脅參考表》及以往的安全事故 (事件)記錄、信息資產(chǎn)所處的環(huán)境等因素,識別出重要信息資產(chǎn)所面臨的所有威脅; 確定 ISMS范圍 事件發(fā)生的影響 事件發(fā)生的可能性 資產(chǎn)識別與重要資產(chǎn)確定 威脅識別 已有控制措施確認 薄弱點識別 保持已有的控制措施 施施施 選擇目標及控制措施 實 施 殘余風險評審 YES No 是否接受 確定風險等級 Yes 3) 按照《風險評估原則》中的《威脅分級標準》對每一個威脅發(fā)生的可能進行賦值; 4) 針對每一項威脅,考慮現(xiàn)有的控制措施,參考《風險評估原則》中的《脆弱性參考表》識別出被該威脅可能利用的所有薄弱點,并根據(jù)《風險評估原則》中的《脆弱性分級標準》對每一個脆弱性被威脅利用的難易程度進行賦值; 5) 按照風險評估模型結(jié)合威脅和脆弱性賦值對風險發(fā)生可能性進行評價。 6) 按照風險評估模型結(jié)合資產(chǎn)和脆弱性賦值對風險發(fā)生的損失進行評價。 7) 按照風險評估模型對風險發(fā)生可能性和風險發(fā)生的損失進行計算得出風險評估賦值,并按照《風險評估原則》中的《風險等級標準》評價出信息安全風險等級。 8) 對于信息安全風險,在考慮控制措施與費用平衡的原則下制定的信息安全風險接受準則,按照該準則確定何種等級的風險為不可接受風險。 f) 識別并評價風險處理的選擇: 對于信息安全風險,應(yīng)考慮控制措施與費用的平衡原則,選用以下適當?shù)拇胧? 1) 應(yīng)用適當?shù)目刂埔越档惋L險:這可能是降低事件發(fā)生的可能性,也可能是降低安全失敗 (保密性、完整性或可用性丟失 )的業(yè)務(wù)損害。 2) 如 果能證明風險滿足公司的方針和風險接受準則,有意的、客觀的接受風險;一般針對那些不可避免的風險,而且技術(shù)上、資源上不可能采取對策來降低,或者降低對公司來說不經(jīng)濟。 “接受風險”是針對判斷為不可接受的風險所采取的處理方法,而不是針對那些低于風險接受水平的本來就可接受的風險。 3) 避免風險;對于不是公司的核心工作內(nèi)容的活動,公司可以采取避免某項活動或者避免采用某項不成熟的產(chǎn)品技術(shù)等來回避可能產(chǎn)生的風險。 4) 將有關(guān)的業(yè)務(wù)風險轉(zhuǎn)移到其他方,例如保險公司、供方。 信息安全工作小組 應(yīng)組織有關(guān)部門根據(jù)風險評估的結(jié)果,形 成風險處理計劃,該計劃應(yīng)明確風險處理責任部門、方法及時間。 g) 為風險的處理選擇控制目標與控制措施。 應(yīng)選擇并實施控制目標和控制措施,以滿足風險評估和風險處理過程所識別的要求。選擇時,應(yīng)考慮接受風險的準則以及法律法規(guī)和合同要求。 信息安全工作小組 根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果,組織有關(guān)部門制定信息安全目標,并將目標分解到有關(guān)部門。信息安全目標應(yīng)獲得信息安全最高責任者的批準。 從附錄 A中選擇的控制目標和控制措施應(yīng)作為這一過程的一部分,并滿足上述要求。公司也可根據(jù)需要選擇另外的控制目標和控制措 施。 注:附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄 A作為選擇控制措施的出發(fā)點,以確保不會遺漏重要的控制可選措施。 h) 獲得最高管理者對建議的剩余風險的批準,剩余風險接受批準應(yīng)該在《風險評估表》上留下記錄,并記錄殘余風險處置批示報告。 i) 獲得管理者對實施和運行 ISMS 的授權(quán)。 ISMS 管理者代表的任命和授權(quán)、 ISMS文檔的簽署可以作為實施和運作 ISMS的授權(quán)證據(jù)。 j) 準備適用性聲明,內(nèi)容應(yīng)包括: 1) 所選擇的控制目標和控制措施,以及選擇的原因; 2) 當前實施 的控制目標和控制措施; 3) 附錄 A中控制目標和控制措施的刪減,以及刪減的理由。 4) 信息安全工作小組 負責組織編制《 信息安全適用性聲明 (SOA)》。 注:適用性聲明提供了一個風險處理決策的總結(jié)。通過判斷刪減的理由,再次確認控制目標沒有被無意識的遺漏。 實施并運作 ISMS 為確保 ISMS有效實施,對已識別的風險進行有效處理,本公司開展以下活動: a) 制定風險處理計劃闡明為控制信息安全風險確定的適當?shù)墓芾砘顒印⒙氊熞约皟?yōu)先權(quán)。 b) 為了達到所確定的控制目標,實施風險處理計劃,包括考慮資金以及角 色和職責的分配,明確各崗位的信息安全職責; c) 實施所選的控制措施,以滿足控制目標。 d) 確定如何測量所選擇的一個 /組控制措施的有效性,并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結(jié)果。 注:測量控制措施的有效性允許管理者和相關(guān)人員來確定這些控制措施實現(xiàn)策劃的控制目標的程度。 e) 實施培訓和意識計劃。 f) 對 ISMS的運作進行管理。 g) 對 ISMS的資源進行管理。 h) 實施能夠快速檢測安全事情、響應(yīng)安全事件的程序和其它控制。 監(jiān)控并評審 ISMS a) 本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn): 1)快速檢測處理結(jié)果中的錯誤; 2)快速識別失敗的和成功的安全破壞和事件; 3)能使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果; 4) 幫助檢測安全事情,并利用指標預(yù)防安全事件; 5)確定解決安全破壞所采取的措施是否有效。 b) 定期評審 ISMS的有效性(包括安全方針和目標的符合性,對安全控制措施的評審),考慮安全審核、事件、有效性測量的結(jié)果,以及所有相關(guān)方的建議和反饋。 c) 測量控 制措施的有效性,以證實安全要求已得到滿足。 d) 按照計劃的時間間隔,評審風險評估,評審剩余風險以及可接受風險的等級,考慮到下列變化: 1) 組織機構(gòu)和職責; 2) 技術(shù); 3) 業(yè)務(wù)目標和過程; 4) 已識別的威脅; 5) 實施控制的有效性; 6) 外部事件,例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。 e) 按照計劃的時間間隔(不超過一年)進行 ISMS內(nèi)部審核。 注:內(nèi)部審核,也稱為第一方審核,是為了內(nèi)部的目的,由公司或以公司的名義進行的審核。 f) 定期對 ISMS進行管理評審,以確保 范圍的充分性,并識別 ISMS過程的改進。 g) 考慮監(jiān)視和評審活動的發(fā)現(xiàn),更新安全計劃。 h) 記錄可能對 ISMS有效性或業(yè)績有影響的活動和事情。 保持并持續(xù)改進 ISMS 本公司開展以下活動,以確保 ISMS的持續(xù)改進: a) 實施已識別的 ISMS改進措施。 b) 采取適當?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗以及組織自身安全實踐中得到的教訓。 c) 與所有相關(guān)方溝通措施和改進。溝通的詳細程度應(yīng)與環(huán)境相適宜,必要時,應(yīng)約定如何進行。 d) 確保改進達到其預(yù)期的目標。 文件要求 總則 本公司 信息安全管理體系文件包括: a)文件化的信息安全方針、控制目標; b)信息安全管理體系手冊(本手冊,包括信息安全適用范圍及引用的標準); c)本手冊要求的《信息安全風險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《 糾正和預(yù)防措施程序 》、《管理評審程序》等支持性程序; d)ISMS引用質(zhì)量管理體系的支持性程序。如:《文件控制程序》、《記錄控制程序》、《內(nèi)部審核控制程序》等; e)為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序; f)《風險評估報告》、《風險處理計劃》以及 ISMS要求的記錄類; g)相關(guān)的法律、法規(guī)和信息安全標準; h)適應(yīng)性聲明。 信息安全管理手冊 a)編寫目的:向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息,用于對公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。 b)信息安全管理手冊的編寫:由管理者代表負責組織編寫,總經(jīng)理批準后發(fā)布實施。 c)信息安全管理手冊的管理: 信息安全工作小組 負責保管及發(fā)放管理。 d)信息安全管理手冊的發(fā)放:手冊分“受控”和 “非受控”兩種。受控手冊在封面上加蓋紅色“受控文件 ”章,僅限于公司內(nèi)部使用,當修訂或換版時進 行相應(yīng)控制,且人員調(diào)離時應(yīng)予歸還;非受控手 冊不蓋任何印章,發(fā)放對象為認證機構(gòu)、客戶等,在修訂和換版時不予控制。 文件控制 公司制定并實施《文件控制程序》,對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定,以確保在使用場所能夠及時獲得適用文件的有效版本。 文件控制應(yīng)保證: a) 文件在發(fā)放前應(yīng)按規(guī)定的審核和批準權(quán)限進行批準后才能 發(fā)布; b) 必要時對文件進行評審與更新,并按規(guī)定的權(quán)限重新批準; c) 由信息安全工作小組對文件的現(xiàn)行修訂狀態(tài)進行標識,文件更改由相應(yīng)更改部門進行標識,確保文件的更改狀態(tài)清晰明了; d) 信息安全工作小組應(yīng)確保所有使用文件的場所能夠獲得有關(guān)文件的有效的 最新版本; e) 確保文件保持清晰、易于識別; f) 確保文件可以為需要者所獲得,并根據(jù)適用于他們類別的程序進
點擊復制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1