freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

iso27001手冊(cè)信息安全管理手冊(cè)(編輯修改稿)

2024-10-11 09:14 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 準(zhǔn)則和可接受水平。 1) 識(shí)別適用于 ISMS和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。 2) 建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí) 。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 注:風(fēng)險(xiǎn)評(píng)估具有不同的方法。具體參照 國(guó)家 《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 標(biāo)準(zhǔn) 。 3) 公司的風(fēng)險(xiǎn)評(píng)估的流程 公司制定《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》,建立識(shí)別適用于信息安全管理體 系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法,建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 信息安全風(fēng)險(xiǎn)評(píng)估的流程見圖 。 輸 入 輸 出 相關(guān)方 信息安全的要求和期望 相關(guān)方 管理的信息安全 建立ISMS 實(shí) 施 和運(yùn)行ISMS 保 持 和改進(jìn)ISMS 監(jiān)視和評(píng)審ISMS Plan Do Check Action 圖 d) 識(shí)別風(fēng)險(xiǎn): 1) 識(shí)別 ISMS 控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者;在已確定的 ISMS 范圍內(nèi),對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括 業(yè)務(wù)過(guò)程 、 文檔 /數(shù)據(jù)、軟件 /系統(tǒng)、硬件 /設(shè)施、人力資源、服務(wù)、無(wú)形資產(chǎn)等。對(duì)每 一項(xiàng)信息資產(chǎn),根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn),形成《信息資產(chǎn)識(shí)別表》。 2) 識(shí)別對(duì)這些資產(chǎn)的威脅,一項(xiàng)資產(chǎn)可能面對(duì)若干個(gè)威脅; 3) 識(shí)別可能被威脅利用的脆弱性,一項(xiàng)脆弱性也可能面對(duì)若干個(gè)威脅; 4) 識(shí)別保密性、完整性和可用性損失可能對(duì)資產(chǎn)造成的影響。 e) 分析并評(píng)價(jià)風(fēng)險(xiǎn): 1) 在資產(chǎn)識(shí)別的基礎(chǔ)上,針對(duì)每一項(xiàng)重要信息資產(chǎn),依據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的信息資產(chǎn) CIAB 分級(jí)標(biāo)準(zhǔn),進(jìn)行 CIAB的資產(chǎn)賦值計(jì)算; 2) 針對(duì)每一項(xiàng)重要信息資產(chǎn),參考《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅參考表》及以往的安全事故 (事件)記錄、信息資產(chǎn)所處的環(huán)境等因素,識(shí)別出重要信息資產(chǎn)所面臨的所有威脅; 確定 ISMS范圍 事件發(fā)生的影響 事件發(fā)生的可能性 資產(chǎn)識(shí)別與重要資產(chǎn)確定 威脅識(shí)別 已有控制措施確認(rèn) 薄弱點(diǎn)識(shí)別 保持已有的控制措施 施施施 選擇目標(biāo)及控制措施 實(shí) 施 殘余風(fēng)險(xiǎn)評(píng)審 YES No 是否接受 確定風(fēng)險(xiǎn)等級(jí) Yes 3) 按照《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅分級(jí)標(biāo)準(zhǔn)》對(duì)每一個(gè)威脅發(fā)生的可能進(jìn)行賦值; 4) 針對(duì)每一項(xiàng)威脅,考慮現(xiàn)有的控制措施,參考《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性參考表》識(shí)別出被該威脅可能利用的所有薄弱點(diǎn),并根據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性分級(jí)標(biāo)準(zhǔn)》對(duì)每一個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值; 5) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合威脅和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評(píng)價(jià)。 6) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合資產(chǎn)和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行評(píng)價(jià)。 7) 按照風(fēng)險(xiǎn)評(píng)估模型對(duì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行計(jì)算得出風(fēng)險(xiǎn)評(píng)估賦值,并按照《風(fēng)險(xiǎn)評(píng)估原則》中的《風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)》評(píng)價(jià)出信息安全風(fēng)險(xiǎn)等級(jí)。 8) 對(duì)于信息安全風(fēng)險(xiǎn),在考慮控制措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險(xiǎn)接受準(zhǔn)則,按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。 f) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇: 對(duì)于信息安全風(fēng)險(xiǎn),應(yīng)考慮控制措施與費(fèi)用的平衡原則,選用以下適當(dāng)?shù)拇胧? 1) 應(yīng)用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn):這可能是降低事件發(fā)生的可能性,也可能是降低安全失敗 (保密性、完整性或可用性丟失 )的業(yè)務(wù)損害。 2) 如 果能證明風(fēng)險(xiǎn)滿足公司的方針和風(fēng)險(xiǎn)接受準(zhǔn)則,有意的、客觀的接受風(fēng)險(xiǎn);一般針對(duì)那些不可避免的風(fēng)險(xiǎn),而且技術(shù)上、資源上不可能采取對(duì)策來(lái)降低,或者降低對(duì)公司來(lái)說(shuō)不經(jīng)濟(jì)。 “接受風(fēng)險(xiǎn)”是針對(duì)判斷為不可接受的風(fēng)險(xiǎn)所采取的處理方法,而不是針對(duì)那些低于風(fēng)險(xiǎn)接受水平的本來(lái)就可接受的風(fēng)險(xiǎn)。 3) 避免風(fēng)險(xiǎn);對(duì)于不是公司的核心工作內(nèi)容的活動(dòng),公司可以采取避免某項(xiàng)活動(dòng)或者避免采用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來(lái)回避可能產(chǎn)生的風(fēng)險(xiǎn)。 4) 將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方,例如保險(xiǎn)公司、供方。 信息安全工作小組 應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,形 成風(fēng)險(xiǎn)處理計(jì)劃,該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。 g) 為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制措施。 應(yīng)選擇并實(shí)施控制目標(biāo)和控制措施,以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程所識(shí)別的要求。選擇時(shí),應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。 信息安全工作小組 根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果,組織有關(guān)部門制定信息安全目標(biāo),并將目標(biāo)分解到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信息安全最高責(zé)任者的批準(zhǔn)。 從附錄 A中選擇的控制目標(biāo)和控制措施應(yīng)作為這一過(guò)程的一部分,并滿足上述要求。公司也可根據(jù)需要選擇另外的控制目標(biāo)和控制措 施。 注:附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄 A作為選擇控制措施的出發(fā)點(diǎn),以確保不會(huì)遺漏重要的控制可選措施。 h) 獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn),剩余風(fēng)險(xiǎn)接受批準(zhǔn)應(yīng)該在《風(fēng)險(xiǎn)評(píng)估表》上留下記錄,并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。 i) 獲得管理者對(duì)實(shí)施和運(yùn)行 ISMS 的授權(quán)。 ISMS 管理者代表的任命和授權(quán)、 ISMS文檔的簽署可以作為實(shí)施和運(yùn)作 ISMS的授權(quán)證據(jù)。 j) 準(zhǔn)備適用性聲明,內(nèi)容應(yīng)包括: 1) 所選擇的控制目標(biāo)和控制措施,以及選擇的原因; 2) 當(dāng)前實(shí)施 的控制目標(biāo)和控制措施; 3) 附錄 A中控制目標(biāo)和控制措施的刪減,以及刪減的理由。 4) 信息安全工作小組 負(fù)責(zé)組織編制《 信息安全適用性聲明 (SOA)》。 注:適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。通過(guò)判斷刪減的理由,再次確認(rèn)控制目標(biāo)沒(méi)有被無(wú)意識(shí)的遺漏。 實(shí)施并運(yùn)作 ISMS 為確保 ISMS有效實(shí)施,對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理,本公司開展以下活動(dòng): a) 制定風(fēng)險(xiǎn)處理計(jì)劃闡明為控制信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)以及優(yōu)先權(quán)。 b) 為了達(dá)到所確定的控制目標(biāo),實(shí)施風(fēng)險(xiǎn)處理計(jì)劃,包括考慮資金以及角 色和職責(zé)的分配,明確各崗位的信息安全職責(zé); c) 實(shí)施所選的控制措施,以滿足控制目標(biāo)。 d) 確定如何測(cè)量所選擇的一個(gè) /組控制措施的有效性,并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果。 注:測(cè)量控制措施的有效性允許管理者和相關(guān)人員來(lái)確定這些控制措施實(shí)現(xiàn)策劃的控制目標(biāo)的程度。 e) 實(shí)施培訓(xùn)和意識(shí)計(jì)劃。 f) 對(duì) ISMS的運(yùn)作進(jìn)行管理。 g) 對(duì) ISMS的資源進(jìn)行管理。 h) 實(shí)施能夠快速檢測(cè)安全事情、響應(yīng)安全事件的程序和其它控制。 監(jiān)控并評(píng)審 ISMS a) 本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn): 1)快速檢測(cè)處理結(jié)果中的錯(cuò)誤; 2)快速識(shí)別失敗的和成功的安全破壞和事件; 3)能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果; 4) 幫助檢測(cè)安全事情,并利用指標(biāo)預(yù)防安全事件; 5)確定解決安全破壞所采取的措施是否有效。 b) 定期評(píng)審 ISMS的有效性(包括安全方針和目標(biāo)的符合性,對(duì)安全控制措施的評(píng)審),考慮安全審核、事件、有效性測(cè)量的結(jié)果,以及所有相關(guān)方的建議和反饋。 c) 測(cè)量控 制措施的有效性,以證實(shí)安全要求已得到滿足。 d) 按照計(jì)劃的時(shí)間間隔,評(píng)審風(fēng)險(xiǎn)評(píng)估,評(píng)審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級(jí),考慮到下列變化: 1) 組織機(jī)構(gòu)和職責(zé); 2) 技術(shù); 3) 業(yè)務(wù)目標(biāo)和過(guò)程; 4) 已識(shí)別的威脅; 5) 實(shí)施控制的有效性; 6) 外部事件,例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 e) 按照計(jì)劃的時(shí)間間隔(不超過(guò)一年)進(jìn)行 ISMS內(nèi)部審核。 注:內(nèi)部審核,也稱為第一方審核,是為了內(nèi)部的目的,由公司或以公司的名義進(jìn)行的審核。 f) 定期對(duì) ISMS進(jìn)行管理評(píng)審,以確保 范圍的充分性,并識(shí)別 ISMS過(guò)程的改進(jìn)。 g) 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn),更新安全計(jì)劃。 h) 記錄可能對(duì) ISMS有效性或業(yè)績(jī)有影響的活動(dòng)和事情。 保持并持續(xù)改進(jìn) ISMS 本公司開展以下活動(dòng),以確保 ISMS的持續(xù)改進(jìn): a) 實(shí)施已識(shí)別的 ISMS改進(jìn)措施。 b) 采取適當(dāng)?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗(yàn)以及組織自身安全實(shí)踐中得到的教訓(xùn)。 c) 與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜,必要時(shí),應(yīng)約定如何進(jìn)行。 d) 確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)。 文件要求 總則 本公司 信息安全管理體系文件包括: a)文件化的信息安全方針、控制目標(biāo); b)信息安全管理體系手冊(cè)(本手冊(cè),包括信息安全適用范圍及引用的標(biāo)準(zhǔn)); c)本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《 糾正和預(yù)防措施程序 》、《管理評(píng)審程序》等支持性程序; d)ISMS引用質(zhì)量管理體系的支持性程序。如:《文件控制程序》、《記錄控制程序》、《內(nèi)部審核控制程序》等; e)為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序; f)《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理計(jì)劃》以及 ISMS要求的記錄類; g)相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn); h)適應(yīng)性聲明。 信息安全管理手冊(cè) a)編寫目的:向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息,用于對(duì)公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。 b)信息安全管理手冊(cè)的編寫:由管理者代表負(fù)責(zé)組織編寫,總經(jīng)理批準(zhǔn)后發(fā)布實(shí)施。 c)信息安全管理手冊(cè)的管理: 信息安全工作小組 負(fù)責(zé)保管及發(fā)放管理。 d)信息安全管理手冊(cè)的發(fā)放:手冊(cè)分“受控”和 “非受控”兩種。受控手冊(cè)在封面上加蓋紅色“受控文件 ”章,僅限于公司內(nèi)部使用,當(dāng)修訂或換版時(shí)進(jìn) 行相應(yīng)控制,且人員調(diào)離時(shí)應(yīng)予歸還;非受控手 冊(cè)不蓋任何印章,發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶等,在修訂和換版時(shí)不予控制。 文件控制 公司制定并實(shí)施《文件控制程序》,對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定,以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。 文件控制應(yīng)保證: a) 文件在發(fā)放前應(yīng)按規(guī)定的審核和批準(zhǔn)權(quán)限進(jìn)行批準(zhǔn)后才能 發(fā)布; b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新,并按規(guī)定的權(quán)限重新批準(zhǔn); c) 由信息安全工作小組對(duì)文件的現(xiàn)行修訂狀態(tài)進(jìn)行標(biāo)識(shí),文件更改由相應(yīng)更改部門進(jìn)行標(biāo)識(shí),確保文件的更改狀態(tài)清晰明了; d) 信息安全工作小組應(yīng)確保所有使用文件的場(chǎng)所能夠獲得有關(guān)文件的有效的 最新版本; e) 確保文件保持清晰、易于識(shí)別; f) 確保文件可以為需要者所獲得,并根據(jù)適用于他們類別的程序進(jìn)
點(diǎn)擊復(fù)制文檔內(nèi)容
公司管理相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1