組織應根據風險評估的結果���,并考慮控制 費用與風險平衡的原則,選擇適合組織的控制目標與控制方式���。
編寫控制概要
控制概要中應對根據風險評估結果選擇的控制目標與控制方式進行詳細的說明。
制定業務持續性計劃
為降低信息安全事件或自然災害對組織業務持續性的影響���,組織應在 風險評估的基礎上編制業務持續性計劃并保持計劃的有效性
ISO27000策劃與準備階段涉及的工作ISO27000策劃與準備階段涉及的工作
教育培訓
為了強化組織的 信息安全意識���,明確信息安全管理體系的基本要求�����,進行 信息安全管理體系標準和相關知識的培訓是十分必要的���,這也是組織搞好信息安全管理的關鍵因素之一�。
擬定計劃
信息安全管理體系的建立和維持是一項復雜的系統工程�,包括培訓、風險評估���、文件編寫、運行�����、審核�����、 糾正和預防措施等大量的工作���。為確保體系順利的建立�����,組織應進行統籌安排,即制定一個切實可行的工作計劃���,明確不同時間段的 工作任務目標及責任分工,控制工作進度�,突出工作重點�����,例如采用工程進度計劃表������?傮w計劃被批準后,就可以針對具體工作項目 制定詳細計劃,例如文件編寫計劃。在制定計劃時,組織應考慮資源需求���,例如人員的需求、培訓經費、辦公設施���、聘請咨詢公司的 費用等,如果尋求體系的三方認證,還要考慮認證費用,組織高管理層應確保提供建立體系所必須的人力與財務資源���。
確定信息安全方針與信息安全管理體系范圍
信息安全方針是關于在一個組織內,指導如何對資產, 包括敏感信息進行管理�、保護和分配的規則�����、指示。這里所談到的信息安全方針是組織信息安全的總體方針,組織首先應制定信息安 全方針�����,描述信息安全在組織內的重要性�,表明管理層的承諾,提出組織管理信息安全的方法���,以便為組織的信息安全提供管理方向 與支持。
現狀調查與風險評估
組織信息安全管理現狀調查與風險評估工作是建立信息安全管理體系 的基礎與關鍵�,在體系建立的整個過程中�����,風險評估的工作量占了很大比例���,風險評估的工作質量直接影響安全控制的合理選擇�����,因 此�,組織應責成專門的部門負責此項基礎性工作���,風險評估人員應理解標準的基本要求���,掌握風險評估的方法�����,熟悉組織商務運作流 程與信息系統���。風險評估需要不同部門的管理�、信息技術�����、操作人員參與�����,必要時應獲得信息安全專家的支持。風險評估的結果應被 確認�����。
信息安全管理體系策劃
在完成現狀調查與風險評估工作之后���,組織要根據已確立的 信息安全方針的總體要求與信息安全管理體系范圍���、風險評估的結果�,明確組織信息安全結構與職責�、選擇控制目標與控制方式、編 寫控制概要���、制定業務持續性計劃。
ISO27000運行過程中�,組織應注意哪些方面�?
信息安全管理體系文件編制完成以后���,組織應按照文件的控制要求進行審 核與批準,并發布實施�����,至此���,信息安全管理體系將進入運行階段���。體系運行初期一般稱為試運行期或磨合期�����,在此期間體系運行的 目的是要在實踐中檢驗體系的充分性�����、適用性和有效性。在體系運行初期�,組織應加強運作力度���,通過實施其手冊、程序和各種作業 指導性文件等一系列體系文件�����,充分發揮體系本身的各項功能�,及時發現體系策劃本身存在的問題,找出問題根源,采取糾正措施���, 糾正各種不符合,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的。
有針對性 地宣貫信息安全管理體系文件。
體系文件的培訓工作是體系運行的首要任務���,培訓工作的質量直接影響體系運行的結 果。組織應根據培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓。通過培訓使全體員工認識到新建立或完善的信息安 全管理體系是對過去信息安全管理體系的變革,是為了向國際先進的信息安全管理標準接軌�,要適應這種變革和新管理體系的運行���, 就必須認真學習�����、貫徹信息安全管理體系文件。
實踐是檢驗真理的唯一標準���。
體系文件通過試運行 必然會出現一些問題,全體員工應將實踐中出現的問題和改進意見如實反饋給有關部門�����,以便采取糾正措施���。
將體系 試運行中暴露出的問題�,如體系設計不周、項目不全等進行協調、改進�。
信息安全管理體系的運行涉及組織體系范圍 的各個部門���,在運行過程中,各項活動往往不可避免的發生偏離標準的現象���,因此,組織應按照嚴密�、協調���、高效�����、精簡、統一的原 則���,建立信息反饋與信息安全協調機制對異常信息反饋和處理,對出現的問題加以改進,并保證體系的持續正常運行。
加強有關體系運行信息的管理���,不僅是信息安全管理體系試運行本身的需要,也是保證試運行成功的關鍵。
所有與 信息安全管理體系活動有關的人員都應按體系文件要求���,做好信息安全的信息收集、分析�、傳遞�、反饋���、處理和歸檔等工作。
信息安全體系文件屬于組織的信息資產,包含有關組織的全部安全管理等敏感信息,組織應按照信息分類的原則對其 進行分類�、進行密級標注并實行嚴格的安全控制�,未經授權不得隨意復制或借閱�。
歡迎來電咨詢
深圳市凱冠企業管理咨詢有限公司
聯系人:邢小姐
聯系方式:0755-28377534-803/13302430016(微信同號)
QQ:2313063247
郵箱:szkaiguan06@163.com
官網 http://www.szkaiguan.com/
地址:深圳市龍崗區南灣街道草堆街30號三鼎電商文創園A棟502
|
ISO27000中的PDCA四個階段
策劃階段,組織應:
定義ISMS的范圍和方針;
定義風險評估的系統性方法���;
識別風險;
應用組織確定的系統性方法評估風險;
識別并評估可選的風險處理方式�����;
選擇控制目標與控制方式�����;
當決定接受剩余風險時應獲得管理者同意,并獲得管理者授權開始運行信息安全管理體系�����。
實施階段�����,組織應該實施選擇的控制�,包括:
實施特定的管理程序���;
實施所選擇的控制�;
運作管理;
實施能夠促進安全事件檢測和響應的程序和其他控制���。
