了解信息安全管理体系的基本思路
为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。
1 信息也是资产,值得或需要保护以防范各种危害
所有类型的组织都会收集、处理、存储和传输各种形式的信息,如语音、文字等。信息的价值已经超越文字、数字和图像的本身。
在互联世界中,信息和相关过程、系统、网络及其操作、处理与保护活动中所涉及的人员都是资产,与其他重要的业务资产一样,对组织的业务至关重要。
资产易遭受故意和意外的威胁,且相关的过程、系统、网络和人员均有其固有的脆弱性(可以被一个或多个威胁利用的组织或资产的弱点)。业务过程和系统的变更或其他外部变更都有可能产生新的信息安全风险。
考虑到威胁利用脆弱性损害组织的途径多种多样,信息安全风险始终存在。
有效的信息安全通过防范威胁和脆弱性使组织得到保护来减少风险,从而降低对其资产的影响。
2 信息安全管理体系可以系统地管理信息安全
信息安全主要包括保持信息的保密性、完整性和可用性
保密性即信息不能被未授权的个人、实体或者过程利用或知悉的特性;
完整性指准确和完备的特性;
可用性指根据授权实体的要求可访问和使用的特性。
信息安全单纯通过技术手段实现有一定的局限性,需要从系统全局的角度进行完善的管理,其中可通过GB/T22080-2016/ISO/IEC27001:2013实现信息安全的管理。
3 识别信息安全要求是第一步
确定信息安全要求是管理的出发点。安全要求一般有三个来源:组织自身的风险点,组织及其相关方的外部要求,组织为支持自身运行,针对信息的操作、处理、存储、通信和归档而建立的原则、目的和业务要求等。
4 信息安全风险评估
结合组织的战略及内外部环境,发挥领导作用,通过建立的信息安全风险准则,进行系统的信息安全风险识别,并对识别出的风险进行分析评估,确定风险优先级别。
5 信息安全风险处置选项
在考虑风险评估结果的基础上,选择需要控制的适合的信息安全风险处置选项,确定所必需的所有控制。
6 选择和实施信息安全控制措施
将选择的所有控制与标准附录进行对照,并验证没有忽略必要的控制。控制措施可从标准给出的指标中选择,也可以特定设计。其中附录给出了14个安全控制、35个主要安全类别和114项控制措施。当有不适用时,制定适用性声明。
制定正式的信息安全风险处置计划,获得风险责任人对计划及对信息安全残余风险的接受的批准。
具体实施以上及实现组织信息安全目标的支撑性计划,包括对外包过程的管理。
7 持续改进
监视、保持和改进与组织信息资产相关的安全控制措施的有效性, 实现持续改进
8 适用性说明
当标准中给出的控制措施对应的信息安全风险处置选项不适用时,应当制定一个适用性说明,包含必要的控制及其选择的合理性说明(无论该控制是否已实现),以及对GB/T22080-2016/ISO/IEC27001:2013标准附录A控制删减的合理性说明。
当然可以增加一些标准附录外的特定控制,此时可给出与标准可用条款的交叉应用,以支持业务伙伴或其他相关方查看。
9 信息的生命周期考虑
信息在不同的生命周期阶段,包括构思、规约、设计、开发、测试、实现、使用、维护,并最终退役和销毁中,其资产的价值和所面临的风险可能会发生变化,如上市公司的报表信息在发布前后面临的窃取或泄露所产生的危害是不同的。在每一阶段上应当考虑信息安全。
了解信息安全管理体系的基本思路相关推荐
- 信息安全管理体系 ISMS
PDCA简介 计划(Plan)--根据风险评估结果.法律法规要求.组织业务运作自身需要来确定控制目标与控制措施: 实施(Do)--实施所选的安全控制措施: 检查(Check)--依据策略.程序.标准和 ...
- 信息技术 安全技术 信息安全管理体系 要求
声明 本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 下载地址 http://github5.com/view/54234而整理的学习笔记,分享出来希望更多人 ...
- 民航空管中计算机的应用发展,民航空管网络与信息安全管理体系的构建论文
民航空管网络与信息安全管理体系的构建论文 摘要:民航空管信息系统具有业务依附度高.应用涉及范围广以及规模庞大等特点,在民航空管工作中有着十分重要的作用,这就需要建设并完善民航空管信息安全管理体系来维持 ...
- ISO27001信息安全管理体系建立
作为乙方如何更好的为甲方建立信息安全体系 体系建立的重要几点 1.了解客户的需求: 2.根据需求制定信息安全方案: 3.领导层的支持: 4.全体员工的配合: 5.足够的乙方服务能力 了解客户需求 在项 ...
- ISO27001LA 信息安全管理体系主任审核师学习心得
天气不冷不热刚刚好的五月,绿意也葱葱,上海信息化培训中心ISO27001LA开班啦!这个班除了可以称为是信息安全管理体系主任审核师培训班外,还可以叫"学友再次联盟班",特别有缘,本 ...
- ISO27000信息安全管理体系介绍
ISO27000信息安全管理体系介绍ISO/IEC 27000系列标准(又名ISO/IEC 27000 标准系列,即"信息安全管理系统标准族",简称"ISO27K&q ...
- 一文读懂ISO27001信息安全管理体系
ISO信息安全管理体系 1.ISO信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系. 2.信息安全管理体系认证 ISO信息安全管理体系认证旨在提升组织的信 ...
- 信息安全服务资质CCRC和信息安全管理体系ISO27001有什么区别?
近期很多小伙伴咨询智达鑫业信息安全服务资质CCRC和信息安全管理体系ISO27001有什么区别?那么接下来智达鑫业小编来给大家讲解下具体的区别 ISO27001认证与信息安全服务资质的区别: 一.概念 ...
- 济南ISO27001信息安全管理体系
随着大数据应用的深度开发,云端信息技术在众多领域取得广泛实践,使得数字经济有了跨界共融的大规模扩张.海量信息应用市场的高速发展,国际化信息数据整合与互联,使得信息安全保障进入到一个新的阶段.科学高效的 ...
- 浅谈部署及运作信息安全管理体系ISMS
Standard Podcast [8:23m]: Hide Player | Play in Popup | Download 信息安全管理体系ISMS(Information Securitry ...
最新文章
- SAP HUM 如何看哪些HU还在923包装区尚未上架?
- PAT_A1148#Werewolf - Simple Version
- 几个视频中行为识别的底层特征及代码
- USB Camera摄像头(UVC 与 gspca)
- Failed connect to github.com:443; No error
- 关闭linux系统中读写页缓存,Linux文件系统FAQ
- oracle 不认exp指令,更改oracle字符集导致exp命令出错(解决方法)
- java的jdbc看不到源码_不了解jdbc,何谈Mybatis的源码解析?
- 独立ip 公司文件服务器,企业在外贸建站时,为什么要选择独立IP的服务器?
- opencv 视频操作入门
- 【#9733;】SPF(Dijkstra)算法完美教程
- Java SE 基础:List 集合列表
- mybatis实现延迟加载多对一
- Python使用scrapy框架编写自动爬虫爬取京东商品信息并写入数据库
- 基于QT和DCMTK的Dicom 图像浏览器---收尾二
- Java 导入导出Excel
- ubuntu20.04截图快捷键
- WSTMart开发文档
- 银行信息技术岗面试总结----中信浦发工商建行
- C语言之到底是不是太胖了