組織應根據(jù)風險評估的結果����,并考慮控制 費用與風險平衡的原則,選擇適合組織的控制目標與控制方式����。
編寫控制概要
控制概要中應對根據(jù)風險評估結果選擇的控制目標與控制方式進行詳細的說明。
制定業(yè)務持續(xù)性計劃
為降低信息安全事件或自然災害對組織業(yè)務持續(xù)性的影響�����,組織應在 風險評估的基礎上編制業(yè)務持續(xù)性計劃并保持計劃的有效性
ISO27000策劃與準備階段涉及的工作ISO27000策劃與準備階段涉及的工作
教育培訓
為了強化組織的 信息安全意識��,明確信息安全管理體系的基本要求�����,進行 信息安全管理體系標準和相關知識的培訓是十分必要的,這也是組織搞好信息安全管理的關鍵因素之一��。
擬定計劃
信息安全管理體系的建立和維持是一項復雜的系統(tǒng)工程���,包括培訓�����、風險評估���、文件編寫、運行���、審核����、 糾正和預防措施等大量的工作���。為確保體系順利的建立���,組織應進行統(tǒng)籌安排���,即制定一個切實可行的工作計劃,明確不同時間段的 工作任務目標及責任分工�����,控制工作進度�����,突出工作重點����,例如采用工程進度計劃表�����?����?傮w計劃被批準后��,就可以針對具體工作項目 制定詳細計劃,例如文件編寫計劃���。在制定計劃時�,組織應考慮資源需求����,例如人員的需求、培訓經(jīng)費���、辦公設施�����、聘請咨詢公司的 費用等���,如果尋求體系的三方認證,還要考慮認證費用���,組織高管理層應確保提供建立體系所必須的人力與財務資源��。
確定信息安全方針與信息安全管理體系范圍
信息安全方針是關于在一個組織內(nèi)���,指導如何對資產(chǎn)�����, 包括敏感信息進行管理����、保護和分配的規(guī)則����、指示。這里所談到的信息安全方針是組織信息安全的總體方針���,組織首先應制定信息安 全方針��,描述信息安全在組織內(nèi)的重要性�,表明管理層的承諾�����,提出組織管理信息安全的方法����,以便為組織的信息安全提供管理方向 與支持����。
現(xiàn)狀調(diào)查與風險評估
組織信息安全管理現(xiàn)狀調(diào)查與風險評估工作是建立信息安全管理體系 的基礎與關鍵�����,在體系建立的整個過程中�,風險評估的工作量占了很大比例��,風險評估的工作質(zhì)量直接影響安全控制的合理選擇�����,因 此��,組織應責成專門的部門負責此項基礎性工作��,風險評估人員應理解標準的基本要求��,掌握風險評估的方法�,熟悉組織商務運作流 程與信息系統(tǒng)。風險評估需要不同部門的管理�、信息技術、操作人員參與�,必要時應獲得信息安全專家的支持。風險評估的結果應被 確認�。
信息安全管理體系策劃
在完成現(xiàn)狀調(diào)查與風險評估工作之后�����,組織要根據(jù)已確立的 信息安全方針的總體要求與信息安全管理體系范圍����、風險評估的結果����,明確組織信息安全結構與職責、選擇控制目標與控制方式���、編 寫控制概要����、制定業(yè)務持續(xù)性計劃���。
ISO27000運行過程中�,組織應注意哪些方面���?
信息安全管理體系文件編制完成以后���,組織應按照文件的控制要求進行審 核與批準,并發(fā)布實施�,至此,信息安全管理體系將進入運行階段����。體系運行初期一般稱為試運行期或磨合期,在此期間體系運行的 目的是要在實踐中檢驗體系的充分性��、適用性和有效性��。在體系運行初期���,組織應加強運作力度����,通過實施其手冊��、程序和各種作業(yè) 指導性文件等一系列體系文件����,充分發(fā)揮體系本身的各項功能,及時發(fā)現(xiàn)體系策劃本身存在的問題����,找出問題根源����,采取糾正措施�, 糾正各種不符合,并按照更改控制程序要求對體系予以更改����,以達到進一步完善信息安全管理體系的目的。
有針對性 地宣貫信息安全管理體系文件�����。
體系文件的培訓工作是體系運行的首要任務�,培訓工作的質(zhì)量直接影響體系運行的結 果。組織應根據(jù)培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓�。通過培訓使全體員工認識到新建立或完善的信息安 全管理體系是對過去信息安全管理體系的變革,是為了向國際先進的信息安全管理標準接軌��,要適應這種變革和新管理體系的運行��, 就必須認真學習�����、貫徹信息安全管理體系文件。
實踐是檢驗真理的唯一標準���。
體系文件通過試運行 必然會出現(xiàn)一些問題,全體員工應將實踐中出現(xiàn)的問題和改進意見如實反饋給有關部門��,以便采取糾正措施��。
將體系 試運行中暴露出的問題��,如體系設計不周��、項目不全等進行協(xié)調(diào)�����、改進����。
信息安全管理體系的運行涉及組織體系范圍 的各個部門,在運行過程中��,各項活動往往不可避免的發(fā)生偏離標準的現(xiàn)象�,因此,組織應按照嚴密��、協(xié)調(diào)����、高效��、精簡�、統(tǒng)一的原 則����,建立信息反饋與信息安全協(xié)調(diào)機制對異常信息反饋和處理,對出現(xiàn)的問題加以改進��,并保證體系的持續(xù)正常運行��。
加強有關體系運行信息的管理�����,不僅是信息安全管理體系試運行本身的需要�����,也是保證試運行成功的關鍵���。
所有與 信息安全管理體系活動有關的人員都應按體系文件要求�,做好信息安全的信息收集、分析����、傳遞、反饋��、處理和歸檔等工作�。
信息安全體系文件屬于組織的信息資產(chǎn)��,包含有關組織的全部安全管理等敏感信息���,組織應按照信息分類的原則對其 進行分類�����、進行密級標注并實行嚴格的安全控制���,未經(jīng)授權不得隨意復制或借閱。
歡迎來電咨詢
深圳市凱冠企業(yè)管理咨詢有限公司
聯(lián)系人:邢小姐
聯(lián)系方式:0755-28377534-803/13302430016(微信同號)
QQ:2313063247
郵箱:szkaiguan06@163.com
官網(wǎng) http://www.szkaiguan.com/
地址:深圳市龍崗區(qū)南灣街道草堆街30號三鼎電商文創(chuàng)園A棟502
|
ISO27000中的PDCA四個階段
策劃階段���,組織應:
定義ISMS的范圍和方針���;
定義風險評估的系統(tǒng)性方法;
識別風險;
應用組織確定的系統(tǒng)性方法評估風險�����;
識別并評估可選的風險處理方式�����;
選擇控制目標與控制方式���;
當決定接受剩余風險時應獲得管理者同意��,并獲得管理者授權開始運行信息安全管理體系�。
實施階段�����,組織應該實施選擇的控制����,包括:
實施特定的管理程序;
實施所選擇的控制���;
運作管理���;
實施能夠促進安全事件檢測和響應的程序和其他控制�����。
