联系我们
18022213930
地址:
佛山市南海区桂城街道简平路12号天安南海数码新城6期1座三层 
邮箱:
3642319@qq.com
电话:
0757-86312199
传真:
0757-86312199
手机:
18022213930
行业资讯 News
当前位置: 首页 > 新闻中心 > 行业资讯

ISO27001信息安全管理体系 要求-4.2建立并管理ISMS

添加时间:2024-05-15

建立并管理ISMS

4.2.1 建立ISMS
组织应:
a) 根据组织业务特征、组织、地理位置、资产、技术(Technology)以及任何删减的细节和合理性
ISO27001:2005 信息安全管理体系要求
文件名称信息安全(safe)管理体系要求页 码- 12 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
来确定ISMS范围 ;
b) 根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应 :
1) 包括建立目标的框架,并建立信息安全活动的总方向和总原则;
2) 考虑业务和法律(law)法规要求,以及合同安全义务;
3) 根据组织战略性的风险(risk)管理框架,建立和保持ISMS;
4) 建立风险评价的准则和定义风险评估的结构(Structure) [见4.2.1c];
5) 经过了管理层的批准。ISO27001认证标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。
注:本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。
c) 确定组织的风险评估方法:
1) 识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法(method);
2) 开发确定风险接受准则,识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复(repeat)的结果。
注:存在多种风险(risk)评估方法。如,在ISO/IEC TR13335-3《IT安全(safe)管理指南-IT安全管理技术》中讨
论的风险评估方法。
d) 识别风险:
1) 识别ISMS范围内的资产(assets)及资产所有者;
2) 识别资产(assets)的威胁;
3) 识别可能(maybe)被威胁利用的脆弱点;
4) 识别资产(assets)保密性、完整性、可用性损失(loss)的影响。
e) 分析并评价风险:
1) 评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性
的损失而导致的后果;
2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安
全失效发生的现实可能性;
3) 估计风险(risk)的等级 ;
4) 根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f) 识别和评价风险(risk)处理(processing)的选择:
可行的措施包括:
1) 实施适当的控制;
2) 在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见
4.2.1c)2)] ;
3) 规避风险(risk);
4) 将相关业务风险转嫁给他方,如保险公司、供方。
g) 选择风险处理的控制目标和控制方式。
应选择并控制目标(cause)和控制措施(指针对问题的解决办法),以满足风险评估和风险处置过程(process)所识别的要求。选择
时,应考虑(consider)接受风险的准则(见4.2.1 C))以及法律(law)法规和合同要求。ISO27001认证组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
ISO27001:2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 13 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
从附录A中选择的控制目标和控制方式应作为这一过程的一部分,并满足这些要求。
附录A的控制目标和控制方式并不详尽,可以选择其他的控制目标和控制方式。
注:附录A包含了广泛的通用控制目标和控制措施列表。本标准的附录A为用户提供选择控制措施的出
发点,以避免遗漏重要的控制选择。
h) 管理层批准建议的残留风险(risk);
i) 获得管理层对实施和运行ISMS的授权;
j) 准备适用性声明
应起草适用性声明,该声明应包括以下方面内容:
1) 4.2.1g)中选择(Select)的控制目标和控制措施,以及选择的原因;
2) 最新实施的控制目标和控制措施(指针对问题的解决办法)(见4.2.2e)2))
3) 附录A中控制(control)目标(cause)和控制措施的删减,以及删减的合理性。
注:适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性,再次确认控制(control)目标(cause)没有被
无意识的遗漏。军工认证的意义:有利于增强产品的竞争力,提高产品的市场占有率。通过有效的风险管理,有效降低产品出现质量事故或不良事件的风险。提高员工的责任感,积极性和奉献精神。