國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認證認可監(jiān)督委員會批準認證咨詢機構
批準號:CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識園地
為便于信息安全管理體系的理解與應用,,現(xiàn)結合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相關要求,,進行管理基本思路的整理,,供參考。
1 信息也是資產,,值得或需要保護以防范各種危害
所有類型的組織都會收集,、處理、存儲和傳輸各種形式的信息,,如語音,、文字等。信息的價值已經超越文字,、數(shù)字和圖像的本身,。
在互聯(lián)世界中,信息和相關過程,、系統(tǒng),、網(wǎng)絡及其操作、處理與保護活動中所涉及的人員都是資產,,與其他重要的業(yè)務資產一樣,,對組織的業(yè)務至關重要。
資產易遭受故意和意外的威脅,,且相關的過程,、系統(tǒng)、網(wǎng)絡和人員均有其固有的脆弱性(可以被一個或多個威脅利用的組織或資產的弱點),。業(yè)務過程和系統(tǒng)的變更或其他外部變更都有可能產生新的信息安全風險,。
考慮到威脅利用脆弱性損害組織的途徑多種多樣,信息安全風險始終存在,。
有效的信息安全通過防范威脅和脆弱性使組織得到保護來減少風險,,從而降低對其資產的影響,。
2 信息安全管理體系可以系統(tǒng)地管理信息安全
信息安全主要包括保持信息的保密性、完整性和可用性,。
保密性即信息不能被未授權的個人,、實體或者過程利用或知悉的特性;
完整性指準確和完備的特性,;
可用性指根據(jù)授權實體的要求可訪問和使用的特性,。
信息安全單純通過技術手段實現(xiàn)有一定的局限性,需要從系統(tǒng)全局的角度進行完善的管理,,其中可通過GB/T22080-2016/ISO/IEC27001:2013實現(xiàn)信息安全的管理,。
3 識別信息安全要求是第一步
確定信息安全要求是管理的出發(fā)點。安全要求一般有三個來源:
組織自身的風險點,;
組織及其相關方的外部要求,;
組織為支持自身運行,針對信息的操作,、處理,、存儲、通信和歸檔而建立的原則,、目的和業(yè)務要求等,。
4 信息安全風險評估
結合組織的戰(zhàn)略及內外部環(huán)境,發(fā)揮領導作用,,通過建立的信息安全風險準則,,進行系統(tǒng)的信息安全風險識別,并對識別出的風險進行分析評估,,確定風險優(yōu)先級別。
5 信息安全風險處置選項
在考慮風險評估結果的基礎上,,選擇需要控制的適合的信息安全風險處置選項,,確定所必需的所有控制。
6 選擇和實施信息安全控制措施
將選擇的所有控制與標準附錄進行對照,,并驗證沒有忽略必要的控制,。控制措施可從標準給出的指標中選擇,,也可以特定設計,。其中附錄給出了14個安全控制、35個主要安全類別和114項控制措施,。
制定適用性聲明,。
制定正式的信息安全風險處置計劃,獲得風險責任人對計劃及對信息安全殘余風險的接受的批準,。
具體實施以上計劃,,包括對變更的管理、外包過程的管理等。
7 持續(xù)改進
利用風險管理過程,、管理體系的方法進行監(jiān)視,、保持和改進與組織信息資產相關的安全控制措施的有效性,以實現(xiàn)持續(xù)改進,。
8 適用性聲明
應當制定一個適用性說明,,包含必要的控制及其選擇的合理性說明(無論該控制是否已實現(xiàn)),以及對GB/T22080-2016/ISO/IEC27001:2013標準附錄A控制刪減的合理性說明,。
當然可以增加一些標準附錄外的特定控制,,此時可給出與標準可用條款的交叉應用,以支持業(yè)務伙伴或其他相關方查看,。
9 信息的生命周期考慮
信息在不同的生命周期階段,,包括構思、規(guī)約,、設計,、開發(fā)、測試,、實現(xiàn),、使用、維護,,并最終退役和銷毀中,,其資產的價值和所面臨的風險可能會發(fā)生變化,如上市公司的報表信息在發(fā)布前后面臨的竊取或泄露所產生的危害是不同的,。在每一階段上應當考慮信息安全,。
組織信息安全管理體系受到組織的需要和目標、安全要求,、組織所采用的過程,、規(guī)模和結構的影響,并隨著時間的變化而發(fā)生變化,。更重要的是信息安全管理體系是組織的過程和整體管理體系結構的一部分并集成在其中,,并且在過程、信息系統(tǒng)和控制設計中需要考慮信息安全,。即信息安全管理體系應于組織的需要相結合,,以證實自己控制信息安全的能力,為組織和相關方提供信任,。
關注卓越空間
關注卓越微博
關注卓越微信