博慧达分支:襄阳十堰 宜昌深圳东莞惠州贵阳烟台海口更多>>
ISO9000    ISO9001    ISO14000    ISO14001    iso45001    ISO13485    IATF16949    iso50001    ISO14064    ISO22000    SA8000    ISO27000    QC080000    HACCP    as9100    iso20000    GJB9001C    
ITSS    JCI认证    
海口ISO27001认证风险评估
  初步确定范围和重要资产,有重点地开展信息安全风险评估,根据资产赋值,形成《重要资产清单》。ISO27001标准根据信
 
息资产的属性即保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)以及适用性(Law),采用信息安全风险管
 
理软件,分析和评价风险,评价的内容包括:
 
    信息安全
 
 
(1) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;赋值应该有一个统一认识,形成一个
 
合理的参考范围;
 
(2) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;
 
(3) 根据《信息安全风险评估规范》计算信息安全风险等级;
 
(4) 根据《信息安全风险评估规范》及风险接受准则,判断风险为可接受或需要处理。根据信息安全方针、业务发展要求及风险
 
评估的结果,组织有关部门选择/制定了信息安全目标,根据风险评估的结果,形成《风险处理计划》,该计划明确了风险处理
 
责任部门、负责人、处理方法及起始、完成时间。
 
   安全与隐私
 
建立有效信息安全管理体系
 
信息安全管理体系的建立,需要在信息安全风险评估的基础上,根据企业的发展战略和实际情况,设计一个好的框架,基本明确
 
体系需要由哪些文件(程序)组成,体系必须符合IS0/27001标准。一个企业,存在大量的管理制度、规范及标准,它们对提高企业
 
的科学管理都具有现实的意义,在建立信息安全管理体系时,有必要先对原有的企业制度、标准进行归纳和整理,合理继承以前
 
的成果,推陈出新,实现企业管理的提升。
 
首先,体系文件必须齐全,应包括方针和目标、范围、程序、风险评估方法、评估报告、风险处理计划、过程控制文件、过程记
 
录、适用性声明等九大方面;
 
其次,体系过程必须完整,信息安全管理体系的建立,需要有严格的控制和完整的记录。体系文件的建立不能凭空想象,体系文
 
件的修改、更新、增删必须有严格的控制和完整的记录,所有涉及体系文件的修改,必须得到管理者的许可,确保文件保持清晰
 
、易于识别,确保整个管理体系是充分的;
 
最后,体系文件必须有效,要根据企业的实际情况建立,它既不是高不可及,也不是企业现状的一种简单描述,它必须与企业的
 
发展战略相适应,能够正确指导企业信息安全管理。
 
体系文件建立后,应在企业广泛宣传,让信息安全管理体系深入企业管理工作中,指导企业开展信息安全管理,并根据工作实际
 
的变化,不断修改、完善信息安全体系,确保信息安全管理体系与信息安全方针、控制目标一致。同时,企业应根据管理体系,
 
对企业的信息安全风险进行处理,不断整改存在的缺陷和不足,进一步降低企业信息安全风险,提高企业信息安全应急处置能力
 
,提高企业信息安全管理水平,确保信息应用系统安全、可靠、稳定运行。
 
> 返回
版权所有:深圳博慧达管理咨询有限公司 Copyright 2004-2010 All Rights Reserved ICP备案号: 粤ICP备08126800号-2
咨询热线:18926043348 0755-36354503    在线地图     
地址:深圳市宝安区上星南路8号唐商大厦A座9楼 技术支持:中网互联
Online customer Service Software
Online Customer service System