信息安全管理体系
信息安全管理体系
信息安全管理体系信息安全是现代社会中一个日益重要的领域,各种公司、组织和机构都需要确保其信息资产的安全性。
而信息安全管理体系则是一种用于保护和管理信息资产的方法和体系。
本文将探讨信息安全管理体系的定义、特点、实施过程以及相关标准。
一、信息安全管理体系的定义信息安全管理体系,简称ISMS(Information Security Management System),是指用于保护和管理信息资产的一套标准、政策、流程和活动的集合。
它旨在确保组织对信息安全的需求得以满足,并能够持续改进信息安全管理能力。
二、信息安全管理体系的特点1. 综合性:信息安全管理体系综合了组织内外部的资源和能力,涵盖了对信息资产进行全面管理的各个方面。
2. 系统性:信息安全管理体系是一个系统工程,它涉及到组织内部的各个层级和部门,并需要与外部的供应商、合作伙伴等进行密切合作。
3. 持续性:信息安全管理体系不是一次性的项目,而是一个持续改进的过程。
组织需要不断更新和改进信息安全策略、控制措施以及培训等方面的内容。
三、信息安全管理体系的实施过程信息安全管理体系的实施过程可以分为以下几个步骤:1. 初始阶段:组织应该明确信息安全策略,并制定相关的目标和计划。
同时评估组织内部对信息安全的现状,确定改进的重点。
2. 执行阶段:在这个阶段,组织需要确保相关的信息安全控制措施得以实施。
这包括对人员、技术和物理环境的管理和保护。
3. 持续改进:信息安全管理体系需要持续改进,组织应该定期审查和评估信息安全的有效性,并根据评估结果进行调整和改进。
四、相关标准为了确保信息安全管理体系的有效实施和互操作性,国际上制定了一些相关的标准,如ISO/IEC 27001和ISO/IEC 27002。
ISO/IEC 27001是一个信息安全管理体系的国际标准,它提供了一套通用的要求和指南,帮助组织建立、实施、运行、监控、评审和改进信息安全管理体系。
ISO/IEC 27002则是一个信息安全管理实施指南,提供了对ISO/IEC 27001标准的解释和实施指导,涉及了信息安全管理的各个方面。
信息安全管理体系
演进:2000年,BS 7799标准升级为ISO 27001标准,成为全球通用的信息安全管理体 系标准
现状:目前,ISO 27001标准已被广泛应用 于各个行业和领域,成为衡量组织信息安全管 理水平的重要依据。
信息安全管理体系的核心理念
保护信息的机密 性、完整性和可 用性
确保信息的安全 性和可靠性
通信管理:确保信息的传输 安全,防止信息泄露和改
访问控制:控制用户对信息 的访问权限,防止未授权访
问
安全审计:对操作行为进行 审计,及时发现和纠正违规
行为
访问控制
定义:对系统资 源的访问权限进 行管理和控制的 机制
目的:确保只有 授权的用户才能 访问特定的资源
方法:通过身份 验证、授权和审 计等手段实现访 问控制
信息安全管理体系的起源和发展
起源:20世纪70年代,随着计算机技术的普 及和网络应用的兴起,信息安全问题逐渐凸显
发展:20世纪80年代,国际标准化组织 (ISO)开始关注信息安全问题,并制定了一 系列相关标准
里程碑:1995年,英国标准协会(BSI)发布 了BS 7799标准,成为全球首个信息安全管理 体系标准
定期评估:对信息安全管 理体系进行定期评估,确
保其有效性和适用性
持续改进:根据评估结果, 对信息安全管理体系进行 持续改进,提高其安全性
和可靠性
培训和教育:对员工进行 信息安全培训和教育,提 高他们的安全意识和技能
监控和审计:对信息安全 管理体系进行监控和审计, 确保其正常运行和合规性
信息安全管理体系的监控和测量
体素质和执行力
资产管理
资产分类:根据资产的重要 性和敏感性进行分类
资产识别:明确资产的范围 和类型
信息安全管理体系介绍
信息安全管理体系介绍一、什么是信息安全管理体系信息安全管理体系(Information Security Management System,ISMS)是指一个组织内部通过一系列的政策、流程、程序和技术手段来保护信息和信息系统安全的全面体系。
它是一个结合了组织、人员、技术和流程的系统,旨在确保信息得到正确的保护、处理和使用。
二、为什么需要信息安全管理体系随着互联网和信息化的发展,信息安全面临着越来越多的威胁和挑战。
信息泄露、黑客攻击、病毒传播等风险日益增多,给组织和个人带来了巨大损失。
建立信息安全管理体系可以帮助组织从源头上预防和减少信息安全风险,保护组织和个人的利益。
三、信息安全管理体系的要素建立一个有效的信息安全管理体系需要考虑以下几个要素:1. 策略和目标组织需要明确信息安全的策略和目标,根据组织的性质、规模和风险等级确定信息安全的优先级和重点。
策略和目标应与组织的整体战略和目标相一致。
2. 组织和管理责任组织应指定信息安全管理的责任人,明确各级管理人员的职责和权限。
建立信息安全管理委员会或类似的机构,负责制定和审查信息安全政策、流程和控制措施。
3. 全面风险评估和管理组织需要对信息资产进行全面的风险评估,确定各种威胁的概率和影响,并制定相应的风险控制措施。
风险管理应是一个持续的过程,定期进行风险评估和改进。
4. 安全意识培训和教育组织应加强对员工的安全意识培养和教育,提高员工对信息安全的重视和认识。
通过定期的培训和教育活动,帮助员工了解信息安全的重要性,并掌握相关的安全知识和技能。
5. 安全控制和技术措施组织需要制定和实施一系列安全控制措施和技术手段,以防止和减少信息安全事件的发生。
包括访问控制、身份认证、加密技术、网络防护、系统监控等措施。
6. 事件响应和恢复组织需要建立针对信息安全事件的响应和恢复机制,及时发现、响应和处理安全事件,减少损失,恢复业务正常运行。
7. 审计和持续改进组织应定期进行内部和外部的信息安全审计,评估信息安全管理体系的有效性,发现问题和不足,并制定改进措施。
信息安全管理体系概述和词汇
信息安全管理体系概述和词汇
信息安全管理体系(Information Security Management System,简称ISMS)是指一个组织为保护其信息资产的机密性、完整性和可用性而建立、实施、运行、监视、审查、维护和改进的一系列政策、程序、流程和控制措施的框架。
以下是与信息安全管理体系相关的一些词汇:
1. 信息安全:保护信息资产免受未经授权的访问、使用、揭示、破坏、干扰或泄露的能力。
2. 信息资产:指对组织有价值的信息及其相关的设备、系统和网络。
3. 风险管理:识别、评估和处理信息安全风险的过程,以减少风险并确保信息安全。
4. 政策与程序:指导和规范组织内部员工和外部参与者在信息安全方面的行为和操作的文件和指南。
5. 安全控制措施:包括技术、物理和组织上的措施,用于
保护信息资产免受威胁和攻击。
6. 内部审核:定期进行的组织内部的信息安全管理体系审核,以确认其合规性和有效性。
7. 不符合与纠正措施:针对审核中发现的不符合要求制定的纠正和预防措施,以改进信息安全管理体系。
8. 持续改进:基于监视和评估结果,采取行动改进信息安全管理体系的能力和效果。
9. 第三方认证:由独立的认证机构对组织的信息安全管理体系进行评估和认证,以确认其符合特定标准或规范要求。
10. 法规与合规性:遵守适用的法律法规、标准和合同要求,保障信息安全与隐私保护。
以上词汇是信息安全管理体系中常见的一些概念和术语,了解这些词汇有助于更好地理解和实施信息安全管理体系。
信息安全管理体系(ISMS)
信息安全管理体系(ISMS)信息安全是现代社会中不可或缺的重要组成部分,信息安全管理体系(ISMS)作为信息安全管理的一种方法论和规范,旨在确保组织在信息处理过程中的安全性,包括信息的机密性、完整性和可用性。
本文将对信息安全管理体系的概念、实施步骤和重要性进行探讨。
一、概念信息安全管理体系(ISMS)是指组织在信息处理过程中建立和维护的一系列政策、规程、过程、技术和措施,旨在管理和保护信息资产的安全。
ISMS的目标是确保组织能够正确有效地处理和保护信息,预防和减少信息泄露和安全漏洞所带来的潜在风险。
二、实施步骤1. 制定政策与目标:组织应在信息安全管理体系中明确信息安全的政策和目标,并将其与组织的整体战略和目标相结合。
这些政策和目标应该是明确的、可测量的,能够为其他步骤提供指导。
2. 风险评估与控制:通过风险评估,组织可以确定其关键信息资产的安全威胁,并采取适当的措施来最小化或消除这些威胁。
风险评估应基于科学的方法,包括信息资产的价值评估、威胁的概率评估和影响的评估。
3. 资源分配与培训:组织需要为ISMS分配足够的资源,包括人力、物力和财力。
此外,组织还需培训员工,提高其对信息安全的认识和技能,确保他们能够正确使用和维护ISMS所需的工具和技术。
4. 持续改进:ISMS应作为组织的持续改进过程的一部分,持续评估、监控和改进ISMS的有效性和符合性。
组织应定期进行内部审计和管理评审,以确保ISMS的运行符合预期,并根据评审结果进行必要的改进。
三、重要性信息安全管理体系(ISMS)的实施对组织具有重要的意义和价值。
首先,ISMS可以帮助组织建立和维护信息资产的安全性。
通过制定明确的政策和措施,组织可以控制和减少信息泄露的风险,保护关键信息资产的机密性和完整性。
其次,ISMS可以帮助组织合规。
随着信息安全法律法规的不断完善和加强,组织需要确保其信息安全管理符合相应的法规要求。
ISMS 可以帮助组织建立符合法规要求的信息安全管理体系,并提供相应的管理和技术措施来满足法规的要求。
信息安全管理体系介绍
信息安全管理体系介绍信息安全管理体系(Information Security Management System,ISMS)是指一个组织为了保护其信息资产而采取的一系列管理措施、政策和程序。
它是针对一个组织内部的信息资产和信息系统而设计的,旨在确保其保密性、完整性和可用性的一种运营管理方法。
以下是对信息安全管理体系的详细介绍。
1.信息安全管理体系的定义和目的2.信息安全管理体系的特点(1)综合性:信息安全管理涉及到组织的各个层面和方面,包括技术、人员、流程和制度等。
信息安全管理体系需要综合考虑各种因素,制定相应的措施。
(2)持续性:信息安全管理体系需要持续进行评估和改进,以适应不断变化的威胁环境和技术条件。
(3)风险导向:信息安全管理体系的核心是风险管理,需要根据实际情况进行风险评估和风险控制。
3.信息安全管理体系的要素(1)组织结构和责任:建立信息安全管理委员会或类似的组织机构,明确各级管理者的职责和权力。
(2)策略和目标:明确组织的信息安全策略和目标,制定相应的政策和程序。
(3)风险管理:对组织的信息资产进行风险评估和风险管理,采取相应的控制措施。
(4)资源管理:合理配置信息安全管理的资源,包括人员、设备、技术和资金等。
(5)安全控制措施:制定相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(6)运营和绩效评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
4.信息安全管理体系的实施过程(1)确定信息安全策略和目标:根据组织的需求和风险评估结果,制定信息安全策略和目标。
(2)编制安全管理计划:根据信息安全策略和目标,制定详细的安全管理计划,包括资源配置、控制措施和绩效评估等。
(3)实施安全控制措施:按照安全管理计划,实施相应的安全控制措施,包括物理安全控制、技术安全控制和管理安全控制等。
(4)监控和评估:对信息安全管理体系的运营和绩效进行监控和评估,及时发现和纠正问题。
iso20000信息安全管理体系
iso20000信息安全管理体系摘要:1.ISO20000 信息安全管理体系的概念和背景2.ISO20000 信息安全管理体系的主要内容3.ISO20000 信息安全管理体系的构建和实施4.ISO20000 信息安全管理体系的作用和意义5.ISO20000 信息安全管理体系的国际标准认证正文:一、ISO20000 信息安全管理体系的概念和背景ISO20000 信息安全管理体系是一种国际通用的信息安全管理标准,由英国标准协会(BSI)首先提出,后来被国际标准化组织(ISO)采纳并发布。
ISO20000 信息安全管理体系主要用于规范组织在信息安全方面的管理活动,帮助组织建立、实施、运行、监视、评审和改进信息安全管理,以确保信息的机密性、完整性和可用性。
二、ISO20000 信息安全管理体系的主要内容ISO20000 信息安全管理体系主要包括以下方面:1.信息安全政策:组织应制定和实施信息安全政策,明确信息安全的目标、范围、责任和程序。
2.信息安全目标:组织应制定信息安全目标,确保信息安全的持续改进和有效性。
3.信息安全风险评估:组织应进行信息安全风险评估,识别和分析信息安全的威胁和漏洞,制定相应的风险应对措施。
4.信息安全管理措施:组织应制定和实施信息安全管理措施,包括访问控制、身份认证、加密、备份和恢复、安全培训等。
5.信息安全监控和审核:组织应建立信息安全监控和审核机制,确保信息安全管理措施的有效性和适用性。
三、ISO20000 信息安全管理体系的构建和实施1.构建ISO20000 信息安全管理体系:组织应建立专门的信息安全管理团队,负责制定和实施信息安全政策、目标、风险评估和管理措施等。
2.培训和宣传:组织应进行信息安全培训和宣传,提高员工的信息安全意识和能力。
3.文件化和记录:组织应将信息安全管理活动记录在文件中,确保信息安全管理的可追溯性和持续改进。
4.内部审核和外部评审:组织应定期进行内部审核和外部评审,确保信息安全管理体系的有效性和符合性。
信息安全管理体系
安全审计:定期检查和 审计信息系统的安全状
况
应急响应:制定应急预 案,应对信息安全事件
风险评估:定期评估信息 系统的安全风险,采取相
应措施降低风险
3
信息安全管理体 系的维护与改进
信息安全管理体系的监控与审计
01
监控范围:信 息系统、网络、 数据、人员等
02
监控方法:定期 检查、实时监控、 风险评估等
信息安全管理体 系
目录
01. 信息安全管理体系概述 02. 信息安全管理体系的实施 03. 信息安全管理体系的维护与改进
1
信息安全管理体 系概述
信息安全管理体系的定义
信息安全管理体系是一种 系统化的方法,用于管理 组织内的信息安全风险。
ห้องสมุดไป่ตู้它包括一系列的政策和程 序,以确保组织的信息安 全得到有效的保护。
05
整改措施:针对调查分析结果, 制定整改措施,提高信息安全水 平
02
及时报告:发现信息安全事件后, 立即向相关部门报告,并启动应 急预案
04
调查分析:对信息安全事件进行 调查分析,找出原因和漏洞
06
总结与反馈:对信息安全事件的 处理过程进行总结,反馈给相关 部门,提高信息安全管理水平
信息安全管理体系的持续改进
谢谢
实施安全措施:根据安全 策略,实施相应的安全措 施,如安装防火墙、加密 软件、身份验证系统等。
定期审查和更新:定期审 查和更新信息安全策略, 以适应不断变化的安全形 势和需求。
信息安全控制措施
访问控制:限制对敏感 信息的访问权限
安全培训:提高员工信 息安全意识和防范能力
加密技术:对敏感信息 进行加密处理
03 提高企业信誉:展示企业对信 息安全的重视和承诺
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0 介绍0.1总则0.2过程方法0.0.3其他管理体系的兼容性1 范围1.1概要1.2应用2标准参考3名词与定义4信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运营(对照中文ISO9001确认)?信息安全管理体系4.2.3监控和评审信息安全管理体系4.2.4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5管理职责5.1管理承诺?(对照中文ISO9001确认)5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6信息安全管理体系管理评审6.1总则6.2评审输入?(对照中文ISO9001确认)6.3评审输出?(对照中文IS9001确认)7信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A(有关标准的)控制目标和控制措施A.1介绍A.2最佳实践指南A.3安全方针A.4组织安全A.5资产分级和控制A.6人事安全A.7实体和环境安全A.8通信与运营安全A.9访问控制A.10系统开发和维护A.11业务连续性管理A.12符合附件B(情报性的)本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施阶段B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6管理评审B.4.7趋势分析B5改进阶段B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照0 介绍0.1 总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系(信息安全管理体系)有模型。
采用信息安全管理体系应当是一项组织的战略决策。
一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。
上述因素和他们的支持过程会不断发生变化。
希望简单的情况使用简单的信息安全解决方案。
本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
为使组织有效动作,必须识别和管理众多相互关联的活动。
通过使用资源和管理,将输入转化为输出的活动可视为过程。
通常,一个过程的输出直接形成了下一个过程的输入。
组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其惯例,课程只为:“过程方法”。
过程的方法鼓励使用者强调以下方面的重要性:a)a)理解业务动作对信息安全的需求和建立信息安全方针和目标的需要;b)b)在全面管理组织业务风险的环境下实施和动作控制措施;c)c)监控和评审信息安全管理体系的有效性和绩效;d)d)在客观的测量,持续改进过程。
本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全管理体系的过程。
图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:管理状态下的信息安全),满足那些需要和期望。
图一同时展示了4、5、6和7章中所提出的过程联系。
例1一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。
例2一个期望可以是如果严重的事故发生-如:组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。
注:名词“程序”,从传统来讲,用在信息安全方面意味着员工工作的过程,而不是计算机或其它电子概念。
PDCA模型应用与信息安全管理体系过程检查CHECK计划(建立信息安全管理体系) 建立与管理风险和改进信息安全有关的安全方针、目标、目的、过程和程序,以达到与组织整体方针和目标相适应的结果。
实施(实施和动作信息安全管理体系 实施和动作信息安全方针、控制措施、过程和程序。
检查(监控和评审信息安全管理体系) 针对安全方针、目标和实践经验等评审和(如果适用)职测量过程的绩效并向管理层报告结果供评审使用。
改进(维护和改进信息安全管理体系) 在管理评审的结果的基础上,采取纠正和预防措施以持续改进信息安全管理体系。
0.3与其他管理体系标准的兼容性本标准与ISO9001:2000与ISO16949:1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C 中以表格显示BS7799,ISO14001各部分不同条款间的对应关系,本标准使组织能够联合或整合其信息安全管理体系及相关管理体系的要求。
1 范围1.1概要本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个文件化的信息安全管理体系的模型。
它规范了对定制实施安全控制措施以适应不同组织或相关部分的需求。
(附录B提供使用规范的指南)。
信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。
这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1.2应用本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。
当本标准的任何要求因组织及其产品的特点而不适用时,可以考虑对其进行删减。
除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,否则不能声称符合本标准。
任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。
对于条款4,5,6和7的要求的删减不能接受。
2引用标准ISO9001:2000质量管理体系-要求ISO/IEC17799:2000信息技术—信息安全管理实践指南ISO指南73:2001风险管理指南-名词3名词和定义从本英国标准的目的出发,以下名词和定义适用。
3.1可用性保证被授权的使用者需要时能够访问信息及相关资产。
[BS ISO/IEC17799:2000] 3.2保密性保证信息只被授权的人访问。
[BS ISO/IEC17799:2000]3.3信息安全安全保护信息的保密性、完整性和可用性3.4信息安全管理体系(信息安全管理体系)是整个管理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、维护和改进信息安全。
注:管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。
3.5完整性保护信息和处理方法的准确和完整。
[BS ISO/IEC17799:2000]3.6风险接受接受一个风险的决定[ISO Guide 73]3.7风险分析系统地使用信息识别来源和估计风险[ISO Guide 73]3.8风险评估风险分析和风险评价的整个过程[ISO Guide 73]3.9风险评价把估计风险与给出的风险标准相比较,确定风险严重性的过程。
[ISO Guide 73] 3.10风险管理指导和控制组织风险的联合行动3.11风险处理选择和实施措施以更改风险的处理过程[ISO Guide 73]3.12适用性声明描述适用于组织的信息安全管理体系范围的控制目标和控制措施。
这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。
4.信息安全管理体系要求4.1总要求组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。
为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系组织应:a)a)应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
b)b)应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,方针应:1)1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)2)考虑业务及法律或法规的要求,及合同的安全义务。
3)3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系。
4)4)建立风险评价的标准和风险评估定义的结构。
5)5)经管理层批准c)c)确定风险评估的系统化的方法识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。
为信息安全管理体系建立方针和目标以降低风险至可接受的水平。
确定接受风险的标准和识别可接受风险的水平[见5.1f]d)d)确定风险:1)1)在信息安全管理体系的范围内,识别资产及其责任人2)2)识别对这些资产的威胁3)3)识别可能被威胁利用的脆弱性4)4)别资产失去保密性、完整性和可用性的影响e)e)评价风险1)1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果;2)2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施;3)3)估计风险的等级4)4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理;f)f)识别和评价供处理风险的可选措施:可能的行动包括:1)1)应用合适的控制措施2)2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险的标准3)3)避免风险;4)4)转移相关业务风险到其他方面如:保险业,供应商等。
g)g)选择控制目标和控制措施处理风险:应从本标准附件A中列出的控制目标和控制措施,选择应该根据风险评估和风险处理过程的结果调整。
注意:附件A中列出的控制目标和控制措施,作为本标准的一部分,并不是所有的控制目标和措施,组织可能选择另加的控制措施。
h)h)准备一份适用性声明。
从上面4.2.1(g)选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。
从附件A中剪裁的控制措施也应加以记录;i)i)提议的残余风险应获得管理层批准并授权实施和动作信息安全管理体系。
4.2.2实施和运作信息安全管理体系组织应:a)a)识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处理计划)-[见条款5];b)b)实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色和责任。
c)c)实施在4.2.1(g)选择的控制目标和措施d)d)培训和意识[见5.2.2];e)e)管理动作过程;f)f)管理资源[见5.2];g)g)实施程序和其他有能力随时探测和回应安全事故的控制措施。
4.2.3监控和评审信息安全管理体系组织应:a)a)执行监控程序和其他控制措施,以:1)1)实时探测处理结果中的错误;2)2)及时识别失败和成功的安全破坏和事故;3)3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标;4)4)确定解决安全破坏的行动是否反映了运营的优先级。