國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
聯(lián)系電話
全國:010-56542716
天津:022-27810977
國家認(rèn)證認(rèn)可監(jiān)督委員會(huì)批準(zhǔn)認(rèn)證咨詢機(jī)構(gòu)
批準(zhǔn)號(hào):CNCA-Z-01Q-2006-038
全國:010-56542716
天津:022-27810977
常見問題&知識(shí)園地
為便于信息安全管理體系的理解與應(yīng)用,現(xiàn)結(jié)合ISO/IEC27001:2016,、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相關(guān)要求,,進(jìn)行管理基本思路的整理,供參考,。
1 信息也是資產(chǎn),,值得或需要保護(hù)以防范各種危害
所有類型的組織都會(huì)收集、處理,、存儲(chǔ)和傳輸各種形式的信息,,如語音、文字等,。信息的價(jià)值已經(jīng)超越文字,、數(shù)字和圖像的本身。
在互聯(lián)世界中,,信息和相關(guān)過程,、系統(tǒng)、網(wǎng)絡(luò)及其操作,、處理與保護(hù)活動(dòng)中所涉及的人員都是資產(chǎn),,與其他重要的業(yè)務(wù)資產(chǎn)一樣,,對(duì)組織的業(yè)務(wù)至關(guān)重要,。
資產(chǎn)易遭受故意和意外的威脅,且相關(guān)的過程、系統(tǒng),、網(wǎng)絡(luò)和人員均有其固有的脆弱性(可以被一個(gè)或多個(gè)威脅利用的組織或資產(chǎn)的弱點(diǎn)),。業(yè)務(wù)過程和系統(tǒng)的變更或其他外部變更都有可能產(chǎn)生新的信息安全風(fēng)險(xiǎn)。
考慮到威脅利用脆弱性損害組織的途徑多種多樣,,信息安全風(fēng)險(xiǎn)始終存在,。
有效的信息安全通過防范威脅和脆弱性使組織得到保護(hù)來減少風(fēng)險(xiǎn),從而降低對(duì)其資產(chǎn)的影響,。
2 信息安全管理體系可以系統(tǒng)地管理信息安全
信息安全主要包括保持信息的保密性,、完整性和可用性。
保密性即信息不能被未授權(quán)的個(gè)人,、實(shí)體或者過程利用或知悉的特性,;
完整性指準(zhǔn)確和完備的特性;
可用性指根據(jù)授權(quán)實(shí)體的要求可訪問和使用的特性,。
信息安全單純通過技術(shù)手段實(shí)現(xiàn)有一定的局限性,,需要從系統(tǒng)全局的角度進(jìn)行完善的管理,其中可通過GB/T22080-2016/ISO/IEC27001:2013實(shí)現(xiàn)信息安全的管理,。
3 識(shí)別信息安全要求是第一步
確定信息安全要求是管理的出發(fā)點(diǎn),。安全要求一般有三個(gè)來源:
組織自身的風(fēng)險(xiǎn)點(diǎn);
組織及其相關(guān)方的外部要求,;
組織為支持自身運(yùn)行,,針對(duì)信息的操作、處理,、存儲(chǔ),、通信和歸檔而建立的原則、目的和業(yè)務(wù)要求等,。
4 信息安全風(fēng)險(xiǎn)評(píng)估
結(jié)合組織的戰(zhàn)略及內(nèi)外部環(huán)境,,發(fā)揮領(lǐng)導(dǎo)作用,通過建立的信息安全風(fēng)險(xiǎn)準(zhǔn)則,,進(jìn)行系統(tǒng)的信息安全風(fēng)險(xiǎn)識(shí)別,,并對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行分析評(píng)估,確定風(fēng)險(xiǎn)優(yōu)先級(jí)別,。
5 信息安全風(fēng)險(xiǎn)處置選項(xiàng)
在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上,,選擇需要控制的適合的信息安全風(fēng)險(xiǎn)處置選項(xiàng),確定所必需的所有控制,。
6 選擇和實(shí)施信息安全控制措施
將選擇的所有控制與標(biāo)準(zhǔn)附錄進(jìn)行對(duì)照,,并驗(yàn)證沒有忽略必要的控制??刂拼胧┛蓮臉?biāo)準(zhǔn)給出的指標(biāo)中選擇,,也可以特定設(shè)計(jì),。其中附錄給出了14個(gè)安全控制、35個(gè)主要安全類別和114項(xiàng)控制措施,。
制定適用性聲明,。
制定正式的信息安全風(fēng)險(xiǎn)處置計(jì)劃,獲得風(fēng)險(xiǎn)責(zé)任人對(duì)計(jì)劃及對(duì)信息安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn),。
具體實(shí)施以上計(jì)劃,,包括對(duì)變更的管理、外包過程的管理等,。
7 持續(xù)改進(jìn)
利用風(fēng)險(xiǎn)管理過程,、管理體系的方法進(jìn)行監(jiān)視、保持和改進(jìn)與組織信息資產(chǎn)相關(guān)的安全控制措施的有效性,,以實(shí)現(xiàn)持續(xù)改進(jìn),。
8 適用性聲明
應(yīng)當(dāng)制定一個(gè)適用性說明,包含必要的控制及其選擇的合理性說明(無論該控制是否已實(shí)現(xiàn)),,以及對(duì)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A控制刪減的合理性說明,。
當(dāng)然可以增加一些標(biāo)準(zhǔn)附錄外的特定控制,此時(shí)可給出與標(biāo)準(zhǔn)可用條款的交叉應(yīng)用,,以支持業(yè)務(wù)伙伴或其他相關(guān)方查看,。
9 信息的生命周期考慮
信息在不同的生命周期階段,包括構(gòu)思,、規(guī)約,、設(shè)計(jì)、開發(fā),、測(cè)試,、實(shí)現(xiàn)、使用,、維護(hù),,并最終退役和銷毀中,其資產(chǎn)的價(jià)值和所面臨的風(fēng)險(xiǎn)可能會(huì)發(fā)生變化,,如上市公司的報(bào)表信息在發(fā)布前后面臨的竊取或泄露所產(chǎn)生的危害是不同的,。在每一階段上應(yīng)當(dāng)考慮信息安全。
組織信息安全管理體系受到組織的需要和目標(biāo),、安全要求,、組織所采用的過程、規(guī)模和結(jié)構(gòu)的影響,,并隨著時(shí)間的變化而發(fā)生變化,。更重要的是信息安全管理體系是組織的過程和整體管理體系結(jié)構(gòu)的一部分并集成在其中,并且在過程,、信息系統(tǒng)和控制設(shè)計(jì)中需要考慮信息安全,。即信息安全管理體系應(yīng)于組織的需要相結(jié)合,,以證實(shí)自己控制信息安全的能力,為組織和相關(guān)方提供信任,。
關(guān)注卓越空間
關(guān)注卓越微博
關(guān)注卓越微信