站内搜索:
    • 公司:
    • 成都智荟源企业管理咨询有限公司
    • 联系:
    • 罗老师
    • 邮箱:
    • 619270360@qq.com
    • 手机:
    • 13608089100
    • 电话:
    • 028-84301286
    • 地址:
    • 成都市高新区天府三街峰汇中心1-10-8
    • 微信:
本站共被浏览过 152400 次
用户名:
密    码:

分享:
产品信息
您所在的位置:首页 > 详细信息

四川ISO27001认证,测量分析改进

2019-09-17 02:09:01 179次浏览

价 格:面议

8.运行

8.1运行的规划和控制

4.2.2.1为确保信息安全管理体系有效实施,对已识别的风险进行有效处理,本公司开展以下活动:

a)形成《信息安全不可接受风险处理计划》,以确定适当的管理措施、职责及安全控制措施的优先级;

b)为实现已确定的安全目标、实施《信息安全不可接受风险处理计划》,明确各岗位的信息安全职责;

c)实施所选择的控制措施,以实现控制目标的要求;

d)确定如何测量所选择的控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果;

e)进行信息安全培训,提高全员信息安全意识和能力;

f)对信息安全体系的运作进行管理;

g)对信息安全所需资源进行管理;

h)实施控制程序,对信息安全事件(或征兆)进行迅速反应。

8.2信息安全风险评评估

本公司按《信息安全风险评估管理程序》,采用人工分析法,分析和评价风险:

a) 针对重要资产自身价值、保密性、完整性和可用性、合规性损失导致的后果进行赋值;

b) 针对每一项威胁、薄弱点,对资产造成的影响,考虑现有的控制措施,判定安全失效发生的可能性,并进行赋值;

c) 根据《信息安全风险评估管理程序》计算风险等级;

d) 根据《信息安全风险评估管理程序》及风险接受准则,判断风险为可接受或需要处理。

8.3信息安全风险处置

技术部根据信息安全方针、业务发展要求及风险评估的结果,组织有关部门制定了信息安全目标,并将目标分解到有关部门(见《适用性声明》):

a)信息安全控制目标获得了信息安全责任者的批准。

b)控制目标及控制措施的选择原则来源于GISO27001:2013《信息技术-安全技术-信息安全管理体系-要求》附录A,具体控制措施参考ISO27002:2005《信息技术-安全技术-信息安全管理实用规则》。

c)本公司根据信息安全管理的需要,可以选择标准之外的其他控制措施。

9.绩效评价

9.1监视、测量、分析和评价

本公司管理者代表负责对信息安全管理体系的绩效和有效性进行评价

管理者代表应编制《信息安全管理体系管理方案》,并明确以下事项:

1)什么需要监视和测量,包括信息安全过程和控制措施。

2)测视、测量、分析和评价的方法

3)什么时侯进行监视和测量

4)谁应执行监视和测量

5)什么时侯应对监视和测量的结果进行分析和评价

6)谁应分析和评价这些结果,并记录分析和评价的结果

9.2内部审核

9.2.1总则

技术部负责建立并实施《内部审核管理程序》,《内部审核管理程序》应包括策划和实施审核以及报告结果和保持记录的职责和要求。并按照策划的时间间隔进行内部审核,以确定其信息安全管理体系的控制目标、控制措施、过程和程序是否:

a) 符合本标准的要求和相关法律法规的要求;

b) 符合已识别的信息安全要求;

c) 得到有效地实施和维护;

d) 按预期执行。

9.2.2内审策划

9.2.2.1技术部应考虑拟审核的过程和区域的状况和重要性以及以往审核的结果,对审核方案进行策划。应编制内审年度计划,确定审核的准则、范围、频次和方法。

9.2.2.2每次审核前,技术部应编制内审计划,确定审核的准则、范围、日程和审核组。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。

9.2.3内审实施

9.2.3.1 应按审核计划的要求实施审核,包括:

a)进行首次会议,明确审核的目的和范围,采用的方法和程序;

b)实施现场审核,检查相关文件、记录和凭证,与相关人员进行交流;

c)进行对检查内容进行分析,召开内审小组首次会议、末次会议,宣布审核意见和不符合报告;

d)审核组长编制审核报告。

9.2.3.2 对审核中提出的不符合项报告,责任部门应编制纠正措施,由技术部组织对受审部门的纠正措施的实施情况进行、验证。

9.2.3.3 按照《记录管理程序》的要求,保存审核记录。

9.2.3.4 内部审核报告,应作为管理评审的输入之一。

9.3管理评审

管理评审

总则

9.3.1技术部负责每年下半年组织信息安全管理体系管理评审,以确保其持续的适宜性、充分性和有效性。

9.3.2管理评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。

9.3.3管理评审的结果应清晰地形成文件,记录应加以保持。

评审输入

管理评审的输入要包括以下信息:

a) 信息安全管理体系审核和评审的结果;

b) 相关方的反馈;

c) 用于改进信息安全管理体系业绩和有效性的技术、产品或程序;

d) 预防和纠正措施的状况;

e) 以往风险评估没有充分强调的脆弱性或威胁;

f) 有效性测量的结果;

g) 以往管理评审的措施;

h) 任何可能影响信息安全管理体系的变更;

i) 改进的建议。

评审输出

管理评审的输出应包括与下列内容相关的任何决定和措施:

a) 信息安全管理体系有效性的改进;

b) 更新风险评估和风险处理计划;

c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响信息安全管理体系的内外事件,包括以下方面的变化:

1) 业务要求;

2) 安全要求;

3) 影响现有业务要求的业务过程;

4) 法律法规要求;

5) 合同责任;

6) 风险等级和(或)风险接受准则。

d) 资源需求;

e) 改进测量控制措施有效性的方式。

9.3.4评审程序

9.3.4.1 技术部根据信息安全管理体系运行情况和内、外审的结果,针对评审输入信息要求,制定《管理评审计划》,送交总经理批准后,通知相关职能部门准备及提供评审资料。

9.3.4.2

成都智荟源企业管理咨询有限公司版权所有ID:35049559) 技术支持:武汉百业网科技有限公司   百业网客服:杨宇

1

回到顶部