亚洲精品无码永久中文字幕,国产人成视频在线观看,国产亚洲精品岁国产微拍精品,8888四色奇米在线观看

信息安全認證需要注意的方面還有:確定信息安全方針目標、建立管理組織機構、信息安全風(fēng)險評估、ISMS體系文件編寫(xiě)、ISMS管理體系記錄的設計等，下面和小編一起來(lái)看看吧！

五、確定信息安全方針和目標 

目的：明確信息安全方針和目標，為信息安全管理體系提供導向。 

內容：根據業(yè)務(wù)要求及組織實(shí)際情況，制定安全方針和目標。

包括： 

① 與最高管理者進(jìn)行溝通，理解管理意圖和管理要求，確定信息安全管理方針； 

② 根據方針的要求，制定目標，并分解到各個(gè)管理活動(dòng)中，形成可測量的指標體系，確保方針和目標得以實(shí)現； 

六、建立管理組織機構 

目的：建立完善的內控組織架構，為整合體系提供支持。 

內容：良好的組織架構是確保各項管理活動(dòng)落實(shí)的根本. 

包括： 

① 建立整合體系管理委員會(huì )，就重大信息安全事項進(jìn)行決策； 

② 建立管理協(xié)調小組，就日常管理活動(dòng)中的信息安全事項進(jìn)行溝通改進(jìn)； 

③ 明確管理活動(dòng)中各流程責任人的職責，并文件化。 

七、信息安全風(fēng)險評估 

目的：實(shí)施風(fēng)險評估，識別不可接受風(fēng)險，明確管理目標； 

內容：風(fēng)險評估是整個(gè)風(fēng)險管理的基礎，本階段將根據前期策劃的風(fēng)險評估方法 

包括： 

① 根據業(yè)務(wù)要求及信息的密級劃分，對信息資產(chǎn)的重要程度進(jìn)行判定，識別對關(guān)鍵核心業(yè)務(wù)具有關(guān)鍵作用的信息資產(chǎn)清單；對重要信息資產(chǎn)從內部及外部識別其所面臨的威脅； 

② 根據威脅，從管理和技術(shù)兩方面識別重要信息資產(chǎn)所存在的薄弱點(diǎn)； 

③ 根據風(fēng)險評估的方法指南，對威脅利用薄弱點(diǎn)對重要信息資產(chǎn)所產(chǎn)生的風(fēng)險在保密性、完整性、可用性三方面所造成的影響進(jìn)行評價(jià)；評價(jià)威脅利用薄弱點(diǎn)引發(fā)安全風(fēng)險事件的可能性； 

④ 根據風(fēng)險影響及發(fā)生的可能性評價(jià)風(fēng)險等級； 

⑤ 根據信息安全方針，各核心業(yè)務(wù)流程的安全要求，與管理層進(jìn)行溝通，確定不可接受風(fēng)險等級的標準； 

⑥ 針對不可接受的高風(fēng)險，制定風(fēng)險處理計劃，從ISO27002及顧問(wèn)的行業(yè)經(jīng)驗來(lái)選擇適宜的風(fēng)險管控措施；實(shí)施所選擇的控制措施，降低、轉移或消除安全風(fēng)險； 

⑦ 編寫(xiě)風(fēng)險評估報告。 

八、ISMS體系文件編寫(xiě) 

目的：建立文件化的信息安全管理體系。 

內容：根據文件體系策劃的結果，編寫(xiě)信息安全管理體系文件， 

包括： 

① 整合信息安全管理體系手冊，明確各管理過(guò)程的順序及相互關(guān)系； 

② 整合信息安全管理體系所要求的程序文件，從體系維護管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪(fǎng)問(wèn)控制、通信和運作管理、業(yè)務(wù)連續性管理、信息安全事件管理、符合性等方面對各類(lèi)管理活動(dòng)及作業(yè)指導進(jìn)行文件化； 

③ 制定各類(lèi)安全策略，如：電子郵件策略、互聯(lián)網(wǎng)訪(fǎng)問(wèn)策略，訪(fǎng)問(wèn)控制策略等。 

九、ISMS管理體系記錄的設計 

目的：設計科學(xué)的信息安全管理體系記錄，保證各管理流程的可控性和可追溯性。 

內容：根據各個(gè)管理流程和文件對管理過(guò)程的記錄要求，設計記錄表格格式 

包括： 

① 搜集原有管理記錄； 

② 優(yōu)化記錄或重新設計； 

③ 溝通記錄的形式和管理記錄填寫(xiě)的必要性，保證信息安全管理體系的可控性與記錄保持的數量之間的平衡。