企业新闻

BS 7799第2部分:信息安全管理系统

2018-03-01 19:48:01 | 来源:中培企业IT培训网

BS 7799第2部分:信息安全管理系统

BS 7799的第2部分提供了循环的过程:计划一实施一检查。改进的实施细节,并且简洁地示于图6-2。


计划:

①定义ISMS的范围

②定义ISMS策略

③定义风险评估方法

④识别风险

⑤评估风险

⑥确定并评价处理风险的各种选择

⑦选择控制目标并且控制它

⑧准备一个适用性陈述(SOA)

实施:

设计危机处理计划

实施危机处理计划

实施控制

实施培训和意识提升项目

管理操作

管理资源

实施程序来检测安全事故并对其做出响应

检查:

执行监控程序

对ISMS的有效性进行常规检查⑩检查可接受风险的等级

实施内部ISMS审计

对ISMS进行常规管理检查

记录影响ISMS的活动和事件

改进:

实施已确定的改进

采取改正或者预防措施

运用学到的教训

和利益集团就结果进行交流

保证进行的改进能达到目的

虽然第2部分最近才被修正过,并且提供了一些关于实施的信息,但是它仅仅指明了必须做什么——而不是怎样去做。如同Gamma安全系统提到的那样, “该标准有一个附录,给出了该标准的使用指南,尤其详述了计划一实施一检查一改进的概念。认识到这一点非常重要:在每一个ISMS(信息安全管理系统)中将会有很多的计划。实施一检查一改进循环,它们以不同的速度进行异步操作。”

标签:

猜你喜欢