ISO認證網

承接全國ISO認證咨詢、驗廠咨詢、AAA信用體系業務。

全國客服熱線:17759213520

業務咨詢:18682079022

ISO27001信息安全管理體系認證咨詢(下)

ID:231 / 打印

發布時間:2017-10-09 23:48 分類:ISO27001信息安全管理體系

內容摘要:ISO27001信息安全管理體系認證咨詢(下)ISO27001信息安全管理體系風險評估:現狀分析        通過問卷調查、訪談、檢查及測試等多種方式盡可能多 ...

ISO27001信息安全管理體系認證咨詢(下)


ISO27001信息安全管理體系風險評估:


現狀分析


        通過問卷調查、訪談、檢查及測試等多種方式盡可能多的收集信息系統及安全管理相關 信息,對收集到的信息進行綜合分析和整理,形成差距分析報告和現狀報告。


主要工作任務及內容(活動) 

1) 問卷調查 對 ISMS 范圍內的相關人員進行問卷調查,了解組織人員的安全管理意識、組織面臨的 主要威脅情況以及發生的主要安全事件。

2) 現場訪談 面對面訪談信息系統架構、部署以及安全弱點、管理及技術措施等。 

3) 手工檢測 人工檢查或測試系統的安全管理落實情況。 

4) 安全掃描 使用自動化工具進行網絡、操作系統、數據庫或應用系統掃描。       

5) 滲透測試 對網絡、操作系統、數據庫或應用系統實施滲透測試,可選。         

6) 綜合分析 對問卷調查、現場訪談、手工檢測、安全掃描收集的信息進行綜合分析。 

7) 撰寫報告 撰寫差距分析報告和現狀報告。


主要工作方式/方法(工作方式、職責劃分、工作方法)

現狀分析的目的是收集信息系統及安全管理的相關信息,所采用的手段包括:問卷調查、 現場訪談、檢查與測試等,在進行現狀分析前需要準備完成相關的現狀調研及分析工具模板。 具體包括:

1) 調查問卷

2) 現場訪談表

3) 人工檢測表

4) 自動掃描工具等

其中調查問卷需要根據 ISMS 范圍內的人員崗位分別定制,現場訪談表、人工檢測表需 要根據網絡及系統平臺類別分別定制。


各種主要手段功用及工作底稿描述如下:

1) 問卷調查主要用于信息安全管理意識、安全威脅及相關安全事件了解。問卷調查的工作底稿主要是問卷答卷。

2) 現場訪談主要了解物理、網絡、操作系統、數據庫系統、應用系統的基本信息以及其安全管理設計情況。現場訪談工作底稿包括:訪談計劃、訪談結果記錄等。

3) 人工檢測表主要用于核查安全管理的落實情況,檢查或測試各類網絡設備、操作系統、數據庫系統、應用系統的安全實現情況。工作底稿主要是檢測結果記錄。

4) 自動掃描主要用于對網絡設備、操作系統、數據庫系統或應用系統的進行自動化掃描。工作底稿包括:掃描計劃、掃描原始記錄、掃描報告等。

5) 滲透測試主要對網絡設備、操作系統、數據庫系統或應用系統的實施滲透。工作底稿包括:滲透測試計劃、滲透測試記錄、滲透測試報告等。


現狀分析的過程如下(圖6):



各方參與情況見下表:


崗位

主要任務或活動

備注

問卷

現 場 訪

手工檢

安全掃

滲透測

綜合分

撰寫



調查

報告


甲方參與人員

IT 管理人員






協助

安全管理人員






協助

IT 運維人員






協助

IT 開發人員






協助

咨詢方參與人員

咨詢顧問



主要輸入


類型

名稱

備注

DOC

風險評估計劃

來自前面任務輸出





主要輸出


類型

名稱

備注

DOC/XLS

問卷調查工作底稿

系列

DOC/XLS

現場訪談工作底稿

系列

DOC/XLS

手工檢測工作底稿

系列

DOC/XLS

自動掃描工作底稿

系列

DOC/XLS

滲透測試工作底稿

系列

DOC/XLS

資產清單


DOC

差距分析報告


DOC

現狀分析報告



主要工具/模板


名稱

類型

用途

備注

調查問卷

DOC/XLS

由甲方人員填寫的問卷

不同級別或類別人員可能需要不 同的問卷

訪談表

DOC/XLS

由咨詢人員使用的面對面訪談提 綱或問題

不同類別對象需要不同的訪談表

檢測表

DOC/XLS

由咨詢人員使用的檢測提綱或檢 查程序

不同類別對象需要不同的檢查表

掃描工具

軟硬件

由咨詢人員使用的自動化安全掃 描軟件


差 距 分 析 準則

DOC/XLS

咨詢人員用于差距分析



風險評價


        依據確定的風險評估模型與方法,對現狀分析階段識別出的資產、威脅、弱點以及由此 而形成的資產綜合風險進行分析評價,形成風險評估報告。


主要工作任務及內容(活動) 

1) 資產評價 評估資產價值。 

2) 威脅評價 評估威脅發生可能性。 

3) 弱點評價 評估弱點嚴重程度。 

4) 風險評價 綜合資產評價、威脅評價、弱點評價結果評估資產面臨的風險。 

5) 風險評估報告 形成風險評估報告。



主要工作方式/方法(工作方式、職責劃分、工作方法)    

風險評價充分利用了現狀分析階段收集的資產、威脅、弱點以及安全控制的相關信息,按照確定風險評估模型及方法,評估資產面臨的風險。


 風險評價過程如下(圖7):



各方參與情況見下表:



崗位

主要任務或活動

備注

資產評價

威 脅 評

弱點評

風險評

撰寫風險評估報告

甲方參與人員

IT 管理人員







安全管理人員



IT 運維人員



IT 開發人員



咨詢方參與人員

咨詢顧問

協助


主要輸入


類型

名稱

備注

DOC/XLS

現狀分析工作底稿(系列)

來自前面任務輸出

DOC

現狀報告

來自前面任務輸出

DOC

差距分析報告

來自前面任務輸出


主要輸出


類型

名稱

備注

DOC/XLS

資產風險評估表


DOC

風險評估報告






主要工具/模板


名稱

類型

用途

備注

風險評估模型與指標

DOC/XLS

執行資產、威脅、弱點及風險評價


資產風險評估表模板

DOC/XLS

記錄資產風險評估結果



風險處置


        根據風險處置標準,確定風險處置方式。對于那些需要控制的風險,需要選擇安全控制措施,制定風險處置計劃,進行殘余風險分析。


主要工作任務及內容(活動) 

1) 選擇風險處置方式

根據確定的風險接受準則,選擇風險處置方式,如:接受、控制、轉移、規避等。 

2) 選擇安全控制措施

對于確定為控制的風險,選擇   ISO27002   中的或其它的安全控制措施。      

3) 制定風險處置計劃

對確定為控制的風險,制定相應的風險處理計劃,包括任務、人員、時間安排 。

4) 殘余風險分析

分析控制實施后的殘余風險。


主要工作方式/方法(工作方式、職責劃分、工作方法) 

風險處置方法一般包括風險接受、風險控制、風險轉移、風險規避四種。

風險接受:包括低于一定的風險水平本身就可接受的風險,或者那些不可避免,而且技術上、資源上不可能采取對策來降低,或者降低對組織來說不經濟的風險。

風險控制:采用適當的控制以降低風險:包括降低安全事件發生的可能性或者降低安全事件影響兩個方面,這時風險處置的重點。

風險轉移:將風險和其他的利益方分擔,避免自己承擔全部損失。例如保險和其他的風險分擔合同。

風險規避:通過避免開展某項業務、活動或使用某項不成熟的產品技術等來回避可能產生的風險,通常這些業務、活動不是組織的核心內容。


        對于選擇為接受的風險,根據 ISO27001 要求,需要獲得管理者的批準,并對這些風險進行監視,一旦風險狀態或者控制條件發生變化需要重新評估風險并識別和評價風險處理的 方法。


        對于選擇為控制的風險,可以從 ISO27002 中選擇降低風險的控制措施,包括信息安全方針、安全組織、資產分類和控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、信息系統的獲取及開發和維護、安全事件管理、業務連續性管理、符合性十一大方面。 這些控制可以從降低安全事件發生的可能性或者降低安全事件影響兩個方面來降低風險。

        在選取控制措施后,還需要針對這些風險制定風險處置計劃,風險處置計劃是針對風險評估所 識別的不可接受風險而制定的風險處理辦法和進度表, 風險處置計劃中應詳細的列出:

1) 所選擇的處理方法;

2) 當前已有控制;

3) 建議實施的控制;

4) 實施時間及人員安排等。 

        最后針對實施處置計劃后的資產殘余風險進行分析,要么由管理層批準接受殘余風險,要么 繼續選擇控制措施,制定處置計劃,直到管理層批準接受殘余風險。

        此外組織在采取“風險規避”或者“風險轉移”的處理方法時,應該注意其局限性,而 且可能因此而引入新的風險。


風險處置過程如下(圖8):



各方參與情況見下表:



崗位

主要任務或活動

備注

選擇風險處置方

選擇安全控

制措施

制 定 風 險 處

置計劃

殘余風險分析

甲方參與人員

IT 管理人員




安全管理人員


IT 運維人員




IT 開發人員




咨詢方參與人員

咨詢顧問

協助


主要輸入


類型

名稱

備注

DOC/XLS

資產風險評估表

來自前面任務輸出





主要輸出


類型

名稱

備注

DOC/XLS

資產風險處置表






主要工具/模板


名稱

類型

用途

備注

DOC/XLS

風險接受準則

用于確定風險處置方式








4安全體系規劃與設計


安全體系規劃


        對于大型組織而言,由于 ISMS 涉及范圍廣,建立完善的信息安全管理體系將是一個長 期的過程,因此需要規劃信息安全管理體系建設的任務及過程,形成信息安全管理體系建設規劃報告,分階段分步驟建設信息安全管理體系。對于 ISMS 范圍較小的組織,在風險評估后可以跳過本階段而直接進入安全體系文檔設計階段。


主要工作任務及內容(活動) 

1) ISMS 建設任務或項目分解

將資產風險處置結果轉換為任務或項目。 

2) 安全任務或項目實施規劃

規劃任務或項目的實施計劃。

3) 撰寫規劃報告

綜合前面分析形成規劃報告


主要工作方式/方法(工作方式、職責劃分、工作方法)   

在進行信息安全管理體系建設規劃時首先要分析上一階段得出的資產風險處置結果,將需要增加或改進的措施分解成一項項任務或項目,明確每個任務或項目的目標、工作內容及實施優先級,然后根據任務或項目的實施優先級規劃這些任務或項目的實施時間、實施范圍 及參與人員。

在確定任務或項目的實施優先級時需要使用規劃方法模型指標。 


安全體系規劃流程如下(圖9):



各方參與情況見下表:


崗位

主要任務或活動

備注

任務或項目分解

任務或項目實施規劃

撰寫規劃報告

甲方參與人員

IT 管理人員


協助

安全管理人員


協助


IT 運維人員




協助

IT 開發人員




協助

咨詢方參與人員

咨詢顧問



主要輸入


類型

名稱

備注

DOC/XLS

資產風險處置表

來自前面任務輸出





主要輸出


類型

名稱

備注

DOC/XLS

信息安全建設規劃底稿


DOC

信息安全建設規劃報告






主要工具/模板


名稱

類型

用途

備注

規劃方法模型指標

DOC/XLS

用于任務或項目實施規劃







編寫安全體系文檔


        按照風險評估或安全體系規劃結果,編寫信息安全管理體系文檔,包括 1、2、3、4 級 文檔、技術方案等。


主要工作任務及內容(活動) 

1) 確定 ISMS 文件清單

根據風險評估及規劃結果確定需要的 ISMS 文件清單。 

2) 制定 ISMS 文件編寫計劃

3) 編寫 ISMS 文件

按計劃編寫 1、2、3、4 級文檔、技術方案等。

4)ISMS 文件評審

討論評審 ISMS 文件或技術方案。


主要工作方式/方法(工作方式、職責劃分、工作方法)

ISMS 文檔包括與安全相關的管理制度/流程/標準/指南/操作手冊/模板以及相關技術方案等。一般分為四級文件,分別是:

一級文件:ISMS 總體文件,包括:

 總體安全方針政策

 安全管理手冊

 適用性聲明(SOA)

二級文件:ISMS 通用程序,主要包括:

 文件控制程序

 記錄控制程序

 內部審核管理程序

 管理評審管理程序

 預防及不符合糾正控制程序

 信息安全風險評估與管理程序

三級文件:專項安全處理程序、操作指南、操作手冊等。

 各種專項信息安全策略(含管理規定、辦法、制度等)

 各種信息安全處理流程/程序

 各種信息安全標準/指南/操作手冊

四級文件:運行 ISMS 所用到的記錄、模板等。 


本任務過程如下(圖10):



各方參與情況見下表:



崗位

主要任務或活動

備注

確定 ISMS 文

件清單

制定 ISMS 文件

編寫計劃

編寫 ISMS

文件

ISMS 文件

評審

甲方參與人員

IT 管理人員


協助

安全管理人員

協助

IT 運維人員




協助

IT 開發人員




協助

咨詢方參與人員

咨詢顧問



主要輸入


類型

名稱

備注

DOC

差距分析報告

來自前面任務輸出

DOC/XLS

資產風險處置表

來自前面任務輸出

DOC

信息安全建設規劃報告

來自前面任務輸出


主要輸出


類型

名稱

備注

DOC

ISMS 文件清單



DOC

ISMS 文件編寫計劃


DOC/XLS

ISMS 文件

系列

DOC/XLS

文件評審記錄

系列


主要工具/模板


名稱

類型

用途

備 注

ISMS 文件模板(包括手冊、策略、程序、記錄等格式模板)

DOC/XLS

統一文檔格式







5安全體系實施、調整、評審


體系實施


        按照 ISMS 文件,落實安全管理組織,部署安全控制措施,運行安全控制程序。


主要工作任務及內容(活動) 

1) 體系批準

2) 制定實施計劃

3) 建立安全管理組織

4) 體系培訓

5) 體系實施

6) 實施總結


主要工作方式/方法(工作方式、職責劃分、工作方法)

在實施和運行 ISMS 前,需要獲得最高管理者批準授權。最高管理者需要任命 ISMS 管理者代表、簽署 ISMS 文檔。此外還必須按照ISMS 體系要求建立安全管理組織,進行 ISMS 培 訓。

對于大型組織,ISMS 實施可以采用先試點、后推廣分階段進行。 


實施過程如下(圖11):



各方參與情況見下表:



崗位

主要任務或活動

備注

體系批

制 定 體 系

實施計劃

建 立 安 全

管理組織

體 系

培訓

體系

實施

實施

總結

甲方參與人員

IT 管理人員




安全管理人員



IT 運維人員





IT 開發人員





咨詢方參與人員

咨詢顧問


協助與指導


主要輸入


類型

名稱

備注

DOC

ISMS 文檔

來自前一任務輸出





主要輸出


類型

名稱

備注

DOC

授權及批準書


DOC

ISMS 實施工作計劃


DOC

安全管理組織結構圖

可以放在 ISMS 總體方針中




DOC

培訓日程安排(或計劃)


PPT

ISMS 體系培訓


DOC

培訓簽到表





DOC

ISMS 實施進度跟蹤表

系列

DOC

ISMS 實施問題匯總表

系列




DOC

ISMS 實施報告



主要工具/模板


名稱

類型

用途

備注










體系調整


        根據 ISMS 的實施、運行及評審情況,調整ISMS的設計與部署。


主要工作任務及內容(活動) 

1) 制定調整計劃

2) 實施體系調整


主要工作方式/方法(工作方式、職責劃分、工作方法)

在 ISMS 實施或者評審完成后,可以根據實施情況或者評審報告,對實施及運行過程中發現的ISMS 設計與部署問題進行整改。


體系調整過程如下(圖12):



各方參與情況見下表:


崗位

主要任務或活動

備注

制定調整計劃

體系調整

甲方參與人員

IT 管理人員


安全管理人員


IT 運維人員



IT 開發人員



咨詢方參與人員

咨詢顧問

協助與指導


主要輸入


類型

名稱

備注

DOC

體系實施報告

來自前面任務輸出

DOC

體系評審報告

來自前面任務輸出


主要輸出


類型

名稱

備注

DOC

ISMS 調整計劃


DOC

ISMS 體系文檔(改進稿)

系列


主要工具/模板


名稱

類型

用途

備注










體系評審


        對 ISMS 的實施及運行情況進行評審,包括 ISMS 內部審核和ISMS管理評審。


主要工作任務及內容(活動) 

1) 內部審核

2) 管理層評審


主要工作方式/方法(工作方式、職責劃分、工作方法)    

在ISMS 實施并運行一段時間后應該按照 ISO27001 要求,對ISMS 進行內部審核和管理評審,為ISMS 的外部認證審核做好準備。

ISMS 內部審核的目的是確定已經實施并運行的 ISMS 的控制目標、控制措施、過程和程序是否:

符合 ISO27001 的要求和相關法律法規的要求;

符合已識別的信息安全要求;

得到有效地實施和維護;

按預期執行。

內部審核一般有六個主要步驟,即確定任務、審核準備、審核的實施、編寫不符合報告、糾正措施的跟蹤、全面審核報告的編寫和糾正措施完成情況的匯總分析(具體過程參見 ISMS 內部審核服務)。

管理評審的目的是確保ISMS 的適宜性、充分性和有效性。評審應包括評價ISMS 改進的機會和變更的需要,包括安全方針和安全目標,評審的結果應清晰地形成文件,記錄應加以 保持。

內部審核需要將 ISMS 文件、體系實施報告及體系運行記錄作為輸入。管理評審則以內部審核報告結果作為主要輸入。


體系評審過程如下(圖13):



各方參與情況見下表:


崗位

主要任務或活動

備注

制定調整計劃

體系調整

甲方參與人員

IT 管理人員


安全管理人員


IT 運維人員



IT 開發人員



咨詢方參與人員

咨詢顧問

協助與指導


主要輸入


類型

名稱

備注

DOC

ISMS 實施報告

來自前面任務輸出

DOC/XLS

ISMS 文檔

來自前面任務輸出

DOC/XLS

ISMS 運行記錄



主要輸出


類型

名稱

備注


DOC

ISMS 內部審核計劃


DOC

ISMS 內部審核工作底稿

系列

DOC

ISMS 內部審核報告


DOC

ISMS 管理評審核劃(或日程安排)


DOC

ISMS 管理評審報告



主要工具/模板


名稱

類型

用途

備注






6項目主要任務及活動列表/文檔列表


主要任務及活動列表


階段過程

主要任務

主要活動

必選

可選

備注

準備

確定 ISMS 范圍

業務戰略及規劃一致性 分析



法規制度符合性分析



業務運營影響分析



確定 ISMS 范圍



確定信息安全總體 方針政策

業務及系統初步安全需 求分析



確定 ISMS 總體方針政策



定義風險評估與管 理方法

確定風險評估模型及相 關指標準則



制定風險評估與管理程 序



項目準備

制定實施計劃



組建項目組



整理開發工具/模板



項目啟動會



培訓



風險評估

現狀分析

問卷調查



現場訪談



手工檢測



安全掃描



滲透測試



綜合分析



撰寫報告



風險評價

資產評價



威脅評價



弱點評價



風險評價




項目主要文檔列表


階段過程

主要任務

主要文檔

文檔類型

文檔 內容

備注

準備

確定 ISMS 范圍

ISMS 范圍

DOC



確定信息安全總體 方針政策

ISMS 總體方針

DOC



定義風險評估與管 理方法

風險評估與管理程序

DOC



項目準備

ISMS 總體實施計劃

DOC



ISMS 風險評估計劃

DOC



威脅調查問卷(系列)

DOC/XLS



信息安全管理調查問卷

(系列)

DOC/XLS



IT 組織情況調查表

DOC/XLS



信息系統調查表(系列)

DOC/XLS



安全管理評估表

DOC/XLS



物理安全評估表

DOC/XLS



網絡架構安全評估表

DOC/XLS




原標題:ISO27001信息安全管理體系認證咨詢(下)

分享:http://www.079387.tw/a_231.html

cache
Processed in 0.012156 Second.
老11选5什么时候开奖