网站大量收购闲置独家精品文档,联系QQ:2885784924

资讯安全生产管理政策与审查.ppt

  1. 1、本文档共127页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
資訊安全管理;課程模組大綱;Module 10:通信與作業管理 Module 11:存取控制 Module 12:資訊系統的取得、開發及維護 Module 13:資安事故管理 Module 14:營運持續管理 Module 15:法令、政策、標準、及技術的符合性 Module 16:內部稽核 Module 17:管理審查 Module 18:持續改進;Module 5:資訊安全政策 ;學習目的;Module 5:資訊安全政策 ;Module 5-1:概述;Module 5-1:概述;如同組織的經營願景與方向,管理階層必須設定並提出與營運目標一致之明確資安政策指示。 經由溝通與發布至整個組織,展現對資訊安全的支持與承諾。當組織訂有明確的資安政策後,所有同仁將可清楚認知資安責任。 只要落實政策要求,將可達成資安管理目標,提供交易夥伴信心,增加商業機會及營運競爭力。 ;Module 5-2:實施要點;Module 5-2:實施要點 ;一、資安政策文件內容;管理階層意向的聲明: 資安政策應能明確看出管理階層之資安態度及期望。除其展現支持與營運策略目標一致的資安目的及原則外,並應適當提供資源,表達對資安之支持與承諾。;資安目標: 說明組織所設定的資安目標,以建立組織整體意識及關於資訊安全之各項行動原則。資安目標宜具體量化,以利審查資安活動之有效性及適切性。如:年度資安事件數量、重要資訊系統之可用率,或資訊處理之正確率等。;風險評鑑與風險管理的結構: 說明組織如何運用風險評鑑方法對風險進行評估,及如何設定各項控制目標與控制措施,對風險進行處理及管理。有關風險評鑑及風險處理,請參閱Module 4。;資安責任: 界定資安管理的一般與特定責任,資安政策尚應包括核准、審查及評估安全政策之管理責任。 例如:最高管理階層負有核准、審查之責,各管理階層負有評估、修正之責,所有同仁負有遵循責任等。;法令法規遵循性(Compliance): 考量營運與法律或法規要求,以及合約的安全義務,簡要說明安全政策、原則、標準以及對組織特別重要之遵循性要求。 遵循法律、法規及合約要求。 安全教育、訓練及認知要求。 營運持續管理(Business Continuity Management, BCM)。 違反資訊安全政策的後果。 ;政策支援文件: 資安政策可能會需要其他支援補充???件。 例如:針對特定資訊系統所展開的細部安全政策和程序,或使用者應遵循的安全規則,可能包括可攜式媒體政策、網路使用政策或通行碼使用政策等。相關的政策文件應考慮針對預期之使用者,以其方便取得及易於瞭解的形式,向整個組織的使用者傳達。 ;其他注意事項: 資安政策可視為一般管理政策文件的一部分。 若資安政策散布至組織外,應注意避免揭露組織敏感性資訊。 ;二、資安政策之公布傳達 ;政策公布及傳達方式,可考慮組織特性及文化而定,可參考下列作法: 張貼公告。 以電子形式傳遞給所有人員週知(例如:電子郵件)。 政令宣導方式。 管理會議中宣達。;教育訓練方式(須著重於訓練之有效性)。 主動告知模式(例如:外部人員或訪客,於到訪時主動告知資安政策,並要求遵循配合)。 合約或協議形式(例如:委外合約中提及資安政策相關要求)。;傳達及溝通方式之重點,在使相關人員能夠意識其資安責任,任何形式的傳達溝通,應避免流於形式,而應著重效果。 特別值得注意的是,如何使外部團體或人員(包括:委外廠商、第三方使用者或訪客等)瞭解組織的資安政策及要求,傳達方式應考慮其可行性及有效性。 例如:在訪客會客櫃台處公告相關資安政策及要求,並由接待人員提醒訪客遵守。 ;三、資安政策之審查;例如:組織可定期於年度管理階層審查會議中,審查資安政策是否持續適用,或討論是否須作任何調整修改。 或當組織發生重大變更時,如:組織策略、規模、地點、高階管理人員、產品、技術或服務等營運內容改變時,立即進行不定期審查。;資安政策審查應包括評估組織資安及管理方法之改進空間,以因應組織環境、營運環境、法律條件或技術環境的改變。資安政策審查應與管理審查結果方向一致。 有關管理審查,將詳細說明於Module 17。;Module 5-3:範例一 -- XX 公司資訊安全政策;Module 5-3:範例一 -- XX 公司資訊安全政策;範圍(Scope) 本資訊安全管理系統適用於本公司全部範圍及所有業務,包括全體員工、往來廠商、約聘人員及廠商委派支援本公司之工作人員等所有相關資訊資產。;資安政策聲明(Information Security Policy Statement) 資訊安全 人人有責;本公司將確保: 服務過程,安全無虞 服務資訊,精準正確 服務結果,迅速及時 為保護本公司的相關資訊資產,包括實體軟硬體設施、資料、資訊等安全,免於因外在的

文档评论(0)

iphone0b + 关注
官方认证
内容提供者

该用户很懒,什么也没介绍

认证主体如皋市辰森技术服务工作室
IP属地江苏
统一社会信用代码/组织机构代码
92320682MA278Y740Q

1亿VIP精品文档

相关文档