《信息安全工程与管理(第二版)》 课件 第7章_信息安全管理体系.ppt

7.5信息安全管理体系的监视和评审7.5.1监视、测量与分析执行监视、评审规程和其他控制措施。定期评审ISMS的有效性。测量控制措施的有效性，验证安全要求是否被满足。定期进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审。定期进行ISMS内部审核和管理评审。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核内部审核，要确定ISMS的控制目标、控制措施、过程和程序是否达到如下要求：符合标准，以及相关法律法规的要求。符合已识别的信息安全要求，例如安全目标、安全漏洞、风险控制等。得到有效地实施和保持。按期望运行。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核——某公司内部审核报告1最终的内部审核报告，应是正式的，内容包括审核的目的及范围、审核准则、审核部门及负责人、审核组成员、审核时间、审核情况、审核结论、分发范围等。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核——某公司内部审核报告27.5信息安全管理体系的监视和评审7.5.3ISMS管理评审组织的最高管理者应该按照计划的时间间隔（至少每年一次）评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。管理评审过程，应确保收集到必要的信息，以供管理者对包括ISMS改进的机会和变更的需要，以及安全方针和安全目标等在内进行评价，评审结果应清楚地写入文件，并保持记录。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的时机：一般每年做一次管理评审，有的认证机构每半年有一次监督审核，因此企业每六个月做一次管理评审。但若发生以下任一情况，应适时进行管理评审：在进行第三方认证之前。企业内、外部环境发生较大变化时。新的ISMS进行正式运行时。其他必要的时候，如发生重大信息安全事故时。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的输入：ISMS审核和评审的结果。ISM方针、风险控制目标和控制措施的实施情况。事故、事件的调查处理情况。纠正和预防措施的实施情况。相关方的投诉、建议等反馈。用于改进ISMS业绩和有效性的技术、产品或程序。对于法律法规及其他要求的符合性报告。关于ISMS运行的有效性测量报告。风险评估报告，以及已采取措施的跟踪报告。任何可能影响ISMS变更的因素。改进的建议。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的输出：ISMS的适宜性、充分性和有效性的测量结论。组织机构是否需要调整。信息安全方针、控制目标、控制措施、风险等级和风险接受准则是否需要修改。更新风险评估和风险处置计划。资源配置是否充足，是否需要调整。改进测量控制措施有效性的方式。目录7.1信息安全管理体系概述7.2信息安全管理体系的准备7.3信息安全管理体系的建立7.4信息安全管理体系的实施和运行7.5信息安全管理体系的监视和评审7.6信息安全管理体系的保持和改进7.7信息安全管理体系的认证7.6信息安全管理体系的保持和改进针对与ISMS要求不符合的项目，应实施纠正措施、改进措施和预防措施等。其中改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合采取预防性控制措施。7.6信息安全管理体系的保持和改进7.6.1纠正措施纠正措施,应形成文件，并规定以下方面的要求：识别在实施和运行ISMS过程中的不符合因素。确定这些不符合因素的原因。对确保这些不符合不再发生所需的措施进行评价。确定和实施所需要的纠正措施，并记录结果。评审所采取的纠正措施。7.6信息安全管理体系的保持和改进7.6.2预防措施预防措施,应形成文件，并规定以下方面的要求：识别潜在的不符合因素的原因。对预防这些不符合因素发生所需的措施进行评价。确定和实施所需要的预防措施，并记录结果。评审所采取的预防措施。识别发生变化的风险，并通过关注变化显著的风险来识别预防措施的要求。根据风险评估的结果来确定预防措施的优先级。7.6信息安全管理体系的保持和改进7.6.3控制不符合项对于轻微的不符合，可采取口头纠正和辅导，不必采取更进一步的纠正与预防措施。对于严重的不符合，应积极采取补救措施，下达纠正与预防措施任务给相关责任部门，并要求在规定的时间内完成相关原因分析和确定纠正与预防措施后回传，以减少或消除其不利影响。7.6信息安全管理体系的保持和改进7.6.3控制不符合项——纠正与预防不符合的措施表下达纠正与预防措施：（1）不符合项的来源：（2）不符合项事实的陈述：（3）不符合