有哪些信誉好的足球投注网站- 1、本文档共14页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
PAGE
PAGE2
信息安全管理体系建立方法
1信息安全管理体系概述
1.1什么是信息安全管理体系
信息安全管理体系,即InformationSecurityManagementSystem(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。
ISO/IEC27001-2013是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。
1.1.1ISMS的范围
ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:
1)组织所有的信息系统;
2)组织的部分信息系统;
3)特定的信息系统。
此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。
1.1.2组织内部成功实施信息安全管理的关键因素
1)反映业务目标的安全方针、目标和活动;
2)与组织文化一致的实施安全的方法;
3)来自管理层的有形支持与承诺;
4)对安全要求、风险评估和风险管理的良好理解;
5)向所有管理者及雇员推行安全意思;
6)向所有雇员和承包商分发有关信息安全方针和准则的导则;
7)提供适当的培训与教育;
8)用于评价信息安全管理绩效及反馈改进建议,并有利于综合平衡的测量系统。
1.1.3建立ISMS的步骤
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:
1)信息安全管理体系的策划与准备;
2)信息安全体系文件的编制;
3)信息安全管理体系的运行;
4)信息安全管理体系的审核与评审。
1.2信息安全管理体系的作用
1.2.1ISMS的特点
信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:
1)体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同方要求;
2)强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;
3)强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。
1.2.2实施ISMS的作用
组织建立、实施与保持信息安全管理体系将会产生如下作用:
1)强化员工的信息安全意识,规范组织信息安全行为;
2)对组织的关键信息资产进行全面体统的保护,维持竞争优势;
3)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
4)使组织的生意伙伴和客户对组织充满信心;
5)如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任度;
6)促使管理层贯彻信息安全保障体系;
7)组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。
1.3信息安全管理体系的准备
为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。
1.3.1成立信息安全委员会
信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并做出决策,为组织信息安全管理提供导向与支持。
1)评审和审批信息安全方针;
2)分配信息安全管理职责;
3)确认风险评估的结果;
4)对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;
5)评审与监督信息安全事故;
6)审批与信息安全管理有关的其他重要事项。
1.3.2任命信息安全管理经理
组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:
1)确定信息安全管理标
文档评论(0)