《信息安全工程与管理(第二版)》第7章_信息安全管理体系.pptVIP

7.4信息安全管理体系的实施和运行运行ISMS，要在实践中体验其充分性、适用性和有效性，并不断完善ISMS。实施ISMS，必须充分考虑各种因素，如宣传贯彻、实施监督、考核评审、信息反馈与及时改进等，还要考虑实施的培训费、报告费等各项费用，以及解决员工工作习惯的冲突、不同机构/部门之间的协调等问题。7.4信息安全管理体系的实施和运行应做好以下工作：做好动员与宣传。实施培训和意识教育计划。制定与实施风险处置计划。实施所选择的控制措施，并评价其有效性。管理ISMS的运行。保持ISMS的持续有效。目录7.1信息安全管理体系概述7.2信息安全管理体系的准备7.3信息安全管理体系的建立7.4信息安全管理体系的实施和运行7.5信息安全管理体系的监视和评审7.6信息安全管理体系的保持和改进7.7信息安全管理体系的认证7.5信息安全管理体系的监视和评审7.5.1监视、测量与分析执行监视、评审规程和其他控制措施。定期评审ISMS的有效性。测量控制措施的有效性，验证安全要求是否被满足。定期进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审。定期进行ISMS内部审核和管理评审。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核内部审核，要确定ISMS的控制目标、控制措施、过程和程序是否达到如下要求：符合标准，以及相关法律法规的要求。符合已识别的信息安全要求，例如安全目标、安全漏洞、风险控制等。得到有效地实施和保持。按期望运行。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核——某公司内部审核报告1最终的内部审核报告，应是正式的，内容包括审核的目的及范围、审核准则、审核部门及负责人、审核组成员、审核时间、审核情况、审核结论、分发范围等。7.5信息安全管理体系的监视和评审7.5.2ISMS内部审核——某公司内部审核报告27.5信息安全管理体系的监视和评审7.5.3ISMS管理评审组织的最高管理者应该按照计划的时间间隔（至少每年一次）评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。管理评审过程，应确保收集到必要的信息，以供管理者对包括ISMS改进的机会和变更的需要，以及安全方针和安全目标等在内进行评价，评审结果应清楚地写入文件，并保持记录。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的时机：一般每年做一次管理评审，有的认证机构每半年有一次监督审核，因此企业每六个月做一次管理评审。但若发生以下任一情况，应适时进行管理评审：在进行第三方认证之前。企业内、外部环境发生较大变化时。新的ISMS进行正式运行时。其他必要的时候，如发生重大信息安全事故时。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的输入：ISMS审核和评审的结果。ISM方针、风险控制目标和控制措施的实施情况。事故、事件的调查处理情况。纠正和预防措施的实施情况。相关方的投诉、建议等反馈。用于改进ISMS业绩和有效性的技术、产品或程序。对于法律法规及其他要求的符合性报告。关于ISMS运行的有效性测量报告。风险评估报告，以及已采取措施的跟踪报告。任何可能影响ISMS变更的因素。改进的建议。7.5信息安全管理体系的监视和评审7.5.3ISMS管理评审管理评审的输出：ISMS的适宜性、充分性和有效性的测量结论。组织机构是否需要调整。信息安全方针、控制目标、控制措施、风险等级和风险接受准则是否需要修改。更新风险评估和风险处置计划。资源配置是否充足，是否需要调整。改进测量控制措施有效性的方式。目录7.1信息安全管理体系概述7.2信息安全管理体系的准备7.3信息安全管理体系的建立7.4信息安全管理体系的实施和运行7.5信息安全管理体系的监视和评审7.6信息安全管理体系的保持和改进7.7信息安全管理体系的认证7.6信息安全管理体系的保持和改进针对与ISMS要求不符合的项目，应实施纠正措施、改进措施和预防措施等。其中改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合采取预防性控制措施。*/56Edityourcompanyslogan***国际认可论坛（IAF，InternationalAccreditationForum）作为有关国家认可机构（包括中国CNAS，英国UKAS，美国ANAB，荷兰RVA等）参加的多边合作组织，主要目标是协调各国认证认可制度，通过统一规范各成员单位的审核员资格要求、认证标准及管理体系认证机构的评定