BS7799-2:2002《信息安全管理體系規(guī)范》內(nèi)容介紹

BS7799-2:2002標(biāo)準(zhǔn)詳細(xì)說明了建立?實(shí)施和維護(hù)信息安全管理系統(tǒng)(ISMS)的要求,指出實(shí)施組織需遵循某一風(fēng)險評估來鑒定最適宜的控制對象,并對自己的需求采取適當(dāng)?shù)目刂?BS7799-2:2002部分提出了應(yīng)該如何建立信息安全管理體系的步驟:

(1)定義信息安全策略?

信息安全策略是組織信息安全的最高方針,需要根據(jù)組織內(nèi)各個部門的實(shí)際情況,分別制訂不同的信息安全策略?例如,規(guī)模較小的組織單位可能只有一個信息安全策略,并適用于組織內(nèi)所有部門?員工;而規(guī)模大的集團(tuán)組織則需要制訂一個信息安全策略文件,分別適用于不同的子公司或各分支機(jī)構(gòu)?信息安全策略應(yīng)該簡單明了?通俗易懂,并形成書面文件,發(fā)給組織內(nèi)的所有成員?同時要對所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn),對信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn),以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中?

(2)定義ISMS的范圍?

ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域,組織需要根據(jù)自己的實(shí)際情況,在整個組織范圍內(nèi)?或者在個別部門或領(lǐng)域構(gòu)架ISMS?在本階段,應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域,以易于組織對有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?

(3)進(jìn)行信息安全風(fēng)險評估?

信息安全風(fēng)險評估的復(fù)雜程度將取決于風(fēng)險的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度,所采用的評估措施應(yīng)該與組織對信息資產(chǎn)風(fēng)險的保護(hù)需求相一致?風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價,然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估,同時對已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定?風(fēng)險評估主要依賴于商業(yè)信息和系統(tǒng)的性質(zhì)?使用信息的商業(yè)目的?所采用的系統(tǒng)環(huán)境等因素,組織在進(jìn)行信息資產(chǎn)風(fēng)險評估時,需要將直接后果和潛在后果一并考慮?

(4)信息安全風(fēng)險管理?

根據(jù)風(fēng)險評估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險管理?信息安全風(fēng)險管理主要包括以下幾種措施:

降低風(fēng)險:在考慮轉(zhuǎn)嫁風(fēng)險前,應(yīng)首先考慮采取措施降低風(fēng)險;

避免風(fēng)險:有些風(fēng)險很容易避免,例如通過采用不同的技術(shù)?更改操作流程?采用簡單的技術(shù)措施等;

轉(zhuǎn)嫁風(fēng)險:通常只有當(dāng)風(fēng)險不能被降低或避免?且被第三方(被轉(zhuǎn)嫁方)接受時才被采用?一般用于那些低概率?但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險?

接受風(fēng)險:用于那些在采取了降低風(fēng)險和避免風(fēng)險措施后,出于實(shí)際和經(jīng)濟(jì)方面的原因,只要組織進(jìn)行運(yùn)營,就必然存在并必須接受的風(fēng)險?

(5)確定管制目標(biāo)和選擇管制措施?

管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過風(fēng)險所造成的損失?由于信息安全是一個動態(tài)的系統(tǒng)工程,組織應(yīng)實(shí)時對選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整,以適應(yīng)變化了的情況,使組織的信息資產(chǎn)得到有效?經(jīng)濟(jì)?合理的保護(hù)?

(6)準(zhǔn)備信息安全適用性聲明?

信息安全適用性聲明紀(jì)錄了組織內(nèi)相關(guān)的風(fēng)險管制目標(biāo)和針對每種風(fēng)險所采取的各種控制措施?信息安全適用性聲明的準(zhǔn)備,一方面是為了向組織內(nèi)的員工聲明對信息安全面對的風(fēng)險的態(tài)度,在更大程度上則是為了向外界表明組織的態(tài)度和作為,以表明組織已經(jīng)全面?系統(tǒng)地審視了組織的信息安全系統(tǒng),并將所有有必要管制的風(fēng)險控制在能夠被接受的范圍內(nèi)?

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27677.html