广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导详细内容
广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导4 信息安全管理体系(ISMS)
4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进
文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
组织应:
a) 根据业务特点、组织结构、位置、资产和技术,确定 ISMS 的范围和边界,包括对例外于此范
围的对象作出详情和合理性的说明(见 1.2)。
b) 根据业务特点、组织结构、位置、资产和技术,确定 ISMS 方针,应:
1) 为其目标建立一个框架并为信息安全行动建立整体的方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持 ISMS;
4) 建立风险评价的准则[见 4.2.1 c]];
5) 获得管理者批准。
注:就本标准的目的而言,ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在
一个文件中进行描述。
c) 确定组织的风险评估方法
1)识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见 5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在 ISO/IEC TR 13335-3《信息技术 IT 安全管理指南:IT 安全
管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别 ISMS 范围内的资产及其责任人 2 ;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造
成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控
制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在 4.2.1 c)2)中所建立的接受风险的准则进行处
2 术语“责任人”标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语
“责任人”不是指该人员实际上对资产拥有所有权。
带CNAS标志的ISO27001信息安全管理体系认证
广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导
http://start_shen.cn.b2b168.com
欢迎来到深圳市国商联信息技术服务有限公司网站, 具体地址是广东省深圳市龙岗区深圳市龙岗区龙城街道爱联社区中粮祥云2栋A座608,联系人是沈春梅。
主要经营深圳市国商联信息技术服务有限公司主要从事ISO认咨询服务、IT行业咨询服务。经营业务有:ISO27001信息安全管理体系咨询、ISO20000信息技术服务管理体系咨询、ISO9001质量管理体系咨询、ISO14001环境管理体系咨询 、ISO45001职业健康管理体系咨询、GB/T 29490 知识产权管理规范咨询、DCMM数据管理能力成熟度评估模型咨询等。。
单位注册资金单位注册资金人民币 100 - 250 万元。
你有什么需要?我们都可以帮你一一解决!我们公司主要的特色服务是:ISO9001认证咨询,ISO27001认证咨询,ISO20000认证咨询,三体系认证咨询,质量管理体系认证咨询,售后服务认证咨询,ISO45001认证咨询等,“诚信”是我们立足之本,“创新”是我们生存之源,“便捷”是我们努力的方向,用户的满意是我们较大的收益、用户的信赖是我们较大的成果。
17
