BS7799-2:2002《信息安全管理體系規范》內容介紹
BS7799-2:2002標準詳細說明了建立?實施和維護信息安全管理系統(ISMS)的要求,指出實施組織需遵循某一風險評估來鑒定最適宜的控制對象,并對自己的需求采取適當的控制?BS7799-2:2002部分提出了應該如何建立信息安全管理體系的步驟:
(1)定義信息安全策略?
信息安全策略是組織信息安全的最高方針,需要根據組織內各個部門的實際情況,分別制訂不同的信息安全策略?例如,規模較小的組織單位可能只有一個信息安全策略,并適用于組織內所有部門?員工;而規模大的集團組織則需要制訂一個信息安全策略文件,分別適用于不同的子公司或各分支機構?信息安全策略應該簡單明了?通俗易懂,并形成書面文件,發給組織內的所有成員?同時要對所有相關員工進行信息安全策略的培訓,對信息安全負有特殊責任的人員要進行特殊的培訓,以使信息安全方針真正植根于組織內所有員工的腦海并落實到實際工作中?
(2)定義ISMS的范圍?
ISMS的范圍確定需要重點進行信息安全管理的領域,組織需要根據自己的實際情況,在整個組織范圍內?或者在個別部門或領域構架ISMS?在本階段,應將組織劃分成不同的信息安全控制領域,以易于組織對有不同需求的領域進行適當的信息安全管理?
(3)進行信息安全風險評估?
信息安全風險評估的復雜程度將取決于風險的復雜程度和受保護資產的敏感程度,所采用的評估措施應該與組織對信息資產風險的保護需求相一致?風險評估主要對ISMS范圍內的信息資產進行鑒定和估價,然后對信息資產面對的各種威脅和脆弱性進行評估,同時對已存在的或規劃的安全管制措施進行鑒定?風險評估主要依賴于商業信息和系統的性質?使用信息的商業目的?所采用的系統環境等因素,組織在進行信息資產風險評估時,需要將直接后果和潛在后果一并考慮?
(4)信息安全風險管理?
根據風險評估的結果進行相應的風險管理?信息安全風險管理主要包括以下幾種措施:
降低風險:在考慮轉嫁風險前,應首先考慮采取措施降低風險;
避免風險:有些風險很容易避免,例如通過采用不同的技術?更改操作流程?采用簡單的技術措施等;
轉嫁風險:通常只有當風險不能被降低或避免?且被第三方(被轉嫁方)接受時才被采用?一般用于那些低概率?但一旦風險發生時會對組織產生重大影響的風險?
接受風險:用于那些在采取了降低風險和避免風險措施后,出于實際和經濟方面的原因,只要組織進行運營,就必然存在并必須接受的風險?
(5)確定管制目標和選擇管制措施?
管制目標的確定和管制措施的選擇原則是費用不超過風險所造成的損失?由于信息安全是一個動態的系統工程,組織應實時對選擇的管制目標和管制措施加以校驗和調整,以適應變化了的情況,使組織的信息資產得到有效?經濟?合理的保護?
(6)準備信息安全適用性聲明?
信息安全適用性聲明紀錄了組織內相關的風險管制目標和針對每種風險所采取的各種控制措施?信息安全適用性聲明的準備,一方面是為了向組織內的員工聲明對信息安全面對的風險的態度,在更大程度上則是為了向外界表明組織的態度和作為,以表明組織已經全面?系統地審視了組織的信息安全系統,并將所有有必要管制的風險控制在能夠被接受的范圍內?
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
