9.3 管理评审
管理层对信息安全工作情况进行
10. 改进
10.1 不符合项和措施
10.2 持续改进
四、信息安全管理体系实施过程(结合工作实践)
流程阶段:
现状调研-》风险评估-》安全规划-》体系建设-》体系运行-》认证审核
1. 现状调研
要求有调研方案
调研内容:外部监管要求,相关法律法规,ISO27001标准
调研方法:
资料评审:查看组织业务特征、组织架构、风险管理制度、记录资料
现场访谈:访谈员工,了解其期望和目前真实实施情况(需要准备访谈计划、访谈提纲,访谈纪要 )
问卷调查:可用于做数据分析(调查内容:主要业务系统开发安全、运维安全、、终端设备管理、机房物理安全管理、网络系统管理、服务器和存储系统、数据库管理、资产管理、安全管理)
技术评估:上机扫描、漏洞统计(通过工具扫描和漏洞检测,人工分析检查安全配置情况,综合得出信息系统的技术脆弱性和被黑客攻击的可能性)
现状总结:描述组织的信息安全现状(现场访谈结果与分析、技术评估结果与分析、信息安全管理体系状况分析、组织安全现状存在问题的综述)
2. 风险评估
梳理信息资产的安全隐患,制定风险处置计划
风险评估方法:
方法培训:制定培训计划、风险评估计划,培训风险评估的流程、评估标准等内容
资产识别:全面收集信息资产信息,并对新产进行重要程度分级
风险分析:
风险处置
评估总结
