@邪恶贝壳
2年前 提问
1个回答

信息安全管理策划阶段包括哪些内容

Ann
2年前

信息安全管理策划阶段包括以下内容:

  • 定义ISMS的范围和方针:信息安全管理体系不是必须覆盖组织的全部,也可以先覆盖组织的一部分,待时机成熟时再扩大范围,覆盖全部。无论是何种情况,组织都必须先界定出体系范围,尤其是体系仅覆盖组织一部分时。组织需要明确信息安全管理体系的范围并形成信息安全管理体系范围文件。

  • 定义风险评估方法,确定风险等级准则:风险评估方法包括定性评估和定量评估,还有基于知识和基于模型的评估,组织需要结合自身实际情况确定信息安全风险评估方法和风险等级准则。在选择评估方法时,应充分考虑组织的信息安全管理体系范围、信息安全需求以及相关法律法规的要求。组织需要建立风险评估文件,在文件中介绍所选定的风险评估方法并说明选择该方法的理由。

  • 进行风险识别:按照风险评估中的方式和要求,识别体系范围内的信息资产;根据信息资产的保密性、完整性和可用性遭到破坏后对组织造成的影响和损失程度为信息资产赋值;识别对这些信息资产的威胁;识别可能被威胁利用的脆弱性;确认已有的安全措施。

  • 计算风险值:根据资产赋值结果确定资产等级,对一定级别以上的资产进行风险值计算;根据与资产相关的主要威胁、薄弱点及其影响,以及目前已采取的安全措施,评估此类安全事件发生的可能性;根据评估文件中的风险等级准则,确定风险等级。

  • 风险处理:组织需要对所识别的不同等级的信息安全风险加以分析并区别对待。风险在组织的风险接受方针和准则范围内的,为可接受风险,否则为不可接受风险。对于不可接受风险,组织可以考虑避免风险或转移风险,如果风险既不可避免也不能转移,则必须采取适当的安全控制措施,使风险等级降低到可接受的水平。

  • 选择安全控制目标与控制方式,将风险降低到可接受的等级:组织需要设计风险处理计划对不可接受风险进行处理。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表。风险处理计划可以指导后续的信息安全管理活动。

  • 评估残余风险,开始运行信息安全管理体系:对不可接受风险进行处置后应进行残余风险的评估,接受残余风险需获得管理者的批准,由最高管理者授权开始实施和运行信息安全管理体系。