实施信息安全管理体系有哪些工作内容
实施信息安全管理体系有以下这些工作内容:
制定风险处理计划:为已经选择和确定的风险处理目标和风险处理措施制定《风险处理计划》,此计划应清晰地描述每一项风险的处理优先顺序、处理措施、所需资源、责任人、处理起始日期、处理结束日期、验证人、验证时间和验证结果等内容,以确保计划的可执行性和可验证性。
实施风险处理计划:逐一落实风险处理计划中的每一项风险处理措施,这些风险处理措施可能包括建立信息安全组织、编制信息安全管理体系的文件、增加技术性控制措施、改进物理性控制措施等。
开发有效性测量程序:信息安全管理体系运行及控制措施是否有效,要有测量方法和途径,以便制定改进措施加以改进。所以组织应开发一份有效性测量程序,明确需要设立的测量项目,以及每一测量项目的度量标准、要求达到的指标、测量方式、测量周期和测量执行人。有效性测量程序本身,应作为信息安全管理体系文件加以管理和控制。
实施培训和意识教育计划:组织应制定和实施信息安全培训和意识教育计划,使所有员工都具有相应的信息安全知识和技能,以及良好的信息安全意识。培训内容应根据培训需求而制定,可以涉及有关信息安全治理/管理、各种信息安全技术、信息安全审核和信息安全意识等方面。应对培训的有效性进行评价,并保持教育、培训、技能、经历和资格的记录。信息安全相关培训应具有一定的强制性,相关人员必须接受相应的信息安全培训,并与员工的绩效考评相结合。
管理信息安全管理体系的运行:组织应对信息安全管理体系的运行进行管理,包括信息安全管理体系文件的审批、发布和培训、信息安全管理体系试运行管理、宣布信息安全管理体系正式运行等。
管理信息安全管理体系的资源:管理者应为信息安全管理体系的运行、各项控制措施的落实提供足够的资金,以及具备相应信息安全知识、技能和意识的人员。申请到的资金,应根据风险评估的结果,优先用于处置高风险,确保资金使用合理,能够产生较高的投入产出比。
实施检测事态和响应事件的程序:管理者应确保各种检测性控制措施的正常运行,及时发现信息安全事态。发现的事态应及时处理,尽可能将事态消除在萌芽状态,避免进一步升级为安全事件或事故。对于确认的信息安全事件,应按相应的信息安全事件管理程序迅速响应,防止损失进一步扩大。越早发现并处理信息安全事态和事件,所花费的代价及损失越小。