ISO 27001
什么是ISO 27001?
ISO 27001是信息安全管理系统(ISMS)的国际标准。它提供了用于风险评估,安全性设计和实施以及安全性管理的模型。ISO 27001标准指定了实施和管理指南,以帮助确保您的数字和书面信息的安全。
ISO 27001是信息安全管理系统的唯一国际可审核标准。它提供独立保证,确保您的组织符合包含敏感信息的法律,法规,法规和合同要求。获得ISO 27001认证证明您已采取必要步骤保护敏感信息,防止未经授权的访问。
什么是“PDCA”的管理思想,为什么要PDCA。
ISO 27001管理制度条款
信息安全风险管控内容
管理目标:客观->可控->可信
管理目标可信(具有良好的态势感知),管理内容多为长效机制:态势感知(安全态势、工具创新、风控地图)、专业领域(业务连续性、应用安全、IT治理优化)、生命周期(开发测试、投产变更)、新技术(大数据安全、云安全、互联网+)
管理目标可控(具有良好的控制体系),管理内容多为控制体系:指标化(风险目录、安全绩效、安全审计)、知识化(安全基线、安全规范、检查指引)、工具化(管理平台、工具测评、安全评估)、自动化(自动采集、预警系统)、可控支持(安全意识、人才培养)
管理目标可管(具有良好的管理体系),管理内容多为管理体系:合规(法律规范、主管部门、规定)、制度化(组织架构、省市职责、制度规范)、流程化(企业对主管部门、企业内部)、规范化(ISO 27001、ISO 22301等)
| 管理目标 | 特征 |
|---|---|
| 可管=ISMS初步建立阶段 | 明确了做什么,明确了谁来做 |
| 可控=精细化IT风险管理阶段 | 明确了怎么做(执行、管控),明确了标准,量化了绩效 |
| 可信=IT风险与业务融合阶段 | 做到态势感知,IT技术引领业务发展 |
组织信息安全管理
- 建章立制(网络安全法、等保2.0、*总行信息安全规定、ISO27001:2013、管理主体(部门),覆盖x总行全部组织架构、管理客体(对象),覆盖六类信息资产)
- 安全评估(风险管理框架、风险目录(关键环节风险大纲)、检测指标、风险评估活动(适用于自我评估、专项评估、审计)、风险库、评价库)
- 风险监测与绩效评价(KPI指标体系建立(识别关键风险、确认KPI、指标筛选、确认阈值、调整指标)、执行风险监测(确定检测方案、录入检测数据、分析统计数据、分析关键风险)、采取控制措施(采取风险控制措施、追踪风险控制措施)、风险提示与报告(关注风险变化、发布风险提示、上报监测结果、改进验证指标))
项目的4大核心目标
- 信息安全评估目标: 依据监管要求完善信息安全管理机制,设计信息安全风险评估方法,对现状进行信息安全风险评估;
- 体系建设与认证支持目标:建立信息安全管理体系并通过ISO27001:2013体系认证;
- 信息安全工作规划目标: 结合组织实际情况,制定未来3年的信息安全工作规划;
- 知识转移和团队培养目标: 信息安全意识测评、培训、宣传
信息安全风险管理思路
建立管理机制
- 信息安全风险管理岗位
- 信息安全风险合规建设
- 信息安全风险检查机制
合理架构规划
- 参考最佳实践标准
- 符合监管要求条款
- 依托三道防线联动
分布逐步推进
- 建立风险整改优先级
- 落实风险整改责任人
- 跟踪风险整改状态表
长效机制
- 分阶段实施风险控制
- 建立可持续的管理体系
- 采用精细化的推进方法
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/220164.html原文链接:https://javaforall.net
