投稿
  1. 首页
  2. 教程

怎样建立信息安全管理体系?

优惠券下载 2023-5-17 教程 阅读 18

怎样建立信息安全管理体系?,第1张

信息安全管理体系策划与准备。策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及人力资源的配置与管理。

确定信息安全管理体系适用的范围。信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作,应将组织划分成不同的信息安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。

现状调查与风险评估.依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。

建立信息安全管理框架:建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体系并提出安全解决方案。

信息安全管理体系文件编写:建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文档、适用范围文档、风险评估文档、实施与控制文档、适用性声明文档。

信息安全管理体系的运行与改进。信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准并发布实施,至此,信息安全管理体系将进入运行阶段。在此期间,组织应加强运作力度,充分发挥体系本身的各项功能,及时发现体系策划中存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。

信息安全管理体系审核。体系审核是为获得审核证据,对体系进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成文件的检查过程。体系审核包括内部审核和外部审核(第三方审核)。内部审核一般以组织名义进行,可作为组织自我合格检查的基础;外部审核由外部独立的组织进行,可以提供符合要求(如ISO/IEC27001)的认证或注册。

测绘地理信息是国家重要的基础性、战略性资源,广泛应用于经济建设、国防建设和社会发展,尤其是涉密测绘地理信息,直接关系国家主权、安全和利益,一旦泄露,其危害重大而深远。党中央、国务院高度重视新形势下的地理信息安全工作,胡锦涛、温家宝等中央领导同志多次作出重要批示,要求加强管理、督促检查,堵塞漏洞、消除隐患,防止失泄密案件发生。近年来,随着信息技术的快速发展和地理信息的广泛应用,涉密测绘地理信息安全管理面临严峻形势。部分涉密测绘地理信息生产和使用单位保密意识淡薄,在非涉密计算机上违规存储涉密信息,甚至在互联网上发送、传递涉密信息;非法获取、提供和买卖涉密测绘地理信息的案件时有发生;多地发生境外组织和个人窃取我国重要地理信息数据的案件等。当前,测绘地理信息载体种类和表现形式更加丰富,数字化成果广泛应用,传播途径更为多样,给涉密测绘地理信息的安全管理带来严峻挑战。各级测绘地理信息行政主管部门和各级各类测绘地理信息生产、保管、使用单位,必须高度重视、加强领导,充分认识新形势下地理信息安全的极端重要性,增强责任意识和紧迫感,切实加强涉密测绘地理信息安全管理。

法律依据:

《中华人民共和国政府信息公开条例》

第七条各级人民政府应当积极推进政府信息公开工作,逐步增加政府信息公开的内容。

第八条各级人民政府应当加强政府信息资源的规范化、标准化、信息化管理,加强互联网政府信息公开平台建设,推进政府信息公开平台与政务服务平台融合,提高政府信息公开在线办理水平。

第九条公民、法人和其他组织有权对行政机关的政府信息公开工作进行监督,并提出批评和建议。

建立完整的信息安全管理体系通常要经过计划、实施、检查、改进4个步骤。信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表等要素的集合。

信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

相关信息

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作。

保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/11620962.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
优惠券下载 优惠券下载 一级用户组
0 0
上一篇 2023-05-17
下一篇 2023-05-17

发表评论

登录后才能评论

评论列表(0条)

保存