BS 7799第2部分:信息安全管理系统
2018-03-01 19:48:01 | 来源:中培企业IT培训网
BS 7799第2部分:信息安全管理系统
BS 7799的第2部分提供了循环的过程:计划一实施一检查。改进的实施细节,并且简洁地示于图6-2。
计划:
①定义ISMS的范围
②定义ISMS策略
③定义风险评估方法
④识别风险
⑤评估风险
⑥确定并评价处理风险的各种选择
⑦选择控制目标并且控制它
⑧准备一个适用性陈述(SOA)
实施:
设计危机处理计划
实施危机处理计划
实施控制
实施培训和意识提升项目
管理操作
管理资源
实施程序来检测安全事故并对其做出响应
检查:
执行监控程序
对ISMS的有效性进行常规检查⑩检查可接受风险的等级
实施内部ISMS审计
对ISMS进行常规管理检查
记录影响ISMS的活动和事件
改进:
实施已确定的改进
采取改正或者预防措施
运用学到的教训
和利益集团就结果进行交流
保证进行的改进能达到目的
虽然第2部分最近才被修正过,并且提供了一些关于实施的信息,但是它仅仅指明了必须做什么——而不是怎样去做。如同Gamma安全系统提到的那样, “该标准有一个附录,给出了该标准的使用指南,尤其详述了计划一实施一检查一改进的概念。认识到这一点非常重要:在每一个ISMS(信息安全管理系统)中将会有很多的计划。实施一检查一改进循环,它们以不同的速度进行异步操作。”