广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导
价格:面议
深圳市国商联信息技术服务有限公司
联系人:沈小姐
电话:13925250325
地址:深圳市宝安区西乡汇潮大厦235-236室
产品规格:
产品数量:0 个
包装说明:
关 键 词:带CNAS标志的ISO27001信息安全管理体系认,深圳ISO27001认证CNAS标志,广州ISO27001认证,东莞ISO27001认证,广东ISO27001认证咨询
行 业:商务服务 认证服务
发布时间:2023-04-26
广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导4 信息安全管理体系(ISMS)
4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进
文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
组织应:
a) 根据业务特点、组织结构、位置、资产和技术,确定 ISMS 的范围和边界,包括对例外于此范
围的对象作出详情和合理性的说明(见 1.2)。
b) 根据业务特点、组织结构、位置、资产和技术,确定 ISMS 方针,应:
1) 为其目标建立一个框架并为信息安全行动建立整体的方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持 ISMS;
4) 建立风险评价的准则[见 4.2.1 c]];
5) 获得管理者批准。
注:就本标准的目的而言,ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在
一个文件中进行描述。
c) 确定组织的风险评估方法
1)识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见 5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在 ISO/IEC TR 13335-3《信息技术 IT 安全管理指南:IT 安全
管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别 ISMS 范围内的资产及其责任人 2 ;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造
成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控
制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在 4.2.1 c)2)中所建立的接受风险的准则进行处
2 术语“责任人”标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语
“责任人”不是指该人员实际上对资产拥有所有权。
带CNAS标志的ISO27001信息安全管理体系认证
广东深圳广州东莞带CNAS标志的ISO27001信息安全管理体系认证辅导
