福建ISO27001认证标准
价格:450000.00起
产品规格:
产品数量:
包装说明:
关 键 词:福建ISO27001认证标准
行 业:商务服务 认证服务
发布时间:2020-11-23
信息安全事件的紧急处置和业务恢复
部门负责人、管理部门(行政部、系统服务部)、信息安全工作小组组长在接到信息安全事件的报告后,应该立刻相互协调进行处置。
1) 事故责任部门应会同管理部门立即分析事故发生原因;
2) 事故责任部门应会同管理部门立即采取紧急措施,防止事态进一步扩大;
3) 事故责任部门应会同管理部门尽快采取措施,恢复核心业务活动。必要时启动公司《业务连续性管理制度》所制定的应急预案。
4) 事故发生部门应会同管理部门分析事故发生的影响范围以及造成的损失,并调整业务活动,弥补信息安全事故造成的损失。
5) 在需要时与相关外部各方联系
? 必要时部门负责人向客户报告,并协调以后的业务活动;
? 当发生或发现涉及到违反国家法律法规的信息安全事件和异常现象,信息安全工作小组组长应与国家相关外部机构联系,报告信息安全事件和异常现象;
? 当信息安全事故发生原因为外协人员、服务人员,应与相应协力公司、服务提供公司取得联系。
6) 对于直接给客户造成影响的信息安全事件(级别至少是事故),需要由事故责任部门的部门负责人、体系负责人,管理部门相关人员立即成立紧急应对小组,根据事故的严重性、和对客户所造成影响,商讨紧急对策,并上报总经理批准后实施。紧急应对小组应将事故处置过程和结果及时反馈给客户。
对于内审、外审、管理评审、有效性测量、信息安全事件监控中的发现事项需填写《审核、检查发现事项通知单》,通知相关需改进部门。将发现事项记录在《体系改进记录表》中,对纠正和预防情况进行跟踪验证。
在对于非上述活动中的改进措施,按《信息安全交流控制制度》要求填写《信息安全管理体系意见表》,将发现事项记录在《体系改进记录表》中,对纠正和预防情况进行跟踪验证。
对于需要跨部门协调解决纠正和预防措施由体系负责人组织召开工作会议讨论并明确相关改进责任部门及改进职责。
符合安全策略和标准以及技术符合性
1) 符合安全策略和标准
? 定期进行内部审核,以检查公司的策略是否符合安全标准,具体的内审方法可参考《内部审核管理制度》。
2) 技术符合性检查
? 要求独立方定期检查公司的工作环境,确认整个公司的信息系统和网络内的信息安全控制措施是否充足以及这些措施的执行情况。
? 技术符合性检查必须检查受影响的信息处理系统,保证所有的软件、硬件和过程控制措施得到适当的配置和更新。
? 行政部必须按照上述的技术符合性检查后的报告中提出的问题进行跟踪。
? 漏洞扫描管理:
a) 管理员应定期进行漏洞扫描,客户端和服务器可使用相关工具进行漏洞扫描。
b) 根据漏洞扫描结果,管理员应及时修补系统漏洞。
? 渗透测试管理:
a) 技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术专家用自动工具来执行,此工具可生成供后续解释的技术报告。
b) 如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。
审核注意事项:
? 应与合适的管理者商定审核要求;
? 应商定和控制检查范围;
? 检查应限于对软件和数据的只读访问;
? 非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;
? 应明确地识别和提供执行检查所需的资源;
? 应识别和商定特定的或另外的处理要求;
? 应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹;
? 应将所有的制度、要求和职责形成文件;执行审核的人员应独立于审核活动
