价格:30000.00起
0
联系人:
电话:
地址:
Level 1–安全政策手册 为管理架构的摘要,其中包括了资讯安全政策和控制措施目标,以及适用性声明书中所提及已实施的控制措施。Level 2–程序 程序用来实施所要求的控制措施,描述who、what 、when 、where等安全流程和不同部门间的控制措施。Level 3–工作指导书、检查清单、表格等 解释特殊工作和活动的细节,以及如何完成特定的工作。包括详细的工作指导书、表单、流程图、服务标准和系统手册…等。Level 4–纪录 纪录活动实行以符合等级1、2和3文件要求的客观证据。可能是强制性的隐含在每个BS7799条款中。例如:机房访客登记簿、稽核记录和存取授权…等。审查输出 管理阶层审查之输出应包括下列有关之任何决定与措施:ISMS有效性之改进。更新风险评监及风险处理计画。未因应可能影响ISMS之内部或外部事件,必要时将影响资讯安全之程序及控制措施予以修订,包括营运需求安全需求影响既有营运需求之营运过程法令或法规要求合约责任风险等级风险可接受程度之标准资源需求。测量控制措施有效性之改进。1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。 2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。 3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。保密性赋值方法:级别 价值 分级 描述1 很低 可对社会公开的信息 公用的信息处理设备和系统资源等2 低 组织/部门内公开 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害3 中等 组织的一般性秘密 其泄露会使组织的安全和利益受到损害4 高 包含组织的重要秘密 其泄露会使组织的安全和利益遭受严重损害5 很高 包含组织重要的秘密 关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害 4 完整性(I)赋值:根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。完整性(I)赋值的方法:级别 价值 分级 描述1 很低 完整性价值非常低 未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略2 低 完整性价值较低 未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补3 中等 完整性价值中等 未经授权的修改或破坏会对组织造成影响,对业务冲击明显4 高 完整性价值较高 未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补5 很高 完整性价值非常关键 未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补1 再评估对采取安全措施处理后的风险,总经办应进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。 2 再处理某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。 3 审核批准剩余风险评估完成后,导出《信息安全剩余风险评估报告》,报管理者代表批准。
