返回
ISO27001主任审核员教材

ISO27001主任审核员教材

ID:36571766

大小:1.12 MB

页数:158页

时间:2019-05-09

ISO27001主任审核员教材_第1页
ISO27001主任审核员教材_第2页
ISO27001主任审核员教材_第3页
ISO27001主任审核员教材_第4页
ISO27001主任审核员教材_第5页
资源描述:

《ISO27001主任审核员教材》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ISO27001:2005信息安全管理系统-主导稽核员教材课程大纲ISO27001:2005法规说明附录A控制措施简介资产评估风险评鉴风险处理适用性声明书稽核ISO27001:2005法规说明ISMS标准/指南ISO27001serial(2005~)20052000~2002Before2000信息安全 管理系统要求ISO27001ISO27001:2005 (BS7799-2:2005)BS7799-2:2002BS7799-2:1999信息安全 管理作业要点ISO27002 (afterApril2007)ISO17799:2005 (BS7799-1:2005

2、)ISO17799:2000BS7799-1:1999ISO27001:2005法规说明BS7799:分为BS7799-1和BS7799-2两部份BS7799-1:2005/ISO17799:2005主要是做为参考文件,提供广泛性的安全控制措施,作为现行信息安全之最佳作业方法,其中包含11个控制措施章节,但不作为评鉴与验证标准。BS7799-2:2005/ISO27001:2005系根据BS7799-1,提供信息安全管理系统(ISMS)之建立实施与书面化之具体要求,依据个别组织的需求,规定要实施之安全控制措施的要求。ISO27001:2005法规说明BS7799-1:

3、2005/ISO17799:2005信息安全管理作业要点用意是做为参考文件提供广泛性的安全控制措施现行信息安全之最佳作业方法包含11个控制章节无法作为评鉴与验证ISO27001:2005法规说明BS7799-2:2005/ISO27001:2005信息安全管理系统要求根据BS7799-1:2005ISMS之建立实施与文件化之具体要求依据个别组织的需求,规定要实施之安全控制措施的要求。ISO27001:2005法规说明信息是一种资产,就像其它重要的企业资产依样,对组织具有价值,因此需要受到适当的保护。ISO27001:2005法规说明信息的类型书写或打印于纸上储存在电子

4、媒体上以邮寄或电子储存媒体传输显示于企业影片上言语-在对话中提出不管信息的形式是什么,或者共享或储存的方式是什么,都应该受到适当的保护。ISO27001:2005法规说明信息安全保护信息的机密性、完整性与可用性;另外,亦可包含如可鉴别性(真实性)、可归责性、不可否认性及可靠性等特性。ISO27001:2005法规说明机密性(Confidentiality)信息不可被未经授权之个人、实体、流程所取得或揭露之特性。完整性(Integrity)保护资产准确性和完整性之特性。可用性(Avaliability)基于需要可由授权者存取及使用之特性。ISO27001:2005法规说

5、明关键的成功因素(Criticalsuccessfactors)经验显示,组织的信息安全能否成功实施,下列常为关键因素:能反映营运目标的信息安全政策、目标及活动。与组织文化一致之实施、维护、监控、及改进信息安全的方法与框架。来自所有管理阶层的实际支持和承诺。对信息安全要求、风险评鉴以及风险管理的深入了解。向全体管理人员、受雇人员、及相关人员有效推广信息安全以达到认知。资助信息安全管理活动。提供适切的认知、训练及教育。制定有效的信息安全事故管理过程。实施ㄧ个用于评估ISMS的绩效及改进的回馈建议之量测系统。ISO27001:2005法规说明4.Informationse

6、curitymanagementsystem4.1一般要求 組織應在整體業務活動與所面臨風險下建立、實施、操作、監控、審查、維護及改進一文件化ISMS,為本國際標準之目的,所採用之過程以下圖所示之PDCA模式為基礎。4.Informationsecuritymanagementsystem4.2資訊安全管理系統之建立及管理4.2.1建立資訊安全管理系統 組織應:依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之範圍及界限,並包括任何自範圍排除之細節及理由。依據業務、組織、所在位置、資產及技術等特性,定義資訊安全管理系統之政策,且:包含設定目標之框架,並

7、建立有關資訊安全之整體方向亦是與行動原則。考慮企業及法律或法規要求,以及合約性的安全責任。與組織策略性之風險管理內容配合,使ISMS得以建立及維持。建立評估風險之標準,及被管理階層核准。4.2資訊安全管理系統之建立及管理定義組織之風險評鑑辦法鑑別一風險評鑑方法論,並適合其ISMS、已鑑別之企業資訊安全、以及法律與法規要求。發展可接受風險之標準以及鑑別風險至可接受的程度。所選擇之風險評鑑方法論應確保產出可比較及可重複之結果。鑑別各項風險鑑別ISMS控制範圍內之資產以及該資產之擁有者(owner)。 擁有者(owner)一詞係指已核准資產管理責任之個人或

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。