导图社区信息安全管理体系（ISMS）

信息安全管理体系（ISMS）

IT及信息技术行业的信息安全管理体系（ISMS），包含体系标准IOS以及《信息安全管理体系规范》的内容，安全等级体系建设及PDCA模式在安全体系中的应用。

编辑于2022-09-09 17:20:18

信息安全
ISMS
信息安全…
安全体系

森七-知识敏捷

他的近期作品集查看更多>>

心灵之旅——自我觉察与成长含21个作品
让我们展开一段深入自我内心的探索之旅，它不仅是一次对自我觉察的探索，更是一次成长与变化的历程,探索我们的情感、信念和价值观。通过反思自身的行为和选择，真正了解自己并获得成长
中级经济师工商管理考点精华含10个作品
中级经济师考试,工商管理考点精华总结,企业战略管理,物流管理,品牌与营销管理,跨境贸易与结算,国际商务等知识
中级经济师经济基础考点精华含11个作品
中级经济师经济基础考点精华总结,经济师考试知识点总结,市场知识理论,宏观经济发展理论,银行与货币,外贸与国际交易经济知识

他的近期作品查看更多>>

信息安全管理体系（ISMS）

社区模板帮助中心，点此进入>>

森七-知识敏捷

他的近期作品集查看更多>>

他的近期作品查看更多>>

相似推荐
大纲

CCAA体系信息安全审核员27001：2013标准附录A表格汇总
- 326
- 22
- 5
行走在ISO的草根
信息安全管理体系ISMS（27001 附录A）
- 678
- 17
- 1
王sir
信息安全治理与风险管理
- 101
- 4
贾小乐
数据安全检测规范
- 93
- 1
南山梧桐
信息系统及网络安全工作布置
- 80
- 4
- 1
GenKaihou
工业和信息化领域数据安全管理办法
- 182
- 5
南山梧桐
等保基本要求
- 158
- 7
- 1
墨芃
软考-信息系统安全技术
- 68
- 2
ED7zlSTZ
信息系统安全管理制度汇编
- 81
- 2
- 1
郑先生要努力
信息安全按技术基础
- 43
EDwosft5

信息安全管理体系（ISMS）

体系标准

要求：BS 7799-2:2002 《信息安全管理体系规范》

控制方式指南：ISO/IEC17799:2000《信息技术-信息安全管理实施细则》

等级体系建设

安全防护体系

建立“可信、可控、可管”的安全防护体系。

网络安全等级保护制度按照规定定期开展等级测评

可信：以可信认证为基础

可控：以访问控制技术为核心

可管：为管理员创建一个平台

安全等级划分

第一级用户自主保护级：提供用户和数据隔离功能。

第二级系统审计保护级：实施粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

第三级安全标记保护级：具有系统审计保护的功能。

第四级结构化保护级︰建立在一个明确定义的形式化安全策略模型之上，要求将第三级系统中的访问控制扩展到所有主体与客体。

第五级访问验证保护级︰满足访问监控器需求，由访问监控器仲裁主体对客体的全部访问。

等级保护对象

大数据

信息系统

工业控制系统

云计算平台

物联网

使用移动互联网技术的信息系统

基础信息网络

网络安全等级保护定级

一般损害：工作职能受到局部影响，业务能力下降，但不影响主要功能执行；

严重损害：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行；

特别严重损害：工作职能收到特别严重影响或丧失行使能力，业务能力严重下降或功能无法执行。

典型不当行为

传播不良信息

传播虚假信息

传播垃圾信息

实施舆论攻击

模式应用

PDCA

计划（Plan）

根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；

实施（Do）

实施所选的安全控制措施；

检查（Check）

依据策略、程序、标准和法律法规，对安全措施的实施情况进行

改进（Action）

根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS的持继改进。

PDCA过程模式

策划：

依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施：

实施和运作方针（过程和程序）。

检查：

依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

措施：

采取纠正和预防措施进一步提高过程业绩。

PDCA的应用

P—建立信息安全管理体系环境&风险评估

1．确定范围和方针

2、定义风险评估的系统性方法

3、识别风险

4、评估风险

5、识别并评价风险处理的方法

接受风险

转移风险

安全控制

6、为风险的处理选择控制目标与控制方式

7、获得最高管理者的授权批准

剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权

D—实施并运行

C—监视并评审

检查阶段

1、执行程序和其他控制以快速检测处理结果中的错误；

快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

2、常规评审信息安全管理体系的有效性；

收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈定期对信息安全管理体系有效性进行评审。

3、评审剩余风险和可接受风险的等级；

4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。

评审

A—改进

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划

不符合

实施、维持并改进所要求的一个或多个管理体系要素缺乏或者失效

或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

纠正措施

组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。