欧美黑人xxxx性高清版,国产96av在线播放视频,亚洲午夜成人精品无码app,国精品午夜福利视频2021

   信息是所有組織賴以生存和發(fā)展的最有價(jià)值的資產(chǎn)之一，猶如維持生命所必須的血液。然而，在當(dāng)今激烈競(jìng)爭(zhēng)的商業(yè)環(huán)境下，作為組織生命血液的信息總是受到多方面的威脅和風(fēng)險(xiǎn)。這些威脅可能來(lái)自內(nèi)部，也可能來(lái)自外部，可能是無(wú)意的，也可能是惡意的。隨著信息的儲(chǔ)存、傳輸和檢索新技術(shù)的不斷涌現(xiàn)，許多組織感到面對(duì)各種威脅防不勝防，猶如敞開了大門。

 

    組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上，任何組織成功經(jīng)營(yíng)的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于iso/iec 27001:2005標(biāo)準(zhǔn)的信息安全管理體系(information security management system,以下簡(jiǎn)稱isms)，已成為時(shí)代的需要。

 

    本文從簡(jiǎn)單分析iso/iec 27001:2005標(biāo)準(zhǔn)的要求入手，論述建立一個(gè)符合該標(biāo)準(zhǔn)要求的isms。

 

1. 正確理解isms的含義和要素

 

isms創(chuàng)建人員只有正確地理解isms的含義、要素和iso/iec 27001標(biāo)準(zhǔn)的要求之后，才有可能建立一個(gè)符合要求的完善的isms。因此，本節(jié)先對(duì)isms的含義和要素用通俗易懂的語(yǔ)言，做出解釋。

 

(1) “體系”的含義

 

    “信息安全管理體系”(information security management system)中的“體系”來(lái)自英文 “system”。“system”當(dāng)然可翻譯為“體系”，但通常的譯文應(yīng)是“系統(tǒng)”。同樣，“management system” 當(dāng)然可翻譯為“管理體系”，但通常也翻譯為“管理系統(tǒng)”。例如在計(jì)算機(jī)領(lǐng)域中，一個(gè)十分常見的術(shù)語(yǔ)“database management system”，被普遍公認(rèn)地翻譯為“數(shù)據(jù)庫(kù)管理系統(tǒng)”(簡(jiǎn)稱dbms)，而幾乎沒有人將其翻譯為“數(shù)據(jù)庫(kù)管理體系”。 很顯然，如果把isms翻譯為“信息安全管理系統(tǒng)”，也未嘗不可。

    實(shí)際上，“體系”和“系統(tǒng)”的含義都一樣：由若干個(gè)為實(shí)現(xiàn)共同目標(biāo)而相互依賴、協(xié)調(diào)工作的部件（或組分）組成的統(tǒng)一體。這些組成“體系”或“系統(tǒng)”的部件也稱“要素”(element)。組成“體系”或“系統(tǒng)”的這些要素相互依賴，缺一不可。否則“體系”或“系統(tǒng)”就會(huì)受破壞、癱瘓，而不能工作或運(yùn)行。例如，計(jì)算機(jī)系統(tǒng)(computer system)是由相互依賴的硬件和軟件組成。如果硬件或軟件受破壞，該計(jì)算機(jī)系統(tǒng)就不能正常運(yùn)行。

此外，“體系”或“系統(tǒng)”是可分級(jí)的，即有上級(jí)和下級(jí)之分。系統(tǒng)的上級(jí)稱為上級(jí)系統(tǒng)。其下級(jí)稱為子系統(tǒng)。

 

(2)  isms的含義

 

    在iso/iec 27001標(biāo)準(zhǔn)中，已對(duì)isms做出了明確的定義。通俗地說(shuō)，組織有一個(gè)總管理體系，isms是這個(gè)總管理體系的一部分，或總管理體系的一個(gè)子體系。isms的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。

    如果一個(gè)組織有多個(gè)管理體系，例如包括isms、qms(質(zhì)量管理體系) 和ems(環(huán)境管理體系) 等，那么這些管理體系就組成該組織的總管理體系，而每一個(gè)管理體系只是該組織總管理體系中的一個(gè)組分，或一個(gè)子管理體系。各個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。

 

(3)  isms的要素

 

標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源”(見iso/iec 27001:2005 3.7)。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組分或要素。我們將其歸納后，isms的要素要包括：

 

1)  信息安全管理機(jī)構(gòu)

    通過信息安全管理機(jī)構(gòu)，可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動(dòng)和實(shí)踐等。

2)  isms文件

    包括isms方針、過程、程序和其它必須的文件等。

3)  資源

    包括建立與實(shí)施isms所需要的合格人員、足夠的資金和必要的設(shè)備等。

isms的建立要確保這些isms要素得到滿足。

 

2. 建立信息安全管理機(jī)構(gòu)

 

(1) 為什么需要信息安全管理機(jī)構(gòu)?

 

    系統(tǒng) (或體系)可有“天然系統(tǒng)”和“人工系統(tǒng)”之分。isms是一個(gè)人工系統(tǒng)，需要管理機(jī)構(gòu)組織人力建成。isms建成后，如果沒有管理機(jī)構(gòu)組織人員管理(包括分配合理的資源、監(jiān)控和采取適當(dāng)?shù)目刂拼胧┑?isms不可能運(yùn)行。isms也不可能是一個(gè)“永動(dòng)機(jī)”，如果不能不斷地從管理機(jī)構(gòu)獲取能源(包括人財(cái)物)，其運(yùn)行也會(huì)慢慢停止下來(lái)。 

當(dāng)今，社會(huì)上存在的常見問題是：某些組織建設(shè)管理體系的主要目的是為了取得認(rèn)證證書，一旦取得證書，對(duì)管理體系的管理工作就松懈下來(lái)，相關(guān)的體系管理機(jī)構(gòu)不健全，甚至被取消了，或者有名無(wú)實(shí)了。這樣的管理體系不太可能獲得好效益。

 

(2) 如何組建信息安全管理機(jī)構(gòu)？

 

1)   信息安全管理機(jī)構(gòu)的名稱 

    標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立isms之前，已經(jīng)運(yùn)行了其它的管理體系，如qms和ems等。因此，最有效與省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。

2)   信息安全管理機(jī)構(gòu)的級(jí)別

    信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對(duì)于中等以上規(guī)模的組織，最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu)：

a)  高層

    以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個(gè)明確的方向和提供管理承諾和必要的資源。

b)  中層

    負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。

c)  基層

    基層部門指定一位兼職的信息安全檢查員，實(shí)施對(duì)其本部門的日常信息安全監(jiān)視和檢查工作。

 

3. 執(zhí)行標(biāo)準(zhǔn)要求的isms建立過程

 

在iso/iec 27001:2005標(biāo)準(zhǔn) “4.2.1建立isms” 條款中，已經(jīng)規(guī)定了isms的建立內(nèi)容和步驟。組織要遵照這些內(nèi)容和步驟，結(jié)合其總體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要，而建立其自己的isms，并形成相應(yīng)的isms文件。

 

(1) 正確理解標(biāo)準(zhǔn)的要求

 

    iso/iec 27001:2005“4.2.1 establish the isms”(4.2.1建立isms) 條款，有10條強(qiáng)制性要求(見4.2.1 a-j)。由于在英文標(biāo)準(zhǔn)中，這些要求都通過使用一個(gè)英語(yǔ)詞“shall”引出，因此，bsi(英國(guó)標(biāo)準(zhǔn)研究院)把這些“強(qiáng)制性要求”稱為“shall” 要求 (“shall” requirements) 。這意味著，凡是跟在“shall”后面的要求都是isms必須完全滿足的命令式的要求。

這10條強(qiáng)制性要求既是10個(gè)過程或活動(dòng)，也可作為isms建立的10個(gè)步驟。

 

(2) 遵照標(biāo)準(zhǔn)要求的isms建立步驟

 

    按照iso/iec 27001:2005“4.2.1建立isms ” 條款的要求，建立isms的步驟包括：

1)  定義isms的范圍和邊界，形成isms的范圍文件；

2)  定義isms方針(包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等),形成isms方針文件；

3)  定義組織的風(fēng)險(xiǎn)評(píng)估方法；

4)  識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)，包括識(shí)別：

    a） 資產(chǎn)及其責(zé)任人；

    b） 資產(chǎn)所面臨的威脅；

    c） 組織的脆弱點(diǎn)；

    d） 資產(chǎn)保密性、完整性和可用性的喪失造成的影響。

5)  分析和評(píng)價(jià)安全風(fēng)險(xiǎn)，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》文件，包括要保護(hù)的信息資產(chǎn)清單；

6)  識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施，形成《風(fēng)險(xiǎn)處理計(jì)劃》文件；

7)  根據(jù)風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施，形成相關(guān)的文件；

8)  管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)；

9)  管理者授權(quán)isms的實(shí)施和運(yùn)行；

10) 準(zhǔn)備適用性聲明。

 

4. 完成所需要的isms文件

 

isms文件是isms的主要要素，既要與iso/iec 27001:2005保持一致，又要符合本組織的信息安全的需要。實(shí)際上，isms文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn)，是iso/iec 27001:2005的具體體現(xiàn)。對(duì)一般員工來(lái)說(shuō)，在其實(shí)際工作中，可以不過問國(guó)際信息安全管理標(biāo)準(zhǔn)-iso/iec 27001:2005，但必須按照isms文件的要求執(zhí)行工作。

 

(1) isms文件的類型

 

    根據(jù)iso/iec 27001:2005標(biāo)準(zhǔn)的要求，isms文件有三種類型。

1)  方針類文件（policies）

    方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：

    a） isms方針(isms policy)；

    b） 信息安全方針(information security policy)。

其中，isms方針是信息安全方針的父集。即在isms方針的框架下，組織可根據(jù)實(shí)際需要，制定其它重要領(lǐng)域的具體的信息安全方針。例如，可有訪問控制方針、惡意軟件防范方針、口令控制方針、網(wǎng)絡(luò)安全方針、硬件設(shè)備安全方針等。

 

2)  程序類文件（procedures）

 

“程序文件”有時(shí)又稱作“過程文件”,包含著為達(dá)到某個(gè)特定目的，而對(duì)一系列活動(dòng)(或過程)的順序進(jìn)行控制。有輸入-處理-輸出。所產(chǎn)生的輸出通常是“記錄”。

 

3)  記錄（records）

 

記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表格形式。

 

4)  適用性聲明文件（statement of applicability, 簡(jiǎn)稱soa）

 

iso/iec 27001:2005標(biāo)準(zhǔn)的附錄a提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實(shí)踐。對(duì)于這些控制目標(biāo)和控制措施，實(shí)施isms的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說(shuō)明），并形成《適用性聲明》文件。

 

(2)  必須的文件 

 

   “必須的isms文件”是指iso/iec 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強(qiáng)制性文件(mandatory documents)?！?.3.1總則”要求isms文件必須包括9方面的內(nèi)容：

1)   isms方針

     isms方針是組織的頂級(jí)文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的職責(zé)等。

2)   isms的范圍

3)   支持isms的程序和控制措施；

4)   風(fēng)險(xiǎn)評(píng)估方法的描述；

5)   風(fēng)險(xiǎn)評(píng)估報(bào)告；

6)   風(fēng)險(xiǎn)處理計(jì)劃；

7)   控制措施有效性的測(cè)量程序；

8)   本標(biāo)準(zhǔn)所要求的記錄；

9)   適用性聲明。

    在實(shí)際工作中，上述內(nèi)容經(jīng)過歸納和整理后，可用以下文件表示：

1)  isms方針文件，包括isms的范圍；

2)  風(fēng)險(xiǎn)評(píng)估程序，包括“風(fēng)險(xiǎn)評(píng)估方法的描述”，而其運(yùn)行的結(jié)果產(chǎn)生《風(fēng)險(xiǎn)評(píng)估報(bào)告》。

3)  風(fēng)險(xiǎn)處理程序，運(yùn)行的結(jié)果產(chǎn)生《風(fēng)險(xiǎn)處理計(jì)劃》。

4)  文件控制程序；

5)  記錄控制程序；

6)  內(nèi)部審核程序；

7)  糾正措施與預(yù)防措施程序；

8)  控制措施有效性測(cè)量程序

9)  管理評(píng)審程序

10) 適用性聲明

 

(3)  任意的文件 

 

    除了上述必須的文件外，組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的任意的文件(discretionary documents)。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:

1)  組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；

2)  安全要求的嚴(yán)格程度；

3)  管理的體系的范圍和復(fù)雜程度。

    這里，需要特別提出的是，isms的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。組織需要哪些isms文件及其復(fù)雜程度如何，通常可根據(jù)風(fēng)險(xiǎn)評(píng)估決定。如果風(fēng)險(xiǎn)評(píng)估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn)，那么就應(yīng)識(shí)別處理這些風(fēng)險(xiǎn)的可能方法，包括形成相關(guān)文件。

 

(4)文件的符合性 

 

isms文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合iso/iec 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求。為此：

 

1)  參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求

 

    在編寫isms文件時(shí),編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如，在編寫isms方針時(shí)，要參考iso/iec 27001 “4.2.1b) 定義isms方針”；編寫適用性聲明時(shí)，要參考iso/iec 27001 “4.2.1 j) 準(zhǔn)備適用性聲明”；編寫文件控制程序時(shí)，要參考iso/iec 27001 “4.3.2文件控制”等等。

 

2)  文件化本組織的最好實(shí)踐

 

    為了易于操作，編寫者最好把本組織當(dāng)前的最好實(shí)踐寫下來(lái)，補(bǔ)充標(biāo)準(zhǔn)的要求，形成統(tǒng)一格式的文件。

 

3)  保持一致性

 

    a） 同一個(gè)文件中，上下文不能有不一致(或矛盾)的地方

    b） 同一個(gè)體系的不同文件之間不能有矛盾的地方

    c） 不同體系的文件之間不能有不一致的地方

    如果組織同時(shí)運(yùn)行多個(gè)管理體系，例如質(zhì)量管理體系(qms)、環(huán)境管理體系(ems)和isms等，那么各個(gè)體系的文件之間應(yīng)相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達(dá)上，應(yīng)準(zhǔn)確，無(wú)二義。

   更多iso/iec 27001信息請(qǐng)關(guān)注潛龍認(rèn)證咨詢