ISO20000认证体系信息安全管理变更与文件
怎样管理ISO20000认证体系信息安全变更?怎样管理ISO20000认证体系信息安全事件?ISO20000认证体系信息安全管理文件和记录有什么呢?ISO20000认证体系信息安全管理需定义有什么职责?
ISO20000认证体系信息安全应怎样管理信息安全变更和事件Managinginformation changes and incidents
信息安全的变更和事件应依据变更管理流程、事件管理流程和服务请求管理流程进行处理。变更请求应进行评估,以识别新的或变更的服务的信息安全风险,并将其作为被提议变更的结果。变更请求也依据对现有服务、流程、方针及现有信息安全控制的潜在影响进行评估。
服务提供者应利用信息安全事件报告、信息安全评估报告及审核报告的评审结果以识别潜在的不足及改进机会。
ISO20000认证体系信息安全管理文档和记录documentS ANDRECORDS
ISM流程产生和保留的文档和记录包含:
a) 信息安全战略;
b) 信息安全方针;
c) 信息安全计划;
d) 信息安全管理程序;
e) 信息安全报告;
f) ISM 流程的执行效率和效果报告;
g) 信息安全事件管理报告;
h) 信息安全风险评估;
i) 信息资产清册。
文档和记录应定期进行分析以向管理层提供有关信息安全方针执行效果的信息。其他重要的信息包含信息安全事件趋势分析,应将其输入到改善服务及访问信息、资产和系统的控制的计划中。
ISO20000认证体系信息安全管理权限和责任AUTHORITIES ANDRESPONSIBILITIES
除了ISO20000认证标准中描述的流程所有者,流程经理及程序执行的个人,ISM流程所需的权限和责任还包含:
a) 必须访问ISM 配置项和数据的顾客、服务提供者个人和相关方;
b) 维护信息安全控制的个人。