ISO20000认证体系信息安全风险评估与管理
ISO20000认证体系信息安全风险评估与管理
ISO20000认证体系信息安全风险评估与管理是企业实施ISO20000认证体系的要点,本篇摘要介绍参考。
ISO20000认证体系风险评估Risk assessment
ISM流程应定期执行风险评估以识别对于现场环境的信息安全风险,并予以记录,其次通过具体的控制预防或减轻所识别风险的影响。除此之外,ISM流程应确保适当的风险评估作为新的或变更的服务的设计和转换的一部分。
信息安全策略应确保信息安全风险评估:
a) 定期执行,包含新的或变更的服务;
b) 被记录,并仅对授权的人员可见;
c) 业务需求、流程及配置转变时进行维护;
d) 协助理解什么能影响服务;
e) 详细说明信息安全审核的需求;.
f) 告知关于所运行控制措施类型的决定。
信息资产风险应依据风险的类型和对业务的潜在影响进行评估。
注:具备专业信息安全职责的人员会发现熟悉
ISO/IEC27005,Informationtechnology—Securitytechniques—Informationsecurityriskmanagement是很有协助的。
ISO20000认证体系-管理信息安全风险Managinginformation security risks
信息安全控制应确保服务提供者有能力实现服务管理目标及安全策略需求。信息安全控制也能促进服务提供者管理所有识别出来的信息安全风险。
信息安全控制举例如下:
a) 应建立并实施信息安全策略,同时与个人、供应商和顾客进行沟通;
b) 应明确并分派信息安全管理流程的权限和职责;
c) 应对信息安全策略的有效性进行监控、测量及评估;
d) 承担重要信息安全角色的个人应接受信息安全培训;
e) 协助实施风险评估和控制实施的专家可用;
f) 变更不会影响控制执行的有效性;
g) 信息安全事件应依据事件和服务请求管理流程进行汇报,并分派适当的优先级;
h) 信息安全事件应依据优先级和所需访问安全事件报告的授权级别将其升级到适当的人员并进行解决;
i) 信息安全事件的细节应只容许恰当的人员可见;
j) 定期执行风险评估以识别组织可容忍风险的转变度;
k) 应定期进行审核以确保符合已建立的信息安全策略和控制;
l) 应明确信息安全基线并有效应用;
m) 应分析信息安全审核发现,并达成优先行动计划;
n) 应建立信息安全培训计划和培训记录并予以更新。
服务提供者应借助供应商管理流程以确保识别、记录并管理能访问或使用服务提供者信息的外部组织的信息安全控制。
以上仅供企业ISO20000认证体系实施信息安全风险评估和管理参考。
ISO20000认证体系信息安全管理变更与文件
ISO20000认证体系信息安全管理变更与文件
怎样管理ISO20000认证体系信息安全变更?怎样管理ISO20000认证体系信息安全事件?ISO20000认证体系信息安全管理文件和记录有什么呢?ISO20000认证体系信息安全管理需定义有什么职责?
ISO20000认证体系信息安全应怎样管理信息安全变更和事件Managinginformation changes and incidents
信息安全的变更和事件应依据变更管理流程、事件管理流程和服务请求管理流程进行处理。变更请求应进行评估,以识别新的或变更的服务的信息安全风险,并将其作为被提议变更的结果。变更请求也依据对现有服务、流程、方针及现有信息安全控制的潜在影响进行评估。
服务提供者应利用信息安全事件报告、信息安全评估报告及审核报告的评审结果以识别潜在的不足及改进机会。
ISO20000认证体系信息安全管理文档和记录documentS ANDRECORDS
ISM流程产生和保留的文档和记录包含:
a) 信息安全战略;
b) 信息安全方针;
c) 信息安全计划;
d) 信息安全管理程序;
e) 信息安全报告;
f) ISM 流程的执行效率和效果报告;
g) 信息安全事件管理报告;
h) 信息安全风险评估;
i) 信息资产清册。
文档和记录应定期进行分析以向管理层提供有关信息安全方针执行效果的信息。其他重要的信息包含信息安全事件趋势分析,应将其输入到改善服务及访问信息、资产和系统的控制的计划中。
ISO20000认证体系信息安全管理权限和责任AUTHORITIES ANDRESPONSIBILITIES
除了ISO20000认证标准中描述的流程所有者,流程经理及程序执行的个人,ISM流程所需的权限和责任还包含:
a) 必须访问ISM 配置项和数据的顾客、服务提供者个人和相关方;
b) 维护信息安全控制的个人。