您现在的位置:首 页 > 两化融合 > ISO20000认证体系信息安全风险评估与管理

ISO20000认证体系信息安全风险评估与管理

ISO20000认证体系信息安全风险评估与管理是企业实施ISO20000认证体系的要点,本篇摘要介绍参考。

ISO20000认证体系风险评估Risk assessment
ISM流程应定期执行风险评估以识别对于现场环境的信息安全风险,并予以记录,然后通过具体的控制预防或减轻所识别风险的影响。此外,ISM流程应确保适当的风险评估作为新的或变更的服务的设计和转换的一部分。
信息安全策略应确保信息安全风险评估:
a) 定期执行,包括新的或变更的服务; 
b) 被记录,并仅对授权的人员可见;
c) 业务需求、流程及配置变化时进行维护;
d) 帮助理解什么能影响服务; 
e) 详细说明信息安全审核的需求;. 
f) 告知关于所运行控制措施类型的决定。 
信息资产风险应依据风险的类型和对业务的潜在影响进行评估。
注:具备专业信息安全职责的人员会发现熟悉
ISO/IEC27005,Informationtechnology—Securitytechniques—Informationsecurityriskmanagement是很有帮助的。
ISO20000认证体系-管理信息安全风险Managinginformation security risks
信息安全控制应确保服务提供者有能力实现服务管理目标及安全策略需求。信息安全控制也能促进服务提供者管理所有识别出来的信息安全风险。
信息安全控制举例如下:
a) 应建立并实施信息安全策略,同时与个人、供应商和客户进行沟通;
b) 应确定并分派信息安全管理流程的权限和职责; 
c) 应对信息安全策略的有效性进行监控、测量及评估; 
d) 承担重要信息安全角色的个人应接受信息安全培训;
e) 帮助实施风险评估和控制实施的专家可用;
f) 变更不会影响控制执行的有效性;
g) 信息安全事件应依据事件和服务请求管理流程进行汇报,并分派适当的优先级; 
h) 信息安全事件应依据优先级和所需访问安全事件报告的授权级别将其升级到适当的人员并进行解决;
i) 信息安全事件的细节应只允许恰当的人员可见;
j) 定期执行风险评估以识别组织可容忍风险的变化度; 
k) 应定期进行审核以确保符合已建立的信息安全策略和控制; 
l) 应确定信息安全基线并有效应用; 
m) 应分析信息安全审核发现,并达成优先行动计划;
n) 应建立信息安全培训计划和培训记录并予以更新。
服务提供者应借助供应商管理流程以确保识别、记录并管理能访问或使用服务提供者信息的外部组织的信息安全控制。

以上仅供企业ISO20000认证体系实施信息安全风险评估和管理参考。

获得帮助:4000-816-938

图文展示

ISO22301认证业务连续性管理体系认证准备解读业务连续性概念和作用及业务连续性认证准备事项和适用企业

两化融合认证评估框架本文摘要介绍两化融合认证如何进行评估?评价框架是什么?包含哪些内容?

ITSS认证申请条件及ITSS认证流程介绍ITSS认证申请条件及ITSS认证流程以供需要企业参考。

ISO27001认证体系信息安全要求来源了解信息安全管理体系产生及要求来源以供实施企业参考

软件成熟度CMMI认证条件与要求问答结合多年认证经验介绍CMM认证条件与要求以供企业参考准备

深圳市两化融合试点和贯标政策解读什么是两化融合及深圳市两化融合试点和贯标政策

ISO20000认证标准2018版主要变化介绍新版ISO20000认证标准发布及转换时间和主要变化

认识ITSS及其作用了解ITSS是什么?ITSS有哪些内容?ITSS认证有哪些作用?

软件成熟度CMMI认证作用与等级说明介绍CMMI认证作用及等级,了解什么是CMMI认证及三种模型?

咨询电话:4000-816-938

在线客服