ISO27001認(rèn)證業(yè)務(wù)常見問題
Q:ISO什么是27001認(rèn)證?
A:ISO27001是國際標(biāo)準(zhǔn),全名是IEC/ISO27001信息安全管理體系規(guī)范ISO27000標(biāo)準(zhǔn)系列中的一個標(biāo)準(zhǔn)包含許多其他標(biāo)準(zhǔn);另一個常說的標(biāo)準(zhǔn)ISO1779:2005-信息安全實(shí)施細(xì)則也是與信息安全管理相關(guān)的,這個標(biāo)準(zhǔn)當(dāng)前已經(jīng)改名為ISO27002:2008。ISO27001還是ISO27002,都是I S標(biāo)準(zhǔn)系列(I S Family of Standards)之一,I S標(biāo)準(zhǔn)系列如下圖所示:
常說ISO27001認(rèn)證是指符合企業(yè)聲稱的認(rèn)證范圍ISO27001標(biāo)準(zhǔn)文本中的所有要求都有選擇地滿足ISO27001標(biāo)準(zhǔn)附錄A內(nèi)容A內(nèi)容對應(yīng)標(biāo)準(zhǔn)ISO27002:2008第5章至第15章,企業(yè)可根據(jù)自身實(shí)際情況選擇適用的控制措施,即本標(biāo)準(zhǔn)中的133個控制項(xiàng)目不需要通過認(rèn)證的用戶強(qiáng)制滿足,通常通過適用性聲明SOA》這種應(yīng)用通常是通過文件來表達(dá)的ISO27001證書包括所選適用性聲明SOA》文件的。
Q:與BS7799認(rèn)證有區(qū)別嗎?
A:ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別取決于ISO談到27001標(biāo)準(zhǔn)發(fā)展的歷史,ISO27001的發(fā)展過程如下圖所示:
BS7799認(rèn)證是指符合英國國家標(biāo)準(zhǔn)的企業(yè)信息安全管理體系BS7799-2,由于BS7799在國際上得到了廣泛的認(rèn)可BS7799-2成為國際標(biāo)準(zhǔn)ISO在27001之前,全球企業(yè)將選擇信息安全管理體系認(rèn)證BS7799。
Q:到目前為止,國內(nèi)ISO27001認(rèn)證發(fā)展如何?
A:目前在中國通過ISO27001認(rèn)證的企業(yè)數(shù)量已達(dá)199家(截至200906)。雖然絕對數(shù)量不大,但增長非常快。從下圖可以看出:
這里頒發(fā)的199張證書中有數(shù)字DNV和BSI頒發(fā)的證書統(tǒng)計(jì)表(截至2009年6月):
有中國信息安全認(rèn)證中心(簡寫為ISCCC,09年5月份CNAS認(rèn)可)(UKAS經(jīng)批準(zhǔn),國內(nèi)試點(diǎn)證書)、廣州賽寶(國內(nèi)試點(diǎn)證書)、中國電子技術(shù)標(biāo)準(zhǔn)化研究所(國內(nèi)試點(diǎn)證書)四家,截至2009年7月20日,只有中國信息安全認(rèn)證中心頒發(fā)了19份證書,其他國內(nèi)認(rèn)證機(jī)構(gòu)尚未頒發(fā)證書。
Q:獲得ISO27001認(rèn)證有什么好處?
增強(qiáng)意識,轉(zhuǎn)變觀念
ü ISO27001認(rèn)證是證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段,有助于組織節(jié)約信息安全成本;
ü 信息安全風(fēng)險(xiǎn)管理的目的是確保企業(yè)依賴經(jīng)營IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運(yùn)行,保證企業(yè)業(yè)務(wù)的持續(xù)發(fā)展,而不是為企業(yè)業(yè)務(wù)的發(fā)展增添枷鎖,強(qiáng)調(diào)以業(yè)務(wù)為中心的安全**;
ü 信息安全工作應(yīng)該是IT以部門為主導(dǎo),全活動,強(qiáng)調(diào)人人負(fù)責(zé);
ü 信息安全管理應(yīng)遵循風(fēng)險(xiǎn)管理的理念,強(qiáng)調(diào)預(yù)防、控制和總結(jié)的工作理念,而不是問題驅(qū)動的消防理念;
ü 信息安全問題的解決不應(yīng)是頭痛醫(yī)頭、腳痛醫(yī)腳的局部問題解決方案,而應(yīng)強(qiáng)調(diào)整體系統(tǒng)的分析和解決;
規(guī)范操作,有法可依
ü 按照PDCA企業(yè)信息安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn),信息安全管理從無序、分散、被動問題補(bǔ)救行為轉(zhuǎn)變?yōu)橄到y(tǒng)、科學(xué)、一致、主動的風(fēng)險(xiǎn)控制狀態(tài);
ü 完善各種安全管理制度,規(guī)范與信息系統(tǒng)、信息保密等相關(guān)的各種操作行為和方法;
良好的形象,合規(guī)要求
ü 獲得國際認(rèn)證的企業(yè)可以提高客戶、業(yè)務(wù)伙重要性和敏感信息保護(hù)能力的信心,提高組織的公眾形象和競爭力;
ü 滿足監(jiān)管機(jī)構(gòu)的合規(guī)要求和合作伙伴的信息安全審計(jì)要求;
Q:如何首次開展企業(yè)?ISO27001認(rèn)證(I S建設(shè)項(xiàng)目?
企業(yè)開展ISO27001認(rèn)證時,一般是由IT部門牽頭,業(yè)務(wù)部門配合參與。但對,IT該部門的實(shí)力非常有限,通常由質(zhì)量管理部門領(lǐng)導(dǎo),通常實(shí)施了管理體系認(rèn)證(ISO9001或者CMMI)或者項(xiàng)目經(jīng)驗(yàn),信息安全管理體系與質(zhì)量管理體系有很大的相似性。
的參與有助于引導(dǎo)領(lǐng)導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識信息安全、信息安全管理和ISO27001認(rèn)證就本項(xiàng)目對信息安全的理解與目標(biāo)達(dá)成一致。這是非常關(guān)鍵的,因?yàn)樗c項(xiàng)目實(shí)施過程的順利性和項(xiàng)目目標(biāo)的實(shí)現(xiàn)有關(guān)。
項(xiàng)目范圍的確定項(xiàng)目范圍的確定,這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒有區(qū)別,一般按照企業(yè)既定的招標(biāo)流程走。I S這里不多說系統(tǒng)建設(shè)的實(shí)施,也有專門的問題。
I S系統(tǒng)認(rèn)證工作一般分為兩個階段,第一階段是文件審核,審核員只關(guān)注管理系統(tǒng)文件,檢查系統(tǒng)文件是否齊全,I S施工方法是否合理,文件查看的重點(diǎn)一般是風(fēng)險(xiǎn)評估方法、業(yè)務(wù)連續(xù)性和管理系統(tǒng)測量。第二階段是現(xiàn)場審計(jì),審計(jì)員將根據(jù)ISO27001年標(biāo)準(zhǔn)的要求和企業(yè)自身信息安全戰(zhàn)略的要求,在認(rèn)證范圍內(nèi),現(xiàn)場驗(yàn)證制度的實(shí)施和運(yùn)行記錄的檢查是一種重要的審計(jì)手段?,F(xiàn)場審計(jì)將以最后一次會議的形式結(jié)束整個審計(jì)工作。如果審計(jì)人員沒有發(fā)現(xiàn)重大不一致的項(xiàng)目,審計(jì)人員將在最后一次會議上宣布企業(yè)通過現(xiàn)場審計(jì)。
Q:企業(yè)ISO27001認(rèn)證的范圍如何來確定?
A:認(rèn)證范圍的選擇將影響滿足認(rèn)證要求的難度和成本。另一方面,難度和成本是選擇認(rèn)證范圍的重要參考。難度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定,成本與企業(yè)預(yù)算有關(guān)。在考慮難度和成本的基礎(chǔ)上,企業(yè)一般支持核心業(yè)務(wù)部門和核心業(yè)務(wù)IT認(rèn)證范圍內(nèi)包括部門和人力資源部門。認(rèn)證范圍的描述一般采用業(yè)務(wù)活動范圍、區(qū)域場所、信息資產(chǎn)和技術(shù)來表達(dá)。到目前為止,比如著名的認(rèn)證機(jī)構(gòu),比如BSI,DNV國內(nèi)頒發(fā)的證書一般只使用業(yè)務(wù)活動和區(qū)域場所來描述認(rèn)證管理體系的范圍。
Q:企業(yè)建立符合要求ISO27001標(biāo)準(zhǔn)的I S這個過程么?
A:ISO實(shí)施27001認(rèn)證的做法也不同,但基本上會遵循標(biāo)準(zhǔn)內(nèi)容,從I S規(guī)劃(信息安全管理系統(tǒng))I S實(shí)施和運(yùn)維,I S監(jiān)測與回顧,I S改進(jìn)和改進(jìn)四個階段。詳細(xì)說明如下圖所示。
××公司的ISO27001認(rèn)證咨詢的實(shí)施方法是基于ISO基于對27001標(biāo)準(zhǔn)的深刻理解和過去實(shí)踐積累的總結(jié)。ISO27001信息安全管理體系的核心是基于PDCA流程方法。利益合作伙伴、客戶、股東是企業(yè)信息安全管理體系的起點(diǎn),在企業(yè)內(nèi)部業(yè)務(wù)活動中,需要各種資源,包括人力資源投資,也必須遵守各種安全體系,良好的信息安全管理體系較終給利益合作伙伴、客戶和股東帶來價(jià)值。
PDCA這是一個循環(huán)活動,發(fā)現(xiàn)問題,制定問題處理計(jì)劃,實(shí)施計(jì)劃,檢查和審查實(shí)施情況,監(jiān)控和評估實(shí)施效果,及時改進(jìn)不足。PDCA在思路的指導(dǎo)下,大循環(huán)套小循環(huán),不斷提高企業(yè)信息安全管理水平,始終使企業(yè)信息安全風(fēng)險(xiǎn)處于可控狀態(tài)。××在實(shí)踐中,公司總結(jié)了一套輔導(dǎo)企業(yè)ISO27001認(rèn)證方法。整個實(shí)施方法分為差距分析、資產(chǎn)風(fēng)險(xiǎn)評估、系統(tǒng)規(guī)劃與實(shí)施、系統(tǒng)發(fā)布與試運(yùn)行、協(xié)助外部審計(jì)五個階段。每個階段都有關(guān)鍵輸出。詳情請參閱圖片-實(shí)施方法概述。
五個階段活動都包含相應(yīng)的子活動以及階段主要成果,詳細(xì)見下表:
Q:企業(yè)在項(xiàng)目實(shí)施過程中需要投入多少資源?
A:企業(yè)在實(shí)施I S在施工過程中,項(xiàng)目實(shí)施者管理層除了向咨詢師支付費(fèi)用外,還特別關(guān)心I S企業(yè)人員在施工過程中還需要投入多少人。一般來說,企業(yè)每天的投資在不同的階段是不同的,參與者也會不同。從管理層到普通員工都將參與實(shí)施項(xiàng)目。以下是一家200I S以建設(shè)為例,從I S在不同項(xiàng)目階段,不同角色參與項(xiàng)目的單位時間解釋了項(xiàng)目實(shí)施的五個階段。
其中:h表示小時,d表示天
Q:?
的選擇大致可大致。如果企業(yè)涉及出口、離岸外包等國際業(yè)務(wù),建議選擇國際;如果企業(yè)業(yè)務(wù)僅限于國內(nèi)客戶,企業(yè)國內(nèi)監(jiān)管機(jī)構(gòu)的信息安全監(jiān)管要求,建議選擇國內(nèi)。國內(nèi)正在進(jìn)行中ISO27001認(rèn)證業(yè)務(wù)起步比國際晚幾年,客戶認(rèn)可度略差于國際。
國內(nèi)企業(yè)一般選擇國際的時間BSI和DNV目前,國內(nèi)只有中國信息安全認(rèn)證中心正式得到國家認(rèn)證**(以下簡稱認(rèn)證**)的正式認(rèn)可,其他三家(賽寶認(rèn)證中心、中國認(rèn)證中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究所)(截至2009年6月)仍頒發(fā)試點(diǎn)證書。
Q:企業(yè)獲得ISO27001認(rèn)證后,應(yīng)對審核還需要做哪些工作?
A:ISO27001證書一般有效期為3年。3年后,必須經(jīng)過綜合審查,應(yīng)重新頒發(fā)證書。認(rèn)證注冊資格后,乙方將在三年有效期內(nèi)接受3 定期監(jiān)督審查和必要的不定期審查。其中,自認(rèn)證之日起6個月內(nèi)安排第一次監(jiān)督審查,監(jiān)督審查間隔不得超過12個月,異常情況下增加監(jiān)督審查頻率。因此,企業(yè)仍必須遵守標(biāo)準(zhǔn)PDCA不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險(xiǎn)。
Q:如何保證一個I S這些成功因素主要包括哪些?
a) 項(xiàng)目范圍內(nèi)有關(guān)部門和各級領(lǐng)導(dǎo)對項(xiàng)目目標(biāo)有一致的了解。
b) 信息安全戰(zhàn)略必須反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全戰(zhàn)略是規(guī)范員工行為,更好地為企業(yè)服務(wù),為企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供信息安全**。安全戰(zhàn)略不能違反業(yè)務(wù)目標(biāo),更不用說成為業(yè)務(wù)發(fā)展的絆腳石了。
c) 實(shí)施過程和方法應(yīng)與企業(yè)文化保持一致。在項(xiàng)目實(shí)施過程中,顧問需要不斷與企業(yè)人員溝通,這應(yīng)與企業(yè)當(dāng)前的企業(yè)文化相一致。
d) 來自管理層的支持和承諾。管理層需要參加項(xiàng)目里程碑等關(guān)鍵節(jié)點(diǎn)的會議,公開表達(dá)態(tài)度,確保必要的人力和財(cái)政支持。
e) 為員工提供適當(dāng)?shù)呐嘤?xùn)和教育
f) 易于理解和一致的測量系統(tǒng),以評估信息安全的效率。管理到普通員工的所有成員來衡量安全控制的效果。就像人體的質(zhì)量可以通過血壓、脈搏等指標(biāo)來知道一樣。
g) 使用自動安全策略管理工具。當(dāng)前的安全策略需要一個工具自動管理,員工可以通過這個工具快速找到他需要的安全系統(tǒng)。
Q:I S確定范圍后,如何解決范圍外的一些信息安全問題?
A:當(dāng)企業(yè)面臨信息安全問題時,雖然它不是一勞永逸地解決一切問題的想法,但大多數(shù)企業(yè)希望盡可能多地解決問題,這是可以理解的。
I S在施工過程中,將確定明確的實(shí)施范圍,如IT研發(fā)部或財(cái)務(wù)部正在實(shí)施I S在此過程中,范圍外的部門或組織一般不深入?yún)⑴c,重點(diǎn)在已確定的范圍內(nèi),在咨詢顧問的幫助下,建立合理的信息安全組織框架,培安全組織框架,培養(yǎng)能夠勝任安全管理體系運(yùn)行的相關(guān)人員,如掌握風(fēng)險(xiǎn)評估方法的人員、內(nèi)部審計(jì)師等,提高人員的安全技能和安全意識,提高信息安全運(yùn)行水平,降低相關(guān)安全風(fēng)險(xiǎn)。然后作為示范,逐步擴(kuò)大I S并按PDCA該模型不斷提高了企業(yè)的信息安全水平,范圍內(nèi)得到了推廣和實(shí)施。事實(shí)上,這也是企業(yè)在信息安全體系建設(shè)過程中,在一定的投資條件下,一步一步,堅(jiān)持關(guān)鍵部門和高安全風(fēng)險(xiǎn)優(yōu)先控制的原則,避免一步一步。
Q:哪些問題是信息安全風(fēng)險(xiǎn),哪些問題不是信息安全風(fēng)險(xiǎn)?
A:信息安全風(fēng)險(xiǎn)是指利用信息系統(tǒng)漏洞(技術(shù)漏洞)、管理(或漏洞(技術(shù)漏洞)、管理(或自然(環(huán)境)因素或人為因素的潛在事件。包括信息系統(tǒng)的開發(fā)、部署、運(yùn)行(使用)、監(jiān)控、維護(hù)和退出IT操作流程缺陷、系統(tǒng)業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員故意/故意錯誤、外部事務(wù)件等因素直接影響信息系統(tǒng)的安全、可靠、平穩(wěn)運(yùn)行,并可能導(dǎo)致業(yè)務(wù)運(yùn)營中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險(xiǎn),并間接導(dǎo)致信用、市場、法律、聲譽(yù)等企業(yè)。
信息系統(tǒng)開發(fā)時的業(yè)務(wù)需求分析風(fēng)險(xiǎn)、信息系統(tǒng)項(xiàng)目管理風(fēng)險(xiǎn)等等則不屬于信息安全風(fēng)險(xiǎn)。
Q:信息安全風(fēng)險(xiǎn)管理的定義及其范圍?
A:信息安全風(fēng)險(xiǎn)管理是指通過建立有效的機(jī)制,實(shí)現(xiàn)對信息安全風(fēng)險(xiǎn)的識別、計(jì)量、評估、預(yù)警和控制,確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行,規(guī)避因?yàn)樾畔⒓夹g(shù)應(yīng)用而引起的各種風(fēng)險(xiǎn)。一般包括風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)通報(bào)、風(fēng)險(xiǎn)監(jiān)控、風(fēng)險(xiǎn)回顧。
應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)與信息技術(shù)應(yīng)用的關(guān)系密切,并且極有可能因?yàn)樽詣踊⒕W(wǎng)絡(luò)化的實(shí)現(xiàn)方式而被放大,因此必須將其納入全面信息安全風(fēng)險(xiǎn)管理的范圍:
n 應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險(xiǎn)本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險(xiǎn),此類操作風(fēng)險(xiǎn)的識別、評估以及提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線;
n 但是通過系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別,信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險(xiǎn)情況發(fā)生了較大的變化,因此此類風(fēng)險(xiǎn)的管理課題橫跨IT技術(shù)與業(yè)務(wù)運(yùn)營兩個領(lǐng)域;
n 所以從實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理的角度出發(fā),應(yīng)將協(xié)助管理此類風(fēng)險(xiǎn)的職責(zé)納入信息安全風(fēng)險(xiǎn)管理的范圍,由IT部門采取適當(dāng)?shù)姆绞椒e極參與其管理工作;
Q:怎樣算是實(shí)現(xiàn)了有效的信息安全風(fēng)險(xiǎn)管理?
A:明確職責(zé)與分工,建立良好的互動機(jī)制,由信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行協(xié)調(diào)、檢查、督促并提供專業(yè)支持,實(shí)現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險(xiǎn)管理環(huán)境,全面掌控直接、間接的隱藏風(fēng)險(xiǎn),將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行的隱患控制在可接受的范圍內(nèi)。
Q:企業(yè)里誰應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)?
n 信息安全風(fēng)險(xiǎn)專業(yè)性強(qiáng)、涉及領(lǐng)域廣,適宜在IT條線內(nèi)部進(jìn)行管理,IT部門承擔(dān)信息安全風(fēng)險(xiǎn)的管理職責(zé),具體落實(shí)在部門內(nèi)的信息安全風(fēng)險(xiǎn)條線;
n 業(yè)務(wù)部門承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險(xiǎn);
n 企業(yè)風(fēng)險(xiǎn)管理部門對信息安全風(fēng)險(xiǎn)管理提供指導(dǎo);
n 信息安全風(fēng)險(xiǎn)管理職能應(yīng)向企業(yè)風(fēng)險(xiǎn)管理部門提供信息安全風(fēng)險(xiǎn)管理報(bào)告,以匯總到企業(yè)整體風(fēng)險(xiǎn)管理報(bào)告中;
其中:
R = Responsible誰負(fù)責(zé),負(fù)責(zé)執(zhí)行任務(wù)的角色,具體負(fù)責(zé)操控項(xiàng)目、解決問題。 A = Accountable誰批準(zhǔn),對任務(wù)負(fù)全責(zé)的角色,只有經(jīng)其同意或簽署之后,項(xiàng)目才能得以進(jìn)行。 C = Consulted咨詢誰,在任務(wù)實(shí)施前或中提供*性意見的人員。 I = Informed告知誰,及時被通知結(jié)果的人員,不必向其咨詢、征求意見。Q:IT部門內(nèi)誰應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)?
A:IT條線內(nèi)部的信息安全風(fēng)險(xiǎn)遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則,定位如下:
n IT條線管理層整體負(fù)責(zé),并向董事會進(jìn)行年度信息安全風(fēng)險(xiǎn)報(bào)告;
n 建設(shè)開發(fā)、運(yùn)行維護(hù)等IT職能為IT風(fēng)險(xiǎn)的第一責(zé)任人,承擔(dān)識別風(fēng)險(xiǎn)、實(shí)施信息安全風(fēng)險(xiǎn)等職責(zé);
n 信息安全風(fēng)險(xiǎn)管理職能承擔(dān)著制定風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)、開發(fā)評估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測風(fēng)險(xiǎn)情況、應(yīng)急響應(yīng)、編制風(fēng)險(xiǎn)管理報(bào)告等職責(zé)。
Q:需要組建怎樣的隊(duì)伍來管理信息安全風(fēng)險(xiǎn),隊(duì)伍中各角色的職責(zé)是什么?
A:在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上(沒有的話,則從頭建立),建立垂直專業(yè)管理的信息安全風(fēng)險(xiǎn)管理?xiàng)l線;建立常設(shè)的風(fēng)險(xiǎn)評估、監(jiān)控掃描等專業(yè)團(tuán)隊(duì),并以虛擬團(tuán)隊(duì)的方式覆蓋整個企業(yè);設(shè)立安全信息監(jiān)控中心(運(yùn)維中心)等實(shí)體化的信息安全支撐中心。組織結(jié)構(gòu)如下圖所示:
信息安全風(fēng)險(xiǎn)主管
? 協(xié)助管理層確定信息安全風(fēng)險(xiǎn)管理目標(biāo)、風(fēng)險(xiǎn)偏好
? 確定信息安全風(fēng)險(xiǎn)管理策略;
? 協(xié)調(diào)相關(guān)信息安全風(fēng)險(xiǎn)相關(guān)主要資源;
? 向管理層匯報(bào)整體風(fēng)險(xiǎn)管理狀況;
? 協(xié)調(diào)信息安全風(fēng)險(xiǎn)管理相關(guān)方工作;
? 組織制定信息安全風(fēng)險(xiǎn)管理政策。
總部信息安全安全風(fēng)險(xiǎn)管理:
? 組信息安全風(fēng)險(xiǎn)管理工作
? 組織制定信息安全風(fēng)險(xiǎn)管理規(guī)劃
? 組則整體信息安全風(fēng)險(xiǎn)管理組織建設(shè)
? 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)、專業(yè)團(tuán)隊(duì)與內(nèi)外部的協(xié)調(diào)工作;
? 組織信息安全風(fēng)險(xiǎn)管理意識的宣傳培訓(xùn)及信息安全風(fēng)險(xiǎn)管理專業(yè)培訓(xùn);
? 對專業(yè)團(tuán)隊(duì)及分行風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行業(yè)務(wù)指導(dǎo)。
? 風(fēng)險(xiǎn)管理信息,撰寫風(fēng)險(xiǎn)管理報(bào)告;
? 執(zhí)行合規(guī)性檢查;
? 對所有信息安全項(xiàng)目的信息安全需求進(jìn)行評審,確保安全需求,控制項(xiàng)目風(fēng)險(xiǎn)。
? 綜合管理(后勤/人力)。
總部信息安全風(fēng)險(xiǎn)咨詢團(tuán)隊(duì):
? 分析風(fēng)險(xiǎn)管理現(xiàn)狀與風(fēng)險(xiǎn)管理技術(shù)趨勢;
? 起草風(fēng)險(xiǎn)管理政策;
? 制定相關(guān)技術(shù)標(biāo)準(zhǔn)、操作規(guī)程。
信息安全風(fēng)險(xiǎn)項(xiàng)目管理與專業(yè)建設(shè):
? 負(fù)責(zé)信息安全相關(guān)項(xiàng)目的項(xiàng)目管理,協(xié)調(diào)負(fù)責(zé)安全開發(fā)與部署的開發(fā)中心/數(shù)據(jù)中心;
? 負(fù)責(zé)加密技術(shù)等小部分核心信息安全技術(shù)的專業(yè)建設(shè)與開發(fā)。
信息安全風(fēng)險(xiǎn)管理專業(yè)團(tuán)隊(duì)
? 研究信息安全風(fēng)險(xiǎn)管理發(fā)展趨勢,協(xié)助管理層制定信息安全風(fēng)險(xiǎn)管理政策,判斷風(fēng)險(xiǎn)管理現(xiàn)狀;
? 提供信息安全風(fēng)險(xiǎn)管理專業(yè)服務(wù)支持,為分行及數(shù)據(jù)、開發(fā)中心提供信息安全風(fēng)險(xiǎn)管理技術(shù)支撐與指導(dǎo)。
? 負(fù)責(zé)應(yīng)急響應(yīng)的管理與執(zhí)行。
Q:采用怎么樣的方式來管理信息安全風(fēng)險(xiǎn),需要開展哪些工作?
A:在業(yè)務(wù)需求及流程操作風(fēng)險(xiǎn)評估、項(xiàng)目風(fēng)險(xiǎn)自評估、技術(shù)風(fēng)險(xiǎn)(信息安全風(fēng)險(xiǎn))評估的基礎(chǔ)上完善系統(tǒng)建設(shè)開發(fā)方案審批及風(fēng)險(xiǎn)管理機(jī)制,并建立正式的IT內(nèi)控與安全檢查評估、漏洞掃描與滲透性等流程,將這些工作制度化、日?;?,并與需求確定、驗(yàn)收、上線審批、績效管理等相關(guān)工作進(jìn)行結(jié)合。
Q:需要哪些信息安全風(fēng)險(xiǎn)管理制度,怎樣加強(qiáng)這些制度的執(zhí)行?
A:包括IT 風(fēng)險(xiǎn)管理制度體系與信息安全制度體系,并明確相關(guān)政策管理流程以加強(qiáng)規(guī)范化管理、提高執(zhí)行力度;同時應(yīng)將信息安全風(fēng)險(xiǎn)控制措施融入各IT工作的相應(yīng)制度中以提高其執(zhí)行力度,并更新IT內(nèi)控手冊對這些控制措施進(jìn)行匯總與映射。
Q:需要哪些技術(shù)能力支撐信息安全風(fēng)險(xiǎn)管理?
A:在信息安全管理方面需要建立預(yù)防、檢測、響應(yīng)、恢復(fù)的技術(shù)能力;在IT流程風(fēng)險(xiǎn)管理方面需要建立流程控制固化、績效與關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)控等技術(shù)能力;同時還需要針對全面的信息安全風(fēng)險(xiǎn)實(shí)現(xiàn)政策管理、控制點(diǎn)管理、風(fēng)險(xiǎn)敞口跟蹤等綜合管理能力。
Q:有哪些技術(shù)方案能夠提供信息安全風(fēng)險(xiǎn)管理需要的技術(shù)能力?
A:技術(shù)方案主要集中在較為成熟的信息安全技術(shù)領(lǐng)域。信息安全技術(shù)架構(gòu)在信息安全基礎(chǔ)設(shè)施上定義了信息安全服務(wù)、網(wǎng)絡(luò)安全、應(yīng)用安全、安全管理與安全工具體系,其中主要的技術(shù)方案包括安全信息與事件管理服務(wù)、身份與訪問管理服務(wù)、威脅與脆弱性管理服務(wù)、數(shù)據(jù)安全服務(wù)、網(wǎng)絡(luò)準(zhǔn)入控制等。
杭州貝安企業(yè)管理有限公司竭誠為廣大企業(yè)客戶提供:CE認(rèn)證、iso認(rèn)證、45001認(rèn)證、CCC認(rèn)證咨詢、iso體系認(rèn)證等服務(wù),CE認(rèn)證機(jī)構(gòu)、iso認(rèn)證機(jī)構(gòu)公司提供一條認(rèn)證服務(wù),方便快捷. Copyright?2021-2021 杭州貝安企業(yè)管理有限公司 www.ahyx618.com浙ICP備20000186號