2.信息安全管理体系构建 (2)具体实施构架的ISMS ■ISMS管理框架的建设只是建设ISMS的 第一步。在具体实施SMS的过程中,还 必须充分考其他方方面面的因素,如 实施的各项费用因素(培训费、报告费 等)、与组织员工原有工作习惯的冲突 不同部门/机构之间在实施过程中的相互 协作问题等。 2021-2-20 徐州工程学院 16
2021-2-20 徐州工程学院 16
2.信息安全管理体系构建 (3)在ISMS基础上建立相关的文档、文件 ■在ISMS建设和实拖的过程中,还必须建立起 各种相关的文档、文件。如ISMS管理范围中 所规定的文档内容、对管理框架的总结、在 ISMS管理范围内规定的管制采取过程、ISMS 管理和具体操作地过程等。文樻可以以各种形 式进行保存,但必须划分为不同的等级或类型 同时。为了今后信息安全以证工作的顺利进行 文档还必须能够非常容易地被指定的第三方访 问和理解。 2021-2-20 徐州工程学院 17
2021-2-20 徐州工程学院 17
2.信息安全管理体系构建 (4)安全事件的记录、反馈 ■我们还必须对实施ⅠSMS过程中发生的各种与 信息安全有关的事件进行全面记录。安全事件 的记录对高效实现工SMS具有很重要的作用, 它为组织进行信息安全政策的定义、安全管制 措施的选择等修正提供了现实的依据。安全事 件记录还必须清晰,并进行适当保存以及加以 维护,使得当记录被破坏、损坏或丢失时能够 容易地挽救。 2021-2-20 徐州工程学院 18
2021-2-20 徐州工程学院 18
3.信息安全测评认证体系 ■信息技术安全性评佔通用准则,通常简 称为通用准则(CC),是评估信息技术 产品和系统安全特性的基础准则。建立 信息技术安全性评佔的通用准则库。就 使得其评佑结果能被更多的人所理解和 信任,并让各种独立的安全评佑结果具 有可比性,从而达到了互相认可的目的。 2021-2-20 徐州工程学院 19
2021-2-20 徐州工程学院 19
3.信息安全测评认证体系 1999年12月11正式将CC20作为国际 标准-工S015408发布。在CC中充分突 出了“保护轮廓”,并将评估过程分为 “功能”和“保证”两部分。此通用准 则是目前最全面的信息技术安全评佔准 则。此标准是淝阶段中最完善的信息技 术安全性评佔标准,我国也将采用这 标准对产品、系统和系统方案进行测谜、 评佑和认可。 2021-2-20 徐州工程学院
2021-2-20 徐州工程学院 20