电脑桌面
添加小米粒文库到电脑桌面
安装后可以在桌面快捷访问

信息安全管理方针和策略

信息安全管理方针和策略_第1页
1/33
信息安全管理方针和策略_第2页
2/33
信息安全管理方针和策略_第3页
3/33
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013 信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1 规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2 术语和定义 ISO/IEC 27000 中的术语和定义适用于本文件。 1.3 公司环境 1.3.1 理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ✓ 社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ✓ 影响组织目标的主要动力和趋势; ✓ 与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ✓ 治理、组织结构、作用和责任; ✓ 方针、目标,为实现方针和目标制定的战略; ✓ 基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术); ✓ 与内部利益相关方的关系,内部利益相关方的观点和价值观; ✓ 组织的文化; ✓ 信息系统、信息流和决策过程(正式与非正式); ✓ 组织所采用的标准、指南和模式; ✓ 合同关系的形式与范围。 明确风险管理过程状况: ✓ 确定风险管理活动的目标; ✓ 确定风险管理过程的职责; ✓ 确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ✓ 以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ✓ 界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ✓ 确定风险评价的方法; ✓ 确定评价风险管理的绩效和有效性的方法; ✓ 识别和规定所必须要做出的决策; ✓ 确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ✓ 可以出现的致因和后果的性质和类别,以及如何予以测量; ✓ 可能性如何确定; ✓ 可能性和(或)后果的时间范围; ✓ 风险程度如何确定; ✓ 利益相关方的观点; ✓ 风险可接受或可容许的程度; ✓ 多种风险的组合是否予以考虑,如果是,...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。
3、如文档内容存在违规,或者侵犯商业秘密、侵犯著作权等,请点击“违规举报”。

碎片内容

信息安全管理方针和策略

确认删除?
VIP
微信客服
  • 扫码咨询
会员Q群
  • 会员专属群点击这里加入QQ群
客服邮箱
回到顶部