公司名称厦门汉墨企业管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地厦门
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证
发货地厦门或福州
ISO27001认证信息安全管理体系认证
1) 信息安全事件报告
事故责任部门应填写《信息安全事件报告表》,包括以下内容:
信息安全事件的原因
信息安全事件的处理过程与结果
信息安全事件再发防止措施及改进计划
附上相关的证据文件
《信息安全事件报告表》提交给信息安全工作小组;
2) 反馈
信息安全工作小组应将信息安全事件处置过程和结果反馈给部门负责人和事故发现人;
信息安全工作小组应将事故以上级别的信息安全事件处置过程和结果报告给总经理/部门负责人,事件级别的报告给部门负责人;
必要时部门负责人应将信息安全事件处置过程和结果反馈给客户。
1) 信息安全工作小组:
负责选派一名纠正和预防措施监督员负责收集信息并组织责任部门分析原因,并跟踪验证纠正预防措施实施情况;
负责与相关部门共同制定纠正预防措施。
2) 各部门:负责本部门的不符合原因分析及纠正、预防措施的制定和实施。
1) 为了消除不符合项或潜在的不符合项的产生,所采取的纠正、预防措施应与问题大小和风险程度相适应,以的成本获得满足信息安全管理体系的要求。
2) 通过应用信息安全管理方针、目标及其有效性测量、审核结果、监视事件的分析、纠正和预防措施和管理评审,持续改进信息安全管理体系的有效性。
3) 信息安全工作小组负责组织将证实有效的纠正、预防措施纳入有关的管理和技术文件中去,使其成为正式的方法,有效地防止不符合项的发生。所引起的信息安全管理管理体系文件的更改和补充按《文件控制制度》进行。
漏洞扫描管理:
a) 管理员应定期进行漏洞扫描,客户端和服务器可使用相关工具进行漏洞扫描。
b) 根据漏洞扫描结果,管理员应及时修补系统漏洞。
渗透测试管理:
a) 技术符合性检查应由有经验的系统工程师手动执行(如需要,利用合适的软件工具支持),或者由技术*用自动工具来执行,此工具可生成供后续解释的技术报告。
b) 如果使用渗透测试或脆弱性评估,则应格外小心,因为这些活动可能导致系统安全的损害。这样的测试应预先计划,形成文件,且重复执行。
审核注意事项:
应与合适的管理者商定审核要求;
应商定和控制检查范围;
检查应限于对软件和数据的只读访问;
非只读的访问应仅用于对系统文件的单独拷贝,当审核完成时,应擦除这些拷贝,或者按照审核文件要求,具有保留这些文件的义务,则要给予适当的保护;
应明确地识别和提供执行检查所需的资源;
应识别和商定特定的或另外的处理要求;
应监视和记录所有访问,以产生参照踪迹;对关键数据或系统,应考虑使用时间戳参照踪迹;
应将所有的制度、要求和职责形成文件;执行审核的人员应独立于审核活动
1) 通过监测某控制的执行情况,告诉管理者该控制是否满足标准、信息安全管理体系和管理者的要求。关键性能指标是控制的性能指标,表现为控制的实际表现。通过测定,评价控制执行的好坏,通过有效性、效率、保密性、完整性、可用性、一致性、可靠性等指标来测定控制的性能,关键性能指标是控制执行程度的测定,预期将来成败的可能性,是先导性目标,面向控制过程,关注对于控制至关重要的资源。关键性能指标指出控制要完成到怎样的程度。
2) 信息安全工作小组分析确定每个测**类中的测量方法和关键性指标。
-/gbacfji/-
http://lsjsqd.b2b168.com
