5

监控和评审信息安全管理体系

 3 years ago
source link: https://blog.securemymind.com/review-and-audit-infosec-mgmt-system.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

监控和评审信息安全管理体系 – 安全意识博客Skip to content

信息安全管理体系标准有一整个章节都是关于监控和评审的。关于监控和评审的重要性,昆明亭长朗然科技有限公司信息安全管理顾问专员董志军表示:标准强烈地反映出管理层积极参与信息安全管理体系的长期管理的需求,同时也要认识到,信息安全威胁环境的变化快于商业环境。下面我们将粗略地讨论三种类型的活动,即:监控,审计和评审。

监控
监控,也可称为监督,它的首要目的是尽快地检测出程序的错误和信息安全事件,以便能速度采取纠正行动。监测应是正式的、系统化的和广泛的。附录的安全类别监测中包含专门监控IT相关的活动,这些都与ISO 27001的此部分相关联。信息安全事故管理章节也是监控的核心部分,它提出,组织必须监测偏差和事件,响应它们并从中进行学习。

审计
审计,另一方面,是经过专门设计和规划,用以确保在SOA记录中的控制是有效的及正在使用中的,并确定不合格和改进的机会。
控制目标(符合安全政策和标准,以及技术合规检查)中有特别针对这一问题,强调要有计划地定期进行在流程和技术层面人合规检查。附录中提出审计工具的安全性要求。审计在ISO 27001的条文有更深入的要求,其中规定了如下两个重要方面:
1.审计程序“应该策划审计方案,考虑审计过程和区域的状况及重要性,以及上次审计的结果。”
2.“受审计区域的管理负责人应确保立即采取措施以消除发现的不符及其原因,跟踪活动包括所采取措施的验证及验证结果的报告。”
再次重复一篇,标准清晰的指出,组织各级管理在信息安全管理体系的有效实施、维护和改善方面扮演重要角色。这必需纳入到管理和监督工作的职责描述、劳动合同、文化导向和其他培训及绩效评价中。

评审
评审也作审查,对内部和外部审计政策、业绩报告、异常报告、风险评估报告和所有相关的政策和程序进行评审,以确保信息安全管理体系在不断变化的背景下继续有效。
这一阶段当然和附录以及ISO 27002的相关章节有密切的关联,具体关联如下:
1.信息安全策略的评审
2.信息安全的独立审查
3.第三方服务的监测和审查
4.监测本身就是一项控制目标
5.用户访问权限的审查
6.应用程序的正确处理,是监测程序的使用和数据处理的控制目标
7.从信息安全事故中学习
8.测试、维护和重新评估业务连续性计划
所有的这些控制都必须在ISMS第三阶段的开发和实施阶段得到解决。监控和评审报告活动的相关发现和输出要被转移至纠正和改进行动,并且,出于ISMS的目的,用以证明决策过程和实施这些决策的审计记录需要保存在ISMS的记录中。

后话
看到很多客户顺利地通过了ISMS审计,我们为客户通过大量的安全意识宣教活动,建立了企业信息安全文化,并不断改进和获得国际认证组织的认可,感到非常高兴。欢迎其他的潜在客户也积极联系我们,洽谈相关的ISO 27001人员培训。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

相似的文章 Similar Posts:


report

Recommend

  • 13
    • blog.securemymind.com 4 years ago
    • Cache

    小议电商行业信息安全管理体系建设

    小议电商行业信息安全管理体系建设 – 安全意识博客Skip to content

  • 9
    • blog.securemymind.com 4 years ago
    • Cache

    九章信安——信息安全管理体系实施课程

    本文已经加密和设置访问权限,如需访问,请联系我们获得更多详情。 相似的文章 Similar Posts: 系统未能发现相似文章 None Found

  • 11
    • blog.securemymind.com 4 years ago
    • Cache

    备战信息安全管理体系审核

    备战信息安全管理体系审核 – 安全意识博客Skip to content 信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价,使组织在信息安全管理方面...

  • 10
    • blog.securemymind.com 4 years ago
    • Cache

    发动信息安全管理体系项目

    发动信息安全管理体系项目 – 安全意识博客Skip to content 科技创新是当下的主旋律,建立信息安全管理体系,对于很多成长中的科技企业来讲,是一条必走的...

  • 4
    • blog.securemymind.com 4 years ago
    • Cache

    实施和运作信息安全管理体系

    实施和运作信息安全管理体系 – 安全意识博客Skip to content 依照ISO27001的指导思想,部署信息安全管理体系ISMS的第一阶段,包括完成适用性声明SoA。SoA必须识...

  • 9
    • blog.securemymind.com 3 years ago
    • Cache

    保持和改进信息安全管理体系

    保持和改进信息安全管理体系 – 安全意识博客Skip to content 在获得了信息安全管理体系的评审之后,组织机构可以暂时放松并庆祝一下。但是,不要以为从此就可以高...

  • 9
    • blog.securemymind.com 3 years ago
    • Cache

    闲谈信息安全管理体系建设与全员ISMS培训

    闲谈信息安全管理体系建设与全员ISMS培训 – 安全意识博客Skip to content 在信息资产日益彰显价值的科技时代,信息安全成为一项重要的管理课题。严重...

  • 5
    • blog.securemymind.com 3 years ago
    • Cache

    信息安全管理体系认证机构和认证流程

    信息安全管理体系认证机构和认证流程 – 安全意识博客Skip to content ISO 27001提供了由一个认证机构对一个组织的信息安全管理体系进行独立审计和认证...

  • 9
    • blog.securemymind.com 3 years ago
    • Cache

    信息、信息安全与管理体系

    信息、信息安全与管理体系 – 安全意识博客Skip to content 毋庸置疑,信息是信息时代的货币。在通常情况下,信息是一个组织拥有的最...

  • 4
    • blog.securemymind.com 3 years ago
    • Cache

    定义信息安全管理体系的范围

    定义信息安全管理体系的范围 – 安全意识博客Skip to content 信息安全管理计划工作的第一步就是设定工作范围。划定范围的要求在信息安全管理体系标准的条文中...

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK