少妇的滋味在线_色综合一区二区_水蜜桃4美国伦理_中国一级黄_91九色网站,国产又黄又猛又粗又爽的小说网站,妇与子乱肉肉视频,日本大尺度激情做爰hd昼颜

歡迎來到廣匯聯(lián)合(北京)認證服務有限公司【官方網站】:
體系認證
客戶專訪
更多
員工專訪
更多
聯(lián)系我們

廣匯聯(lián)合---遵守法規(guī),快速

?反應,增值認證,客戶滿意!

? 熱線:
13681064228
13681064228
來電咨詢

從方法論的角度談ISO27001審核

發(fā)布時間:2020-08-05 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合

1.發(fā)現(xiàn)問題
任何組織的信息安全方針、目標和范圍的建立都是以組織的業(yè)務目標和業(yè)務風險為基礎的,業(yè)務是組織賴以生存的核心活動,因此任何管理體系的建設都是以業(yè)務為導向的。
2.分解問題
將復雜的問題分解為小問題是解決問題的有效方式,采用風險評估是一個很有效的方法。大多數(shù)風險評估方法大同小異,標準也對風險評估的步驟和關鍵點給出了要求,關鍵是以下幾個方面:資產的統(tǒng)計是否充分,分類是否合理;威脅和脆弱點的識別是否遵照慣例,補充的威脅和脆弱點是否體現(xiàn)了組織的業(yè)務特點;風險評估的結果是否符合常識和業(yè)務風險特點。
3.解決問題
通過風險評估,問題分解為多個簡單的問題。這些問題是否需要解決,如何解決取決于組織的業(yè)務特點和法律法規(guī)的要求。本階段審核的重點包含以下幾個方面。
(1)風險接受是否合理;
(2)適用性聲明中對附錄A的刪減是否合理;
(3)選擇的控制目標是否有適宜、充分和有效的控制措施;
(4)人力和物力保障是否到位。
在標準的正文中至少有五個地方提到了ISMS的建設是基于業(yè)務風險,因此,在ISMS的審核過程中,要充分了解和理解組織的業(yè)務,包括對控制措施的審核也要充分考慮組織的業(yè)務特點。
控制措施分為兩類:預防類控制措施和糾正類控制措施。控制措施的充分性、適宜性和有效性是保障組織內部信息安全的基礎,是審核的關注點。還有一些是糾正類的控制措施,例如:信息安全事件管理和業(yè)務連續(xù)性管理。其中信息安全事件管理是組織內信息安全的重點,對于使用中的信息沒有絕對的安全,對安全事件的有效處理,可以將事件的影響降到最低。業(yè)務連續(xù)性管理則是所有控制措施中涵蓋面最廣的一類控制措施,無論是預防類措施還是糾正類措施,其實都是為了保證組織的核心活動:業(yè)務。其他10個安全域的控制措施是業(yè)務連續(xù)性管理的基礎,有關業(yè)務連續(xù)性管理的控制措施一般是不能刪減的。
ISO27001的業(yè)務連續(xù)性管理為組織的業(yè)務連續(xù)性提供了一個很好的管理模型。它不同于簡單的應急預案,除了常規(guī)的審核點之外,還應關注以下幾個方面:業(yè)務連續(xù)性管理是否體現(xiàn)了組織的業(yè)務特點;與風險管理和業(yè)務影響分析的關聯(lián)。業(yè)務連續(xù)性計劃是否能夠保證業(yè)務的持續(xù)提供;恢復過程中的業(yè)務保持持續(xù)的方法。
4.檢查問題
監(jiān)視、測量和評審是進行ISMS檢查的主要方法。ISMS檢查是體系運行的重要組成部分,就像每年參加體檢是保持身體健康的方法一樣,ISMS檢查是保持ISMS健康發(fā)展的有效方法。
對這一方面的審核主要集中在以下幾個方面:文件評審;內審和管理評審;控制措施有效性測量方法和策略記錄;日常監(jiān)視,包括監(jiān)控、日志、網絡及桌面監(jiān)控等。
5.改進問題
在ISMS檢查過程中和信息安全事件管理過程中,總是會發(fā)現(xiàn)各類問題,包括流程需要改進;信息的安全技術的應用;新的威脅和脆弱性的出現(xiàn);發(fā)生違規(guī)事件,控制措施未滿足目標等多個方面。針對這些問題,組織需要實施預防和糾正控制措施來保證體系的改進和完善。對這一方面的審核主要關注以下幾個方面:ISMS檢查過程中發(fā)現(xiàn)的問題是否都已經解決;未解決的問題是否制定了處理計劃或被組織接受,接受是否合理;針對潛在的問題是否有相應的預防措施。
ISMS是一個文件化的管理體系,因此,審核一個重點就是查看證據(jù),即上述所有的審核都是基于文件和記錄等相關的證據(jù)進行的。另外,ISMS是組織管理體系中的一部分,體系的范圍和與其他管理的接口也是在審核之初就應該關注的內容。

如您想更詳細的了解ISO27001標準,需要ISO27001標準,請您網絡搜索廣匯聯(lián)合,快人一步,成就管理者風范。

?