广东ISO27001认证咨询 信息安全管理体系认证 代理可信申请流程

1. 风险识别
通过进行风险识别活动，识别了以下内容：
1) 识别了信息安全管理体系范围内的资产及其责任人；
2) 识别了资产所面临的威胁；
3) 识别了可能被威胁利用的脆弱点；
4) 识别了丧失保密性、完整性和可用性可能对资产造成的影响。
2. 风险估计与评价
1) 通过对资产的保密性（C）、完整性（I）、可用性（A）及业务影响度（BI）赋值对公司资产丧失CIA（BI）所造成的后果进行了判断。
 资产赋值常常是很困难的，因为需要对某些资产进行客观的赋值，但不同的人员可能做出不同的判断。应该用明确的术语，通过书面形式描述作为每一资产赋值基础的准则。用于判断资产价值的可能准则包括：
a) 资产的原始价值；
b) 替代或重建的成本；
c) 资产的抽象价值，如组织声誉的价值；
d) 由事件导致资产丧失保密性、完整性和可用性所带来的成本。如果适用、还应该考虑不可否认性、可审计性、真实性和可靠性；
e) 资产的其他资产依赖性价值。

1目的
2 范围
3术语和定义
3.1 人员安全
3.2 第三方人员
3.3 安全教育和培训
4机构和职责
4.1信息安全工作小组
4.2信息安全体系负责人
4.3信息所有者及信息使用者
4.4人力资源部
5人员安全管理
5.1任用前
5.1.1.人员选拔
5.1.2.背景调查
5.1.3.内部选拔
5.1.4.入职
5.2任用中
5.2.1.信息安全教育与培训
5.3任用变更
5.4任用终止
6第三方人员管理
7信息安全违规的处理
8相关记录

依据风险评估结果，对风险采取了以下管控措施：风险接受、风险降低、风险转移和风险。
1) 风险接受：接受特定风险带来的损失或收益。
2) 风险降低：采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果。
制定风险处置计划并执行相应的整改措施。内容包括：
 管理措施（流程、方针、规定）；
 技术设置（参数、功能设置）；
 技术产品（安全设备、软件）；
 计划完成日期；
 完成日期；
 责任部门；
 措施落实状况；
 整改后风险评估等。
3) 风险转移：与其它组织分担风险的损失或收益。
4) 风险：决定不陷入风险，或从风险处境中撤离的行为。


http://iso9001fsc1.b2b168.com