ISO27001認(rèn)證業(yè)務(wù)常見(jiàn)問(wèn)題

ISO27001認(rèn)證業(yè)務(wù)常見(jiàn)問(wèn)題

Q：ISO什么是27001認(rèn)證？

A：ISO27001是國(guó)際標(biāo)準(zhǔn)，全名是IEC/ISO27001信息安全管理體系規(guī)范ISO27000標(biāo)準(zhǔn)系列中的一個(gè)標(biāo)準(zhǔn)包含許多其他標(biāo)準(zhǔn)；另一個(gè)常說(shuō)的標(biāo)準(zhǔn)ISO1779:2005-信息安全實(shí)施細(xì)則也是與信息安全管理相關(guān)的，這個(gè)標(biāo)準(zhǔn)當(dāng)前已經(jīng)改名為ISO27002:2008。ISO27001還是ISO27002，都是I S標(biāo)準(zhǔn)系列（I S Family of Standards）之一，I S標(biāo)準(zhǔn)系列如下圖所示：常說(shuō)ISO27001認(rèn)證是指符合企業(yè)聲稱的認(rèn)證范圍ISO27001標(biāo)準(zhǔn)文本中的所有要求都有選擇地滿足ISO27001標(biāo)準(zhǔn)附錄A內(nèi)容A內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)ISO27002:2008第5章至第15章，企業(yè)可根據(jù)自身實(shí)際情況選擇適用的控制措施，即本標(biāo)準(zhǔn)中的133個(gè)控制項(xiàng)目不需要通過(guò)認(rèn)證的用戶強(qiáng)制滿足，通常通過(guò)適用性聲明SOA》這種應(yīng)用通常是通過(guò)文件來(lái)表達(dá)的ISO27001證書(shū)包括所選適用性聲明SOA》文件的。

Q：與BS7799認(rèn)證有區(qū)別嗎？

A：ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別取決于ISO談到27001標(biāo)準(zhǔn)發(fā)展的歷史，ISO27001的發(fā)展過(guò)程如下圖所示：BS7799認(rèn)證是指符合英國(guó)國(guó)家標(biāo)準(zhǔn)的企業(yè)信息安全管理體系BS7799-2，由于BS7799在國(guó)際上得到了廣泛的認(rèn)可BS7799-2成為國(guó)際標(biāo)準(zhǔn)ISO在27001之前，全球企業(yè)將選擇信息安全管理體系認(rèn)證BS7799。

Q：到目前為止，國(guó)內(nèi)ISO27001認(rèn)證發(fā)展如何？

A：目前在中國(guó)通過(guò)ISO27001認(rèn)證的企業(yè)數(shù)量已達(dá)199家(截至200906)。雖然絕對(duì)數(shù)量不大，但增長(zhǎng)非常快。從下圖可以看出:這里頒發(fā)的199張證書(shū)中有數(shù)字DNV和BSI頒發(fā)的證書(shū)統(tǒng)計(jì)表(截至2009年6月):有中國(guó)信息安全認(rèn)證中心（簡(jiǎn)寫(xiě)為ISCCC，09年5月份CNAS認(rèn)可)（UKAS經(jīng)批準(zhǔn)，國(guó)內(nèi)試點(diǎn)證書(shū))、廣州賽寶(國(guó)內(nèi)試點(diǎn)證書(shū))、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所(國(guó)內(nèi)試點(diǎn)證書(shū))四家，截至2009年7月20日，只有中國(guó)信息安全認(rèn)證中心頒發(fā)了19份證書(shū)，其他國(guó)內(nèi)認(rèn)證機(jī)構(gòu)尚未頒發(fā)證書(shū)。

Q：獲得ISO27001認(rèn)證有什么好處？

增強(qiáng)意識(shí)，轉(zhuǎn)變觀念

ü ISO27001認(rèn)證是證明其信息安全水平和能力符合國(guó)際標(biāo)準(zhǔn)要求的有效手段，有助于組織節(jié)約信息安全成本；

ü 信息安全風(fēng)險(xiǎn)管理的目的是確保企業(yè)依賴經(jīng)營(yíng)IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運(yùn)行，保證企業(yè)業(yè)務(wù)的持續(xù)發(fā)展，而不是為企業(yè)業(yè)務(wù)的發(fā)展增添枷鎖，強(qiáng)調(diào)以業(yè)務(wù)為中心的安全**；

ü 信息安全工作應(yīng)該是IT以部門(mén)為主導(dǎo)，全活動(dòng)，強(qiáng)調(diào)人人負(fù)責(zé)；

ü 信息安全管理應(yīng)遵循風(fēng)險(xiǎn)管理的理念，強(qiáng)調(diào)預(yù)防、控制和總結(jié)的工作理念，而不是問(wèn)題驅(qū)動(dòng)的消防理念；

ü 信息安全問(wèn)題的解決不應(yīng)是頭痛醫(yī)頭、腳痛醫(yī)腳的局部問(wèn)題解決方案，而應(yīng)強(qiáng)調(diào)整體系統(tǒng)的分析和解決；

規(guī)范操作，有法可依

ü 按照PDCA企業(yè)信息安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)，信息安全管理從無(wú)序、分散、被動(dòng)問(wèn)題補(bǔ)救行為轉(zhuǎn)變?yōu)橄到y(tǒng)、科學(xué)、一致、主動(dòng)的風(fēng)險(xiǎn)控制狀態(tài)；

ü 完善各種安全管理制度，規(guī)范與信息系統(tǒng)、信息保密等相關(guān)的各種操作行為和方法；

良好的形象，合規(guī)要求

ü 獲得國(guó)際認(rèn)證的企業(yè)可以提高客戶、業(yè)務(wù)伙重要性和敏感信息保護(hù)能力的信心，提高組織的公眾形象和競(jìng)爭(zhēng)力；

ü 滿足監(jiān)管機(jī)構(gòu)的合規(guī)要求和合作伙伴的信息安全審計(jì)要求；

Q：如何首次開(kāi)展企業(yè)？ISO27001認(rèn)證（I S建設(shè)項(xiàng)目？企業(yè)開(kāi)展ISO27001認(rèn)證時(shí)，一般是由IT部門(mén)牽頭，業(yè)務(wù)部門(mén)配合參與。但對(duì)，IT該部門(mén)的實(shí)力非常有限，通常由質(zhì)量管理部門(mén)領(lǐng)導(dǎo)，通常實(shí)施了管理體系認(rèn)證（ISO9001或者CMMI）或者項(xiàng)目經(jīng)驗(yàn)，信息安全管理體系與質(zhì)量管理體系有很大的相似性。

的參與有助于引導(dǎo)領(lǐng)導(dǎo)部門(mén)甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識(shí)信息安全、信息安全管理和ISO27001認(rèn)證就本項(xiàng)目對(duì)信息安全的理解與目標(biāo)達(dá)成一致。這是非常關(guān)鍵的，因?yàn)樗c項(xiàng)目實(shí)施過(guò)程的順利性和項(xiàng)目目標(biāo)的實(shí)現(xiàn)有關(guān)。

項(xiàng)目范圍的確定項(xiàng)目范圍的確定，這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒(méi)有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。I S這里不多說(shuō)系統(tǒng)建設(shè)的實(shí)施，也有專(zhuān)門(mén)的問(wèn)題。

I S系統(tǒng)認(rèn)證工作一般分為兩個(gè)階段，第一階段是文件審核，審核員只關(guān)注管理系統(tǒng)文件，檢查系統(tǒng)文件是否齊全，I S施工方法是否合理，文件查看的重點(diǎn)一般是風(fēng)險(xiǎn)評(píng)估方法、業(yè)務(wù)連續(xù)性和管理系統(tǒng)測(cè)量。第二階段是現(xiàn)場(chǎng)審計(jì)，審計(jì)員將根據(jù)ISO27001年標(biāo)準(zhǔn)的要求和企業(yè)自身信息安全戰(zhàn)略的要求，在認(rèn)證范圍內(nèi)，現(xiàn)場(chǎng)驗(yàn)證制度的實(shí)施和運(yùn)行記錄的檢查是一種重要的審計(jì)手段?，F(xiàn)場(chǎng)審計(jì)將以最后一次會(huì)議的形式結(jié)束整個(gè)審計(jì)工作。如果審計(jì)人員沒(méi)有發(fā)現(xiàn)重大不一致的項(xiàng)目，審計(jì)人員將在最后一次會(huì)議上宣布企業(yè)通過(guò)現(xiàn)場(chǎng)審計(jì)。

Q：企業(yè)ISO27001認(rèn)證的范圍如何來(lái)確定？

A：認(rèn)證范圍的選擇將影響滿足認(rèn)證要求的難度和成本。另一方面，難度和成本是選擇認(rèn)證范圍的重要參考。難度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定，成本與企業(yè)預(yù)算有關(guān)。在考慮難度和成本的基礎(chǔ)上，企業(yè)一般支持核心業(yè)務(wù)部門(mén)和核心業(yè)務(wù)IT認(rèn)證范圍內(nèi)包括部門(mén)和人力資源部門(mén)。認(rèn)證范圍的描述一般采用業(yè)務(wù)活動(dòng)范圍、區(qū)域場(chǎng)所、信息資產(chǎn)和技術(shù)來(lái)表達(dá)。到目前為止，比如著名的認(rèn)證機(jī)構(gòu)，比如BSI，DNV國(guó)內(nèi)頒發(fā)的證書(shū)一般只使用業(yè)務(wù)活動(dòng)和區(qū)域場(chǎng)所來(lái)描述認(rèn)證管理體系的范圍。

Q：企業(yè)建立符合要求ISO27001標(biāo)準(zhǔn)的I S這個(gè)過(guò)程么？

A：ISO實(shí)施27001認(rèn)證的做法也不同，但基本上會(huì)遵循標(biāo)準(zhǔn)內(nèi)容，從I S規(guī)劃(信息安全管理系統(tǒng))I S實(shí)施和運(yùn)維，I S監(jiān)測(cè)與回顧，I S改進(jìn)和改進(jìn)四個(gè)階段。詳細(xì)說(shuō)明如下圖所示。

××公司的ISO27001認(rèn)證咨詢的實(shí)施方法是基于ISO基于對(duì)27001標(biāo)準(zhǔn)的深刻理解和過(guò)去實(shí)踐積累的總結(jié)。ISO27001信息安全管理體系的核心是基于PDCA流程方法。利益合作伙伴、客戶、股東是企業(yè)信息安全管理體系的起點(diǎn)，在企業(yè)內(nèi)部業(yè)務(wù)活動(dòng)中，需要各種資源，包括人力資源投資，也必須遵守各種安全體系，良好的信息安全管理體系較終給利益合作伙伴、客戶和股東帶來(lái)價(jià)值。PDCA這是一個(gè)循環(huán)活動(dòng)，發(fā)現(xiàn)問(wèn)題，制定問(wèn)題處理計(jì)劃，實(shí)施計(jì)劃，檢查和審查實(shí)施情況，監(jiān)控和評(píng)估實(shí)施效果，及時(shí)改進(jìn)不足。PDCA在思路的指導(dǎo)下，大循環(huán)套小循環(huán)，不斷提高企業(yè)信息安全管理水平，始終使企業(yè)信息安全風(fēng)險(xiǎn)處于可控狀態(tài)?！痢猎趯?shí)踐中，公司總結(jié)了一套輔導(dǎo)企業(yè)ISO27001認(rèn)證方法。整個(gè)實(shí)施方法分為差距分析、資產(chǎn)風(fēng)險(xiǎn)評(píng)估、系統(tǒng)規(guī)劃與實(shí)施、系統(tǒng)發(fā)布與試運(yùn)行、協(xié)助外部審計(jì)五個(gè)階段。每個(gè)階段都有關(guān)鍵輸出。詳情請(qǐng)參閱圖片-實(shí)施方法概述。

五個(gè)階段活動(dòng)都包含相應(yīng)的子活動(dòng)以及階段主要成果，詳細(xì)見(jiàn)下表：Q：企業(yè)在項(xiàng)目實(shí)施過(guò)程中需要投入多少資源？

A：企業(yè)在實(shí)施I S在施工過(guò)程中，項(xiàng)目實(shí)施者管理層除了向咨詢師支付費(fèi)用外，還特別關(guān)心I S企業(yè)人員在施工過(guò)程中還需要投入多少人。一般來(lái)說(shuō)，企業(yè)每天的投資在不同的階段是不同的，參與者也會(huì)不同。從管理層到普通員工都將參與實(shí)施項(xiàng)目。以下是一家200I S以建設(shè)為例，從I S在不同項(xiàng)目階段，不同角色參與項(xiàng)目的單位時(shí)間解釋了項(xiàng)目實(shí)施的五個(gè)階段。其中：h表示小時(shí),d表示天

Q：？

的選擇大致可大致。如果企業(yè)涉及出口、離岸外包等國(guó)際業(yè)務(wù)，建議選擇國(guó)際；如果企業(yè)業(yè)務(wù)僅限于國(guó)內(nèi)客戶，企業(yè)國(guó)內(nèi)監(jiān)管機(jī)構(gòu)的信息安全監(jiān)管要求，建議選擇國(guó)內(nèi)。國(guó)內(nèi)正在進(jìn)行中ISO27001認(rèn)證業(yè)務(wù)起步比國(guó)際晚幾年，客戶認(rèn)可度略差于國(guó)際。

國(guó)內(nèi)企業(yè)一般選擇國(guó)際的時(shí)間BSI和DNV目前，國(guó)內(nèi)只有中國(guó)信息安全認(rèn)證中心正式得到國(guó)家認(rèn)證**（以下簡(jiǎn)稱認(rèn)證**）的正式認(rèn)可，其他三家（賽寶認(rèn)證中心、中國(guó)認(rèn)證中心、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所）（截至2009年6月）仍頒發(fā)試點(diǎn)證書(shū)。

Q：企業(yè)獲得ISO27001認(rèn)證后，應(yīng)對(duì)審核還需要做哪些工作？

A：ISO27001證書(shū)一般有效期為3年。3年后，必須經(jīng)過(guò)綜合審查，應(yīng)重新頒發(fā)證書(shū)。認(rèn)證注冊(cè)資格后，乙方將在三年有效期內(nèi)接受3 定期監(jiān)督審查和必要的不定期審查。其中，自認(rèn)證之日起6個(gè)月內(nèi)安排第一次監(jiān)督審查，監(jiān)督審查間隔不得超過(guò)12個(gè)月，異常情況下增加監(jiān)督審查頻率。因此，企業(yè)仍必須遵守標(biāo)準(zhǔn)PDCA不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險(xiǎn)。

Q：如何保證一個(gè)I S這些成功因素主要包括哪些？

a) 項(xiàng)目范圍內(nèi)有關(guān)部門(mén)和各級(jí)領(lǐng)導(dǎo)對(duì)項(xiàng)目目標(biāo)有一致的了解。

b) 信息安全戰(zhàn)略必須反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全戰(zhàn)略是規(guī)范員工行為，更好地為企業(yè)服務(wù)，為企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)提供信息安全**。安全戰(zhàn)略不能違反業(yè)務(wù)目標(biāo)，更不用說(shuō)成為業(yè)務(wù)發(fā)展的絆腳石了。

c) 實(shí)施過(guò)程和方法應(yīng)與企業(yè)文化保持一致。在項(xiàng)目實(shí)施過(guò)程中，顧問(wèn)需要不斷與企業(yè)人員溝通，這應(yīng)與企業(yè)當(dāng)前的企業(yè)文化相一致。

d) 來(lái)自管理層的支持和承諾。管理層需要參加項(xiàng)目里程碑等關(guān)鍵節(jié)點(diǎn)的會(huì)議，公開(kāi)表達(dá)態(tài)度，確保必要的人力和財(cái)政支持。

e) 為員工提供適當(dāng)?shù)呐嘤?xùn)和教育

f) 易于理解和一致的測(cè)量系統(tǒng)，以評(píng)估信息安全的效率。管理到普通員工的所有成員來(lái)衡量安全控制的效果。就像人體的質(zhì)量可以通過(guò)血壓、脈搏等指標(biāo)來(lái)知道一樣。

g) 使用自動(dòng)安全策略管理工具。當(dāng)前的安全策略需要一個(gè)工具自動(dòng)管理，員工可以通過(guò)這個(gè)工具快速找到他需要的安全系統(tǒng)。

Q：I S確定范圍后，如何解決范圍外的一些信息安全問(wèn)題？

A：當(dāng)企業(yè)面臨信息安全問(wèn)題時(shí)，雖然它不是一勞永逸地解決一切問(wèn)題的想法，但大多數(shù)企業(yè)希望盡可能多地解決問(wèn)題，這是可以理解的。

I S在施工過(guò)程中，將確定明確的實(shí)施范圍，如IT研發(fā)部或財(cái)務(wù)部正在實(shí)施I S在此過(guò)程中，范圍外的部門(mén)或組織一般不深入?yún)⑴c，重點(diǎn)在已確定的范圍內(nèi)，在咨詢顧問(wèn)的幫助下，建立合理的信息安全組織框架，培安全組織框架，培養(yǎng)能夠勝任安全管理體系運(yùn)行的相關(guān)人員，如掌握風(fēng)險(xiǎn)評(píng)估方法的人員、內(nèi)部審計(jì)師等，提高人員的安全技能和安全意識(shí)，提高信息安全運(yùn)行水平，降低相關(guān)安全風(fēng)險(xiǎn)。然后作為示范，逐步擴(kuò)大I S并按PDCA該模型不斷提高了企業(yè)的信息安全水平，范圍內(nèi)得到了推廣和實(shí)施。事實(shí)上，這也是企業(yè)在信息安全體系建設(shè)過(guò)程中，在一定的投資條件下，一步一步，堅(jiān)持關(guān)鍵部門(mén)和高安全風(fēng)險(xiǎn)優(yōu)先控制的原則，避免一步一步。

Q：哪些問(wèn)題是信息安全風(fēng)險(xiǎn)，哪些問(wèn)題不是信息安全風(fēng)險(xiǎn)？

A：信息安全風(fēng)險(xiǎn)是指利用信息系統(tǒng)漏洞（技術(shù)漏洞）、管理（或漏洞（技術(shù)漏洞）、管理（或自然（環(huán)境）因素或人為因素的潛在事件。包括信息系統(tǒng)的開(kāi)發(fā)、部署、運(yùn)行（使用）、監(jiān)控、維護(hù)和退出IT操作流程缺陷、系統(tǒng)業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員故意/故意錯(cuò)誤、外部事務(wù)件等因素直接影響信息系統(tǒng)的安全、可靠、平穩(wěn)運(yùn)行，并可能導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險(xiǎn)，并間接導(dǎo)致信用、市場(chǎng)、法律、聲譽(yù)等企業(yè)。

信息系統(tǒng)開(kāi)發(fā)時(shí)的業(yè)務(wù)需求分析風(fēng)險(xiǎn)、信息系統(tǒng)項(xiàng)目管理風(fēng)險(xiǎn)等等則不屬于信息安全風(fēng)險(xiǎn)。Q：信息安全風(fēng)險(xiǎn)管理的定義及其范圍？

A：信息安全風(fēng)險(xiǎn)管理是指通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)估、預(yù)警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行，規(guī)避因?yàn)樾畔⒓夹g(shù)應(yīng)用而引起的各種風(fēng)險(xiǎn)。一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)通報(bào)、風(fēng)險(xiǎn)監(jiān)控、風(fēng)險(xiǎn)回顧。

應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險(xiǎn)。此類(lèi)風(fēng)險(xiǎn)與信息技術(shù)應(yīng)用的關(guān)系密切，并且極有可能因?yàn)樽詣?dòng)化、網(wǎng)絡(luò)化的實(shí)現(xiàn)方式而被放大，因此必須將其納入全面信息安全風(fēng)險(xiǎn)管理的范圍：

n 應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險(xiǎn)本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險(xiǎn)，此類(lèi)操作風(fēng)險(xiǎn)的識(shí)別、評(píng)估以及提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線；

n 但是通過(guò)系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險(xiǎn)情況發(fā)生了較大的變化，因此此類(lèi)風(fēng)險(xiǎn)的管理課題橫跨IT技術(shù)與業(yè)務(wù)運(yùn)營(yíng)兩個(gè)領(lǐng)域；

n 所以從實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理的角度出發(fā)，應(yīng)將協(xié)助管理此類(lèi)風(fēng)險(xiǎn)的職責(zé)納入信息安全風(fēng)險(xiǎn)管理的范圍，由IT部門(mén)采取適當(dāng)?shù)姆绞椒e極參與其管理工作；Q：怎樣算是實(shí)現(xiàn)了有效的信息安全風(fēng)險(xiǎn)管理？

A：明確職責(zé)與分工，建立良好的互動(dòng)機(jī)制，由信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行協(xié)調(diào)、檢查、督促并提供專(zhuān)業(yè)支持，實(shí)現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險(xiǎn)管理環(huán)境，全面掌控直接、間接的隱藏風(fēng)險(xiǎn)，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行的隱患控制在可接受的范圍內(nèi)。

Q：企業(yè)里誰(shuí)應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？n 信息安全風(fēng)險(xiǎn)專(zhuān)業(yè)性強(qiáng)、涉及領(lǐng)域廣，適宜在IT條線內(nèi)部進(jìn)行管理，IT部門(mén)承擔(dān)信息安全風(fēng)險(xiǎn)的管理職責(zé)，具體落實(shí)在部門(mén)內(nèi)的信息安全風(fēng)險(xiǎn)條線；

n 業(yè)務(wù)部門(mén)承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險(xiǎn)；

n 企業(yè)風(fēng)險(xiǎn)管理部門(mén)對(duì)信息安全風(fēng)險(xiǎn)管理提供指導(dǎo)；

n 信息安全風(fēng)險(xiǎn)管理職能應(yīng)向企業(yè)風(fēng)險(xiǎn)管理部門(mén)提供信息安全風(fēng)險(xiǎn)管理報(bào)告，以匯總到企業(yè)整體風(fēng)險(xiǎn)管理報(bào)告中；

其中：

R = Responsible誰(shuí)負(fù)責(zé),負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項(xiàng)目、解決問(wèn)題。 A = Accountable誰(shuí)批準(zhǔn)，對(duì)任務(wù)負(fù)全責(zé)的角色，只有經(jīng)其同意或簽署之后，項(xiàng)目才能得以進(jìn)行。 C = Consulted咨詢誰(shuí)，在任務(wù)實(shí)施前或中提供*性意見(jiàn)的人員。 I = Informed告知誰(shuí)，及時(shí)被通知結(jié)果的人員，不必向其咨詢、征求意見(jiàn)。

Q：IT部門(mén)內(nèi)誰(shuí)應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？

A：IT條線內(nèi)部的信息安全風(fēng)險(xiǎn)遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則，定位如下：

n IT條線管理層整體負(fù)責(zé)，并向董事會(huì)進(jìn)行年度信息安全風(fēng)險(xiǎn)報(bào)告；

n 建設(shè)開(kāi)發(fā)、運(yùn)行維護(hù)等IT職能為IT風(fēng)險(xiǎn)的第一責(zé)任人，承擔(dān)識(shí)別風(fēng)險(xiǎn)、實(shí)施信息安全風(fēng)險(xiǎn)等職責(zé)；

n 信息安全風(fēng)險(xiǎn)管理職能承擔(dān)著制定風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)、開(kāi)發(fā)評(píng)估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測(cè)風(fēng)險(xiǎn)情況、應(yīng)急響應(yīng)、編制風(fēng)險(xiǎn)管理報(bào)告等職責(zé)。Q：需要組建怎樣的隊(duì)伍來(lái)管理信息安全風(fēng)險(xiǎn)，隊(duì)伍中各角色的職責(zé)是什么？

A：在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上（沒(méi)有的話，則從頭建立），建立垂直專(zhuān)業(yè)管理的信息安全風(fēng)險(xiǎn)管理?xiàng)l線；建立常設(shè)的風(fēng)險(xiǎn)評(píng)估、監(jiān)控掃描等專(zhuān)業(yè)團(tuán)隊(duì)，并以虛擬團(tuán)隊(duì)的方式覆蓋整個(gè)企業(yè)；設(shè)立安全信息監(jiān)控中心（運(yùn)維中心）等實(shí)體化的信息安全支撐中心。組織結(jié)構(gòu)如下圖所示：信息安全風(fēng)險(xiǎn)主管

? 協(xié)助管理層確定信息安全風(fēng)險(xiǎn)管理目標(biāo)、風(fēng)險(xiǎn)偏好

? 確定信息安全風(fēng)險(xiǎn)管理策略；

? 協(xié)調(diào)相關(guān)信息安全風(fēng)險(xiǎn)相關(guān)主要資源；

? 向管理層匯報(bào)整體風(fēng)險(xiǎn)管理狀況；

? 協(xié)調(diào)信息安全風(fēng)險(xiǎn)管理相關(guān)方工作；

? 組織制定信息安全風(fēng)險(xiǎn)管理政策。

總部信息安全安全風(fēng)險(xiǎn)管理：

? 組信息安全風(fēng)險(xiǎn)管理工作

? 組織制定信息安全風(fēng)險(xiǎn)管理規(guī)劃

? 組則整體信息安全風(fēng)險(xiǎn)管理組織建設(shè)

? 負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)、專(zhuān)業(yè)團(tuán)隊(duì)與內(nèi)外部的協(xié)調(diào)工作；

? 組織信息安全風(fēng)險(xiǎn)管理意識(shí)的宣傳培訓(xùn)及信息安全風(fēng)險(xiǎn)管理專(zhuān)業(yè)培訓(xùn)；

? 對(duì)專(zhuān)業(yè)團(tuán)隊(duì)及分行風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行業(yè)務(wù)指導(dǎo)。

? 風(fēng)險(xiǎn)管理信息，撰寫(xiě)風(fēng)險(xiǎn)管理報(bào)告；

? 執(zhí)行合規(guī)性檢查；

? 對(duì)所有信息安全項(xiàng)目的信息安全需求進(jìn)行評(píng)審，確保安全需求，控制項(xiàng)目風(fēng)險(xiǎn)。

? 綜合管理（后勤/人力）。

總部信息安全風(fēng)險(xiǎn)咨詢團(tuán)隊(duì)：

? 分析風(fēng)險(xiǎn)管理現(xiàn)狀與風(fēng)險(xiǎn)管理技術(shù)趨勢(shì)；

? 起草風(fēng)險(xiǎn)管理政策；

? 制定相關(guān)技術(shù)標(biāo)準(zhǔn)、操作規(guī)程。

信息安全風(fēng)險(xiǎn)項(xiàng)目管理與專(zhuān)業(yè)建設(shè)：

? 負(fù)責(zé)信息安全相關(guān)項(xiàng)目的項(xiàng)目管理，協(xié)調(diào)負(fù)責(zé)安全開(kāi)發(fā)與部署的開(kāi)發(fā)中心/數(shù)據(jù)中心；

? 負(fù)責(zé)加密技術(shù)等小部分核心信息安全技術(shù)的專(zhuān)業(yè)建設(shè)與開(kāi)發(fā)。

信息安全風(fēng)險(xiǎn)管理專(zhuān)業(yè)團(tuán)隊(duì)

? 研究信息安全風(fēng)險(xiǎn)管理發(fā)展趨勢(shì)，協(xié)助管理層制定信息安全風(fēng)險(xiǎn)管理政策，判斷風(fēng)險(xiǎn)管理現(xiàn)狀；

? 提供信息安全風(fēng)險(xiǎn)管理專(zhuān)業(yè)服務(wù)支持，為分行及數(shù)據(jù)、開(kāi)發(fā)中心提供信息安全風(fēng)險(xiǎn)管理技術(shù)支撐與指導(dǎo)。

? 負(fù)責(zé)應(yīng)急響應(yīng)的管理與執(zhí)行。

Q：采用怎么樣的方式來(lái)管理信息安全風(fēng)險(xiǎn)，需要開(kāi)展哪些工作？

A：在業(yè)務(wù)需求及流程操作風(fēng)險(xiǎn)評(píng)估、項(xiàng)目風(fēng)險(xiǎn)自評(píng)估、技術(shù)風(fēng)險(xiǎn)（信息安全風(fēng)險(xiǎn)）評(píng)估的基礎(chǔ)上完善系統(tǒng)建設(shè)開(kāi)發(fā)方案審批及風(fēng)險(xiǎn)管理機(jī)制，并建立正式的IT內(nèi)控與安全檢查評(píng)估、漏洞掃描與滲透性等流程，將這些工作制度化、日?；⑴c需求確定、驗(yàn)收、上線審批、績(jī)效管理等相關(guān)工作進(jìn)行結(jié)合。

Q：需要哪些信息安全風(fēng)險(xiǎn)管理制度，怎樣加強(qiáng)這些制度的執(zhí)行？

A：包括IT 風(fēng)險(xiǎn)管理制度體系與信息安全制度體系，并明確相關(guān)政策管理流程以加強(qiáng)規(guī)范化管理、提高執(zhí)行力度；同時(shí)應(yīng)將信息安全風(fēng)險(xiǎn)控制措施融入各IT工作的相應(yīng)制度中以提高其執(zhí)行力度，并更新IT內(nèi)控手冊(cè)對(duì)這些控制措施進(jìn)行匯總與映射。

Q：需要哪些技術(shù)能力支撐信息安全風(fēng)險(xiǎn)管理？

A：在信息安全管理方面需要建立預(yù)防、檢測(cè)、響應(yīng)、恢復(fù)的技術(shù)能力；在IT流程風(fēng)險(xiǎn)管理方面需要建立流程控制固化、績(jī)效與關(guān)鍵風(fēng)險(xiǎn)指標(biāo)監(jiān)控等技術(shù)能力；同時(shí)還需要針對(duì)全面的信息安全風(fēng)險(xiǎn)實(shí)現(xiàn)政策管理、控制點(diǎn)管理、風(fēng)險(xiǎn)敞口跟蹤等綜合管理能力。

Q：有哪些技術(shù)方案能夠提供信息安全風(fēng)險(xiǎn)管理需要的技術(shù)能力？

A：技術(shù)方案主要集中在較為成熟的信息安全技術(shù)領(lǐng)域。信息安全技術(shù)架構(gòu)在信息安全基礎(chǔ)設(shè)施上定義了信息安全服務(wù)、網(wǎng)絡(luò)安全、應(yīng)用安全、安全管理與安全工具體系，其中主要的技術(shù)方案包括安全信息與事件管理服務(wù)、身份與訪問(wèn)管理服務(wù)、威脅與脆弱性管理服務(wù)、數(shù)據(jù)安全服務(wù)、網(wǎng)絡(luò)準(zhǔn)入控制等。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202407/ccaa_64091.html