ISMS体系人员安全控制.doc

ISMS体系人员安全控制1.1 岗位定义和资源分配的安全目标：降低人为错误、盗窃、诈骗或误用设备的风险。应该在新员工聘用阶段就提出安全责任问题，包括在聘用合同中，并且在员工的雇佣期间进行监督。应该对可能的新员工进行充分的筛选，尤其是从事敏感工作的员工。所有雇员以及信息处理设施的第三方用户都应该签署保密（不泄密）协议。1. 岗位责任中的安全安全任务和责任，如同在组织的信息安全方针中规定的（见3.1），应该在适当的情况下形成文件。这些任务和责任既应该包括实现或保持安全方针的任何一般责任，又应该包括保护特定资产或执行特定的安全过程或活动的任何具体责任。2. 人员选拔及方针对终身员工的核实检查应该在招聘时进行。这应该包括以下控制措施：a） 具有令人满意的能力、人品推荐材料，如针对工作或针对个人的；b） 应聘者相关阅历的检查（针对完整性和准确性）；c） 声称的学术或专业资格的确认；d） 独立的身份检查（护照或类似证件）。无论是初次任命还是提升，当一项工作涉及的人员具有访问信息处理设备的机会，特别是如果这些设备处理敏感信息，如财务信息或高度机密的信息时，组织应该同样进行信用检查。对于处在有相当权力位置的人员，这种检查应该定期重复。对于合同方和临时员工应该执行相似的筛选程序。若这些人员是由代理机构推荐的，则在与代理机构签订的合同中应该明确规定该代理机构的筛选责任，以及如果没有完成筛选工作或者如果有理由对筛选结果怀疑或担心，它们必须遵循的通知程序。管理层应该对有权访问敏感系统的新员工和缺乏经验的员工的监督工作进行评价。每一名员工的工作都应该定期经过一名更高层职员的评审和批准程序。各经理应该意识到员工的个人环境可以影响他们的工作。个人或财政问题、行为或生活方式的改变、重复的缺勤以及压力或抑郁可能导致欺诈、偷窃、错误或其他安全隐患。应该依据相应权限范围内适当的规定来处理这类信息。3. 保密协议保密或不泄密协议用于告知信息是保密的或秘密的。雇员通常应该签署此类协议作为他们受雇的先决条件。应该要求现存合同（含保密协议）尚未包括的临时员工和第三方用户在被给予信息处理设备访问权之前签署一个保密协议。在雇用条款或合同发生变化时，特别是员工要离开组织或合同将到期时，应该对保密协议进行评审。4. 雇佣条款和条件雇佣条款和条件应该阐明雇员对信息安全的责任。适当时，在雇佣结束后，这些责任应该继续一定的时间。应该包括如果雇员无视安全要求时所采取的行动。雇员的法律责任和权利，如涉及到的版权法或数据保护法，应该阐明并包括在雇佣条款和条件中。还应该包括分类和管理雇主数据的责任。只要适当，雇佣条款和条件应该说明这些责任是延伸到组织范围以外和正常工作时间以外，例如在家工作时。1.2 用户培训目标：确保用户意识到信息安全的威胁和利害关系，并具有在日常工作过程中支持组织安全方针的能力。应对用户进行安全程序和正确使用信息处理设备的培训，以尽量降低可能的安全风险。1. 信息安全教育和培训组织中所用员工以及相关的第三方用户，应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施，还包括在被授权访问信息或服务之前正确使用信息处理设备，如登录程序、软件包的使用的培训。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”1.3 安全事故和故障的响应目标：尽量减小安全事故和故障造成的损失，监督此类事件并吸取教训。影响安全的事故应该尽快通过适当的管理渠道报告。应使所有雇员和签约人知道可能影响组织资产安全的不同种类事故（安全事故、威胁、弱点或故障）的各种报告程序。应该要求他们以最快的速度把任何看到的或怀疑的事故报告给指定的联络人。组织应该建立正式的惩罚程序以处理破坏安全的员工。为妥当的处理事故，有必要在事故发生后尽快收集证据。1. 报告安全事故安全事故应该尽快通过适当的管理渠道报告。应该建立正式的报告程序，同时建立事故响应程序，阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序，并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后，执行适当的反馈程序，以确保那些报告的事故被通告了结果。这些事故可以用于用户安全意识培训，作为会发生什么事故、对此类事故如何响应、以及将来如何避免的例子。2. 报告安全弱点应该要求信息服务的用户记录并报告任何看到的或怀疑的系统或服务的安全弱点或对它们的威胁。他们应该尽快把这些问题向他们的管理层或直接向服务提供者报告。应该告知用户，在任何情况下，他们都不应该试图验证一个怀疑的弱点。这是为了保护他们自己，因为测试弱点可能被认为是滥用系统。3. 报告软件故障应该建立报告软件故障的程序，应该考虑以下行为。a） 应该记录下问题的征兆和任何显示在屏幕上的信息。b） 如果可能，计算机应被隔离，并停止对其的使用。应该立即警告适当的联络人。如果要检查设备，应在重新启用前将其与组织的所有网络断开。软盘不应该用于其他计算机。c） 该事故应该立即报告给信息安全经理。除非被授权，用户不应该试图删除有疑问的软件。应该由经过适当培训并有经验的员工执行恢复工作。4. 从事故中学习应该有在用的机制以使事故和故障的种类、数量和损失能够被量化和监督。这类信息应该用于识别重发或有重大影响的事故和故障。这可以表明增强或增加控制措施的必要性，以限制将来事故发生的频率、损坏程度和损失，或者在安全方针评审过程（见3.1.2）中加以考虑。5. 惩罚程序针对违反组织安全方针和程序的雇员应该有正式的惩罚程序。此程序对不然可能无视安全方针的雇员能够起到威慑作用。另外，应该保证正确、公平的处理被怀疑严重或连续破坏安全的雇员。