编辑推荐
《信息安全管理体系实施案例(第2版)》由中国标准出版社出版。
目录
大都商业银行
项目开始1年前
事件(—2):开始考虑ISMS
事件(—1):了解ISMS并申请项目
项目开始第1周
事件(0):ISMS项目启动大会
事件(1):确定项目推进组并初步制定推进计划
事件(2—1):调研/分析现状
项目开始第2周
事件(2—2):调研/分析现状(续)
事件(3):建立1SMS方针
事件(4):设计文件层级与文件格式
事件(5):调研阶段总结会
项目开始第3周
事件(6):设计资产分类/分级规范
事件(7—1):开始统计资产
事件(8):设计风险评估程序
事件(9):设计风险处置程序
项目开始第4周
事件(7—2):统计资产(续)
事件(10):评估威胁、脆弱性与控制
项目开始第5周
事件(11):分析并评价风险
事件(12):准备风险评估报告
项目开始第6周
事件(13):准备风险处置计划
事件(14):风险管理总结会
事件(15):获得实施ISMS的授权
事件(16—1):开始准备适用性声明
项目开始第7周
事件(17):确定文件个数与目录
事件(18):确定正式的文件编写计划
项目开始第8~12周
事件(19):编写体系文件
项目开始第13~20周
事件(16—2):准备适用性声明(续)
事件(20):体系文件发布会
事件(21):开始体系试运行
事件(22):信息安全意识培训
事件(23):信息安全制度培训
项目开始第21~22周
事件(24):组织第一次内部审核
项目开始第23周
事件(25):组织第一次管理评审
项目开始第24周
事件(26):部署纠正及持续改进
项目开始第25~26周
事件(27):申请及实施外审
项目开始第27~28周
事件(28):外审后整改及项目总结会
附录
参考文献
后记
文摘
版权页:
插图:
宜建立备份策略以确定组织信息、软件和系统的备份要求。
备份策略宜确定保留和保护要求。
宜提供足够的备份设备以确保所有必要的信息和软件能在灾难或介质故障后恢复KP。
设计备份计划时,宜考虑下列条款:
a)宜建立备份拷贝的准确完整的记录,以及文件化的恢复规程KP;
b)备份的程度(例如完全备份或差异备份)和频率KP宜反映组织的业务要求、涉及信息的安全要求和信息对组织持续运行的关键度;
c)备份宜存储在一个远程地点,有足够距离,以避免主办公场所灾难时受到损坏;
d)宜给予备份信息一个与主办公场所应用标准相一致的适当的物理和环境保护等级(见第11章);
e)宜定期测试备份介质以确保当必要的应急使用时可以依靠这些备份介质;这宜与恢复规程的测试相结合,并检查是否符合所需的恢复时间。宜使用专用的测试介质进行备份数据恢复能力的测试,而不是覆盖原始介质,以防备份或恢复过程中出现故障,导致无法挽回的数据损坏或丢失;
f)在保密性十分重要的情况下,备份宜通过加密手段进行保护。
操作规程宜监视备份的执行情况KP,解决执行计划备份的故障,以确保根据备份策略实施备份的完整性。
宜定期测试单个系统和服务的备份安排以确保其满足业务连续性KP计划的要求。对于关键系统和服务,备份安排宜包括在发生灾难时恢复完整系统必需的所有系统信息、应用和数据。
宜确定必要业务信息的保存周期KP,考虑到永久保存归档文件副本的任何要求。
《信息安全管理体系实施案例(第2版)》由中国标准出版社出版。
目录
大都商业银行
项目开始1年前
事件(—2):开始考虑ISMS
事件(—1):了解ISMS并申请项目
项目开始第1周
事件(0):ISMS项目启动大会
事件(1):确定项目推进组并初步制定推进计划
事件(2—1):调研/分析现状
项目开始第2周
事件(2—2):调研/分析现状(续)
事件(3):建立1SMS方针
事件(4):设计文件层级与文件格式
事件(5):调研阶段总结会
项目开始第3周
事件(6):设计资产分类/分级规范
事件(7—1):开始统计资产
事件(8):设计风险评估程序
事件(9):设计风险处置程序
项目开始第4周
事件(7—2):统计资产(续)
事件(10):评估威胁、脆弱性与控制
项目开始第5周
事件(11):分析并评价风险
事件(12):准备风险评估报告
项目开始第6周
事件(13):准备风险处置计划
事件(14):风险管理总结会
事件(15):获得实施ISMS的授权
事件(16—1):开始准备适用性声明
项目开始第7周
事件(17):确定文件个数与目录
事件(18):确定正式的文件编写计划
项目开始第8~12周
事件(19):编写体系文件
项目开始第13~20周
事件(16—2):准备适用性声明(续)
事件(20):体系文件发布会
事件(21):开始体系试运行
事件(22):信息安全意识培训
事件(23):信息安全制度培训
项目开始第21~22周
事件(24):组织第一次内部审核
项目开始第23周
事件(25):组织第一次管理评审
项目开始第24周
事件(26):部署纠正及持续改进
项目开始第25~26周
事件(27):申请及实施外审
项目开始第27~28周
事件(28):外审后整改及项目总结会
附录
参考文献
后记
文摘
版权页:
插图:
宜建立备份策略以确定组织信息、软件和系统的备份要求。
备份策略宜确定保留和保护要求。
宜提供足够的备份设备以确保所有必要的信息和软件能在灾难或介质故障后恢复KP。
设计备份计划时,宜考虑下列条款:
a)宜建立备份拷贝的准确完整的记录,以及文件化的恢复规程KP;
b)备份的程度(例如完全备份或差异备份)和频率KP宜反映组织的业务要求、涉及信息的安全要求和信息对组织持续运行的关键度;
c)备份宜存储在一个远程地点,有足够距离,以避免主办公场所灾难时受到损坏;
d)宜给予备份信息一个与主办公场所应用标准相一致的适当的物理和环境保护等级(见第11章);
e)宜定期测试备份介质以确保当必要的应急使用时可以依靠这些备份介质;这宜与恢复规程的测试相结合,并检查是否符合所需的恢复时间。宜使用专用的测试介质进行备份数据恢复能力的测试,而不是覆盖原始介质,以防备份或恢复过程中出现故障,导致无法挽回的数据损坏或丢失;
f)在保密性十分重要的情况下,备份宜通过加密手段进行保护。
操作规程宜监视备份的执行情况KP,解决执行计划备份的故障,以确保根据备份策略实施备份的完整性。
宜定期测试单个系统和服务的备份安排以确保其满足业务连续性KP计划的要求。对于关键系统和服务,备份安排宜包括在发生灾难时恢复完整系统必需的所有系统信息、应用和数据。
宜确定必要业务信息的保存周期KP,考虑到永久保存归档文件副本的任何要求。
| ISBN | 9787506686143 |
|---|---|
| 出版社 | 中国标准出版社 |
| 作者 | 吕述望 |
| 尺寸 | 16 |