ISO27001信息安全管理体系诊断:
与业务和组织(非 IT)相关的因数 业务类型和法规要求 □组织所处的是一个非关键业务领域,且不受管制的领域(1);a
□组织的客户处于关键业务领域(2);a
□组织处于关键业务领域(3)。a
过程与任务 □一般的过程,涉及一般的且重复性的任务;大量在组织控制下工作的人员从事相同的任务;很少的产品或服务(1);
□一般的但不重复的过程,涉及大量的产品或服务(2);
□复杂的过程,大量的产品和服务,许多业务单元包含在认证范围内(3)。
管理体系建立水平 □已经很好地建立了ISMS,和(或)存在其他管理体系(1);
□其他管理体系的要素,有些已经实施,有些没有实施(2);
□根本没有实施其他管理体系,ISMS是新且没有建立(3)。
a注:关键业务领域是可以影响关键公共服务的领域,这些公共服务将引起健康、安全、经济、形象和政府运行能力的风险,从而可能对国家造成非常重大的负面影响。
与IT环境相关的因数 IT基础设施复杂程度 □很少或高度标准化的IT平台、服务器、操作系统、数据库、网络等(1);
□多个不同的IT平台,服务器、操作系统、数据库、网络(2);
□很多不同的IT平台、服务器、操作系统、数据库、网络(3)。
对外包和供应商(包括云服务)依赖程度 □很少或不依赖外包或供应商(1);
□有些依赖外包或供应商,这些外包或供应商与某些重要业务活动相关,但不是与所有的重要业务活动相关(2);
□高度依赖外包或供应商,外包或供应商对重要业务活动有很大影响(3)。
信息系统开发 □没有或非常有限的内部系统/应用开发(1);
□有一些服务于某些重要业务目的的、内部的或外包的系统/应用开发(2);
□有大量服务于重要业务目的的、内部的或外包的系统/应用开发(3)。
信息安全管理体系(ISMS) 所需材料资料整理:
1 信息安全管理体系适用性声明(SOA)
2 信息安全资产风险评估报告
3 信息安全风险处理计划
4 网络拓扑结构图
更新时间:2024/3/5 10:27:31