信息安全管理體系建立方法概述

信息安全治理體系建立方法BS7799的治理思想介紹通用安全治理體系建立的方法；信息安全治理包括諸多方面，如風(fēng)險(xiǎn)治理、工程治理、業(yè)務(wù)連續(xù)性治理等，每項(xiàng)治理的要點(diǎn)均有不同。后續(xù)將具體介紹不同局部的治理。信息安全治理體系概述什么是信息安全治理體系信息安全治理體系，即 InformationSecurityManagementSystem〔簡稱ISMS〕，是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接治理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、打算、活動(dòng)、程序、過程和資源的集合。

b5E2RGbCAPBS7799-2是建立和維持信息安全治理體系的標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求組織通過確定信息安全治理體系范圍，制定信息安全方針，明確治理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為根底選擇掌握目標(biāo)與掌握措施等一系列活動(dòng)來建立信息安全治理體系；體系一旦建立，組織應(yīng)按體系的規(guī)定要求進(jìn)展運(yùn)作，保持體系運(yùn)行的有效性；信息安全管理體系應(yīng)形成肯定的文件，即組織應(yīng)建立并保持一個(gè)文件化的信息安全治理體系，其中應(yīng)闡述被保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)治理方法、掌握目標(biāo)與掌握措施、信息資產(chǎn)需要保護(hù)的程度等內(nèi)容。 p1EanqFDPwISMS的范圍ISMS的范圍可以依據(jù)整個(gè)組織或者組織的一局部進(jìn)展定義，包括相關(guān)資產(chǎn)、系統(tǒng)、應(yīng)用、效勞、網(wǎng)絡(luò)和用于過程中的技術(shù)、存儲(chǔ)以及通信的信息等，組織全部的信息系統(tǒng)；組織的局部信息系統(tǒng)；特定的信息系統(tǒng)。

ISMS的范圍可以包括：DXDiTa9E3d此外，為了保證不同的業(yè)務(wù)利益，組織需要為業(yè)務(wù)的不同方面定義不同的

ISMS。例如，可以為組織和其他公司之間特定的貿(mào)易關(guān)系定義ISMS表述。RTCrpUDGiT

ISMS，也可以為組織構(gòu)造定義 ISMS，不同的情境可以由一個(gè)或者多個(gè)組織內(nèi)部成功實(shí)施信息安全治理的關(guān)鍵因素反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；與組織文化全都的實(shí)施安全的方法；來自治理層的有形支持與承諾；對(duì)安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)治理的良好理解；向全部治理者及雇員推行安全意思；向全部雇員和承包商分發(fā)有關(guān)信息安全方針和準(zhǔn)則的導(dǎo)則；供給適當(dāng)?shù)呐嘤?xùn)與教育；用于評(píng)價(jià)信息安全治理績效及反響改進(jìn)建議，并有利于綜合平衡的測(cè)量系統(tǒng)。建立ISMS的步驟不同的組織在建立與完善信息安全治理體系時(shí)，可依據(jù)自己的特點(diǎn)和具體的狀況，實(shí)行不同的步驟和方法。但總體來說，建5PCzVD7HxA信息安全治理體系的籌劃與預(yù)備；信息安全體系文件的編制；信息安全治理體系的運(yùn)行；信息安全治理體系的審核與評(píng)審。信息安全治理體系的作用ISMS于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，表達(dá)以預(yù)防掌握為主的思想，強(qiáng)調(diào)遵守國家有關(guān)信息安全的法律法規(guī)及其他合同方要jLBHrnAILg強(qiáng)調(diào)全過程和動(dòng)態(tài)掌握，本著掌握費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全掌握方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機(jī)密性、完整性和可用性，保持組織的競(jìng)爭優(yōu)勢(shì)和商務(wù)運(yùn)作的持續(xù)性。xHAQX74J0X實(shí)施ISMS的作用組織建立、實(shí)施與保持信息安全治理體系將會(huì)產(chǎn)生如下作用：強(qiáng)化員工的信息安全意識(shí)，標(biāo)準(zhǔn)組織信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)展全面體統(tǒng)的保護(hù)，維持競(jìng)爭優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對(duì)組織布滿信念；假設(shè)通過體系認(rèn)證，說明體系符合標(biāo)準(zhǔn)，證明組織有力量保證重要信息BS7799建立組織完整的信息安全治理體系并實(shí)施與保持，到達(dá)動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全治理方LDAYtRyKfE信息安全治理體系的預(yù)備為在組織中順當(dāng)建設(shè)信息安全治理體系，需要建立有效信息安全機(jī)構(gòu)，對(duì)組織中的各類人員安排角色、明確權(quán)限、落實(shí)責(zé)任Zzz6ZB2Ltk成立信息安全委員會(huì)信息安全委員會(huì)由組織的最高治理層與信息安全治理有關(guān)的部門負(fù)責(zé)人、治理人員、技術(shù)人員組成，定期召開會(huì)議，就以下重要信息安全議題進(jìn)展?fàn)幷摬⒆龀鰶Q策，為組織信息安全治理供給導(dǎo)向與支持。dvzfvkwMI1審批與信息安全治理有關(guān)的其他重要事項(xiàng)。任命信息安全治理經(jīng)理組織最高治理者在治理層中指定一名信息安全治理經(jīng)理，分管組織的信息安全治理事宜，具體確定信息安全治理標(biāo)準(zhǔn)建立、實(shí)施和維護(hù)信息安全治理體系；負(fù)責(zé)組織的信息安全方針與安全策略的貫徹與落實(shí)；向有關(guān)問題與外部各方面進(jìn)展聯(lián)絡(luò)。組建信息安全治理推動(dòng)小組在信息安全委員會(huì)的批準(zhǔn)下，由信息安全治理經(jīng)理組建信息安全治理推動(dòng)小組，并對(duì)其進(jìn)展治理。小組成員要懂信息安全技術(shù)學(xué)問，有肯定的信息安全治理技能，并且有較強(qiáng)的分析力量及文字力量，小組成員一般是企業(yè)rqyn14ZNXI保證有關(guān)人員的作用、職責(zé)和權(quán)限得到有效溝通用適當(dāng)?shù)姆绞?，如通過培訓(xùn)、制定文件等方式，讓每位員工明白自己的作用、職責(zé)與權(quán)限，以及與其他局部的關(guān)系，以保證全體員工各司其職，相互協(xié)作，有效地開展活動(dòng)，為信息安全治理體系的建EmxvxOtOco掌握范圍一般狀況下，一個(gè)經(jīng)理直接掌握的下屬治理人員不少于61015人保持掌握。在作業(yè)簡潔的部門或車間，一個(gè)組長能掌握50個(gè)人或更多的人。SixE2yXPq5適宜的治理層次公司負(fù)責(zé)人與基層的獨(dú)立性，不應(yīng)成為生產(chǎn)部門的下屬單位。信息安全治理體系組織構(gòu)造建立及職責(zé)劃分的留意事項(xiàng)假設(shè)現(xiàn)有的組織構(gòu)造合理，則只需將信息安全標(biāo)準(zhǔn)的要求安排落實(shí)到現(xiàn)有的組織構(gòu)造中即可。假設(shè)現(xiàn)有的組織構(gòu)造不合理，則按上面〔5〕6ewMyirQFL應(yīng)將組織內(nèi)的部門設(shè)置及各部門的信息安全職責(zé)、權(quán)限及相互關(guān)系以文件的形式加以規(guī)定。應(yīng)將部門內(nèi)崗位設(shè)置及各崗位〔可以把信息安全和職業(yè)安康與安全的職能劃歸此部門〕席安全執(zhí)行官，首席安全執(zhí)行官直接向組織最高治理層負(fù)責(zé)〔有的也向首席信息官負(fù)責(zé)〕。美國“911”恐懼攻擊大事以后，在美國的一些大型企業(yè)，這種安全機(jī)構(gòu)的設(shè)置方式漸漸流行，它強(qiáng)調(diào)對(duì)各種風(fēng)險(xiǎn)的綜合治理和對(duì)威逼的快速反響。kavU42VRUs對(duì)于小型企業(yè)來說，可以把信息安全治理工作劃歸到信息部、人事行政部或其他相關(guān)部門。建立信息安全治理體系原則PDCA原則PDCA循環(huán)的概念最早是由美國質(zhì)量治理專家戴明提出來的，所以又稱為“戴明環(huán)”。在質(zhì)量治理中應(yīng)用廣泛，PDCA代y6v3ALoS89P(Plan)：打算，確定方針和目標(biāo)，確定活動(dòng)打算；D(Do)：實(shí)施，實(shí)際去做，實(shí)現(xiàn)打算中的內(nèi)容；C(Check)：檢查，總結(jié)執(zhí)行打算的結(jié)果，留意效果，找出問題；A(Action)：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)展處理，成功的閱歷加以確定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重PDCAM2ub6vSTnPPDCA循環(huán)的四個(gè)階段具體內(nèi)容如下：打算階段：制定具體工作打算，提出總的目標(biāo)。具體來講又分為以下分析目前現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的各種緣由以及影響因素；

4個(gè)步驟。0YujCfmUCw實(shí)施階段：就是指依據(jù)制定的方案去執(zhí)行。在治理工作中全面執(zhí)行制定的方案。制定的治理方案在治理工作中執(zhí)行的情況，直接影響全過程。所eUts8ZQVRd檢查階段：即檢查實(shí)施打算的結(jié)果。檢查工作這一階段是比較重要的一個(gè)階段，它是對(duì)實(shí)施方案是否合理，是否可行有何不妥的檢查。是為下一個(gè)階段工作供給條件，是檢驗(yàn)上一階段工作好壞的檢驗(yàn)期。sQsAEJkW5T處理階段：依據(jù)調(diào)查效果進(jìn)展處理。對(duì)已解決的問題，加以標(biāo)準(zhǔn)化：即把已成功的可行的條文進(jìn)展標(biāo)準(zhǔn)化，將這些納入制度、規(guī)定中，防GMsIasNXkA找出尚未解決的問題，轉(zhuǎn)入下一個(gè)循環(huán)中去，以便解決。PDCA循環(huán)實(shí)際上是有效進(jìn)展任何一項(xiàng)工作的符合規(guī)律的工作程序。在質(zhì)量治理中，PDCA循環(huán)得到了廣泛的應(yīng)用，并取得了很好的效果，有人也稱其為質(zhì)量治理的根本方法。之所以叫

PDCA循環(huán)，是由于這四個(gè)過程不是運(yùn)行一次就完結(jié)，而是周而復(fù)始地進(jìn)展，其特點(diǎn)是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)”；每個(gè)PDCATIrRGchYzg建立和治理一個(gè)信息安全治理體系需要象其他任何治理體系一樣的方法。這里描述的過程模型遵循一個(gè)連續(xù)的活動(dòng)循環(huán)：計(jì)劃、實(shí)施、檢查、和處置。之所以可以描述為一個(gè)有效的循環(huán)由于它的目的是為了保證您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)間PDCA12-17EqZcWLZNXPLAN建立ISMS相關(guān)單隹

實(shí)施利實(shí)施CO 運(yùn)作I測(cè)S

開發(fā).維護(hù) 和改進(jìn)循環(huán) 和

改進(jìn)ACTION

相關(guān)卑位監(jiān)控和棄審TSMS

信息安全需求

CHECK

治理狀態(tài)下的恬■息12-1PDCA模型與信息安全治理體系過程ISMSPDCA具有以下內(nèi)容：打算和實(shí)施一個(gè)持續(xù)提高的過程通常要求最初的投資：文件化實(shí)踐，將風(fēng)險(xiǎn)治理的過程正式化，確定評(píng)審的方法和配置資源。這些活動(dòng)通常作為循環(huán)的開頭。這個(gè)階段在評(píng)審階段開頭實(shí)施時(shí)完畢。打算階段用來保證為信息安全治理體系建立的內(nèi)容和范圍正確地建立，評(píng)估信息安全風(fēng)險(xiǎn)和建立適當(dāng)?shù)靥幚磉@些風(fēng)險(xiǎn)的打算。實(shí)施階段用來實(shí)施在打算階段確定的打算和解決方案。lzq7IGfO2E檢查與行動(dòng)檢查和處置評(píng)審階段用來加強(qiáng)、修改和改進(jìn)已識(shí)別和實(shí)施的安全方案。評(píng)審可以在任何時(shí)間、以任何頻率實(shí)施，取決于怎樣做適合于考慮的具體狀況。在一些體系中他們可能需要建立在計(jì)算機(jī)化的過程中以運(yùn)行和馬上回應(yīng)。其他過程可能只需在有信息安全事故時(shí)、被保護(hù)的信息資產(chǎn)變化時(shí)或需要增加時(shí)、威逼和脆弱性變化時(shí)需要回應(yīng)。最終，需要每一年或其他周期性評(píng)審或?qū)徍艘员ＷC整個(gè)治理體系達(dá)成其目標(biāo)。zvpgeqJIhk掌握措施總結(jié)(SummaryofControls)組織可能覺察制作一份相關(guān)和應(yīng)用于組織的信息安全治理體系的掌握措施總結(jié)(

SoC)的好處。供給一份掌握措施小結(jié)可以使處理業(yè)務(wù)關(guān)系變得簡潔如供電外包等。部和內(nèi)部同時(shí)應(yīng)用時(shí)，應(yīng)考慮他們對(duì)于接收者是否適宜。

SoC可能包含敏感的信息，因此當(dāng)SoC在外NrpoJac3v1文件化信息安全治理另一個(gè)格外重要的原則就是文件化，即全部打算及操作過的事情都要有文件記錄，可做到有章可循，有據(jù)可查，文件的類型通常有手冊(cè)、標(biāo)準(zhǔn)、指南、記錄等，使用這些文件可以使組織內(nèi)部溝通意圖，統(tǒng)一行動(dòng)，并為大事提客觀證據(jù)，同時(shí)也可用于學(xué)習(xí)和培訓(xùn)。假設(shè)有些組織曾參與過BS7799的認(rèn)證，會(huì)深刻體會(huì)到文件化的重要性。 1nowfTG4KI領(lǐng)導(dǎo)重視

這樣9000或組織建立信息安全治理體系需要投入大量物力和人力，這就需要得到領(lǐng)導(dǎo)的認(rèn)可，尤其是最高領(lǐng)導(dǎo)，這樣才能確保這一工程不會(huì)因缺少資源支持而中途廢棄。最高領(lǐng)導(dǎo)層在具體建立信息安全治理體系時(shí)應(yīng)做到如下幾點(diǎn)：fjnFLDa5Zo建立信息安全方針；確保建立信息安全目標(biāo)和打算；為信息安全確立職位和責(zé)任；向組織傳達(dá)到達(dá)信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要；供給足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全治理體系；確定可承受風(fēng)險(xiǎn)的水平；進(jìn)展信息安全治理體系的評(píng)審。治理層為組織將確定和供給所需的資源，以：建立、實(shí)施、運(yùn)行和維護(hù)信息安全治理體系；確保信息安全程序支持業(yè)務(wù)要求；識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；正確地應(yīng)用全部實(shí)施的掌握措施維護(hù)足夠的安全；必要時(shí)，進(jìn)展評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；需要時(shí)，改進(jìn)信息安全治理體系的有效性。全員參與僅有領(lǐng)導(dǎo)的支持沒有實(shí)際操作的人員同樣信息安全治理體系不能很好地建立起來，而組織內(nèi)由于一般人員的誤操作和疏忽造IT部門的事情，而是需要全體員工參與的。tfnNhnE6e5組織應(yīng)確保全部被安排信息安全治理體系職責(zé)的人員具有力量履行指派的任務(wù)。組織應(yīng)：確定從事影響信息安全治理體系的人員所必要的力量；供給力量培訓(xùn)和，必要時(shí)，聘用有力量的人員滿足這些需求；評(píng)價(jià)供給的培訓(xùn)和所實(shí)行行動(dòng)的有效性；信息安全治理體系的建立建立信息安全治理體系圖是建立信息安全治理體系的流程圖,圖12-2，第

評(píng)估報(bào)告其次步:

定義ISMS范圍 ISMS范圍第三步:

進(jìn)展風(fēng)險(xiǎn)評(píng)估第四步:第五步:

慝選擇控

文檔化文檔化第六步:

am

聲明文件

HbmVN777sL12-2ISMS流程圖組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全治理體系。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的組織應(yīng)做到如下幾點(diǎn)：

PDCA模型根底上。V7l4jRB8Hs應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全治理體系的范圍。應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全治理體系的方針，方針應(yīng)：包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則?？紤]業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。建立組織戰(zhàn)略和風(fēng)險(xiǎn)治理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全治理體系。建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的構(gòu)造。經(jīng)治理層批準(zhǔn)。確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全治理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為信息安全治理體系建立方針和83ICPA59W9確定風(fēng)險(xiǎn)在信息安全治理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人。識(shí)別對(duì)這些資產(chǎn)的威逼。識(shí)別可能被威逼利用的脆弱性。別資產(chǎn)失去保密性、完整性和可用性的影響。評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；評(píng)估與這些資產(chǎn)相關(guān)的主要威逼、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的掌握措施；估量風(fēng)險(xiǎn)的等級(jí)；c中建立的標(biāo)準(zhǔn)進(jìn)展衡量確定需要處理。識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：應(yīng)用適宜的掌握措施；知道并有目的地承受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和承受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)；避開風(fēng)險(xiǎn)；轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供給商等。選擇掌握目標(biāo)和掌握措施處理風(fēng)險(xiǎn)：2.6預(yù)備一份適用性聲明。2.6章節(jié)中剪裁的掌握措施也應(yīng)加以記錄；mZkklkzaaP提議的剩余風(fēng)險(xiǎn)應(yīng)獲得治理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作信息安全治理體系。文件要求信息安全治理體系文件應(yīng)包括：文件化的安全方針文件和掌握目標(biāo)；信息安全治理體系范圍和程序及支持信息安全治理體系的掌握措施；風(fēng)險(xiǎn)評(píng)估報(bào)告；風(fēng)險(xiǎn)處理打算；組織需要的文件化的程序以確保有效地打算運(yùn)營和對(duì)信息安全過程的掌握；本標(biāo)準(zhǔn)要求的記錄；適用性聲明。文件掌握信息安全治理體系所要求的文件應(yīng)予以保護(hù)和掌握。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：文件公布前得到批準(zhǔn)，以確保文件的充分性；必要時(shí)對(duì)文件進(jìn)展評(píng)審與更，并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用處可獲得適用文件的有關(guān)版本；確保文件保持清楚、易于識(shí)別；確保外來文件得到識(shí)別，并掌握其分發(fā)；確保文件的發(fā)放在掌握狀態(tài)下；防止作廢文件的非預(yù)期使用；假設(shè)因任何緣由而保存作廢文件時(shí)，對(duì)這些文件進(jìn)展適當(dāng)?shù)臉?biāo)識(shí)。記錄掌握應(yīng)建立并保持紀(jì)錄，以供給符合要求和信息安全治理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被掌握。信息安全治理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清楚、易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的掌握。需要一個(gè)治理過程確定記錄的程度。AVktR43bpw應(yīng)保存上述過程績效記錄和全部與信息安全治理體系有關(guān)的安全事故發(fā)生的紀(jì)錄。例如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。ORjBnOwcEd實(shí)施和運(yùn)作信息安全治理體系組織應(yīng)按如下步聚實(shí)施：識(shí)別適宜的治理行動(dòng)和確定治理信息安全風(fēng)險(xiǎn)的優(yōu)先挨次〔即：風(fēng)險(xiǎn)處理打算；實(shí)施風(fēng)險(xiǎn)處理打算以到達(dá)識(shí)別的掌握目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任；實(shí)施在上述章節(jié)里選擇的掌握目標(biāo)和掌握措施；培訓(xùn)和意識(shí)；e〕治理運(yùn)作過程；f〕 治理資源；g〕實(shí)施程序和其他有力量隨時(shí)探測(cè)和回應(yīng)安全事故的掌握措施。監(jiān)控和評(píng)審信息安全治理體系監(jiān)控信息安全治理體系組織應(yīng)：執(zhí)行監(jiān)控程序和其他掌握措施，以：實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；準(zhǔn)時(shí)識(shí)別失敗和成功的安全破壞和事故；能夠使治理層確定分派給員工的或通過信息技術(shù)實(shí)施的安全活動(dòng)是否到達(dá)了預(yù)期的目標(biāo)；確定解決安全破壞的行動(dòng)是否反映了運(yùn)營的優(yōu)先級(jí)。進(jìn)展常規(guī)的信息安全治理體系有效性的評(píng)審〔包括符合安全方針和目標(biāo)，及安全掌握措施的評(píng)審〕2MiJTy0dTT評(píng)審剩余風(fēng)險(xiǎn)和可承受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：組織技術(shù)業(yè)務(wù)目標(biāo)和過程識(shí)別威逼，及外部