声明

本文是学习github5.com 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

信息安全治理-信息安全状态示例

组织可以生成一个信息安全状态，并将其作为信息安全的沟通工具披露给利益相关者。

组织宜选择和决定信息安全状态的格式和内容。附录A是利用信息安全审核陈述来声明满意的例子（见表A.1）。

表A.1 信息安全状态

管理者对信息安全控制措施和规程在mmm 至nnn期间的足够有效运行是满意的，这些控制措施和规程是基于xyz（例如，ISMS系列标准、CobiT）中的准则，与高层管理控制措施辅助下的组织运营规程和系统有关，为实现已确定的关系到保密性、完整性和可用性的信息安全控制目标提供了合理保障。管理者已为作为外部信息安全审核员的ABC提供了这种效果的一份声明书。 ABC由董事会任命来审查管理者对信息安全控制措施的断言。他们的审查依据已建立的标准，包括通过抽样测试评价信息安全控制措施和规程的设计和运行效果。在这方面，ABC向管理者出具他们测试结果表明的意见，即除特定例外，基于xyz（例如，ISMS系列标准、CobiT）中准则的控制措施在重大方面是有效的。已经与审核委员会讨论了与信息安全控制措施有关的管理者的完整断言书和带有任何已识别例外的外部审核报告，并提供给了所有董事会成员。副本可应要求提供给利益相关者。

注：“nnn”、“mmm”、“xyz”、“ABC”为占位符。具体日期和名字宜出现在实际陈述中。

信息安全治理 - 详细的信息安全状态示例

附录B是披露详细内容的一个信息安全状态例子（见表B.1）。它对于希望通过强调安全提高声誉的组织尤为有用，例如ICT业务。组织对安全风险和适当披露之方法的透明性也有效增加信任。通过这些活动可以在利益相关者中分享共同的意识。

表B.1 详细的信息安全状态

介绍范围（战略、策略、标准）、边界（地理/组织单元）、覆盖时期（月/季/半年/年） 整体状态 满意/尚未满意/不满意 更新（适当和相关时） 实现信息安全战略的进展 完成/处理中/计划的要素 信息安全管理体系中的变更 ISMS策略修订、实现ISMS（包括责任分配）的组织结构 认证的进展 ISMS（再）认证、得到认证的信息安全审核 预算/人员配备/培训 财务状况、人员充足性、信息安全资格 其他信息安全活动 业务持续性管理加入、宣传活动、内部/外部审核协助 显著问题（如果有） 信息安全评审结果 建议、管理者响应、行动计划、目标日期 有关主要内部/外部审核报告的进展 建议、管理者响应、行动计划、目标日期 信息安全事件 估计的影响、行动计划、目标日期 （不）符合相关法律和法规 估计的影响、行动计划、目标日期 所需决策（如果有） 附加资源 使信息安全能够支持业务新计划