CISP0301信息安全管理體系[共111頁]

1、信息安全管理體系信息安全管理體系 培訓(xùn)機(jī)構(gòu)名稱 講師名字 課程課程內(nèi)容內(nèi)容 2 信息安全管理信息安全管理 體系體系 知識(shí)體知識(shí)體知識(shí)域知識(shí)域 信息安全管理信息安全管理 基本概念基本概念 信息信息安全安全 管理體系建設(shè)管理體系建設(shè) 知識(shí)子域知識(shí)子域 信息安全管理的作用信息安全管理的作用 風(fēng)險(xiǎn)管理的概念和作用風(fēng)險(xiǎn)管理的概念和作用 過程方法與過程方法與PDCA循環(huán)循環(huán) 安全管理控制措施的概念和作用安全管理控制措施的概念和作用 建立、運(yùn)行、評(píng)審與改進(jìn)建立、運(yùn)行、評(píng)審與改進(jìn)ISMS 知識(shí)域：信息安全管理基本概念知識(shí)域：信息安全管理基本概念 v知識(shí)子域： 信息安全管理的作用 理解信息安全“技管并重”原則的

2、意義 理解成功實(shí)施信息安全管理工作的關(guān)鍵因素 v知識(shí)子域： 風(fēng)險(xiǎn)管理的概念和作用 理解信息安全風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱 性、防護(hù)措施、影響、可能性 理解風(fēng)險(xiǎn)評(píng)估是信息安全管理工作的基礎(chǔ) 理解風(fēng)險(xiǎn)處置是信息安全管理工作的核心 v知識(shí)子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理風(fēng)險(xiǎn)的具體手段 了解11個(gè)基本安全管理控制措施的基本內(nèi)容 3 信息安全管理信息安全管理 v一、信息安全管理概述 v二、信息安全管理體系 v三、信息安全管理體系建立 v四、信息安全管理控制規(guī)范 4 一、信息安全管理概述一、信息安全管理概述 v（一）信息安全管理基本概念 1、信息安全 2、信息安全

3、管理 3、基于風(fēng)險(xiǎn)的信息安全 v（二）信息安全管理的狀況 1、信息安全管理的作用 2、信息安全管理的發(fā)展 3、信息安全管理的標(biāo)準(zhǔn) 4、成功實(shí)施信息安全管理的關(guān)鍵 5 （一）信息安全管理基本概念（一）信息安全管理基本概念 v1、信息安全 v2、信息安全管理 v3、基于風(fēng)險(xiǎn)的信息安全 6 1 1、信息安全、信息安全 7 v信息信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn) 一樣，對(duì)組織具有價(jià)值，因此需要妥善保護(hù)。 v信息安全信息安全：信息安全主要指信息的保密性、完整 性和可用性的保持。即指通過采用計(jì)算機(jī)軟硬件 技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組 織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生 、傳

4、輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息 的保密性、完整性和可用性不被破壞。 1 1、信息、信息安全安全 信息 安全 保密 性 可用 性 完整 性 8 1 1、信息安全、信息安全- -保密性保密性 9 v保密性保密性 v確保只有那些被授予特定權(quán)限的人才能夠訪問到 信息。信息的保密性依據(jù)信息被允許訪問對(duì)象的 多少而不同，所有人員都可以訪問的信息為公開 信息，需要限制訪問的信息為敏感信息或秘密信 息，根據(jù)信息的重要程度和保密要求將信息分為 不同密級(jí)。 1 1、信息安全、信息安全- -完整性完整性 10 v完整性完整性 v保證信息和處理方法的正確性和完整性。信息完 整性一方面指在使用、傳輸、存儲(chǔ)信息的

5、過程中 不發(fā)生篡改信息、丟失信息、錯(cuò)誤信息等現(xiàn)象； 另一方面指信息處理的方法的正確性，執(zhí)行不正 當(dāng)?shù)牟僮?，有可能造成重要文件的丟失，甚至整 個(gè)系統(tǒng)的癱瘓。 1 1、信息安全、信息安全- -可用性可用性 11 v可用性可用性 v確保那些已被授權(quán)的用戶在他們需要的時(shí)候，確 實(shí)可以訪問到所需信息。即信息及相關(guān)的信息資 產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如， 通信線路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信息在一 段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信 息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)?承受攻擊并在失敗時(shí)恢復(fù)。 2 2、信息安全管理、信息安全管理 v 統(tǒng)計(jì)結(jié)果表明，在所有信息安全事故中，只有20

6、%30%是由 于黑客入侵或其他外部原因造成的，70%80%是由于內(nèi)部員 工的疏忽或有意泄密造成的。站在較高的層次上來看信息 和網(wǎng)絡(luò)安全的全貌就會(huì)發(fā)現(xiàn)安全問題實(shí)際上都是人的問題 ，單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅”到“最可靠防線” 轉(zhuǎn)變的。 v 信息安全是一個(gè)多層面、多因素的過程，如果組織憑著一 時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn) 品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安 全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安 全水平。 12 2 2、信息安全管理、信息安全管理 13 v正確的做法是參考國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最 佳實(shí)踐過程，根據(jù)組織對(duì)信息安全的各個(gè)層面的 實(shí)

7、際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制， 建立合理安全管理體系，從而保證組織賴以生存 的信息資產(chǎn)的保密性、完整性和可用性。 2 2、信息安全管理、信息安全管理 14 n組織中為了完成信息安全目標(biāo)信息安全目標(biāo)，針對(duì)信息系統(tǒng)信息系統(tǒng)，遵循安 全策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的 規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng) n信息安全管理工作的對(duì)象 規(guī)則 人員 目標(biāo) 組織 信息輸入立法摘要 變化？ 關(guān)鍵活動(dòng)關(guān)鍵活動(dòng) 測(cè)量 擁有者 資 源 記錄 標(biāo) 準(zhǔn) 輸入輸出 生 產(chǎn)經(jīng) 營(yíng) 過程 2 2、信息安全管理、信息安全管理 15 v信息安全管理是通過維護(hù)信息的保密性、完整性

8、和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的 一項(xiàng)體制；是組織中用于指導(dǎo)和管理各種控制信 息安全風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動(dòng)，有效的信息 安全管理要盡量做到在有限的成本下，保證安全 風(fēng)險(xiǎn)控制在可接受的范圍。 3 3、基于風(fēng)險(xiǎn)的信息安全、基于風(fēng)險(xiǎn)的信息安全 16 v（1）安全風(fēng)險(xiǎn)的基本概念 v（2）信息安全的風(fēng)險(xiǎn)模型 v（2）基于風(fēng)險(xiǎn)的信息安全 （1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念 v資產(chǎn)資產(chǎn) v 資產(chǎn)是任何對(duì)組織有價(jià)值的東西 v 信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值 v資產(chǎn)的分類 v 電子信息資產(chǎn) v 紙介資產(chǎn) v 軟件資產(chǎn) v 物理資產(chǎn) v 人員 v 服務(wù)性資產(chǎn) v 公司形象和名譽(yù) v 1

9、7 （1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念 v威脅威脅 v 資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失 的環(huán)境或事件 v 威脅是利用脆弱性來造成后果 v威脅舉例 v 黑客入侵和攻擊病毒和其他惡意程序 v 軟硬件故障人為誤操作 v盜竊網(wǎng)絡(luò)監(jiān)聽 v供電故障后門 v未授權(quán)訪問自然災(zāi)害如：地震、火災(zāi) 18 （1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念 v脆弱性脆弱性 v 是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。 v 脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得 到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造 成危害。 v脆弱性舉例 v 系統(tǒng)漏洞程序Bug v 專業(yè)人員缺乏不良習(xí)慣 v 缺

10、少審計(jì)缺乏安全意識(shí) v 后門 v 物理環(huán)境訪問控制措施不當(dāng) 19 （1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念 v安全控制措施安全控制措施 v 根據(jù)安全需求部署的，用來防范威脅，降低風(fēng)險(xiǎn)的措 施 v安全控制措施舉例 20 技術(shù)措施技術(shù)措施 防火墻 防病毒 入侵檢測(cè) 災(zāi)備系統(tǒng) 管理措施管理措施 安全規(guī)章 安全組織 人員培訓(xùn) 運(yùn)行維護(hù) （2 2）信息安全的風(fēng)險(xiǎn)模型信息安全的風(fēng)險(xiǎn)模型 21 沒有絕對(duì)的安全，只有相對(duì)的安全 信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、 綜合的安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。 （3 3）基于風(fēng)險(xiǎn)的信息安全基于風(fēng)險(xiǎn)的信息

11、安全 信息安全追求目標(biāo)信息安全追求目標(biāo) v確保業(yè)務(wù)連續(xù)性 v業(yè)務(wù)風(fēng)險(xiǎn)最小化 v保護(hù)信息免受各種威 脅的損害 v投資回報(bào)和商業(yè)機(jī)遇 最大化 獲得信息安全方式獲得信息安全方式 v實(shí)施一組合適的控制 措施，包括策略、過 程、規(guī)程、組織結(jié)構(gòu) 以及軟件和硬件功能 。 22 （3 3）風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)）風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ) v風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定 和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱 性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制 措施進(jìn)行界定。 v信息安全管理體系的建立需要確定信息安全需求 v信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估 v信息安全風(fēng)險(xiǎn)評(píng)估是

12、信息安全管理體系建立的基 礎(chǔ)，沒有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就 沒有依據(jù)。 23 （4 4）風(fēng)險(xiǎn)處置是信息安全管理的核心）風(fēng)險(xiǎn)處置是信息安全管理的核心 v風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上 ，風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的 控制措施集合。 v控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理出這 些風(fēng)險(xiǎn)控制措施集合的過程也就是信息安全建立 體系的建立過程。 v信息安全管理體系的核心就是這些最佳控制措施 集合的。 24 （二）信息安全管理的狀況（二）信息安全管理的狀況 v1、信息安全管理的作用 v2、信息安全管理的發(fā)展 v3、信息安全管理有關(guān)標(biāo)準(zhǔn) v4、成功實(shí)施信息安全管理的關(guān)鍵 2

13、5 1 1、信息、信息安全管理的作用安全管理的作用 26 v如果你把鑰匙落在鎖眼上會(huì)怎樣？ v技術(shù)措施需要配合正確的使用才能發(fā) 揮作用 保險(xiǎn)柜就一定安全嗎保險(xiǎn)柜就一定安全嗎？ 27 精心設(shè)計(jì)的網(wǎng)絡(luò) 防御體系，因違 規(guī)外連形同虛設(shè) 防火墻能解決這樣的問題嗎？ 1 1、信息安全管理的作用、信息安全管理的作用 28 信息系統(tǒng)是人機(jī)交互系統(tǒng) 應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程 設(shè)備的有效利用是人為的管理過 程 “堅(jiān)持管理與技術(shù)并重堅(jiān)持管理與技術(shù)并重”是我國(guó)是我國(guó)加加 強(qiáng)信息安全保障工作的主要原則強(qiáng)信息安全保障工作的主要原則 1 1、信息安全管理的作用、信息安全管理的作用 2 2、信息安全管理的發(fā)展、信息安全管

14、理的發(fā)展-1-1 29 vISO/IEC TR 13335 國(guó)際標(biāo)準(zhǔn)化組織在信息安全管理方面，早在1996年 就開始制定信息技術(shù)信息安全管理指南（ ISO/IEC TR 13335），它分成五個(gè)部分： 信息安全的概念和模型 信息安全管理和規(guī)劃 信息安全管理技術(shù) 基線方法 網(wǎng)絡(luò)安全管理指南 2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-2-2 30 vBS 7799 英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)（BSI）1995年頒布了信息安全 管理指南（BS 7799），BS 7799分為兩個(gè)部分： BS 7799-1信息安全管理實(shí)施規(guī)則和BS 7799-2 信息安全管理體系規(guī)范。2002年又頒布了信 息安全管理系統(tǒng)規(guī)范

15、說明（BS 7799-2:2002）。 BS 7799將信息安全管理的有關(guān)問題劃分成了10個(gè) 控制要項(xiàng)、36 個(gè)控制目標(biāo)和127 個(gè)控制措施。目 前，在BS77992中，提出了如何了建立信息安全 管理體系的步驟。 2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-3-3 31 2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-4-4 32 3 3、國(guó)內(nèi)外信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)外信息安全管理標(biāo)準(zhǔn) 33 v（1）國(guó)際信息安全管理標(biāo)準(zhǔn) 國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際信息安全管理標(biāo)準(zhǔn) v（2）國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織 國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) 國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織 34

16、 國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-1-1 35 國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-2-2 36 國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-3-3 37 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織 38 國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-1-1 39 WG7組已有的標(biāo)準(zhǔn)組已有的標(biāo)準(zhǔn) 國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-2-2 40 WG7組研究中的標(biāo)準(zhǔn)組研究中的標(biāo)準(zhǔn) 國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-3-3 41 4 4、實(shí)施信息安全管理的關(guān)鍵成功因素、實(shí)施信息安全管理的關(guān)鍵成功因素 v理解組織文化 v得到高層承諾 v做好風(fēng)險(xiǎn)評(píng)估 v整合管理體系 v積極

17、有效宣貫 v納入獎(jiǎng)懲機(jī)制 v持續(xù)改進(jìn)體系 42 二、信息安全管理體系二、信息安全管理體系 v（一）什么是信息安全管理體系 v（二）信息安全管理體系的框架 v（三）信息安全管理過程方法要求 v（四）信息安全管理控制措施要求 43 （一）什么是信息安全管理體系（一）什么是信息安全管理體系 v1、信息安全管理體系的定義 v2、信息安全管理體系的特點(diǎn) v3、信息安全管理體系的作用 v4、信息安全管理體系的文件 44 1 1、信息安全管理體系的定義、信息安全管理體系的定義 v信息安全管理體系（ISMS：Information Security Management System）是組織在整體或 特定范圍

18、內(nèi)建立的信息安全方針和目標(biāo)，以及完 成這些目標(biāo)所用的方法和體系。它是直接 管理活 動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì) 劃、活動(dòng)、程序、過程和資源的集合。 45 2 2、信息安全管理體系的特點(diǎn)、信息安全管理體系的特點(diǎn) v 信息安全管理體系要求組織通過確定信息安全管理體系范 圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基 礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來建立信息安全管理 體系； v 體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn) 以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法 律、法規(guī)及其他合同方面的要求； v 強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則 合理選擇安全

19、控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信 息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整 性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。 46 3 3、信息安全管理體系的作用、信息安全管理體系的作用 v對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維 持競(jìng)爭(zhēng)優(yōu)勢(shì)； v在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將 損失降到最低程度； v促使管理層貫徹信息安全管理體系，強(qiáng)化員工的 信息安全意識(shí)，規(guī)范組織信息安全行為； v使組織的生意伙伴和客戶對(duì)組織充滿信心； v組織可以按照安全管理，達(dá)到動(dòng)態(tài)的、系統(tǒng)地、 全員參與、制度化的、以預(yù)防為主的信息安全管 理方式，用最低的成本，達(dá)到可接受的信息安全 水平，從根本

20、上保證業(yè)務(wù)的持續(xù)性。 47 4 4、信息安全管理體系的理念、信息安全管理體系的理念 v各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了 各種信息安全管理的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、 技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的 應(yīng)用，但從組織信息安全的各個(gè)角度和整個(gè)生命 周期來考察，如果忽略了組織中最活躍的因素 人的作用，則信息安全管理體系是不完備的， 考察國(guó)內(nèi)外的各種信息安全事件，不難發(fā)現(xiàn)，在 信息安全時(shí)間表象后面其實(shí)都是人的因素在起決 定作用。 48 4 4、信息安全管理體系的理念、信息安全管理體系的理念 技術(shù)因 素 人的因素 管理因 素 49 在信息安全問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、

21、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者 的互動(dòng)。 5 5、信息安全管理體系的過程、信息安全管理體系的過程 50 完善信息安全 治理結(jié)構(gòu) 風(fēng)險(xiǎn)評(píng)估 安全規(guī)劃 信息安全管理 框架 管理措施技術(shù)手段 信息系統(tǒng)安全 審計(jì) 監(jiān)控業(yè)務(wù)與安 全環(huán)境 符合安全 控制標(biāo)準(zhǔn)？ 持 續(xù) 改 進(jìn) 調(diào) 整 （二）信息安全管理體系框架（二）信息安全管理體系框架 v1、信息安全管理體系循環(huán)框架 v2、信息安全管理體系內(nèi)容框架 v3、信息安全管理體系文件框架 v4、信息安全管理體系系列標(biāo)準(zhǔn) 51 1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架 52 信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。

22、 相關(guān)方 信息安 全要求 和期望 相關(guān)方 受控的 信息安 全 1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架 53 vPDCA也稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家戴明 提出。 vP P（PlanPlan）：）：計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì) 劃； vD D（DoDo）：）：實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容； vC C（CheckCheck）：）：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意 效果，找出問題； vA A（ActionAction）：）：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理 ，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失 敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放 到下一個(gè)PDCA循環(huán)。 1

23、1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架 54 pPDCA特點(diǎn)一：按順序進(jìn)行，它靠組織 的力量來推動(dòng)，像車輪一樣向前進(jìn)，周 而復(fù)始，不斷循環(huán)。 90 90 處置處置 實(shí)施實(shí)施 規(guī)劃規(guī)劃 檢查檢查 C C A A D D P P pPDCA特點(diǎn)二： 組織中的每個(gè)部分，甚 至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小 環(huán)，一層一層地解決問題。 90909090 C C A A D D P P 90909090 C C A A D D P P 90909090 C C A A D D P P pPDCA特點(diǎn)三：每通過一次PDCA 循環(huán)， 都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行 第二次PDCA 循環(huán)。

24、 90909090 處置處置 實(shí)施實(shí)施 規(guī)劃規(guī)劃 檢查檢查 C C A A D D P P 達(dá)到新的水平達(dá)到新的水平 改進(jìn)改進(jìn)( (修訂標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)) ) 維持原有水平維持原有水平 90909090 處置處置 實(shí)施實(shí)施 規(guī)劃規(guī)劃 檢查檢查 C C A A D D P P 2 2、信息安全管理體系內(nèi)容框架、信息安全管理體系內(nèi)容框架 55 2 2、信息安全管理體系內(nèi)容框架（續(xù)）、信息安全管理體系內(nèi)容框架（續(xù)） 56 其他最佳實(shí)踐標(biāo)準(zhǔn)與各安全控制域之間的對(duì)應(yīng)其他最佳實(shí)踐標(biāo)準(zhǔn)與各安全控制域之間的對(duì)應(yīng) ISO27000系列系列不是信息安全管理體系的全部不是信息安全管理體系的全部 3 3、信息安全管理體系

25、文檔框架、信息安全管理體系文檔框架 57 3 3、信息安全管理體系文檔框架、信息安全管理體系文檔框架 58 安全策略安全策略 操作手冊(cè)操作手冊(cè) 操作手冊(cè)操作手冊(cè) 操作手冊(cè)操作手冊(cè) 操作手冊(cè)操作手冊(cè) 考核指標(biāo)考核指標(biāo) 考核指標(biāo)考核指標(biāo) 4 4、信息安全管理體系系列標(biāo)準(zhǔn)、信息安全管理體系系列標(biāo)準(zhǔn) 59 v（1）ISO 27000系列 v（2）NIST SP800系列 v（3）ISO/IEC13335系列 （1 1）ISO ISO 2700027000系列系列 60 vISO 27000系列 27000270032700427007 27000 信息安全管理體系原則信息安全管理體系原則 和術(shù)語和術(shù)語

26、 27001 信息安全管理體系要求信息安全管理體系要求 27002 信息安全管理實(shí)踐準(zhǔn)則信息安全管理實(shí)踐準(zhǔn)則 27003 信息安全管理實(shí)施指南信息安全管理實(shí)施指南 27004 信息安全管理的度量指標(biāo)信息安全管理的度量指標(biāo) 和衡量和衡量 27005 信息安全風(fēng)險(xiǎn)管理指南信息安全風(fēng)險(xiǎn)管理指南 27006 信息和通信技術(shù)災(zāi)難恢復(fù)信息和通信技術(shù)災(zāi)難恢復(fù) 服務(wù)指南服務(wù)指南 27007 XXX 27001 27002 27000 27006 27005 27003 27004 信息安全管理體系基本原理和詞匯信息安全管理體系基本原理和詞匯 （1 1）ISO ISO 2700027000系列系列 61 270

27、01 ISMS要求 27004 ISMS度量指標(biāo)和衡量 27002 ISMS實(shí)踐準(zhǔn)則 27001的附錄A將兩者聯(lián)系起 來，作為ISMS過程的一部分 測(cè)量ISMS控制措施的性能和 有效性的要求將兩者聯(lián)系起來 2700027000：ISMSISMS基礎(chǔ)和詞匯基礎(chǔ)和詞匯 62 v正在啟動(dòng)的新標(biāo)準(zhǔn)項(xiàng)目； v它將主要以ISO/IEC 13335-1:2004信息和通信 技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理 的概念和模型為基礎(chǔ)進(jìn)行研究； v該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的基本原則、 概念和詞匯。 2700127001：信息安全管理體系要求信息安全管理體系要求 63 v2005年10月15日發(fā)

28、布； v規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審 、保持、改進(jìn)信息安全管理體系的要求； v基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程 （PDCA模型）使組織達(dá)到有效的信息安全； v使用了和ISO 9001、ISO 14001相同的管理體系過 程模型； v是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)； 2700227002：信息安全管理實(shí)用規(guī)則信息安全管理實(shí)用規(guī)則 64 v即17799，2005年6月15日發(fā)布第二版； v包含有11個(gè)安全類別、39個(gè)控制目標(biāo)、138個(gè)控制 措施； v實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng) 選擇實(shí)施的控制目標(biāo)和控制措施集； v是一個(gè)行業(yè)最佳慣例的匯總集，而不是一個(gè)認(rèn)

29、證 和審核標(biāo)準(zhǔn)； 2700327003：ISMSISMS實(shí)施指南實(shí)施指南 65 v目前處于工作草案階段； v它主要以BS 7799-2:2002附錄B的內(nèi)容為基礎(chǔ)進(jìn)行 制定； v提供了27001具體實(shí)施的指南。 2700427004：信息安全管理度量信息安全管理度量 66 v旨在為組織提供一個(gè)如何通過使用度量、測(cè)量項(xiàng) 以及合適的測(cè)量技術(shù)來評(píng)估其安全管理狀態(tài)的指 南。 2700527005：信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理 67 v目前處于委員會(huì)草案階段； v它將主要以ISO/IEC 13335-2為基礎(chǔ)進(jìn)行制定； v描述了信息安全風(fēng)險(xiǎn)管理的過程及每個(gè)過程的詳 細(xì)內(nèi)容。 （2 2）NIST SP

30、800NIST SP800系列系列 68 NIST SP800系列 （3 3）ISO/IEC13335ISO/IEC13335系列系列 69 ISO/IEC1335- 1:1996 IT安全概 念和模型 ISO/IEC1335- 2:1997 IT安全管 理和計(jì)劃 ISO/IEC1335- 3:1998 IT安全管 理技術(shù) ISO/IEC1335- 4:2000 IT安全措 施的選擇 ISO/IEC1335- 5:2001 網(wǎng)絡(luò)安全 管理指南 ISO/IEC13335系列系列 （三）信息安全管理過程方法要求（三）信息安全管理過程方法要求 v1、信息安全管理過程方法的作用 v2、信息安全管理過程

31、方法的結(jié)構(gòu) 70 1 1、信息安全管理過程方法的作用、信息安全管理過程方法的作用 71 v過程方法要求（Methodological requirements） ：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視 、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系 規(guī)定了要求。 v按照PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從 過程上嚴(yán)格保證了信息安全管理體系的有效性， 在過程上的這些要求是不可或缺的，也就是說不 是可選的，是必須執(zhí)行的。 2 2、信息安全管理過程方法的結(jié)構(gòu)、信息安全管理過程方法的結(jié)構(gòu) 72 （四）信息安全管理控制措施要求（四）信息安全管理控制措施要求 v1、信息安全管理控制措施的作用 v2、

32、信息安全管理控制措施的結(jié)構(gòu) 73 1 1、信息安全管理控制措施的作用、信息安全管理控制措施的作用 74 v安全控制要求（Security control requirements ）：為組織選擇滿足自身信息安全環(huán)境要求的控 制措施提供了一個(gè)最佳實(shí)踐集。 v組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險(xiǎn) 特征選擇適用的控制措施。 v當(dāng)然組織也可以根據(jù)自身的特定要求對(duì)安全控制 措施進(jìn)行補(bǔ)充。 2 2、信息安全管理控制措施的結(jié)構(gòu)、信息安全管理控制措施的結(jié)構(gòu) 75 v共有11個(gè)控制條款（方面） v每個(gè)條款包括許多主要的安全類。 v每個(gè)安全類包括： 一個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么 一個(gè)或多個(gè)控制措施，可被用于

33、實(shí)現(xiàn)該控制目標(biāo) 每個(gè)控制措施 控制：是對(duì)該控制措施的定義 實(shí)施指南：是對(duì)實(shí)施該控制措施的指導(dǎo)性說明 其它信息：其它需要說明的補(bǔ)充信息 76 2 2、信息安全管理控制措施的結(jié)構(gòu)示例、信息安全管理控制措施的結(jié)構(gòu)示例 v8、人員安全安全控制條款 v8.1雇傭前安全類 確保員工、合同訪和第三方用戶了解他們的責(zé)任并 適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施 誤用的風(fēng)險(xiǎn)。 安全類控制目標(biāo) 8.1.1角色和職責(zé)安全控制措施 控制：是對(duì)該控制措施的定義 實(shí)施指南：是對(duì)實(shí)施該控制措施的指導(dǎo)性說明 其它信息：其它需要說明的補(bǔ)充信息 77 v知識(shí)子域：過程方法與PDCA循環(huán) 理解ISMS過程和過程方法的含義 理

34、解PDCA循環(huán)的特征和作用 v知識(shí)子域：建立、運(yùn)行、評(píng)審與改進(jìn)ISMS 了解建立ISMS的主要工作內(nèi)容 了解實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容 了解監(jiān)視和評(píng)審ISMS的主要工作內(nèi)容 了解保持和改進(jìn)ISMS的主要工作內(nèi)容 知識(shí)域：信息安全管理體系建設(shè)知識(shí)域：信息安全管理體系建設(shè) 三、信息安全管理體系建設(shè)三、信息安全管理體系建設(shè) v（一）信息安全管理體系的規(guī)劃和建立 v（二）信息安全管理體系的實(shí)施和運(yùn)行 v（三）信息安全管理體系的監(jiān)視和評(píng)審 v（四）信息安全管理體系的保持和改進(jìn) 78 （一）信息安全管理體系規(guī)劃和建立（一）信息安全管理體系規(guī)劃和建立 vP1-定義ISMS范圍 vP2-定義ISMS方針

35、 vP3-確定風(fēng)險(xiǎn)評(píng)估方法 vP4-分析和評(píng)估信息安全風(fēng)險(xiǎn) vP5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施 vP6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 vP7-準(zhǔn)備詳細(xì)的適用性聲明SoA 79 P1-P1-定義定義ISMSISMS范圍范圍 80 vISMS的范圍就是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng) 域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織 范圍內(nèi)、個(gè)別部門或領(lǐng)域構(gòu)建ISMS。 v在本階段，應(yīng)將組織劃分成不同的信息安全控制 領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng) 的信息安全管理。 v在定義ISMS范圍時(shí)，應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門 、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以 及信息技術(shù)的應(yīng)用區(qū)域。 P2-P

36、2-定義定義ISMSISMS方針方針 81 v信息安全方針是組織的信息安全委員會(huì)或管理當(dāng) 局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資 產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)則 和指示。 v信息安全方針應(yīng)當(dāng)闡明管理層的承諾，提出組織 管理信息安全的方法，并由管理層批準(zhǔn)，采用適 當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工。 v信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少 包括目標(biāo)、范圍、意圖、法規(guī)的遵從性和管理的 責(zé)任等內(nèi)容。 P3-P3-確定風(fēng)險(xiǎn)評(píng)估方法確定風(fēng)險(xiǎn)評(píng)估方法 82 v組織可采取不同風(fēng)險(xiǎn)評(píng)估法方法，一個(gè)方法是否 適合于特定組織，有很多影響因素，包括： 業(yè)務(wù)環(huán)境 業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性； 對(duì)支持組織業(yè)

37、務(wù)活動(dòng)的信息系統(tǒng)的依賴程度； 業(yè)務(wù)內(nèi)容、支持系統(tǒng)、應(yīng)用軟件和服務(wù)的復(fù)雜性； 貿(mào)易伙伴、外部業(yè)務(wù)關(guān)系、合同數(shù)量的大小。 v這些因素對(duì)風(fēng)險(xiǎn)評(píng)估方法的選擇都很重要，不僅 風(fēng)險(xiǎn)評(píng)估要考慮成本與效益的權(quán)衡，不出現(xiàn)過度 安全；風(fēng)險(xiǎn)評(píng)估自身也要考慮成本與效益的權(quán)衡 ，不出現(xiàn)過度復(fù)雜。 P4-P4-分析和評(píng)估信息安全風(fēng)險(xiǎn)分析和評(píng)估信息安全風(fēng)險(xiǎn) 83 v風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定 和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱 性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制 措施進(jìn)行鑒定。 v確定風(fēng)險(xiǎn)數(shù)值的大小不是評(píng)估的最終目的，重要 的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值 ，即要確定不同風(fēng)險(xiǎn)的

38、優(yōu)先次序或等級(jí)，對(duì)于風(fēng) 險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。組 織可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采 用區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí) ，這包括將可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)進(jìn)行劃分 。 P5-P5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施 84 v根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在已有措施基礎(chǔ)上從安全 控制最佳集合中選擇安全控制措施。 P6-P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 85 v在選擇控制目標(biāo)和控制措施時(shí)，并沒有一套標(biāo)準(zhǔn) 與通用的辦法，選擇的過程往往不是很直接，可 能要涉及一系列的決策步驟、咨詢過程，要和不 同的業(yè)務(wù)部門和大量的關(guān)

39、鍵人員進(jìn)行討論，對(duì)業(yè) 務(wù)目標(biāo)進(jìn)行廣泛的分析，最后產(chǎn)生的結(jié)果要很好 的滿足組織對(duì)業(yè)務(wù)目標(biāo)、資產(chǎn)保護(hù)、投資預(yù)算的 要求。 v組織采用什么樣的方法來評(píng)估安全需求和選擇控 制，完全由組織自己來決定。但無論采用什么樣 的方法、工具，都需要靠來自風(fēng)險(xiǎn)、來自法規(guī)和 合同的遵從以及來自業(yè)務(wù)這三種安全需求來驅(qū)動(dòng) 。 P7-P7-準(zhǔn)備詳細(xì)的適用性聲明準(zhǔn)備詳細(xì)的適用性聲明SoASoA 86 v在風(fēng)險(xiǎn)評(píng)估之后，組織應(yīng)該選用符合組織自身需 要的控制措施與控制目標(biāo)。所選擇的控制目標(biāo)和 措施以及被選擇的原因應(yīng)在適用性聲明（SOA： Statement of Application）SOA中進(jìn)行說明。 vSOA是適合組織需要

40、的控制目標(biāo)和控制的評(píng)論，需 要提交給管理者、職員、具有訪問權(quán)限的第三方 相關(guān)認(rèn)證機(jī)構(gòu)。 vSOA的準(zhǔn)備一方面是為了向組織內(nèi)的員工聲明對(duì)信 息安全面對(duì)的風(fēng)險(xiǎn)的態(tài)度，更大程度上則是為了 向外界表明組織的態(tài)度和作為，以表明組織已經(jīng) 全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將 所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi)。 （二）信息安全管理體系實(shí)施和運(yùn)行（二）信息安全管理體系實(shí)施和運(yùn)行 vD1-開發(fā)風(fēng)險(xiǎn)處置計(jì)劃 vD2-實(shí)施風(fēng)險(xiǎn)處置計(jì)劃 vD3-實(shí)施安全控制措施 vD4-實(shí)施安全教育培訓(xùn) vD5-管理ISMS的運(yùn)行 vD6-管理ISMS 的資源 vD7-執(zhí)行檢測(cè)安全事件程序 vD8-執(zhí)行響應(yīng)安全事故程序

41、 87 信息安全風(fēng)險(xiǎn)處置的分類信息安全風(fēng)險(xiǎn)處置的分類 88 v根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相關(guān)的風(fēng)險(xiǎn)處置： v降低風(fēng)險(xiǎn)：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前，應(yīng)首先考慮采取 措施降低風(fēng)險(xiǎn)； v避免風(fēng)險(xiǎn)：避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)容易避免，例如采用不同的 技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等； v轉(zhuǎn)移風(fēng)險(xiǎn)：轉(zhuǎn)移風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和避 免、且被第三方接受時(shí)才采用； v接受風(fēng)險(xiǎn)：接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng) 險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組 織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。 信息安全管理體系試運(yùn)行信息安全管理體系試運(yùn)行 v體系運(yùn)行初期處于體系的磨合期，一般稱為試運(yùn) 行期，

42、在此期間運(yùn)行的目的是要在實(shí)踐中體驗(yàn)體 系的充分性、適用性和有效性。在體系運(yùn)行初期 ，組織應(yīng)加強(qiáng)運(yùn)作力度，通過實(shí)施ISMS手冊(cè)、程 序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，充 分發(fā)揮體系本身的各項(xiàng)工程，及時(shí)發(fā)現(xiàn)體系本身 存在的問題，找出問題的根據(jù)，采取糾正措施， 糾正各種不符合，并按照更改控制程序要求對(duì)體 系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體 系的目的。 89 （三）信息安全管理體系監(jiān)視和評(píng)審（三）信息安全管理體系監(jiān)視和評(píng)審 v C1-執(zhí)行ISMS監(jiān)視程序 v C2-執(zhí)行ISMS評(píng)價(jià)程序 v C3-定期執(zhí)行ISMS評(píng)審 v C4-測(cè)量控制措施的有效性 v C5-驗(yàn)證安全要求是否被滿足 v

43、C6-按計(jì)劃進(jìn)行風(fēng)險(xiǎn)評(píng)估 v C7-評(píng)審可接受殘余風(fēng)險(xiǎn) v C8-按計(jì)劃進(jìn)行內(nèi)部審核 v C9-按計(jì)劃進(jìn)行管理評(píng)審 v C10-更新信息安全計(jì)劃 v C11-記錄對(duì)ISMS有影響的行動(dòng)和事件 90 常用的檢查措施：常用的檢查措施： v在檢查階段采集的信息應(yīng)該可以用來測(cè)量信息安 全管理體系，判斷是否符合組織的安全方針和控 制目標(biāo)的有效性。常用的檢查措施有： v日常檢查：作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行，并設(shè) 計(jì)用來偵測(cè)處理結(jié)果的錯(cuò)誤。 v自治程序：為了保證任何錯(cuò)誤或失敗在發(fā)生時(shí)能 被及時(shí)發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報(bào)警等。 v從其他處學(xué)習(xí)：一種識(shí)別組織不夠好的方法是看 其他組織在處理此類問題是否有更好

44、的辦法。 91 常用的檢查措施：常用的檢查措施： v內(nèi)部審核：在一個(gè)特定的常規(guī)審核時(shí)間內(nèi)檢查 所有方面是否達(dá)到預(yù)想的效果。 v管理評(píng)審：管理評(píng)審的目的是檢查信息安全管理 體系的有效性，以識(shí)別需要的改進(jìn)和采取的行動(dòng) 。管理評(píng)審指導(dǎo)每年進(jìn)行一次 v趨勢(shì)分析：經(jīng)常進(jìn)行趨勢(shì)分析有助于組織識(shí)別需 要改進(jìn)的領(lǐng)域，并建立一個(gè)持續(xù)改進(jìn)和循環(huán)提高 的基礎(chǔ)。 92 （四）信息安全管理體系保持和改進(jìn)（四）信息安全管理體系保持和改進(jìn) vA1-實(shí)施已識(shí)別的ISMS改進(jìn)措施 vA2-執(zhí)行糾正性和預(yù)防性措施 vA3-通知相關(guān)人員ISMS的變更 vA4-從安全經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí) 93 A1-A1-實(shí)施已識(shí)別的實(shí)施已識(shí)別的ISM

45、SISMS改進(jìn)措施改進(jìn)措施 94 v為使信息安全管理體系持續(xù)有效，應(yīng)以檢查階段 采集的不符合項(xiàng)信息為基礎(chǔ)，經(jīng)常進(jìn)行調(diào)整與改 進(jìn)。 v不符合項(xiàng)指： 缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全 管理體系的要求； 在有可觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系 安全方針和組織安全目標(biāo)能力的重大懷疑。 A2-A2-執(zhí)行糾正性和預(yù)防性措施執(zhí)行糾正性和預(yù)防性措施 95 v通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運(yùn)行中 出現(xiàn)了不符合規(guī)定要求的事項(xiàng)后，就需要采取改 進(jìn)措施。改進(jìn)措施主要通過糾正與預(yù)防性控制措 施來實(shí)現(xiàn)，同時(shí)對(duì)潛在的不符合項(xiàng)采取預(yù)防性措 施。 v糾正性措施：組織應(yīng)采取措施，以消除不合格的 、與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因、 防止問題的再發(fā)生。 v預(yù)防性措施：組織應(yīng)對(duì)未來的不合適事件確定預(yù) 防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問題的 影