CISP0301信息安全管理體系（課堂PPT）

1、信息安全管理體系信息安全管理體系培訓(xùn)機(jī)構(gòu)名稱(chēng)講師名字2課程內(nèi)容課程內(nèi)容信息安全管理信息安全管理體系體系知識(shí)體知識(shí)體知識(shí)域知識(shí)域信息安全管理信息安全管理基本概念基本概念信息安全信息安全管理體系建設(shè)管理體系建設(shè)知識(shí)子域知識(shí)子域信息安全管理的作用信息安全管理的作用風(fēng)險(xiǎn)管理的概念和作用風(fēng)險(xiǎn)管理的概念和作用過(guò)程方法與過(guò)程方法與PDCA循環(huán)循環(huán)安全管理控制措施的概念和作用安全管理控制措施的概念和作用建立、運(yùn)行、評(píng)審與改進(jìn)建立、運(yùn)行、評(píng)審與改進(jìn)ISMS知識(shí)域：信息安全管理基本概念知識(shí)域：信息安全管理基本概念v知識(shí)子域： 信息安全管理的作用 理解信息安全“技管并重”原則的意義 理解成功實(shí)施信息安全管理工作的關(guān)

2、鍵因素v知識(shí)子域： 風(fēng)險(xiǎn)管理的概念和作用 理解信息安全風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性 理解風(fēng)險(xiǎn)評(píng)估是信息安全管理工作的基礎(chǔ) 理解風(fēng)險(xiǎn)處置是信息安全管理工作的核心v知識(shí)子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理風(fēng)險(xiǎn)的具體手段 了解11個(gè)基本安全管理控制措施的基本內(nèi)容3信息安全管理信息安全管理v一、信息安全管理概述v二、信息安全管理體系v三、信息安全管理體系建立v四、信息安全管理控制規(guī)范4一、信息安全管理概述一、信息安全管理概述v（一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于風(fēng)險(xiǎn)的信息安全v（二）信息安全管理的狀況 1、信

3、息安全管理的作用 2、信息安全管理的發(fā)展 3、信息安全管理的標(biāo)準(zhǔn) 4、成功實(shí)施信息安全管理的關(guān)鍵5（一）信息安全管理基本概念（一）信息安全管理基本概念v1、信息安全v2、信息安全管理v3、基于風(fēng)險(xiǎn)的信息安全61 1、信息安全、信息安全7v信息信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值，因此需要妥善保護(hù)。v信息安全信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過(guò)采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來(lái)保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。1 1、信息安全、信息

4、安全81 1、信息安全、信息安全- -保密性保密性9v保密性保密性v確保只有那些被授予特定權(quán)限的人才能夠訪問(wèn)到信息。信息的保密性依據(jù)信息被允許訪問(wèn)對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開(kāi)信息，需要限制訪問(wèn)的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級(jí)。1 1、信息安全、信息安全- -完整性完整性10v完整性完整性v保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲(chǔ)信息的過(guò)程中不發(fā)生篡改信息、丟失信息、錯(cuò)誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮?，有可能造成重要文件的丟失，甚至整個(gè)系統(tǒng)的癱瘓。1 1、信息安全、信息安

5、全- -可用性可用性11v可用性可用性v確保那些已被授權(quán)的用戶(hù)在他們需要的時(shí)候，確實(shí)可以訪問(wèn)到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)。2 2、信息安全管理、信息安全管理v 統(tǒng)計(jì)結(jié)果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來(lái)看信息和網(wǎng)絡(luò)安全的全貌就會(huì)發(fā)現(xiàn)安全問(wèn)題實(shí)際上都是人的問(wèn)題，單憑技術(shù)是無(wú)法實(shí)現(xiàn)從“最大威脅”

6、到“最可靠防線”轉(zhuǎn)變的。v 信息安全是一個(gè)多層面、多因素的過(guò)程，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬(wàn)、顧此失彼的問(wèn)題，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無(wú)法提高信息安全水平。122 2、信息安全管理、信息安全管理13v正確的做法是參考國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過(guò)程，根據(jù)組織對(duì)信息安全的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理安全管理體系，從而保證組織賴(lài)以生存的信息資產(chǎn)的保密性、完整性和可用性。2 2、信息安全管理、信息安全管理14n組織中為了完成信息安全目標(biāo)信息安全目標(biāo)，針對(duì)信息系統(tǒng)信息系統(tǒng)，遵循安全策略，

7、按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ǎM(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)n信息安全管理工作的對(duì)象規(guī)則人員目標(biāo)組織信息輸入立法摘要變化？關(guān)鍵活動(dòng)關(guān)鍵活動(dòng)測(cè)量擁有者資 源記錄標(biāo) 準(zhǔn)輸入輸出生 產(chǎn)經(jīng) 營(yíng)過(guò)程2 2、信息安全管理、信息安全管理15v信息安全管理是通過(guò)維護(hù)信息的保密性、完整性和可用性，來(lái)管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制；是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動(dòng)，有效的信息安全管理要盡量做到在有限的成本下，保證安全風(fēng)險(xiǎn)控制在可接受的范圍。3 3、基于風(fēng)險(xiǎn)的信息安全、基于風(fēng)險(xiǎn)的信息安全16v（1）安全風(fēng)險(xiǎn)的基本概念v（2）信息安全的風(fēng)

8、險(xiǎn)模型v（2）基于風(fēng)險(xiǎn)的信息安全17（1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念v資產(chǎn)資產(chǎn)v 資產(chǎn)是任何對(duì)組織有價(jià)值的東西v 信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值v資產(chǎn)的分類(lèi)v 電子信息資產(chǎn)v 紙介資產(chǎn)v 軟件資產(chǎn)v 物理資產(chǎn)v 人員v 服務(wù)性資產(chǎn)v 公司形象和名譽(yù)v 18（1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念v威脅威脅v 資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件v 威脅是利用脆弱性來(lái)造成后果v威脅舉例v 黑客入侵和攻擊病毒和其他惡意程序v 軟硬件故障人為誤操作v盜竊網(wǎng)絡(luò)監(jiān)聽(tīng)v供電故障后門(mén)v未授權(quán)訪問(wèn)自然災(zāi)害如：地震、火災(zāi)19（1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的

9、基本概念v脆弱性脆弱性v 是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。v 脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿(mǎn)足時(shí)，脆弱性會(huì)被威脅加以利用來(lái)對(duì)信息資產(chǎn)造成危害。v脆弱性舉例v 系統(tǒng)漏洞程序Bugv 專(zhuān)業(yè)人員缺乏不良習(xí)慣v 缺少審計(jì)缺乏安全意識(shí)v 后門(mén)v 物理環(huán)境訪問(wèn)控制措施不當(dāng)20（1 1）安全風(fēng)險(xiǎn)的基本概念）安全風(fēng)險(xiǎn)的基本概念v安全控制措施安全控制措施v 根據(jù)安全需求部署的，用來(lái)防范威脅，降低風(fēng)險(xiǎn)的措施v安全控制措施舉例技術(shù)措施技術(shù)措施防火墻防病毒入侵檢測(cè)災(zāi)備系統(tǒng)管理措施管理措施安全規(guī)章安全組織人員培訓(xùn)運(yùn)行維護(hù)（2 2）信息安全的風(fēng)險(xiǎn)模型）信息安全的風(fēng)險(xiǎn)模型21沒(méi)有絕對(duì)的安全，只有相對(duì)的

10、安全信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過(guò)恰當(dāng)、足夠、綜合的安全措施來(lái)控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。（3 3）基于風(fēng)險(xiǎn)的信息安全）基于風(fēng)險(xiǎn)的信息安全信息安全追求目標(biāo)信息安全追求目標(biāo)v確保業(yè)務(wù)連續(xù)性v業(yè)務(wù)風(fēng)險(xiǎn)最小化v保護(hù)信息免受各種威脅的損害v投資回報(bào)和商業(yè)機(jī)遇最大化獲得信息安全方式獲得信息安全方式v實(shí)施一組合適的控制措施，包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。22（3 3）風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)）風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)v風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)

11、劃的安全控制措施進(jìn)行界定。v信息安全管理體系的建立需要確定信息安全需求v信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估v信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，沒(méi)有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就沒(méi)有依據(jù)。23（4 4）風(fēng)險(xiǎn)處置是信息安全管理的核心）風(fēng)險(xiǎn)處置是信息安全管理的核心v風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上，風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的控制措施集合。v控制目標(biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過(guò)程也就是信息安全建立體系的建立過(guò)程。v信息安全管理體系的核心就是這些最佳控制措施集合的。24（二）信息安全管理的狀況（二）信息安全管理的狀況v1、信息安

12、全管理的作用v2、信息安全管理的發(fā)展v3、信息安全管理有關(guān)標(biāo)準(zhǔn)v4、成功實(shí)施信息安全管理的關(guān)鍵251 1、信息安全管理的作用、信息安全管理的作用26v如果你把鑰匙落在鎖眼上會(huì)怎樣？v技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險(xiǎn)柜就一定安全嗎保險(xiǎn)柜就一定安全嗎？27精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問(wèn)題嗎？1 1、信息安全管理的作用、信息安全管理的作用28信息系統(tǒng)是人機(jī)交互系統(tǒng)應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過(guò)程設(shè)備的有效利用是人為的管理過(guò)程“堅(jiān)持管理與技術(shù)并重堅(jiān)持管理與技術(shù)并重”是我國(guó)是我國(guó)加加強(qiáng)信息安全保障工作的主要原則強(qiáng)信息安全保障工作的主要原則1 1、信息安全管理的作用、信

13、息安全管理的作用2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-1-129vISO/IEC TR 13335 國(guó)際標(biāo)準(zhǔn)化組織在信息安全管理方面，早在1996年就開(kāi)始制定信息技術(shù)信息安全管理指南（ISO/IEC TR 13335），它分成五個(gè)部分：信息安全的概念和模型信息安全管理和規(guī)劃信息安全管理技術(shù)基線方法網(wǎng)絡(luò)安全管理指南2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-2-230vBS 7799 英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)（BSI）1995年頒布了信息安全管理指南（BS 7799），BS 7799分為兩個(gè)部分： BS 7799-1信息安全管理實(shí)施規(guī)則和BS 7799-2信息安全管理體系規(guī)范。2002年又頒

14、布了信息安全管理系統(tǒng)規(guī)范說(shuō)明（BS 7799-2:2002）。 BS 7799將信息安全管理的有關(guān)問(wèn)題劃分成了10個(gè)控制要項(xiàng)、36 個(gè)控制目標(biāo)和127 個(gè)控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-3-3312 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-4-4323 3、國(guó)內(nèi)外信息安全管理標(biāo)準(zhǔn)、國(guó)內(nèi)外信息安全管理標(biāo)準(zhǔn)33v（1）國(guó)際信息安全管理標(biāo)準(zhǔn) 國(guó)際信息安全標(biāo)準(zhǔn)化組織 國(guó)際信息安全管理標(biāo)準(zhǔn)v（2）國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn) 國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織 國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全標(biāo)準(zhǔn)化組織國(guó)際信息安全標(biāo)準(zhǔn)化組織34

15、國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-1-135國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-2-236國(guó)際信息安全管理標(biāo)準(zhǔn)國(guó)際信息安全管理標(biāo)準(zhǔn)-3-337國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織國(guó)內(nèi)信息安全標(biāo)準(zhǔn)化組織38國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-1-139WG7組已有的標(biāo)準(zhǔn)組已有的標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-2-240WG7組研究中的標(biāo)準(zhǔn)組研究中的標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)-3-3414 4、實(shí)施信息安全管理的關(guān)鍵成功因素、實(shí)施信息安全管理的關(guān)鍵成功因素v理解組織文化v得到高層承諾v做好風(fēng)險(xiǎn)評(píng)估v整合管理體系v積極有效宣貫v納入獎(jiǎng)懲機(jī)制v持續(xù)改進(jìn)體系42二、

16、信息安全管理體系二、信息安全管理體系v（一）什么是信息安全管理體系v（二）信息安全管理體系的框架v（三）信息安全管理過(guò)程方法要求v（四）信息安全管理控制措施要求43（一）什么是信息安全管理體系（一）什么是信息安全管理體系v1、信息安全管理體系的定義v2、信息安全管理體系的特點(diǎn)v3、信息安全管理體系的作用v4、信息安全管理體系的文件441 1、信息安全管理體系的定義、信息安全管理體系的定義v信息安全管理體系（ISMS：Information Security Management System）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接 管理活動(dòng)

17、的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過(guò)程和資源的集合。452 2、信息安全管理體系的特點(diǎn)、信息安全管理體系的特點(diǎn)v 信息安全管理體系要求組織通過(guò)確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來(lái)建立信息安全管理體系；v 體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求；v 強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織

18、的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。463 3、信息安全管理體系的作用、信息安全管理體系的作用v對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；v在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；v促使管理層貫徹信息安全管理體系，強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；v使組織的生意伙伴和客戶(hù)對(duì)組織充滿(mǎn)信心；v組織可以按照安全管理，達(dá)到動(dòng)態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的持續(xù)性。474 4、信息安全管理體系的理念、信息安全管理體系的理念v各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理

19、的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息安全的各個(gè)角度和整個(gè)生命周期來(lái)考察，如果忽略了組織中最活躍的因素人的作用，則信息安全管理體系是不完備的，考察國(guó)內(nèi)外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全時(shí)間表象后面其實(shí)都是人的因素在起決定作用。484 4、信息安全管理體系的理念、信息安全管理體系的理念49在信息安全問(wèn)題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者的互動(dòng)。5 5、信息安全管理體系的過(guò)程、信息安全管理體系的過(guò)程50完善信息安全治理結(jié)構(gòu)風(fēng)險(xiǎn)評(píng)估安全規(guī)劃信息安全管理框架管理措施技術(shù)手段信息系統(tǒng)安全審計(jì)監(jiān)控

20、業(yè)務(wù)與安全環(huán)境符合安全控制標(biāo)準(zhǔn)？持續(xù)改進(jìn)調(diào)整（二）信息安全管理體系框架（二）信息安全管理體系框架v1、信息安全管理體系循環(huán)框架v2、信息安全管理體系內(nèi)容框架v3、信息安全管理體系文件框架v4、信息安全管理體系系列標(biāo)準(zhǔn)511 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架52信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。相關(guān)方信息安全要求和期望相關(guān)方受控的信息安全1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架53vPDCA也稱(chēng)“戴明環(huán)”，由美國(guó)質(zhì)量管理專(zhuān)家戴明提出。vP P（PlanPlan）：）：計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；vD D（DoDo）：）：實(shí)施，實(shí)際

21、去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；vC C（CheckCheck）：）：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問(wèn)題；vA A（ActionAction）：）：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問(wèn)題放到下一個(gè)PDCA循環(huán)。1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架54pPDCA特點(diǎn)一：按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。 9090處置處置實(shí)施實(shí)施規(guī)劃規(guī)劃?rùn)z查檢查C CA AD DP PpPDCA特點(diǎn)二： 組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)

22、題。 90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP PpPDCA特點(diǎn)三：每通過(guò)一次PDCA 循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA 循環(huán)。90909090處置處置實(shí)施實(shí)施規(guī)劃規(guī)劃?rùn)z查檢查C CA AD DP P達(dá)到新的水平達(dá)到新的水平改進(jìn)改進(jìn)( (修訂標(biāo)準(zhǔn)修訂標(biāo)準(zhǔn)) )維持原有水平維持原有水平90909090處置處置實(shí)施實(shí)施規(guī)劃規(guī)劃?rùn)z查檢查C CA AD DP P2 2、信息安全管理體系內(nèi)容框架、信息安全管理體系內(nèi)容框架552 2、信息安全管理體系內(nèi)容框架（續(xù)）、信息安全管理體系內(nèi)容框架（續(xù)）56其他最佳實(shí)踐

23、標(biāo)準(zhǔn)與各安全控制域之間的對(duì)應(yīng)其他最佳實(shí)踐標(biāo)準(zhǔn)與各安全控制域之間的對(duì)應(yīng)ISO27000系列不是信息安全管理體系的全部系列不是信息安全管理體系的全部3 3、信息安全管理體系文檔框架、信息安全管理體系文檔框架573 3、信息安全管理體系文檔框架、信息安全管理體系文檔框架58安全策略安全策略操作手冊(cè)操作手冊(cè)操作手冊(cè)操作手冊(cè)操作手冊(cè)操作手冊(cè)操作手冊(cè)操作手冊(cè)考核指標(biāo)考核指標(biāo)考核指標(biāo)考核指標(biāo)4 4、信息安全管理體系系列標(biāo)準(zhǔn)、信息安全管理體系系列標(biāo)準(zhǔn)59v（1）ISO 27000系列v（2）NIST SP800系列v（3）ISO/IEC13335系列（1 1）ISO 27000ISO 27000系列系列60v

24、ISO 27000系列27000270032700427007 27000信息安全管理體系原則信息安全管理體系原則和術(shù)語(yǔ)和術(shù)語(yǔ) 27001信息安全管理體系要求信息安全管理體系要求27002 信息安全管理實(shí)踐準(zhǔn)則信息安全管理實(shí)踐準(zhǔn)則27003信息安全管理實(shí)施指南信息安全管理實(shí)施指南27004 信息安全管理的度量指標(biāo)信息安全管理的度量指標(biāo)和衡量和衡量 27005 信息安全風(fēng)險(xiǎn)管理指南信息安全風(fēng)險(xiǎn)管理指南27006 信息和通信技術(shù)災(zāi)難恢復(fù)信息和通信技術(shù)災(zāi)難恢復(fù)服務(wù)指南服務(wù)指南27007 XXX27001270022700027006270052700327004信息安全管理體系基本原理和詞匯信息安全

25、管理體系基本原理和詞匯 （1 1）ISO 27000ISO 27000系列系列6127001的附錄A將兩者聯(lián)系起來(lái)，作為ISMS過(guò)程的一部分測(cè)量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來(lái)2700027000：ISMSISMS基礎(chǔ)和詞匯基礎(chǔ)和詞匯62v正在啟動(dòng)的新標(biāo)準(zhǔn)項(xiàng)目；v它將主要以ISO/IEC 13335-1:2004信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型為基礎(chǔ)進(jìn)行研究；v該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的基本原則、概念和詞匯。2700127001：信息安全管理體系要求信息安全管理體系要求63v2005年10月15日發(fā)布；v規(guī)定了一個(gè)組織建立、實(shí)施、

26、運(yùn)行、監(jiān)視、評(píng)審、保持、改進(jìn)信息安全管理體系的要求；v基于風(fēng)險(xiǎn)管理的思想，旨在通過(guò)持續(xù)改進(jìn)的過(guò)程（PDCA模型）使組織達(dá)到有效的信息安全；v使用了和ISO 9001、ISO 14001相同的管理體系過(guò)程模型；v是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)；2700227002：信息安全管理實(shí)用規(guī)則信息安全管理實(shí)用規(guī)則64v即17799，2005年6月15日發(fā)布第二版；v包含有11個(gè)安全類(lèi)別、39個(gè)控制目標(biāo)、138個(gè)控制措施；v實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng)選擇實(shí)施的控制目標(biāo)和控制措施集；v是一個(gè)行業(yè)最佳慣例的匯總集，而不是一個(gè)認(rèn)證和審核標(biāo)準(zhǔn)；2700327003：ISMSISMS實(shí)施指南實(shí)

27、施指南65v目前處于工作草案階段；v它主要以BS 7799-2:2002附錄B的內(nèi)容為基礎(chǔ)進(jìn)行制定；v提供了27001具體實(shí)施的指南。2700427004：信息安全管理度量信息安全管理度量66v旨在為組織提供一個(gè)如何通過(guò)使用度量、測(cè)量項(xiàng)以及合適的測(cè)量技術(shù)來(lái)評(píng)估其安全管理狀態(tài)的指南。2700527005：信息安全風(fēng)險(xiǎn)管理信息安全風(fēng)險(xiǎn)管理67v目前處于委員會(huì)草案階段；v它將主要以ISO/IEC 13335-2為基礎(chǔ)進(jìn)行制定；v描述了信息安全風(fēng)險(xiǎn)管理的過(guò)程及每個(gè)過(guò)程的詳細(xì)內(nèi)容。（2 2）NIST SP800NIST SP800系列系列68NIST SP800系列（3 3）ISO/IEC13335IS

28、O/IEC13335系列系列69ISO/IEC13335系列系列（三）信息安全管理過(guò)程方法要求（三）信息安全管理過(guò)程方法要求v1、信息安全管理過(guò)程方法的作用v2、信息安全管理過(guò)程方法的結(jié)構(gòu)701 1、信息安全管理過(guò)程方法的作用、信息安全管理過(guò)程方法的作用71v過(guò)程方法要求（Methodological requirements）：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。v按照PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從過(guò)程上嚴(yán)格保證了信息安全管理體系的有效性，在過(guò)程上的這些要求是不可或缺的，也就是說(shuō)不是可選的，是必須執(zhí)行的。2 2、信息安全管

29、理過(guò)程方法的結(jié)構(gòu)、信息安全管理過(guò)程方法的結(jié)構(gòu)72（四）信息安全管理控制措施要求（四）信息安全管理控制措施要求v1、信息安全管理控制措施的作用v2、信息安全管理控制措施的結(jié)構(gòu)731 1、信息安全管理控制措施的作用、信息安全管理控制措施的作用74v安全控制要求（Security control requirements）：為組織選擇滿(mǎn)足自身信息安全環(huán)境要求的控制措施提供了一個(gè)最佳實(shí)踐集。v組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險(xiǎn)特征選擇適用的控制措施。v當(dāng)然組織也可以根據(jù)自身的特定要求對(duì)安全控制措施進(jìn)行補(bǔ)充。2 2、信息安全管理控制措施的結(jié)構(gòu)、信息安全管理控制措施的結(jié)構(gòu)75v共有11個(gè)控制條款（

30、方面）v每個(gè)條款包括許多主要的安全類(lèi)。v每個(gè)安全類(lèi)包括： 一個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么 一個(gè)或多個(gè)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo) 每個(gè)控制措施 控制：是對(duì)該控制措施的定義 實(shí)施指南：是對(duì)實(shí)施該控制措施的指導(dǎo)性說(shuō)明 其它信息：其它需要說(shuō)明的補(bǔ)充信息762 2、信息安全管理控制措施的結(jié)構(gòu)示例、信息安全管理控制措施的結(jié)構(gòu)示例v8、人員安全安全控制條款v8.1雇傭前安全類(lèi) 確保員工、合同訪和第三方用戶(hù)了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。 安全類(lèi)控制目標(biāo) 8.1.1角色和職責(zé)安全控制措施 控制：是對(duì)該控制措施的定義 實(shí)施指南：是對(duì)實(shí)施該控制措施的指導(dǎo)性說(shuō)明 其它信息

31、：其它需要說(shuō)明的補(bǔ)充信息77v知識(shí)子域：過(guò)程方法與PDCA循環(huán) 理解ISMS過(guò)程和過(guò)程方法的含義 理解PDCA循環(huán)的特征和作用v知識(shí)子域：建立、運(yùn)行、評(píng)審與改進(jìn)ISMS 了解建立ISMS的主要工作內(nèi)容 了解實(shí)施和運(yùn)行ISMS的主要工作內(nèi)容 了解監(jiān)視和評(píng)審ISMS的主要工作內(nèi)容 了解保持和改進(jìn)ISMS的主要工作內(nèi)容知識(shí)域：信息安全管理體系建設(shè)三、信息安全管理體系建設(shè)三、信息安全管理體系建設(shè)v（一）信息安全管理體系的規(guī)劃和建立v（二）信息安全管理體系的實(shí)施和運(yùn)行v（三）信息安全管理體系的監(jiān)視和評(píng)審v（四）信息安全管理體系的保持和改進(jìn)78（一）信息安全管理體系規(guī)劃和建立（一）信息安全管理體系規(guī)劃和建

32、立vP1-定義ISMS范圍vP2-定義ISMS方針vP3-確定風(fēng)險(xiǎn)評(píng)估方法vP4-分析和評(píng)估信息安全風(fēng)險(xiǎn)vP5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施vP6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施vP7-準(zhǔn)備詳細(xì)的適用性聲明SoA79P1-P1-定義定義ISMSISMS范圍范圍80vISMS的范圍就是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、個(gè)別部門(mén)或領(lǐng)域構(gòu)建ISMS。v在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼在定義ISMS范圍時(shí)，應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門(mén)、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用

33、區(qū)域。P2-P2-定義定義ISMSISMS方針?lè)结?1v信息安全方針是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。v信息安全方針應(yīng)當(dāng)闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工。v信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少包括目標(biāo)、范圍、意圖、法規(guī)的遵從性和管理的責(zé)任等內(nèi)容。P3-P3-確定風(fēng)險(xiǎn)評(píng)估方法確定風(fēng)險(xiǎn)評(píng)估方法82v組織可采取不同風(fēng)險(xiǎn)評(píng)估法方法，一個(gè)方法是否適合于特定組織，有很多影響因素，包括： 業(yè)務(wù)環(huán)境 業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性； 對(duì)支持組織業(yè)務(wù)活動(dòng)的信息系統(tǒng)

34、的依賴(lài)程度； 業(yè)務(wù)內(nèi)容、支持系統(tǒng)、應(yīng)用軟件和服務(wù)的復(fù)雜性； 貿(mào)易伙伴、外部業(yè)務(wù)關(guān)系、合同數(shù)量的大小。v這些因素對(duì)風(fēng)險(xiǎn)評(píng)估方法的選擇都很重要，不僅風(fēng)險(xiǎn)評(píng)估要考慮成本與效益的權(quán)衡，不出現(xiàn)過(guò)度安全；風(fēng)險(xiǎn)評(píng)估自身也要考慮成本與效益的權(quán)衡，不出現(xiàn)過(guò)度復(fù)雜。P4-P4-分析和評(píng)估信息安全風(fēng)險(xiǎn)分析和評(píng)估信息安全風(fēng)險(xiǎn)83v風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。v確定風(fēng)險(xiǎn)數(shù)值的大小不是評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值，即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)

35、先分配資源進(jìn)行保護(hù)。組織可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí)，這包括將可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)進(jìn)行劃分。 P5-P5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施84v根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在已有措施基礎(chǔ)上從安全控制最佳集合中選擇安全控制措施。P6-P6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施85v在選擇控制目標(biāo)和控制措施時(shí)，并沒(méi)有一套標(biāo)準(zhǔn)與通用的辦法，選擇的過(guò)程往往不是很直接，可能要涉及一系列的決策步驟、咨詢(xún)過(guò)程，要和不同的業(yè)務(wù)部門(mén)和大量的關(guān)鍵人員進(jìn)行討論，對(duì)業(yè)務(wù)目標(biāo)進(jìn)行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿(mǎn)足組

36、織對(duì)業(yè)務(wù)目標(biāo)、資產(chǎn)保護(hù)、投資預(yù)算的要求。v組織采用什么樣的方法來(lái)評(píng)估安全需求和選擇控制，完全由組織自己來(lái)決定。但無(wú)論采用什么樣的方法、工具，都需要靠來(lái)自風(fēng)險(xiǎn)、來(lái)自法規(guī)和合同的遵從以及來(lái)自業(yè)務(wù)這三種安全需求來(lái)驅(qū)動(dòng)。P7-P7-準(zhǔn)備詳細(xì)的適用性聲明準(zhǔn)備詳細(xì)的適用性聲明SoASoA86v在風(fēng)險(xiǎn)評(píng)估之后，組織應(yīng)該選用符合組織自身需要的控制措施與控制目標(biāo)。所選擇的控制目標(biāo)和措施以及被選擇的原因應(yīng)在適用性聲明（SOA：Statement of Application）SOA中進(jìn)行說(shuō)明。vSOA是適合組織需要的控制目標(biāo)和控制的評(píng)論，需要提交給管理者、職員、具有訪問(wèn)權(quán)限的第三方相關(guān)認(rèn)證機(jī)構(gòu)。vSOA的準(zhǔn)備一方

37、面是為了向組織內(nèi)的員工聲明對(duì)信息安全面對(duì)的風(fēng)險(xiǎn)的態(tài)度，更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi)。（二）信息安全管理體系實(shí)施和運(yùn)行（二）信息安全管理體系實(shí)施和運(yùn)行vD1-開(kāi)發(fā)風(fēng)險(xiǎn)處置計(jì)劃vD2-實(shí)施風(fēng)險(xiǎn)處置計(jì)劃vD3-實(shí)施安全控制措施vD4-實(shí)施安全教育培訓(xùn)vD5-管理ISMS的運(yùn)行vD6-管理ISMS 的資源vD7-執(zhí)行檢測(cè)安全事件程序vD8-執(zhí)行響應(yīng)安全事故程序87信息安全風(fēng)險(xiǎn)處置的分類(lèi)信息安全風(fēng)險(xiǎn)處置的分類(lèi)88v根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相關(guān)的風(fēng)險(xiǎn)處置：v降低風(fēng)險(xiǎn)：降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前，

38、應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；v避免風(fēng)險(xiǎn)：避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)容易避免，例如采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；v轉(zhuǎn)移風(fēng)險(xiǎn)：轉(zhuǎn)移風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和避免、且被第三方接受時(shí)才采用；v接受風(fēng)險(xiǎn)：接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。信息安全管理體系試運(yùn)行信息安全管理體系試運(yùn)行v體系運(yùn)行初期處于體系的磨合期，一般稱(chēng)為試運(yùn)行期，在此期間運(yùn)行的目的是要在實(shí)踐中體驗(yàn)體系的充分性、適用性和有效性。在體系運(yùn)行初期，組織應(yīng)加強(qiáng)運(yùn)作力度，通過(guò)實(shí)施ISMS手冊(cè)、程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，

39、充分發(fā)揮體系本身的各項(xiàng)工程，及時(shí)發(fā)現(xiàn)體系本身存在的問(wèn)題，找出問(wèn)題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。89（三）信息安全管理體系監(jiān)視和評(píng)審（三）信息安全管理體系監(jiān)視和評(píng)審v C1-執(zhí)行ISMS監(jiān)視程序v C2-執(zhí)行ISMS評(píng)價(jià)程序v C3-定期執(zhí)行ISMS評(píng)審v C4-測(cè)量控制措施的有效性v C5-驗(yàn)證安全要求是否被滿(mǎn)足v C6-按計(jì)劃進(jìn)行風(fēng)險(xiǎn)評(píng)估v C7-評(píng)審可接受殘余風(fēng)險(xiǎn)v C8-按計(jì)劃進(jìn)行內(nèi)部審核v C9-按計(jì)劃進(jìn)行管理評(píng)審v C10-更新信息安全計(jì)劃v C11-記錄對(duì)ISMS有影響的行動(dòng)和事件90常用的檢查措

40、施：常用的檢查措施：v在檢查階段采集的信息應(yīng)該可以用來(lái)測(cè)量信息安全管理體系，判斷是否符合組織的安全方針和控制目標(biāo)的有效性。常用的檢查措施有：v日常檢查：作為正式的業(yè)務(wù)過(guò)程經(jīng)常進(jìn)行，并設(shè)計(jì)用來(lái)偵測(cè)處理結(jié)果的錯(cuò)誤。v自治程序：為了保證任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報(bào)警等。v從其他處學(xué)習(xí)：一種識(shí)別組織不夠好的方法是看其他組織在處理此類(lèi)問(wèn)題是否有更好的辦法。91常用的檢查措施：常用的檢查措施：v內(nèi)部審核：在一個(gè)特定的常規(guī)審核時(shí)間內(nèi)檢查所有方面是否達(dá)到預(yù)想的效果。v管理評(píng)審：管理評(píng)審的目的是檢查信息安全管理體系的有效性，以識(shí)別需要的改進(jìn)和采取的行動(dòng)。管理評(píng)審指導(dǎo)每年進(jìn)行一次v

41、趨勢(shì)分析：經(jīng)常進(jìn)行趨勢(shì)分析有助于組織識(shí)別需要改進(jìn)的領(lǐng)域，并建立一個(gè)持續(xù)改進(jìn)和循環(huán)提高的基礎(chǔ)。92（四）信息安全管理體系保持和改進(jìn)（四）信息安全管理體系保持和改進(jìn)vA1-實(shí)施已識(shí)別的ISMS改進(jìn)措施vA2-執(zhí)行糾正性和預(yù)防性措施vA3-通知相關(guān)人員ISMS的變更vA4-從安全經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)93A1-A1-實(shí)施已識(shí)別的實(shí)施已識(shí)別的ISMSISMS改進(jìn)措施改進(jìn)措施94v為使信息安全管理體系持續(xù)有效，應(yīng)以檢查階段采集的不符合項(xiàng)信息為基礎(chǔ)，經(jīng)常進(jìn)行調(diào)整與改進(jìn)。v不符合項(xiàng)指： 缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求； 在有可觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系安全方針和組織安全目標(biāo)能力的重大懷疑。A2-A2-執(zhí)行糾正性和預(yù)防性措施執(zhí)行糾正性和預(yù)防性措施95v通過(guò)各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運(yùn)行中出現(xiàn)了不符合規(guī)定要求的事項(xiàng)后，就需要采取改進(jìn)措施。改進(jìn)措施主要通過(guò)糾正與預(yù)防性控制措施來(lái)實(shí)現(xiàn)，同時(shí)對(duì)潛在的不符合項(xiàng)采取預(yù)防性措施。v糾正性措施：組織應(yīng)采取措施，以消除不合格的、與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因、防止問(wèn)題的再發(fā)生。v預(yù)防性措施：組織應(yīng)對(duì)未來(lái)的不合適事件確定預(yù)防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。A3-A3-通知相關(guān)人員通知相關(guān)人員ISMS