ISO27001信息安全體系培訓(xùn)條款4-8ISMS.

1、ISO 27001信息安全體系培訓(xùn)（條款48 ISMS IS027001培訓(xùn)系列V1.02009年 11董翼?xiàng)?dongyf內(nèi)容?信息安全管理體系（條款4 ?管理職責(zé)（條款5 ? ISMS內(nèi)部審核（條款6 ? ISMS管理評審（條款7 ? ISMS改進(jìn)（條款8 ?風(fēng)險(xiǎn)評估和處理董翼?xiàng)?dongyffugginfo)條款42 董與楓（dongyffugl巳泊fo）4.1總要求組織應(yīng)根據(jù)整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)，建立、實(shí)施、運(yùn) 行、監(jiān)視、評審、保持并改 進(jìn)文件化的信息安全管 理體系。本標(biāo)準(zhǔn)應(yīng)用了圖1所示的P DCA模式。3-革翼?xiàng)鳎╟lcmgyffugl巳.info4.2建立并管理ISMS4.2.1 建

2、立 ISMS任何刪減的細(xì)節(jié)和合ISMS方針a根據(jù)組織業(yè)務(wù)特征、組織、地理位置、資產(chǎn)、技術(shù)以及理性來確定ISMS范圍b根據(jù)組織業(yè)務(wù)特征、組織、地理位置、資產(chǎn)和技術(shù)確定c確定組織的風(fēng)險(xiǎn)評估方法d識別風(fēng)險(xiǎn)e分析并評價(jià)風(fēng)險(xiǎn)f識別和評價(jià)風(fēng)險(xiǎn)處理的選擇g選擇風(fēng)險(xiǎn)處理的 控制目標(biāo)和控制方式4 革翼?xiàng)鳎╟lDrigyffugl巳jnf0422實(shí)施和運(yùn)行ISMSa闡明風(fēng)險(xiǎn)處理計(jì)劃，它為信息安全風(fēng)險(xiǎn)管理指出了適當(dāng)?shù)墓芾泶胧?、職?zé)和優(yōu)先級;b實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到確定的控制目標(biāo)，應(yīng)考慮資金需求以及角色和職責(zé)分配;c選擇的控制以達(dá)到控制目標(biāo)；d確定如何測量所選擇的一個(gè)/組控制措施的有效性，并規(guī)定這些測量措施如何用于評

3、估控制的有效性以得出可比較的、可重復(fù)的結(jié)果e實(shí)施培訓(xùn)和意識方案（見5.2.2;f管理ISMS的運(yùn)行;g管理ISMS資源（見5.2;h實(shí)施程序及其它控制以及時(shí)檢測、響應(yīng)安全事故（見423。4.2.3監(jiān)視和評審ISMSa執(zhí)行監(jiān)視和評審程序和其它控制措施b定期評審ISMS的有效性（包括安全方針和目標(biāo)的實(shí)現(xiàn)情況，安全控制評審,考慮安全審核、事故、有效性測量的結(jié)果以及所有相關(guān)方的建議和反饋c測量控制措施的有效性，以證實(shí)安全要求已得到滿足；d按照計(jì)劃的時(shí)間間隔，評估風(fēng)險(xiǎn)評估，并評估殘余風(fēng)險(xiǎn)的等級和已識別的接受風(fēng)險(xiǎn),e按計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核（見條款6;f定期進(jìn)行ISMS管理評審（至少一年一次，

4、確保范圍仍然充分，并識別ISMS過程改進(jìn)的機(jī)會(huì)（見7.1;g更新安全計(jì)劃，考慮監(jiān)視和評審活動(dòng)的發(fā)現(xiàn)；h記錄可能影響ISMS有效性或業(yè)績的措施和事件（見4.3.3。4.2.4保持和改進(jìn)ISMSa實(shí)施ISMS已識別的改進(jìn)；b按照8.2和8.3的要求采取適當(dāng)?shù)募m正和預(yù)防措施?？偨Y(jié)從其它組織或組織自身的安全經(jīng)驗(yàn)得到的教訓(xùn)；c與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜，必要是，應(yīng)約定如何進(jìn)行;d確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。4.3.1總貝U?文件應(yīng)包括管理決策的記錄，以確保措施可以追溯到管理決策和方針。記錄 的結(jié)果應(yīng)該是可復(fù)制的。?重要的是要能夠展示從選擇的控制措施回溯到風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置

5、過程結(jié)果的關(guān)系，最終回溯到ISMS方針和目標(biāo)。? ISMS文件應(yīng)包括：a形成文件的ISMS方針（見4.2.1b和控制目標(biāo);b ISMS 范圍（見 4.2.1a;c ISMS的支持性程序和控制；d風(fēng)險(xiǎn)評估方法的描述（見421a;e風(fēng)險(xiǎn)評估報(bào)告（見4.2.1c到4.2.1g;f風(fēng)險(xiǎn)處置計(jì)劃（見4.2.2b;g組織為確保其信息安全過程的有效策劃、運(yùn)行和控制以及規(guī)定如何規(guī)定如何 測量控制措施有效性所需的程序文件（見4.2.3 c;h本標(biāo)準(zhǔn)所要求的記錄（見4.3.3。i適用性聲明。4.3.2文件控制?ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施：a文件發(fā)布前得

6、到批準(zhǔn)，以確保文件是充分的；b必要時(shí)，對文件進(jìn)行評審與更新并再次批準(zhǔn)；c確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別條款5d確保在使用處可獲得適用文件的相關(guān)版本e確保文件保持合法，易于識別;f確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀；g確保外來文件得到識別；h確保文件的分發(fā)是受控的；i防止作廢文件的非預(yù)期使用；j若因任何原因而保留作廢文件時(shí)，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。4.3文件要求4.3.3記錄控制?應(yīng)建立并保持記錄，以提供符合要求和ISMS有效運(yùn)行的證據(jù)。應(yīng)保護(hù)并控制記錄。ISMS應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法，易于識別和檢索。應(yīng)編制形成文件的

7、程序，以規(guī)定記錄的標(biāo) 識、儲存、保護(hù)、檢索、保存期限和處置所需的控制。?保持4.2列出的過程業(yè)績的記錄以及與ISMS有關(guān)的重大安全事件的記錄?舉例:記錄包括訪問者登記表、審核記錄和完成的訪問授權(quán)表。管理職責(zé)5.1管理承諾?管理層應(yīng)通過以下措施對其建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS的承諾提供證據(jù)：a建立信息安全方針;b確保信息安全目標(biāo)和計(jì)劃的建立；c為信息安全分配角色和職責(zé)；d向組織傳達(dá)實(shí)現(xiàn)信息安全目標(biāo)、符合信息安全策略、法律責(zé)任的重要性以及持續(xù)改進(jìn)的需要；e提供足夠的資源，以建立、實(shí)施、運(yùn)行監(jiān)視、保持和改進(jìn) ISMS（見5.2.1;f決定接受風(fēng)險(xiǎn)的準(zhǔn)則和可接受的風(fēng)險(xiǎn)等級；g確保I

8、SMS內(nèi)部審核的實(shí)施（見條款6h進(jìn)行ISMS管理評審（見條款7。5.2.1資源提供?組織應(yīng)確定并提供以下方面所需的資源：a建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn) ISMS;b確保信息安全程序支持業(yè)務(wù)要求；c識別并指出法律法規(guī)要求和合同安全責(zé)任；d通過正確應(yīng)用所實(shí)施的所有控制來保持足夠的安全e需要時(shí)進(jìn)行評審，并對評審的結(jié)果采取適當(dāng)措施；f必要時(shí)，改進(jìn)ISMS的有效性。522培訓(xùn)、意識和能力?組織應(yīng)確保在ISMS中承擔(dān)責(zé)任的人員應(yīng)能夠勝任要求的任務(wù)a確定從事影響信息安全工作的人員所必需的能力b提供培訓(xùn)或采取其他的措施（如雇傭有能力的人員來滿足這些需求c評價(jià)所采取措施的有效性；d保持教育、培訓(xùn)、技

9、能、經(jīng)驗(yàn)和資質(zhì)的記錄（見4.3.3。組織應(yīng)確保所有相關(guān)人員認(rèn)識到，他們的信息安全活動(dòng)的相關(guān)性和重要性，以及 他們?nèi)绾螢閷?shí)現(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。條款6ISMS內(nèi)部審核條款6 ISMS內(nèi)部審核?組織應(yīng)按策劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核，以確定組織ISMS的控制目標(biāo)、控制措施、過程和程序是否：a符合本標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求；b符合已識別的信息安全要求；c得到有效地實(shí)施和保持；d按期望運(yùn)行。?應(yīng)策劃審核方案，考慮受審核過程和區(qū)域的狀況及重要性，以及上次審核的結(jié)果。應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)保證審核 過程的客觀和公正。?審核員不能審核自己的工作。?應(yīng)建立形成文件的

10、程序，以規(guī)定策劃和實(shí)施審核、報(bào)告結(jié)果和保持記錄（見 433的職責(zé)和要求。?受審核區(qū)域的負(fù)責(zé)人應(yīng)確保立即采取措施以消除發(fā)現(xiàn)的不符合及其原因。跟蹤活動(dòng)應(yīng)包括所采取措施的驗(yàn)證以及驗(yàn)證結(jié)果的報(bào)告（見條款&條款7ISMS管理評審7.1總則管理者應(yīng)按策劃的時(shí)間間隔（至少一年一次評審組織的ISMS,以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價(jià) ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。評審結(jié)果應(yīng)清楚地寫入文件，并保持記錄（見4.3.3。7.2評審輸入?管理評審的輸入應(yīng)包括：a ISMS審核和評審的結(jié)果；b相關(guān)方的反饋;c組織用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d糾正和預(yù)防措

11、施的實(shí)施情況；e上次風(fēng)險(xiǎn)評估未充分指出的脆弱性或威脅；f有效性測量的結(jié)果;g上次管理評審所采取措施的跟蹤驗(yàn)證；h任何可能影響ISMS的變更;i改進(jìn)的建議。7.3評審輸出?管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施a ISMS有效性的改進(jìn);b更新 風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置 計(jì)劃;b必要時(shí)，修訂影響信息安全的程序和控制措施，以反映可能影響ISMS的內(nèi)外 事件,包括以下方面的變化：1業(yè)務(wù)要求;2安全要求;3影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4法律法規(guī)要求;5合同責(zé)任;6風(fēng)險(xiǎn)等級和/或風(fēng)險(xiǎn)接受準(zhǔn)則。c資源需求;d改進(jìn)測量控制措施有效性的方式。20 董翼?xiàng)鳎╟longyffuglenfQ）條款82 - 董翼

12、楓(dongyffug&info)8.1持續(xù)改進(jìn)組織應(yīng)通過應(yīng)用信息安全策略、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾 正預(yù)防措施和管理評審（見條款7持續(xù)改進(jìn)ISMS的有效性。22- 董翼?xiàng)?dongyffug&info)8.2糾正措施?組織應(yīng)采取措施，消除與ISMS要求不符合的原因，以防止再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求：a識別不符合;b確定不符合的原因;c評價(jià)確保不符合不再發(fā)生所需的措施；d確定和實(shí)施所需的糾正措施；e記錄所采取措施的結(jié)果（見4.3.3;f評審所采取的糾正措施。-23- 董翼?xiàng)鳎╠ongyffug&info8.3預(yù)防措施?組織應(yīng)采取措施，以消除與ISMS要求不潛在不

13、符合的原因，以防止發(fā)生。所 采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。預(yù)防措施文件程序應(yīng)規(guī)定以下方面 的要求:a識別潛在不符合及其原因；b評價(jià)預(yù)防不符合發(fā)生所需的措施；c確定并實(shí)施所需的預(yù)防措施；d記錄所采取措施的結(jié)果（見4.3.3;e評審所采取的預(yù)防措施。?組織應(yīng)識別發(fā)生變化的風(fēng)險(xiǎn)，并通過關(guān)注變化顯著的風(fēng)險(xiǎn)來識別預(yù)防措施要求。?應(yīng)根據(jù)風(fēng)險(xiǎn)評估結(jié)果來確定預(yù)防措施的優(yōu)先級。24- 董翼?xiàng)鱠ongyffuginfo)風(fēng)險(xiǎn)評估和處理注：可參考GB-T20984-2007信息安全風(fēng)險(xiǎn)評估規(guī)范?風(fēng)險(xiǎn)評估應(yīng)對照風(fēng)險(xiǎn)接受準(zhǔn)則和組織相關(guān)目標(biāo)，識別、量化并區(qū)分風(fēng)險(xiǎn)的優(yōu)先次序。風(fēng)險(xiǎn)評估的結(jié)果應(yīng)指導(dǎo)并確定適當(dāng)?shù)墓芾泶?/p>

14、施及其優(yōu)先級，以管理信息安全風(fēng)險(xiǎn)和實(shí)施為防范這些風(fēng)險(xiǎn)而選擇的控制措施。?風(fēng)險(xiǎn)評估應(yīng)包括估計(jì)風(fēng)險(xiǎn)大小的系統(tǒng)方法（風(fēng)險(xiǎn)分析，和將估計(jì)的風(fēng)險(xiǎn)與給定 的風(fēng)險(xiǎn)準(zhǔn)則加以比較，以確定風(fēng)險(xiǎn)嚴(yán)重性的過程（風(fēng)險(xiǎn)評價(jià)。？風(fēng)險(xiǎn)評估還應(yīng)定期進(jìn) 行,以應(yīng)對安全要求和風(fēng)險(xiǎn)情形的變化，例如資產(chǎn)、威脅、脆弱性、影響，風(fēng)險(xiǎn)評價(jià)； 當(dāng)發(fā)生重大變化時(shí)也應(yīng)進(jìn)行風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估應(yīng)使用一種能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的系統(tǒng)化的方式。?為使信息安全風(fēng)險(xiǎn)評估有效，它應(yīng)有一個(gè)清晰定義的范圍。?風(fēng)險(xiǎn)評估的范圍既可以是整個(gè)組織、組織的一部分、單個(gè)信息系統(tǒng)、特定的系統(tǒng)部件，也可以是服務(wù)。?在考慮風(fēng)險(xiǎn)處理前，組織應(yīng)確定風(fēng)險(xiǎn)是否能被接受的準(zhǔn)則。如果經(jīng)評估

15、顯示風(fēng)險(xiǎn)較低或處理成本對于組織來說不劃算，則風(fēng)險(xiǎn)可被接受。這些決定應(yīng)加以記 錄。?對于風(fēng)險(xiǎn)評估所識別的每一個(gè)風(fēng)險(xiǎn)，必須作出風(fēng)險(xiǎn)處理決定?？赡艿娘L(fēng)險(xiǎn)處理選項(xiàng)包括：a應(yīng)用適當(dāng)?shù)目刂拼胧┮越档惋L(fēng)險(xiǎn)；b只要它們滿足組織的方針和風(fēng)險(xiǎn)接受準(zhǔn)則，則要有意識的、客觀的接受該風(fēng)險(xiǎn)；c通過禁止可能導(dǎo)致風(fēng)險(xiǎn)發(fā)生的行為來避免風(fēng)險(xiǎn)d將相關(guān)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如，保險(xiǎn)或供應(yīng)商。?對風(fēng)險(xiǎn)處理決定中要采用適當(dāng)?shù)目刂拼胧┑哪切╋L(fēng)險(xiǎn)來說，應(yīng)選擇和實(shí)施這些控制措施以滿足風(fēng)險(xiǎn)評估所識別的要求?？刂拼胧?yīng)確保在考慮以下因素的情況 下,將風(fēng)險(xiǎn)降低到可接受級別：a國家和國際法律法規(guī)的要求和約束；b組織的目標(biāo);c運(yùn)行要求和約束;d降低風(fēng)險(xiǎn)相

16、關(guān)的實(shí)施和運(yùn)行的成本，并使之與組織的要求和約束保持相稱；e平衡控制措施實(shí)施和運(yùn)行的投資與安全失誤可能導(dǎo)致的損害的需要。?控制措施可以從本標(biāo)準(zhǔn)或其他控制集合中選擇，或者設(shè)計(jì)新的控制措施以滿足組織的特定需求。認(rèn)識到有些控制措施并不是對每一種信息系統(tǒng)或環(huán)境都適用 并且不是對所有組織都可行，這一點(diǎn)非常重要。例如，A10.1.3描述如何分割責(zé)任，以 防止欺詐或錯(cuò)誤。在較小的組織中分割所有責(zé)任是不太可能的，實(shí)現(xiàn)同一控制目標(biāo) 的其他方法可能是必要的。另外一個(gè)例子,A10.10描述如何監(jiān)視系統(tǒng)使用及如何收集證據(jù)。所描述的控制措施，例如事態(tài)日志,可能與適用的法律相沖突，諸如顧客或在工作場地內(nèi)的隱私保護(hù)。?信息安全控制措施應(yīng)在系統(tǒng)和項(xiàng)目需求說明書和設(shè)計(jì)階段予以考慮。做不到這一點(diǎn)可能導(dǎo)致額外的成本和低效率的解決方案，最壞的情況下可能達(dá)不到足夠的 安全。?應(yīng)該牢記,沒有一個(gè)控制措施集合能實(shí)現(xiàn)絕對的安全，為支持組織的目標(biāo)，應(yīng)實(shí)施額外的管理措施來監(jiān)視、評價(jià)和改進(jìn)安全控制措施的效率和有效性。Questi ons?Mike（董翼?xiàng)鰿TOFugle In formatio n Tech no logy Co., Ltd富國信息技術(shù)有限公司Tel:086-519-85116808-803M.T.-m