ISO27001信息安全體系培訓(條款4-8ISMS).

1、ISO 27001信息安全體系培訓 (條款 48 ISMS ISO27001培訓系列 V1.0 內容信息安全管理體系(條款 4 管理職責(條款 5ISMS 內部審核(條款 6 ISMS 管理評審(條款 7 ISMS 改進(條款 8風險評估和處理 條款 4 4.1總要求組織應根據整體業(yè)務活動和風險,建立、實施、運 行、監(jiān)視、評審、保持并改進文件化的信息安全管 理體系。本標準應用了圖 1所示的 PDCA 模式。 4.2建立并管理 ISMS4.2.1建立 ISMSa 根據組織業(yè)務特征、組織、地理位置、資產、技術以及 任何刪減的細節(jié)和合理性來確定 ISMS 范圍b 根據組織業(yè)務特征、組織、地理位置、資

2、產和技術確定 ISMS 方針c 確定組織的 風險評估方法d 識別 風險e 分析并評價 風險f 識別和評價風險 處理的選擇g 選擇風險處理的 控制目標和控制方式 4.2.2實施和運行ISMSa闡明風險處理計劃,它為信息安全風險管理指出了適當的管理措施、職責和優(yōu)先級;b實施風險處理計劃以達到確定的控制目標,應考慮資金需求以及角色和職責分配;c選擇的控制以達到控制目標;d確定如何測量所選擇的一個/組控制措施的有效性,并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結果;e實施培訓和意識方案(見5.2.2;f管理ISMS的運行;g管理ISMS資源(見5.2;h實施程序及其它控制以及時

3、檢測、響應安全事故(見4.2.3。4.2.3監(jiān)視和評審ISMSa執(zhí)行監(jiān)視和評審程序和其它控制措施b定期評審ISMS的有效性(包括安全方針和目標的實現(xiàn)情況,安全控制評審,考慮安全審核、事故、有效性測量的結果以及所有相關方的建議和反饋;c測量控制措施的有效性,以證實安全要求已得到滿足;d按照計劃的時間間隔,評估風險評估,并評估殘余風險的等級和已識別的接受風險,e按計劃的時間間隔進行ISMS內部審核(見條款6;f定期進行ISMS管理評審(至少一年一次,確保范圍仍然充分,并識別ISMS過程改進的機會(見7.1;g更新安全計劃,考慮監(jiān)視和評審活動的發(fā)現(xiàn);h記錄可能影響ISMS有效性或業(yè)績的措施和事件(見

4、4.3.3。4.2.4保持和改進ISMSa實施ISMS已識別的改進;b按照8.2和8.3的要求采取適當的糾正和預防措施?？偨Y從其它組織或組織自身的安全經驗得到的教訓;c與所有相關方溝通措施和改進。溝通的詳細程度應與環(huán)境相適宜,必要是,應約定如何進行;d確保改進活動達到了預期的目的。4.3.1總則文件應包括管理決策的記錄,以確保措施可以追溯到管理決策和方針。記錄的結果應該是可復制的。重要的是要能夠展示從選擇的控制措施回溯到風險評估和風險處置過程結果的關系,最終回溯到ISMS 方針和目標。ISMS 文件應包括:a 形成文件的ISMS 方針(見4.2.1b和控制目標;b ISMS 范圍(見4.2.1

5、a;c ISMS 的支持性程序和控制;d 風險評估方法的描述(見4.2.1a;e 風險評估報告(見4.2.1c到4.2.1g;f 風險處置計劃(見4.2.2b;g 組織為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何規(guī)定如何測量控制措施有效性所需的程序文件(見4.2.3 c;h 本標準所要求的記錄(見4.3.3。i 適用性聲明。4.3.2文件控制ISMS所要求的文件應予以保護和控制。應編制形成文件的程序,以規(guī)定以下方面所需的管理措施:a 文件發(fā)布前得到批準,以確保文件是充分的;b 必要時,對文件進行評審與更新并再次批準;c 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別;d 確保在使用處可獲得適用

6、文件的相關版本;e 確保文件保持合法,易于識別;f 確保文件可以為需要者所獲得,并根據適用于他們類別的程序進行轉移、存儲和最終的銷毀;g 確保外來文件得到識別;h 確保文件的分發(fā)是受控的;i 防止作廢文件的非預期使用;j 若因任何原因而保留作廢文件時,對這些文件進行適當的標識。4.3文件要求4.3.3記錄控制應建立并保持記錄,以提供符合要求和ISMS有效運行的證據。應保護并控制記錄。ISMS應考慮相關的法律要求和合同責任。記錄應保持合法,易于識別和檢索。應編制形成文件的程序,以規(guī)定記錄的標識、儲存、保護、檢索、保存期限和處置所需的控制。保持4.2列出的過程業(yè)績的記錄以及與ISMS有關的重大安全

7、事件的記錄舉例:記錄包括訪問者登記表、審核記錄和完成的訪問授權表。條款5 管理職責5.1管理承諾管理層應通過以下措施對其建立、實施、運行、監(jiān)視、評審、保持和改進ISMS的承諾提供證據:a 建立信息安全方針;b 確保信息安全目標和計劃的建立;c 為信息安全分配角色和職責;d 向組織傳達實現(xiàn)信息安全目標、符合信息安全策略、法律責任的重要性以及持續(xù)改進的需要;e 提供足夠的資源,以建立、實施、運行監(jiān)視、保持和改進ISMS(見5.2.1;f 決定接受風險的準則和可接受的風險等級;g 確保ISMS內部審核的實施(見條款6h 進行ISMS管理評審(見條款7。5.2.1資源提供組織應確定并提供以下方面所需的

8、資源:a 建立、實施、運行、監(jiān)視、評審、保持和改進ISMS;b 確保信息安全程序支持業(yè)務要求;c 識別并指出法律法規(guī)要求和合同安全責任;d 通過正確應用所實施的所有控制來保持足夠的安全;e 需要時進行評審,并對評審的結果采取適當措施;f 必要時,改進ISMS的有效性。5.2.2培訓、意識和能力組織應確保在ISMS中承擔責任的人員應能夠勝任要求的任務:a 確定從事影響信息安全工作的人員所必需的能力;b 提供培訓或采取其他的措施(如雇傭有能力的人員來滿足這些需求;c 評價所采取措施的有效性;d 保持教育、培訓、技能、經驗和資質的記錄(見4.3.3。組織應確保所有相關人員認識到,他們的信息安全活動的

9、相關性和重要性,以及他們如何為實現(xiàn)ISMS目標作出貢獻。條款6 ISMS內部審核條款6 ISMS內部審核組織應按策劃的時間間隔進行ISMS內部審核,以確定組織ISMS的控制目標、控制措施、過程和程序是否:a 符合本標準及相關法律法規(guī)的要求;b 符合已識別的信息安全要求;c 得到有效地實施和保持;d 按期望運行。應策劃審核方案,考慮受審核過程和區(qū)域的狀況及重要性,以及上次審核的結果。應規(guī)定審核準則、范圍、頻次和方法。審核員的選擇和審核的實施應保證審核過程的客觀和公正。審核員不能審核自己的工作。應建立形成文件的程序,以規(guī)定策劃和實施審核、報告結果和保持記錄(見4.3.3的職責和要求。受審核區(qū)域的負

10、責人應確保立即采取措施以消除發(fā)現(xiàn)的不符合及其原因。跟蹤活動應包括所采取措施的驗證以及驗證結果的報告(見條款8。條款7 ISMS管理評審7.1總則管理者應按策劃的時間間隔(至少一年一次評審組織的ISMS,以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價ISMS改進的機會和變更的需要,包括安全方針和安全目標。評審結果應清楚地寫入文件,并保持記錄(見4.3.3。7.2評審輸入管理評審的輸入應包括:a ISMS審核和評審的結果;b 相關方的反饋;c 組織用于改進ISMS業(yè)績和有效性的技術、產品或程序;d 糾正和預防措施的實施情況;e 上次風險評估未充分指出的脆弱性或威脅;f 有效性測量的結果;g

11、上次管理評審所采取措施的跟蹤驗證;h 任何可能影響ISMS的變更;i 改進的建議。7.3評審輸出管理評審的輸出應包括與以下方面有關的任何決定和措施:a ISMS有效性 的改進;b 更新 風險評估和風險處置 計劃;b 必要時,修訂影響信息安全的程序和控制措施,以反映可能影響 ISMS 的內外事件,包括以下方面的變化:1 業(yè)務要求;2 安全要求;3 影響現(xiàn)有業(yè)務要求的業(yè)務過程;4 法律法規(guī)要求;5 合同責任;6 風險等級和 /或風險接受準則。c 資源需求;d 改進測量控制措施有效性的方式。 條款 8 8.1持續(xù)改進組織應通過應用信息安全策略、安全目標、審核結果、 監(jiān)視事件的分析、糾正預防措施和管理

12、評審(見條款 7 持續(xù)改進 ISMS 的有效性。 8.2糾正措施組織應采取措施,消除與 ISMS 要求不符合的原因,以防 止再發(fā)生。糾正措施文件程序應規(guī)定以下方面的要求:a 識別不符合;b 確定不符合的原因;c 評價確保不符合不再發(fā)生所需的措施;d 確定和實施所需的糾正措施;e 記錄所采取措施的結果(見 4.3.3;f 評審所采取的糾正措施。 8.3預防措施組織應采取措施,以消除與 ISMS 要求不潛在不符合的原因,以 防止發(fā)生。所采取的預防措施應與潛在問題的影響相適宜。預防 措施文件程序應規(guī)定以下方面的要求:a 識別潛在不符合及其原因;b 評價預防不符合發(fā)生所需的措施;c 確定并實施所需的預

13、防措施;d 記錄所采取措施的結果(見 4.3.3;e 評審所采取的預防措施。組織應識別發(fā)生變化的風險,并通過關注變化顯著的風險來識別 預防措施要求。應根據風險評估結果來確定預防措施的優(yōu)先級。 風險評估和處理注:可參考GB-T20984-2007信息安全風險評估規(guī)范 風險評估應對照風險接受準則和組織相關目標,識別、量化并區(qū)分風險的優(yōu)先次序。風險評估的結果應指導并確定適當的管理措施及其優(yōu)先級,以管理信息安全風險和實施為防范這些風險而選擇的控制措施。風險評估應包括估計風險大小的系統(tǒng)方法(風險分析,和將估計的風險與給定的風險準則加以比較,以確定風險嚴重性的過程(風險評價。風險評估還應定期進行,以應對安

14、全要求和風險情形的變化,例如資產、威脅、脆弱性、影響,風險評價;當發(fā)生重大變化時也應進行風險評估。風險評估應使用一種能夠產生可比較和可再現(xiàn)結果的系統(tǒng)化的方式。為使信息安全風險評估有效,它應有一個清晰定義的范圍。風險評估的范圍既可以是整個組織、組織的一部分、單個信息系統(tǒng)、特定的系統(tǒng)部件,也可以是服務。 在考慮風險處理前,組織應確定風險是否能被接受的準則。如果經評估顯示,風險較低或處理成本對于組織來說不劃算,則風險可被接受。這些決定應加以記錄。對于風險評估所識別的每一個風險,必須作出風險處理決定。可能的風險處理選項包括:a應用適當的控制措施以降低風險;b只要它們滿足組織的方針和風險接受準則,則要有

15、意識的、客觀的接受該風險;c通過禁止可能導致風險發(fā)生的行為來避免風險;d將相關風險轉移到其他方,例如,保險或供應商。對風險處理決定中要采用適當的控制措施的那些風險來說,應選擇和實施這些控制措施以滿足風險評估所識別的要求?？刂拼胧_保在考慮以下因素的情況下,將風險降低到可接受級別:a國家和國際法律法規(guī)的要求和約束;b組織的目標;c運行要求和約束;d降低風險相關的實施和運行的成本,并使之與組織的要求和約束保持相稱;e平衡控制措施實施和運行的投資與安全失誤可能導致的損害的需要。控制措施可以從本標準或其他控制集合中選擇,或者設計新的控制措施以滿足組織的特定需求。認識到有些控制措施并不是對每一種信息系

16、統(tǒng)或環(huán)境都適用,并且不是對所有組織都可行,這一點非常重要。例如,A10.1.3描述如何分割責任,以防止欺詐或錯誤。在較小的組織中分割所有責任是不太可能的,實現(xiàn)同一控制目標的其他方法可能是必要的。另外一個例子,A10.10描述如何監(jiān)視系統(tǒng)使用及如何收集證據。所描述的控制措施,例如事態(tài)日志,可能與適用的法律相沖突,諸如顧客或在工作場地內的隱私保護。信息安全控制措施應在系統(tǒng)和項目需求說明書和設計階段予以考慮。做不到這一點可能導致額外的成本和低效率的解決方案,最壞的情況下可能達不到足夠的安全。應該牢記,沒有一個控制措施集合能實現(xiàn)絕對的安全,為支持組織的目標,應實施額外的管理措施來監(jiān)視、評價和改進安全控制措施的效率和有效性。Questions?Mike(董翼楓CTOFugle Information Technology Co., Ltd富國信息技術有限公司Tel:086-519-85116808-803M.T.:1377