信息安全管理體系

16/16信息安全管理體系信息安全管理體系

培訓(xùn)

ISO/IEC27001

信息安全管理體系培訓(xùn)內(nèi)容介紹

一，信息安全管理體系簡(jiǎn)介二，信息安全管理體系詳解

信息安全管理體系培訓(xùn)一，信息安全管理體系簡(jiǎn)介

信息安全管理體系培訓(xùn)

ISO/IEC27001管理體系的發(fā)展歷史

ISO/IEC是由英國(guó)標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而來(lái)的。BS7799在1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)首次出版BS7799—1：1995《信息安全管理實(shí)施細(xì)則》。2000年12月，BS7799—1：1999《信息安全管理實(shí)施細(xì)則》通過(guò)國(guó)際標(biāo)準(zhǔn)化組織ISO認(rèn)證，正式成為ISO/IEC7799—1：2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》，后來(lái)升版為ISO/IEC17799：2005。2002年9月5日，BS7799—2：2002發(fā)布。2005年BS7799—2：2002正式轉(zhuǎn)版為ISO/IEC27001：2005.

信息安全管理體系培訓(xùn)ISO/IEC27001信息安全管理模式

信息安全管理體系培訓(xùn)ISO/IEC27001管理層次

信息安全管理體系培訓(xùn)

ISO/IEC27001中信息安全的定義：

保持信息的保密性、完整性、可用性；另外，也包括其他屬性，如：真實(shí)性（身份識(shí)別）、可核查性（日志）、不可否認(rèn)性（數(shù)字簽名）和可靠性（MTBF）。

信息安全管理體系培訓(xùn)ISO/IEC27001中信息安全三元組CIA：

☆保密性Confidentiality：

信息不能被未授權(quán)的個(gè)人、實(shí)體或者過(guò)程利用或知悉的特性。例如，重要配方的保密。

☆完整性Integrity

保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。例如，財(cái)務(wù)信息的完整性。

☆可用性Availability：

根據(jù)授權(quán)實(shí)體的要求可訪(fǎng)問(wèn)和利用的特性。例如，供應(yīng)商資料庫(kù)的及時(shí)更新。

信息安全管理體系培訓(xùn)二，信息安全管理體系詳解

信息安全管理體系培訓(xùn)

ISO27001的內(nèi)容

◆前言

◆0引言

◆1范圍

◆2規(guī)范性引用文件

◆3術(shù)語(yǔ)和定義

◆4信息安全管理體系(ISMS)

◆5管理職責(zé)

◆6ISMS內(nèi)部審核

◆7ISMS的管理評(píng)審

◆8ISMS改進(jìn)

◆附錄A(規(guī)范性附錄)控制目標(biāo)和控制措施

◆附錄B(資料性附錄)OECD原則和本標(biāo)準(zhǔn)

◆附錄C(資料性附錄)9001、14001和本標(biāo)準(zhǔn)之間的對(duì)照

信息安全管理體系培訓(xùn)

引言

0.1總則

描述了標(biāo)準(zhǔn)的用途及應(yīng)用對(duì)象

?提供一個(gè)模型，用于建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、

保持和改進(jìn)信息安全管理體系(ISMS)

?適用對(duì)象：一個(gè)組織

?可被組織內(nèi)部或外部相關(guān)方用來(lái)進(jìn)行一致評(píng)估

?組織ISMS的設(shè)計(jì)和實(shí)踐受影響的因素：

–業(yè)務(wù)需要和目標(biāo)

–安全要求

–所采用的過(guò)程

–規(guī)模和結(jié)構(gòu)

信息安全管理體系培訓(xùn)

引言

0.2過(guò)程方法

描述了過(guò)程、過(guò)程方法、及貫穿于本標(biāo)準(zhǔn)的PDCA模型

?過(guò)程：通過(guò)使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動(dòng)?過(guò)程方法：組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其管理。

信息安全管理體系培訓(xùn)

引言

了解過(guò)程方法:

?適用性

–組織中需要重復(fù)執(zhí)行的系列活動(dòng)，并貫穿多個(gè)角色

–通過(guò)過(guò)程的組織，可更有效地實(shí)現(xiàn)預(yù)期的結(jié)果或目的

–保證活動(dòng)的實(shí)施和結(jié)果的一致性

–通過(guò)對(duì)過(guò)程的改進(jìn),可實(shí)現(xiàn)更佳的效果

?在信息安全管理中的使用場(chǎng)景

–信息安全風(fēng)險(xiǎn)管理

–信息安全事件管理

信息安全管理體系培訓(xùn)引言

信息安全管理體系培訓(xùn)PDCA說(shuō)明

信息安全管理體系培訓(xùn)引言

0.3與其它管理體系標(biāo)準(zhǔn)的兼容性

說(shuō)明ISMS與其它管理體系的兼容性問(wèn)題

?與ISO9001、14001等管理體系標(biāo)準(zhǔn)一致

?ISMS可與其它相關(guān)的管理體系整合并運(yùn)行–如,ISO20000IT服務(wù)管理體系

信息安全管理體系培訓(xùn)

1規(guī)范

1.1總則

●本標(biāo)準(zhǔn)適用于所有類(lèi)型的組織

（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。

●本標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)

行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。

●規(guī)定了為適應(yīng)不同組織或其部門(mén)的需要而定制的安全控制

措施的實(shí)施要求。

●是ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以

充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。

信息安全管理體系培訓(xùn)

1范圍

1.2應(yīng)用

●本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類(lèi)型、規(guī)模和特性的組

織。

●對(duì)本標(biāo)準(zhǔn)內(nèi)容刪減的規(guī)定

?組織聲稱(chēng)符合本標(biāo)準(zhǔn)時(shí)，對(duì)于4、5、6、7和8章的要求不能刪減；

?對(duì)附錄A中所提供的控制措施的任何刪減都必須被證明是合理的；

?需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受；

?刪減不影響組織滿(mǎn)足由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任。

●控制措施刪減的原因

?組織的業(yè)務(wù)需求和目標(biāo)不同；

?所采用的過(guò)程以及規(guī)模和

信息安全管理體系培訓(xùn)2規(guī)范性引用文件

ISO/IEC27002:2005

信息安全管理實(shí)用規(guī)則

信息安全管理體系培訓(xùn)

4信息安全管理體系(ISMS)

4.1總要求

4.2建立和管理ISMS

4.2.1建立ISMS

4.2.2實(shí)施和運(yùn)行ISMS

4.2.3監(jiān)視和評(píng)審ISMS

4.2.4保持和改進(jìn)ISMS

4.3文件要求

4.3.1總則

4.3.2文件控制

4.3.3記錄控制

信息安全管理體系培訓(xùn)

4.1總要求

組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。

標(biāo)準(zhǔn)所使用的過(guò)程基于PDCA模型。

信息安全管理體系培訓(xùn)

管理體系

●信息安全管理體系（ISMS）

基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是一個(gè)組織整個(gè)管理體系的

一部分。

注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、規(guī)程、過(guò)程和資源。[ISO/IEC27001:2005]

●管理體系

為實(shí)現(xiàn)組織目標(biāo)而確立的方針、規(guī)程、指南和相關(guān)資

源的框架。[ISO/IEC27000:2009]

●質(zhì)量管理體系

在質(zhì)量方面指導(dǎo)和控制組織的管理體系。[ISO9000:2005]

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.1建立ISMS

組織要做以下方面的工作：

a)確定ISMS的范圍和邊界；

b)確定ISMS方針；

c)確定組織的風(fēng)險(xiǎn)評(píng)估方法

d)識(shí)別風(fēng)險(xiǎn)

e)分析和評(píng)價(jià)風(fēng)險(xiǎn)

f)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處置的可選措施

g)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施

h)獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)

i)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)

j)準(zhǔn)備適用性聲明（SoA）

其中d—i屬于風(fēng)險(xiǎn)管理階段

信息安全管理體系培訓(xùn)

4.2.1建ISMS

a)確定ISMS的范圍和邊界

?根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由。

信息安全管理體系培訓(xùn)ISMS的范圍說(shuō)明

ISMS的范圍通常包括

?覆蓋的組織機(jī)構(gòu)、職能(部門(mén))和涉及的人員

?需要保護(hù)的信息資產(chǎn)和系統(tǒng)(ICT基礎(chǔ)架構(gòu))

?物理位置及分支機(jī)構(gòu)

?使用的流程和服務(wù)

確定ISMS的范圍還應(yīng)考慮

?與相關(guān)方（范圍外）的接口和依賴(lài)關(guān)系

某國(guó)際銀行實(shí)施信息安全管理，先期所確定的范圍為：因特網(wǎng)銀行服務(wù)

具體識(shí)別為：

范圍說(shuō)明示例

■提供網(wǎng)上銀行服務(wù)的人員■人員使用的流程

●系統(tǒng)操作手冊(cè)

●安全手冊(cè)

●網(wǎng)銀規(guī)程

■使用的信息

●顧客的詳細(xì)信息

●內(nèi)部的銀行數(shù)據(jù)

●來(lái)自其它銀行的外部數(shù)據(jù)?用以提供在線(xiàn)交易的網(wǎng)絡(luò)服務(wù)□顧客接入

□與其它銀行的連接和接口

（內(nèi)部和外部）

?便利在線(xiàn)服務(wù)的技術(shù)

□桌面計(jì)算機(jī)和其它ICT設(shè)備□電話(huà)

信息安全管理體系培訓(xùn)

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

b)確定ISMS方針

根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，

確定ISMS方針。

ISMS方針應(yīng)：

1）包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則；

2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；

3）在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS；

4）建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則（見(jiàn)4.2.1c）；

5）獲得管理者批準(zhǔn)。

信息安全管理體系培訓(xùn)

信息安全風(fēng)險(xiǎn)管理

標(biāo)準(zhǔn)引用的有關(guān)風(fēng)險(xiǎn)管理的術(shù)語(yǔ)和定義

●風(fēng)險(xiǎn)管理(riskmanagement)

指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)。

●風(fēng)險(xiǎn)評(píng)估(riskassessment)

風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程。

●風(fēng)險(xiǎn)分析(riskanalysis)

系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn)。

●風(fēng)險(xiǎn)評(píng)價(jià)(riskevaluation)

將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)

嚴(yán)重性的過(guò)程。

信息安全管理體系培訓(xùn)

風(fēng)險(xiǎn)管理的術(shù)語(yǔ)和定義

●風(fēng)險(xiǎn)處置(risktreatment)

選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程。

●風(fēng)險(xiǎn)接受(riskacceptance)

接受風(fēng)險(xiǎn)的決定。

●殘余風(fēng)險(xiǎn)(residualrisk)

經(jīng)過(guò)風(fēng)險(xiǎn)處置后遺留的風(fēng)險(xiǎn)。

注：以上術(shù)語(yǔ)的定義均來(lái)自[ISO/IECGuide73:2002]為ISO/IEC27001所引用。

●識(shí)別風(fēng)險(xiǎn)(riskidentification)

發(fā)現(xiàn)、列出并描述風(fēng)險(xiǎn)要素的過(guò)程活動(dòng)。

[ISO/IECGuide73:2002]

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

c)確定組織的風(fēng)險(xiǎn)評(píng)估方法

1）識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法

規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。

2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別。

選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的

和可再現(xiàn)的結(jié)果。

注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IECTR13335-3中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。

信息安全管理體系培訓(xùn)

風(fēng)險(xiǎn)評(píng)估方法

ISO/IECTR13335-3給出的風(fēng)險(xiǎn)評(píng)估方法：■基準(zhǔn)法(BaselineApproach)

●組織通過(guò)選擇標(biāo)準(zhǔn)的防護(hù)為系統(tǒng)各部分的安全保護(hù)設(shè)立

統(tǒng)一的基準(zhǔn)

■詳細(xì)的風(fēng)險(xiǎn)分析(DetailedRiskAnalysis)

●包括資產(chǎn)的深度鑒定和估價(jià)，對(duì)這些資產(chǎn)的威脅評(píng)估和脆

弱性評(píng)估。結(jié)果用于評(píng)估風(fēng)險(xiǎn)及選擇合理的安全控制措施。

■非正式的方法(InformalApproach)

●依據(jù)個(gè)人知識(shí)和經(jīng)驗(yàn)的簡(jiǎn)化風(fēng)險(xiǎn)分析

■綜合的方法(CombinedApproach)

●先對(duì)系統(tǒng)進(jìn)行宏觀風(fēng)險(xiǎn)分析，確定出高風(fēng)險(xiǎn)或重要的業(yè)務(wù)

領(lǐng)域，再按優(yōu)先順序分別進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析。

信息安全管理體系培訓(xùn)接受風(fēng)險(xiǎn)

■接受風(fēng)險(xiǎn)的準(zhǔn)則

●判別風(fēng)險(xiǎn)造成的損失或后果為可容忍程度或量

級(jí)的尺度

●描述了組織愿意接受風(fēng)險(xiǎn)的情形

●可以針對(duì)某類(lèi)風(fēng)險(xiǎn)而具體規(guī)定，或制定為通用

的判定依據(jù)

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

d)識(shí)別風(fēng)險(xiǎn)

1）識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；

2）識(shí)別資產(chǎn)所面臨的威脅；

3）識(shí)別可能被威脅利用的脆弱性；

4）識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。

信息安全管理體系培訓(xùn)

識(shí)別風(fēng)險(xiǎn)的主要活動(dòng)

■識(shí)別資產(chǎn)

●資產(chǎn)(asset)

對(duì)組織有價(jià)值的任何東西。[ISO/IEC13335-1:2004]

●確定資產(chǎn)類(lèi)別

資產(chǎn)應(yīng)按組織的需要?jiǎng)澐诸?lèi)別。例如，可分類(lèi)如下：

信息、業(yè)務(wù)和管理過(guò)程、人員、方針和規(guī)程、服務(wù)、

ICT系統(tǒng)、場(chǎng)所、以及公司的品牌和聲譽(yù)等。

●列出資產(chǎn)清單

信息安全管理體系培訓(xùn)

識(shí)別風(fēng)險(xiǎn)的主要活動(dòng)

■識(shí)別資產(chǎn)的脆弱性、威脅和風(fēng)險(xiǎn)

●威脅

可能對(duì)系統(tǒng)或組織產(chǎn)生損害的不期望事件的潛在原因。

●脆弱性

可能被某個(gè)威脅所利用的資產(chǎn)或控制措施的弱點(diǎn)。

[ISO/IEC27000:2009]

●風(fēng)險(xiǎn)

意味著可能發(fā)生安全事件

威脅+脆弱性?安全事件

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

e)分析和評(píng)價(jià)風(fēng)險(xiǎn)

1）在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評(píng)估安全失效可能造成的對(duì)組織的影

響。

2）根據(jù)主要的威脅和脆弱性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控制措施，評(píng)估安全失效發(fā)生的現(xiàn)實(shí)可能性。

3）估計(jì)風(fēng)險(xiǎn)的級(jí)別。

4）確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在4.2.1c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理。

■風(fēng)險(xiǎn)估計(jì)

●對(duì)業(yè)務(wù)的影響

●信息安全突破的后果

?資產(chǎn)的價(jià)值

●可能性

?脆弱性被利用的難易程度

?威脅源的動(dòng)機(jī)和能力

●風(fēng)險(xiǎn)級(jí)別

■風(fēng)險(xiǎn)評(píng)價(jià)

●排列風(fēng)險(xiǎn)的優(yōu)先級(jí)，關(guān)注重大風(fēng)險(xiǎn)

●剔除低風(fēng)險(xiǎn)項(xiàng)或可接受的風(fēng)險(xiǎn)項(xiàng)風(fēng)險(xiǎn)估計(jì)與評(píng)價(jià)

信息安全管理體系培訓(xùn)

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

f)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施

可能的措施包括：

1）采用適當(dāng)?shù)目刂拼胧?/p>

2）在明顯滿(mǎn)足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)[見(jiàn)4.2.1c)2)]；

3）避免風(fēng)險(xiǎn)；

4）將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。

信息安全管理體系培訓(xùn)風(fēng)險(xiǎn)的應(yīng)對(duì)策略

●風(fēng)險(xiǎn)降低(riskreduction)

采取行動(dòng)降低風(fēng)險(xiǎn)發(fā)生的可能性或減輕負(fù)面后果，或同時(shí)降低風(fēng)險(xiǎn)發(fā)生的可能性和減輕負(fù)面后果

●風(fēng)險(xiǎn)避免(riskavoidance)

決定不卷入風(fēng)險(xiǎn)處境或從風(fēng)險(xiǎn)處境中撤出

●風(fēng)險(xiǎn)保持(riskretention)

接受特定風(fēng)險(xiǎn)帶來(lái)的損失或收益

●風(fēng)險(xiǎn)轉(zhuǎn)移(risktransfer)

與其它組織分擔(dān)風(fēng)險(xiǎn)的損失或收益

注：在安全風(fēng)險(xiǎn)范疇內(nèi)，轉(zhuǎn)移風(fēng)險(xiǎn)只考慮負(fù)面后果（損失）。注：以上術(shù)語(yǔ)的定義均來(lái)自[ISO/IECGuide73:2002]

信息安全管理體系培訓(xùn)風(fēng)險(xiǎn)降低

信息安全管理體系培訓(xùn)

風(fēng)險(xiǎn)保持

■管理者在某種情形下可有意、客觀地接受風(fēng)險(xiǎn)，例如：

●控制措施不能使風(fēng)險(xiǎn)降低到可接受的水平

●受資金或技術(shù)的限制

●風(fēng)險(xiǎn)無(wú)法避免或轉(zhuǎn)移

■風(fēng)險(xiǎn)保持并非放棄管理，風(fēng)險(xiǎn)仍需進(jìn)行跟蹤監(jiān)督：

●定期評(píng)估風(fēng)險(xiǎn)狀況的改變和趨勢(shì)

●如風(fēng)險(xiǎn)狀況持續(xù)惡化，必要時(shí)應(yīng)啟動(dòng)應(yīng)急措施

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

g)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施

●控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施，以滿(mǎn)足風(fēng)險(xiǎn)

評(píng)估和風(fēng)險(xiǎn)處置過(guò)程中所識(shí)別的要求。這種選擇應(yīng)考

慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見(jiàn)4.2.1c）2））以及法律法規(guī)和

合同要求。

●從附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過(guò)程的

一部分，該過(guò)程適合于滿(mǎn)足這些已識(shí)別的要求。

●附錄A所列的控制目標(biāo)和控制措施并不是所有的控制

目標(biāo)和控制措施，組織也可能需要選擇另外的控制目

標(biāo)和控制措施。

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

h)獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)

●建議的殘余風(fēng)險(xiǎn)：

●是對(duì)選擇的風(fēng)險(xiǎn)控制措施實(shí)施后的效果所作出的預(yù)測(cè)；

●對(duì)控制措施的預(yù)期結(jié)果由管理層作出決策.

43

信息安全管理體系培訓(xùn)風(fēng)險(xiǎn)管理活動(dòng)及輸出

信息安全管理體系培訓(xùn)

4.2.1建立ISMS

i)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)

j)準(zhǔn)備適用性聲明（SoA）

應(yīng)從以下幾方面準(zhǔn)備適用性聲明：

1）4.2.1g）所選擇的控制目標(biāo)和控制措施，以及選擇的理由；

2）當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見(jiàn)4.2.1e）2））；

3）對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說(shuō)明。

注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說(shuō)明提供交叉檢查，以證明不會(huì)因疏忽而遺漏控制措施。

信息安全管理體系培訓(xùn)適用性聲明

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.2實(shí)施和運(yùn)行ISMS

組織應(yīng)：

a)為管理信息安全風(fēng)險(xiǎn)識(shí)別適

當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)

先順序，即：制定風(fēng)險(xiǎn)處置計(jì)劃

（見(jiàn)第5章）。

b)實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到已

識(shí)別的控制目標(biāo)，包括資金安排

、角色和職責(zé)的分配。

c)實(shí)施4.2.1g）中所選擇的控

制措施，以滿(mǎn)足控制目標(biāo)。

信息安全管理體系培訓(xùn)

4.2建立和管理ISMS

4.2.2實(shí)施和運(yùn)行ISMS（續(xù)）

d)確定有效性，并指明如何用來(lái)評(píng)估控制措施的有效

性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見(jiàn)4.2.3c)）

如何測(cè)量所選擇的控制措施或控制措施集的。

注：測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到既定的控制目標(biāo)的程度。

e)實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見(jiàn)5.2.2）。

f)管理ISMS的運(yùn)行。

g)管理ISMS的資源（見(jiàn)5.2）。

h)實(shí)施能夠迅速檢測(cè)安全事態(tài)和響應(yīng)安全事件的規(guī)程

和其他控制措施（見(jiàn)4.2.3a））

信息安全管理體系培訓(xùn)

信息安全事件管理

術(shù)語(yǔ)和定義

●信息安全事態(tài)(informationsecurityevent)

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全

關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。

●信息安全事件(informationsecurityincident)

一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)

組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性。響應(yīng)安全事件

●預(yù)先制定信息安全事件處理流程

●當(dāng)發(fā)生安全事件時(shí)，啟動(dòng)處理流程

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.3監(jiān)視和評(píng)審ISMS

組織應(yīng)：

a)執(zhí)行監(jiān)視與評(píng)審規(guī)程和其它控制措施，以：

1）迅速檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤；

2）迅速識(shí)別試圖的和得逞的安全違規(guī)和事件；

3）使管理者能夠確定分配給人員的安全活動(dòng)或

通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；

4）通過(guò)使用指示器，幫助檢測(cè)安全事態(tài)并預(yù)防安全事件；

5）確定解決安全違規(guī)的措施是否有效。

信息安全管理體系培訓(xùn)

4.2建立和管理ISMS

4.2.3監(jiān)視和評(píng)審ISMS（續(xù)）

b)在考慮安全審核結(jié)果、事件、有效性測(cè)量結(jié)果、所有相關(guān)方的建議

和反饋的基礎(chǔ)上，進(jìn)行ISMS有效性的定期評(píng)審（包括滿(mǎn)足ISMS方

針和目標(biāo)，以及安全控制措施的評(píng)審）。

c)測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿(mǎn)足。

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.3監(jiān)視和評(píng)審ISMS（續(xù)）

d)按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘

余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審，應(yīng)考

慮以下方面的變化：

?組織；

?技術(shù)；

?業(yè)務(wù)目標(biāo)和過(guò)程；

?已識(shí)別的威脅；

?已實(shí)施的控制措施的有效性；

?外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更

和社會(huì)環(huán)境的變更。

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.3監(jiān)視和評(píng)審ISMS

e)按計(jì)劃的時(shí)間間隔，實(shí)施ISMS內(nèi)部審核（見(jiàn)第6章）。

f)定期進(jìn)行ISMS管理評(píng)審，以確保ISMS范圍保持充分，

ISMS過(guò)程的改進(jìn)得到識(shí)別（見(jiàn)7.1）。

g)考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。

h)記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事

態(tài)（見(jiàn)4.3.3）。

信息安全管理體系培訓(xùn)測(cè)量

■測(cè)量的目的

●證實(shí)ISMS和已實(shí)施的風(fēng)險(xiǎn)控制措施的有效性

●向管理層提供信息資產(chǎn)安全及管理狀況的客觀

信息，以便決策

●為ISMS改進(jìn)提供輸入

●建立基準(zhǔn)

■可測(cè)量的領(lǐng)域

●風(fēng)險(xiǎn)（再）評(píng)估和處置的結(jié)果

●信息安全事件處理過(guò)程的性能

●信息安全審核結(jié)果

●人員信息安全意識(shí)和知識(shí)能力的提升

●信息安全管理的成本和效益

信息安全管理體系培訓(xùn)示例：信息資產(chǎn)安全指示器

信息安全管理體系培訓(xùn)

評(píng)審

兩類(lèi)評(píng)審

■管理評(píng)審

●評(píng)審ISMS，確保其適用性、充分性和有效性

●高層管理者和各業(yè)務(wù)單位主管

●頻度：按管理體系要求，但每年至少一次。

■體系運(yùn)行監(jiān)督評(píng)審

●安全管理細(xì)節(jié)和技術(shù)相關(guān)內(nèi)容的研討

●參與者為與評(píng)審主題相關(guān)聯(lián)的人員

●定期（如，季/月度），或事件驅(qū)動(dòng)

信息安全管理體系培訓(xùn)4.2建立和管理ISMS

4.2.4保持和改進(jìn)ISMS

組織應(yīng)經(jīng)常：

a)實(shí)施已識(shí)別的ISMS改進(jìn)措施。

b)依照8.2和8.3采取合適的糾正和預(yù)防措施。

從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取

教訓(xùn)。

c)向所有相關(guān)方溝通措施和改進(jìn)情況保持，其

詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如

何進(jìn)行。

d)確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。

信息安全管理體系培訓(xùn)

改進(jìn)ISMS

■包括：

●ISMS相關(guān)的方針、過(guò)程、規(guī)程

●管理能力

?測(cè)量分析

?方法和工具

信息安全管理體系培訓(xùn)

4.3文件要求

●4.3.1總則

?文件應(yīng)包括管理決定的記錄，以確保所采取的

措施符合管理決定和方針策略，還應(yīng)確保所記

錄的結(jié)果是可重復(fù)產(chǎn)生的。

?重要的是，能夠顯示出所選擇的控制措施回溯

到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置過(guò)程的結(jié)果、并進(jìn)而回

溯到ISMS方針和目標(biāo)之間的關(guān)系。

信息安全管理體系培訓(xùn)

文件和記錄

■文件

信息及其承載媒介

示例：記錄、規(guī)范、程序文件、圖樣、報(bào)告、標(biāo)準(zhǔn)。

注1：媒介可以是紙張，磁性的、電子的光學(xué)的計(jì)算機(jī)盤(pán)片，照片或標(biāo)準(zhǔn)樣品，或它們的組合。

■記錄

闡明所取得的結(jié)果或提供所完成活動(dòng)的證據(jù)的文件。

[ISO9000:2005]

信息安全管理體系培訓(xùn)

4.3文件要求

4.3.1總則

ISMS文件應(yīng)包括：

a)形成文件的ISMS方針[見(jiàn)4.2.1b）]和目標(biāo)；

b)ISMS的范圍[見(jiàn)http://./doc/18f39dfdc8d376eeaeaa31c3.html）]；

c)支持ISMS的規(guī)程和控制措施；

d)風(fēng)險(xiǎn)評(píng)估方法的描述[見(jiàn)4.2.1c）]；

e)風(fēng)險(xiǎn)評(píng)估報(bào)告[見(jiàn)4.2.1c）到4.2.1g）]；

f)風(fēng)險(xiǎn)處置計(jì)劃[見(jiàn)4.2.2b）]；

g)組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以

及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)

程（見(jiàn).2.3c））;

h)本標(biāo)準(zhǔn)所要求的記錄（見(jiàn)4.3.3）；

I)適用性聲明。

信息安全管理體系培訓(xùn)

4.3文件要求

4.3.1總則

注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的規(guī)程”之處，即要求建立該規(guī)程，形成文件，并加以實(shí)施和保持。

注2：不同組織的ISMS文件的詳略程度取決于：組織的規(guī)模和活動(dòng)的類(lèi)型；安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；

注3：文件和記錄可以采用任何形式或類(lèi)型的介質(zhì)。

信息安全管理體系培訓(xùn)

4.3文件要求

4.3.2文件控制

ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的規(guī)程，以規(guī)定以下方面所需的管理措施：

a)文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?/p>

b)必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；

c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)；

d)確保在使用處的獲得適用文件的相關(guān)版本；

e)確保文件保持清晰、易于識(shí)別；

f)確保文件對(duì)需要的人員可用，并依照文件適用的類(lèi)別程序進(jìn)行

傳輸、貯存和最終銷(xiāo)毀；

g)確保外來(lái)文件得到標(biāo)識(shí)；

h)確保文件的分發(fā)得到控制；

i)防止作廢文件的非預(yù)期使用；

j)若因任何的目的而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)

識(shí)。

信息安全管理體系培訓(xùn)

4.3文件要求

4.3.3記錄控制

?應(yīng)建立記錄并加以保持，以提供符合ISMS要求和有效運(yùn)行的證

據(jù)。應(yīng)對(duì)記錄加以保護(hù)和控制。ISMS的記錄應(yīng)考慮相關(guān)法律法

規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄

的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施

應(yīng)形成文件并實(shí)施。

?應(yīng)保留4.2中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的

重大安全事件的記錄。

?例如：記錄包括訪(fǎng)客登記薄、審核報(bào)告和已完成的訪(fǎng)問(wèn)授權(quán)單

信息安全管理體系培訓(xùn)

5管理職責(zé)

■5.1管理承諾

管理者應(yīng)通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的承諾提供證據(jù)：

a)制定ISMS方針；

b)確保ISMS目標(biāo)和計(jì)劃得以制定；

c)建立信息安全的角色和職責(zé)；

d)向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)

任和持續(xù)改進(jìn)的重要性；

e)提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)

ISMS（見(jiàn)5.2.1）；

f)決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；

g)確保ISMS內(nèi)部審核的執(zhí)行（見(jiàn)第6章）；

h)實(shí)施ISMS的管理評(píng)審（見(jiàn)第7章）。

信息安全管理體系培訓(xùn)

5管理職責(zé)

■5.2資源管理

●5.2.1資源提供

組織應(yīng)確定并提供所需的資源，以：

a)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；

b)確保信息安全規(guī)程支持業(yè)務(wù)要求；

c)識(shí)別和滿(mǎn)足法律法規(guī)要求、以及合同中的安全義務(wù)；

d)通過(guò)正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?/p>

e)必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)響應(yīng)評(píng)審的結(jié)果；

f)在需要時(shí)，改進(jìn)ISMS的有效性。

信息安全管理體系培訓(xùn)

5管理職責(zé)

■5.2資源管理

●5.2.2培訓(xùn)、意識(shí)和能力

組織應(yīng)通過(guò)以下方式，確保所有分配有ISMS職責(zé)的人員具有執(zhí)

行所要求任務(wù)的能力：

a)確定從事影響ISMS工作的人員所必要的能力；

b)提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿(mǎn)足這些

需求；

c)評(píng)價(jià)所采取的措施的有效性；

d)保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見(jiàn)4.3.3）。

e)組織也應(yīng)確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的相關(guān)性和

重要性，以及如何為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。

信息安全管理體系培訓(xùn)6ISMS內(nèi)部審核

組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和規(guī)程

是否：

a)符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；

b)符合已確定的信息安全要求；

c)得到有效地實(shí)施和保持；

d)按預(yù)期執(zhí)行。

信息安全管理體系培訓(xùn)

6ISMS內(nèi)部審核

●應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核

的結(jié)果的情況下，制定審核方案。應(yīng)確定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的

客觀性和公正性。審核員不應(yīng)審核自己的工作。

●策劃和實(shí)施審核、報(bào)告結(jié)果和保持記錄（見(jiàn)4.3.3）的職責(zé)

和要求應(yīng)在形成文件的規(guī)程中做出規(guī)定。

●負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時(shí)采取措施，以消除已發(fā)現(xiàn)

的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)包括對(duì)所采取措施的

驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告（見(jiàn)第8章）。

?注：GB/T19011-2003(《質(zhì)量和(或)環(huán)境管理體系審核指南》)

也可為實(shí)施內(nèi)部ISMS審核提供有用的指導(dǎo)。

信息安