XXXXCIS信息安全管理基礎與管理體系-v

信息安全管理基礎與管理體系培訓機構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2信息安全管理基礎知識體知識域信息安全管理方法與實施知識子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理實施信息安全管理概述知識域：信息安全管理概述知識子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對象理解以建立體系的方式實施信息安全管理的必要性理解體系、管理體系、信息安全管理體系的概念3信息安全管理的定義信息信息安全管理信息安全管理4管理、信息安全管理管理 指揮和控制組織的協(xié)調(diào)的活動。

（--

ISO9000:2005質(zhì)量管理體系基礎和術(shù)語）

管理者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。

信息安全管理 管理者為實現(xiàn)信息安全目標（信息資產(chǎn)的CIA等特性，以及業(yè)務運作的持續(xù)）而進行的計劃、組織、指揮、協(xié)調(diào)和控制的一系列活動。5信息安全管理的對象6信息安全管理的對象：包括人員在內(nèi)的各類信息相關資產(chǎn)。

規(guī)則

人員目標組織以建立體系的方式實施信息安全管理的必要性7信息安全的攻擊和防護嚴重不對稱，相對來說攻擊成功很容易，防護成功卻極為困難信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護最薄弱的環(huán)節(jié)信息安全水平被侵害的資產(chǎn)防護措施信息安全管理體系的定義體系管理體系信息安全管理體系8信息安全管理體系的定義體系：相互關聯(lián)和相互作用的一組要素。

（--

ISO9000:2005質(zhì)量管理體系基礎和術(shù)語）管理體系： 建立方針和目標并達到目標的體系。 （--

ISO9000:2005質(zhì)量管理體系基礎和術(shù)語）

為達到組織目標的策略、程序、指南和相關資源的框架。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）信息安全管理體系(ISMS：Information

Security

Management

System)：

整體管理體系的一部分，基于業(yè)務風險的方法，來建立、實施、運作、監(jiān)視、評審、保持和改進信息安全。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）

建立信息安全方針和目標并達到這些目標的體系。 為達到組織信息安全目標的策略、程序、指南和相關資源的框架。910信息安全管理體系，包括的要素有：信息安全組織架構(gòu)信息安全方針信息安全規(guī)劃活動信息安全職責信息安全相關的實踐、規(guī)程、過程和資源......這些要素既相互關聯(lián)又相互作用信息安全管理體系的構(gòu)成要素信息安全管管理體系的的特點信息安全管管理體系要求組織通過確定信息安全管管理體系范范圍，制定信息安全方方針，明確管理職責，，以風險評評估為基礎礎選擇控制制目標和措措施等一系系列活動來建立信息安全管管理體系體系的建立立基于系統(tǒng)、全面面、科學的的信息安全全風險評估估，體現(xiàn)以預防控制制為主的思思想，強調(diào)遵守國家有有關信息安安全的法律律、法規(guī)及及其他合同同方面的要要求強調(diào)全過程和動動態(tài)控制，，本著控制費用與與風險平衡衡的原則合合理選擇安安全控制方方式；強調(diào)保護組織所所擁有的關關鍵性信息息資產(chǎn)，而而不是全部部信息資產(chǎn)產(chǎn)，確保信息的保密密性、完整整性和可用用性，保持組織的競爭爭優(yōu)勢和業(yè)業(yè)務的持續(xù)續(xù)性1112狹義的信息安全管管理體系：指按照ISO27001標準定義的的ISMS廣義的信息息安全管理理體系：泛指任何一一種有關信信息安全的的管理體系系狹義和廣義義的信息安全全管理體系系知識域：信信息安全管管理概述知識子域：：信息安安全管理作作用理解信息安安全管理的的重要作用用理解信息安安全管理體體系的作用用理解實施信信息安全管管理的關鍵鍵成功因素素13信息安全管管理的作用用14（一）信息安全管管理是組織織整體管理理的重要、、固有組成成部分，是是組織實現(xiàn)現(xiàn)其業(yè)務目目標的重要要保障15信息系統(tǒng)是人機交互系統(tǒng)設備的有效效利用是人人為的管理理過程信息安全管管理的作用用應對風險需需要人為的的管理過程程信息安全管管理的作用用如今，信息安全問問題已經(jīng)成成為組織業(yè)業(yè)務正常運運營和持續(xù)續(xù)發(fā)展的最最大威脅信息安全問問題本質(zhì)上上是人的問問題，單憑憑技術(shù)是無無法實現(xiàn)從從“最大威威脅”到““最可靠防防線”轉(zhuǎn)變變的實現(xiàn)信息安安全是一個個多層面、、多因素的的過程，也取決于制制定信息安安全方針策策略標準規(guī)規(guī)范、建立立有效的監(jiān)監(jiān)督審計機機制等多方方面非技術(shù)術(shù)性努力如果組織想想當然地制制定一些控控制措施和和引入某些些技術(shù)產(chǎn)品品，難免存存在掛一漏漏萬、顧此此失彼的問問題，使信信息安全這這只“木桶桶”出現(xiàn)若若干“短板板”，從而而無法提高高信息安全全水平16信息安全管管理的作用用信息安全管管理，是組組織完整的的管理體系系中一個重重要的環(huán)節(jié)節(jié)，它構(gòu)成成了信息安安全具有能動性性的部分理解并重視視管理對于于信息安全全的關鍵作作用，制定定適宜的、、易于理解解、方便操操作的安全全策略對實實現(xiàn)信息安安全目標、、進而實現(xiàn)現(xiàn)業(yè)務目標標至關重要要組織建立一一個管理框框架，讓好好的安全策策略在這個個框架內(nèi)實實施，并不不斷得到修修正，才可可能為業(yè)務務的正常持持續(xù)運作提提供可靠的的信息安全全保障17信息安全管管理的作用用18（二）信息安全管管理是信息息安全技術(shù)術(shù)的融合劑劑，保障各各項技術(shù)措措施能夠發(fā)發(fā)揮作用信息安全管理理的作用19如果你把鑰匙匙落在鎖眼上上會怎樣？技術(shù)措施需要要配合正確的的使用才能發(fā)發(fā)揮作用保險柜就一定定安全嗎？20WO!3G精心設計的網(wǎng)網(wǎng)絡防御體系系，因違規(guī)外外連形同虛設設防火墻能解決決這樣的問題題嗎？信息安全管理理的作用解決信息安全全問題，成敗敗通常取決于于兩個因素，，一個是技術(shù)術(shù)，另一個是是管理安全技術(shù)是信信息安全控制制的重要手段段，但光有安安全技術(shù)還不不行，要讓安安全技術(shù)發(fā)揮揮應有的作用用，必然要有有適當?shù)墓芾砝沓绦?，否則則，安全技術(shù)術(shù)只能趨于僵僵化和失敗說安全技術(shù)是是信息安全的的構(gòu)筑材料，，信息安全管管理就是粘合合劑和催化劑劑技術(shù)和產(chǎn)品是是基礎，管理理才是關鍵產(chǎn)品和技術(shù)，，要通過管理理的組織職能能才能發(fā)揮最最佳作用信息安全管理理的作用21技術(shù)不高但管管理良好的系系統(tǒng)遠比技術(shù)術(shù)高超但管理理混亂的系統(tǒng)統(tǒng)安全只有將有效的的安全管理從從始至終貫徹徹落實于安全全建設的方方方面面，信息息安全的長期期性和穩(wěn)定性性才能有所保保證根本上說，信信息安全是個個管理過程，，而不是技術(shù)術(shù)過程信息安全管理理的作用3分技術(shù)7分管理？人們常說，三三分技術(shù)，七七分管理，可可見管理對信信息安全的重重要性22信息安全“技技管并重”的的原則對于信息安全全，到底是技技術(shù)更重要，，還是管理更更重要？強調(diào)信息安全全管理，并不不是要削弱信信息安全技術(shù)術(shù)的作用，開開展信息安全全管理要處理理好管理和技技術(shù)的關系技管并重。“堅持管理與與技術(shù)并重””是我國加強信息安全全保障工作的的主要原則之之一23信息安全管理理的作用24（三）信息安全管理理能預防、阻阻止或減少信信息安全事件件的發(fā)生信息安全管理理的作用統(tǒng)計結(jié)果顯示示，在所有信信息安全事故故中，只有20%~30%是由于黑客入入侵或其他外外部原因造成成的，70%~80%是由于內(nèi)部員員工的疏忽或或有意泄密造造成的統(tǒng)計結(jié)果表明明，現(xiàn)實世界里大大多數(shù)安全事事件的發(fā)生和和安全隱患的的存在，與其其說是技術(shù)原原因，不如說說是管理不善善造成的因此，防止發(fā)發(fā)生信息安全全事件不應僅僅從技術(shù)著手手，同時更應應加強信息安安全管理25安全不是產(chǎn)品的簡單堆堆積，也不是一次性的靜態(tài)態(tài)過程，它是人員、技術(shù)、、操作三者緊緊密結(jié)合的系統(tǒng)工程，是不斷演進進、循環(huán)發(fā)展展的動態(tài)過程。對信息安全的的正確理解26信息安全管理理體系的作用用對內(nèi)：能夠保護關鍵鍵信息資產(chǎn)和和知識產(chǎn)權(quán)，，維持競爭優(yōu)優(yōu)勢在系統(tǒng)受侵襲襲時，確保業(yè)業(yè)務持續(xù)開展展并將損失降降到最低程度度建立起信息安全審計計框架，實施施監(jiān)督檢查建立起文檔化的信息息安全管理規(guī)規(guī)范，實現(xiàn)有“法”可依依，有章可循循，有據(jù)可查查強化員工的信信息安全意識識，建立良好的安安全作業(yè)習慣慣，培育組織的信息安安全企業(yè)文化化按照風險管理理的思想建立立起自我持續(xù)改進進和發(fā)展的信信息安全管理理機制，用最低的成成本，達到可可接受的信息息安全水平，，從根本上保保證業(yè)務的持持續(xù)性27信息安全管理理體系的作用用對外：能夠使各利益相關方方對組織充滿信信心能夠幫助界定定外包時雙方方的信息安全全責任可以使組織更更好地滿足客客戶或其他組組織的審計要要求可以使組織更更好地符合法法律法規(guī)的要要求若通過了ISO27001認證，能夠提高組織的公公信度可以明確要求求供應商提高高信息安全水水平，保證數(shù)數(shù)據(jù)交換中的的信息安全28實施信息安全全管理的關鍵鍵成功因素(CSF)組織的信息安安全方針和活活動能夠反映映組織的業(yè)務務目標組織實施信息息安全的方法法和框架與組組織的文化相相一致管理者能夠給給予信息安全全實質(zhì)性的、、可見的支持持和承諾管理者對信息息安全需求、、信息安全風風險、風險評評估及風險管管理有深入理理解向全員和其他相關方方提供有效的的信息安全宣宣傳以提升信信息安全意識識向全員和其他相關方方分發(fā)并宣貫貫信息安全方方針、策略和和標準管理者為信息息安全建設提提供足夠的資資金向全員提供適適當?shù)男畔舶踩嘤柡徒探逃⒂行У男判畔踩录芾磉^程建立有效的信信息安全測量量體系29知識域：信息息安全管理方方法與實施知識子域：信信息安全管管理方法理解風險管理理是信息安全全管理的基本本方法，理解解風險評估是是信息安全管管理的基礎，，風險處理是信息安全管管理的核心，，理解控制措措施是管理風風險的具體手手段理解過程方法法是信息安全全管理的基本本方法，理解解過程和過程程方法的含義義，理解PDCA模型30風險評估是信信息安全管理理的基礎風險評估主要要對ISMS范圍內(nèi)的信息息資產(chǎn)進行鑒鑒定和估價，，然后對信息息資產(chǎn)面對的的各種威脅和和脆弱性進行行評估，同時時對已存在的的或規(guī)劃的安安全控制措施施進行界定信息安全管理理體系的建立立需要確定信信息安全需求求信息安全需求求獲取的主要要手段就是安安全風險評估估信息安全風險險評估是信息息安全管理體體系建立的基基礎，沒有風風險評估，信信息安全管理理體系的建立立就沒有依據(jù)據(jù)31風險處理是信信息安全管理理的核心風險處理是對對風險評估活活動識別出的的風險進行決決策，采取適適當?shù)目刂拼氪胧┨幚聿荒苣芙邮艿娘L險險，將風險控控制在可按受受的范圍風險評估活動動只能揭示組組織面臨的風風險，不能改改變風險狀況況只有通過風險險處理活動，，組織的信息息安全能力才才會提升，信信息安全需求求才能被滿足足，才能實現(xiàn)其信息安安全目標信息安全管理理的核心就是是這些風險處處理措施的集集合32風險管理是信信息安全管理理的根本方法法33應對風險評估估的結(jié)果進行行相應的風險險處理。本質(zhì)質(zhì)上，風險處處理的最佳集集合就是信息息安全管理體體系的控制措措施集合梳理出這些風風險控制措施施集合的過程程也就是信息息安全管理體體系的建立過過程周期性的風險險評估與風險險處理活動即即形成對風險險的動態(tài)管理理動態(tài)的風險管管理是進行信信息安全管理理、實現(xiàn)信息息安全目標、、維持信息安安全水平的根根本方法控制措施是管管理風險的具具體手段34管理風險的具具體手段是控控制措施風險處理時，，需要選擇并并確定適當?shù)牡目刂颇繕撕秃涂刂拼胧?。。只有落實適適當?shù)目刂拼氪胧?，那些不不可接受的高高風險才能降降低到可以接接受的水平之之內(nèi)控制措施的類別35從手段來看，可以分為技技術(shù)性、管理理性、物理性性、法律性等等控制措施從功能來看，可以分為預預防性、檢測測性、糾正性性、威懾性等等控制措施從影響范圍來來看，常被分為安安全方針、信信息安全組織織、資產(chǎn)管理理、人力資源源安全、物理理和環(huán)境安全全、通信和操操作管理、訪訪問控制、信信息系統(tǒng)獲取取開發(fā)和維護護、信息安全全事件管理、、業(yè)務連續(xù)性性管理和符合合性11個類別/域過程process一組將輸入轉(zhuǎn)轉(zhuǎn)化為輸出的的相互關聯(lián)或或相互作用的的活動。(--ISO/IEC27000:2009、ISO9000:2005)過程方法processapproach一個組織內(nèi)諸諸過程的系統(tǒng)統(tǒng)的運用，連連同這些過程程的識別和相相互作用及其其管理，可稱稱之為“過程程方法”。(--ISO/IEC27001:2005)系統(tǒng)地識別和和管理組織所所應用的過程程，特別是這這些過程之間間的相互作用用，稱為“過程方法”。(--ISO9000:2005)過程、過程方方法的概念36過程方法示意意圖活動測量、改進責任人資源記錄輸入輸出過程方法37·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團

—政治

—標準

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團

—政治

—標準

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團

—政治

—標準

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團

—政治

—標準

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營活動測量、改進資源記錄過程的分解過程和子過程程的每一個方方面都是受控控的，過程的的輸出才是有有保障的輸出責任人輸入38A規(guī)劃實施檢查處置PDCPDCA循環(huán)39PDCA循環(huán)環(huán)40PDCA也稱“戴明環(huán)環(huán)”，由美國國質(zhì)量管理專專家戴明提出出P（Plan）：計劃，確定方方針和目標，，確定活動計計劃D（Do）：實施，實際去去做，實現(xiàn)計計劃中的內(nèi)容容C（Check）：檢查，總結(jié)執(zhí)執(zhí)行計劃的結(jié)結(jié)果，注意效效果，找出問問題A（Act）：行動，對總結(jié)結(jié)檢查的結(jié)果果進行處理，，成功地經(jīng)驗驗加以肯定并并適當推廣、、標準化；失失敗的教訓加加以總結(jié)，以以免重現(xiàn)；未未解決的問題題放到下一個個PDCA循環(huán)41特點一：按順序進行，，它靠組織的的力量來推動動，像車輪一一樣向前進，，周而復始，，不斷循環(huán)9090處置實施規(guī)劃檢查CADP特點二：組組織中的每個個部分，甚至至個人，均可可以PDCA循環(huán)，大環(huán)套套小環(huán)，一層層一層地解決決問題特點三：每通過一次PDCA循循環(huán)，都要進進行總結(jié)，提提出新目標，，再進行第二二次PDCA循環(huán)90909090處置實施規(guī)劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090處置實施規(guī)劃檢查CADPPDCA循環(huán)的特征與與作用PDCA循環(huán)環(huán)，能夠提供供一種優(yōu)秀的的過程方法，，以實現(xiàn)持續(xù)續(xù)改進遵循PDCA循環(huán)，能使任何一項項活動都有效效地進行PDCA循環(huán)的作用42知識域：信息息安全管理方方法與實施知識子域：信信息安全管管理實施理解建設信息息安全管理體體系是系統(tǒng)地地實施信息安安全管理的一一種方法理解建設信息息安全等級保保護是系統(tǒng)地地實施信息安安全管理的一一種方法了解基于NISTSP800進行信息安全全建設是實施施信息安全管管理的一種方方法43ISMS是一種常見的的對組織信息息安全進行全全面、系統(tǒng)管管理的方法ISMS是由ISO27001定義的一種有有關信息安全全的管理體系系，是一種典典型的基于風風險管理和過過程方法的管管理體系周期性的風險險評估、內(nèi)部部審核、有效效性測量、管管理評審，是是ISMS規(guī)定的四個必必要活動，能能確保ISMS進入良性循環(huán)環(huán)、持續(xù)自我我改進信息安全管理理體系44信息安全管理理體系持續(xù)改改進的PDCA循環(huán)過程程45信息安全管理理體系是PDCA動態(tài)持續(xù)改進進的一個循環(huán)環(huán)體規(guī)劃和建立實施和運行監(jiān)視和評審保持和改進輸入相關方信息安全要求求和期望相關方受控的信息安安全輸出45ISMS的核心內(nèi)容可可以概括為4句話規(guī)定你應該做做什么并形成成文件 ：Plan做文件已規(guī)定定的事情：：Do評審你所做的的事情的符合合性 ：Check采取糾正和預預防措施，持持續(xù)改進：：Act用PDCA來理解什么是是信息安全管管理體系4647ISO/IEC27000標準族27000~2700327004~2700827000信息安全管理理體系概述和術(shù)語27001信息安全管理理體系要求27002信息安全控制措施實用規(guī)則27003信息安全管理理體系實施指南27004信息安全管理理測量27005信息安全風險險管理27006提供信息安全全管理體系審審核和認證機機構(gòu)的要求27007信息安全管理理體系審核指南27008信息安全管理理體系控制措施審核核員指南27001270022700027006270052700327004信息安全管理理體系基本原原理和詞匯ISO27000標準族日益完完善，已經(jīng)開開發(fā)和計劃開開發(fā)的標準有有60余項信息安全等級級保護也是一一種常見的對對組織的信息息安全進行全全面、系統(tǒng)管管理的實施方方法依據(jù)《計算機機信息系統(tǒng)安安全保護條例例》對信息安安全進行全面面管理的一套套機制將信息系統(tǒng)按按照重要性和和受破壞危害害程度分成五五個安全保護護等級，不同同保護等級的的系統(tǒng)分別給給予不同級別別的保護系統(tǒng)定級、安全建建設/整改、自查、、等級測評、、系統(tǒng)備案和監(jiān)督檢檢查是信息安安全等級保護護的六個規(guī)定定活動信息安全等級級保護48參照NISTSP800進行建設也是一種常見見的對組織的的信息安全進進行全面、系系統(tǒng)管理的實實施方法NISTSP800是由美國國家家標準與技術(shù)術(shù)研究院發(fā)布布的一系列特特別出版物（（SpecialPublications，SP），是關于計算機機安全的指南南文檔美國《聯(lián)邦信息安安全管理法案案》（FederalInformationSecurityManagementAct，F(xiàn)ISMA），專門指定定NIST負責開展信息息安全標準、、指導方針的的制定NISTSP800規(guī)范范49SP800-37描述述了了此此系系列列規(guī)規(guī)范范遵遵從從的的風險險管管理理框框架架NISTSP800規(guī)范范50SP800-37給出出了了遞遞升升的風險險管管理理方方法法NISTSP800規(guī)范范51三種種典典型型信信息息安安全全管管理理實實施施方方法法的的區(qū)別別和和聯(lián)聯(lián)系系52

應用對象應用特點ISMS各種類型的組織（有體系建立需求）完全以市場化需求為主，不具備強制性。以風險管理方法為基礎，如果實施體系認證，必須完全滿足27001標準要求等級保護國家基礎網(wǎng)絡和重要信息系統(tǒng)作為我國的一項基礎制度加以推行，有一定強制性。主要目標是有效地提高我國信息和信息系統(tǒng)安全建設的整體水平，重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全NISTSP800聯(lián)邦機構(gòu)或非政府組織與FIPS不同，是非強制性的。但聯(lián)邦機構(gòu)應采納FIPS中要求使用的NISTSP以及OMB要求的特定NISTSP。以風險管理方法為基礎，應用時有一定的靈活性課程程內(nèi)內(nèi)容容53知識識體體知識識域域知識識子子域域信息息安安全全管理理體體系系信息息安安全全管理理體體系系建建設設信息安全管理體系認證文檔控制管理職責規(guī)劃與建立ISMS信息息安安全全管理理體體系系基基礎礎內(nèi)部審核和管理評審信息息安安全全控制制措措施施實施和運行ISMS監(jiān)視和評審ISMS保持和改進ISMS知識識域域：：信信息息安安全全管管理理體體系系基基礎礎知識識子子域域：：管理理職職責責理解解管管理理者者履履行行管管理理職職責責對對成成功功實實施施信信息息安安全全管管理理體體系系（（ISMS）的的重重要要推推動動作作用用掌握握實實施施ISMS過程程中中管管理理者者應應承承擔擔的的管管理理職職責責的的主主要要內(nèi)內(nèi)容容54管理理者者履履行行管管理理職職責責的的重重要要作作用用管理理層層切實實履行行相相應應的的管管理理職職責責是是ISMS能夠夠成成功功實實施施的的最最關關鍵鍵因因素素，，會對對ISMS建設設產(chǎn)產(chǎn)生生推推動動作作用用管理理者者提提供供足足夠夠的的資資源源是是對對ISMS建設設實實質(zhì)質(zhì)性性的的支支持持55主要要管管理理職職責責承擔擔并并履履行行職職責責制定定并并頒頒布布信信息息安安全全方方針針確保保ISMS目標標和和相相應應的的計計劃劃得得以以制制定定建立立信信息息安安全全的的角角色色和和職職責責向組組織織傳傳達達滿滿足足信信息息安安全全目目標標、、符符合合信信息息安安全全方方針針、、履履行行法法律律責責任任和和持持續(xù)續(xù)改改進進的的重重要要性性決定定風風險險可可接接受受級級別別和和風風險險可可接接受受準準則則確保保ISMS內(nèi)部部審審核核的的執(zhí)執(zhí)行行實施施ISMS的管管理理評評審審提供供足足夠夠資資源源資金金能勝勝任任相相關關工工作作的的人人員員（（通通過過提提供供培培訓訓、、教教育育））56知識識域域：：信信息息安安全全管管理理體體系系基基礎礎知識識子子域域：：文檔檔控控制制理解解文文檔檔化化對對實實施施ISMS的重重要要性性理解解風風險險評評估估結(jié)結(jié)果果是是編編制制ISMS文件件的的依依據(jù)據(jù)了解解對對ISMS文件件和和記記錄錄進進行行保保護護和和控控制制的的常常規(guī)規(guī)措措施施57文檔檔化化對對實實施施ISMS的重重要要性性文檔檔包包括括文文件件(如方方針針、、策策略略、、標標準準、、指指南南等等)和記記錄錄文件件是ISMS的一一個個關關鍵鍵要要素素，，是組織織內(nèi)內(nèi)部部的的““法法””，，也也是是ISMS審核核的的依依據(jù)據(jù)記錄錄是文文件件執(zhí)執(zhí)行行情情況況的的客客觀觀證證據(jù)據(jù)，，為為各各項項控控制制措措施施是是否否有有效效實實施施、、ISMS是否否有有效效運運行行提提供供客客觀觀證證據(jù)據(jù)層次次化化的的文文檔檔是是ISMS建設設的的直直接接體體現(xiàn)現(xiàn)，，也也是是ISMS建設設的的成成果果之之一一應對對文文件件和和記記錄錄進進行行控控制制58文件件編編制制依依據(jù)據(jù)風險險評評估估的的結(jié)結(jié)果果是是文文件件編編制制的的直直接接依依據(jù)據(jù)有風風險險的的地地方方才才需需要要管管理理和和控控制制依據(jù)據(jù)風風險險評評估估結(jié)結(jié)果果編編制制的的文文件件體體系系才才是是最最適適合合的的、、最最需需要要的的59易于于管管理理和和維維護護的的ISMS層次次化化文文檔檔結(jié)結(jié)構(gòu)構(gòu)方針、手冊等管理制度、程序、策略文件等操作規(guī)范、規(guī)程、作業(yè)指導書、模板文件等計劃、表格、報告、各種運行/檢查記錄、日志文件等一級文件二級文件三級文件四級文件一級級文文件件：：方方針針性性文文件件二級級文文件件：：信信息息安安全全管管控控程程序序、、管管理理規(guī)規(guī)定定性性文文件件三級級文文件件：：操操作作指指南南、、作作業(yè)業(yè)指指導導書書類類四級級文文件件：：體體系系運運行行的的各各種種記記錄錄下級文件件應支持持上級文文件60文件控制制文件在發(fā)發(fā)布以前前，應得得到相應應級別管管理層的的批準定期評審審、更新新并再次次得到批批準，當當發(fā)生重重大變化化或重大大信息安安全事件件時應及及時評審審和修訂對文件的的修訂和和修訂狀狀態(tài)、版版本進行行標識，確保員工工使用文文件的最最新版本本標明每份份文件的的密級和和分發(fā)范范圍61記錄控制制明確記錄的保保存環(huán)境境要求明確保存期限限要求明確訪問控制制要求明確檢索要求求（比如，支支持按特特定條件件進行查查詢和統(tǒng)統(tǒng)計）62知識域：：信息安安全管理理體系基基礎知識子域域：內(nèi)部審核核和管理理評審了解內(nèi)部部審核的的概念，，以及內(nèi)內(nèi)部審核核的目的的、實施施主體、、實施方方式、審審核準則則了解管理理評審的的概念，，以及管管理評審審的目的的、實施施主體、、實施對對象、實實施方式式63內(nèi)部審核核是用于內(nèi)內(nèi)部目的的，由組組織自己己或以組組織的名名義所進進行的審審核也稱第一一方審核核是ISMS能夠持續(xù)續(xù)改進的的重要動動力之一一組織應按按照既定定的周期期實施ISMS內(nèi)部審核核64內(nèi)部審核核目的確定ISMS的控制目目標、控控制措施施是否符符合相關關標準和和法律法法規(guī)以及及合同條條款的要要求確定各項項控制措措施是否否得到有有效的實實施和保保持確定員工工的業(yè)務務行為是是否符合合組織ISMS文件所規(guī)規(guī)定的要要求實施主體體ISMS內(nèi)審小組組實施方式式文件審核核、現(xiàn)場場審核審核準則則相關標準準、法規(guī)規(guī)法規(guī)、、合同條條款、ISMS文件65管理評審審為實現(xiàn)已已建立的的目標，而進行的的確定管管理體系系的適宜宜性、充充分性和和有效性性的活動動也是ISMS能夠持續(xù)續(xù)改進的的重要動動力之一一組織應按按照既定定的周期期實施ISMS管理評審審66管理評審審目的確保組織織的ISMS持續(xù)具備備適宜性性、充分分性和有有效性實施主體體組織的高高級管理理層實施對象象ISMS文件體系系、各種管理理評審輸輸入材料料實施方式式最常見的的是召開開管理評評審會議議，由組組織的高高級管理理層親自自主導實實施67知識域：：信息安安全管理理體系基基礎知識子域域：信息安全全管理體體系認證證了解ISMS認證的概概念理解ISMS認證是促促進信息息安全管管理體系系改進的的一種外外部驅(qū)動動力68ISMS認證ISMS認證，是是由ISMS認證機構(gòu)構(gòu)依據(jù)ISO/IEC27001對申請組組織的ISMS進行審核核，并向向通過審審核的申申請組織織頒發(fā)ISMS認證證書書的活動動認證機構(gòu)構(gòu)是指那那些從事事對產(chǎn)品品（服務務）、過過程、體體系或人人員是否否符合規(guī)規(guī)定要求求實施認認證活動動的合格格評定機機構(gòu)ISMS認證是證證明一個個組織的的信息安安全水平平達到并并滿足ISMS國際/國家標準準要求的的有效途途徑ISMS認證活動，能從第第三方客客觀公正正的角度度，發(fā)現(xiàn)現(xiàn)ISMS存在的不不足和問問題，是促進進ISMS持續(xù)改進進的一種種外部驅(qū)動動力69ISMS認證ISMS認證通常常包含一一組審核核，包括括初次認認證審核核、年度度監(jiān)督審審核和復復審ISMS認證證書書有效期期一般為為三年，，頒發(fā)認認證證書書后的第第一、第第二年需需要進行行年度監(jiān)監(jiān)督審核核，第三三年進行行復審，，復審通通過后重重新頒發(fā)發(fā)認證證證書70知識域：：信息安安全管理理體系建建設知識子域域：規(guī)劃與建建立ISMS理解定義義ISMS范圍和邊邊界、實實施風險險評估、、獲得管管理者對對殘余風風險的批批準等規(guī)規(guī)劃與建建立ISMS的主要工工作內(nèi)容容71采用過程程方法來來建立和和管理ISMS72ISO27001要求求采用過過程方法法來建立立、實施施和運行行、監(jiān)視視和評審審、保持持和改進進組織的的ISMS按照PDCA循循環(huán)理念念運行的的信息安安全管理理體系是是從過程程上嚴格格保證了了ISMS的有有效性，，在過程程上的這這些要求求是不可可或缺的的，也就就是說不不是可選選的，是是必須執(zhí)執(zhí)行的ISMS應用過過程方法法的結(jié)構(gòu)構(gòu)73規(guī)劃與建建立ISMSP1-定義ISMS范圍和邊邊界P2-制定ISMS方針P3-確定風險險評估方方法P4-實施風險險評估P5-選擇、評評價和確確定風險險處理方方式、處處理目標標和處理理措施P6-獲得管理理者對建建議的殘殘余風險險的批準準P7-獲得管理理者對實實施和運運行ISMS的授權(quán)P8-編制適用用性聲明明（SoA）74P1-定定義ISMS范范圍和邊邊界75ISMS的范圍就就是需要要重點進進行信息息安全管管理的領領域，組組織需要要根據(jù)自自己的實實際情況況，在整整個組織織范圍內(nèi)內(nèi)、個別別部門或或領域構(gòu)構(gòu)建ISMS在定義ISMS范圍時，，應重點點考慮組組織現(xiàn)有有的部門門、信息息資產(chǎn)的的分布狀狀況、核核心業(yè)務務的流程程區(qū)域以以及信息息技術(shù)的的應用區(qū)區(qū)域在本階段段，應將將組織劃劃分成不不同的信信息安全全控制領領域，以以易于組組織對有有不同需需求的領領域進行行適當?shù)牡男畔舶踩芾砝鞵2-制定ISMS方針76信息安全全方針是是組織的的管理層層制定的的一個高高層文件件，用于于指導組組織如何何對資產(chǎn)產(chǎn)進行管管理、保保護和分分配的規(guī)規(guī)則和指指示信息安全全方針應應當闡明明管理層層的承諾諾，提出出組織管管理信息息安全的的方法，，并由管管理層批批準，采采用適當當?shù)姆椒ǚ▽⒎结樶槀鬟_給給每一個個員工信息安全全方針應應當簡明明、扼要要，便于于理解，，至少包包括目標標、范圍圍、意圖圖、法規(guī)規(guī)的遵從從性和管管理的責責任等內(nèi)內(nèi)容P3-確確定風險險評估方方法77識別并確確定適合合ISMS的風險評評估方法法，確保保風險評評估產(chǎn)生生可比較較的和可可再現(xiàn)的的結(jié)果組織可采采取不同同風險評評估法方方法，一一個方法法是否適適合于特特定組織織，有很很多影響響因素，，包括：：業(yè)務環(huán)境境業(yè)務性質(zhì)質(zhì)與業(yè)務務重要性性對支持組組織業(yè)務務活動的的信息系系統(tǒng)的依依賴程度度業(yè)務內(nèi)容容、支持持系統(tǒng)、、應用軟軟件和服服務的復復雜性貿(mào)易伙伴伴、外部部業(yè)務關關系、合合同數(shù)量量的大小小這些因素素對風險險評估方方法的選選擇都很很重要，，不僅風風險評估估要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度安安全；風風險評估估自身也也要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度復復雜制定接受受風險的的準則，，識別可可接受的的風險級級別P4-實施風險險評估78風險評估估準備風險要素素識別識別ISMS范圍內(nèi)的的資產(chǎn)及及其責任任人[1]識別資產(chǎn)產(chǎn)所面臨臨的威脅脅識別可能被被威脅利用用的脆弱點點識別已有的的控制措施施風險分析分析事件發(fā)發(fā)生的可能能性分析事件造造成的影響響實施風險計計算風險結(jié)果判判定評估風險的的等級綜合評估風風險狀況[1]術(shù)語“責任任人”標識識了已經(jīng)獲獲得批準，，負有控制制資產(chǎn)的產(chǎn)產(chǎn)生、開發(fā)發(fā)、維護、、使用和保保證資產(chǎn)的的安全的管管理職責的的個人或?qū)崒嶓w。術(shù)語語“責任人人”不是指指該人員實實際上對資資產(chǎn)擁有所所有權(quán)P5-選擇、評價價和確定風風險處理方方式、處理理目標和處處理措施79常用的處理理方式包括括：采用適當?shù)牡目刂拼胧┦ń档惋L險）在明顯滿足足組織方針針策略和接接受風險的的準則的條條件下，有有意識地、、客觀地接受風險避免風險將相關業(yè)務務風險轉(zhuǎn)移移到其他方方，如：保保險，供應應商等（轉(zhuǎn)移風險）風險處理方方式及決策策原則80降低風險：：在考慮轉(zhuǎn)移移風險前，，應首先考考慮采取措措施降低風風險避免風險：：有些風險容容易避免，，例如采用用不同的技技術(shù)、更改改操作流程程、采用簡簡單的技術(shù)術(shù)措施等轉(zhuǎn)移風險：：通常只有當當風險不能能被降低風風險和避免免、且被第第三方接受受時才采用用接受風險：：用于那些在在采取了降降低風險和和避免風險險措施后，，出于實際際和經(jīng)濟方方面的原因因，只要組組織進行運運營，就必必然存在并并必須接受受的風險為處理風險險選擇控制制目標和控控制措施81選擇控制目目標和控制制措施應考考慮接受風風險的準則則以及法律律法規(guī)和合合同要求將ISO27001附錄A作為選擇控控制措施的的出發(fā)點，，以確保不不會遺漏重重要的可選選控制措施施組織也可能能需要制定定ISO27001附錄A以外的控制制目標和控控制措施提示：在選選擇控制目目標和控制制措施時，，并沒有一一套標準與與通用的辦辦法，選擇擇的過程往往往不是很很直接，可可能要涉及及一系列的的討論、咨咨詢和決策策過程P6-獲得得管理者對對建議的殘殘余風險的的批準82獲得管理層層接受風險險評估團隊隊所建議的的殘余風險險的確認是是風險評估估活動中的的一個重要要過程管理層確認認接受殘余余風險，是是對風險評評估工作的的一種肯定定，表示管管理層已經(jīng)經(jīng)全面了解解了組織所所面臨的風風險，并理理解在風險險一旦變?yōu)闉楝F(xiàn)實后，，組織能夠夠且必須承承擔引發(fā)的的后果如果一個組組織所建立立的ISMS要尋求認證證，認證機機構(gòu)將尋求求管理層確確認接受殘殘余風險的的書面證據(jù)據(jù)P7-獲得管理者者對實施和和運行ISMS的授權(quán)83必須獲得管管理者對實實施和運行行ISMS的授權(quán)。。沒有授權(quán)權(quán)，實施和和運行ISMS的相相關活動就就很難推進進實施和運行行ISMS，需要大大量的資源源（人力、、資金等）），沒有管管理層的授授權(quán)，就很很難申請并并獲得這些些資源P8-編制適用性性聲明（SoA）84所選擇的控控制目標和和措施以及及被選擇的的原因應在在適用性聲聲明（StatementofApplicability，SoA）中進行說明明SoA是適合組織織需要的控控制目標和和控制的評評論，需要要提交給管管理者、職職員、具有有訪問權(quán)限限的第三方方相關認證證機構(gòu)編制SoA一方面是為為了向組織織內(nèi)的員工工聲明對在在面臨的信信息安全風風險的態(tài)度度，更大程程度上則是是為了向外外界表明組組織的態(tài)度度和作為，，以表明組組織已經(jīng)全全面、系統(tǒng)統(tǒng)地審視了了組織的信信息安全系系統(tǒng)，并將將所有需要要控制的風風險控制在在能被接受受的范圍內(nèi)內(nèi)知識域：信信息安全管管理體系建建設知識子域：：實施和運行行ISMS理解實施風風險處理計計劃、開發(fā)發(fā)有效性測測量程序、、管理ISMS的運行等實實施和運行行ISMS的主要工作作內(nèi)容85實施和運行行ISMSD1-制定風險處處理計劃D2-實施風險處處理計劃D3-開發(fā)有效性性測量程序序D4-實施培訓和和意識教育育計劃D5-管理ISMS的運行D6-管理ISMS的資源D7-執(zhí)行檢測事事態(tài)和響應應事件的程程序86D3-開發(fā)發(fā)有效性測測量程序ISMS運行及控制制措施是否否有效，要要有測量方方法和途徑徑，以便制制定改進措措施加以改改進開發(fā)一份有有效性測量量程序，明明確需要設設立的測量量項目，以以及每一測測量項目的的度量標準準、要求達達到的指標標、測量方方式、測量量周期、測測量執(zhí)行人人有效性測量量程序本身身，應做為為ISMS文件加以管管理和控制制87D5-管理理ISMS的運行批準并發(fā)布布ISMS文件宣貫和解釋釋ISMS文件要求ISMS試運行期間間的管理宣布ISMS正式運行88ISMS試試運行ISMS運行初期處處于磨合期期，一般稱稱為試運行行期試運行期的的目的是要要在實踐中中檢驗ISMS的充分性、、適用性和和有效性此期間，宜宜加強運作作力度，通通過實施ISMS文件，充分分發(fā)揮ISMS本身的各項項功能，及及時發(fā)現(xiàn)ISMS本身存在的的問題，找找出問題的的根源，采采取糾正措措施，并按按照文件控控制程序要要求更改體體系文件，，以達到進進一步完善善ISMS的目的89知識域：信信息安全管管理體系建建設知識子域：：監(jiān)視和評審審ISMS理解進行有有效性測量量、實施內(nèi)內(nèi)部審核、、實施管理理評審等監(jiān)監(jiān)視和評審審ISMS的主要工作作內(nèi)容90監(jiān)視和評審審ISMSC1-日常監(jiān)視和和檢查C2-進行有效性性測量C3-實施內(nèi)部審審核C4-實施風險再再評估C5-實施管理評評審91C1-日常監(jiān)視和和檢查是監(jiān)視與評審審ISMS階段的重要要活動，能能發(fā)現(xiàn)ISMS運行過程存存在的問題題手段包括自自動入侵檢檢測、人工工檢查、趨勢分析析等應作為正常常業(yè)務過程程的一部分分予以執(zhí)行行，以便迅迅速檢測出錯誤，識別別安全違規(guī)規(guī)行為和安安全事件，，確認安全全活動或技技術(shù)性措施施是否如期期執(zhí)行92C2-進行有效性性測量目的是驗證ISMS運行及各項項控制措施施是否有效效，是否滿滿足組織的的安全要求求和信息安安全方針，，是否達成成組織的信信息安全目目標各測量項目目的測量執(zhí)執(zhí)行人要按按照既定的的測量方式式、測量周周期進行測測量，生成成并保持測測量記錄對照已經(jīng)定定義的度量量標準，可可以得到每每個測量項項目的評定定結(jié)果，；對照應達到到的指標，，評判這一一測量項目目是否符合合要求通過實施有有效性測量量，組織能能夠準確地地掌握其當當前信息安安全水平93C3-實施內(nèi)部審審核根據(jù)擬審核核業(yè)務過程程和范圍的的狀況、重重要性，以以及以往審審核結(jié)果，，確定審核核的準則、、范圍、頻頻次和方法法常規(guī)的內(nèi)部部審核實施施流程：審核前的準準備編制內(nèi)部審審核計劃、、成立內(nèi)審審小組、編編制內(nèi)審檢檢查列表實施內(nèi)部審審核召開首次會會議、文件件審核、現(xiàn)現(xiàn)場審核、、確定不符符合項、召召開末次會會議編寫審核報報告內(nèi)容包括審審核情況概概述、審核核發(fā)現(xiàn)（即即符合項和和不符合項項的描述））、不符合合項的統(tǒng)計計與分析、、審核結(jié)論論以及糾正正措施要求求等內(nèi)部審核結(jié)結(jié)束后，還還應有后續(xù)續(xù)跟蹤活動動94C5-實施管理評評審應定期對ISMS實施管理評評審。當系系統(tǒng)環(huán)境發(fā)發(fā)生較大變變化、組織織機構(gòu)發(fā)生生重大變化化或安全需需求發(fā)生改改變時，需需要適時進進行管理評評審通常以召開開管理評審審會議的方方式進行評審輸入材材料95ISMS審核和評審審的結(jié)果相關方的反反饋改進技術(shù)、產(chǎn)品和規(guī)程程、預防和糾糾正措施的的狀況以往風險評評估沒有充充分強調(diào)的的脆弱性和和威脅有效性測量量的結(jié)果以往管理評評審的跟蹤蹤措施可能影響ISMS的任何變更更改進ISMS的任何建議議評審輸出ISMS有效性的改改進風險評估和和風險處置置計劃的更更新資源需求有效性測量量方法的改改進修改ISMS文件和控制制措施以響響應各種變變化知識域：信信息安全管管理體系建建設知識子域：：保持和改進進ISMS理解實施糾糾正和預防防措施、溝溝通措施和和改進情況況等保持和和改進ISMS的主要工作作內(nèi)容96保持和改進進ISMSA1-實施施糾正和預預防措施A2-溝通通措施和改改進情況97A1-實施施糾正和預預防措施98不符合項指指：缺少或缺乏乏有效地實實施和維護護一個或多多個ISMS的要求在有客觀證證據(jù)的基礎礎上，引起起對ISMS安全方針和和組織安全全目標能力力的重大懷懷疑從其它組織織和組織自自身的信息息安全實踐踐經(jīng)驗和安安全事件教教訓中學習習，采取相相應的改進進措施，持持續(xù)提高信信息安全管管理的水平平糾正正性性措措施施：：為消消除除與與ISMS要求求不不符符合合發(fā)發(fā)生生的的原原因因，，并并防防止止其其再再發(fā)發(fā)生生所所采采取取的的措措施施預防防性性措措施施：：為為消除除潛潛在在不不符符合合原原因因，，防防止止其其發(fā)發(fā)生生所所采采取取的的措措施施A2-溝溝通通措措施施和和改改進進情情況況99向所所有有相相關關方方溝溝通通措措施施和和改改進進情情況況其詳詳細細程程度度應應與與環(huán)環(huán)境境相相適適應應需要要時時，，商商定定如如何何進進行行思考考和和體體會會標準準不不是是羅羅列列文檔檔不不是是擺擺設設劣法法勝勝于于無無