信息安全管理

信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗網(wǎng)絡內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒后門、隱蔽通道蠕蟲安全威脅日益嚴重復合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎設施Flash威脅大規(guī)模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）4BCC-北京新世紀認證有限公司信息安全事件回放（一）全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師，負責某電信運營商的設備安裝，獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權限。從2005年2月開始，復制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值，這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問題：系統(tǒng)監(jiān)控不到位，未能探查出“后門”5BCC-北京新世紀認證有限公司信息安全事件回放（二）北京ADSL斷網(wǎng)事件2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設置發(fā)生故障，直接導致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設備的過程中操作失誤或軟件不完善屬于“天災-難以避免”，但問題是事故出現(xiàn)后不能及時恢復，沒有應急響應機制或事件處理流程，實際反映的是管理缺失。6BCC-北京新世紀認證有限公司信息安全事件回放（三）百度被黑2010年1月12日上午8時許，國內(nèi)著名搜索引擎百度遭遇DNS劫持攻擊，百度首頁被重定向至一署名為“伊朗網(wǎng)軍”的網(wǎng)頁。國內(nèi)大型網(wǎng)站被攻擊早有先例2000年8月31日

新浪網(wǎng)被黑；2006年9月12日

百度網(wǎng)站服務器被黑，導致無法訪問2007年11月26日

新浪網(wǎng)站出現(xiàn)訪問故障，導致無法訪問2008年12月2日

CCTV官網(wǎng)頻道被黑7BCC-北京新世紀認證有限公司保障信息安全的途徑？IT治理安全風險測評

信息安全管理體系強化安全技術信息系統(tǒng)安全等級保護亡羊補牢?還是打打補丁?系統(tǒng)地全面整改?8BCC-北京新世紀認證有限公司第一節(jié)概述一、信息安全管理1、信息安全：涵蓋了以下方面機密性完整性可用性不可抵賴性可靠性可控性真實性一、信息安全管理1、信息安全管理特點：是一個系統(tǒng)工程：信息的生命周期：產(chǎn)生、收集、加工、交換、存儲、檢索、銷毀（例：gps數(shù)據(jù)、超市商品價格及進貨價格）多層面、綜合的、動態(tài)的過程：木通理論（例：碟中諜）一、信息安全管理1、信息安全信息安全的概念：二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一：信息安全管理體系（ISMS）基于業(yè)務風險方法，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分。注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、規(guī)程、過程和資源。[ISO/IEC27001:2005]為保護本組織的信息和信息系統(tǒng)的安全而建立、運行和不斷改進的管理架構。結合信息安全管理標準匯集的最佳實踐和控制措施，形成安全管理的相關制度、過程、操作規(guī)程和日常活動等。14信息安全管理體系標準信息安全管理體系要求為建立、實施、運行、保持和改進信息安全管理體系提供模型規(guī)范了一種基于風險的管理體系，確保組織選擇并運行充分且適當?shù)陌踩刂拼胧┮员Ｗo信息資產(chǎn)由信息安全領域最佳實踐所構成的一整套綜合性控制措施適用于各種類型和規(guī)模的組織強調(diào)預防為主注:

ISO/IEC

27001:2005

idt

GB/T

22080-200815信息安全管理體系的架構三級文件二級文件一級文件信息安全手冊安全方針策略文件過程/規(guī)程/制度文件

作業(yè)指導書、檢查單、表格方針目標機構職責風險評估描述工作流程Who,What,When,Where描述任務、活動是如何完成的16信息安全管理體系的目的和特點目標：提升信息安全管理能力，實現(xiàn)滿足安全要求和期望的結果—受控的信息安全特點：重點關注，全面布防基于對關鍵資產(chǎn)的風險評估，確定保護重點；通過對133項控制措施的選擇和落實，實現(xiàn)對信息安全的全面保障通過PDCA的持續(xù)循環(huán)，確保管理體系適應安全環(huán)境和形勢的變化17信息安全管理的PDCA模型D實施C檢查P規(guī)劃A處置ISO/IEC27001安全目標時間ISMS的PDCA周期循環(huán)安全管理能力18A5安全方針A7資產(chǎn)管理A11訪問控制A14業(yè)務連續(xù)性管理15符合性A13信息安全事件管理A6信息安全組織A8人力資源安全A9物理和環(huán)境安全A10通信和操作管理A12信息系統(tǒng)獲取、開發(fā)和維護安全控制域信息安全管理涉及的領域19信息資產(chǎn)分類管理信息資產(chǎn)管理列出資產(chǎn)清單:資產(chǎn)名稱,位置,安全級別信息:DB\數(shù)據(jù)文件\系統(tǒng)文件\用戶手冊\...軟件資產(chǎn):應用軟件\系統(tǒng)軟件\開發(fā)工具\設備實物資產(chǎn):\計算機\存儲介質(zhì)\其他技術設備可計量:價值(直接價值,損失成本)\重要性指定所有權人\分配職責信息資產(chǎn)分類分類原則:考慮業(yè)務需求\信息共享;信息敏感度變化;信息標識和處理:定義信息的復制,存儲,輸出,銷毀的處理流程信息資產(chǎn)安全屬性A6信息安全組織信息安全架構,組織內(nèi)部管理,第三方訪問信息安全基本架構論壇(技術人員\高層\各重要部門參與)協(xié)作責任分配信息處理方法授權過程組織間合作獨立檢查第三方訪問安全A9物理和環(huán)境的安全重要性:反恐24小時-CTA下水道接入系統(tǒng)繞過防火墻安全區(qū)域:安全界線\進入控制\保護辦公室\安全區(qū)域工作\隔離設備安全:設備定位\電力供應\電纜安全\設備維護\外部設備完全\設備淘汰一般管理措施:財產(chǎn)轉移--不能把設備轉移到工作場所之外A15符合性要求組織高度重視有關信息安全相關法律法規(guī)的要求。確保組織及員工的行為合法合規(guī)，并符合本組織的信息安全方針和相關規(guī)定；防止因違反法律法規(guī)和相關要求而造成不良后果。31A15符合性控制措施：防止濫用信息處理設施禁止使用信息處理設施用于未授權的目的。案例通信公司內(nèi)部人員擅自利用通信系統(tǒng)的手機定位功能，向“偵探公司”提供用戶的位置信息，導致命案。32A8人力資源安全人力資源安全領域強調(diào)如何降低人員交互作用對組織造成的內(nèi)在風險，包括任用前的考察，任用中的管理和培訓以及任用終止的處置。33A8人力資源安全人員安全是造成信息損毀的重要原因信息損毀原因分布圖34A8人力資源安全公安部曾作過統(tǒng)計70％的泄密犯罪來自于內(nèi)部；計算機應用單位80％未設立相應的安全管理體系；58％無嚴格的管理制度。如果相關技術人員違規(guī)操作（如管理員泄露密碼），即便組織有最好的安全技術的支持，也保證不了信息安全。在信息技術高度發(fā)達的美國，信息安全中對人的管理也是一個大問題。在近年一次對600名CIO的調(diào)查表明：有66%的被調(diào)查公司沒有完整的信息安全方針和策略，這就意味著無法對員工進行有效的管理。有32%的被調(diào)查公司要求員工熟悉安全方針與指南只有23%的被調(diào)查公司的員工得到過信息安全的培訓35A8人力資源安全安全控制措施：管理職責管理者應要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對安全盡心盡力。案例電信公司員工出賣用戶個人信息案2010年6月8日，北京東方亨特商務調(diào)查中心等5家調(diào)查公司因涉嫌敲詐勒索等非法經(jīng)營被查，牽出其信息來源竟是電信公司工作人員。最終中國移動、中國聯(lián)通的三名被告被判2年5-6個月有期徒刑。36A10通信和操作管理通信涉及信息的交流和傳輸，操作是對信息處理設施和系統(tǒng)的操作和運行管理。通信和操作管理是信息安全管控的重要運行領域，對這一領域的控制體現(xiàn)了組織安全可靠地運行其信息資產(chǎn)的能力37A10通信和操作管理操作過程責任記錄變更流程意外事故管理流程開發(fā)過程與運行過程的分離--開發(fā)錯誤\惡意系統(tǒng)規(guī)劃驗收:預測:容量\資源A10通信和操作管理控制惡意代碼應實施惡意代碼的檢測、預防和恢復的控制措施，提高用戶安全意識。案例特洛伊木馬病毒在1998年7月，黑客CultoftheDeadCow（cDc）推出強大的遠程控制工具BackOrifice（或稱BO）可以使黑客通過網(wǎng)絡遠程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵電腦“形同玩偶”。2007年“灰鴿子”木馬曾在我國大量傳播，使09年“照片門”事件的央視主持人馬斌“落馬”39A12信息系統(tǒng)獲取、開發(fā)和維護信息系統(tǒng)獲取、開發(fā)和維護領域涉及信息系統(tǒng)的安全需求、信息和數(shù)據(jù)在應用系統(tǒng)的確認及處理、密碼、系統(tǒng)測試和技術脆弱性管理等安全控制實踐，以確保將安全要求有機地集成到信息系統(tǒng)40A12信息系統(tǒng)獲取、開發(fā)和維護安全控制措施：技術脆弱性控制應及時得到現(xiàn)用信息系統(tǒng)技術脆弱性的信息，評價組織對這些脆弱性的暴露程度，并采取適當?shù)拇胧﹣硖幚硐嚓P的風險。案例市政一卡通破解案。由于發(fā)現(xiàn)卡內(nèi)芯片的漏洞，及時升級系統(tǒng)，監(jiān)測出不法充值，使作案人被捕判刑。41A14業(yè)務連續(xù)性管理關注于在發(fā)生重大災難或故障時確保將業(yè)務中斷的影響最小化，保證組織的基本業(yè)務繼續(xù)運行。業(yè)務連續(xù)性管理反映了組織對信息系統(tǒng)運行中斷后的應對及安全保障能力。42A14業(yè)務連續(xù)性管理案例911恐怖襲擊中位于世貿(mào)中心內(nèi)的著名財經(jīng)咨詢公司摩根斯坦利公司，由于實施了業(yè)務連續(xù)性戰(zhàn)略及規(guī)劃，災后第二天成功地恢復了正常的業(yè)務運營，將突發(fā)危機的不利影響降低到了最低程度。43A14業(yè)務連續(xù)性管理受災的場所后備場所轉移到后備場所據(jù)美國的一項研究報告顯示，在遭受災害之后，如果無法在14天內(nèi)恢復業(yè)務數(shù)據(jù)，75%的公司業(yè)務會完全停頓，43%的公司再也無法重新開業(yè)，20%的公司將在2年內(nèi)宣告破產(chǎn)。44小結建立、實施、運行、保持和改進信息安全管理體系，或采取并保持體系化的安全管控可有效防范風險、降低損失；對信息安全缺乏全面準備，損失的風險得不到控制。45四、信息安全技術體系基礎支撐技術：提供包括機密性、完整性和抗抵賴性等在內(nèi)的最基本的信息安全服務，同時為信息安全攻防技術提供支撐主動防御技術和被動防御技術是兩類基本的信息安全防范思路主動防御技術提供阻斷、控制信息安全威脅的能力被動防御技術著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低面向管理技術：以如何提高信息安全技術效率和集成使用信息安全技術為基本出發(fā)點，引入了管理的思想，是一種綜合的技術手段安全網(wǎng)管系統(tǒng)、網(wǎng)絡監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術四、信息安全技術體系基礎支撐技術密碼技術：密碼、簽名、PKI認證技術：消息認證、身份鑒別訪問控制：人員限制、數(shù)據(jù)標識、權限控制、風險控制（例如：MAC地址邦定）2023/2/148身分認證安全技術動態(tài)口令認證PKI技術2023/2/149動態(tài)口令身份認證原理時間/事件信息卡內(nèi)密鑰當前登錄口令密碼運算2023/2/150數(shù)字簽名A的簽名私鑰用戶A

明文用戶Bhash加密簽名A的簽名公鑰解密摘要摘要2023/2/151數(shù)字簽名(cont.)使用公鑰系統(tǒng)等效于紙上物理簽名如報文被改變，則與簽名不匹配只有有私鑰的人才可生成簽名，并用于證明報文來源于發(fā)送方A使用其私鑰對報文簽名，B用公鑰查驗（解密）報文2023/2/152數(shù)字信封加密對稱密鑰用戶A

明文

密文用戶B的公鑰數(shù)字信封解密用戶B

密文

明文用戶B的私鑰對稱密鑰2023/2/153數(shù)字簽名較報文摘要昂貴，因其處理強度大為提高其效率，對一個長文進行簽名的常用方法是先生成一個報文摘要，然后再對報文摘要進行簽名。使用這種方法，我們不但可以證明報文來源于A(A對報文簽名，不可否認)，而且確定報文在傳輸過程中未被修改(報文摘要，機密性)。由于只有A知道其私有密鑰，一旦他加密(簽名)了報文摘要(加密的報文)，他對報文負責(不可否認)。報文摘要與數(shù)字簽名(cont.)2023/2/154證書的版本號數(shù)字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗證數(shù)字證書格式（X.509）2023/2/155數(shù)字時間戳服務（DTS）提供電子文件發(fā)表時間的安全保護和證明，由專門機構提供。它包括三個部分：需要加時間戳的文件的摘要DTS機構收到文件的日期和時間DTS機構的數(shù)字簽名

數(shù)字時間戳四、信息安全技術體系主動防御技術防火墻：包過濾、應用代理、地址翻譯NAT、安全路由VPN：高層封裝底層反病毒：病毒特征碼AAA認證：2023/2/157Internet防火墻防火墻受保護網(wǎng)絡受保護網(wǎng)絡2023/2/158計算機病毒計算機病毒的定義編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼——《中華人民共和國計算機信息系統(tǒng)安全保護條例》2023/2/159計算機病毒的特征自我復制能力感染性潛伏性觸發(fā)性破壞性2023/2/160引起網(wǎng)絡病毒感染的主要原因在于網(wǎng)絡用戶自身。

2023/2/161病毒攻擊的操作系統(tǒng)MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統(tǒng)2023/2/162計算機病毒的分類

按寄生方式分為引導型、病毒文件型病毒和復合型病毒引導型病毒是指寄生在磁盤引導區(qū)或主引導區(qū)的計算機病毒。此種病毒利用系統(tǒng)引導時,不對主引導區(qū)的內(nèi)容正確與否進行判別的缺點,在引導系統(tǒng)的過程中侵入系統(tǒng),駐留內(nèi)存,監(jiān)視系統(tǒng)運行,待機傳染和破壞。2023/2/163

文件型病毒是指寄生在文件中的計算機病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如COM和.EXE等可執(zhí)行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復合型病毒是指具有引導型病毒和文件型病毒寄生方式的計算機病毒。這種病毒擴大了病毒程序的傳染途徑,它既感染磁盤的引導記錄,又感染可執(zhí)行文件。四、信息安全技術體系被動防御技術IDSIntrusionDetectionSystems網(wǎng)絡掃描蜜罐技術五、信息安全管理方法1、信息安全風險評估依據(jù)信息安全技術與管理標準評估信息資產(chǎn)、威脅、脆弱點五、信息安全管理方法2、信息安全事件管理--（應急預案）識別風險后，預先制定管理機制：控制影響重要密碼泄露、系統(tǒng)崩潰、地震信息安全事件管理標準：GB/Z20985-2007管理指南GB/Z20986-2007分級指南GB/Z20988-2007恢復規(guī)范五、信息安全管理方法3、信息安全測評認證4、信息安全工程管理SSE-CMM系統(tǒng)安全工程能力成熟度模型--基于軟件生命周期理論2023/2/168第二節(jié)信息安全管理標準一、BS7799二、其他標準2023/2/169BS7799簡介BS7799概述：BS7799是英國標準委員會（BritshStandardsInsstitute,BSI）針對信息安全管理而制定的標準。分為兩個部分：第一部分：被國際標準化組織ISO采納成為ISO/IEC17799:2005標準的部分，是信息安全管理實施細則（CodeofPracticeforInformationSecurityManage-ment），主要供負責信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項安全控制措施（最佳實踐）。第二部分：被國際標準化組織ISO采納成為ISO/IEC20071:2005標準的部分，是建立信息安全管理體系（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems）,其中詳細說明了建立、實施和維護信息安全管理體系的要求，可以用來指導相關人員應用ISO/IEC17799:2005,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。2023/2/170BS7799發(fā)展歷程BS7799最初由英國貿(mào)工部立項，是業(yè)界、政府和商業(yè)機構共同倡導的，旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息安全管理實踐的通用框架。1995年，BS7799-1:1995《信息安全管理實施細則》首次發(fā)布1998年，BS7799-2:1998《信息安全管理體系規(guī)范》發(fā)布1999年4月，BS7799的兩個部分被修訂，形成了完整的BS7799-1:19992000年國際信息化標準組織將其轉化為國際標準，即ISO/IEC17799:2000《信息技術—信息安全管理實施細則》2002年BSI對BS7799-2：1999進行了重新修訂，正式引入PDCA過程模型；2004年9月BS7799-2:2002正式發(fā)布2005年6月，ISO/IEC17799:2000經(jīng)過改版，形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多個國家和地區(qū)引用BS7799作為本國（地區(qū)）標準，有40多個國家和地區(qū)開展了與此相關的業(yè)務。在我國ISO17799:2000已經(jīng)被轉化為GB/T19716-20052023/2/171BS7799的內(nèi)容*BS7799-1:《信息安全管理實施規(guī)則》

主要是給負責開發(fā)的人員作為參考文檔使用，從而在他們的機構內(nèi)部實施和維護信息安全。*BS7799-2:《信息安全管理體系規(guī)范》

詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施組織需要通過風險評估來鑒定最適宜的控制對象，并根據(jù)自己的需求采取適當?shù)陌踩刂啤?023/2/172

信息安全管理實施細則將信息安全管理內(nèi)容劃分為11個方面，39個控制目標，133項控制措施，供信息安全管理體系實施者參考使用，這11個方面包括：1、安全策略（SecurityPolicy）2、組織信息安全(OrganizingInformationSecurity)3、資產(chǎn)管理(AssetMangement)4、人力資源安全(HumanResourcesSecurity)5、物理與環(huán)境安全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)2023/2/1736、通信與操作管理(CommunicationandOperationManagement)7、訪問控制(AccessControl)8、信息系統(tǒng)獲取、開發(fā)與維護(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息安全事件管理(InformationSecurityIncidentManagement)10、業(yè)務連續(xù)性管理(BusinessContinuityManagement)11、符合性(Compliance)2023/2/174安全策略：包括信息安全策略文件和信息安全策略復查。組織安全：包括在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架；維護被外部伙伴訪問、處理和管理的組織的信息，處理設施和信息資產(chǎn)的安全。資產(chǎn)管理：包括建立資產(chǎn)清單、進行信息分類與分級人力資源安全：包括崗位安全責任和人員錄用安全要求，安全教育與培訓，安全意識，離職及變更職位等。BS7799-1(ISO/IEC17799)2023/2/175物理與環(huán)境安全：包括安全區(qū)域控制、設備安全管理等通信與操作管理：包括操作程序和責任，系統(tǒng)規(guī)劃和驗收，防范惡意軟件，內(nèi)務管理，網(wǎng)絡管理，介質(zhì)安全管理，信息與軟件交換安全訪問控制：包括訪問控制策略，用戶訪問控制，網(wǎng)絡訪問控制，操作系統(tǒng)訪問控制，應用訪問控制，監(jiān)控與審計，移動和遠程訪問BS7799-1(ISO/IEC17799)2023/2/176信息系統(tǒng)獲取、開發(fā)與維護：安全需求分析，安全機制設計（應用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制信息安全事件管理：報告信息安全事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據(jù)收集。業(yè)務連續(xù)性管理：業(yè)務連續(xù)性計劃的制訂，演習，審核，改進符合性管理：符合法律法規(guī)，符合安全策略等。BS7799-1(ISO/IEC17799)2023/2/177對控制措施的描述不夠細致，導致缺乏可操作性；133項控制措施未必適合全部的組織，應當有選擇的參考使用；133項控制措施未必全面，可以根據(jù)實際情況進行增補。BS7799-1(ISO/IEC17799)2023/2/178ISO/IEC17799:2005列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：1、與法律相關的控制措施：（1）知識產(chǎn)權：遵守知識產(chǎn)權保護和軟件產(chǎn)品保護的法律；（2）保護組織的記錄：保護重要的記錄不丟失，不被破壞和偽造；（3）數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律。BS7799-1(ISO/IEC17799)2023/2/1792、與最佳實踐相關的控制措施：（1）信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知；（2）信息安全責任的分配：清晰地所有的信息安全責任；（3）信息安全意識、教育和培訓：全體員工及相關人員應該接受恰當?shù)囊庾R培訓；BS7799-1(ISO/IEC17799)2023/2/180（4）正確處理應用程序：防止應用程序中的信息出錯、丟失或被非授權篡改及誤用；（5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。（7）業(yè)務連續(xù)性管理：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事故或災難影響。BS7799-1(ISO/IEC17799)2023/2/181信息安全管理體系規(guī)范(SpecificationforInformationSecurityManagementSystem)說明了建立、實施、維護，并持續(xù)改進ISMS的要求指導實施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認證BS7799-2/ISO270012023/2/182

建立ISMS（PLAN）定義ISMS的范圍和策略識別和評估風險評估現(xiàn)有保證措施準備適用性說明取得管理層對殘留風險的認可，并獲得實施ISMS的授權BS7799-2/ISO270012023/2/183

實施ISMS（DO）制訂并實施風險處理計劃實施安全控制措施實施安全意識和安全教育培訓實施檢測和響應安全機制BS7799-2/ISO270012023/2/184

監(jiān)視和復查ISMS（CHECK）實施監(jiān)視程序和控制定期復審ISMS的效力定期進行ISMS內(nèi)部審計復查殘留風險和可接受風險的水平BS7799-2/ISO270012023/2/185

改進ISMS（ACT）對ISMS實施可識別的改進實施糾正和預防措施確保改進成果滿足預期目標BS7799-2/ISO270012023/2/186

強調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實施安全控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關的其它文檔BS7799-2/ISO270012023/2/187

建立ISMS的過程制訂安全策略確定體系范圍明確管理職責通過安全風險評估確定控制目標和控制措施復查、維護與持續(xù)改進BS7799-2/ISO270012023/2/188二、其他標準1、PD3000BS7799標準本身是不具有很強的可實施性的，為了指導組織更好地建立ISMS并應對BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導文件，即PD3000系列