第四部分：體系文件編寫(xiě)課件

ISMS內(nèi)審員培訓(xùn)課程SGS-CSTC通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

http://第一部分信息安全基礎(chǔ)知識(shí)及案例介紹第二部分ISO27001標(biāo)準(zhǔn)正文部分詳解

ISO27001標(biāo)準(zhǔn)附錄A詳解第三部分信息安全風(fēng)險(xiǎn)評(píng)估與管理第四部分體系文件編寫(xiě)第五部分

信息安全管理體系內(nèi)部審核課程內(nèi)容那我們?cè)搹哪睦镩_(kāi)始呢?

建立信息安全管理體系：要收集問(wèn)題要評(píng)估風(fēng)險(xiǎn)要學(xué)習(xí)標(biāo)準(zhǔn)要改進(jìn)技術(shù)要增加投資要增加人員首先要了解體系建立的需求

——體系標(biāo)準(zhǔn)要求ISO27001正文條款4

信息安全管理體系

（ISMS）4.1總要求4.2建立和管理

ISMS4.2.1建立

ISMS4.2.2

實(shí)施和動(dòng)作ISMS4.2.3監(jiān)視和評(píng)審ISMS4.2.4

保持和改進(jìn)

ISMS4.3

文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制5

管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識(shí)和能力8ISMS改進(jìn)8.1

持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施

6內(nèi)部ISMS審核7ISMS管理評(píng)審7.1總則7.2評(píng)審輸入7.3評(píng)審輸出4.2.1

建立ISMS組織應(yīng)做以下方面的工作：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由。（見(jiàn)1.2）根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針。ISMS方針應(yīng)：包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則；考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS；建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則（見(jiàn)4.2.1c）；獲得管理者批準(zhǔn)。注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在一個(gè)文件中進(jìn)行描述。4.2.1

建立ISMS確定組織的風(fēng)險(xiǎn)評(píng)估方法：識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法；制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別（見(jiàn)5.1f）。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。識(shí)別風(fēng)險(xiǎn)識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；識(shí)別資產(chǎn)所面臨的威脅；識(shí)別可能被威脅利用的脆弱性；識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。4.2.1

建立ISMS…4.2.1

建立ISMS準(zhǔn)備『適用性聲明（SoA）

』應(yīng)從以下幾方面準(zhǔn)備『適用性聲明』：從4.2.1g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見(jiàn)4.2.1e）2））；對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說(shuō)明。4.2.2

實(shí)施和運(yùn)作ISMS…4.3.1一般文件要求文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果、并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系。4.3.1一般文件要求ISMS文件應(yīng)包括：形成文件的ISMS方針[見(jiàn)4.2.1b）]和目標(biāo)；ISMS的范圍[見(jiàn)4.2.la）]；支持ISMS的規(guī)程和控制措施；風(fēng)險(xiǎn)評(píng)估方法的描述[見(jiàn)4.2.1c）]；風(fēng)險(xiǎn)評(píng)估報(bào)告[見(jiàn)4.2.1c）到4.2.1g）]；風(fēng)險(xiǎn)處理計(jì)劃[見(jiàn)4.2.2b）]；組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)程（見(jiàn)4.2.3c））；本標(biāo)準(zhǔn)所要求的記錄（見(jiàn)4.3.3）；適用性聲明。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的規(guī)程，以規(guī)定以下方面所需的管理措施：在文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)?；必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；確保在使用處可獲得適用文件的有關(guān)版本；確保文件保持清晰且易于識(shí)別；確保文件對(duì)需要的人員可用，并依照文件適用的類(lèi)別規(guī)程進(jìn)行傳輸、貯存和最終銷(xiāo)毀；確保外來(lái)文件得到識(shí)別；確保文件分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.3記錄控制應(yīng)建立記錄并加以保持，以提供符合ISMS要求和有效運(yùn)行的證據(jù)。應(yīng)對(duì)記錄加以保護(hù)和控制。ISMS的記錄應(yīng)考慮相關(guān)的法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰，易于識(shí)別及檢索。記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。應(yīng)保留4.2中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的重大安全事件的記錄。5.1管理層承諾管理者應(yīng)通過(guò)以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的承諾提供證據(jù)：制定ISMS方針；確保ISMS目標(biāo)和計(jì)劃得以制定；建立信息安全的角色和職責(zé)；向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS（見(jiàn)5.2.1）；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；確保ISMS內(nèi)部審核的執(zhí)行（見(jiàn)第6章）；實(shí)施ISMS的管理評(píng)審（見(jiàn)第7章）。5.2.1

提供資源組織應(yīng)確定和提供所需資源，以：建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；確保信息安全規(guī)程支持業(yè)務(wù)要求；識(shí)別和滿(mǎn)足法律法規(guī)要求、以及合同中的安全義務(wù)；通過(guò)正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩槐匾獣r(shí)，進(jìn)行評(píng)審，并適當(dāng)響應(yīng)評(píng)審的結(jié)果；在需要時(shí)，改進(jìn)ISMS的有效性。5.2.2

培訓(xùn)、意識(shí)和能力組織應(yīng)通過(guò)以下方式，確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：確定從事影響ISMS工作的人員所必要的能力；提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿(mǎn)足這些需求；評(píng)價(jià)采取的措施的有效性；保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見(jiàn)4.3.3）。組織也要確保所有相關(guān)人員意識(shí)到他們信息安全活動(dòng)的相關(guān)性和重要性，以及如何為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。6.0

內(nèi)部ISMS審核組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行ISMS內(nèi)部審核，以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和規(guī)程是否：符合此標(biāo)準(zhǔn)和有關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實(shí)施和保持；按預(yù)期執(zhí)行。應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。6.0

內(nèi)部ISMS審核審核員的選擇和審核的實(shí)施應(yīng)確保審核的客觀性和公正性。審核員不應(yīng)審核自己的工作。策劃和實(shí)施審核、報(bào)告結(jié)果和保持記錄（見(jiàn)4.3.3）的職責(zé)和要求應(yīng)在形成文件的規(guī)程中做出規(guī)定。負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時(shí)采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)包括對(duì)所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告（見(jiàn)第8章）。7.1

管理評(píng)審—總則管理者應(yīng)按計(jì)劃的時(shí)間間隔（至少每年1次）評(píng)審組織的ISMS以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見(jiàn)4.3.3）。7.2

評(píng)審的輸入評(píng)審的輸入應(yīng)包括：ISMS審核和評(píng)審的結(jié)果；相關(guān)方的反饋；組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；可能影響ISMS的任何變更；改進(jìn)的建議。7.3

評(píng)審的輸出管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：ISMS有效性的改進(jìn)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理計(jì)劃的更新。必要時(shí)修改影響信息安全的規(guī)程和控制措施，以響應(yīng)內(nèi)部或外部可能影響ISMS的事態(tài)，包括以下的變更：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程；法律法規(guī)要求；合同要求；風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則。資源需求?？刂拼胧┯行詼y(cè)量方法的改進(jìn)。8.1

持續(xù)改善組織應(yīng)利用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評(píng)審（見(jiàn)第7章），持續(xù)改進(jìn)ISMS的有效性。8.2

糾正措施組織應(yīng)采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施規(guī)程，應(yīng)規(guī)定以下方面的要求：識(shí)別不符合；確定不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施需求；確定和實(shí)施所需要的糾正措施；記錄所采取措施的結(jié)果（見(jiàn)4.3.3）；評(píng)審所采取的糾正措施。8.3

預(yù)防措施組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。形成文件的預(yù)防措施規(guī)程，應(yīng)規(guī)定以下方面的要求：識(shí)別潛在的不符合及其原因；評(píng)價(jià)防止不符合發(fā)生的措施需求；確定和實(shí)施所需要的預(yù)防措施；記錄所采取措施的結(jié)果（見(jiàn)4.3.3）；評(píng)審所采取的預(yù)防措施。組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。第四章——第八章不允許刪減本標(biāo)準(zhǔn)必需的文件化的規(guī)程文件控制

4.3.2

記錄控制

4.3.3

內(nèi)審

6.0糾正措施

8.2預(yù)防措施

8.3「組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)程（見(jiàn)4.2.3c））；」4.3.1g

（程序）本標(biāo)準(zhǔn)必需的記錄影響ISMS有效性或執(zhí)行情況的措施和事態(tài)的記錄4.2.3

h培訓(xùn)記錄

5.2.2

d內(nèi)審記錄

6.0管理評(píng)審記錄7.1糾正措施

8.2

e預(yù)防措施

8.3

d4.3.1h：「本標(biāo)準(zhǔn)所要求的記錄」認(rèn)證標(biāo)準(zhǔn)-要求附錄條款A(yù).5安全方針A.8人力資源安全A.7資產(chǎn)管理A.11訪問(wèn)控制A.12信息系統(tǒng)

獲取、開(kāi)發(fā)和維護(hù)A.13信息安全事件管理A.14業(yè)務(wù)連續(xù)性管理A.6信息安全組織A.9物理和環(huán)境安全A.10通信和操作管理A.15符合性認(rèn)證標(biāo)準(zhǔn)-要求附錄條款5.0安全方針信息安全方針信息安全方針文件信息安全策略評(píng)審6.0信息安全組織內(nèi)部組織信息安全的管理承諾信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過(guò)程保密性協(xié)議與政府部門(mén)的聯(lián)系與特定利益集團(tuán)的聯(lián)系信息安全的獨(dú)立評(píng)審?fù)獠扛鞣脚c外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問(wèn)題處理第三方協(xié)議中的安全問(wèn)題認(rèn)證標(biāo)準(zhǔn)-要求附錄條款7.0資產(chǎn)管理資產(chǎn)的責(zé)任資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的可接受使用信息分類(lèi)分類(lèi)指南信息的標(biāo)記和處理8.0人力資源安全任用之前角色和職責(zé)審查任用條款和條件任用中管理職責(zé)信息安全意識(shí)、教育和培訓(xùn)紀(jì)律處過(guò)程任用的終止或變化終止職責(zé)資產(chǎn)的歸還撤銷(xiāo)訪問(wèn)權(quán)認(rèn)證標(biāo)準(zhǔn)-要求附錄條款9.0

物理和環(huán)境安全安全區(qū)域物理安全周邊物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問(wèn)、交接區(qū)安全設(shè)備安全設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)組織場(chǎng)所外的設(shè)備安全安全的安全處置和再利用資產(chǎn)的移動(dòng)認(rèn)證標(biāo)準(zhǔn)-要求附錄條款10.0

通信和操作管理操作規(guī)程和職責(zé)文件化的操作規(guī)程變更管理責(zé)任分割開(kāi)發(fā)、測(cè)試及運(yùn)行設(shè)施分離第三方服務(wù)交付管理服務(wù)交付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理系統(tǒng)規(guī)劃和驗(yàn)收容量管理系統(tǒng)驗(yàn)收防范惡意和移動(dòng)代碼控制惡意代碼控制移動(dòng)代碼備份信息備份網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全介質(zhì)處置可移動(dòng)介質(zhì)的管理介質(zhì)的處置信息處理規(guī)程系統(tǒng)文件安全認(rèn)證標(biāo)準(zhǔn)-要求附錄條款信息交換信息交換策略和規(guī)程交換協(xié)議運(yùn)輸中的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)電子商務(wù)服務(wù)電子商務(wù)在線(xiàn)交易公共可用信息監(jiān)視審計(jì)記錄

監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步

認(rèn)證標(biāo)準(zhǔn)-要求附錄條款11.0

訪問(wèn)控制訪問(wèn)控制的業(yè)務(wù)需求訪問(wèn)控制策略用戶(hù)訪問(wèn)管理用戶(hù)注冊(cè)特殊權(quán)限管理用戶(hù)口令管理用戶(hù)訪問(wèn)權(quán)復(fù)查用戶(hù)職責(zé)口令使用無(wú)人值守的用戶(hù)設(shè)備清空桌面和屏幕策略網(wǎng)絡(luò)訪問(wèn)控制使用網(wǎng)絡(luò)服務(wù)的策略

外部連接的用戶(hù)鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)遠(yuǎn)程診斷和配置端口的保護(hù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制

操作系統(tǒng)訪問(wèn)控制安全的登錄規(guī)程

用戶(hù)標(biāo)識(shí)和鑒別口令管理系統(tǒng)系統(tǒng)系統(tǒng)工具的使用會(huì)話(huà)超時(shí)聯(lián)機(jī)時(shí)間的限定認(rèn)證標(biāo)準(zhǔn)-要求附錄條款應(yīng)用和信息訪問(wèn)控制信息訪問(wèn)限制敏感系統(tǒng)隔離移動(dòng)計(jì)算及過(guò)程工作移動(dòng)計(jì)算和通信遠(yuǎn)程工作認(rèn)證標(biāo)準(zhǔn)-要求附錄條款12.0信息系統(tǒng)獲取、開(kāi)發(fā)及維護(hù)信息系統(tǒng)的安全要求安全要求分析和說(shuō)明應(yīng)用中正確的處理輸入數(shù)據(jù)確認(rèn)內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)確認(rèn)密碼控制使用密碼控制的策略密鑰管理系統(tǒng)文件的安全運(yùn)行軟件的控制系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)對(duì)程序源代碼的訪問(wèn)控制開(kāi)發(fā)和支持過(guò)程的安全變更控制規(guī)程操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審軟件包變更的限制信息泄漏外包軟件開(kāi)發(fā)技術(shù)脆弱性管理技術(shù)脆弱性的控制認(rèn)證標(biāo)準(zhǔn)-要求附錄條款13.0信息安全事件和改進(jìn)的管理報(bào)告信息安全事態(tài)及弱點(diǎn)報(bào)告信息安全事態(tài)報(bào)告信息安全弱點(diǎn)報(bào)告安全事件及改善職責(zé)與規(guī)程對(duì)信息安全事件的總結(jié)證據(jù)的收集14.0業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理的信息安全方面在業(yè)務(wù)連續(xù)性管理過(guò)程中包含信息安全業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃框架測(cè)試、維護(hù)和再評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃認(rèn)證標(biāo)準(zhǔn)-要求附錄條款15.0符合性符合法律要求可用法律的識(shí)別知識(shí)產(chǎn)權(quán)(IPR)保護(hù)組織的記錄數(shù)據(jù)保護(hù)和個(gè)人信息的隱私防止濫用信息處理設(shè)施密碼控制措施的規(guī)則符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性符合安全策略和標(biāo)準(zhǔn)技術(shù)符合性核查信息系統(tǒng)審計(jì)考慮信息系統(tǒng)審計(jì)控制措施信息系統(tǒng)審計(jì)工具的保護(hù)可做為主要良好的起點(diǎn)從法律的觀點(diǎn)看，對(duì)某個(gè)組織重要的控制措施包括，根據(jù)適用的法律：數(shù)據(jù)保護(hù)和個(gè)人信息的隱私（見(jiàn)A.15.1.4）；保護(hù)組織的記錄（見(jiàn)A.15.1.3）；知識(shí)產(chǎn)權(quán)（見(jiàn)A.15.1.2）。被認(rèn)為是信息安全的常用慣例的控制措施包括：信息安全方針文件（見(jiàn)A.5.1.1）；信息安全職責(zé)的分配（見(jiàn)A.6.1.3）；信息安全意識(shí)、教育和培訓(xùn)（見(jiàn)A.8.2.2）；應(yīng)用中的正確處理（見(jiàn)A.12.2）；技術(shù)脆弱性管理（見(jiàn)A.12.6）；業(yè)務(wù)連續(xù)性管理（見(jiàn)A.14）；信息安全事件和改進(jìn)的管理（見(jiàn)A.13.2）。與ISO9001/ISO14001的相似之處PDCA方法

—“策劃控制監(jiān)控改善”方法其它要求相似：文件控制記錄控制內(nèi)審糾正措施預(yù)防措施ISMS與EMS可以作為全面質(zhì)量管理系統(tǒng)的一部分進(jìn)行實(shí)施標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（1）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（2）本標(biāo)準(zhǔn)ISO9001:2000ISO14001:20044信息安全管理體4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評(píng)審ISMS4.2.4保持和改進(jìn)ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制4質(zhì)量管理體系4.1總要求8.2.3過(guò)程的監(jiān)視和測(cè)量8.2.4產(chǎn)品的監(jiān)視和測(cè)量4.2文件要求4.2.1總則4.2.2質(zhì)量手冊(cè)4.2.3文件控制4.2.4記錄控制4EMS要求4.1總要求4.4實(shí)施和運(yùn)行4.5.1監(jiān)視和測(cè)量4.5.2不合格和糾正與預(yù)防措施4.4.5文件控制4.5.4記錄控制標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（3）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（4）IntegratedAssessmentService(IAS)IntegratedManagementRegistration(IMR)CombinedAuditService(CAS)9001140012700190011400127001IMR組合的管理體系vs.整合管理體系理體系法規(guī)及其他要求客戶(hù)需求環(huán)境因素及影響信息安全風(fēng)險(xiǎn)識(shí)別評(píng)估方針目標(biāo)計(jì)劃程序/WI實(shí)施檢查/檢驗(yàn)/審核糾正與預(yù)防措施管理評(píng)審改進(jìn)計(jì)劃計(jì)劃實(shí)施檢查改進(jìn)整合管理體系的思維模式技術(shù)要求：ISO9001——顧客的需求（產(chǎn)品質(zhì)量標(biāo)準(zhǔn)）ISO14001——法律、法規(guī)及其他要求是組織管理體系的組成部分具有相同的管理思想——過(guò)程控制——文件化15ISO27001——信息安全風(fēng)險(xiǎn)ISO14001、ISO27001與ISO9001關(guān)系都是自愿性的國(guó)際標(biāo)準(zhǔn)遵循相同的管理系統(tǒng)原理，要求文件化體系通過(guò)體系建立、運(yùn)行和改進(jìn)實(shí)現(xiàn)方針和目標(biāo)體系結(jié)構(gòu)和模式接近，PDCA循環(huán)實(shí)現(xiàn)改進(jìn)部分要素相同都可能成為貿(mào)易的條件，消除貿(mào)易壁壘16ISO14001、ISO27001與ISO9001的聯(lián)系必要性一體化減少工作量，重復(fù)和矛盾，提高管理效能同時(shí)審核降低審核成本，提高企業(yè)申請(qǐng)積極性為新的管理體系提供兼容經(jīng)驗(yàn)，實(shí)現(xiàn)一體化管理可行性符合企業(yè)愿望和要求符合技術(shù)委員會(huì)制定標(biāo)準(zhǔn)的指導(dǎo)思想ISO正在制定共同的審核標(biāo)準(zhǔn)具有相似的結(jié)構(gòu)17EMS、ISMS與QMS的兼容角色權(quán)責(zé)明確劃分單一系統(tǒng)較易被員工接受使用共通程序，簡(jiǎn)化作業(yè)共用系統(tǒng)資源，提高效率整合驗(yàn)證，節(jié)省認(rèn)證時(shí)間與經(jīng)費(fèi)19系統(tǒng)整合的優(yōu)點(diǎn)文件編寫(xiě)步驟1.風(fēng)險(xiǎn)評(píng)估相關(guān)文件風(fēng)險(xiǎn)評(píng)估程序范圍、方針、目標(biāo)、處理計(jì)劃2.適用性聲明3.哪些文件可直接使用4.哪些文件可修改后使用(如與其它管理體系共用)5.哪些文件需要編寫(xiě)，結(jié)構(gòu)是怎么樣的？6.編寫(xiě)計(jì)劃是怎么樣的？7.檢查是否符合SOA和風(fēng)險(xiǎn)處理計(jì)劃編寫(xiě)前準(zhǔn)備---確定編寫(xiě)人員及總協(xié)調(diào)人員

---分配職能權(quán)限，確定部門(mén)關(guān)系

組織編寫(xiě)----擬定文件清單

----確定文件格式，統(tǒng)一風(fēng)格

----制定編寫(xiě)進(jìn)度表

----原有資料的收集和分析

----現(xiàn)狀的了解和分析編寫(xiě)審查批準(zhǔn)----格式審查

----內(nèi)容審查

----會(huì)議評(píng)審文件編寫(xiě)步驟編寫(xiě)前準(zhǔn)備---確定編寫(xiě)人員及總協(xié)調(diào)人員

---分配職能權(quán)限，確定部門(mén)關(guān)系

組織編寫(xiě)----擬定文件清單

----確定文件格式，統(tǒng)一風(fēng)格

----制定編寫(xiě)進(jìn)度表

----原有資料的收集和分析

----現(xiàn)狀的了解和分析編寫(xiě)審查批準(zhǔn)----格式審查

----內(nèi)容審查

----會(huì)議評(píng)審練習(xí)對(duì)我們公司，文件編寫(xiě)的順序應(yīng)該是怎么樣的？請(qǐng)舉例說(shuō)明各步驟的內(nèi)容。設(shè)施維護(hù)管理程序編寫(xiě)步驟2.信息安全事件管理程序ISMS文件方針?lè)秶L(fēng)險(xiǎn)評(píng)價(jià)適用性聲明描述過(guò)程：5W1H描述任務(wù)及具體的活動(dòng)如何完成提供符合ISMS條款4.3.3要求的客觀證據(jù)第一層次第二層次第三層次第四層次安全手冊(cè)程序作業(yè)指導(dǎo)書(shū)檢查表、表格記錄ISMS文件第一層次（安全手冊(cè)）：管理框架概要，包括信息安全方針、控制目標(biāo)以及在適用性聲明上給出的實(shí)施的控制方法。應(yīng)引用下一層次的文件第二層次（程序）：采用的程序，規(guī)定實(shí)施要求的控制方法。描述安全過(guò)程的“WHO、WHY、WHAT、WHEN、WHERE、HOW”以及部門(mén)間的控制方法；可以按照ISO27001順序，也可按照過(guò)程順序；引用下一層次文件ISMS文件第三層次：解釋具體任務(wù)或活動(dòng)的細(xì)節(jié)—如何執(zhí)行具體的任務(wù)。包括詳細(xì)的作業(yè)指導(dǎo)書(shū)、表格、流程圖、服務(wù)標(biāo)準(zhǔn)、系統(tǒng)手冊(cè)，等等。第四層次（記錄）：按照第一、二、三層次文件開(kāi)展的活動(dòng)的客觀證據(jù)?？赡苁菑?qiáng)制性的，或者是各個(gè)ISO27001條款隱含的要求。例如：訪問(wèn)者登記簿、審核記錄、訪問(wèn)的授權(quán)。形成文件的ISMS的益處對(duì)外增強(qiáng)顧客信心和滿(mǎn)意改善對(duì)安全方針及要求的符合性提高競(jìng)爭(zhēng)優(yōu)勢(shì)對(duì)內(nèi)改善總體安全管理并減少安全事件的影響便利持續(xù)改進(jìn)提高員工動(dòng)力與參與提高盈利能力中國(guó)的信息安全法律、法規(guī)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例計(jì)算機(jī)病毒防治管理辦法互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法/n11293472/n11293832/n11294402/index.html

/n11293472/n11293832/n11294042/index.html

信息安全有關(guān)的標(biāo)準(zhǔn)計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則(GB17859-1999)計(jì)算站場(chǎng)地安全要求(GB9361-1988)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求(GA/T390-2002)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求(GA/T388-2002)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求(GA/T389-2002)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求(GA/T387-2002)最新發(fā)布的15項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn)GB/T20269-2006信息安全技術(shù)

信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術(shù)

網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)

信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)

操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)

數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求GB/T20274.1-2006信息安全技術(shù)

信息系統(tǒng)安全保障評(píng)估框架GB/T20275-2006信息安全技術(shù)

入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級(jí)）GB/T20277-2006信息安全技術(shù)

網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法GB/T20278-2006信息安全技術(shù)

網(wǎng)絡(luò)脆弱性?huà)呙璁a(chǎn)品技術(shù)要求GB/T20279-2006信息安全技術(shù)

網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20280-2006信息安全技術(shù)

網(wǎng)絡(luò)脆弱性?huà)呙璁a(chǎn)品測(cè)試評(píng)價(jià)方法GB/T20281-2006信息安全技術(shù)

防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法GB/T20282-2006信息安全技術(shù)

信息系統(tǒng)安全工程管理要求GB/Z20283-2006信息安全技術(shù)

保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南練習(xí)如何在信息安全體系建設(shè)時(shí)體現(xiàn)：上兵伐謀，其次伐交，其次伐兵，其下攻城知彼知己；因敵制勝以逸待勞；無(wú)中生有拋磚引玉；借刀殺人方針示例目標(biāo)：為保護(hù)本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、數(shù)據(jù)、信息的安全，免于因外在的威脅或內(nèi)部人員不當(dāng)?shù)墓芾碓馐苄姑?、破壞或遺失等風(fēng)險(xiǎn)，特制訂本政策，以供全體員工共同遵循。宣傳口號(hào)：“信息安全是贏得客戶(hù)的基礎(chǔ)，無(wú)破壞零損失是我們的終極目標(biāo)”“信息安全，人人有責(zé)”信息安全要求：信息安全管理委員會(huì)是公司信息安全管理的最高機(jī)構(gòu)信息資產(chǎn)應(yīng)受適當(dāng)?shù)谋Ｗo(hù)，以防止未經(jīng)授權(quán)的不當(dāng)存?。粦?yīng)適當(dāng)保護(hù)信息的機(jī)密性；確保信息不會(huì)在傳遞的過(guò)程中，或因無(wú)意間的行為透露給未經(jīng)授權(quán)的第三者；應(yīng)適當(dāng)確保信息的完整性，以防止未經(jīng)授權(quán)的竄改；應(yīng)適當(dāng)確保信息的可用性，以確保使用者需求可以得到滿(mǎn)足；相關(guān)的信息安全措施或規(guī)范應(yīng)符合現(xiàn)行法令的要求；盡可能維護(hù)、測(cè)試企業(yè)的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計(jì)劃的可行性；應(yīng)依其職務(wù)、責(zé)任對(duì)全體員工進(jìn)行信息安全適當(dāng)?shù)慕逃c培訓(xùn)；所有信息安全意外事故或可疑的安全弱點(diǎn)，都應(yīng)依循適當(dāng)回報(bào)系統(tǒng)向上反應(yīng)，予以適當(dāng)調(diào)查、處理。文件舉例（第一層）1．信息資產(chǎn)與風(fēng)險(xiǎn)評(píng)估管理要點(diǎn)2．信息作業(yè)人員安全管理要點(diǎn)3．安全區(qū)域管理要點(diǎn)4．信息設(shè)備授權(quán)及保護(hù)管理要點(diǎn)5．資料備份與媒體管理要點(diǎn)6．網(wǎng)絡(luò)與通訊安全管理要點(diǎn)7．信息安全文件及記錄管理要點(diǎn)8．系統(tǒng)開(kāi)發(fā)與維護(hù)管理要點(diǎn)9．信息安全事件管理要點(diǎn)10．信息中心業(yè)務(wù)持續(xù)運(yùn)營(yíng)管理要點(diǎn)11．第三方信息作業(yè)管理要點(diǎn)12．辦公室信息作業(yè)環(huán)境管理要點(diǎn)13．信息安全自行檢查作業(yè)實(shí)施要點(diǎn)14．變更管理要點(diǎn)15．信息交換作業(yè)管理要點(diǎn)16．信息安全組織設(shè)置要點(diǎn)17．信息策略委員會(huì)設(shè)置要點(diǎn)18．部門(mén)電腦作業(yè)管理要點(diǎn)19．帶出/遠(yuǎn)程電腦作業(yè)管理要點(diǎn)20．個(gè)人資料檔案安全維護(hù)計(jì)劃信息安全管理手冊(cè)文件舉例（第二層）業(yè)務(wù)持續(xù)性管理程序事故、薄弱點(diǎn)與故障管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息處理設(shè)施引進(jìn)實(shí)施管理程序信息處理設(shè)施維護(hù)管理程序信息安全人員考察與保密管理程序信息安全獎(jiǎng)勵(lì)、懲戒管理規(guī)定信息安全適用性聲明信息安全風(fēng)險(xiǎn)評(píng)估管理程序內(nèi)部審核管理程序惡意軟件控制程序信息安全管理體系程序文件更改控制程序物理訪問(wèn)程序用戶(hù)訪問(wèn)控制程序管理評(píng)審控制程序系統(tǒng)開(kāi)發(fā)與維護(hù)控制程序系統(tǒng)訪問(wèn)與使用監(jiān)控管理程序計(jì)算機(jī)應(yīng)用管理崗位工作標(biāo)準(zhǔn)計(jì)算機(jī)管理程序記錄控制程序重要信息備份管理程序預(yù)防措施程序文件舉例（第三層）令牌(Token)管理規(guī)定產(chǎn)品運(yùn)輸保密方法管理規(guī)定介質(zhì)銷(xiāo)毀辦法保安業(yè)務(wù)管理規(guī)定信息中心主機(jī)房管理制度信息中心信息安全處罰規(guī)定信息中心密碼管理規(guī)定信息安全人員考察與保密管理程序信息開(kāi)發(fā)崗位工作標(biāo)準(zhǔn)信息系統(tǒng)訪問(wèn)權(quán)限說(shuō)明信息安全管理體系作業(yè)文件

信息銷(xiāo)毀制度(檔案室）可移動(dòng)媒體使用與處置管理規(guī)定各部門(mén)微機(jī)專(zhuān)責(zé)人工作標(biāo)準(zhǔn)復(fù)印室管理規(guī)定工程師室和電子間管理規(guī)定數(shù)據(jù)加密管理規(guī)定文件審批表機(jī)房安全管理規(guī)定檔案室信息安全職責(zé)法律法規(guī)與符合性評(píng)估程序文件舉例（第三層）生產(chǎn)經(jīng)營(yíng)持續(xù)性管理戰(zhàn)略計(jì)劃監(jiān)視系統(tǒng)管理規(guī)定系統(tǒng)分析員崗位工作標(biāo)準(zhǔn)經(jīng)營(yíng)部信息事故處理規(guī)定經(jīng)營(yíng)部信息安全崗位職責(zé)規(guī)定經(jīng)營(yíng)部計(jì)算機(jī)機(jī)房管理規(guī)定經(jīng)營(yíng)部訪問(wèn)權(quán)限說(shuō)明網(wǎng)站信息發(fā)布管理程序網(wǎng)絡(luò)中間設(shè)備安全配置管理規(guī)定網(wǎng)絡(luò)通信崗位工作標(biāo)準(zhǔn)信息安全管理體系作業(yè)文件

計(jì)算機(jī)硬件管理維護(hù)規(guī)定財(cái)務(wù)管理系統(tǒng)訪問(wèn)權(quán)限說(shuō)明遠(yuǎn)程工作控制程序文件舉例（第四層）上級(jí)單位領(lǐng)導(dǎo)來(lái)訪登記表事故調(diào)查分析及處理報(bào)告信息發(fā)布審查表