信息安全風(fēng)險(xiǎn)評(píng)估下

ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習(xí)ISO/IEC27001:2005介紹第1頁(yè)/共84頁(yè)ISO27001的標(biāo)準(zhǔn)全稱(chēng)（ISO27001標(biāo)準(zhǔn)題目）

Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements

信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ISMS信息安全管理體系

-管理體系

-信息安全相關(guān)

-ISO27001的"3術(shù)語(yǔ)和定義-3.7"Requirements要求1.0ISO/IEC27001:2005是什么第2頁(yè)/共84頁(yè)建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責(zé)，流程，程序和資源等。(ISO27001"3術(shù)語(yǔ)和定義-3.7")管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。1.1什么是管理體系？Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)第3頁(yè)/共84頁(yè)1.1什么是信息安全？保護(hù)信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性(ISO27001"3術(shù)語(yǔ)和定義-3.4")

機(jī)密性（Confidentiality） 信息不能被未授權(quán)的個(gè)人，實(shí)體或者過(guò)程利用或知悉的特性(ISO27001"3術(shù)語(yǔ)和定義-3.3")完整性（Integrity） 保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性(ISO27001"3術(shù)語(yǔ)和定義-3.8").確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶(hù)篡改，同時(shí)還要防止授權(quán)用戶(hù)對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹模３中畔?nèi)、外部表示的一致性?？捎眯裕ˋvailability） 根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性(ISO27001"3術(shù)語(yǔ)和定義-3.2").確保授權(quán)用戶(hù)或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源第4頁(yè)/共84頁(yè)信息安全管理體系(ISMS):是整個(gè)管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以：建立實(shí)施運(yùn)作監(jiān)控評(píng)審維護(hù)改進(jìn)信息安全。1.2ISO27001的第3章“術(shù)語(yǔ)和定義-3.7"職業(yè)健康安全I(xiàn)T服務(wù)信息安全環(huán)境管理體系食品安全質(zhì)量建設(shè)了ISMS，尤其是獲取了ISO27001認(rèn)證后，組織將在信息安全方面進(jìn)入一個(gè)強(qiáng)制的良性循環(huán)。第5頁(yè)/共84頁(yè)1.327001的總要求(ISO270014.1)相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act圖1應(yīng)用于ISMS過(guò)程的PDCA模型一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖1所示的PDCA模型。第6頁(yè)/共84頁(yè)0.Introduction1.Scope2.Normativereferences3.Termsanddefinitions4.Informationsecuritymanagementsystem 4.1Generalrequirements 4.2EstablishingandmanagingtheISMS 4.2.1EstablishtheISMS 4.2.2ImplementandoperatetheISMS 4.2.3MonitorandreviewtheISMS 4.2.4MaintainandimprovetheISMS 4.3Documentationrequirements5.Managementresponsibility6.InternalISMSaudits7.ManagementreviewoftheISMS8.ISMSimprovementAnnexAISO27001:2005,AnnexA11Clauses 39Objectives133Controls1.4ISO27001的結(jié)構(gòu)第7頁(yè)/共84頁(yè)1.5ISO27001所關(guān)注的領(lǐng)域(ISO27001附錄A)合規(guī)性（Compliance）業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement）信息安全事故管理（InformationSecurityIncidentManagement）訪問(wèn)控制（AccessControl）人力資源安全（HumanResourceSecurity）物理和環(huán)境安全（PhysicalandEnvironmentalSecurity）通信和操作管理（CommunicationsandOperationsManagement）信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)（InformationSystemAcquisition,DevelopmentandMaintenance）資產(chǎn)管理（AssetManagement）組織信息安全（OrganizationofInformationSecurity）安全策略（InformationSecurityPolicy）第8頁(yè)/共84頁(yè)十大管理要項(xiàng)（BS7799）：信息安全策略：為信息安全提供管理指導(dǎo)和支持機(jī)構(gòu)安全基礎(chǔ)設(shè)施，目標(biāo)包括：內(nèi)部信息安全管理；保障機(jī)構(gòu)的信息處理設(shè)施以及信息資產(chǎn)的安全；當(dāng)信息處理的責(zé)任外包時(shí)，維護(hù)信息的安全性資產(chǎn)分類(lèi)和控制：對(duì)資產(chǎn)進(jìn)行分類(lèi)和控制，確保機(jī)構(gòu)資產(chǎn)和信息資產(chǎn)得到適當(dāng)水平的保護(hù)。人員安全，其目標(biāo)是：減少由于人為錯(cuò)誤、盜竊、欺詐和設(shè)施誤用等造成的風(fēng)險(xiǎn)；確保用戶(hù)了解信息安全威脅，確保其支持機(jī)構(gòu)的安全策略；減少安全事故和故障造成的損失，并從事故中吸取教訓(xùn)。物理和環(huán)境安全，其目標(biāo)包括：防止對(duì)業(yè)務(wù)場(chǎng)所和信息的非法訪問(wèn)、破壞以及干擾；防止資產(chǎn)的丟失、破壞、威脅對(duì)業(yè)務(wù)活動(dòng)的中斷；防止信息或信息處理設(shè)施的損壞或失竊。第9頁(yè)/共84頁(yè)通信和操作的管理，其目標(biāo)是確保信息設(shè)施處理的正確、安全操作；把系統(tǒng)錯(cuò)誤的風(fēng)險(xiǎn)降到最低；保護(hù)軟件和信息的完整性；維護(hù)信息處理和通信的完整性和有效性；加強(qiáng)對(duì)網(wǎng)絡(luò)中信息和支持設(shè)施的保護(hù)；防止資產(chǎn)損壞和活動(dòng)的中斷；在機(jī)構(gòu)間交換信息時(shí)，防止信息的丟失、篡改以及誤用等情況。系統(tǒng)訪問(wèn)控制，其目標(biāo)是：控制對(duì)信息的訪問(wèn)；防止對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)；確保對(duì)網(wǎng)絡(luò)服務(wù)的保護(hù)；防止未授權(quán)的計(jì)算機(jī)訪問(wèn)；檢測(cè)未授權(quán)的活動(dòng)；確保便攜式計(jì)算機(jī)和無(wú)線網(wǎng)絡(luò)的信息安全。第10頁(yè)/共84頁(yè)ISO27001正式的標(biāo)準(zhǔn)可認(rèn)證的標(biāo)準(zhǔn)管理體系的要求控制措施的要求ISO17799實(shí)施細(xì)則（一整套最佳實(shí)踐）控制措施的實(shí)施建議和實(shí)施指導(dǎo)ISO27001的附錄A的細(xì)化與補(bǔ)充1.6ISO27001與ISO17799（27002）*為設(shè)計(jì)控制措施提供實(shí)施指南*“ISO270011范圍-注2”：ISO/IEC17799為設(shè)計(jì)控制措施提供實(shí)施指南第11頁(yè)/共84頁(yè)ISO17799:2000國(guó)際標(biāo)準(zhǔn)BS7799-1:1999BS7799-2:1999英國(guó)標(biāo)準(zhǔn)BS7799-2:2002BS7799-1:2000ISO27002:2005ISO27001:2005BS7799:1996BS7799-3:20051.7安全管理體系標(biāo)準(zhǔn)的發(fā)展歷史第12頁(yè)/共84頁(yè)ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習(xí)ISO/IEC27001:2005介紹第13頁(yè)/共84頁(yè)0.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語(yǔ)和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實(shí)施和運(yùn)維ISMS 4.2.3監(jiān)控和評(píng)審ISMS 4.2.4維護(hù)和改進(jìn)ISMS 4.3文件要求5.管理職責(zé)6.ISMS的內(nèi)部審核7.ISMS的管理評(píng)審8.ISMS改進(jìn)附錄A控制目標(biāo)和控制措施附錄BOECD原則與本標(biāo)準(zhǔn)附錄CISO9001:2000和ISO14001:2004對(duì)照參考書(shū)目2ISO/IEC27001:2005的結(jié)構(gòu)27001核心部分（條款4-8)27001核心部分27001輔助部分27001輔助部分第14頁(yè)/共84頁(yè)2.127001核心內(nèi)容（4-8條款）相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act圖1應(yīng)用于ISMS過(guò)程的PDCA模型一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖1所示的PDCA模型。(ISO270014.1總要求)第15頁(yè)/共84頁(yè)2.2PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.14.2.14.35D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評(píng)審你所做的事情的符合性做文件已規(guī)定的事情采取糾正和預(yù)防措施，持續(xù)改進(jìn)PLANDOCHECKACT第16頁(yè)/共84頁(yè)條款的重要性本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類(lèi)型、規(guī)模和特性的組織。組織聲稱(chēng)符合本標(biāo)準(zhǔn)時(shí)，對(duì)于4、5、6、7和8章的要求不能刪減。為了滿(mǎn)足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減（附錄A），必須證明是合理的，且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織提供由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全需求的能力和/或責(zé)任，否則不能聲稱(chēng)符合本標(biāo)準(zhǔn)。第17頁(yè)/共84頁(yè)4.1總要求風(fēng)險(xiǎn)+PDCA+文件化的ISMS4.2.1建立ISMSa)范圍(ScopeoftheISMS)b)策略(ISMSPolicy)c)~h)風(fēng)險(xiǎn)評(píng)估和管理(RiskManagement)i)管理者授權(quán)實(shí)施和運(yùn)行ISMSj)適用聲明(SOA)4.3文件要求5管理職責(zé)P：建立ISMS2.2PDCA第18頁(yè)/共84頁(yè) 根據(jù)組織及其業(yè)務(wù)特點(diǎn)、位置、資產(chǎn)、技術(shù)，確定ISMS的范圍和邊界，包括對(duì)例外于此范圍的對(duì)象作出詳情和合理性的說(shuō)明。組織：所有部門(mén)？還是某個(gè)業(yè)務(wù)部？業(yè)務(wù)：所有業(yè)務(wù)系統(tǒng)還是部門(mén)相關(guān)系統(tǒng)？位置：一個(gè)大樓？還是全北京，全省，全國(guó)？資產(chǎn)：軟件、硬件、數(shù)據(jù)、服務(wù)、人員？拿證過(guò)外審須提交文件《ISMS范圍》4.2.1a)ISMS范圍2.2.1PDCA-4.2.1a)第19頁(yè)/共84頁(yè) 根據(jù)組織及其業(yè)務(wù)特點(diǎn)、位置、資產(chǎn)和技術(shù)，確定ISMS方針，應(yīng)：1)為其目標(biāo)建立一個(gè)框架并為信息安全行動(dòng)建立整體的方向和原則；2)考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3)在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS；4)建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則[見(jiàn)4.2.1c]；5)獲得管理者批準(zhǔn)。拿證過(guò)外審須提交文件《ISMS范圍》4.2.1b)ISMSPolicy2.2.2PDCA-4.2.1b)第20頁(yè)/共84頁(yè)

C)風(fēng)險(xiǎn)評(píng)估方法D)識(shí)別風(fēng)險(xiǎn)(執(zhí)行風(fēng)險(xiǎn)評(píng)估)E)分析風(fēng)險(xiǎn)F)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處置的可選措施G)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施H)獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)拿證過(guò)外審須提交文件《風(fēng)險(xiǎn)評(píng)估方法描述》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》4.2.1c)~h)風(fēng)險(xiǎn)管理2.2.2PDCA-4.2.1c)~h)如何做風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置？第21頁(yè)/共84頁(yè)ISO27001正式的標(biāo)準(zhǔn)可認(rèn)證的標(biāo)準(zhǔn)管理體系的要求控制措施的要求ISOTR13335風(fēng)險(xiǎn)管理方法論提供如何識(shí)別風(fēng)險(xiǎn)到風(fēng)險(xiǎn)處置對(duì)ISO27001的風(fēng)險(xiǎn)評(píng)估方法的細(xì)化和補(bǔ)充2.2.4ISO27001與ISO13335為風(fēng)險(xiǎn)管理提供方法“ISO270014.2.1c)注”：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IECTR13335-3（IT安全管理指南：IT安全管理技術(shù)）中描述了風(fēng)險(xiǎn)評(píng)估方法的例子第22頁(yè)/共84頁(yè)2.2.5ISO13335：以風(fēng)險(xiǎn)為核心的安全模型風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足第23頁(yè)/共84頁(yè)任何對(duì)組織有價(jià)值的東西[ISO/IEC27001:20053術(shù)語(yǔ)和定義]資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。信息資產(chǎn)是指組織的信息系統(tǒng)、其提供的服務(wù)以及處理的數(shù)據(jù)。 資產(chǎn)的根本屬性是：價(jià)值（C、I、A值）

資產(chǎn)（Asset）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足第24頁(yè)/共84頁(yè)

脆弱性是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。脆弱性包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的根本屬性是：嚴(yán)重程度（脆弱性被利用后對(duì)資產(chǎn)的損害程度、脆弱性被利用的難易程度）（Vulnerability）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足第25頁(yè)/共84頁(yè)威脅是對(duì)組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可以分為人為威脅（故意、非故意）和非人為威脅（環(huán)境、故障）2種。

威脅的根本屬性是：出現(xiàn)的頻率（還包括威脅的能力，威脅的決心。）

威脅（Threat）風(fēng)險(xiǎn)安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價(jià)值擁有抗擊增加引出被滿(mǎn)足第26頁(yè)/共84頁(yè)2.2.5風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖第27頁(yè)/共84頁(yè)4.3文件要求2.3.1PDCA-4.3文件要求

文件的作用是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。是組織實(shí)際工作的標(biāo)準(zhǔn)。ISMS文件是根據(jù)ISMS標(biāo)準(zhǔn)和組織需要“量身定做”的實(shí)際工作的標(biāo)準(zhǔn)。對(duì)一般員工來(lái)說(shuō)，在其實(shí)際工作中，可以不過(guò)問(wèn)ISMS標(biāo)準(zhǔn)(ISO/IEC27001:2005)，但必須按照ISMS文件的要求執(zhí)行工作。是控制措施（controls）的重要部分。提供客觀證據(jù)--為滿(mǎn)足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)。提供適宜的內(nèi)部培訓(xùn)的依據(jù)。提供ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場(chǎng)審核。第28頁(yè)/共84頁(yè)4.3.1包含文件2.3.2PDCA-4.3.1總則序號(hào)文件名稱(chēng)標(biāo)準(zhǔn)條款1ISMS策略和目標(biāo)4.3.1a)2ISMS范圍4.3.1b)3風(fēng)險(xiǎn)評(píng)估方法的描述4.3.1b)4風(fēng)險(xiǎn)評(píng)估報(bào)告4.3.1e)5風(fēng)險(xiǎn)處理計(jì)劃4.3.1f)6適用性聲明4.3.1i)

7標(biāo)準(zhǔn)要求的紀(jì)錄4.3.1h)8文件控制程序4.3.29記錄控制程序4.3.310內(nèi)部審核程序611管理評(píng)審程序7.112糾正措施程序8.213預(yù)防措施程序8.3注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。第29頁(yè)/共84頁(yè)4.3.2文件控制2.3.3PDCA-4.3.2批準(zhǔn)評(píng)審、更新并再批準(zhǔn)；修訂狀態(tài)得到標(biāo)識(shí)；在使用處可獲得適用文件；清晰、易于識(shí)別；對(duì)需要的人員可用，傳輸、貯存和最終銷(xiāo)毀；外來(lái)文件標(biāo)識(shí)；分發(fā)控制；防止作廢文件的非預(yù)期使用；作廢文件的標(biāo)識(shí)。第30頁(yè)/共84頁(yè)4.3.3記錄控制2.3.4PDCA-4.3.3建立并保持，以提供證據(jù)。保護(hù)和控制。應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。清晰、易于識(shí)別和檢索。記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。記錄的詳略程度應(yīng)通過(guò)管理過(guò)程確定。應(yīng)保留4.2中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的安全事故的記錄。第31頁(yè)/共84頁(yè)5.1管理承諾2.3.5PDCA-5制定ISMS方針；確保ISMS目標(biāo)和計(jì)劃得以制定；建立信息安全的角色和職責(zé)；向組織傳達(dá)滿(mǎn)足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS（見(jiàn)5.2.1）；決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；確保ISMS內(nèi)部審核的執(zhí)行（見(jiàn)第6章）；實(shí)施ISMS的管理評(píng)審（見(jiàn)第7章）。第32頁(yè)/共84頁(yè)5.2資源管理2.3.6PDCA-5 5.2.1資源提供應(yīng)確定并提供信息安全工作所需的資源－人、財(cái)、物

5.2.1培訓(xùn)、意識(shí)和能力確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。第33頁(yè)/共84頁(yè)2.4PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.14.2.14.35D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件做文件已規(guī)定的事情PLANDO第34頁(yè)/共84頁(yè)4.2.2實(shí)施和運(yùn)行ISMS2.4.1PDCA-4.2.2制定風(fēng)險(xiǎn)處理計(jì)劃（見(jiàn)條款5）。實(shí)施風(fēng)險(xiǎn)處理計(jì)劃。實(shí)施4.2.1(g）中所選擇的控制措施。測(cè)量所選擇的控制措施或控制措施集的有效性（見(jiàn)條款4.2.3c)）。實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見(jiàn)條款5.2.2）。管理ISMS的運(yùn)行。管理ISMS的資源（見(jiàn)條款5.2）。事件和事故響應(yīng)（見(jiàn)條款4.2.3a）。第35頁(yè)/共84頁(yè)2.5PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.14.2.14.35D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評(píng)審你所做的事情的符合性做文件已規(guī)定的事情PLANDOCHECK第36頁(yè)/共84頁(yè)4.2.3監(jiān)視和評(píng)審ISMS2.5.1PDCA-4.2.3執(zhí)行監(jiān)視和評(píng)審程序和其它控制措施。ISMS有效性的定期評(píng)審。測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿(mǎn)足。按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審。按計(jì)劃的時(shí)間間隔，對(duì)ISMS進(jìn)行內(nèi)部審核（見(jiàn)條款6）。定期對(duì)ISMS進(jìn)行管理評(píng)審（見(jiàn)條款7）。考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事件（見(jiàn)4.3.3）。第37頁(yè)/共84頁(yè)6內(nèi)部評(píng)審–術(shù)語(yǔ)2.5.2PDCA-6審核audit

為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿(mǎn)足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。內(nèi)部審核internalaudit

有時(shí)稱(chēng)為第一方審核，用于內(nèi)部目的的，由組織自己或以組織名義進(jìn)行，可作為組織自我合格聲明的基礎(chǔ)。（條款4.2.3注）審核員auditor

有能力實(shí)施審核的人員。審核方案auditprogramme

針對(duì)特定時(shí)間段所策劃，并具有特定目的的一組(一次或多次)審核符合（合格）conformity

滿(mǎn)足要求不符合（不合格）nonconformity

未滿(mǎn)足要求第38頁(yè)/共84頁(yè)6內(nèi)部評(píng)審–條款2.5.3PDCA-6按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核。審核方案。審核的客觀和公正，審核員不應(yīng)審核自己的工作。文件化內(nèi)審程序并定義清晰的職責(zé)和要求。受審核區(qū)域的管理者應(yīng)消除不符合及其原因，并跟蹤驗(yàn)證。ISO19011:2002給出了審核指南。第39頁(yè)/共84頁(yè)7.1管理評(píng)審–總則2.5.4PDCA-7按照計(jì)劃的時(shí)間間隔進(jìn)行管理評(píng)審，至少一年一次。包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要。包括信息安全方針和信息安全目標(biāo)。評(píng)審報(bào)告和評(píng)審記錄。第40頁(yè)/共84頁(yè)7.2管理評(píng)審–評(píng)審輸入2.5.5PDCA-7ISMS審核和評(píng)審的結(jié)果；相關(guān)方的反饋；組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；有效性測(cè)量的結(jié)果；以往管理評(píng)審的跟蹤措施；可能影響ISMS的任何變更；改進(jìn)的建議。第41頁(yè)/共84頁(yè)7.3管理評(píng)審–評(píng)審輸出2.5.6PDCA-7ISMS有效性的改進(jìn)；風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新；必要時(shí)修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS的事件；資源需求；正在被測(cè)量的控制措施的有效性的改進(jìn)。第42頁(yè)/共84頁(yè)2.6PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.14.2.14.35D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評(píng)審你所做的事情的符合性做文件已規(guī)定的事情采取糾正和預(yù)防措施，持續(xù)改進(jìn)PLANDOCHECKACT第43頁(yè)/共84頁(yè)4.2.4保持和改進(jìn)ISMS2.6.1PDCA-4.2.4組織應(yīng)經(jīng)常：實(shí)施已識(shí)別的ISMS改進(jìn)措施。依照8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如何進(jìn)行。確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。第44頁(yè)/共84頁(yè)8ISMS改進(jìn)2.6.2PDCA-8持續(xù)改進(jìn)continualimprovement

增強(qiáng)滿(mǎn)足要求的能力的循環(huán)活動(dòng)。預(yù)防措施preventiveaction

為消除潛在不符合或其他潛在不期望情況的原因所采取的措施。糾正措施correctiveaction

為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。第45頁(yè)/共84頁(yè)8.1持續(xù)改進(jìn)2.6.3PDCA-8

組織應(yīng)通過(guò)使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見(jiàn)第7章），持續(xù)改進(jìn)ISMS的有效性。第46頁(yè)/共84頁(yè)8.2預(yù)防措施2.6.5PDCA-8應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施程序應(yīng)規(guī)定以下要求：識(shí)別潛在的不符合及其原因；評(píng)價(jià)防止不符合發(fā)生的措施需求；確定和實(shí)施所需要的預(yù)防措施；記錄所采取措施的結(jié)果（見(jiàn)4.3.3）；評(píng)審所采取的預(yù)防措施。應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。第47頁(yè)/共84頁(yè)8.3糾正措施2.6.4PDCA-8應(yīng)采取措施消除與ISMS要求不符合的原因，以防止再發(fā)生糾正措施程序應(yīng)規(guī)定以下要求：識(shí)別不符合；確定不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生的措施需求；確定和實(shí)施所需要的糾正措施；記錄所采取措施的結(jié)果（見(jiàn)4.3.3）；評(píng)審所采取的糾正措施。第48頁(yè)/共84頁(yè)0.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語(yǔ)和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實(shí)施和運(yùn)維ISMS 4.2.3監(jiān)控和評(píng)審ISMS 4.2.4維護(hù)和改進(jìn)ISMS 4.3文件要求5.管理職責(zé)6.ISMS的內(nèi)部審核7.ISMS的管理評(píng)審8.ISMS改進(jìn)附錄A控制目標(biāo)和控制措施附錄BOECD原則與本標(biāo)準(zhǔn)附錄CISO9001:2000和ISO14001:2004對(duì)照參考書(shū)目2.7

ISO/IEC27001:2005的結(jié)構(gòu)27001核心部分（條款4-8)27001核心部分27001輔助部分27001輔助部分第49頁(yè)/共84頁(yè)0.2過(guò)程方法0.3與其他管理體系的兼容性重要提示1.2應(yīng)用2規(guī)范性引用文件3術(shù)語(yǔ)和定義附錄A控制目標(biāo)和控制措施附錄BOECD原則與本標(biāo)準(zhǔn)附錄CISO9001:2000和ISO14001:2004對(duì)照參考書(shū)目2.7.1其他相關(guān)方面第50頁(yè)/共84頁(yè)0.2過(guò)程方法過(guò)程process

一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。過(guò)程方法processapproach

一個(gè)組織內(nèi)過(guò)程的系統(tǒng)的運(yùn)用，連同這些過(guò)程的識(shí)別和相互作用及其管理，可稱(chēng)之為“過(guò)程方法”。（系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱(chēng)為過(guò)程方法。－ISO9000:2000）2.7.1條款0.2過(guò)程方法第51頁(yè)/共84頁(yè)過(guò)程方法示意圖活動(dòng)測(cè)量、改進(jìn)責(zé)任人資源記錄輸入輸出2.7.1條款0.2過(guò)程方法第52頁(yè)/共84頁(yè)·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶(hù)·集團(tuán)

—

政治

—

標(biāo)準(zhǔn)

—

程序·摘要·收據(jù)·客戶(hù)·銷(xiāo)售發(fā)票

等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶(hù)·集團(tuán)

—

政治

—

標(biāo)準(zhǔn)

—

程序·摘要·收據(jù)·客戶(hù)·銷(xiāo)售發(fā)票

等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶(hù)·集團(tuán)

—

政治

—

標(biāo)準(zhǔn)

—

程序·摘要·收據(jù)·客戶(hù)·銷(xiāo)售發(fā)票

等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶(hù)·集團(tuán)

—

政治

—

標(biāo)準(zhǔn)

—

程序·摘要·收據(jù)·客戶(hù)·銷(xiāo)售發(fā)票

等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)活動(dòng)測(cè)量、改進(jìn)過(guò)程的分解2.7.1條款0.2過(guò)程方法第53頁(yè)/共84頁(yè)P(yáng)DCA:持續(xù)改進(jìn)的優(yōu)秀方法2.7.2條款0.2PDCA規(guī)劃實(shí)施檢查處置PDAC第54頁(yè)/共84頁(yè)P(yáng)DCA:持續(xù)改進(jìn)的優(yōu)秀方法2.7.2條款0.2PDCA

又稱(chēng)“戴明環(huán)”,PDCA循環(huán)是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的工作程序:P：規(guī)劃

D：實(shí)施

C：檢查

A：處置第55頁(yè)/共84頁(yè)P(yáng)DCA特點(diǎn)一2.7.2條款0.2PDCA按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。9090處置實(shí)施規(guī)劃?rùn)z查CADP第56頁(yè)/共84頁(yè)P(yáng)DCA特點(diǎn)二2.7.2條款0.2PDCA

組織中的每個(gè)部分，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題。第57頁(yè)/共84頁(yè)P(yáng)DCA特點(diǎn)三2.7.2條款0.2PDCA每通過(guò)一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090處置實(shí)施規(guī)劃?rùn)z查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃?rùn)z查CADP第58頁(yè)/共84頁(yè)采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）中所設(shè)置的原則

OECDGuidelinesfortheSecurityofInformationSystemandNetworkOECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南2.7.2條款0.2PDCA認(rèn)識(shí)責(zé)任反應(yīng)道德規(guī)范民主風(fēng)險(xiǎn)評(píng)估安全設(shè)計(jì)與實(shí)施安全管理再評(píng)估第59頁(yè)/共84頁(yè)2.7.2條款0.3與其它管理體系的兼容性--多種體系如何建設(shè)本標(biāo)準(zhǔn)與GB/T19001-2000及GB/T24001-1996相結(jié)合，以支持相關(guān)管理標(biāo)準(zhǔn)一致、整合的實(shí)施和運(yùn)作。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿(mǎn)足所有這些標(biāo)準(zhǔn)的要求。表C.1說(shuō)明了本標(biāo)準(zhǔn)、GB/T19001-2000（ISO9001:2000）和GB/T24001-1996（ISO14001:2004）的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來(lái)注：如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過(guò)程管理體系（例如，與ISO9001或者ISO14001相關(guān)的），那么在大多數(shù)情況下，在這個(gè)現(xiàn)有的管理體系內(nèi)滿(mǎn)足本標(biāo)準(zhǔn)的要求是更為可取的第60頁(yè)/共84頁(yè)2.3條款3術(shù)語(yǔ)和定義3.1資產(chǎn)asset3.2可用性availability3.3保密性confidentiality3.4信息安全informationsecurity3.5信息安全事件informationsecurityevent3.6信息安全事故informationsecurityincident3.7信息安全管理體系（ISMS）informationsecuritymanagementsystem（ISMS）3.8完整性integrity第61頁(yè)/共84頁(yè)2.3條款3術(shù)語(yǔ)和定義3.9殘余風(fēng)險(xiǎn)residualrisk3.10風(fēng)險(xiǎn)接受riskacceptance3.11風(fēng)險(xiǎn)分析riskanalysis3.12風(fēng)險(xiǎn)評(píng)估riskassessment3.13風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation3.14風(fēng)險(xiǎn)管理riskmanagement3.15風(fēng)險(xiǎn)處理risktreatment3.16適用性聲明statementofapplicability第62頁(yè)/共84頁(yè)2.3其他相關(guān)方面之附錄A規(guī)范性附錄。直接引用并與ISO/IEC17799:2005第5到15章一致。表A.1中的清單并不完備，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的ISMS過(guò)程的一部分。ISO/IEC17799:2005第5至15章提供了最佳實(shí)踐的實(shí)施建議和指南表A.1控制目標(biāo)和控制措施第63頁(yè)/共84頁(yè)2.3其他相關(guān)方面之附錄B資料性附錄。OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南中給出的原則適用于治理信息系統(tǒng)和網(wǎng)絡(luò)安全的所有方針和操作層。本標(biāo)準(zhǔn)提供信息安全管理體系框架，通過(guò)使用PDCA模型以及4、5、6和8所述的過(guò)程，來(lái)實(shí)現(xiàn)的某些OECD原則。表B.1OECD原則和PDCA模型。第64頁(yè)/共84頁(yè)2.3其他相關(guān)方面之附錄C資料性附錄。表C.1ISO9001:2000、ISO14001:2004和本標(biāo)準(zhǔn)之間的對(duì)應(yīng)關(guān)系。第65頁(yè)/共84頁(yè)ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習(xí)ISO/IEC27001:2005介紹第66頁(yè)/共84頁(yè)構(gòu)建ISMS示例項(xiàng)目啟動(dòng)風(fēng)險(xiǎn)評(píng)估前期培訓(xùn)差距分析范圍界定風(fēng)險(xiǎn)處置中期培訓(xùn)策略編寫(xiě)發(fā)布實(shí)施試運(yùn)行后期培訓(xùn)內(nèi)部審核管理評(píng)審糾正和預(yù)防第67頁(yè)/共84頁(yè)構(gòu)建ISMS的第一階段：風(fēng)險(xiǎn)評(píng)估（Plan）項(xiàng)目啟動(dòng)范圍界定差距分析風(fēng)險(xiǎn)評(píng)估前期培訓(xùn)–

項(xiàng)目啟動(dòng)前期溝通，實(shí)施計(jì)劃，資源準(zhǔn)備，啟動(dòng)會(huì)議。–

前期培訓(xùn)ISO27001標(biāo)準(zhǔn)，風(fēng)險(xiǎn)評(píng)估方法。

–

范圍界定書(shū)面確定ISMS的范圍和界限。–

差距分析組織現(xiàn)有的信息安全管理體系與ISO27001的差距。–

風(fēng)險(xiǎn)評(píng)估資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、業(yè)務(wù)影響評(píng)估和現(xiàn)實(shí)可能性評(píng)估，風(fēng)險(xiǎn)處置計(jì)劃，適用性聲明，殘余風(fēng)險(xiǎn)批準(zhǔn)等。風(fēng)險(xiǎn)評(píng)估階段主要包括以下5個(gè)關(guān)鍵步驟:風(fēng)險(xiǎn)評(píng)估是此階段中最重要的環(huán)節(jié)。通常耗時(shí)1個(gè)月以上。第68頁(yè)/共84頁(yè)練習(xí)一ISMS范圍確定(20min)假設(shè)你是一家公司的安全官，現(xiàn)在考慮把ISO27001引入到公司,需要你確定公司的ISMS范圍：-公司業(yè)務(wù)公司方針-組織-位置-資產(chǎn)第69頁(yè)/共84頁(yè)練習(xí)二資產(chǎn)價(jià)值、威脅、脆弱性和影響(30min)Mr.Risk分析當(dāng)前公司的資產(chǎn)狀況，包括他們的價(jià)值，主要面臨的威脅，可能性以及他們的后果。最終計(jì)算得出風(fēng)險(xiǎn)說(shuō)明和風(fēng)險(xiǎn)處置。(你可以用高中低來(lái)描述不同等級(jí))資產(chǎn)描述資產(chǎn)價(jià)值威脅可能性脆弱性嚴(yán)重程度風(fēng)險(xiǎn)說(shuō)明風(fēng)險(xiǎn)處置信息資產(chǎn)軟件資產(chǎn)物理資產(chǎn)服務(wù)資產(chǎn)第70頁(yè)/共84頁(yè)構(gòu)建ISMS的第二階段：風(fēng)險(xiǎn)處置（Do）風(fēng)險(xiǎn)處置發(fā)布實(shí)施中期培訓(xùn)策略編寫(xiě)–

風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置計(jì)劃的落實(shí)：技術(shù)方案的落實(shí)，管理方案的落實(shí)。–

策略編寫(xiě)安全規(guī)章制度、流程、程序和記錄模版等的文件化的ISMS的落實(shí)。

–

發(fā)布實(shí)施獲得管理層的授權(quán)，實(shí)施和運(yùn)作ISMS。–

中期培訓(xùn)ISMS的全員推廣培訓(xùn)風(fēng)險(xiǎn)處置