ISO27001 信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)

信息安全管理體系

(ISMS)

基礎(chǔ)知識(shí)培訓(xùn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)目表錄·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

如何實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

如何實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)什么是信息信息通常指消息、情報(bào)、數(shù)據(jù)和知識(shí)等，在ISO/IEC27001

標(biāo)準(zhǔn)中信息是指對(duì)組織具有重要價(jià)值，可以通過多媒體傳遞和存儲(chǔ)的一種資產(chǎn)。什

么

是

信

息ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

如何實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)信息安全的作用是保護(hù)信息業(yè)務(wù)涉及范圍不受威脅所干擾，使組織業(yè)務(wù)暢順，減少損失及增大投資回報(bào)和

商機(jī)。在ISO/IEC27001

標(biāo)準(zhǔn)中信息安全主要指信息的

機(jī)密性、完整性和可用性的保持。即指通過采用計(jì)算

機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各

種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、

傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的機(jī)密

性、完整性和可用性不被破壞。什么是信息安全I(xiàn)SO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)什么是信息安全-信息的機(jī)密性信息的機(jī)密性是指確保授予或特定權(quán)限的人才能訪問到信息。信息的機(jī)密性依據(jù)信息被允許訪問對(duì)象的多

少而不同，所有人員都可以訪問的信息為公開信息，

需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信

息的重要程度和保密要求將信息分為不同密級(jí)。

一般

分為秘密、機(jī)密和絕密三個(gè)等級(jí)，已授權(quán)用戶根據(jù)所

授予的操作權(quán)限可以對(duì)保密信息進(jìn)行操作。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)信息的完整性是指要保證信息使用和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、

存儲(chǔ)、備份、交換信息的過程中不發(fā)生篡改信息、丟

失信息、錯(cuò)誤信息等現(xiàn)象；另一方面是指信息處理方

法的正確性，信息備份、系統(tǒng)恢復(fù)、銷毀等處理不正

當(dāng)?shù)牟僮?，有可能造成重要文件的丟失，甚至整個(gè)系

統(tǒng)的癱瘓。什么是信息安全一信息的完整性ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)什么是信息安全一信息的可用性可

用

性信息的可用性是指確保已被授權(quán)的用戶訪問時(shí)得到所需要信息。即信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時(shí)可立即

獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信

息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信

息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄?/p>

擊并在失敗時(shí)及時(shí)恢復(fù)。另外還要保證信息的真實(shí)性和有效性，即組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴的。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

如何實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)實(shí)施信息管理原因：自1987年以來，全世界已發(fā)現(xiàn)超過50000種計(jì)算機(jī)病毒，2000年爆發(fā)的“愛蟲”病毒給全球

用戶造成了100億美元的損失；美國(guó)每年因信息與網(wǎng)絡(luò)安全

問題所造成的損失高達(dá)75億美元。即使是防備森嚴(yán)的美國(guó)

國(guó)防信息系統(tǒng)2000年也受到25萬次黑客攻擊，且成功進(jìn)入

率高達(dá)63%。然而，能對(duì)組織造成巨大損失的風(fēng)險(xiǎn)主要還是來源于組織內(nèi)部，國(guó)外統(tǒng)計(jì)結(jié)果表明企業(yè)信息受到的損失中，70%是

由于內(nèi)部員工的疏忽或有意泄密造成。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)實(shí)施信息管理原因：多數(shù)計(jì)算機(jī)使用者很少接受嚴(yán)格的信息安全意識(shí)培訓(xùn)，每天都在以不安全的方式處理企業(yè)的大量重要信息，而且企業(yè)的合作單位、咨詢機(jī)構(gòu)等外部

人員都以不同的方式使用企業(yè)的信息系統(tǒng)，對(duì)企業(yè)的信息

系統(tǒng)構(gòu)成了潛在的威脅。如員工為了方便記憶系統(tǒng)登錄口

令而在明顯處粘一便條，就足以毀掉花費(fèi)了大量成本建立的信息系統(tǒng)。許多對(duì)企業(yè)心存不滿的員工把“黑”掉企業(yè)網(wǎng)站，偷竊并散布客戶敏感信息，為競(jìng)爭(zhēng)對(duì)手提供機(jī)密資

料，甚至破壞關(guān)鍵信息系統(tǒng)作為報(bào)復(fù)企業(yè)，致使企業(yè)蒙受

了巨大的經(jīng)濟(jì)損失。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)實(shí)施信息管理原因：目前單一的技術(shù)手段已難以解決企業(yè)信息安全問題，只有建立一套完善的信息安全管理流程并嚴(yán)格執(zhí)行，才能有效降低信息安全風(fēng)險(xiǎn)，保障企業(yè)信

息業(yè)務(wù)的連續(xù)性。實(shí)施信息管理必然性：

實(shí)踐證明信息安全是個(gè)復(fù)雜的系統(tǒng)問題，解決系統(tǒng)性安全問題，必須以系統(tǒng)的方法來解決，建立管理體系(明確方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系，是系統(tǒng)性解決復(fù)雜問題的有效方法。為了保證信息安全管理的有效性、充分性和適

宜性組織需要建立信息安全管理體系(ISMS),

信息安全管理體系通過固化信息安全管理范圍，制定信息安全管理策略方針與與目標(biāo)，明確信息安全管理職責(zé)、落實(shí)控制目標(biāo)并選擇控制措施進(jìn)行

管控，全面系統(tǒng)保障管理信息的安全。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)實(shí)施信息管理必然性：·

從系統(tǒng)論觀點(diǎn)來看，

一個(gè)體系(系統(tǒng))必須具有自組織、自學(xué)習(xí)、自適應(yīng)、自修復(fù)、自生長(zhǎng)的能力和功能才可以保證其持續(xù)有效

性?！?/p>

信息安全管理體系通過不斷的識(shí)別組織和相關(guān)方的信息安全要求，不斷的識(shí)別外界環(huán)境和組織自身的變化，不斷的學(xué)習(xí)采用

最新的管理理念和技術(shù)手段，不斷的調(diào)整自己的目標(biāo)、方針、

程序和過程等，才可以實(shí)現(xiàn)持續(xù)的安全。本標(biāo)準(zhǔn)可以適合于不同性質(zhì)、規(guī)模、結(jié)構(gòu)和環(huán)境的各種組織。因?yàn)椴粨碛谐墒斓腎T系統(tǒng)而擔(dān)心不可能通過ISO/IEC

27001認(rèn)

證是不必要的。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)實(shí)施信息管理必然性：·

如果因?yàn)轭A(yù)算困難或其他原因，不能一下子降低所有不可接受風(fēng)險(xiǎn)到可接受程度時(shí)，能否通過體系認(rèn)證，也是很多

人關(guān)心的問題。通常審核員關(guān)心的是組織建立的ISMS

是否

完整，是否運(yùn)行正常，是否有重大的信息安全風(fēng)險(xiǎn)沒有得

到識(shí)別和評(píng)估。有小部分的風(fēng)險(xiǎn)暫時(shí)得不到有效處置是允

許的，當(dāng)然“暫時(shí)接受”的不可接受風(fēng)險(xiǎn)不可以包括違背法律法規(guī)的風(fēng)險(xiǎn)。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全I(xiàn)SMS

概

述管理體系

(Information

Security

Management

System,簡(jiǎn)稱ISMS)

提供模型。采用ISMS

應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。

一個(gè)組織的ISMS

的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、安全需求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響。上述因素及其支持過程會(huì)不斷發(fā)生變化。期望信息安全管理體系可以根據(jù)組織的需求而測(cè)量，例如簡(jiǎn)單的情形可采用簡(jiǎn)

單的ISMS

解決方案。·

本標(biāo)準(zhǔn)可被相關(guān)的內(nèi)部方和外部方運(yùn)用以評(píng)估一致性。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)ISMS標(biāo)準(zhǔn)體系一ISO/IEC27000族介紹27000--信息安全管理體系綜述與術(shù)語(yǔ)27001-信息安全管理體系要求27002--信息安全管理體系實(shí)踐規(guī)范27003--信息安全管理體系實(shí)施指南ISO/IEC27000

族27004--信息安全管理體系測(cè)量27005--信息安全管理體系信息安全風(fēng)險(xiǎn)管理27006--信息安全管理體系認(rèn)證機(jī)構(gòu)要求27007信息安全管理體系審核指南ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)ISO/IEC

17799:2005

信息安全管理實(shí)施細(xì)則，于2005年6月15日正式發(fā)布

；ISO/IEC

27001信息安全管理體系要求，于2005年10月15日正式發(fā)布；ISO/IEC

27002信息安全管理體系最佳實(shí)踐，于2007年4月正式發(fā)布；ISO/IEC

27003

信息安全管理體系實(shí)施指南，正在ISMS標(biāo)準(zhǔn)的工作組研究并征求意見階段；ISO/IEC

27004

信息安全管理度量和改進(jìn)，正在委員會(huì)草案階段；ISO/IEC

27005

信息安全風(fēng)險(xiǎn)管理指南，以2005年底剛剛推出的BS7799-3為準(zhǔn)。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

IS09001:2008

質(zhì)量管理體系·

IS014001:2004

環(huán)境管理體系·

ISO/TS16949:2009

汽車行業(yè)質(zhì)量管理體系·

TL9000:

通信行業(yè)質(zhì)量管理體系·

IEC

QC080000:2005

有害物質(zhì)過程管理體系·

ISOIEC20000:ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

什么是信息·

什么是信息安全·

為什么實(shí)施信息安全管理·

信息安全管理體系

(ISMS)

概述·

信息安全管理體系

(ISMS)

標(biāo)準(zhǔn)介紹·

信息安全管理體系

(ISMS)

實(shí)施控制重點(diǎn)ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)A.8人力資源安全A.

12系統(tǒng)獲取開發(fā)和維護(hù)A.9物理和環(huán)境安全A.

14業(yè)務(wù)持續(xù)性管理A.6信息安全組織A.

13信息安全事件管理A.

11訪問控制A.

15符合性A.

16教育培訓(xùn)A.

7資產(chǎn)管理ISO/IEC27001

控

制

大

項(xiàng)ISO27001信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)A.

10通信和操作管理A.

5信息安全方針·

安全方針：制定信息安全方針，為信息安全提供管理指導(dǎo)和支持，ISM8

控

制

大

項(xiàng)

說

明·

信息安全組織：建立信息安全基礎(chǔ)設(shè)施，管理組織范圍內(nèi)的信息安全；維護(hù)被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全，

以及當(dāng)信息處理外包給其他組織時(shí)，確保信息的安全?！べY產(chǎn)管理：核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。·

人力資源安全：確保所有員工、合同方和第三方了解信息安全威脅和相關(guān)事宜，他們的責(zé)任、義務(wù)，以減少人為差錯(cuò)、盜竊、欺詐或

誤用設(shè)施的風(fēng)險(xiǎn)。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

物理與環(huán)境安全：定義安全區(qū)域，防止對(duì)辦公場(chǎng)所和信息的未授權(quán)ISM

時(shí)

控

制

大

項(xiàng)

說

明

的安全，防止信息資產(chǎn)的丟失、損壞或被盜，以及對(duì)業(yè)務(wù)活動(dòng)的午擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞或被盜?！?/p>

通訊和操作管理：制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險(xiǎn)減到最

低；防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性；做好信

息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性

基礎(chǔ)設(shè)施得到保護(hù)；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和

業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)丟失、修改或

誤用。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

訪問控制：制定文件化的訪問控制策略，避免信息系統(tǒng)的未授權(quán)訪ISMS

控

制

大

頓

說

明，包括網(wǎng)絡(luò)訪問控制、操作系統(tǒng)訪

問控制、應(yīng)用系統(tǒng)和信息訪向控制、監(jiān)視系統(tǒng)訪問和使用，定期檢

測(cè)未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)辦公和遠(yuǎn)程工作時(shí)，也要確保信息安

全。信息系統(tǒng)的獲取、開發(fā)和維護(hù)：標(biāo)識(shí)系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分；控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用

戶數(shù)據(jù)的丟失、被修改或誤用；通過加密手段保護(hù)信息的保密性、

真實(shí)性和完整性；控制對(duì)系統(tǒng)文件的訪問，確保系統(tǒng)文檔的安全；

嚴(yán)格控制開發(fā)和支持過程，維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)·

信

息

安

全

事

故

的

管

理

：

報(bào)

告

信

息

安

全

事

件

和

弱

點(diǎn)

，

及

時(shí)

采

取

糾

正

措

ISMS

控

制

大

項(xiàng)

說

明

信息安全事故?！?/p>

業(yè)務(wù)連續(xù)性管理：目的是為了減少業(yè)務(wù)活動(dòng)的中斷，使關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響，并確保他們的及時(shí)恢復(fù)?！?/p>

符合性：信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審核，使系統(tǒng)審核過程的效力最大化、干擾最小化。ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)ISO/IEC27001

信息安全管理體系將信息安全管理的內(nèi)容劃分為11個(gè)控制域，

39個(gè)信息安全管理的控制目標(biāo)，133項(xiàng)安全控制措施，以下是12項(xiàng)管理大項(xiàng)關(guān)

系圖。方針與策略管理風(fēng)險(xiǎn)管理數(shù)據(jù)/文檔介質(zhì)管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通信管理

環(huán)境與設(shè)備管理業(yè)務(wù)連續(xù)性管理15021U01

結(jié)總女生官理體示后則基仙知識(shí)項(xiàng)目運(yùn)行維護(hù)管理人員與組織管瑚合規(guī)性管理工程管理方針與策略

管理確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)

對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。風(fēng)險(xiǎn)管理信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。沒有絕對(duì)的安

全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是要把風(fēng)險(xiǎn)控制在可以

接受的范圍之內(nèi)。風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過程。人員與組織

管理建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員

進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息

安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生的信息安全

風(fēng)

險(xiǎn)

。環(huán)境與設(shè)備

管理控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理內(nèi)容包括物理環(huán)

境安全、設(shè)備安全、介質(zhì)安全等。網(wǎng)絡(luò)與通信

管理控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)

絡(luò)和通信系統(tǒng)的問題對(duì)業(yè)務(wù)系統(tǒng)的損害。主機(jī)與系統(tǒng)

管理控制和保護(hù)計(jì)算機(jī)主機(jī)及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由

此對(duì)業(yè)務(wù)系統(tǒng)的損害。信息安全管理體系構(gòu)成-管理內(nèi)容ISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)應(yīng)用與業(yè)務(wù)

管理對(duì)各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止其受到破壞和濫用。數(shù)據(jù)/文檔/

介質(zhì)管理采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的

安

全

。項(xiàng)目工程管理保護(hù)信息系統(tǒng)項(xiàng)目工程過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。運(yùn)行維護(hù)管理保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。業(yè)務(wù)連續(xù)性管理通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能

夠保證業(yè)務(wù)的連續(xù)性。合規(guī)性管理確保信息安全保障工作符合國(guó)家法律、法規(guī)的要求；且信息安全方針、規(guī)定

和標(biāo)準(zhǔn)得到了遵循。信息安全管理體系構(gòu)成--管理內(nèi)容SU2U1信息安生官理體系培訓(xùn)基硒知識(shí)采用一種過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)一個(gè)組織的ISMSISO27001

信息安全管理體系培訓(xùn)基礎(chǔ)知識(shí)信息安全管理體系PDCA

模型監(jiān)視和評(píng)審

ISMS檢查信息安全要求

和期望被管理的信

息

安

全保持和改進(jìn)

ISMS實(shí)施和運(yùn)行ISMS建立

ISMS相關(guān)方相關(guān)方實(shí)施計(jì)劃改進(jìn)PDCA模式步驟方法全管理策劃體系PDCA模

型業(yè)務(wù)特征、地理位置、資產(chǎn)、技術(shù)等確定I

S

M

S

的

范

圍

。定義方針方針是信息安全活動(dòng)的總方向和總原則，是建立目

標(biāo)的框架，應(yīng)考慮業(yè)務(wù)、合同安全義務(wù)和法律法規(guī)要

求

。確定風(fēng)險(xiǎn)評(píng)估的

方法識(shí)別適用的風(fēng)險(xiǎn)評(píng)估方法，確定風(fēng)險(xiǎn)接收準(zhǔn)則，識(shí)別可接受的等級(jí)