CISP0301信息安全管理体系

1、信息安全管理体系信息安全管理体系培训机构名称讲师名字2课程内容课程内容信息安全管理信息安全管理体系体系知识体知识体知识域知识域信息安全管理信息安全管理基本概念基本概念信息安全信息安全管理体系建设管理体系建设知识子域知识子域信息安全管理的作用信息安全管理的作用风险管理的概念和作用风险管理的概念和作用过程方法与过程方法与PDCA循环循环安全管理控制措施的概念和作用安全管理控制措施的概念和作用建立、运行、评审与改进建立、运行、评审与改进ISMS知识域：信息安全管理基本概念知识域：信息安全管理基本概念v知识子域： 信息安全管理的作用 理解信息安全“技管并重”原则的意义 理解成功实施信息安全管理工作的关

2、键因素v知识子域： 风险管理的概念和作用 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性 理解风险评估是信息安全管理工作的基础 理解风险处置是信息安全管理工作的核心v知识子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理风险的具体手段 了解11个基本安全管理控制措施的基本内容3信息安全管理信息安全管理v一、信息安全管理概述v二、信息安全管理体系v三、信息安全管理体系建立v四、信息安全管理控制规范4一、信息安全管理概述一、信息安全管理概述v（一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于风险的信息安全v（二）信息安全管理的状况 1、信

3、息安全管理的作用 2、信息安全管理的发展 3、信息安全管理的标准 4、成功实施信息安全管理的关键5（一）信息安全管理基本概念（一）信息安全管理基本概念v1、信息安全v2、信息安全管理v3、基于风险的信息安全61 1、信息安全、信息安全7v信息信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。v信息安全信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。1 1、信息安全、信息

4、安全81 1、信息安全、信息安全- -保密性保密性9v保密性保密性v确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。1 1、信息安全、信息安全- -完整性完整性10v完整性完整性v保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。1 1、信息安全、信息安

5、全- -可用性可用性11v可用性可用性v确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。2 2、信息安全管理、信息安全管理v 统计结果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”

6、到“最可靠防线”转变的。v 信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。122 2、信息安全管理、信息安全管理13v正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。2 2、信息安全管理、信息安全管理14n组织中为了完成信息安全目标信息安全目标，针对信息系统信息系统，遵循安全策略，

7、按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制规划、组织、指导、协调和控制等活动n信息安全管理工作的对象规则人员目标组织信息输入立法摘要变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营过程2 2、信息安全管理、信息安全管理15v信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。3 3、基于风险的信息安全、基于风险的信息安全16v（1）安全风险的基本概念v（2）信息安全的风

8、险模型v（2）基于风险的信息安全17（1 1）安全风险的基本概念）安全风险的基本概念v资产资产v 资产是任何对组织有价值的东西v 信息也是一种资产，对组织具有价值v资产的分类v 电子信息资产v 纸介资产v 软件资产v 物理资产v 人员v 服务性资产v 公司形象和名誉v 18（1 1）安全风险的基本概念）安全风险的基本概念v威胁威胁v 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件v 威胁是利用脆弱性来造成后果v威胁举例v 黑客入侵和攻击病毒和其他恶意程序v 软硬件故障人为误操作v盗窃网络监听v供电故障后门v未授权访问自然灾害如：地震、火灾19（1 1）安全风险的基本概念）安全风险的

9、基本概念v脆弱性脆弱性v 是与信息资产有关的弱点或安全隐患。v 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。v脆弱性举例v 系统漏洞程序Bugv 专业人员缺乏不良习惯v 缺少审计缺乏安全意识v 后门v 物理环境访问控制措施不当20（1 1）安全风险的基本概念）安全风险的基本概念v安全控制措施安全控制措施v 根据安全需求部署的，用来防范威胁，降低风险的措施v安全控制措施举例技术措施技术措施防火墙防病毒入侵检测灾备系统管理措施管理措施安全规章安全组织人员培训运行维护（2 2）信息安全的风险模型）信息安全的风险模型21没有绝对的安全，只有相对的

10、安全信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。（3 3）基于风险的信息安全）基于风险的信息安全信息安全追求目标信息安全追求目标v确保业务连续性v业务风险最小化v保护信息免受各种威胁的损害v投资回报和商业机遇最大化获得信息安全方式获得信息安全方式v实施一组合适的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能。22（3 3）风险评估是信息安全管理的基础）风险评估是信息安全管理的基础v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规

11、划的安全控制措施进行界定。v信息安全管理体系的建立需要确定信息安全需求v信息安全需求获取的主要手段就是安全风险评估v信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。23（4 4）风险处置是信息安全管理的核心）风险处置是信息安全管理的核心v风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。v控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。v信息安全管理体系的核心就是这些最佳控制措施集合的。24（二）信息安全管理的状况（二）信息安全管理的状况v1、信息安

12、全管理的作用v2、信息安全管理的发展v3、信息安全管理有关标准v4、成功实施信息安全管理的关键251 1、信息安全管理的作用、信息安全管理的作用26v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗保险柜就一定安全吗？27精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？1 1、信息安全管理的作用、信息安全管理的作用28信息系统是人机交互系统应对风险需要人为的管理过程设备的有效利用是人为的管理过程“坚持管理与技术并重坚持管理与技术并重”是我国是我国加加强信息安全保障工作的主要原则强信息安全保障工作的主要原则1 1、信息安全管理的作用、信

13、息安全管理的作用2 2、信息安全管理的发展、信息安全管理的发展-1-129vISO/IEC TR 13335 国际标准化组织在信息安全管理方面，早在1996年就开始制定信息技术信息安全管理指南（ISO/IEC TR 13335），它分成五个部分：信息安全的概念和模型信息安全管理和规划信息安全管理技术基线方法网络安全管理指南2 2、信息安全管理的发展、信息安全管理的发展-2-230vBS 7799 英国标准化协会（BSI）1995年颁布了信息安全管理指南（BS 7799），BS 7799分为两个部分： BS 7799-1信息安全管理实施规则和BS 7799-2信息安全管理体系规范。2002年又颁

14、布了信息安全管理系统规范说明（BS 7799-2:2002）。 BS 7799将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前，在BS77992中，提出了如何了建立信息安全管理体系的步骤。2 2、信息安全管理的发展、信息安全管理的发展-3-3312 2、信息安全管理的发展、信息安全管理的发展-4-4323 3、国内外信息安全管理标准、国内外信息安全管理标准33v（1）国际信息安全管理标准 国际信息安全标准化组织 国际信息安全管理标准v（2）国内信息安全管理标准 国内信息安全标准化组织 国内信息安全管理标准国际信息安全标准化组织国际信息安全标准化组织34

15、国际信息安全管理标准国际信息安全管理标准-1-135国际信息安全管理标准国际信息安全管理标准-2-236国际信息安全管理标准国际信息安全管理标准-3-337国内信息安全标准化组织国内信息安全标准化组织38国内信息安全管理标准国内信息安全管理标准-1-139WG7组已有的标准组已有的标准国内信息安全管理标准国内信息安全管理标准-2-240WG7组研究中的标准组研究中的标准国内信息安全管理标准国内信息安全管理标准-3-3414 4、实施信息安全管理的关键成功因素、实施信息安全管理的关键成功因素v理解组织文化v得到高层承诺v做好风险评估v整合管理体系v积极有效宣贯v纳入奖惩机制v持续改进体系42二、

16、信息安全管理体系二、信息安全管理体系v（一）什么是信息安全管理体系v（二）信息安全管理体系的框架v（三）信息安全管理过程方法要求v（四）信息安全管理控制措施要求43（一）什么是信息安全管理体系（一）什么是信息安全管理体系v1、信息安全管理体系的定义v2、信息安全管理体系的特点v3、信息安全管理体系的作用v4、信息安全管理体系的文件441 1、信息安全管理体系的定义、信息安全管理体系的定义v信息安全管理体系（ISMS：Information Security Management System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动

17、的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。452 2、信息安全管理体系的特点、信息安全管理体系的特点v 信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；v 体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；v 强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织

18、的竞争优势和业务的持续性。463 3、信息安全管理体系的作用、信息安全管理体系的作用v对组织的关键信息资产进行全面系统的保护，维持竞争优势；v在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；v促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为；v使组织的生意伙伴和客户对组织充满信心；v组织可以按照安全管理，达到动态的、系统地、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。474 4、信息安全管理体系的理念、信息安全管理体系的理念v各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理

19、的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，如果忽略了组织中最活跃的因素人的作用，则信息安全管理体系是不完备的，考察国内外的各种信息安全事件，不难发现，在信息安全时间表象后面其实都是人的因素在起决定作用。484 4、信息安全管理体系的理念、信息安全管理体系的理念49在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。5 5、信息安全管理体系的过程、信息安全管理体系的过程50完善信息安全治理结构风险评估安全规划信息安全管理框架管理措施技术手段信息系统安全审计监控

20、业务与安全环境符合安全控制标准？持续改进调整（二）信息安全管理体系框架（二）信息安全管理体系框架v1、信息安全管理体系循环框架v2、信息安全管理体系内容框架v3、信息安全管理体系文件框架v4、信息安全管理体系系列标准511 1、信息安全管理体系循环框架、信息安全管理体系循环框架52信息安全管理体系是PDCA动态持续改进的一个循环体。相关方信息安全要求和期望相关方受控的信息安全1 1、信息安全管理体系循环框架、信息安全管理体系循环框架53vPDCA也称“戴明环”，由美国质量管理专家戴明提出。vP P（PlanPlan）：）：计划，确定方针和目标，确定活动计划；vD D（DoDo）：）：实施，实际

21、去做，实现计划中的内容；vC C（CheckCheck）：）：检查，总结执行计划的结果，注意效果，找出问题；vA A（ActionAction）：）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。1 1、信息安全管理体系循环框架、信息安全管理体系循环框架54pPDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。 9090处置处置实施实施规划规划检查检查C CA AD DP PpPDCA特点二： 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问

22、题。 90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP PpPDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。90909090处置处置实施实施规划规划检查检查C CA AD DP P达到新的水平达到新的水平改进改进( (修订标准修订标准) )维持原有水平维持原有水平90909090处置处置实施实施规划规划检查检查C CA AD DP P2 2、信息安全管理体系内容框架、信息安全管理体系内容框架552 2、信息安全管理体系内容框架（续）、信息安全管理体系内容框架（续）56其他最佳实践

23、标准与各安全控制域之间的对应其他最佳实践标准与各安全控制域之间的对应ISO27000系列不是信息安全管理体系的全部系列不是信息安全管理体系的全部3 3、信息安全管理体系文档框架、信息安全管理体系文档框架573 3、信息安全管理体系文档框架、信息安全管理体系文档框架58安全策略安全策略操作手册操作手册操作手册操作手册操作手册操作手册操作手册操作手册考核指标考核指标考核指标考核指标4 4、信息安全管理体系系列标准、信息安全管理体系系列标准59v（1）ISO 27000系列v（2）NIST SP800系列v（3）ISO/IEC13335系列（1 1）ISO 27000ISO 27000系列系列60v

24、ISO 27000系列27000270032700427007 27000信息安全管理体系原则信息安全管理体系原则和术语和术语 27001信息安全管理体系要求信息安全管理体系要求27002 信息安全管理实践准则信息安全管理实践准则27003信息安全管理实施指南信息安全管理实施指南27004 信息安全管理的度量指标信息安全管理的度量指标和衡量和衡量 27005 信息安全风险管理指南信息安全风险管理指南27006 信息和通信技术灾难恢复信息和通信技术灾难恢复服务指南服务指南27007 XXX27001270022700027006270052700327004信息安全管理体系基本原理和词汇信息安全

25、管理体系基本原理和词汇 （1 1）ISO 27000ISO 27000系列系列6127001的附录A将两者联系起来，作为ISMS过程的一部分测量ISMS控制措施的性能和有效性的要求将两者联系起来2700027000：ISMSISMS基础和词汇基础和词汇62v正在启动的新标准项目；v它将主要以ISO/IEC 13335-1:2004信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型为基础进行研究；v该标准将规定27000系列标准所共用的基本原则、概念和词汇。2700127001：信息安全管理体系要求信息安全管理体系要求63v2005年10月15日发布；v规定了一个组织建立、实施、

26、运行、监视、评审、保持、改进信息安全管理体系的要求；v基于风险管理的思想，旨在通过持续改进的过程（PDCA模型）使组织达到有效的信息安全；v使用了和ISO 9001、ISO 14001相同的管理体系过程模型；v是一个用于认证和审核的标准；2700227002：信息安全管理实用规则信息安全管理实用规则64v即17799，2005年6月15日发布第二版；v包含有11个安全类别、39个控制目标、138个控制措施；v实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；v是一个行业最佳惯例的汇总集，而不是一个认证和审核标准；2700327003：ISMSISMS实施指南实

27、施指南65v目前处于工作草案阶段；v它主要以BS 7799-2:2002附录B的内容为基础进行制定；v提供了27001具体实施的指南。2700427004：信息安全管理度量信息安全管理度量66v旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。2700527005：信息安全风险管理信息安全风险管理67v目前处于委员会草案阶段；v它将主要以ISO/IEC 13335-2为基础进行制定；v描述了信息安全风险管理的过程及每个过程的详细内容。（2 2）NIST SP800NIST SP800系列系列68NIST SP800系列（3 3）ISO/IEC13335IS

28、O/IEC13335系列系列69ISO/IEC13335系列系列（三）信息安全管理过程方法要求（三）信息安全管理过程方法要求v1、信息安全管理过程方法的作用v2、信息安全管理过程方法的结构701 1、信息安全管理过程方法的作用、信息安全管理过程方法的作用71v过程方法要求（Methodological requirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。v按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。2 2、信息安全管

29、理过程方法的结构、信息安全管理过程方法的结构72（四）信息安全管理控制措施要求（四）信息安全管理控制措施要求v1、信息安全管理控制措施的作用v2、信息安全管理控制措施的结构731 1、信息安全管理控制措施的作用、信息安全管理控制措施的作用74v安全控制要求（Security control requirements）：为组织选择满足自身信息安全环境要求的控制措施提供了一个最佳实践集。v组织应根据法律法规的约束、自身的业务和风险特征选择适用的控制措施。v当然组织也可以根据自身的特定要求对安全控制措施进行补充。2 2、信息安全管理控制措施的结构、信息安全管理控制措施的结构75v共有11个控制条款（

30、方面）v每个条款包括许多主要的安全类。v每个安全类包括： 一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 每个控制措施 控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息762 2、信息安全管理控制措施的结构示例、信息安全管理控制措施的结构示例v8、人员安全安全控制条款v8.1雇佣前安全类 确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。 安全类控制目标 8.1.1角色和职责安全控制措施 控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息

31、：其它需要说明的补充信息77v知识子域：过程方法与PDCA循环 理解ISMS过程和过程方法的含义 理解PDCA循环的特征和作用v知识子域：建立、运行、评审与改进ISMS 了解建立ISMS的主要工作内容 了解实施和运行ISMS的主要工作内容 了解监视和评审ISMS的主要工作内容 了解保持和改进ISMS的主要工作内容知识域：信息安全管理体系建设三、信息安全管理体系建设三、信息安全管理体系建设v（一）信息安全管理体系的规划和建立v（二）信息安全管理体系的实施和运行v（三）信息安全管理体系的监视和评审v（四）信息安全管理体系的保持和改进78（一）信息安全管理体系规划和建立（一）信息安全管理体系规划和建

32、立vP1-定义ISMS范围vP2-定义ISMS方针vP3-确定风险评估方法vP4-分析和评估信息安全风险vP5-识别和评价风险处理的可选措施vP6-为处理风险选择控制目标和控制措施vP7-准备详细的适用性声明SoA79P1-P1-定义定义ISMSISMS范围范围80vISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS。v在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。v在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用

33、区域。P2-P2-定义定义ISMSISMS方针方针81v信息安全方针是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。v信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。v信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。P3-P3-确定风险评估方法确定风险评估方法82v组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括： 业务环境 业务性质与业务重要性； 对支持组织业务活动的信息系统

34、的依赖程度； 业务内容、支持系统、应用软件和服务的复杂性； 贸易伙伴、外部业务关系、合同数量的大小。v这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂。P4-P4-分析和评估信息安全风险分析和评估信息安全风险83v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。v确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优

35、先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。 P5-P5-识别和评价风险处理的可选措施识别和评价风险处理的可选措施84v根据风险评估的结果，在已有措施基础上从安全控制最佳集合中选择安全控制措施。P6-P6-为处理风险选择控制目标和控制措施为处理风险选择控制目标和控制措施85v在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组

36、织对业务目标、资产保护、投资预算的要求。v组织采用什么样的方法来评估安全需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种安全需求来驱动。P7-P7-准备详细的适用性声明准备详细的适用性声明SoASoA86v在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明（SOA：Statement of Application）SOA中进行说明。vSOA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。vSOA的准备一方

37、面是为了向组织内的员工声明对信息安全面对的风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统的审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内。（二）信息安全管理体系实施和运行（二）信息安全管理体系实施和运行vD1-开发风险处置计划vD2-实施风险处置计划vD3-实施安全控制措施vD4-实施安全教育培训vD5-管理ISMS的运行vD6-管理ISMS 的资源vD7-执行检测安全事件程序vD8-执行响应安全事故程序87信息安全风险处置的分类信息安全风险处置的分类88v根据风险评估的结果进行相关的风险处置：v降低风险：降低风险：在考虑转移风险前，

38、应首先考虑采取措施降低风险；v避免风险：避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等；v转移风险：转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用；v接受风险：接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。信息安全管理体系试运行信息安全管理体系试运行v体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件，

39、充分发挥体系本身的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。89（三）信息安全管理体系监视和评审（三）信息安全管理体系监视和评审v C1-执行ISMS监视程序v C2-执行ISMS评价程序v C3-定期执行ISMS评审v C4-测量控制措施的有效性v C5-验证安全要求是否被满足v C6-按计划进行风险评估v C7-评审可接受残余风险v C8-按计划进行内部审核v C9-按计划进行管理评审v C10-更新信息安全计划v C11-记录对ISMS有影响的行动和事件90常用的检查措

40、施：常用的检查措施：v在检查阶段采集的信息应该可以用来测量信息安全管理体系，判断是否符合组织的安全方针和控制目标的有效性。常用的检查措施有：v日常检查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。v自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。v从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的办法。91常用的检查措施：常用的检查措施：v内部审核：在一个特定的常规审核时间内检查所有方面是否达到预想的效果。v管理评审：管理评审的目的是检查信息安全管理体系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次v

41、趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的基础。92（四）信息安全管理体系保持和改进（四）信息安全管理体系保持和改进vA1-实施已识别的ISMS改进措施vA2-执行纠正性和预防性措施vA3-通知相关人员ISMS的变更vA4-从安全经验和教训中学习93A1-A1-实施已识别的实施已识别的ISMSISMS改进措施改进措施94v为使信息安全管理体系持续有效，应以检查阶段采集的不符合项信息为基础，经常进行调整与改进。v不符合项指： 缺少或缺乏有效地实施和维护一个或多个信息安全管理体系的要求； 在有可观证据的基础上，引起对信息安全管理体系安全方针和组织安全目标能力的重大怀疑。A2-A2-执行纠正性和预防性措施执行纠正性和预防性措施95v通过各种检查措施，发现了组织ISMS体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。v纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因、防止问题的再发生。v预防性措施：组织应对未来的不合适事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。A3-A3-通知相关人员通知相关人员ISMS