企业信息安全管理体系建设

1、企业信息安全管理体系建设课程内容信息安全管理体系建设过程方法与PDCA循环建立、运行、评审与改进ISMS3知识子域：过程方法与PDCA循环理解ISMS过程和过程方法的含义理解PDCA循环的特征和作用知识子域：建立、运行、评审与改进ISMS了解建立ISMS的主要工作内容了解实施和运行ISMS的主要工作内容了解监视和评审ISMS的主要工作内容了解保持和改进ISMS的主要工作内容知识域：信息安全管理体系建设三、信息安全管理体系建设（一）信息安全管理体系的规划和建立（二）信息安全管理体系的实施和运行（三）信息安全管理体系的监视和评审（四）信息安全管理体系的保持和改进4（一）信息安全管理体系规划和建立P

2、1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA5P1-定义ISMS范围6ISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域。P2-定义ISMS方针7信息安全方针是组织的

3、信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。P3-确定风险评估方法8组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括：业务环境业务性质与业务重要性；对支持组织业务活动的信息系统的依赖程度；业务内容、支持系统、应用软件和服务的复杂性；贸易伙伴、外部业务关系、合同数量的大小。这些因素对风险评

4、估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂。P4-分析和评估信息安全风险9风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。

5、P5-识别和评价风险处理的可选措施10根据风险评估的结果，在已有措施基础上从安全控制最佳集合中选择安全控制措施。P6-为处理风险选择控制目标和控制措施11在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组织对业务目标、资产保护、投资预算的要求。组织采用什么样的方法来评估安全需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种安全需求来驱动。P7-准备详细的适

6、用性声明SoA12在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明（SOA：Statement of Application）SOA中进行说明。SOA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。SOA的准备一方面是为了向组织内的员工声明对信息安全面对的风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统的审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内。（二）信息安全管理体系实施和运行D1-开发风险处置计划D2-实施风险处

7、置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS的运行D6-管理ISMS 的资源D7-执行检测安全事件程序D8-执行响应安全事故程序13信息安全风险处置的分类14根据风险评估的结果进行相关的风险处置：降低风险：在考虑转移风险前，应首先考虑采取措施降低风险；避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等；转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用；接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。信息安全管理体系试运行体系运行初期处于体系的磨

8、合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。15（三）信息安全管理体系监视和评审C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行

9、内部审核C9-按计划进行管理评审C10-更新信息安全计划C11-记录对ISMS有影响的行动和事件16常用的检查措施：在检查阶段采集的信息应该可以用来测量信息安全管理体系，判断是否符合组织的安全方针和控制目标的有效性。常用的检查措施有：日常检查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的办法。17常用的检查措施：内部审核：在一个特定的常规审核时间内检查所有方面是否达到预想的效果。管理评审：管理评审的目的是检查信息安全管理体

10、系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的基础。18（四）信息安全管理体系保持和改进A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS的变更A4-从安全经验和教训中学习19A1-实施已识别的ISMS改进措施20为使信息安全管理体系持续有效，应以检查阶段采集的不符合项信息为基础，经常进行调整与改进。不符合项指：缺少或缺乏有效地实施和维护一个或多个信息安全管理体系的要求；在有可观证据的基础上，引起对信息安全管理体系安全方针和组织安全目标能力的重大怀疑。

11、A2-执行纠正性和预防性措施21通过各种检查措施，发现了组织ISMS体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因、防止问题的再发生。预防性措施：组织应对未来的不合适事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。A3-通知相关人员ISMS的变更22按照内部审计和管理评审的输出结果对信息安全管理体系作持续性的改善，每次的改善会涉及到信息安全管理体系文件的变更，变更的结果应该及时通知信息安全管理体系的相

12、关人员，并提供相应培训。A4-从安全经验和教训中学习23从信息安全的最佳实践经验和安全事故教训中学习，持续提高信息安全管理的水平。四、信息安全管理控制规范十一项条款（一）信息安全策略（二）信息安全组织（三）人力资源安全（四）信息资产分类与控制（五）信息安全访问控制（六）物理与环境安全（七）系统开发与维护（八）通信与运营安全（九）信息安全事故管理（十）业务持续性管理（十一）符合性24（一）信息安全策略25信息安全策略是陈述管理者的管理意图，说明信息安全工作目标和原则的文件；从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。（二）信息安全组织26在一个机构中，安全

13、角色与责任的不明确是实施信息安全过程中的最大障碍，信息安全组织的作用就是明确组织信息安全责任和职责，形成组织的安全管理架构。（三）人力资源安全27人力资源安全是保证组织中的员工在雇佣前、雇佣中、离职后各关键环节人力资源上的安全要求事项和控制措施。（四）信息资产分类与控制28信息资产分类与控制是确保组织中的信息资产按照不同等级受到适当保护的控制措施，资产的分类原则、分类清单、所有权人都是关键核心要素。（五）信息安全访问控制29信息安全访问控制是通过标识（identification）、鉴别（authentication）、授权（authorization）这三种机制实现对业务、网络、操作系统、应用程序等安全访问控制策略的最佳实践。（六）物理与环境安全30物理与环境安全是防止未经授权的进入、访问、破坏及干扰企业运行场所及信息，确保信息处理设施、关键核心设备和数据的安全。（七）系统开发与维护31系统开发与维护是通过科学严谨的软件开发方法，减少自开发软件的漏洞，定期保养维护、及时发现系统的安全脆弱点。（八）通信与运营安全32通信和运营安全是确保正确、安全地操作信息处理设备，包括系统规划及验收、对恶意软件的防范、日常事务处理、网络管理、存储媒体的处理与安全、信息及软件的交换等。（九）信息安全事故管理33对发生在计算机系统或网络上的威胁安全的事件进行响应，通过对策、检测和