信息安全管理体系教材

信息安全管理体系

信息安全管理体系教材第1页培训纲领一、信息安全方面临风险二、保护信息安全方法三、完善信息安全治理结构四、审阅业务进行风险评定五、进行信息安全控制规划六、建立信息安全管理体系七、建立完备“技术防火墙”八、建立有效“人力防火墙”九、对信息安全检验与审计信息安全管理体系教材第2页信息系统固有脆弱性信息本身易传输、易毁损、易伪造信息技术平台（如硬件、网络、系统）复杂性与脆弱性行动远程化使安全管理面临挑战信息含有主要价值信息社会对信息高度依赖，信息风险加大信息高附加值会引发偷窃、滥用等威胁一、信息安全方面临风险企业对信息依赖程度：美国明尼苏达大学Bush-Kugel研究汇报指出，企业在没有信息资料可用情况下，金融业至多只能运行2天，商业则为3.3天，工业则为5天，保险业为5.6天。而以经济情况来看，有25%企业，因为毁损可能马上破产，40%会在两年内宣告破产，只有7%不到企业在5年后能够继续存活。信息安全管理体系教材第3页层出不穷网络安全事件全球平均20秒就发生一次计算机病毒入侵,互联网上防火墙大约25%被攻破;窃取商业信息事件每个月260%速度增加。公安部公共信息网络安全监察局8月25日公布一项调查汇报显示，54％被调查单位发生过信息网络安全事件，比去年上升5％，其中发生过3次以上占22％，比去年上升7％。73％安全事件是因为未修补或防范软件漏洞所造成。据统计产生电脑病毒和木马数量到达23万个，其中90%以上带有显著利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网安全。第一毒王“熊猫烧香”病毒己造成超出一千万个人及企业用户中毒，直接及间接经济损失高达亿元以上。据统计，年初全球产生电脑病毒和木马数量到达50万个，其中90%以上带有显著利益特征，有窃取个人资料、各种账号密码等行为，严重威胁着互联网安全。Baidu灰鸽子吧信息安全管理体系教材第4页商业间谍无孔不入在走向当代市场经济过程中，因为利益多元化格局形成和利益驱动机制强化，侵犯企业商业秘密事件正在快速增加。依据美国对本国1500家企业调查，有1300家企业认可，它们对国外竞争对手进行了间谍活动。据预计，美国企业每年投资在经济、科技情报方面费用高达300亿美元。许多大企业设置专门竞争情报部门，建立企业竞争情报系统，进入世界500强美国企业中90%设有竞争情报部。如IBM、微软、陶氏科宁、可口可乐等企业竞争情报系统不但能够时刻监视竞争对手动向和环境改变，而且含有对环境“早期预警”功效。向对手商业机密说“不”信息安全管理体系教材第5页商业机密泄露使企业遭受损失一项调查显示，名列《财富》杂志前1000名企业每年因泄露商业机密而出现损失高达450亿美元，平均每家企业每年发生2.45次泄密事件，损失超出50万美元。景泰蓝、宣纸、青蒿素、维生素C生产技术泄密和铷铁硼专利被封杀都给我国企业和国家带来了重大经济损失，造成了无可挽回影响。思科诉华为，华为诉沪科等知识产权案，使企业和人员都蒙受了损失。华为诉前员工窃密案触目惊心泄密事件信息安全管理体系教材第6页信息安全损失“冰山”理论信息安全直接损失只是冰由之一角，间接损失是直接损失是6－53倍间接损失包含：时间被延误修复成本可能造成法律诉讼成本组织声誉受到影响商业机会损失对生产率破坏$10,000$60,000－$530,000信息安全管理体系教材第7页我国当前信息安全普遍存在问题忽略了信息化治理机制与控制体系建立，和信息化“游戏规则”建立；厂商主导技术型处理方案为主，用户跟着厂商步子走；安全只重视边界安全，没有在应用层面和内容层面考虑业务安全问题；重视安全技术，轻视安全管理，信息安全可靠性没有确保；信息安全建设缺乏绩效评定机制，信息安全成了“投资黑洞”；信息安全人员变成“救火队员”

…

信息安全管理体系教材第8页怎样实现信息安全？信息安全＝反病毒软件＋防火墙＋入侵检测系统？管理制度？人原因？环境原因？Ernst&Young及国内安全机构分析：国家政府和军队信息受到攻击70%来自外部，银行和企业信息受到攻击70%来自于内部。75%被调查者认为员工对信息安全策略和程序不够了解是实现信息安全障碍之一,只有35%组织有连续安全意识教育与培训计划66%组织认为信息系统没有恪守必要信息安全规则56%组织认为在信息安全投入上不足，60%从不计算信息安全ROI，83%组织认为在技术安全产品与技术上投入最多。在整个系统安全工作中,管理(包含管理和法律法规方面)所占比重应该到达70%,而技术(包含技术和实体)应占30%。二、保护信息安全方法信息安全管理体系教材第9页信息安全体系模型演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS人们逐步认识到安全管理主要性，作为信息安全建设蓝图安全体系就应该顾及安全管理内容。信息安全管理体系教材第10页建立信息安全管理体系对信息安全建立系统工程观念用制度来确保组织信息安全更有效信息安全遵照木桶原理对信息系统各个步骤进行统一综合考虑、规划和构架并要时时兼顾组织内不停发生改变，任何步骤上安全缺点都会对系统组成威胁。需要对信息安全进行有效管理信息安全管理体系教材第11页BHTP－一个实施ISMS有效方法业务与策略(BusinessandPolicy)人员与管理(Humanandmanagement)技术与产品(Technologyandproducts)流程与体系(ProcessandFramework)治理与控制环境信息安全管理体系教材第12页BHTP模型关键要素业务与策略依据业务需要在组织中建立信息安全策略，以指导对信息资产进行管理、保护和分配。确定并实施信息安全策略是组织一项主要使命，也是组织进行有效安全管理基础和依据。“保护业务，为业务创造价值”应该是一切安全工作出发点与归宿，最有效方式不是从现有工作方式开始应用信息安全技术，而是在针对工作任务与工作流程重新设计信息系统时，发挥信息安全技术伎俩支持新工作方式能力。人员与管理人是信息安全最活跃原因，人行为是信息安全保障最主要方面。从国家角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务连续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。信息安全管理体系教材第13页技术与产品能够综合采取商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动还击等各种技术与产品来保护信息系统安全考虑安全成本与效益，采取“适度防范”(Rightsizing)标准

流程与体系建立良好IT治理机制是实施信息安全基础与主要确保。在风险分析基本上引入恰当控制，建立PDCA安全管理体系，从而确保组织赖以生存信息资产安全性、完整性和可用性安全体系统还应该伴随组织环境改变、业务发展和信息技术提升而不停改进，不能一劳永逸，一成不变，需要建立完整控制体系来确保安全连续完善。信息安全管理体系教材第14页BHTP方法论决议层对信息安全看法信息安全管理体系教材第15页建立跨部门信息安全委员会良好治理结构要求主体单位IT决议必须由最了解组织整体目标与价值权威部门来决定。三、完善信息安全治理结构信息安全组织结构示例安全工作小组流程示例信息安全管理体系教材第16页审阅业务，确定IT标准和信息安全方针在进行信息安全规划与实施安全控制办法前，首先要充分了解组织业务目标和IT目标，建立IT标准，这是实施建立有效信息安全保障体系前提。组织业务目标和IT标准将直接影响到安全需求，只有从业务发展需要出发，确定适宜IT标准，才能指导信息安全方针制订。信息安全方针就是组织信息安全委员会或管理当局制订一个高层文件，用于指导组织怎样对资产，包含敏感性信息进行管理、保护和分配规则和指示。在安全方针指导下，经过了解组织业务所处环境，对IT基础设施及应用系统可能存在微弱点进行风险评定，制订出适宜安全控制办法、安全策略程序及安全投资计划。IT标准示例信息安全方针示例四、确定IT标准与安全方针信息安全管理体系教材第17页五、进行风险评定风险评定惯用方法当前国内ISMS风险评定方法主要参考ISO13335相关定义及国信办9号文件《信息安全风险评定指南》，这些标准把重点放在信息资产上。缺点：风险评定人员普通最轻易找到资产无非就是硬件类、软件类资产，而对安全来说至关主要IT治理、组织政策、人员管理、职责分配、业务流程、教育培训等问题，因为不能方便地定义为信息资产，而往往被视而不见。所以，风险评定经常出现“捡了芝麻、丢了西瓜”，“只见树木，不见森林”情况。信息安全管理体系教材第18页完备风险评定方法信息安全包括内容决不但仅是信息安全、技术安全问题，它还会包括到治理机制、业务流程、人员管理、企业文化等内容。经过“现实状况调查”取得对组织信息安全现实状况和控制办法基本了解；经过“基线风险评定”了解组织与详细信息安全标准差距，得到粗粒度安全评价。经过“资产风险评定”和“流程风险评定”进行详细风险评定，依据三方面评定得到最终风险评定汇报。信息安全管理体系教材第19页现实状况调查主要内容文档搜集与分析组织基本信息、组织结构图组织人员名单、机构设置、岗位职责说明书业务特征或服务介绍与信息安全管理相关政策、制度和规范现场访谈安排与相关人员面谈对员工工作现场观察加强项目组对企业文化感知访谈提要：管理层、部门经理、员工，某员工访问示例信息安全管理体系教材第20页技术评定工具扫描、渗透测试1

2

3人工分析系统安全配置完全检测、网络服务安全配置完全检测包含用户安全、操作系统安全、

网络服务安全、系统程序安全人工评定统计示例技术评定综述问卷调研安全日常运维现实状况调研问卷：针对组织中实际应用、系统、网络情况，从日常管理、维护、系统审计、权限管理等方面全方面了解组织在信息系统安全管理和维护上现实情况。从安全日常运维角度出发，更贴近实际运维环境。安全日常运维现实状况调研问卷《信息安全现实状况分析汇报》信息安全管理体系教材第21页基线风险评定所谓基线风险评定，就是确定一个信息安全基本底线，信息安全不但仅是资产安全，应该从组织、人员、物理、逻辑、开发、业务连续等各个方面来确定一个基本要求，在此基础之上，再选择信息资产进行详细风险分析，这么才能在兼顾信息安全风险方方面面同时，对重点信息安全风险进行管理与控制。ISO27001确立了组织机构内开启、实施、维护和改进信息安全管理指导方针和通用标准，以规范组织机构信息安全管理建设内容，所以，风险评定时，能够把ISO27001作为安全基线，与组织当前信息安全现实状况进行比对，发觉组织存在差距，这么首先操作较方便，更主要是不会有遗漏

ISO27001调查问卷示例《信息安全管理体系风险评定与处置提议汇报》信息安全管理体系教材第22页信息资产风险评定针对主要信息资产进行安全影响、威胁、漏洞及可能性分析，从而预计对业务产生影响，最终能够选择适当方法对风险进行有效管理。《安全风险评定与处置提议汇报》安全风险评定表示例资产定义及估值确定现有控制威胁评定确定风险水平风险评定过程脆弱性评定安全控制办法识别与选择降低风险风险管理过程接收风险电子政务风险评定案例信息安全管理体系教材第23页IT流程风险评定信息安全不但仅要看IT资产本身是否安全可靠，而且还应该在其所运行环境和经历流程中确保安全。没有可靠IT流程确保，静态安全是不可靠，而且IT风险也不但仅是信息安全问题，IT效率与效果也一样是需要考虑问题，所以评定IT流程绩效特征并加以完善是风险控制中必不可少内容。《IT相关业务流程风险评定与处置提议汇报》信息安全管理体系教材第24页确定风险控制策略风险控制策略举例六、信息安全控制规划信息安全管理体系教材第25页选择安全控制办法风险控制办法预防商业活动中止和灾难事故影响。业务连续性管理信息安全事件管理确保系统开发与维护安全系统开发与维护控制对业务信息访问。访问控制确保通讯和操作设备正确和安全维护。通信与运行管理预防对关于IT服务未经许可介入，损伤和干扰服务。物理与环境安全降低人为造成风险。人员安全维护组织资产适当保护系统。资产管理建立组织内管理体系方便安全管理。安全组织为信息安全提供管理方向和支持。安全方针目ISO27001十一个域防止任何违反法令、法规、协议约定及其它安全要求行为。符合性确保与信息系统相关安全事件和弱点沟通能够及时采取纠正办法信息安全管理体系教材第26页进行安全控制规划安全规划针对组织面临主要安全风险，在安全管理控制框架和安全技术控制框架方面进行较为详尽规划。安全规划对组织未来几年网络架构、威胁防护、策略、组织、运行等方面安全，进行设计、改进和加强，是进行安全建设总体指导。序号项目内容紧迫性可实施性难易程度效果分析综合分析1安全体系建设2安全策略管理3安全组织管理4安全运行管理5物理安全管理6网络访问控制7认证与授权8监控与审计9系统管理10响应和恢复11信息安全12系统开发管理13物理安全14……安全规划方法《信息安全实施总体规划汇报》《信息安全实施总体规划图表》信息安全管理体系教材第27页安全预算计划所以安全预算计划是一项含有挑战性工作，要采取“适度防范”标准，把有限资金用在刀刃上。普通来说，没有尤其需要，为信息安全投入不应超出信息化建设总投资额20%，过高安全成本将使安全失去意义。

投资回报计划信息安全投资回报计划就是要研究信息安全成本效益，其成本效益组成以下：从系统生命周期看信息安全成本：获取成本和运行成本从安全防护伎俩看信息安全成本：技术成本和管理成本信息安全价值效益：降低信息安全事故经济损失信息安全非价值效益：增加声誉、提升品牌价值信息安全管理体系教材第28页信息安全体系模型演变ISO7498-2(GB/T9387.2－1995)PDR模型PDRR安全模型(P2DR2)IATF信息保障技术框架信息安全管理体系ISMS七、建立信息安全管理体系人们逐步认识到安全管理主要性，作为信息安全建设蓝图安全体系就应该顾及安全管理内容。信息安全管理体系教材第29页信息安全管理体系定义信息安全管理体系（ISMS：InformationSecurityManagementSystem）是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法和体系。ISMS相对应BS7799标准在国际上得到了广泛应用，当前引标准已被采纳为国际标准ISO17799:ISO27001:。在ISO17799中信息安全主要指信息机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)保持。用木桶原理说明ISMS信息安全管理体系教材第30页ISMS“木桶”由哪些“板”组成？类似于质量管理体系ISO9000标准，ISMS也有对应国际标准ISO27001，它确定了ISMS11个安全领域及133个对应控制办法。信息安全管理体系教材第31页ISO17799及ISO27001内容ISO17799:

信息安全管理实施规范，主要是给负责开发人员作为参考文档使用，从而在组织中实施和维护信息安全；ISO27001:

信息安全管理体系规范，详细说明了建立、实施和维护信息安全管理系统要求，指出实施组织需要经过风险评定来判定最适宜控制对象，并对自己需求采取适当控制。取得BS7799和ISO27001认证组织信息安全管理体系教材第32页ISO17799信息安全BS15000IT服务管理职业安全健康管理体系指导意见OHSAS18000财务管理体系BS8600客户满意管理体系Finance财务管理质量管理业务管理IT信息管理人力资源环境管理ISO100015培训体系人力资源管理体系ISO9000市场/客户满意管理ISO14001

综合管理体系职业安全战略和投资管理

战略和投资管理体系行业强制性管理体系及产品认证如QS9000，ISMC，党务管理ISO17799与其它标准对比ISO27001与其它标准融合信息安全管理体系教材第33页ISMS体系设计在组织中要实现信息安全，比较切实可行第一步是按照PDCA标准建立信息安全管理体系。假如没有一个完整管理体系和有效过程来确保组织中人员能了解他们安全责任与义务，并建立基本有效控制办法，那么再好安全技术也不能确保组织信息安全。

信息安全管理体系教材第34页ISMS建设过程：建立ISMS首先要建立一个合理信息安全管理框架，要从整体和全局视角，从信息系统全部层面进行整体安全建设从信息系统本身出发，经过建立资产清单，进行风险分析和需求分析和选择安全控制等步骤，建立安全体系并提出安全处理方案。体系运行体系审核管理评审体系认证第七步第八步第九步第十步运行说明内审汇报外审汇报认证证书信息安全管理体系教材第35页ISMS体系文件编写对ISMS体系设计首先是以规范化ISMS体系文件形式表现出来。把相关ISMS主要内容用文件形式表述出来，就形成了组织ISMS体系文件。ISMS体系文件是实施信息安全管理所必需结构、规则、过程和资源等原因所组成有机总体，有效信息安全管理需要明确管理详细目标与范围、流程与活动、人员与职责、资源与条件等内容ISMS体系文件作用保护信息安全指南对信息安全进行审核依据安全管理水平不停改进保障促进安全培训工作开展信息安全管理体系教材第36页ISMS体系文档组成四级文件三级文件二级文件一级方针、策略文件ISMS体系文件规范、程序作业指导书、统计、表单信息安全管理体系教材第37页ISMS正式运行ISMS体系文件编制完成后，组织应按照文件控制要求进行审核与同意并公布实施，至此，信息安全管理体系将进入运行阶段在试运行基础上，总结经验，进行认真布署，选择恰当时机进行ISMS体系正式运行。正式运行前，需要领导层进行动员，并进行全员培训，签定相关协议，方针策略、规章制度正式起用。只有确保ISMS连续运行，才能使ISMS制度真正落到实处，使组织安全情况得到改观。ISMS体系建设案例信息安全管理体系教材第38页“技术防火墙”总体要求技术结构方面：完备安全技术防御系统应该具备评定，保护，检测，反应和恢复五种技术能力。实现ISO7498-2所定义判别，访问控制，数据完整性，数据保密性，抗抵赖五类安全功效。技术产品方面：综合利用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动还击等各种技术与产品来确保企业信息系统机密性、完整性和可靠性。

集中管理方面：实现集成化安全管理和安全信息共享机制，以集中管理安全控制、安全策略、安全配置、安全事件审计、安全事故应急响应，可管理安全才是真正意义上安全。灾难恢复与业务连续性方面：对于突发性重大灾难，日常安全控制办法不再起作用，此时要采取适当和有效办法来减轻相关威胁实际发生时所带来破坏后果，这是组织信息安全最终一道防线。

八、建立“技术防火墙”信息安全管理体系教材第39页“技术防火墙”实现框架信息安全框架可经过基础技术系统、安全运维管理系统、应用支撑系统来实现，其最终目标是确保应用系统和数据安全。

基础技术系统安全防护系统应用支撑系统安全运维管理系统信息安全管理体系教材第40页基础技术系统纵深防御架构可信网和不可信网要物理层隔断，网络逻辑连接要割断，应用数据要净化，不可信网络上计算机不能直接抵达可信网络。使用“应用分层、服务分区、安全分级”思绪，指导网络结构化建设，依据应用类型、物理位置、逻辑位置等不一样，划分不一样网络安全区域和边界。IATF安全域信息安全管理体系教材第41页安全基础设施一个为整个安全体系提供安全服务基础性平台，为应用系统和安全支撑平台提供包含数据完整性、真实性、可用性、不可抵赖性和机密性在内安全服务。包含：数字证书认证体系（CA/PKI）密钥管理基础设施（KMI）授权管理基础设施（AA/PMI）灾难恢复及业务连续性基础设施（DRI/BCP）信息安全管理体系教材第42页CARA证书认证中心注册授权机构Internet或专网申请证书应用系统用户终端使用证书访问判别证书判别与访问控制系统LDAP数字证书证书查询服务利用PKI数字证书进行访问控制信息安全管理体系教材第43页用户CA系统AA系统数据库服务访问他是谁？有什么权限？认证系统授权系统用户认证证书用户权限证书设备认证证书设备认证证书软件认证证书PKI与PMI应用：安全认证与授权信息安全管理体系教材第44页安全防护系统网络安全控制采取入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、安全虚拟专网（VPN）等成熟技术，利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等伎俩，经过对网络安全防护统一设计和统一配置，实现全系统统一、高效、可靠网络安全防护。信息安全管理体系教材第45页省级局域网上级接口下级接口横向接口互联网接口加密机：保护离开局域网信息安全，同时预防非法接入。防火墙：预防来自总部内部攻击。防火墙：预防来自外部攻击。防火墙：即预防来自外部攻击，也要预防来自地市局内部攻击。入侵检测：发觉非法入侵行为。防病毒网关：预防外部病毒入侵。防非法外联：堵住非法网络接口。系统加固：设置运行环境最终一道防线。（网络及主机操作系统、数据库、应用平台加固）安全边界网络行为审计：加强网络安全管理，追查安全事件。结构网络安全边界信息安全管理体系教材第46页入侵检测组织中心备份中心二级部门三级部门四级部门线路密码机防火墙防病毒网关防非法外联网络行为审计操作系统加固高安全区域安全防护系统层次信息安全管理体系教材第47页终端安全控制因为普通用户缺乏应有网络安全常识，经过浏览隐藏恶意代码网站，下载有木马软件到内部网运行，打开邮件中不明来历附件等给组织内部网络带来极大危害，终端用户触发产生安全事件逐步成为企业IT安全问题主要原因。

信息安全管理体系教材第48页应用支撑系统应用支撑系统构建在基础技术系统基础上，利用安全基础设施提供基于PKI/PMI/KMI技术安全服务；采取安全中间件及一站式服务理论和技术，实现包含安全门户、安全认证和访问控制、数据安全传输、数据保密、完整性保护、真实性保护等应用安全功效和服务，支持面向组织和各类专网和互连网各类安全应用，是安全应用系统所依靠主要安全平台。

信息安全管理体系教材第49页应用系统常见安全方案业务系统本身必须能够准确地识别使用者真实身份，预防与业务无关人员非法使用系统。处理方案:使用统一身份认证证书业务系统本身必须能够对自己资源进行控制，能够动态地分配权限，控制使用者操作行为，预防越岗位操作或越权限操作。处理方案:基于角色访问控制业务系统本身必须能够对数据或文件进行保护，预防因为数据安全得不到确保而失去业务系统本身可用性。处理方案:基于密码业务系统本身必须能够对操作者行为进行跟踪、统计、统计和审计，及时发觉工作中出现问题，使系统可管理，事件可追查。处理方案:日志与安全事件审计在电子商务或电子政务环境下，需要利用身份证书对主要关键业务与交易凭证进行数字署名，以确保主要对已完成业务与交易无否定性。处理方案:基于数字署名信息安全管理体系教材第50页安全运维系统安全运维管理系统对整个安全系统起管理、监控、调度和应急报警等作用，负责对全网络安全防护设备进行管理，为各个应用系统提供安全管理接口，对需要尤其关注应用系统进行应用审计。安全运维管理系统经过建立安全运维管理中心（SOC）对组织安全技术与流程进行集中式管理。信息安全管理体系教材第51页什么是人力防火墙在信息安全全部相关原因中，人是最活跃原因，人行为是信息安全保障最主要方面。组织相关人员尤其是内部员工既能够是对信息系统最大潜在威胁，也能够是最可靠安全防线。我们把信息安全中对人有效管理称为“人力防火墙”。经过建立“人力防火墙”，不但建立起一套有效管理体系，而且还能形成“信息安全，人人有责”企业文化气氛，从而使员工成为企业信息安全一道“最可靠防线”，实现组织信息系统长治久安。八、建立“人力防火墙”信息安全管理体系教材第52页建立人力防火墙过程得到组织最高管理层支持得到高层管理人员认同和承诺有两个作用一是对应安全方针政策、控制办法能够在组织上上下下得到有效落实；二是能够得到有效资源确保，比如实施有效安全过程必要资金与人力资源支持，及跨部门之间协调问题都必须由高层管理人员来推进。建立信息安全组织，明确角色与责任安全角色与责任不明确是实施信息安全过程中最大障碍，建立安全组织与落实责任是实施信息安全管理第一步。信息安全指导委员会信息安全主管为关键、专业信息安全管理队伍把对应安全责任落实到每一个员工身上员工ISMS职责表ISMS文件与工作人员矩阵信息安全管理员职责矩阵、工作流程信息安全管理体系教材第53页制订计划行动计划主要有：信息安全政策制订与实施与信息安全相关人力资源政策制订安全事件响应计划监控日常安全事务及员工对安全政策遵照业务连续性计划及灾难恢复计划安全教育计划建设企业安全文化预算计划有足够资金支持计划才是切实可行计划，才能有效地落实信息安全所需要人、财、物等资源配置。预算计划一定要合理，过高安全预算会使安全失去意义，最好是结合投资回报分析。信息安全管理体系教材第54页制订信息系统安全政策信息系统安全政策就是为预防信息资产意外损失及被有意滥用而制订规则，这些政策是应该涵盖组织中生成、加工、使用、储存信息各个方面，并符合ISO27001对信息系统安全要求。信息安全政策要符合组织业务目标及特定环境要求，并使之被每个员工所了解和执行，这是实施信息安全主要步骤，是建立人力防火墙政策依据。人力资源政策所以除了技术控制伎俩外，要制订适当人力资源政策，加强对“人”管理，对潜在安全入侵者也是一个威慑及惩戒办法，这是建立人力防火墙有效控制伎俩。人力资源管理在信息安全管理中充分十分主要作用，信息安全管理人员要与人务资源管理人员亲密合作，协同作战，才能实现信息安全中对“人”有效管理。人力资源政策举例信息安全管理体系教材第55页实施安全教育计划要制订各种不一样范围、不一样层次安全教育计划。完备安全教育计划能够提升员工安全意识与技能，改变他们对待安全事件态度，使他们含有一定安全保护技能，以更加好地保护组织信息资产。好安全教育计划应该让员工知道组织信息安全方面临威胁及信息安全事件带来后果，使员工切身感觉到安全事件与自己息息相关。信息安全教育内容ISO27001培训计划举例信息安全管理体系教材第56页制订安全事件响应机制组织应明确出现事故、故障和微弱点相关部门责任，并依据安全事故与故障反应过程建立一个汇报、反应、评价和惩戒机制，这也可称为人力防火墙反应机制。目标是把安全事件损害降到最低程度，追踪并从事件中吸收教训。安全事件汇报程序信息安全管理体系教材第57页营造组织信息安全文化信息安全文化隶属于组织文化，提倡良好组织信息安全文化就是要在组织中形成团体共同态度、认识和价值观，形成规范思维和行为模式，最终转化为行动，实现组织信息安全目标。人这种对安全价值认识以及使自己一举一动符合安全行为规范表现，正是所谓“安全涵养”。假如一个组织建立起浓厚安全文化环境，不论决议层、管理层还是普通员工，都会在安全文化约束下规范自己行为，安全文化就像一支看不见手，凡是不安全行为都会被这支手拉回到安全操作轨道上来。信息安全文化三个阶段信息安全管理体系教材第58页检验与审计内容对