第四部分：体系文件编写课件

ISMS内审员培训课程SGS-CSTC通标标准技术服务有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

ISMS内审员培训课程SGS-CSTC通标标准技术服务有限公第一部分信息安全基础知识及案例介绍第二部分ISO27001标准正文部分详解

ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分

信息安全管理体系内部审核课程内容第一部分信息安全基础知识及案例介绍课程内容那我们该从哪里开始呢?

建立信息安全管理体系：要收集问题要评估风险要学习标准要改进技术要增加投资要增加人员首先要了解体系建立的需求

——体系标准要求那我们该从哪里开始呢?建立信息安全管理体系：首先要了解体ISO27001正文条款4

信息安全管理体系

（ISMS）4.1总要求4.2建立和管理

ISMS4.2.1建立

ISMS4.2.2

实施和动作ISMS4.2.3监视和评审ISMS4.2.4

保持和改进

ISMS4.3

文件要求4.3.1总则4.3.2文件控制4.3.3记录控制5

管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力8ISMS改进8.1

持续改进8.2纠正措施8.3预防措施

6内部ISMS审核7ISMS管理评审7.1总则7.2评审输入7.3评审输出ISO27001正文条款4信息安全管理体系（ISMS4.2.1

建立ISMS组织应做以下方面的工作：根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。（见1.2）根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：包括设定目标的框架和建立信息安全工作的总方向和原则；考虑业务和法律法规的要求，及合同中的安全义务；在组织的战略性风险管理环境下，建立和保持ISMS；建立风险评价的准则（见4.2.1c）；获得管理者批准。注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。4.2.1建立ISMS组织应做以下方面的工作：4.2.1

建立ISMS确定组织的风险评估方法：识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；制定接受风险的准则，识别可接受的风险级别（见5.1f）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。识别风险识别ISMS范围内的资产及其责任人；识别资产所面临的威胁；识别可能被威胁利用的脆弱性；识别丧失保密性、完整性和可用性可能对资产造成的影响。4.2.1建立ISMS确定组织的风险评估方法：4.2.1

建立ISMS…4.2.1建立ISMS…4.2.1

建立ISMS准备『适用性声明（SoA）

』应从以下几方面准备『适用性声明』：从4.2.1g）选择的控制目标和控制措施，以及选择的理由；当前实施的控制目标和控制措施（见4.2.1e）2））；对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。4.2.1建立ISMS准备『适用性声明（SoA）』4.2.2

实施和运作ISMS…4.2.2实施和运作ISMS…4.3.1一般文件要求文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。4.3.1一般文件要求文件应包括管理决定的记录，以确保所采取4.3.1一般文件要求ISMS文件应包括：形成文件的ISMS方针[见4.2.1b）]和目标；ISMS的范围[见4.2.la）]；支持ISMS的规程和控制措施；风险评估方法的描述[见4.2.1c）]；风险评估报告[见4.2.1c）到4.2.1g）]；风险处理计划[见4.2.2b）]；组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c））；本标准所要求的记录（见4.3.3）；适用性声明。4.3.1一般文件要求ISMS文件应包括：4.3.2文件控制ISMS所要求的文件应予以保护和控制。应编制形成文件的规程，以规定以下方面所需的管理措施：在文件发布前得到批准，以确保文件是适当的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用处可获得适用文件的有关版本；确保文件保持清晰且易于识别；确保文件对需要的人员可用，并依照文件适用的类别规程进行传输、贮存和最终销毁；确保外来文件得到识别；确保文件分发得到控制；防止作废文件的非预期使用；若因任何目的而保留作废文件时，对这些文件进行适当的标识。4.3.2文件控制ISMS所要求的文件应予以保护和控制。应编4.3.3记录控制应建立记录并加以保持，以提供符合ISMS要求和有效运行的证据。应对记录加以保护和控制。ISMS的记录应考虑相关的法律法规要求和合同义务。记录应保持清晰，易于识别及检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。4.3.3记录控制应建立记录并加以保持，以提供符合ISMS5.1管理层承诺管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据：制定ISMS方针；确保ISMS目标和计划得以制定；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；决定接受风险的准则和风险的可接受级别；确保ISMS内部审核的执行（见第6章）；实施ISMS的管理评审（见第7章）。5.1管理层承诺管理者应通过以下活动，对建立、实施、运行、5.2.1

提供资源组织应确定和提供所需资源，以：建立、实施、运行、监视、评审、保持和改进ISMS；确保信息安全规程支持业务要求；识别和满足法律法规要求、以及合同中的安全义务；通过正确实施所有的控制措施保持适当的安全；必要时，进行评审，并适当响应评审的结果；在需要时，改进ISMS的有效性。5.2.1提供资源组织应确定和提供所需资源，以：5.2.2

培训、意识和能力组织应通过以下方式，确保所有分配有ISMS职责的人员具有执行所要求任务的能力：确定从事影响ISMS工作的人员所必要的能力；提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求；评价采取的措施的有效性；保持教育、培训、技能、经历和资格的记录（见4.3.3）。组织也要确保所有相关人员意识到他们信息安全活动的相关性和重要性，以及如何为达到ISMS目标做出贡献。5.2.2培训、意识和能力组织应通过以下方式，确保所有分配6.0

内部ISMS审核组织应按照计划的时间间隔进行ISMS内部审核，以确定其ISMS的控制目标、控制措施、过程和规程是否：符合此标准和有关法律法规的要求；符合已确定的信息安全要求；得到有效地实施和保持；按预期执行。应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。方案应规定审核的准则、范围、频次和方法。6.0内部ISMS审核组织应按照计划的时间间隔进行ISMS6.0

内部ISMS审核审核员的选择和审核的实施应确保审核的客观性和公正性。审核员不应审核自己的工作。策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求应在形成文件的规程中做出规定。负责受审区域的管理者应确保及时采取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。6.0内部ISMS审核审核员的选择和审核的实施应确保审核的7.1

管理评审—总则管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持（见4.3.3）。7.1管理评审—总则管理者应按计划的时间间隔（至少每年1次7.2

评审的输入评审的输入应包括：ISMS审核和评审的结果；相关方的反馈；组织用于改进ISMS执行情况和有效性的技术、产品或规程；预防和纠正措施的状况；以往风险评估没有充分强调的脆弱点或威胁；有效性测量的结果；以往管理评审的跟踪措施；可能影响ISMS的任何变更；改进的建议。7.2评审的输入评审的输入应包括：7.3

评审的输出管理评审的输出应包括与以下方面有关的任何决定和措施：ISMS有效性的改进。风险评估和风险管理计划的更新。必要时修改影响信息安全的规程和控制措施，以响应内部或外部可能影响ISMS的事态，包括以下的变更：业务要求；安全要求；影响现有业务要求的业务过程；法律法规要求；合同要求；风险级别和/或接受风险的准则。资源需求。控制措施有效性测量方法的改进。7.3评审的输出管理评审的输出应包括与以下方面有关的任何决8.1

持续改善组织应利用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审（见第7章），持续改进ISMS的有效性。8.1持续改善组织应利用信息安全方针、安全目标、审核结果、8.2

纠正措施组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。形成文件的纠正措施规程，应规定以下方面的要求：识别不符合；确定不符合的原因；评价确保不符合不再发生的措施需求；确定和实施所需要的纠正措施；记录所采取措施的结果（见4.3.3）；评审所采取的纠正措施。8.2纠正措施组织应采取措施，以消除与ISMS要求不符合的8.3

预防措施组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施规程，应规定以下方面的要求：识别潜在的不符合及其原因；评价防止不符合发生的措施需求；确定和实施所需要的预防措施；记录所采取措施的结果（见4.3.3）；评审所采取的预防措施。组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。预防措施的优先级要根据风险评估的结果确定。第四章——第八章不允许删减8.3预防措施组织应确定措施，以消除潜在不符合的原因，防止本标准必需的文件化的规程文件控制

4.3.2

记录控制

4.3.3

内审

6.0纠正措施

8.2预防措施

8.3「组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c））；」4.3.1g

（程序）本标准必需的文件化的规程文件控制4.3.2（程序）本标准必需的记录影响ISMS有效性或执行情况的措施和事态的记录4.2.3

h培训记录

5.2.2

d内审记录

6.0管理评审记录7.1纠正措施

8.2

e预防措施

8.3

d4.3.1h：「本标准所要求的记录」本标准必需的记录影响ISMS有效性或执行情况的措施和事态的记认证标准-要求附录条款A.5安全方针A.8人力资源安全A.7资产管理A.11访问控制A.12信息系统

获取、开发和维护A.13信息安全事件管理A.14业务连续性管理A.6信息安全组织A.9物理和环境安全A.10通信和操作管理A.15符合性认证标准-要求附录条款A.5A.8A.7A.11A.12A认证标准-要求附录条款5.0安全方针信息安全方针信息安全方针文件信息安全策略评审6.0信息安全组织内部组织信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审外部各方与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题认证标准-要求附录条款5.0安全方针6.0信息安全组织认证标准-要求附录条款7.0资产管理资产的责任资产清单资产责任人资产的可接受使用信息分类分类指南信息的标记和处理8.0人力资源安全任用之前角色和职责审查任用条款和条件任用中管理职责信息安全意识、教育和培训纪律处过程任用的终止或变化终止职责资产的归还撤销访问权认证标准-要求附录条款7.0资产管理8.0人力资源安全认证标准-要求附录条款9.0

物理和环境安全安全区域物理安全周边物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全设备安全设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全安全的安全处置和再利用资产的移动认证标准-要求附录条款9.0物理和环境安全认证标准-要求附录条款10.0

通信和操作管理操作规程和职责文件化的操作规程变更管理责任分割开发、测试及运行设施分离第三方服务交付管理服务交付第三方服务的监视和评审第三方服务的变更管理系统规划和验收容量管理系统验收防范恶意和移动代码控制恶意代码控制移动代码备份信息备份网络安全管理网络控制网络服务安全介质处置可移动介质的管理介质的处置信息处理规程系统文件安全认证标准-要求附录条款10.0通信和操作管理认证标准-要求附录条款信息交换信息交换策略和规程交换协议运输中的物理介质电子消息发送业务信息系统电子商务服务电子商务在线交易公共可用信息监视审计记录

监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步

认证标准-要求附录条款信息交换监视认证标准-要求附录条款11.0

访问控制访问控制的业务需求访问控制策略用户访问管理用户注册特殊权限管理用户口令管理用户访问权复查用户职责口令使用无人值守的用户设备清空桌面和屏幕策略网络访问控制使用网络服务的策略

外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路由控制

操作系统访问控制安全的登录规程

用户标识和鉴别口令管理系统系统系统工具的使用会话超时联机时间的限定认证标准-要求附录条款11.0访问控制认证标准-要求附录条款应用和信息访问控制信息访问限制敏感系统隔离移动计算及过程工作移动计算和通信远程工作认证标准-要求附录条款应用和信息访问控制认证标准-要求附录条款12.0信息系统获取、开发及维护信息系统的安全要求安全要求分析和说明应用中正确的处理输入数据确认内部处理的控制消息完整性输出数据确认密码控制使用密码控制的策略密钥管理系统文件的安全运行软件的控制系统测试数据的保护对程序源代码的访问控制开发和支持过程的安全变更控制规程操作系统变更后应用的技术评审软件包变更的限制信息泄漏外包软件开发技术脆弱性管理技术脆弱性的控制认证标准-要求附录条款12.0信息系统获取、开发及维护认证标准-要求附录条款13.0信息安全事件和改进的管理报告信息安全事态及弱点报告信息安全事态报告信息安全弱点报告安全事件及改善职责与规程对信息安全事件的总结证据的收集14.0业务连续性管理业务连续性管理的信息安全方面在业务连续性管理过程中包含信息安全业务连续性和风险评估制定和实施包含信息安全的连续性计划业务连续性计划框架测试、维护和再评估业务连续性计划认证标准-要求附录条款13.0信息安全事件和改进的管理14认证标准-要求附录条款15.0符合性符合法律要求可用法律的识别知识产权(IPR)保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则符合安全策略和标准以及技术符合性符合安全策略和标准技术符合性核查信息系统审计考虑信息系统审计控制措施信息系统审计工具的保护认证标准-要求附录条款15.0符合性可做为主要良好的起点从法律的观点看，对某个组织重要的控制措施包括，根据适用的法律：数据保护和个人信息的隐私（见A.15.1.4）；保护组织的记录（见A.15.1.3）；知识产权（见A.15.1.2）。被认为是信息安全的常用惯例的控制措施包括：信息安全方针文件（见A.5.1.1）；信息安全职责的分配（见A.6.1.3）；信息安全意识、教育和培训（见A.8.2.2）；应用中的正确处理（见A.12.2）；技术脆弱性管理（见A.12.6）；业务连续性管理（见A.14）；信息安全事件和改进的管理（见A.13.2）。可做为主要良好的起点从法律的观点看，对某个组织重要的控制措施与ISO9001/ISO14001的相似之处PDCA方法

—“策划控制监控改善”方法其它要求相似：文件控制记录控制内审纠正措施预防措施ISMS与EMS可以作为全面质量管理系统的一部分进行实施与ISO9001/ISO14001的相似之处PDCA方法标准与ISO9001、ISO14001的关系（1）标准与ISO9001、ISO14001的关系（1）标准与ISO9001、ISO14001的关系（2）本标准ISO9001:2000ISO14001:20044信息安全管理体4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS4.2.4保持和改进ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.3记录控制4质量管理体系4.1总要求8.2.3过程的监视和测量8.2.4产品的监视和测量4.2文件要求4.2.1总则4.2.2质量手册4.2.3文件控制4.2.4记录控制4EMS要求4.1总要求4.4实施和运行4.5.1监视和测量4.5.2不合格和纠正与预防措施4.4.5文件控制4.5.4记录控制标准与ISO9001、ISO14001的关系（2）本标准IS标准与ISO9001、ISO14001的关系（3）标准与ISO9001、ISO14001的关系（3）标准与ISO9001、ISO14001的关系（4）标准与ISO9001、ISO14001的关系（4）IntegratedAssessmentService(IAS)IntegratedManagementRegistration(IMR)CombinedAuditService(CAS)9001140012700190011400127001IMR组合的管理体系vs.整合管理体系理体系IntegratedAssessmentService(法规及其他要求客户需求环境因素及影响信息安全风险识别评估方针目标计划程序/WI实施检查/检验/审核纠正与预防措施管理评审改进计划计划实施检查改进整合管理体系的思维模式法规及其他要求客户需求环境因素及影响信息安全风险识别评估方针技术要求：ISO9001——顾客的需求（产品质量标准）ISO14001——法律、法规及其他要求是组织管理体系的组成部分具有相同的管理思想——过程控制——文件化15ISO27001——信息安全风险ISO14001、ISO27001与ISO9001关系技术要求：ISO9001——顾客的需求（产品质量标准）ISO都是自愿性的国际标准遵循相同的管理系统原理，要求文件化体系通过体系建立、运行和改进实现方针和目标体系结构和模式接近，PDCA循环实现改进部分要素相同都可能成为贸易的条件，消除贸易壁垒16ISO14001、ISO27001与ISO9001的联系都是自愿性的国际标准遵循相同的管理系统原理，要求文件化体系通必要性一体化减少工作量，重复和矛盾，提高管理效能同时审核降低审核成本，提高企业申请积极性为新的管理体系提供兼容经验，实现一体化管理可行性符合企业愿望和要求符合技术委员会制定标准的指导思想ISO正在制定共同的审核标准具有相似的结构17EMS、ISMS与QMS的兼容必要性一体化减少工作量，重复和矛盾，提高管理效能同时审核降低角色权责明确划分单一系统较易被员工接受使用共通程序，简化作业共用系统资源，提高效率整合验证，节省认证时间与经费19系统整合的优点角色权责明确划分单一系统较易被员工接受使用共通程序，简化作业文件编写步骤1.风险评估相关文件风险评估程序范围、方针、目标、处理计划2.适用性声明3.哪些文件可直接使用4.哪些文件可修改后使用(如与其它管理体系共用)5.哪些文件需要编写，结构是怎么样的？6.编写计划是怎么样的？7.检查是否符合SOA和风险处理计划编写前准备---确定编写人员及总协调人员

---分配职能权限，确定部门关系

组织编写----拟定文件清单

----确定文件格式，统一风格

----制定编写进度表

----原有资料的收集和分析

----现状的了解和分析编写审查批准----格式审查

----内容审查

----会议评审文件编写步骤1.风险评估相关文件编写前准备---确定编写人文件编写步骤编写前准备---确定编写人员及总协调人员

---分配职能权限，确定部门关系

组织编写----拟定文件清单

----确定文件格式，统一风格

----制定编写进度表

----原有资料的收集和分析

----现状的了解和分析编写审查批准----格式审查

----内容审查

----会议评审文件编写步骤编写前准备---确定编写人员及总协调人员练习对我们公司，文件编写的顺序应该是怎么样的？请举例说明各步骤的内容。设施维护管理程序编写步骤2.信息安全事件管理程序练习对我们公司，文件编写的顺序应该是怎么样的？ISMS文件方针范围风险评价适用性声明描述过程：5W1H描述任务及具体的活动如何完成提供符合ISMS条款4.3.3要求的客观证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表、表格记录ISMS文件方针范围描述过程：5W1H描述任务及具体的活ISMS文件第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHY、WHAT、WHEN、WHERE、HOW”以及部门间的控制方法；可以按照ISO27001顺序，也可按照过程顺序；引用下一层次文件ISMS文件第一层次（安全手册）：管理框架概要，包括信息ISMS文件第三层次：解释具体任务或活动的细节—如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是各个ISO27001条款隐含的要求。例如：访问者登记簿、审核记录、访问的授权。ISMS文件第三层次：解释具体任务或活动的细节—如何执行形成文件的ISMS的益处对外增强顾客信心和满意改善对安全方针及要求的符合性提高竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力形成文件的ISMS的益处对外中国的信息安全法律、法规中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全管理办法互联网信息服务管理办法互联网上网服务营业场所管理条例计算机病毒防治管理办法互联网电子邮件服务管理办法/n11293472/n11293832/n11294402/index.html

/n11293472/n11293832/n11294042/index.html

中国的信息安全法律、法规中华人民共和国计算机信息系统安全保护信息安全有关的标准计算机信息安全保护等级划分准则(GB17859-1999)计算站场地安全要求(GB9361-1988)信息系统安全等级保护定级指南计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护网络技术要求(GA/T387-2002)信息安全有关的标准计算机信息安全保护等级划分准则(GB17最新发布的15项信息安全国家标准GB/T20269-2006信息安全技术信息系统安全管理要求GB/T20270-2006信息安全技术网络基础安全技术要求GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20274.1-2006信息安全技术信息系统安全保障评估框架GB/T20275-2006信息安全技术入侵检测系统技术要求和测试评价方法GB/T20276-2006信息安全技术智能卡嵌入式软件安全技术要求（EAL4增强级）GB/T20277-2006信息安全技术网络和终端设备隔离部件测试评价方法GB/T20278-2006信息安全技术网络脆弱性扫描产品技术要求GB/T20279-2006信息安全技术网络和终端设备隔离部件安全技术要求GB/T20280-2006信息安全技术网络脆弱性扫描产品测试评价方法GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法GB/T20282-2006信息安全技术信息系统安全工程管理要求GB/Z20283-2006信息安全技术保护轮廓和安全目标的产生指南最新发布的15项信息安全国家标准GB/T20269-200练习如何在信息安全体系建设时体现：上兵伐谋，其次伐交，其次伐兵，其下攻城知彼知己；因敌制胜以逸待劳；无中生有抛砖引玉；借刀杀人练习如何在信息安全体系建设时体现：方针示例目标：为保护本公司的相关信息资产，包括软硬件设施、数据、信息的安全，免于因外在的威胁或内部人员不当的管理遭受泄密、破坏或遗失等风险，特制订本政策，以供全体员工共同遵循。宣传口号：“信息安全是赢得客户的基础，无破坏零损失是我们的终极目标”“信息安全，人人有责”信息安全要求：信息安全管理委员会是公司信息安全管理的最高机构信息资产应受适当的保护，以防止未经授权的不当存取；应适当保护信息的机密性；确保信息不会在传递的过程中，或因无意间的行为透露给未经授权的第三者；应适当确保信息的完整性，以防止未经授权的窜改；应适当确保信息的可用性，以确保使用者需求可以得到满足；相关的信息安全措施或规范应符合现行法令的要求；尽可能维护、测试企业的灾难恢复与业务持续性计划的可行性；应依其职务、责任对全体员工进行信息安全适当的教育与培训；所有信息安全意外事故或可疑的安全弱点，都应依循适当回报系统向上反应，予以适当调查、处理。方针示例目标：为保护本公司的相关信息资产，包括软硬件设施、文件举例（第一层）1．信息资产与风险评估管理要点2．信息作业人员安全管理要点3．安全区域管理要点4．信息设备授权及保护管理要点5．资料备份与媒体管理要点6．网络与通讯安全管理要点7．信息安全文件及记录管理要点8．系统开发与维护管理要点9．信息安全事件管理要点10．信息中心业务持续运营管理要点11．第三方信息作业管理要点12．办公室信息作业环境管理要点13．信息安全自行检查作业实施要点14．变更管理要点15．信息交换作业管理要点16．信息安全组织设置要点17．信息策略委员会设置要点18．部门电脑作业管理要点19．带出/远程电脑作业管理要点20．个人资料档案安全维护计划信息安全管理手册文件举例（第一层）1．信息资产与风险评估管理要点11．第三方文件举例（第二层）业务持续性管理程序事故、薄弱点与故障管理程序企业商业技术秘密管理程序信息处理设施引进实施管理程序信息处理设施维护管理程序信息安全人员考察与保密管理程序信息安全奖励、惩戒管理规定信息安全适用性声明信息安全风险评估管理程序内部审核管理程序恶意软件控制程序信息安全管理体系程序文件更改控制程序物理访问程序用户访问控制程序管理评审控制程序系统开发与维护控制程序系统访问与使用监控管理程序计算机应用管理岗位工作标准计算机管理程序记录控制程序重要信息备份管理程序预防措施程序文件举例（第二层）业务持续性管理程序信息安全管理体系程序文件文件举例（第三层）令牌(Token)管理规定产品运输保密方法管理规定介质销毁办法保安业务管理规定信息中心主机房管理制度信息中心信息安全处罚规定信息中心密码管理规定信息安全人员考察与保密管理程序信息开发岗位工作标准信息系统访问权限说明信息安全管理体系作业文件

信息销毁制度(档案室）可移动媒体使用与处置管理规定各部门微机专责人工作标准复印室管理规定工程师室和电子间管理规定数据加密管理规定文件审批表机房安全管理规定档案室信息安全职责法律法规与符合性评估程序文件举例（第三层）令牌(Token)管理规定信息安全管理体系文件举例（第三层）生产经营持续性管理战略计划监视系统管理规定系统分析员岗位工作标准经营部信息事故处理规定经营部信息安全岗位职责规定经营部计算机机房管理规定经营部访问权限说明网站信息发布管理程序网络中间设备安全配置管理规定网络通信岗位工作标准信息安全管理体系作业文件

计算机硬件管理维护规定财务管理系统访问权限说明远程工作控制程序文件举例（第三层）生产经营持续性管理战略计划信息安全管理体系文件举例（第四层）上级单位领导来访登记表事故调查分析及处理报告信息发布审查表信息处理设施使用情况检查表信息安全内部顾问名单信息安全外部专家名单信息安全故障处理记录信息安全法律、法规清单信息安全法律、法规符合性评价报告信息安全薄弱点报告常见信息安全管理体系记录

信息安全记录一览表信息安全重要岗位评定表信息设备转交使用记录信息设备转移单信息设备（设施）软件采购申请信息资产识别表内部员工访问特别安全区域审批表外部网络访问授权登记表应用软件开发任务书应用软件测试报告文件举例（第四层）上级单位领导来访登记表常见信息安全管理体系文件举例（第四层）操作系统更改技术评审报告敏感重要信息媒体处置申请表文件修改通知单文件借阅登记表文件发放回收登记表文件销毁记录表时钟校准记录机房值班日志机房出入登记表生产经营持续性管理战略计划常见信息安全管理体系记录

生产经营持续性管理计划生产经营持续性计划测试报告生产经营持续性计划评审报告用户设备使用申请单用户访问授权登记表a用户访问授权登记表b监控活动评审报告私人信息设备使用申请单第三方访问申请授权表a第三方访问申请授权表b文件举例（第四层）操作系统更改技术评审报告常见信息安全管理体文件举例（第四层）系统测试计划网络打印机清单计算机信息网络系统容量规划记录借阅登记表记录销毁记录表设备处置再利用记录设施系统更改报告访问权限评审记录软件安装升级申请表软件设计开发方案常见信息安全管理体系记录

软件设计开发计划软件验收报告远程工作申请表重要信息备份周期一览表文件举例（第四层）系统测试计划常见信息安全管理体系记录软件典型信息安全策略安全监控策略安全培训策略备份安全策略便携式计算机安全策略病毒检测策略电子邮件策略服务器加强策略更改管理安策略互联网使用策略口令策略卖方访问策略入侵检测策略软件注册策略事故管理策略特权访问管理策略网络访问策略网络配置安全策略物理访问策略系统开发策略信息资源保密策略信息资源使用策略帐号管理策略典型信息安全策略安全监控策略入侵检测策略编写前准备---确定编写人员及总协调人员

---分配职能权限，确定部门关系

●责任部门Ο协助部门总经理管理者代表管理部技术部生产部…4.1●4.2/4.3●5.1●Ο5.2●6●…编写文件的步骤编写前准备---确定编写人员及总协调人员总经理管理者代表管理组织编写----拟定文件清单列出文件清单及相应的拟制,审核,批准责任人

序号标准条款文件名称拟制审核批准14.3.3文件控制程序管理部管理者代表总经理…编写文件的步骤组织编写----拟定文件清单序号标准条款文件名称拟制审核批准序号标准条款二层文件名称三层文件相关记录14.3.3文件控制程序文件编号规定文件清单…文件分发、回收记录文件修改单文件审批单编写文件的步骤序号标准条款二层文件名称三层文件相关记录14.3.3文件控制整合体系中可以合并的程序文件文件控制记录控制内审不合格（品）控制纠正措施预防措施管理评审人力资源目标指标管理办法设施维护采购过程与客户相关的过程程序文件的编写整合体系中可以合并的程序文件文件控制管理评审程序文件的编写体系文件的审批体系文件的审核应注意以下内容：

1各层次文件之间的有关规定和要求应一致；

2活动的接口应适当、明确、衔接合理；

3活动描述应具有可操作性，切实可行；

4文字表述应准确，有无含糊不清之处；

5相关体系文件之间的规定、描述应一致；

6文件格式应符合要求，文件之间应统一。体系文件的审批体系文件的审核应注意以下内容：

1各层次文件ISMS内审员培训课程SGS-CSTC通标标准技术服务有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

ISMS内审员培训课程SGS-CSTC通标标准技术服务有限公第一部分信息安全基础知识及案例介绍第二部分ISO27001标准正文部分详解

ISO27001标准附录A详解第三部分信息安全风险评估与管理第四部分体系文件编写第五部分

信息安全管理体系内部审核课程内容第一部分信息安全基础知识及案例介绍课程内容那我们该从哪里开始呢?

建立信息安全管理体系：要收集问题要评估风险要学习标准要改进技术要增加投资要增加人员首先要了解体系建立的需求

——体系标准要求那我们该从哪里开始呢?建立信息安全管理体系：首先要了解体ISO27001正文条款4

信息安全管理体系

（ISMS）4.1总要求4.2建立和管理

ISMS4.2.1建立

ISMS4.2.2

实施和动作ISMS4.2.3监视和评审ISMS4.2.4

保持和改进

ISMS4.3

文件要求4.3.1总则4.3.2文件控制4.3.3记录控制5

管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力8ISMS改进8.1

持续改进8.2纠正措施8.3预防措施

6内部ISMS审核7ISMS管理评审7.1总则7.2评审输入7.3评审输出ISO27001正文条款4信息安全管理体系（ISMS4.2.1

建立ISMS组织应做以下方面的工作：根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。（见1.2）根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：包括设定目标的框架和建立信息安全工作的总方向和原则；考虑业务和法律法规的要求，及合同中的安全义务；在组织的战略性风险管理环境下，建立和保持ISMS；建立风险评价的准则（见4.2.1c）；获得管理者批准。注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。4.2.1建立ISMS组织应做以下方面的工作：4.2.1

建立ISMS确定组织的风险评估方法：识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；制定接受风险的准则，识别可接受的风险级别（见5.1f）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。识别风险识别ISMS范围内的资产及其责任人；识别资产所面临的威胁；识别可能被威胁利用的脆弱性；识别丧失保密性、完整性和可用性可能对资产造成的影响。4.2.1建立ISMS确定组织的风险评估方法：4.2.1

建立ISMS…4.2.1建立ISMS…4.2.1

建立ISMS准备『适用性声明（SoA）

』应从以下几方面准备『适用性声明』：从4.2.1g）选择的控制目标和控制措施，以及选择的理由；当前实施的控制目标和控制措施（见4.2.1e）2））；对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。4.2.1建立ISMS准备『适用性声明（SoA）』4.2.2

实施和运作ISMS…4.2.2实施和运作ISMS…4.3.1一般文件要求文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。4.3.1一般文件要求文件应包括管理决定的记录，以确保所采取4.3.1一般文件要求ISMS文件应包括：形成文件的ISMS方针[见4.2.1b）]和目标；ISMS的范围[见4.2.la）]；支持ISMS的规程和控制措施；风险评估方法的描述[见4.2.1c）]；风险评估报告[见4.2.1c）到4.2.1g）]；风险处理计划[见4.2.2b）]；组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c））；本标准所要求的记录（见4.3.3）；适用性声明。4.3.1一般文件要求ISMS文件应包括：4.3.2文件控制ISMS所要求的文件应予以保护和控制。应编制形成文件的规程，以规定以下方面所需的管理措施：在文件发布前得到批准，以确保文件是适当的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用处可获得适用文件的有关版本；确保文件保持清晰且易于识别；确保文件对需要的人员可用，并依照文件适用的类别规程进行传输、贮存和最终销毁；确保外来文件得到识别；确保文件分发得到控制；防止作废文件的非预期使用；若因任何目的而保留作废文件时，对这些文件进行适当的标识。4.3.2文件控制ISMS所要求的文件应予以保护和控制。应编4.3.3记录控制应建立记录并加以保持，以提供符合ISMS要求和有效运行的证据。应对记录加以保护和控制。ISMS的记录应考虑相关的法律法规要求和合同义务。记录应保持清晰，易于识别及检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。4.3.3记录控制应建立记录并加以保持，以提供符合ISMS5.1管理层承诺管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据：制定ISMS方针；确保ISMS目标和计划得以制定；建立信息安全的角色和职责；向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS（见5.2.1）；决定接受风险的准则和风险的可接受级别；确保ISMS内部审核的执行（见第6章）；实施ISMS的管理评审（见第7章）。5.1管理层承诺管理者应通过以下活动，对建立、实施、运行、5.2.1

提供资源组织应确定和提供所需资源，以：建立、实施、运行、监视、评审、保持和改进ISMS；确保信息安全规程支持业务要求；识别和满足法律法规要求、以及合同中的安全义务；通过正确实施所有的控制措施保持适当的安全；必要时，进行评审，并适当响应评审的结果；在需要时，改进ISMS的有效性。5.2.1提供资源组织应确定和提供所需资源，以：5.2.2

培训、意识和能力组织应通过以下方式，确保所有分配有ISMS职责的人员具有执行所要求任务的能力：确定从事影响ISMS工作的人员所必要的能力；提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求；评价采取的措施的有效性；保持教育、培训、技能、经历和资格的记录（见4.3.3）。组织也要确保所有相关人员意识到他们信息安全活动的相关性和重要性，以及如何为达到ISMS目标做出贡献。5.2.2培训、意识和能力组织应通过以下方式，确保所有分配6.0

内部ISMS审核组织应按照计划的时间间隔进行ISMS内部审核，以确定其ISMS的控制目标、控制措施、过程和规程是否：符合此标准和有关法律法规的要求；符合已确定的信息安全要求；得到有效地实施和保持；按预期执行。应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。方案应规定审核的准则、范围、频次和方法。6.0内部ISMS审核组织应按照计划的时间间隔进行ISMS6.0

内部ISMS审核审核员的选择和审核的实施应确保审核的客观性和公正性。审核员不应审核自己的工作。策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求应在形成文件的规程中做出规定。负责受审区域的管理者应确保及时采取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。6.0内部ISMS审核审核员的选择和审核的实施应确保审核的7.1

管理评审—总则管理者应按计划的时间间隔（至少每年1次）评审组织的ISMS以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要，包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件，记录应加以保持（见4.3.3）。7.1管理评审—总则管理者应按计划的时间间隔（至少每年1次7.2

评审的输入评审的输入应包括：ISMS审核和评审的结果；相关方的反馈；组织用于改进ISMS执行情况和有效性的技术、产品或规程；预防和纠正措施的状况；以往风险评估没有充分强调的脆弱点或威胁；有效性测量的结果；以往管理评审的跟踪措施；可能影响ISMS的任何变更；改进的建议。7.2评审的输入评审的输入应包括：7.3

评审的输出管理评审的输出应包括与以下方面有关的任何决定和措施：ISMS有效性的改进。风险评估和风险管理计划的更新。必要时修改影响信息安全的规程和控制措施，以响应内部或外部可能影响ISMS的事态，包括以下的变更：业务要求；安全要求；影响现有业务要求的业务过程；法律法规要求；合同要求；风险级别和/或接受风险的准则。资源需求。控制措施有效性测量方法的改进。7.3评审的输出管理评审的输出应包括与以下方面有关的任何决8.1

持续改善组织应利用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审（见第7章），持续改进ISMS的有效性。8.1持续改善组织应利用信息安全方针、安全目标、审核结果、8.2

纠正措施组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。形成文件的纠正措施规程，应规定以下方面的要求：识别不符合；确定不符合的原因；评价确保不符合不再发生的措施需求；确定和实施所需要的纠正措施；记录所采取措施的结果（见4.3.3）；评审所采取的纠正措施。8.2纠正措施组织应采取措施，以消除与ISMS要求不符合的8.3

预防措施组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施规程，应规定以下方面的要求：识别潜在的不符合及其原因；评价防止不符合发生的措施需求；确定和实施所需要的预防措施；记录所采取措施的结果（见4.3.3）；评审所采取的预防措施。组织应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。预防措施的优先级要根据风险评估的结果确定。第四章——第八章不允许删减8.3预防措施组织应确定措施，以消除潜在不符合的原因，防止本标准必需的文件化的规程文件控制

4.3.2

记录控制

4.3.3

内审

6.0纠正措施

8.2预防措施

8.3「组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c））；」4.3.1g

（程序）本标准必需的文件化的规程文件控制4.3.2（程序）本标准必需的记录影响ISMS有效性或执行情况的措施和事态的记录4.2.3

h培训记录

5.2.2

d内审记录

6.0管理评审记录7.1纠正措施

8.2

e预防措施

8.3

d4.3.1h：「本标准所要求的记录」本标准必需的记录影响ISMS有效性或执行情况的措施和事态的记认证标准-要求附录条款A.5安全方针A.8人力资源安全A.7资产管理A.11访问控制A.12信息系统

获取、开发和维护A.13信息安全事件管理A.14业务连续性管理A.6信息安全组织A.9物理和环境安全A.10通信和操作管理A.15符合性认证标准-要求附录条款A.5A.8A.7A.11A.12A认证标准-要求附录条款5.0安全方针信息安全方针信息安全方针文件信息安全策略评审6.0信息安全组织内部组织信息安全的管理承诺信息安全协调信息安全职责的分配信息处理设施的授权过程保密性协议与政府部门的联系与特定利益集团的联系信息安全的独立评审外部各方与外部各方相关风险的识别处理与顾客有关的安全问题处理第三方协议中的安全问题认证标准-要求附录条款5.0安全方针6.0信息安全组织认证标准-要求附录条款7.0资产管理资产的责任资产清单资产责任人资产的可接受使用信息分类分类指南信息的标记和处理8.0人力资源安全任用之前角色和职责审查任用条款和条件任用中管理职责信息安全意识、教育和培训纪律处过程任用的终止或变化终止职责资产的归还撤销访问权认证标准-要求附录条款7.0资产管理8.0人力资源安全认证标准-要求附录条款9.0

物理和环境安全安全区域物理安全周边物理入口控制办公室、房间和设施的安全保护外部和环境威胁的安全防护在安全区域工作公共访问、交接区安全设备安全设备安置和保护支持性设施布缆安全设备维护组织场所外的设备安全安全的安全处置和再利用资产的移动认证标准-要求附录条款9.0物理和环境安全认证标准-要求附录条款10.0

通信和操作管理操作规程和职责文件化的操作规程变更管理责任分割开发、测试及运行设施分离第三方服务交付管理服务交付第三方服务的监视和评审第三方服务的变更管理系统规划和验收容量管理系统验收防范恶意和移动代码控制恶意代码控制移动代码备份信息备份网络安全管理网络控制网络服务安全介质处置可移动介质的管理介质的处置信息处理规程系统文件安全认证标准-要求附录条款10.0通信和操作管理认证标准-要求附录条款信息交换信息交换策略和规程交换协议运输中的物理介质电子消息发送业务信息系统电子商务服务电子商务在线交易公共可用信息监视审计记录

监视系统的使用日志信息的保护管理员和操作员日志故障日志时钟同步

认证标准-要求附录条款信息交换监视认证标准-要求附录条款11.0

访问控制访问控制的业务需求访问控制策略用户访问管理用户注册特殊权限管理用户口令管理用户访问权复查用户职责口令使用无人值守的用户设备清空桌面和屏幕策略网络访问控制使用网络服务的策略

外部连接的用户鉴别网络上的设备标识远程诊断和配置端口的保护网络隔离网络连接控制网络路由控制

操作系统访问控制安全的登录规程

用户标识和鉴别口令管理系统系统系统工具的使用会话超时联机时间的限定认证标准-要求附录条款11.0访问控制认证标准-要求附录条款应用和信息访问控制信息访问限制敏感系统隔离移动计算及过程工作移动计算和通信远程工作认证标准-要求附录条款应用和信息访问控制认证标准-要求附录条款12.0信息系统获取、开发及维护信息系统的安全要求安全要求分析和说明应用中正确的处理输入数据确认内部处理的控制消息完整性输出数据确认密码控制使用密码控制的策略密钥管理系统文件的安全运行软件的控制系统测试数据的保护对程序源代码的访问控制开发和支持过程的安全变更控制规程操作系统变更后应用的技术评审软件包变更的限制信息泄漏外包软件开发技术脆弱性管理技术脆弱性的控制认证标准-要求附录条款12.0信息系统获取、开发及维护认证标准-要求附录条款13.0信息安全事件和改进的管理报告信息安全事态及弱点报告信息安全事态报告信息安全弱点报告安全事件及改善职责与规程对信息安全事件的总结证据的收集14.0业务连续性管理业务连续性管理的信息安全方面在业务连续性管理过程中包含信息安全业务连续性和风险评估制定和实施包含信息安全的连续性计划业务连续性计划框架测试、维护和再评估业务连续性计划认证标准-要求附录条款13.0信息安全事件和改进的管理14认证标准-要求附录条款15.0符合性符合法律要求可用法律的识别知识产权(IPR)保护组织的记录数据保护和个人信息的隐私防止滥用信息处理设施密码控制措施的规则符合安全策略和标准以及技术符合性符合安全策略和标准技术符合性核查信息系统审计考虑信息系统审计控制措施信息系统审计工具的保护认证标准-要求附录条款15.0符合性可做为主要良好的起点从法律的观点看，对某个组织重要的控制措施包括，根据适用的法律：数据保护和个人信息的隐私（见A.15.1.4）；保护组织的记录（见A.15.1.3）；知识产权（见A.15.1.2）。被认为是信息安全的常用惯例的控制措施包括：信息安全方针文件（见A.5.1.1）；信息安全职责的分配（见A.6.1.3）；信息安全意识、教育和培训（见A.8.2.2）；应用中的正确处理（见A.12.2）；技术脆弱性管理（见A.12.6）；业务连续性管理（见A.14）；信息安全事件和改进的管理（见A.13.2）。可做为主要良好的起点从法律的观点看，对某个组织重要的控制措施与ISO9001/ISO14001的相似之处PDCA方法

—“策划控制监控改善”方法其它要求相似：文件控制记录控制内审纠正措施预防措施ISMS与EMS可以作为全面质量管理系统的一部分进行实施与ISO9001/ISO14001的相似之处PDCA方法标准与ISO9001、ISO14001的关系（1）标准与ISO9001、ISO14001的关系（1）标准与ISO9001、ISO14001的关系（2）本标准ISO9001:2000ISO14001:20044信息安全管理体4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS4.2.4保持和改进ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.3记录控制4质量管理体系4.1总要求8.2.3过程的监视和测量8.2.4产品的监视和测量4.2文件要求4.2.1总则4.2.2质量手册4.2.3文件控制4.2.4记录控制4EMS要求4.1总要求4.4实施和运行4.5.1监视和测量4.5.2不合格和纠正与预防措施4.4.5文件控制4.5.4记录控制标准与ISO9001、ISO14001的关系（2）本标准IS标准与ISO9001、ISO14001的关系（3）标准与ISO9001、ISO14001的关系（3）标准与ISO9001、ISO14001的关系（4）标准与ISO9001、ISO14001的关系（4）IntegratedAssessmentService(IAS)IntegratedManagementRegistration(IMR)CombinedAuditService(CAS)9001140012700190011400127001IMR组合的管理体系vs.整合管理体系理体系IntegratedAssessmentService(法规及其他要求客户需求环境因素及影响信息安全风险识别评估方针目标计划程序/WI实施检查/检验/审核纠正与预防措施管理评审改进计划计划实施检查改进整合管理体系的思维模式法规及其他要求客户需求环境因素及影响信息安全风险识别评估方针技术要求：ISO9001——顾客的需求（产品质量标准）ISO14001——法律、法规及其他要求是组织管理体系的组成部分具有相同的管理思想——过程控制——文件化15ISO27001——信息安全风险ISO14001、ISO27001与ISO9001关系技术要求：ISO9001——顾客的需求（产品质量标准）ISO都是自愿性的国际标准遵循相同的管理系统原理，要求文件化体系通过体系建立、运行和改进实现方针和目标体系结构和模式接近，PDCA循环实现改进部分要素相同都可能成为贸易的条件，消除贸易壁垒16ISO14001、ISO27001与ISO9001的联系都是自愿性的国际标准遵循相同的管理系统原理，要求文件化体系通必要性一体化减少工作量，重复和矛盾，提高管理效能同时审核降低审核成本，提高企业申请积极性为新的管理体系提供兼容经验，实现一体化管理可行性符合企业愿望和要求符合技术委员会制定标准的指导思想ISO正在制定共同的审核标准具有相似的结构17EMS、ISMS与QMS的兼容必要性一体化减少工作量，重复和矛盾，提高管理效能同时审核降低角色权责明确划分单一系统较易被员工接受使用共通程序，简化作业共用系统资源，提高效率整合验证，节省认证时间与经费19系统整合的优点角色权责明确划分单一系统较易被员工接受使用共通程序，简化作业文件编写步骤1.风险评估相关文件风险评估程序范围、方针、目标、处理计划2.适用性声明3.哪些文件可直接使用4.哪些文件可修改后使用(如与其它管理体系共用)5.哪些文件需要编写，结构是怎么样的？6.编写计划是怎么样的？7.检查是否符合SOA和风险处理计划编写前准备---确定编写人员及总协调人员

---分配职能权限，确定部门关系

组织编写----拟定文件清单

----确定文件格式，统一风格

----制定编写进度表

----原有资料的收集和分析

----现状的了解和分析编写审查批准----格式审查

----内容审查

----会议评审文件编写步骤1.风险评估相关文件编写前准备---确定编写人文件编写步骤编写前准备---确定编写人员及总协调人员

---分配职能权限，确定部门关系

组织编写----拟定文件清单

----确定文件格式，统一风格

----制定编写进度表

----原有资料的收集和分析

----现状的了解和分析编写审查批准----格式审查

----内容审查

----会议评审文件编写步骤编写前准备---确定编写人员及总协调人员练习对我们公司，文件编写的顺序应该是怎么样的？请举例说明各步骤的内容。设施维护管理程序编写步骤2.信息安全事件管理程序练习对我们公司，文件编写的顺序应该是怎么样的？ISMS文件方针范围风险评价适用性声明描述过程：5W1H描述任务及具体的活动如何完成提供符合ISMS条款4.3.3要求的客观证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表、表格记录ISMS文件方针范围描述过程：5W1H描述任务及具体的活ISMS文件第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHY、WHAT、WHEN、WHERE、HOW”以及部门间的控制方法；可以按照ISO27001顺序，也可按照过程顺序；引用下一层次文件ISMS文件第一层次（安全手册）：管理框架概要，包括信息ISMS文件第三层次：解释具体任务或活动的细节—如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是各个ISO27001条款隐含的要求。例如：访问者登记簿、审核记录、访问的授权。ISMS文件第三层次：解释具体任务或活动的细节—如何执行形成文件的ISMS的益处对外增强顾客信心和满意改善对安全方针及要求的符合性提高竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力形成文件的ISMS的益处对外中国的信息安全法律、法规中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全管理办法互联网信息服务管理办法互联网上网服务营业场所管理条例计算机病毒防治管理办法互联网电子邮件服务管理办法/n11293472/n11293832/n11294402/index.html

/n11293472/n11293832/n11294042/index.html

中国的