信息安全管理基础知识

信息安全管理基础中国信息安全测评中心CISP-09-信息安全管理基础2007年7月.目录信息安全基础知识信息安全管理与信息系统安全保障信息安全管理体系标准概述信息安全管理体系方法.课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤.一、信息安全管理基础.目录信息安全基础知识信息安全管理与信息系统安全保障信息安全管理体系标准概述信息安全管理体系方法.1.信息安全基础知识1.1信息安全的基本概念1.2为什么需要信息安全1.3实践中的信息安全问题1.4信息安全管理的实践经验.

请思考：

什么是信息安全？1.1信息安全基本概念.ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等什么是信息？.小问题：你们公司的Knowledge都在哪里？信息在哪里？.什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会.信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。.信息本身信息处理设施信息处理者信息处理过程机密可用完整总结.

请思考：

组织为什么要花钱实现信息安全？1.2为什么需要信息安全.组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求…….法律法规的要求计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定…….信息系统使命的要求信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。。。。.

请思考：

目前，解决信息安全问题，通常的做法是什么？1.3实践中的信息安全问题.“产品导向型”信息安全初始阶段，解决信息安全问题，通常的方法：采购各种安全产品，由产品厂商提供方案；Anti-Virus、Firewall、IDS&Scanner……组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门；更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……管理和服务跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描（Scanner）来代替风险评估有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的态度……“头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的协调也是难题.信息安全管理ISO17799强调：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技术和产品是基础，管理是关键；产品和技术，要通过管理的组织职能才能发挥最好的作用；技术不高但管理良好的系统远比技术高但管理混乱的系统安全；先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要；建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。.1.4信息安全管理的实践经验反映组织业务目标的安全方针、目标和活动；符合组织文化的安全实施方法；管理层明显的支持和承诺；安全需求、风险评估和风险管理的正确理解；有效地向所有管理人员和员工推行安全措施；向所有的员工和签约方提供本组织的信息安全方针与标准；提供适当的培训和教育；一整套用于评估信息安全管理能力和反馈建议的测量系统.二、信息安全管理与信息系统安全保障.目录信息安全基础知识信息安全管理与信息系统安全保障信息安全管理体系标准概述信息安全管理体系方法.2、信息安全管理与信息系统安全保障信息系统的使命信息系统安全保障－模型信息系统安全保障－框架信息系统安全保障－生命周期的保证信息安全管理模型信息安全管理与信息系统安全保障的关系.信息系统的使命资产可能意识到引起增加利用导致威胁主体威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到使命希望完成到可能阻碍或破坏.信息系统安全保障－模型技术过程管理人员保证对象生命周期信息特征计划组织开发采购实施交付运行维护废弃机密性完整性可用性技术过程管理人员保障要素生命周期安全特征初始化开发采购实施运行维护废弃机密性完整性可用性.信息系统安全保障－框架技术准则技术准则技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程能力成熟度级别工程能力成熟度级别信息系统安全保障评估信息系统安全保障评估XX信息系统安全保障要求（ISPP）XX信息系统安全保障要求（ISPP）XX信息系统安全保障目标（ISST）XX信息系统安全保障目标（ISST）信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障能力级ISAL评定信息系统安全保障能力级ISAL评定技术准则技术准则技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程能力成熟度级别工程能力成熟度级别信息系统安全保障评估信息系统安全保障评估XX信息系统安全保障要求（ISPP）XX信息系统安全保障要求（ISPP）XX信息系统安全保障目标（ISST）XX信息系统安全保障目标（ISST）信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障能力级ISAL评定信息系统安全保障能力级ISAL评定.信息系统安全保障－生命周期的保障变更应用于系统计划组织开发采购实施交付运行维护废弃建立使命要求建立使命要求审阅业务要求系统需求分析定义运行需求系统体系设计项目与预算管理两种类型：

开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保证（管理/维护/使用人员）人员保证（管理人员）人员保证（实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）保障要素信息系统生命周期.信息系统安全保障－管理模型.信息安全管理与信息系统安全保障的关系信息系统安全保障三大部分：技术保障过程保障管理保障信息安全管理是信息系统安全保障的三大部分之一：管理保障信息安全管理涉及到系统的整个生命周期.三、信息安全管理体系标准概述.目录信息安全基础知识信息安全管理与信息系统安全保障信息安全管理体系标准概述信息安全管理体系方法.3.信息安全管理体系标准概述3.1信息安全标准介绍3.2ISO177993.3ISO17799的历史及发展3.4ISO17799:2005的内容框架3.5ISO27001:2005的内容框架.3.1信息安全标准介绍

信息安全标准管理体系标准.信息安全标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMMISO15408（GB/T18336-2001）ISO17799.ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构由ISO/ICEJTC1/SC21完成1982年开始，1988年结束，ISO发布了ISO7498-2给出了基于OSI参考模型的7层协议上的安全体系结构其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的5大类安全服务，以及提供这些服务的8大类安全机制及相应的安全管理，并可根据具体系统适当的配置于OSI模型的7层协议中。.ISO7498-2－安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型.ISO13335IT安全管理分为5个部分：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和规划ISO/IECTR13335-3：管理技术ISO/IECTR13335-4：安全措施的选择ISO/IECTR13335-5：网络安全性的管理指导由ISO/IECJTC1/SC27完成.SSE-CMM信息系统安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于软件工程；1993年4月，由美国NSA资助，安全业界、DOD、加拿大通信安全机构共同组成项目组，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系统安全的工程组织、采购组织和评估机构5个能力级别，11个过程区2003年，出版了.5个能力级别：

1级：非正式执行级

2级：计划和跟踪级

3级：充分定义级

4级：量化控制级

5级：持续改进级

代表安全工程组织的成熟度级别11个过程区：

PA01管理安全控制

PA02评估影响

PA03评估安全风险

PA04评估威胁

PA05评估脆弱性

PA06建立保证论据

PA07协调安全

PA08监视安全态势

PA09提供安全输入

PA10指定安全要求

PA11验证和证实安全性

SSE-CMM信息系统安全工程能力成熟度模型（续）.ISO15408(GB/T18336)信息技术安全性评估准则通常简称CC－通用准则，ISO15408:1999，GB/T18336:2001;定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；分为3个部分：第一部分：简介和一般模型第二部分：安全功能要求第三部分：安全保证要求.管理体系标准ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业安全卫生管理体系标准BS7799信息安全管理体系标准ISO17799信息安全管理实施细则.

ISO/IEC17799:2005

Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement信息技术－信息安全管理实施细则

3.2ISO/IEC17799:2005.

历史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的历史及发展.BSI简介BSI英国标准协会英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准ISO9000（质量管理体系）ISO14001（环境管理体系）OHSAS18001（职业健康与安全管理体系）QS-9000/ISO/TS16949（汽车供应行业的质量管理体系）TL9000（电信供应行业的质量管理体系）BS7799。.IUG：InternationalUserGroup1997年成立宗旨

促进ISO17799/BS7799的应用和推广促进对信息安全管理体系标准、认证等的理解，服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

.ISO17799被各国或地区采用的情况EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中国.ISO17799在中国国内从2000年初开始认识ISO17799/BS7799；2000年初开始，国内一些公司和单位进行BS7799的研究和相关课程培训；2002－2003年，我国已经提出了国标化的计划；2005年，GB/T19716MODISO/IEC17799：2000.ISO/IEC17799/BS7799的发展趋势2005年6月ISO/IEC17799:20052005年底BS7799-2转化为ISO/IEC27001原定为ISO/IEC247432005年12月BS7799-3:2005信息安全风险管理指南2006~2007年ISO/IEC27000系列标准.ISO/IEC17799:20052000版本2005版本安全方针安全方针安全组织组织信息安全资产分类与控制资产管理人员安全人力资源安全物理和环境安全物理和环境安全通讯和运行管理通讯和运行管理访问控制访问控制系统开发和维护信息系统的获得、开发和维护信息安全事故管理业务持续性管理业务持续性管理符合性符合性.ISO/IEC17799:2005修改了控制目标增加了8个新的重新编排5个修改了控制措施保留了116个修改了9个新增17个.ISO/IEC27000系列ISO/IEC27000原理与词汇ISO/IEC27001ISMS要求ISO/IEC27002信息安全管理实施细则ISO/IEC27003ISMS测量与审核ISO/IEC27004ISMS实施指南ISO/IEC27005信息安全风险管理指南…BS7799-2ISO/IEC17799BS7799-3.3.4ISO17799:2005的内容框架Foreword(ISO前言)Introduction(引言)Scope(范围)TermandDefinitions(术语和定义)StructureAndThisStandard（标准的架构）RiskAssessmentAndTreatment（风险的评估和处理）5.～15.详细控制目标和控制措施.3.4ISO17799:2005的内容框架(续)Introduction(引言)什么是信息安全为何需要信息安全如何建立安全需求评估安全风险选择控制措施信息安全起点成功的关键因素制定组织自身的指导方针.SECURITYPOLICY

安全方针ORGANIZATIONOFINFORMATIONSECURITY

信息安全组织ASSETMANAGEMENT

资产管理HUMANRESOURCESSECURITY

人力资源安全PHYSICALANDENVIRONMENTALSECURITY

物理和环境安全COMMUNICATIONSANDOPERATIONSMANAGEMENT

通信和运行管理ACCESSCONTROL

访问控制INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE

系统的获取、开发和维护INFORMATIONSECURITYINCIDENTMANAGEMENT

信息安全故事管理BUSINESSCONTINUITYMANAGEMENT业务连续性管理COMPLIANCE

符合性3.4ISO17799:2005的内容框架(续).十一类控制措施一、安全方针(SECURITYPOLICY)（1,2）（附注）二、信息安全组织(ORGANIZATIONOFINFORMATIONSECURITY)(2,11)三、资产管理(ASSETMANAGEMENT)(2,5)四、人力资源安全(HUMANRESOURCESSECURITY)(3,9)五、物理和环境安全(PHYSICALANDENVIRONMENTAL

SECURITY)(2,13)六、通信和运行管理(COMMUNICATIONSANDOPERATIONSMANAGEMENT)(10,32)八、系统的获取、开发和维护(INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE)(6,16)七、访问控制(ACCESSCONTROL)(7,25)九、

信息安全故事管理(INFORMATIONSECURITYINCIDENTMANAGEMENT)(2,5)十、业务连续性管理(BUSINESSCONTINUITYMANAGEMENT)(1,5)十一、符合性(COMPLIANCE)(3,10)附注：(m，n)－m：执行目标的数目n：控制方法的数目.十一类控制措施(续)ISO17799包含了39个控制目标和133个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人.11类39个目标133项措施但这决不是全部！！！十一类控制措施(续).

ISO17799:2005推荐了十个控制措施作为信息安全的起始点（StartingPoint），组织可以此为基础建立ISMS。这些控制措施在大多数情况下是普遍适用的。基本控制措施.与法律有关的控制措施15.1.4数据保护和个人隐私15.1.3组织记录的保护15.1.2知识产权基本控制措施－与法律相关的.与最佳实践有关的控制措施5.1.1信息安全方针6.1.3信息安全责任分配8.2.2信息安全教育与培训12.2应用的正确处理12.6技术性脆弱性的管理业务连续性管理13.2安全事件和整改管理

基本控制措施－与最佳实践相关的.3.5ISO27001:2005的内容框架ISO27001：2005

信息技术-安全技术信息安全管理体系要求.

3.5ISO27001:2005的内容框架ISO前言

简介1.范围2.引用标准3.术语和定义4.信息安全管理体系5.管理职责内部审核管理评审改进附录A控制目标和控制措施.3.5ISO27001:2005的内容框架(续)4.信息安全管理体系4.1总要求4.2建立并管理ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.2记录控制.

5.管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训,意识和能力

3.5ISO27001:2005的内容框架(续).3.5ISO27001:2005的内容框架(续)6.ISMS内部审核7.ISMS管理评审7.1总则7.2评审输入7.2评审输出.

8.ISMS改进8.1持续改进8.2纠正措施8.3预防措施3.5ISO27001:2005的内容框架(续).3.5ISO27001:2005的内容框架(续)附录A控制目标和控制措施直接引用了ISO/IEC17799:2005第5到第15章39个控制目标133个具体的控制措施.四、信息安全管理体系方法.目录信息安全基础知识信息安全管理与信息系统安全保障信息安全管理体系标准概述信息安全管理体系方法.4.

信息安全管理体系方法4.1什么是ISMS4.2ISMS的重要原则4.3ISMS的实现方法.

什么是ISMS

ISMS：

InformationSecurityManagementSystem

信息安全管理体系ISO9000-2000术语和定义组织organization职责、权限和相互关系得到安排的一组人员及设施,如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程。.信息安全管理体系ISMS定义ISMS是：在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源……….要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图信息安全管理体系框图.4.2ISMS的重要原则

4.2.1PDCA循环

4.2.2过程方法

4.2.3其它重要原则.PDCA循环：Plan—Do—Check—Act计划实施检查改进PDAC

PDCA循环.4.2.1PDCA循环又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P：计划，方针和目标的确定以及活动计划的制定；

D：执行，具体运作，实现计划中的内容；

C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；

A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。.PDCA循环的特点一

按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环4.2.1PDCA循环.PDCA循环的特点二

组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层一层地解决问题。

4.2.1PDCA循环.PDCA循环的特点三每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090改进执行计划检查CADP达到新的水平改进(修订标准)维持原有水平90909090改进执行计划检查CADP4.2.1PDCA循环.

过程方法定义ISO9000-2000术语和定义过程：一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为“过程方法”。.活动测量、改进责任人资源记录输入输出过程方法模型：.

信息安全管理过程方法信息安全实现是一个大的过程；信息安全实现过程的每一个活动也是一个过程；识别组织实现信息安全的每一个过程；对每一个信息安全过程的实施进行监控和测量；改进每一个信息安全过程。

.制定信息安全方针确定ISMS的范围安全风险评估风险管理选择控制目标和控制措施准备适用声明实施测量、改进安全需求安全信息安全管理的过程网络.信息安全管理的过程网络将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程，也可用于整个过程网络.领导重视√指明方向和目标√权威√预算保障，提供所需的资源√监督检查√组织保障

其它重要原则－领导重视.

全员参与√信息安全不仅仅是IT部门的事；√让每个员工明白随时都有信息安全问题；√每个员工都应具备相应的安全意识和能力；√让每个员工都明确自己承担的信息安全责任；

其它重要原则－全员参与.持续改进√信息安全是动态的，时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全目标的循环活动

其它重要原则－持续改进.文件化√文件的作用：有章可循，有据可查√文件的类型：手册、规范、指南、记录

其它重要原则－文件化

沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用：有章可循，有据可查.

文件的类型：手册、规范、指南、记录

-

手册：向组织内部和外部提供关于信息安全管理体系的一致信息的文件

-

规范：阐明要求的文件

-

指南：阐明推荐方法和建议的文件

-

记录：为完成的活动或达到的结果提供客观证据的文件文件化

其它重要原则－文件化.4.3ISMS的实现方法4.3.1ISMS总则4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录.

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

组织应该建立并运行一套文件化的ISMS

确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要达到的安全保证程度

3.1General(总则)

4.3.1ISMS总则.

建设ISMS的步骤：如下图

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架.制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件4.3.2建立ISMS框架.信息安全方针

一、目的：信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理，二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视，第一步制订信息安全方针组织应定义信息安全方针。BS7799-2对ISMS的要求：4.3.2建立ISMS框架.什么是信息安全方针？信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。

信息安全方针第一步制订信息安全方针4.3.2建立ISMS框架.第一步制订信息安全方针要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审信息安全方针4.3.2建立ISMS框架.目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。第一步制订信息安全方针4.3.2建立ISMS框架.信息安全方针的内容

包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件第一步制订信息安全方针4.3.2建立ISMS框架.注意事项简单明了易于理解可实施避免太具体第一步制订信息安全方针4.3.2建立ISMS框架.第二步确定ISMS范围组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。

BS7799-2对ISMS的要求：4.3.2建立ISMS框架.可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。第二步确定ISMS范围4.3.2建立ISMS框架.文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义第二步确定ISMS范围ISMS范围文件：4.3.2建立ISMS框架.第三步风险评估组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。BS7799-2对ISMS的要求：4.3.2建立ISMS框架.是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？第三步风险评估4.3.2建立ISMS框架.第四步风险管理组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。BS7799-2对ISMS的要求：4.3.2建立ISMS框架.根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。第四步风险管理4.3.2建立ISMS框架.是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？第四步风险管理4.3.2建立ISMS框架.第五步选择控制目标和控制措施组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。BS7799-2对ISMS的要求：4.3.2建立ISMS框架.安全问题安全需求控制目标控制