XXXXCIS信息安全管理基础与管理体系-v

信息安全管理基础与管理体系培训机构名称讲师姓名版本：3.0发布日期：2014-12-1生效日期：2015-1-1课程内容2信息安全管理基础知识体知识域信息安全管理方法与实施知识子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理实施信息安全管理概述知识域：信息安全管理概述知识子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的对象理解以建立体系的方式实施信息安全管理的必要性理解体系、管理体系、信息安全管理体系的概念3信息安全管理的定义信息信息安全管理信息安全管理4管理、信息安全管理管理 指挥和控制组织的协调的活动。

（--

ISO9000:2005质量管理体系基础和术语）

管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。

信息安全管理 管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。5信息安全管理的对象6信息安全管理的对象：包括人员在内的各类信息相关资产。

规则

人员目标组织以建立体系的方式实施信息安全管理的必要性7信息安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施信息安全管理体系的定义体系管理体系信息安全管理体系8信息安全管理体系的定义体系：相互关联和相互作用的一组要素。

（--

ISO9000:2005质量管理体系基础和术语）管理体系： 建立方针和目标并达到目标的体系。 （--

ISO9000:2005质量管理体系基础和术语）

为达到组织目标的策略、程序、指南和相关资源的框架。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）信息安全管理体系(ISMS：Information

Security

Management

System)：

整体管理体系的一部分，基于业务风险的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）

建立信息安全方针和目标并达到这些目标的体系。 为达到组织信息安全目标的策略、程序、指南和相关资源的框架。910信息安全管理体系，包括的要素有：信息安全组织架构信息安全方针信息安全规划活动信息安全职责信息安全相关的实践、规程、过程和资源......这些要素既相互关联又相互作用信息安全管理体系的构成要素信息安全管管理体系的的特点信息安全管管理体系要求组织通过确定信息安全管管理体系范范围，制定信息安全方方针，明确管理职责，，以风险评评估为基础础选择控制制目标和措措施等一系系列活动来建立信息安全管管理体系体系的建立立基于系统、全面面、科学的的信息安全全风险评估估，体现以预防控制制为主的思思想，强调遵守国家有有关信息安安全的法律律、法规及及其他合同同方面的要要求强调全过程和动动态控制，，本着控制费用与与风险平衡衡的原则合合理选择安安全控制方方式；强调保护组织所所拥有的关关键性信息息资产，而而不是全部部信息资产产，确保信息的保密密性、完整整性和可用用性，保持组织的竞争争优势和业业务的持续续性1112狭义的信息安全管管理体系：指按照ISO27001标准定义的的ISMS广义的信息息安全管理理体系：泛指任何一一种有关信信息安全的的管理体系系狭义和广义义的信息安全全管理体系系知识域：信信息安全管管理概述知识子域：：信息安安全管理作作用理解信息安安全管理的的重要作用用理解信息安安全管理体体系的作用用理解实施信信息安全管管理的关键键成功因素素13信息安全管管理的作用用14（一）信息安全管管理是组织织整体管理理的重要、、固有组成成部分，是是组织实现现其业务目目标的重要要保障15信息系统是人机交互系统设备的有效效利用是人人为的管理理过程信息安全管管理的作用用应对风险需需要人为的的管理过程程信息安全管管理的作用用如今，信息安全问问题已经成成为组织业业务正常运运营和持续续发展的最最大威胁信息安全问问题本质上上是人的问问题，单凭凭技术是无无法实现从从“最大威威胁”到““最可靠防防线”转变变的实现信息安安全是一个个多层面、、多因素的的过程，也取决于制制定信息安安全方针策策略标准规规范、建立立有效的监监督审计机机制等多方方面非技术术性努力如果组织想想当然地制制定一些控控制措施和和引入某些些技术产品品，难免存存在挂一漏漏万、顾此此失彼的问问题，使信信息安全这这只“木桶桶”出现若若干“短板板”，从而而无法提高高信息安全全水平16信息安全管管理的作用用信息安全管管理，是组组织完整的的管理体系系中一个重重要的环节节，它构成成了信息安安全具有能动性性的部分理解并重视视管理对于于信息安全全的关键作作用，制定定适宜的、、易于理解解、方便操操作的安全全策略对实实现信息安安全目标、、进而实现现业务目标标至关重要要组织建立一一个管理框框架，让好好的安全策策略在这个个框架内实实施，并不不断得到修修正，才可可能为业务务的正常持持续运作提提供可靠的的信息安全全保障17信息安全管管理的作用用18（二）信息安全管管理是信息息安全技术术的融合剂剂，保障各各项技术措措施能够发发挥作用信息安全管理理的作用19如果你把钥匙匙落在锁眼上上会怎样？技术措施需要要配合正确的的使用才能发发挥作用保险柜就一定定安全吗？20WO!3G精心设计的网网络防御体系系，因违规外外连形同虚设设防火墙能解决决这样的问题题吗？信息安全管理理的作用解决信息安全全问题，成败败通常取决于于两个因素，，一个是技术术，另一个是是管理安全技术是信信息安全控制制的重要手段段，但光有安安全技术还不不行，要让安安全技术发挥挥应有的作用用，必然要有有适当的管理理程序，否则则，安全技术术只能趋于僵僵化和失败说安全技术是是信息安全的的构筑材料，，信息安全管管理就是粘合合剂和催化剂剂技术和产品是是基础，管理理才是关键产品和技术，，要通过管理理的组织职能能才能发挥最最佳作用信息安全管理理的作用21技术不高但管管理良好的系系统远比技术术高超但管理理混乱的系统统安全只有将有效的的安全管理从从始至终贯彻彻落实于安全全建设的方方方面面，信息息安全的长期期性和稳定性性才能有所保保证根本上说，信信息安全是个个管理过程，，而不是技术术过程信息安全管理理的作用3分技术7分管理？人们常说，三三分技术，七七分管理，可可见管理对信信息安全的重重要性22信息安全“技技管并重”的的原则对于信息安全全，到底是技技术更重要，，还是管理更更重要？强调信息安全全管理，并不不是要削弱信信息安全技术术的作用，开开展信息安全全管理要处理理好管理和技技术的关系技管并重。“坚持管理与与技术并重””是我国加强信息安全全保障工作的的主要原则之之一23信息安全管理理的作用24（三）信息安全管理理能预防、阻阻止或减少信信息安全事件件的发生信息安全管理理的作用统计结果显示示，在所有信信息安全事故故中，只有20%~30%是由于黑客入入侵或其他外外部原因造成成的，70%~80%是由于内部员员工的疏忽或或有意泄密造造成的统计结果表明明，现实世界里大大多数安全事事件的发生和和安全隐患的的存在，与其其说是技术原原因，不如说说是管理不善善造成的因此，防止发发生信息安全全事件不应仅仅从技术着手手，同时更应应加强信息安安全管理25安全不是产品的简单堆堆积，也不是一次性的静态态过程，它是人员、技术、、操作三者紧紧密结合的系统工程，是不断演进进、循环发展展的动态过程。对信息安全的的正确理解26信息安全管理理体系的作用用对内：能够保护关键键信息资产和和知识产权，，维持竞争优优势在系统受侵袭袭时，确保业业务持续开展展并将损失降降到最低程度度建立起信息安全审计计框架，实施施监督检查建立起文档化的信息息安全管理规规范，实现有“法”可依依，有章可循循，有据可查查强化员工的信信息安全意识识，建立良好的安安全作业习惯惯，培育组织的信息安安全企业文化化按照风险管理理的思想建立立起自我持续改进进和发展的信信息安全管理理机制，用最低的成成本，达到可可接受的信息息安全水平，，从根本上保保证业务的持持续性27信息安全管理理体系的作用用对外：能够使各利益相关方方对组织充满信信心能够帮助界定定外包时双方方的信息安全全责任可以使组织更更好地满足客客户或其他组组织的审计要要求可以使组织更更好地符合法法律法规的要要求若通过了ISO27001认证，能够提高组织的公公信度可以明确要求求供应商提高高信息安全水水平，保证数数据交换中的的信息安全28实施信息安全全管理的关键键成功因素(CSF)组织的信息安安全方针和活活动能够反映映组织的业务务目标组织实施信息息安全的方法法和框架与组组织的文化相相一致管理者能够给给予信息安全全实质性的、、可见的支持持和承诺管理者对信息息安全需求、、信息安全风风险、风险评评估及风险管管理有深入理理解向全员和其他相关方方提供有效的的信息安全宣宣传以提升信信息安全意识识向全员和其他相关方方分发并宣贯贯信息安全方方针、策略和和标准管理者为信息息安全建设提提供足够的资资金向全员提供适适当的信息安安全培训和教教育建立有效的信信息安全事件件管理过程建立有效的信信息安全测量量体系29知识域：信息息安全管理方方法与实施知识子域：信信息安全管管理方法理解风险管理理是信息安全全管理的基本本方法，理解解风险评估是是信息安全管管理的基础，，风险处理是信息安全管管理的核心，，理解控制措措施是管理风风险的具体手手段理解过程方法法是信息安全全管理的基本本方法，理解解过程和过程程方法的含义义，理解PDCA模型30风险评估是信信息安全管理理的基础风险评估主要要对ISMS范围内的信息息资产进行鉴鉴定和估价，，然后对信息息资产面对的的各种威胁和和脆弱性进行行评估，同时时对已存在的的或规划的安安全控制措施施进行界定信息安全管理理体系的建立立需要确定信信息安全需求求信息安全需求求获取的主要要手段就是安安全风险评估估信息安全风险险评估是信息息安全管理体体系建立的基基础，没有风风险评估，信信息安全管理理体系的建立立就没有依据据31风险处理是信信息安全管理理的核心风险处理是对对风险评估活活动识别出的的风险进行决决策，采取适适当的控制措措施处理不能能接受的风险险，将风险控控制在可按受受的范围风险评估活动动只能揭示组组织面临的风风险，不能改改变风险状况况只有通过风险险处理活动，，组织的信息息安全能力才才会提升，信信息安全需求求才能被满足足，才能实现其信息安安全目标信息安全管理理的核心就是是这些风险处处理措施的集集合32风险管理是信信息安全管理理的根本方法法33应对风险评估估的结果进行行相应的风险险处理。本质质上，风险处处理的最佳集集合就是信息息安全管理体体系的控制措措施集合梳理出这些风风险控制措施施集合的过程程也就是信息息安全管理体体系的建立过过程周期性的风险险评估与风险险处理活动即即形成对风险险的动态管理理动态的风险管管理是进行信信息安全管理理、实现信息息安全目标、、维持信息安安全水平的根根本方法控制措施是管管理风险的具具体手段34管理风险的具具体手段是控控制措施风险处理时，，需要选择并并确定适当的的控制目标和和控制措施。。只有落实适适当的控制措措施，那些不不可接受的高高风险才能降降低到可以接接受的水平之之内控制措施的类别35从手段来看，可以分为技技术性、管理理性、物理性性、法律性等等控制措施从功能来看，可以分为预预防性、检测测性、纠正性性、威慑性等等控制措施从影响范围来来看，常被分为安安全方针、信信息安全组织织、资产管理理、人力资源源安全、物理理和环境安全全、通信和操操作管理、访访问控制、信信息系统获取取开发和维护护、信息安全全事件管理、、业务连续性性管理和符合合性11个类别/域过程process一组将输入转转化为输出的的相互关联或或相互作用的的活动。(--ISO/IEC27000:2009、ISO9000:2005)过程方法processapproach一个组织内诸诸过程的系统统的运用，连连同这些过程程的识别和相相互作用及其其管理，可称称之为“过程程方法”。(--ISO/IEC27001:2005)系统地识别和和管理组织所所应用的过程程，特别是这这些过程之间间的相互作用用，称为“过程方法”。(--ISO9000:2005)过程、过程方方法的概念36过程方法示意意图活动测量、改进责任人资源记录输入输出过程方法37·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营活动测量、改进资源记录过程的分解过程和子过程程的每一个方方面都是受控控的，过程的的输出才是有有保障的输出责任人输入38A规划实施检查处置PDCPDCA循环39PDCA循环环40PDCA也称“戴明环环”，由美国国质量管理专专家戴明提出出P（Plan）：计划，确定方方针和目标，，确定活动计计划D（Do）：实施，实际去去做，实现计计划中的内容容C（Check）：检查，总结执执行计划的结结果，注意效效果，找出问问题A（Act）：行动，对总结结检查的结果果进行处理，，成功地经验验加以肯定并并适当推广、、标准化；失失败的教训加加以总结，以以免重现；未未解决的问题题放到下一个个PDCA循环41特点一：按顺序进行，，它靠组织的的力量来推动动，像车轮一一样向前进，，周而复始，，不断循环9090处置实施规划检查CADP特点二：组组织中的每个个部分，甚至至个人，均可可以PDCA循环，大环套套小环，一层层一层地解决决问题特点三：每通过一次PDCA循循环，都要进进行总结，提提出新目标，，再进行第二二次PDCA循环90909090处置实施规划检查CADP达到新的水平改进(修订标准)维持原有水平90909090处置实施规划检查CADPPDCA循环的特征与与作用PDCA循环环，能够提供供一种优秀的的过程方法，，以实现持续续改进遵循PDCA循环，能使任何一项项活动都有效效地进行PDCA循环的作用42知识域：信息息安全管理方方法与实施知识子域：信信息安全管管理实施理解建设信息息安全管理体体系是系统地地实施信息安安全管理的一一种方法理解建设信息息安全等级保保护是系统地地实施信息安安全管理的一一种方法了解基于NISTSP800进行信息安全全建设是实施施信息安全管管理的一种方方法43ISMS是一种常见的的对组织信息息安全进行全全面、系统管管理的方法ISMS是由ISO27001定义的一种有有关信息安全全的管理体系系，是一种典典型的基于风风险管理和过过程方法的管管理体系周期性的风险险评估、内部部审核、有效效性测量、管管理评审，是是ISMS规定的四个必必要活动，能能确保ISMS进入良性循环环、持续自我我改进信息安全管理理体系44信息安全管理理体系持续改改进的PDCA循环过程程45信息安全管理理体系是PDCA动态持续改进进的一个循环环体规划和建立实施和运行监视和评审保持和改进输入相关方信息安全要求求和期望相关方受控的信息安安全输出45ISMS的核心内容可可以概括为4句话规定你应该做做什么并形成成文件 ：Plan做文件已规定定的事情：：Do评审你所做的的事情的符合合性 ：Check采取纠正和预预防措施，持持续改进：：Act用PDCA来理解什么是是信息安全管管理体系4647ISO/IEC27000标准族27000~2700327004~2700827000信息安全管理理体系概述和术语27001信息安全管理理体系要求27002信息安全控制措施实用规则27003信息安全管理理体系实施指南27004信息安全管理理测量27005信息安全风险险管理27006提供信息安全全管理体系审审核和认证机机构的要求27007信息安全管理理体系审核指南27008信息安全管理理体系控制措施审核核员指南27001270022700027006270052700327004信息安全管理理体系基本原原理和词汇ISO27000标准族日益完完善，已经开开发和计划开开发的标准有有60余项信息安全等级级保护也是一一种常见的对对组织的信息息安全进行全全面、系统管管理的实施方方法依据《计算机机信息系统安安全保护条例例》对信息安安全进行全面面管理的一套套机制将信息系统按按照重要性和和受破坏危害害程度分成五五个安全保护护等级，不同同保护等级的的系统分别给给予不同级别别的保护系统定级、安全建建设/整改、自查、、等级测评、、系统备案和监督检检查是信息安安全等级保护护的六个规定定活动信息安全等级级保护48参照NISTSP800进行建设也是一种常见见的对组织的的信息安全进进行全面、系系统管理的实实施方法NISTSP800是由美国国家家标准与技术术研究院发布布的一系列特特别出版物（（SpecialPublications，SP），是关于计算机机安全的指南南文档美国《联邦信息安安全管理法案案》（FederalInformationSecurityManagementAct，FISMA），专门指定定NIST负责开展信息息安全标准、、指导方针的的制定NISTSP800规范范49SP800-37描述述了了此此系系列列规规范范遵遵从从的的风险险管管理理框框架架NISTSP800规范范50SP800-37给出出了了递递升升的风险险管管理理方方法法NISTSP800规范范51三种种典典型型信信息息安安全全管管理理实实施施方方法法的的区别别和和联联系系52

应用对象应用特点ISMS各种类型的组织（有体系建立需求）完全以市场化需求为主，不具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求等级保护国家基础网络和重要信息系统作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全NISTSP800联邦机构或非政府组织与FIPS不同，是非强制性的。但联邦机构应采纳FIPS中要求使用的NISTSP以及OMB要求的特定NISTSP。以风险管理方法为基础，应用时有一定的灵活性课程程内内容容53知识识体体知识识域域知识识子子域域信息息安安全全管理理体体系系信息息安安全全管理理体体系系建建设设信息安全管理体系认证文档控制管理职责规划与建立ISMS信息息安安全全管理理体体系系基基础础内部审核和管理评审信息息安安全全控制制措措施施实施和运行ISMS监视和评审ISMS保持和改进ISMS知识识域域：：信信息息安安全全管管理理体体系系基基础础知识识子子域域：：管理理职职责责理解解管管理理者者履履行行管管理理职职责责对对成成功功实实施施信信息息安安全全管管理理体体系系（（ISMS）的的重重要要推推动动作作用用掌握握实实施施ISMS过程程中中管管理理者者应应承承担担的的管管理理职职责责的的主主要要内内容容54管理理者者履履行行管管理理职职责责的的重重要要作作用用管理理层层切实实履行行相相应应的的管管理理职职责责是是ISMS能够够成成功功实实施施的的最最关关键键因因素素，，会对对ISMS建设设产产生生推推动动作作用用管理理者者提提供供足足够够的的资资源源是是对对ISMS建设设实实质质性性的的支支持持55主要要管管理理职职责责承担担并并履履行行职职责责制定定并并颁颁布布信信息息安安全全方方针针确保保ISMS目标标和和相相应应的的计计划划得得以以制制定定建立立信信息息安安全全的的角角色色和和职职责责向组组织织传传达达满满足足信信息息安安全全目目标标、、符符合合信信息息安安全全方方针针、、履履行行法法律律责责任任和和持持续续改改进进的的重重要要性性决定定风风险险可可接接受受级级别别和和风风险险可可接接受受准准则则确保保ISMS内部部审审核核的的执执行行实施施ISMS的管管理理评评审审提供供足足够够资资源源资金金能胜胜任任相相关关工工作作的的人人员员（（通通过过提提供供培培训训、、教教育育））56知识识域域：：信信息息安安全全管管理理体体系系基基础础知识识子子域域：：文档档控控制制理解解文文档档化化对对实实施施ISMS的重重要要性性理解解风风险险评评估估结结果果是是编编制制ISMS文件件的的依依据据了解解对对ISMS文件件和和记记录录进进行行保保护护和和控控制制的的常常规规措措施施57文档档化化对对实实施施ISMS的重重要要性性文档档包包括括文文件件(如方方针针、、策策略略、、标标准准、、指指南南等等)和记记录录文件件是ISMS的一一个个关关键键要要素素，，是组织织内内部部的的““法法””，，也也是是ISMS审核核的的依依据据记录录是文文件件执执行行情情况况的的客客观观证证据据，，为为各各项项控控制制措措施施是是否否有有效效实实施施、、ISMS是否否有有效效运运行行提提供供客客观观证证据据层次次化化的的文文档档是是ISMS建设设的的直直接接体体现现，，也也是是ISMS建设设的的成成果果之之一一应对对文文件件和和记记录录进进行行控控制制58文件件编编制制依依据据风险险评评估估的的结结果果是是文文件件编编制制的的直直接接依依据据有风风险险的的地地方方才才需需要要管管理理和和控控制制依据据风风险险评评估估结结果果编编制制的的文文件件体体系系才才是是最最适适合合的的、、最最需需要要的的59易于于管管理理和和维维护护的的ISMS层次次化化文文档档结结构构方针、手册等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行/检查记录、日志文件等一级文件二级文件三级文件四级文件一级级文文件件：：方方针针性性文文件件二级级文文件件：：信信息息安安全全管管控控程程序序、、管管理理规规定定性性文文件件三级级文文件件：：操操作作指指南南、、作作业业指指导导书书类类四级级文文件件：：体体系系运运行行的的各各种种记记录录下级文件件应支持持上级文文件60文件控制制文件在发发布以前前，应得得到相应应级别管管理层的的批准定期评审审、更新新并再次次得到批批准，当当发生重重大变化化或重大大信息安安全事件件时应及及时评审审和修订对文件的的修订和和修订状状态、版版本进行行标识，确保员工工使用文文件的最最新版本本标明每份份文件的的密级和和分发范范围61记录控制制明确记录的保保存环境境要求明确保存期限限要求明确访问控制制要求明确检索要求求（比如，支支持按特特定条件件进行查查询和统统计）62知识域：：信息安安全管理理体系基基础知识子域域：内部审核核和管理理评审了解内部部审核的的概念，，以及内内部审核核的目的的、实施施主体、、实施方方式、审审核准则则了解管理理评审的的概念，，以及管管理评审审的目的的、实施施主体、、实施对对象、实实施方式式63内部审核核是用于内内部目的的，由组组织自己己或以组组织的名名义所进进行的审审核也称第一一方审核核是ISMS能够持续续改进的的重要动动力之一一组织应按按照既定定的周期期实施ISMS内部审核核64内部审核核目的确定ISMS的控制目目标、控控制措施施是否符符合相关关标准和和法律法法规以及及合同条条款的要要求确定各项项控制措措施是否否得到有有效的实实施和保保持确定员工工的业务务行为是是否符合合组织ISMS文件所规规定的要要求实施主体体ISMS内审小组组实施方式式文件审核核、现场场审核审核准则则相关标准准、法规规法规、、合同条条款、ISMS文件65管理评审审为实现已已建立的的目标，而进行的的确定管管理体系系的适宜宜性、充充分性和和有效性性的活动动也是ISMS能够持续续改进的的重要动动力之一一组织应按按照既定定的周期期实施ISMS管理评审审66管理评审审目的确保组织织的ISMS持续具备备适宜性性、充分分性和有有效性实施主体体组织的高高级管理理层实施对象象ISMS文件体系系、各种管理理评审输输入材料料实施方式式最常见的的是召开开管理评评审会议议，由组组织的高高级管理理层亲自自主导实实施67知识域：：信息安安全管理理体系基基础知识子域域：信息安全全管理体体系认证证了解ISMS认证的概概念理解ISMS认证是促促进信息息安全管管理体系系改进的的一种外外部驱动动力68ISMS认证ISMS认证，是是由ISMS认证机构构依据ISO/IEC27001对申请组组织的ISMS进行审核核，并向向通过审审核的申申请组织织颁发ISMS认证证书书的活动动认证机构构是指那那些从事事对产品品（服务务）、过过程、体体系或人人员是否否符合规规定要求求实施认认证活动动的合格格评定机机构ISMS认证是证证明一个个组织的的信息安安全水平平达到并并满足ISMS国际/国家标准准要求的的有效途途径ISMS认证活动，能从第第三方客客观公正正的角度度，发现现ISMS存在的不不足和问问题，是促进进ISMS持续改进进的一种种外部驱动动力69ISMS认证ISMS认证通常常包含一一组审核核，包括括初次认认证审核核、年度度监督审审核和复复审ISMS认证证书书有效期期一般为为三年，，颁发认认证证书书后的第第一、第第二年需需要进行行年度监监督审核核，第三三年进行行复审，，复审通通过后重重新颁发发认证证证书70知识域：：信息安安全管理理体系建建设知识子域域：规划与建建立ISMS理解定义义ISMS范围和边边界、实实施风险险评估、、获得管管理者对对残余风风险的批批准等规规划与建建立ISMS的主要工工作内容容71采用过程程方法来来建立和和管理ISMS72ISO27001要求求采用过过程方法法来建立立、实施施和运行行、监视视和评审审、保持持和改进进组织的的ISMS按照PDCA循循环理念念运行的的信息安安全管理理体系是是从过程程上严格格保证了了ISMS的有有效性，，在过程程上的这这些要求求是不可可或缺的的，也就就是说不不是可选选的，是是必须执执行的ISMS应用过过程方法法的结构构73规划与建建立ISMSP1-定义ISMS范围和边边界P2-制定ISMS方针P3-确定风险险评估方方法P4-实施风险险评估P5-选择、评评价和确确定风险险处理方方式、处处理目标标和处理理措施P6-获得管理理者对建建议的残残余风险险的批准准P7-获得管理理者对实实施和运运行ISMS的授权P8-编制适用用性声明明（SoA）74P1-定定义ISMS范范围和边边界75ISMS的范围就就是需要要重点进进行信息息安全管管理的领领域，组组织需要要根据自自己的实实际情况况，在整整个组织织范围内内、个别别部门或或领域构构建ISMS在定义ISMS范围时，，应重点点考虑组组织现有有的部门门、信息息资产的的分布状状况、核核心业务务的流程程区域以以及信息息技术的的应用区区域在本阶段段，应将将组织划划分成不不同的信信息安全全控制领领域，以以易于组组织对有有不同需需求的领领域进行行适当的的信息安安全管理理P2-制定ISMS方针76信息安全全方针是是组织的的管理层层制定的的一个高高层文件件，用于于指导组组织如何何对资产产进行管管理、保保护和分分配的规规则和指指示信息安全全方针应应当阐明明管理层层的承诺诺，提出出组织管管理信息息安全的的方法，，并由管管理层批批准，采采用适当当的方法法将方针针传达给给每一个个员工信息安全全方针应应当简明明、扼要要，便于于理解，，至少包包括目标标、范围围、意图图、法规规的遵从从性和管管理的责责任等内内容P3-确确定风险险评估方方法77识别并确确定适合合ISMS的风险评评估方法法，确保保风险评评估产生生可比较较的和可可再现的的结果组织可采采取不同同风险评评估法方方法，一一个方法法是否适适合于特特定组织织，有很很多影响响因素，，包括：：业务环境境业务性质质与业务务重要性性对支持组组织业务务活动的的信息系系统的依依赖程度度业务内容容、支持持系统、、应用软软件和服服务的复复杂性贸易伙伴伴、外部部业务关关系、合合同数量量的大小小这些因素素对风险险评估方方法的选选择都很很重要，，不仅风风险评估估要考虑虑成本与与效益的的权衡，，不出现现过度安安全；风风险评估估自身也也要考虑虑成本与与效益的的权衡，，不出现现过度复复杂制定接受受风险的的准则，，识别可可接受的的风险级级别P4-实施风险险评估78风险评估估准备风险要素素识别识别ISMS范围内的的资产及及其责任任人[1]识别资产产所面临临的威胁胁识别可能被被威胁利用用的脆弱点点识别已有的的控制措施施风险分析分析事件发发生的可能能性分析事件造造成的影响响实施风险计计算风险结果判判定评估风险的的等级综合评估风风险状况[1]术语“责任任人”标识识了已经获获得批准，，负有控制制资产的产产生、开发发、维护、、使用和保保证资产的的安全的管管理职责的的个人或实实体。术语语“责任人人”不是指指该人员实实际上对资资产拥有所所有权P5-选择、评价价和确定风风险处理方方式、处理理目标和处处理措施79常用的处理理方式包括括：采用适当的的控制措施施（降低风险）在明显满足足组织方针针策略和接接受风险的的准则的条条件下，有有意识地、、客观地接受风险避免风险将相关业务务风险转移移到其他方方，如：保保险，供应应商等（转移风险）风险处理方方式及决策策原则80降低风险：：在考虑转移移风险前，，应首先考考虑采取措措施降低风风险避免风险：：有些风险容容易避免，，例如采用用不同的技技术、更改改操作流程程、采用简简单的技术术措施等转移风险：：通常只有当当风险不能能被降低风风险和避免免、且被第第三方接受受时才采用用接受风险：：用于那些在在采取了降降低风险和和避免风险险措施后，，出于实际际和经济方方面的原因因，只要组组织进行运运营，就必必然存在并并必须接受受的风险为处理风险险选择控制制目标和控控制措施81选择控制目目标和控制制措施应考考虑接受风风险的准则则以及法律律法规和合合同要求将ISO27001附录A作为选择控控制措施的的出发点，，以确保不不会遗漏重重要的可选选控制措施施组织也可能能需要制定定ISO27001附录A以外的控制制目标和控控制措施提示：在选选择控制目目标和控制制措施时，，并没有一一套标准与与通用的办办法，选择择的过程往往往不是很很直接，可可能要涉及及一系列的的讨论、咨咨询和决策策过程P6-获得得管理者对对建议的残残余风险的的批准82获得管理层层接受风险险评估团队队所建议的的残余风险险的确认是是风险评估估活动中的的一个重要要过程管理层确认认接受残余余风险，是是对风险评评估工作的的一种肯定定，表示管管理层已经经全面了解解了组织所所面临的风风险，并理理解在风险险一旦变为为现实后，，组织能够够且必须承承担引发的的后果如果一个组组织所建立立的ISMS要寻求认证证，认证机机构将寻求求管理层确确认接受残残余风险的的书面证据据P7-获得管理者者对实施和和运行ISMS的授权83必须获得管管理者对实实施和运行行ISMS的授权。。没有授权权，实施和和运行ISMS的相相关活动就就很难推进进实施和运行行ISMS，需要大大量的资源源（人力、、资金等）），没有管管理层的授授权，就很很难申请并并获得这些些资源P8-编制适用性性声明（SoA）84所选择的控控制目标和和措施以及及被选择的的原因应在在适用性声声明（StatementofApplicability，SoA）中进行说明明SoA是适合组织织需要的控控制目标和和控制的评评论，需要要提交给管管理者、职职员、具有有访问权限限的第三方方相关认证证机构编制SoA一方面是为为了向组织织内的员工工声明对在在面临的信信息安全风风险的态度度，更大程程度上则是是为了向外外界表明组组织的态度度和作为，，以表明组组织已经全全面、系统统地审视了了组织的信信息安全系系统，并将将所有需要要控制的风风险控制在在能被接受受的范围内内知识域：信信息安全管管理体系建建设知识子域：：实施和运行行ISMS理解实施风风险处理计计划、开发发有效性测测量程序、、管理ISMS的运行等实实施和运行行ISMS的主要工作作内容85实施和运行行ISMSD1-制定风险处处理计划D2-实施风险处处理计划D3-开发有效性性测量程序序D4-实施培训和和意识教育育计划D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测事事态和响应应事件的程程序86D3-开发发有效性测测量程序ISMS运行及控制制措施是否否有效，要要有测量方方法和途径径，以便制制定改进措措施加以改改进开发一份有有效性测量量程序，明明确需要设设立的测量量项目，以以及每一测测量项目的的度量标准准、要求达达到的指标标、测量方方式、测量量周期、测测量执行人人有效性测量量程序本身身，应做为为ISMS文件加以管管理和控制制87D5-管理理ISMS的运行批准并发布布ISMS文件宣贯和解释释ISMS文件要求ISMS试运行期间间的管理宣布ISMS正式运行88ISMS试试运行ISMS运行初期处处于磨合期期，一般称称为试运行行期试运行期的的目的是要要在实践中中检验ISMS的充分性、、适用性和和有效性此期间，宜宜加强运作作力度，通通过实施ISMS文件，充分分发挥ISMS本身的各项项功能，及及时发现ISMS本身存在的的问题，找找出问题的的根源，采采取纠正措措施，并按按照文件控控制程序要要求更改体体系文件，，以达到进进一步完善善ISMS的目的89知识域：信信息安全管管理体系建建设知识子域：：监视和评审审ISMS理解进行有有效性测量量、实施内内部审核、、实施管理理评审等监监视和评审审ISMS的主要工作作内容90监视和评审审ISMSC1-日常监视和和检查C2-进行有效性性测量C3-实施内部审审核C4-实施风险再再评估C5-实施管理评评审91C1-日常监视和和检查是监视与评审审ISMS阶段的重要要活动，能能发现ISMS运行过程存存在的问题题手段包括自自动入侵检检测、人工工检查、趋势分析析等应作为正常常业务过程程的一部分分予以执行行，以便迅迅速检测出错误，识别别安全违规规行为和安安全事件，，确认安全全活动或技技术性措施施是否如期期执行92C2-进行有效性性测量目的是验证ISMS运行及各项项控制措施施是否有效效，是否满满足组织的的安全要求求和信息安安全方针，，是否达成成组织的信信息安全目目标各测量项目目的测量执执行人要按按照既定的的测量方式式、测量周周期进行测测量，生成成并保持测测量记录对照已经定定义的度量量标准，可可以得到每每个测量项项目的评定定结果，；对照应达到到的指标，，评判这一一测量项目目是否符合合要求通过实施有有效性测量量，组织能能够准确地地掌握其当当前信息安安全水平93C3-实施内部审审核根据拟审核核业务过程程和范围的的状况、重重要性，以以及以往审审核结果，，确定审核核的准则、、范围、频频次和方法法常规的内部部审核实施施流程：审核前的准准备编制内部审审核计划、、成立内审审小组、编编制内审检检查列表实施内部审审核召开首次会会议、文件件审核、现现场审核、、确定不符符合项、召召开末次会会议编写审核报报告内容包括审审核情况概概述、审核核发现（即即符合项和和不符合项项的描述））、不符合合项的统计计与分析、、审核结论论以及纠正正措施要求求等内部审核结结束后，还还应有后续续跟踪活动动94C5-实施管理评评审应定期对ISMS实施管理评评审。当系系统环境发发生较大变变化、组织织机构发生生重大变化化或安全需需求发生改改变时，需需要适时进进行管理评评审通常以召开开管理评审审会议的方方式进行评审输入材材料95ISMS审核和评审审的结果相关方的反反馈改进技术、产品和规程程、预防和纠纠正措施的的状况以往风险评评估没有充充分强调的的脆弱性和和威胁有效性测量量的结果以往管理评评审的跟踪踪措施可能影响ISMS的任何变更更改进ISMS的任何建议议评审输出ISMS有效性的改改进风险评估和和风险处置置计划的更更新资源需求有效性测量量方法的改改进修改ISMS文件和控制制措施以响响应各种变变化知识域：信信息安全管管理体系建建设知识子域：：保持和改进进ISMS理解实施纠纠正和预防防措施、沟沟通措施和和改进情况况等保持和和改进ISMS的主要工作作内容96保持和改进进ISMSA1-实施施纠正和预预防措施A2-沟通通措施和改改进情况97A1-实施施纠正和预预防措施98不符合项指指：缺少或缺乏乏有效地实实施和维护护一个或多多个ISMS的要求在有客观证证据的基础础上，引起起对ISMS安全方针和和组织安全全目标能力力的重大怀怀疑从其它组织织和组织自自身的信息息安全实践践经验和安安全事件教教训中学习习，采取相相应的改进进措施，持持续提高信信息安全管管理的水平平纠正正性性措措施施：：为消消除除与与ISMS要求求不不符符合合发发生生的的原原因因，，并并防防止止其其再再发发生生所所采采取取的的措措施施预防防性性措措施施：：为为消除除潜潜在在不不符符合合原原因因，，防防止止其其发发生生所所采采取取的的措措施施A2-沟沟通通措措施施和和改改进进情情况况99向所所有有相相关关方方沟沟通通措措施施和和改改进进情情况况其详详细细程程度度应应与与环环境境相相适适应应需要要时时，，商商定定如如何何进进行行思考考和和体体会会标准准不不是是罗罗列列文档档不不是是摆摆设设劣法法胜胜于于无无