CISP信息安全管理体系(v23)

信息安全管理体系培训机构名称讲师名字目前一页\总数一百一十一页\编于十一点课程内容2信息安全管理体系知识体知识域信息安全管理基本概念信息安全管理体系建设知识子域信息安全管理的作用风险管理的概念和作用过程方法与PDCA循环安全管理控制措施的概念和作用建立、运行、评审与改进ISMS目前二页\总数一百一十一页\编于十一点知识域：信息安全管理基本概念知识子域：信息安全管理的作用理解信息安全“技管并重”原则的意义理解成功实施信息安全管理工作的关键因素知识子域：风险管理的概念和作用理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性理解风险评估是信息安全管理工作的基础理解风险处置是信息安全管理工作的核心知识子域：信息安全管理控制措施的概念和作用理解安全管理控制措施是管理风险的具体手段了解11个基本安全管理控制措施的基本内容3目前三页\总数一百一十一页\编于十一点信息安全管理一、信息安全管理概述二、信息安全管理体系三、信息安全管理体系建立四、信息安全管理控制规范4目前四页\总数一百一十一页\编于十一点一、信息安全管理概述（一）信息安全管理基本概念1、信息安全2、信息安全管理3、基于风险的信息安全（二）信息安全管理的状况1、信息安全管理的作用2、信息安全管理的发展3、信息安全管理的标准4、成功实施信息安全管理的关键5目前五页\总数一百一十一页\编于十一点（一）信息安全管理基本概念1、信息安全2、信息安全管理3、基于风险的信息安全6目前六页\总数一百一十一页\编于十一点1、信息安全7信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。目前七页\总数一百一十一页\编于十一点1、信息安全信息安全保密性可用性完整性8目前八页\总数一百一十一页\编于十一点1、信息安全-保密性9保密性确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。目前九页\总数一百一十一页\编于十一点1、信息安全-完整性10完整性保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。目前十页\总数一百一十一页\编于十一点1、信息安全-可用性11可用性确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。目前十一页\总数一百一十一页\编于十一点2、信息安全管理统计结果表明，在所有信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。12目前十二页\总数一百一十一页\编于十一点2、信息安全管理13正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。目前十三页\总数一百一十一页\编于十一点2、信息安全管理14组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动信息安全管理工作的对象

规则

人员目标组织·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程目前十四页\总数一百一十一页\编于十一点2、信息安全管理15信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。目前十五页\总数一百一十一页\编于十一点3、基于风险的信息安全16（1）安全风险的基本概念（2）信息安全的风险模型（2）基于风险的信息安全目前十六页\总数一百一十一页\编于十一点（1）安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……17目前十七页\总数一百一十一页\编于十一点（1）安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击

病毒和其他恶意程序软硬件故障

人为误操作盗窃

网络监听供电故障

后门未授权访问…… 自然灾害如：地震、火灾18目前十八页\总数一百一十一页\编于十一点（1）安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞

程序Bug专业人员缺乏

不良习惯缺少审计

缺乏安全意识后门物理环境访问控制措施不当……19目前十九页\总数一百一十一页\编于十一点（1）安全风险的基本概念安全控制措施根据安全需求部署的，用来防范威胁，降低风险的措施安全控制措施举例20技术措施防火墙防病毒入侵检测灾备系统……管理措施安全规章安全组织人员培训运行维护……目前二十页\总数一百一十一页\编于十一点（2）信息安全的风险模型21没有绝对的安全，只有相对的安全信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。目前二十一页\总数一百一十一页\编于十一点（3）基于风险的信息安全信息安全追求目标确保业务连续性业务风险最小化保护信息免受各种威胁的损害投资回报和商业机遇最大化获得信息安全方式实施一组合适的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能。22目前二十二页\总数一百一十一页\编于十一点（3）风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。23目前二十三页\总数一百一十一页\编于十一点（4）风险处置是信息安全管理的核心风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施集合的。24目前二十四页\总数一百一十一页\编于十一点（二）信息安全管理的状况1、信息安全管理的作用2、信息安全管理的发展3、信息安全管理有关标准4、成功实施信息安全管理的关键25目前二十五页\总数一百一十一页\编于十一点1、信息安全管理的作用26如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？目前二十六页\总数一百一十一页\编于十一点27WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？1、信息安全管理的作用目前二十七页\总数一百一十一页\编于十一点28信息系统是人机交互系统应对风险需要人为的管理过程设备的有效利用是人为的管理过程“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则1、信息安全管理的作用目前二十八页\总数一百一十一页\编于十一点2、信息安全管理的发展-129ISO/IECTR13335国际标准化组织在信息安全管理方面，早在1996年就开始制定《信息技术信息安全管理指南》（ISO/IECTR13335），它分成五个部分：《信息安全的概念和模型》《信息安全管理和规划》《信息安全管理技术》《基线方法》《网络安全管理指南》目前二十九页\总数一百一十一页\编于十一点2、信息安全管理的发展-230BS7799英国标准化协会（BSI）1995年颁布了《信息安全管理指南》（BS7799），BS7799分为两个部分：BS7799-1《信息安全管理实施规则》和BS7799-2《信息安全管理体系规范》。2002年又颁布了《信息安全管理系统规范说明》（BS7799-2:2002）。BS7799将信息安全管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施。目前，在BS7799－2中，提出了如何了建立信息安全管理体系的步骤。目前三十页\总数一百一十一页\编于十一点2、信息安全管理的发展-331目前三十一页\总数一百一十一页\编于十一点2、信息安全管理的发展-432目前三十二页\总数一百一十一页\编于十一点3、国内外信息安全管理标准33（1）国际信息安全管理标准国际信息安全标准化组织国际信息安全管理标准（2）国内信息安全管理标准国内信息安全标准化组织国内信息安全管理标准目前三十三页\总数一百一十一页\编于十一点国际信息安全标准化组织34目前三十四页\总数一百一十一页\编于十一点国际信息安全管理标准-135目前三十五页\总数一百一十一页\编于十一点国际信息安全管理标准-236目前三十六页\总数一百一十一页\编于十一点国际信息安全管理标准-337目前三十七页\总数一百一十一页\编于十一点国内信息安全标准化组织38目前三十八页\总数一百一十一页\编于十一点国内信息安全管理标准-139WG7组已有的标准目前三十九页\总数一百一十一页\编于十一点国内信息安全管理标准-240WG7组研究中的标准目前四十页\总数一百一十一页\编于十一点国内信息安全管理标准-341目前四十一页\总数一百一十一页\编于十一点4、实施信息安全管理的关键成功因素理解组织文化得到高层承诺做好风险评估整合管理体系积极有效宣贯纳入奖惩机制持续改进体系42目前四十二页\总数一百一十一页\编于十一点二、信息安全管理体系（一）什么是信息安全管理体系（二）信息安全管理体系的框架（三）信息安全管理过程方法要求（四）信息安全管理控制措施要求43目前四十三页\总数一百一十一页\编于十一点（一）什么是信息安全管理体系1、信息安全管理体系的定义2、信息安全管理体系的特点3、信息安全管理体系的作用4、信息安全管理体系的文件44目前四十四页\总数一百一十一页\编于十一点1、信息安全管理体系的定义信息安全管理体系（ISMS：Information

Security

Management

System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。45目前四十五页\总数一百一十一页\编于十一点2、信息安全管理体系的特点信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。46目前四十六页\总数一百一十一页\编于十一点3、信息安全管理体系的作用对组织的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为；使组织的生意伙伴和客户对组织充满信心；组织可以按照安全管理，达到动态的、系统地、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。47目前四十七页\总数一百一十一页\编于十一点4、信息安全管理体系的理念各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，如果忽略了组织中最活跃的因素——人的作用，则信息安全管理体系是不完备的，考察国内外的各种信息安全事件，不难发现，在信息安全时间表象后面其实都是人的因素在起决定作用。48目前四十八页\总数一百一十一页\编于十一点4、信息安全管理体系的理念技术因素人的因素管理因素49在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。目前四十九页\总数一百一十一页\编于十一点5、信息安全管理体系的过程50完善信息安全治理结构风险评估安全规划信息安全管理框架管理措施技术手段信息系统安全审计监控业务与安全环境符合安全控制标准？持续改进调整目前五十页\总数一百一十一页\编于十一点（二）信息安全管理体系框架1、信息安全管理体系循环框架2、信息安全管理体系内容框架3、信息安全管理体系文件框架4、信息安全管理体系系列标准51目前五十一页\总数一百一十一页\编于十一点1、信息安全管理体系循环框架52信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立实施和运行监视和评审保持和改进相关方信息安全要求和期望相关方受控的信息安全目前五十二页\总数一百一十一页\编于十一点1、信息安全管理体系循环框架53PDCA也称“戴明环”，由美国质量管理专家戴明提出。P（Plan）：计划，确定方针和目标，确定活动计划；D（Do）：实施，实际去做，实现计划中的内容；C（Check）：检查，总结执行计划的结果，注意效果，找出问题；A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。目前五十三页\总数一百一十一页\编于十一点1、信息安全管理体系循环框架54PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。

9090处置实施规划检查CADPPDCA特点二：组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。PDCA特点三：每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090处置实施规划检查CADP达到新的水平改进(修订标准)维持原有水平90909090处置实施规划检查CADP目前五十四页\总数一百一十一页\编于十一点2、信息安全管理体系内容框架55目前五十五页\总数一百一十一页\编于十一点2、信息安全管理体系内容框架（续）56其他最佳实践标准与各安全控制域之间的对应ISO27000系列不是信息安全管理体系的全部目前五十六页\总数一百一十一页\编于十一点3、信息安全管理体系文档框架57目前五十七页\总数一百一十一页\编于十一点3、信息安全管理体系文档框架58安全策略操作手册操作手册操作手册操作手册考核指标考核指标目前五十八页\总数一百一十一页\编于十一点4、信息安全管理体系系列标准59（1）ISO

27000系列（2）NIST

SP800系列（3）ISO/IEC13335系列目前五十九页\总数一百一十一页\编于十一点（1）ISO27000系列60ISO

27000系列27000~2700327004~2700727000信息安全管理体系原则和术语27001信息安全管理体系要求27002信息安全管理实践准则27003信息安全管理实施指南27004信息安全管理的度量指标和衡量27005信息安全风险管理指南27006信息和通信技术灾难恢复服务指南27007XXX27001270022700027006270052700327004信息安全管理体系基本原理和词汇

目前六十页\总数一百一十一页\编于十一点（1）ISO27000系列6127001ISMS要求27004ISMS度量指标和衡量27002ISMS实践准则27001的附录A将两者联系起来，作为ISMS过程的一部分测量ISMS控制措施的性能和有效性的要求将两者联系起来目前六十一页\总数一百一十一页\编于十一点27000：《ISMS基础和词汇》62正在启动的新标准项目；它将主要以ISO/IEC13335-1:2004《信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型》为基础进行研究；该标准将规定27000系列标准所共用的基本原则、概念和词汇。目前六十二页\总数一百一十一页\编于十一点27001：《信息安全管理体系要求》632005年10月15日发布；规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求；基于风险管理的思想，旨在通过持续改进的过程（PDCA模型）使组织达到有效的信息安全；使用了和ISO9001、ISO14001相同的管理体系过程模型；是一个用于认证和审核的标准；目前六十三页\总数一百一十一页\编于十一点27002：《信息安全管理实用规则》

64即17799，2005年6月15日发布第二版；包含有11个安全类别、39个控制目标、138个控制措施；实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；是一个行业最佳惯例的汇总集，而不是一个认证和审核标准；目前六十四页\总数一百一十一页\编于十一点27003：《ISMS实施指南》65目前处于工作草案阶段；它主要以BS7799-2:2002附录B的内容为基础进行制定；提供了27001具体实施的指南。目前六十五页\总数一百一十一页\编于十一点27004：《信息安全管理度量》66旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。目前六十六页\总数一百一十一页\编于十一点27005：《信息安全风险管理》67目前处于委员会草案阶段；它将主要以ISO/IEC13335-2为基础进行制定；描述了信息安全风险管理的过程及每个过程的详细内容。目前六十七页\总数一百一十一页\编于十一点（2）NISTSP800系列68NIST

SP800系列目前六十八页\总数一百一十一页\编于十一点（3）ISO/IEC13335系列69ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和计划ISO/IEC1335-3:1998IT安全管理技术ISO/IEC1335-4:2000IT安全措施的选择ISO/IEC1335-5:2001网络安全管理指南ISO/IEC13335系列目前六十九页\总数一百一十一页\编于十一点（三）信息安全管理过程方法要求1、信息安全管理过程方法的作用2、信息安全管理过程方法的结构70目前七十页\总数一百一十一页\编于十一点1、信息安全管理过程方法的作用71过程方法要求（Methodologicalrequirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。目前七十一页\总数一百一十一页\编于十一点2、信息安全管理过程方法的结构72目前七十二页\总数一百一十一页\编于十一点（四）信息安全管理控制措施要求1、信息安全管理控制措施的作用2、信息安全管理控制措施的结构73目前七十三页\总数一百一十一页\编于十一点1、信息安全管理控制措施的作用74安全控制要求（Securitycontrolrequirements）：为组织选择满足自身信息安全环境要求的控制措施提供了一个最佳实践集。组织应根据法律法规的约束、自身的业务和风险特征选择适用的控制措施。当然组织也可以根据自身的特定要求对安全控制措施进行补充。目前七十四页\总数一百一十一页\编于十一点2、信息安全管理控制措施的结构75共有11个控制条款（方面）每个条款包括许多主要的安全类。每个安全类包括：一个控制目标，声明要实现什么一个或多个控制措施，可被用于实现该控制目标每个控制措施控制：是对该控制措施的定义实施指南：是对实施该控制措施的指导性说明其它信息：其它需要说明的补充信息目前七十五页\总数一百一十一页\编于十一点762、信息安全管理控制措施的结构示例8、人员安全——安全控制条款8.1雇佣前——安全类确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。——安全类控制目标8.1.1角色和职责——安全控制措施控制：是对该控制措施的定义实施指南：是对实施该控制措施的指导性说明其它信息：其它需要说明的补充信息目前七十六页\总数一百一十一页\编于十一点77知识子域：过程方法与PDCA循环理解ISMS过程和过程方法的含义理解PDCA循环的特征和作用知识子域：建立、运行、评审与改进ISMS了解建立ISMS的主要工作内容了解实施和运行ISMS的主要工作内容了解监视和评审ISMS的主要工作内容了解保持和改进ISMS的主要工作内容知识域：信息安全管理体系建设目前七十七页\总数一百一十一页\编于十一点三、信息安全管理体系建设（一）信息安全管理体系的规划和建立（二）信息安全管理体系的实施和运行（三）信息安全管理体系的监视和评审（四）信息安全管理体系的保持和改进78目前七十八页\总数一百一十一页\编于十一点（一）信息安全管理体系规划和建立P1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA79目前七十九页\总数一百一十一页\编于十一点P1-定义ISMS范围80ISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS。在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域。目前八十页\总数一百一十一页\编于十一点P2-定义ISMS方针81信息安全方针是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。目前八十一页\总数一百一十一页\编于十一点P3-确定风险评估方法82组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括：业务环境业务性质与业务重要性；对支持组织业务活动的信息系统的依赖程度；业务内容、支持系统、应用软件和服务的复杂性；贸易伙伴、外部业务关系、合同数量的大小。这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂。目前八十二页\总数一百一十一页\编于十一点P4-分析和评估信息安全风险83风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。目前八十三页\总数一百一十一页\编于十一点P5-识别和评价风险处理的可选措施84根据风险评估的结果，在已有措施基础上从安全控制最佳集合中选择安全控制措施。目前八十四页\总数一百一十一页\编于十一点P6-为处理风险选择控制目标和控制措施85在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组织对业务目标、资产保护、投资预算的要求。组织采用什么样的方法来评估安全需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种安全需求来驱动。目前八十五页\总数一百一十一页\编于十一点P7-准备详细的适用性声明SoA86在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明（SOA：Statement

of

Application）SOA中进行说明。SOA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。SOA的准备一方面是为了向组织内的员工声明对信息安全面对的风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统的审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内。目前八十六页\总数一百一十一页\编于十一点（二）信息安全管理体系实施和运行D1-开发风险处置计划D2-实施风险处置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测安全事件程序D8-执行响应安全事故程序87目前八十七页\总数一百一十一页\编于十一点信息安全风险处置的分类88根据风险评估的结果进行相关的风险处置：降低风险：在考虑转移风险前，应首先考虑采取措施降低风险；避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等；转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用；接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。目前八十八页\总数一百一十一页\编于十一点信息安全管理体系试运行体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。89目前八十九页\总数一百一十一页\编于十一点（三）信息安全管理体系监视和评审C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行内部审核C9-按计划进行管理评审C10-更新信息安全计划C11-记录对ISMS有影响的行动和事件90目前九十页\总数一百一十一页\编于十一点常用的检查措施－１：在检查阶段采集的信息应该可以用来测量信息安全管理体系，判断是否符合组织的安全方针和控制目标的有效性。常用的检查措施有：日常检查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的办法。91目前九十一页\总数一百一十一页\编于十一点常用的检查措施－２：内部审核：在一个特定的常规审核时间内检查ＩＳＭＳ所有方面是否达到预想的效果。管理评审：管理评审的目的是检查信息安全管理体系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的基础。92目前九十二页\总数一百一十一页\编于十一点（四）信息安全管理体系保持和改进A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS的变更A4-从安全经验和教训中学习93目前九十三页\总数一百一十一页\编于十一点A1-实施已识别的ISMS改进措施94为使信息安全管理体系持续有效，应以检查阶段采集的不符合项信息为基础，经常进行调整与改进。不符合项指：缺少或缺乏有效地实施和维护一个或多个信息安全管理体系的要求；在有可观证据的基础上，引起对信息安全管理体系安全方针和组织安全目标能力的重大怀疑。目前九十四页\总数一百一十一页\编于十一点A2-执行纠正性和预防性措施95通过各种检查措施，发现了组织ISMS体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因、防止问题的再发生。预防性措施：组织应对未来的不合适事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。目前九十五页\总数一百一十一页\编于十一点A3-通知相关人员ISMS的变更96按照内部审计和管理评审的输出结果对信息安全管理体系作持续性的改善，每次的改善会涉及到信息安全管理体系文件的变更，变更的结果应该及