信息安全管理体系

信息安全管理体系目前一页\总数二百二十七页\编于十七点2023/5/23课前介绍课程目标课程安排课程内容注意事项学员介绍目前二页\总数二百二十七页\编于十七点2023/5/23课程目标掌握信息安全管理的一般知识了解信息安全管理在信息系统安全保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息安全管理体系（ISMS）的方法和步骤目前三页\总数二百二十七页\编于十七点2023/5/23课程安排课时:24H课程方法：讲授、小组讨论、练习目前四页\总数二百二十七页\编于十七点2023/5/23课程内容1、信息安全基础知识2、信息安全管理与信息系统安全保障3、信息安全管理体系标准概述4、信息安全管理体系方法5、ISO17799中的控制目标和控制措施6、ISMS建设、运行、审核与认证7、信息系统安全保障管理要求目前五页\总数二百二十七页\编于十七点2023/5/23注意事项积极参与、活跃气氛守时保持安静有问题可随时举手提问目前六页\总数二百二十七页\编于十七点2023/5/231.

信息安全基础知识1.1

信息安全的基本概念

1.2

为什么需要信息安全

1.3

实践中的信息安全问题

1.4

信息安全管理的实践经验目前七页\总数二百二十七页\编于十七点2023/5/23

请思考：

什么是信息安全？1.1信息安全基本概念目前八页\总数二百二十七页\编于十七点2023/5/23什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等目前九页\总数二百二十七页\编于十七点2023/5/23小问题：你们公司的Knowledge都在哪里？信息在哪里？目前十页\总数二百二十七页\编于十七点2023/5/23什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保护信息免受各方威胁确保组织业务连续性将信息不安全带来的损失降低到最小获得最大的投资回报和商业机会目前十一页\总数二百二十七页\编于十七点2023/5/23信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。目前十二页\总数二百二十七页\编于十七点2023/5/23信息本身信息处理设施信息处理者信息处理过程

机密

可用

完整总结目前十三页\总数二百二十七页\编于十七点2023/5/23

请思考：

组织为什么要花钱实现信息安全？1.2为什么需要信息安全目前十四页\总数二百二十七页\编于十七点2023/5/23组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……目前十五页\总数二百二十七页\编于十七点2023/5/23法律法规的要求计算机信息系统安全保护条例知识产权保护互联网安全管理办法网站备案管理规定……目前十六页\总数二百二十七页\编于十七点2023/5/23信息系统使命的要求信息系统本身具有特定的使命信息安全的目的就是使信息系统的使命得到保障。。。。目前十七页\总数二百二十七页\编于十七点2023/5/23

请思考：

目前，解决信息安全问题，通常的做法是什么？1.3实践中的信息安全问题目前十八页\总数二百二十七页\编于十七点2023/5/23“产品导向型”信息安全初始阶段，解决信息安全问题，通常的方法：采购各种安全产品，由产品厂商提供方案；Anti-Virus、Firewall、IDS&Scanner……组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门；更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……管理和服务跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描（Scanner）来代替风险评估有哪些不安全的因素（威胁、脆弱性）、信息不安全的影响、对风险的态度……“头痛医头，脚痛医脚”，很难实现整体安全；不同厂商、不同产品之间的协调也是难题目前十九页\总数二百二十七页\编于十七点2023/5/23信息安全管理ISO17799强调：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技术和产品是基础，管理是关键；产品和技术，要通过管理的组织职能才能发挥最好的作用；技术不高但管理良好的系统远比技术高但管理混乱的系统安全；先进、易于理解、方便操作的安全策略对信息安全至关重要，也证明了管理的重要；建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会持续安全。目前二十页\总数二百二十七页\编于十七点2023/5/231.4信息安全管理的实践经验反映组织业务目标的安全方针、目标和活动；符合组织文化的安全实施方法；管理层明显的支持和承诺；安全需求、风险评估和风险管理的正确理解；有效地向所有管理人员和员工推行安全措施；向所有的员工和签约方提供本组织的信息安全方针与标准；提供适当的培训和教育；一整套用于评估信息安全管理能力和反馈建议的测量系统目前二十一页\总数二百二十七页\编于十七点2023/5/232、信息安全管理与信息系统安全保障2.1信息系统的使命2.2信息系统安全保障－模型2.3信息系统安全保障－框架2.4信息系统安全保障－生命周期的保证2.5信息安全管理模型2.6信息安全管理与信息系统安全保障的关系目前二十二页\总数二百二十七页\编于十七点2023/5/232.1信息系统的使命资产可能意识到引起增加利用导致威胁主体威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到使命希望完成到可能阻碍或破坏目前二十三页\总数二百二十七页\编于十七点2023/5/232.2信息系统安全保障－模型目前二十四页\总数二百二十七页\编于十七点2023/5/232.3信息系统安全保障－框架信息系统使命信息系统建模，。。。GB18336idtISO/IEC15408信息技术安全性评估准则IATF信息保障技术框架ISSE信息系统安全工程SSE-CMM系统安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理实践准则其他相关标准、准则例如：ISO/IEC15443,COBIT。。。系统认证和认可标准和实践例如：美国DITSCAP,…中国信息安全产品测评认证中心相关文档和系统测评认证实践技术准则（信息技术系统评估准则）管理准则（信息系统管理评估准则）过程准则（信息系统安全工程评估准则）信息系统安全保障评估准则信息安全管理和管理能力成熟度模型

安全工程过程和能力成熟度模型

信息系统相关基础知识目前二十五页\总数二百二十七页\编于十七点2023/5/232.4信息系统安全保障－生命周期的保证变更应用于系统计划组织开发采购实施交付运行维护废弃建立使命要求建立使命要求审阅业务要求系统需求分析定义运行需求系统体系设计项目与预算管理两种类型：

开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保证（管理/维护/使用人员）人员保证（管理人员）人员保证（实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）系统保证信息系统生命周期目前二十六页\总数二百二十七页\编于十七点2023/5/232.5信息安全管理模型信息系统安全管理基础组织体系策略制度遵循性人员安全采购管理投资和预算管理持续性管理环境设备紧急用途和供给变更控制管理信息技术战略规划变更应用于系统计划组织开发采购实施交付运行维护废弃信息技术战略规划系统操作物理访问运行环境设备管理目前二十七页\总数二百二十七页\编于十七点2023/5/232.6信息安全管理与信息系统安全保障的关系信息系统安全保障三大部分：技术保障过程保障管理保障信息安全管理是信息系统安全保障的三大部分之一：管理保障信息安全管理涉及到系统的整个生命周期目前二十八页\总数二百二十七页\编于十七点2023/5/233.信息安全管理体系标准概述3.1

信息安全标准介绍3.2

ISO177993.3

ISO17799的历史及发展3.4

ISO17799:2000的内容框架3.5

BS7799-2:1999的内容框架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之区别目前二十九页\总数二百二十七页\编于十七点2023/5/233.1信息安全标准介绍

信息安全标准管理体系标准目前三十页\总数二百二十七页\编于十七点2023/5/23信息安全标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408（GB/T18336-2001）ISO17799目前三十一页\总数二百二十七页\编于十七点2023/5/23ISO7498-2(GB/T9387.2-1995)开放系统互联安全体系结构由ISO/ICEJTC1/SC21完成1982年开始，1988年结束，ISO发布了ISO7498-2给出了基于OSI参考模型的7层协议上的安全体系结构其核心内容是：为了保证异构计算机进程与进程之间远距离安全交换信息的安全，它定义了该系统的5大类安全服务，以及提供这些服务的8大类安全机制及相应的安全管理，并可根据具体系统适当的配置于OSI模型的7层协议中。目前三十二页\总数二百二十七页\编于十七点2023/5/23ISO7498-2－安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型目前三十三页\总数二百二十七页\编于十七点2023/5/23ISO13335IT安全管理分为5个部分：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和规划ISO/IECTR13335-3：管理技术ISO/IECTR13335-4：安全措施的选择ISO/IECTR13335-5：网络安全性的管理指导由ISO/IECJTC1/SC27完成目前三十四页\总数二百二十七页\编于十七点2023/5/23SSE-CMM信息系统安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于软件工程；1993年4月，由美国NSA资助，安全业界、DOD、加拿大通信安全机构共同组成项目组，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系统安全的工程组织、采购组织和评估机构5个能力级别，11个过程区2003年，出版了SSE-CMMV3.0目前三十五页\总数二百二十七页\编于十七点2023/5/235个能力级别：

1级：非正式执行级

2级：计划和跟踪级

3级：充分定义级

4级：量化控制级

5级：持续改进级

代表安全工程组织的成熟度级别11个过程区：

PA01管理安全控制

PA02评估影响

PA03评估安全风险

PA04评估威胁

PA05评估脆弱性

PA06建立保证论据

PA07协调安全

PA08监视安全态势

PA09提供安全输入

PA10指定安全要求

PA11验证和证实安全性

SSE-CMM信息系统安全工程能力成熟度模型（续）目前三十六页\总数二百二十七页\编于十七点2023/5/23ISO15408(GB/T18336)信息技术安全性评估准则通常简称CC－通用准则，ISO15408:1999，GB/T18336:2001;定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准；分为3个部分：第一部分：简介和一般模型第二部分：安全功能要求第三部分：安全保证要求目前三十七页\总数二百二十七页\编于十七点2023/5/23管理体系标准ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业安全卫生管理体系标准ISO17799信息安全管理体系标准目前三十八页\总数二百二十七页\编于十七点2023/5/23ISO/IEC17799:2000Informationtechnology－

Codeofpracticeforinformationsecuritymanagement信息技术－信息安全管理实施细则

3.2ISO/IEC17799:2000目前三十九页\总数二百二十七页\编于十七点2023/5/23

历史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的历史及发展目前四十页\总数二百二十七页\编于十七点2023/5/23BSI简介BSI英国标准协会英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准ISO9000（质量管理体系）ISO14001（环境管理体系）OHSAS18001（职业健康与安全管理体系）QS-9000/ISO/TS16949（汽车供应行业的质量管理体系）TL9000（电信供应行业的质量管理体系）BS7799。目前四十一页\总数二百二十七页\编于十七点2023/5/23

IUG：InternationalUserGroup1997年成立宗旨

促进ISO17799/BS7799的应用和推广促进对信息安全管理体系标准、认证等的理解，服务全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

目前四十二页\总数二百二十七页\编于十七点2023/5/23ISO17799被各国或地区采用的情况EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中国目前四十三页\总数二百二十七页\编于十七点2023/5/23ISO17799在中国国内从2000年初开始认识ISO17799/BS7799；2000年初开始，国内一些公司和单位进行BS7799的研究和相关课程培训；2002－2003年，我国已经提出了国标化的计划；目前四十四页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架ISO17799:2000（BS7799-1:1999）

CodeofPracticeforInformationSecurityManagement

信息安全管理实施细则BS7799-2:1999(已经有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem

信息安全管理体系规范目前四十五页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)Foreword(ISO前言)Introduction(引言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.～12.详细控制目标和控制措施目前四十六页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)Foreword(ISO前言)

ISO(国际标准化组织)和IEC(国际电工委员会)组成世界性标准化的专门体系。作为ISO或IEC成员的各国团体通过由各自组织设立的技术委员会参与国际标准的开发，处理特殊领域的技术活动。ISO和IEC技术委员会协调共同利益的领域。其它与ISO和IEC有联系的国际组织（官方的和非官方的）也可参加工作。

……目前四十七页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)Introduction(引言)什么是信息安全为何需要信息安全如何确定安全需求评估安全风险选择控制措施信息安全起点成功的关键因素制定组织自身的指导方针目前四十八页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)Scope(范围)

本标准为组织中负责信息安全的启动、实现和保持的人员提供了信息安全管理方面的建议。目的是为各个组织制定安全标准和有效的安全管理措施提供一个通用平台，并建立组织间交易时的信心。本标准所提供的建议应该根据相关法规有选择的使用。目前四十九页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)2.TermandDefinitions(术语和定义)2.1informationsecurity

信息安全

2.2Riskassessment

风险评估

2.3Riskmanagement

风险管理目前五十页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)2.1informationsecurity信息安全

Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.确保只有被授权的人员才可以访问信息。

-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.确保信息及其处理方法的准确性和完整性。

-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.确保被授权的用户在需要时可以访问信息和相关的资产。目前五十一页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)2.2Riskassessment风险评估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.对信息和信息处理设施所受到的威胁、影响和脆弱性以及发生这些事件的可能性进行评估。目前五十二页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)2.3Riskmanagement风险管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本，对影响信息系统的安全风险进行识别、控制、减小或消除的过程。目前五十三页\总数二百二十七页\编于十七点2023/5/233.4ISO17799:2000的内容框架(续)3.Securitypolicy安全方针4.SecurityOrganizational安全组织5.Assetclassificationandcontrol资产分类与控制6.Personnelsecurity人员安全7.Physicalandenvironmentalsecurity物理和环境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol访问控制10.Systemsdevlopmentandmaintenance系统开发和维护11.Businesscontinuitymanagement业务连续性管理12.Compliance符合性目前五十四页\总数二百二十七页\编于十七点2023/5/23

Foreword(BSI前言)1.Scope(范围)2.TermandDefinitions(术语和定义)3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)4.Detailedcontrols（详细控制措施）

3.5BS7799-2:1999的内容框架目前五十五页\总数二百二十七页\编于十七点2023/5/23

1.Scope(范围)BS7799的这一部分提出了建立、实施并记录信息安全管理体系时的具体要求；同时，也提出了各组织根据具体需求采取安全控制措施的要求。

3.5BS7799-2:1999的内容框架(续)目前五十六页\总数二百二十七页\编于十七点2023/5/23

2.TermandDefinitions(术语和定义)2.1statementofapplicability(适用声明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.

根据组织需要对所选的控制目标和控制措施的说明

3.5BS7799-2:1999的内容框架(续)目前五十七页\总数二百二十七页\编于十七点2023/5/23

3.Informationsecuritymanagementsystemrequirements(信息安全管理体系的要求)3.1General(总则)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(实施)3.4Documentation(文档化)3.5Documentcontrol(文件控制)3.6Records(记录)

3.5BS7799-2:1999的内容框架(续)目前五十八页\总数二百二十七页\编于十七点2023/5/23

4.Detailedcontrols（详细控制措施）4.1Securitypolicy安全方针4.2SecurityOrganizational安全组织4.3Assetclassificationandcontrol资产分类与控制4.4Personnelsecurity人员安全4.5Physicalandenvironmentalsecurity物理和环境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol访问控制4.8Systemsdevlopmentandmaintenance系统开发和维护4.9Businesscontinuitymanagement业务连续性管理4.10Compliance符合性

3.5BS7799-2:1999的内容框架(续)目前五十九页\总数二百二十七页\编于十七点2023/5/233.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之区别ISO/IEC17799:2000(BS7799-1:1999)为指南指导如何进行安全管理实践BS7799-2:1999和BS7799-2:2002为标准建立的信息安全管理体系必须符合的要求BS7799-2:2002更接近ISO9000标准的格式控制目标和控制措施作为附录目前六十页\总数二百二十七页\编于十七点2023/5/234.

信息安全管理体系方法4.1什么是ISMS4.2

ISMS的重要原则4.3

ISMS的实现方法目前六十一页\总数二百二十七页\编于十七点2023/5/23

4.1

什么是ISMSISMS：

InformationSecurityManagementSystem

信息安全管理体系ISO9000-2000术语和定义组织organization职责、权限和相互关系得到安排的一组人员及设施,如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的部分或组合。管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织目标的过程。目前六十二页\总数二百二十七页\编于十七点2023/5/23信息安全管理体系ISMS定义ISMS是：在信息安全方面指挥和控制组织的以实现信息安全目标的相互关联和相互作用的一组要素。信息安全目标应是可测量的要素可能包括信息安全方针、策略信息安全组织结构各种活动、过程信息安全控制措施人力、物力等资源………目前六十三页\总数二百二十七页\编于十七点2023/5/23要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息安全管理体系框图信息安全管理体系框图目前六十四页\总数二百二十七页\编于十七点2023/5/234.2ISMS的重要原则4.2.1PDCA循环

4.2.2过程方法

4.2.3其它重要原则目前六十五页\总数二百二十七页\编于十七点2023/5/23PDCA循环：Plan—Do—Check—Act计划实施检查改进PDAC

PDCA循环目前六十六页\总数二百二十七页\编于十七点2023/5/23

PDCA循环（续）又称“戴明环”,PDCA循环是能使任何一项活动有效进行的工作程序:P：计划，方针和目标的确定以及活动计划的制定；

D：执行，具体运作，实现计划中的内容；

C：检查，总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；

A：改进（或处理）,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。目前六十七页\总数二百二十七页\编于十七点2023/5/23PDCA循环的特点一

按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环

PDCA循环（续）目前六十八页\总数二百二十七页\编于十七点2023/5/23PDCA循环的特点二

组织中的每个部分，甚至个人，均有一个PDCA循环，大环套小环，一层一层地解决问题。

PDCA循环（续）目前六十九页\总数二百二十七页\编于十七点2023/5/23PDCA循环的特点三

每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090改进执行计划检查CADP达到新的水平改进(修订标准)维持原有水平90909090改进执行计划检查CADP

PDCA循环（续）目前七十页\总数二百二十七页\编于十七点2023/5/23

过程方法定义ISO9000-2000术语和定义过程：一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为“过程方法”。目前七十一页\总数二百二十七页\编于十七点2023/5/23活动测量、改进责任人资源记录输入输出过程方法模型：目前七十二页\总数二百二十七页\编于十七点2023/5/23

信息安全管理过程方法信息安全实现是一个大的过程；信息安全实现过程的每一个活动也是一个过程；识别组织实现信息安全的每一个过程；对每一个信息安全过程的实施进行监控和测量；改进每一个信息安全过程。

目前七十三页\总数二百二十七页\编于十七点2023/5/23制定信息安全方针确定ISMS的范围安全风险评估风险管理选择控制目标和控制措施准备适用声明实施测量、改进安全需求安全信息安全管理的过程网络目前七十四页\总数二百二十七页\编于十七点2023/5/23信息安全管理的过程网络将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一部分过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程，也可用于整个过程网络目前七十五页\总数二百二十七页\编于十七点2023/5/23领导重视√指明方向和目标√权威√预算保障，提供所需的资源√监督检查√组织保障

其它重要原则－领导重视目前七十六页\总数二百二十七页\编于十七点2023/5/23

全员参与√信息安全不仅仅是IT部门的事；√让每个员工明白随时都有信息安全问题；√每个员工都应具备相应的安全意识和能力；√让每个员工都明确自己承担的信息安全责任；

其它重要原则－全员参与目前七十七页\总数二百二十七页\编于十七点2023/5/23持续改进√信息安全是动态的，时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全目标的循环活动

其它重要原则－持续改进目前七十八页\总数二百二十七页\编于十七点2023/5/23

文件化√文件的作用：有章可循，有据可查√文件的类型：手册、规范、指南、记录

其它重要原则－文件化

沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用：有章可循，有据可查目前七十九页\总数二百二十七页\编于十七点2023/5/23

文件的类型：手册、规范、指南、记录-手册：向组织内部和外部提供关于信息安全管理体系的一致信息的文件

-

规范：阐明要求的文件

-

指南：阐明推荐方法和建议的文件

-

记录：为完成的活动或达到的结果提供客观证据的文件

文件化

其它重要原则－文件化目前八十页\总数二百二十七页\编于十七点2023/5/234.3ISMS的实现方法4.3.1ISMS总则4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录目前八十一页\总数二百二十七页\编于十七点2023/5/23

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

组织应该建立并运行一套文件化的ISMS

确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要达到的安全保证程度

3.1General(总则)

4.3.1ISMS总则目前八十二页\总数二百二十七页\编于十七点2023/5/23

建设ISMS的步骤：如下图

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架目前八十三页\总数二百二十七页\编于十七点2023/5/23制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件4.3.2建立ISMS框架目前八十四页\总数二百二十七页\编于十七点2023/5/23信息安全方针

一、目的：信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理，二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视，

第一步制订信息安全方针4.3.2建立ISMS框架

组织应定义信息安全方针。BS7799-2对ISMS的要求：目前八十五页\总数二百二十七页\编于十七点2023/5/23什么是信息安全方针？

信息安全方针是由组织的最高管理者正式制订和发布的该组织的信息安全的目标和方向，用于指导信息安全管理体系的建立和实施过程。

信息安全方针4.3.2建立ISMS框架

第一步制订信息安全方针目前八十六页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第一步制订信息安全方针要经最高管理者批准和发布体现了最高管理者对信息安全的承诺与支持要传达给组织内所有的员工要定期和适时进行评审信息安全方针目前八十七页\总数二百二十七页\编于十七点2023/5/23目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息安全管理体系被充分理解和贯彻实施；统领整个信息安全管理体系。4.3.2建立ISMS框架

第一步制订信息安全方针目前八十八页\总数二百二十七页\编于十七点2023/5/23信息安全方针的内容

包括但不限于：组织对信息安全的定义信息安全总体目标和范围最高管理者对信息安全的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息安全管理的总体责任和具体责任的定义相关支持文件4.3.2建立ISMS框架

第一步制订信息安全方针目前八十九页\总数二百二十七页\编于十七点2023/5/23注意事项简单明了易于理解可实施避免太具体4.3.2建立ISMS框架

第一步制订信息安全方针目前九十页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第二步确定ISMS范围

组织应定义信息安全管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。

BS7799-2对ISMS的要求：目前九十一页\总数二百二十七页\编于十七点2023/5/23可以根据组织的实际情况，将组织的一部分定义为信息安全管理范围，也可以将组织整体定义为信息安全管理范围；信息安全管理范围必须用正式的文件加以记录。4.3.2建立ISMS框架

第二步确定ISMS范围目前九十二页\总数二百二十七页\编于十七点2023/5/23文件是否明白地描述了信息安全管理体系的范围范围的边界和接口是否已清楚定义4.3.2建立ISMS框架

第二步确定ISMS范围ISMS范围文件：目前九十三页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第三步风险评估

组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。BS7799-2对ISMS的要求：目前九十四页\总数二百二十七页\编于十七点2023/5/23是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否定期和适时进行？4.3.2建立ISMS框架

第三步风险评估目前九十五页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第四步风险管理

组织应依据信息安全方针和组织要求的安全保证程度来确定需要管理的信息安全风险。BS7799-2对ISMS的要求：目前九十六页\总数二百二十七页\编于十七点2023/5/23

根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。4.3.2建立ISMS框架

第四步风险管理目前九十七页\总数二百二十七页\编于十七点2023/5/23是否定义了组织的风险管理方法？是否定义了所需的信息安全保证程度？是否给出了可选择的控制措施供管理层做决定？4.3.2建立ISMS框架

第四步风险管理目前九十八页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第五步选择控制目标和控制措施

组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。BS7799-2对ISMS的要求：目前九十九页\总数二百二十七页\编于十七点2023/5/23安全问题安全需求控制目标控制措施解决指出定义被满足

第五步选择控制目标和控制措施4.3.2建立ISMS框架选择控制措施的示意图目前一百页\总数二百二十七页\编于十七点2023/5/23选择的控制措施是否建立在风险评估的结果之上？是否能从风险评估中清楚地看出哪一些是基本控制措施，哪一些是必须的，哪一些是可以考虑选择的控制措施？选择的控制措施是否反应了组织的风险管理战略？针对每一种风险，控制措施都不是唯一的，要根据实际情况进行选择4.3.2建立ISMS框架

第五步选择控制目标和控制措施目前一百零一页\总数二百二十七页\编于十七点2023/5/23未选择某项控制措施的原因风险原因-没有识别出相关的风险财务原因-财务预算的限制环境原因-安全设备、气候、空间等技术-某些控制措施在技术上不可行文化-社会环境的限制时间-某些要求目前无法实施其它-？4.3.2建立ISMS框架

第五步选择控制目标和控制措施目前一百零二页\总数二百二十七页\编于十七点2023/5/234.3.2建立ISMS框架

第六步准备适用声明

组织应准备适用声明，记录已选择的控制措施和理由，以及未选择的控制措施及其理由。BS7799-2对ISMS的要求：目前一百零三页\总数二百二十七页\编于十七点2023/5/23

在选择了控制目标和控制措施后，对实施某项控制目标、措施和不实施某项控制目标、措施进行记录，并对原因进行解释的文件。未来实现公司ISMS适用声明4.3.2建立ISMS框架

第六步准备适用声明目前一百零四页\总数二百二十七页\编于十七点2023/5/23Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.

组织应该对所选择的控制目标和控制措施有效的实施。实施程序的有效性应依据条之规定加以验证。

4.10.2安全方针和技术符合性的评审安全方针的符合性技术符合性的检查4.3.3ISMS实施BS7799-2对ISMS实施的要求：目前一百零五页\总数二百二十七页\编于十七点2023/5/23

信息安全管理体系文件应包括如下方面的信息：按3.2条款规定采取的行动的证据对管理框架的总结，包括适用声明中所列信息安全方针、控制目标和控制措施3.3条规定的实施管理程序，此程序应对责任和相关措施加以描述信息安全管理体系的管理和操作程序，此程序应对责任和相关措施加以描述4.3.4ISMS体系文件BS7799-2对ISMS文件的要求：目前一百零六页\总数二百二十七页\编于十七点2023/5/23

组织要建立和维护一套控制3.4条款中要求的所有文件的流程，应确保这些文件：

随时可得根据组织的安全方针的变化得以定期评审和修订版本要及时更新，并存放在信息安全管理体系的涉及的现场过时后及时撤换过时撤换后对其进行分类存档，用于事后凭据或查阅此类文本应保持整洁、清楚，并标明日期，按分类妥善保存至规定期限到期为止。针对各类文件的建立和修订，要制定一定的流程和职责划分。4.3.5ISMS文件控制BS7799-2对ISMS文件控制的要求：目前一百零七页\总数二百二十七页\编于十七点2023/5/23记录作为ISMS运行结果的证据，要求加以保留，以证明是否符合ISMS和组织所提出的要求。记录可为访客记录、审计记录和出入证明等等。各单位应建立并运行合理程序，以确认、维护、保存和处理这些过程是否规范的要求。记录要求清晰可辨，通过其可追溯到所记录的活动情况。记录的保存和维护应当做到随时可得，并不得损坏、磨损或丢失。4.3.6ISMS记录BS7799-2对ISMS记录的要求：目前一百零八页\总数二百二十七页\编于十七点2023/5/23

5.1十类控制措施

5.2基本控制措施

5.3ISO17799控制目标和控制措施概述

5.ISO17799中的控制目标和控制措施目前一百零九页\总数二百二十七页\编于十七点2023/5/235.1

十类控制措施一、安全方针（SecurityPolicy）（1,2）（附注）二、安全组织（SecurityOrganization）(3,10)三、资产分类与控制(AssetclassificationandControl)(2,3)四、人员安全(PersonnelSecurity)(3,10)五、物理与环境安全(PhysicandEnvironmentSecurity)(3,13)六、通信与运行管理(CommunicationandOperationManagement)(7,24)八、系统开发与维护(Systemdevelopandmaintenance)(5,18)七、访问控制(Accesscontrol)(8,31)九、业务持续性管理(Businesscontinuitymanagement)(1,5)十、符合性(Compliance)(3,11)附注：(m，n)－m：执行目标的数目n：控制方法的数目目前一百一十页\总数二百二十七页\编于十七点2023/5/235.1

十类控制措施(续)ISO17799包含了36个控制目标和127个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人目前一百一十一页\总数二百二十七页\编于十七点2023/5/23

ISO17799推荐了八个控制措施作为信息安全的起始点（StartingPoint），组织可以此为基础建立ISMS。这些控制措施在大多数情况下是普遍适用的。5.2基本控制措施目前一百一十二页\总数二百二十七页\编于十七点2023/5/23与法律有关的控制措施12.1.4数据保护和个人隐私12.1.3组织记录的保护12.1.2知识产权5.2

基本控制措施－与法律相关的目前一百一十三页\总数二百二十七页\编于十七点2023/5/23与法律有关的控制措施12.1.4数据保护和个人隐私目标：符合所在国家的数据保护法律和与个人隐私相关的法律数据保护法1998（英国）电子数据保护法（欧盟2002年6月通过）电信服务数据保护法（德国）个人隐私法（美国、加拿大等）电子通信隐私法（美国）5.2

基本控制措施－与法律相关的目前一百一十四页\总数二百二十七页\编于十七点2023/5/23与法律有关的控制措施12.1.3组织记录的保护目标：保护重要的记录不被丢失、破坏或伪造保留期存储报废处理5.2

基本控制措施－与法律相关的目前一百一十五页\总数二百二十七页\编于十七点2023/5/23与法律有关的控制措施12.1.2知识产权

版权

软件版权目标：确保使用产品或服务时不违反国家有关知识产权和专属软件产品方面的法律、法规和法令。复制限制许可协议合同要求5.2

基本控制措施－与法律相关的目前一百一十六页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施3.1信息安全方针4.1.3信息安全责任分配6.2.1信息安全教育与培训6.3.1安全事件汇报11.1业务连续性管理

5.2

基本控制措施－与最佳实践相关的目前一百一十七页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施

信息安全方针文件目标：为信息安全提供管理指导和支持。

信息安全方针5.2

基本控制措施－与最佳实践相关的目前一百一十八页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施

信息安全责任分配目标：分配安全责任，使得信息安全在组织内得以有效管理。和各个系统相关的各种资产和安全程序应给予识别和明确的定义负责上述各资产和安全程序的经理人的任命要经过批准，其权责要记录在案授权级别应清晰定义并记录在案5.2

基本控制措施－与最佳实践相关的目前一百一十九页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施

信息安全教育与培训目标：保证使用者有信息安全意识，理解并执行信息安全方针，并有能力胜任信息安全的相关工作。安全意识安全知识5.2

基本控制措施－与最佳实践相关的目前一百二十页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施

安全事件汇报目标：最大程度减小安全事故和故障造成的破坏，并且监控此类事故、从事故中学习。应该建立正式的报告程序，同时建立事故响应程序，阐明接到事故报告后所采取的行动。应该使所有员工和签约方知道报告安全事故的程序，并应该要求他们尽快报告此类事故。应该在事故被处理完并关闭后，执行适当的反馈程序，以确保那些报告的事故被通告了结果。5.2

基本控制措施－与最佳实践相关的目前一百二十一页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施11.1

业务连续性管理目标：抵制商业活动的中断，保护关键的商业过程免受主要的故障或灾难的影响。

5.2

基本控制措施－与最佳实践相关的目前一百二十二页\总数二百二十七页\编于十七点2023/5/23与最佳实践有关的控制措施11.

业务连续性管理

11.1业务连续性管理11.1.1过程11.1.2业务连续性和影响分析11.1.3制定和实施业务连续性计划11.1.4业务连续性计划框架11.1.5测试，维护和重新评估业务连续性计划测试业务连续性计划维护和重新评估业务连续性计划5.2

基本控制措施－与最佳实践相关的目前一百二十三页\总数二百二十七页\编于十七点2023/5/23

10类控制36个控制目标127项控制措施5.3ISO17799控制目标和控制措施概述目前一百二十四页\总数二百二十七页\编于十七点2023/5/235.3ISO17799控制目标和控制措施概述3.

信息安全方针

目标：为信息安全提供管理指导和支持。

3.1信息安全方针3.1.1信息安全方针文件3.1.2评审与评价目前一百二十五页\总数二百二十七页\编于十七点2023/5/234.

安全组织

目标：管理组织内部的信息安全维护组织的信息处理设备和信息资产在被第三方访问时的安全维护把信息处理的责任外包给其他组织时的信息安全性5.3ISO17799控制目标和控制措施概述目前一百二十六页\总数二百二十七页\编于十七点2023/5/234.

安全组织

4.1信息安全基础结构4.2第三方访问的安全4.3外包5.3ISO17799控制目标和控制措施概述目前一百二十七页\总数二百二十七页\编于十七点2023/5/234.1信息安全基础结构4.1.1信息安全管理委员会4.1.2信息安全协作4.1.3信息安全责任分配4.1.4信息处理设施的授权过程4.1.5信息安全专家建议4.1.6组织间的合作4.1.7信息安全的独立评审5.3ISO17799控制目标和控制措施概述目前一百二十八页\总数二百二十七页\编于十七点2023/5/234.2第三方访问的安全4.2.1第三方访问的风险识别

访问类型

访问原因

现场工作的合同方4.2.2第三方合同中的安全要求5.3ISO17799控制目标和控制措施概述目前一百二十九页\总数二百二十七页\编于十七点2023/5/234.3外包4.3.1外包合同中的安全要求外包合同5.3ISO17799控制目标和控制措施概述目前一百三十页\总数二百二十七页\编于十七点2023/5/235.

资产分类与控制

目标：保持对组织资产的适当保护确保信息资产受到适当级别的保护

5.3ISO17799控制目标和控制措施概述目前一百三十一页\总数二百二十七页\编于十七点2023/5/235.

资产分类与控制

5.1资产责任

5.1.1资产清单5.2信息资产分类

5.2.1分类指南

5.2.2标识和处理绝密机密秘密5.3ISO17799控制目标和控制措施概述目前一百三十二页\总数二百二十七页\编于十七点2023/5/236.

人员安全

目标：降低人为错误、盗窃、诈骗或误用设备的风险确保用户意识到信息安全的威胁和利害关系，并在其日常工作过程中树立支持组织安全方针的意识尽量减小安全事件和故障造成的损失，监督此类事件并从中吸取教训5.3ISO17799控制目标和控制措施概述目前一百三十三页\总数二百二十七页\编于十七点2023/5/236.

人员安全

6.1岗位安全责任和人员录用安全要求6.2用户培训6.3安全事件与故障的响应5.3ISO17799控制目标和控制措施概述目前一百三十四页\总数二百二十七页\编于十七点2023/5/236.1岗位安全责任和人员录用安全要求6.1.1岗位安全责任6.1.2人员选拔及其原则6.1.3保密协议6.1.4录用条款5.3ISO17799控制目标和控制措施概述目前一百三十五页\总数二百二十七页\编于十七点2023/5/236.2用户培训6.2.1信息安全教育与培训5.3ISO17799控制目标和控制措施概述目前一百三十六页\总数二百二十七页\编于十七点2023/5/236.3安全事件与故障响应6.3.1报告安全事件6.3.2报告安全隐患6.3.3报告软件故障6.3.4总结事件教训6.3.5处罚过程5.3ISO17799控制目标和控制措施概述目前一百三十七页\总数二百二十七页\编于十七点2023/5/237.

物理和环境安全

目标：防止进入业务安全区边界，对信息进行未授权的访问、破坏和干扰防止资产的丢失、损坏或损害，以及业务活动的中断防止信息和信息处理设施遭受损害或被盗5.3ISO17799控制目标和控制措施概述目前一百三十八页\总数二百二十七页\编于十七点2023/5/237.

物理和环境安全

7.1安全区域7.2设备安全7.3常规控制措施5.3ISO17799控制目标和控制措施概述目前一百三十九页\总数二百二十七页\编于十七点2023/5/237.1安全区域7.1.1边界7.1.2出入控制7.1.3办公室、房间和设施的安全7.1.4安全区工作守则7.1.5交接区隔离5.3ISO17799控制目标和控制措施概述目前一百四十页\总数二百二十七页\编于十七点2023/5/237.2设备安全7.2.1设备安置及其保护7.2.2电源7.2.3线缆安全7.2.4设备维护7.2.5安全区外的设备安全7.2.6设备报废或再利用的安全5.3ISO17799控制目标和控制措施概述目前一百四十一页\总数二百二十七页\编于十七点2023/5/237.3常规控制措施7.3.1清空桌面和清屏7.3.2资产转移5.3ISO17799控制目标和控制措施概述目前一百四十二页\总数二百二十七页\编于十七点2023/5/238.

通信和操作管理

目标：确保信息处理设施正确运行与安全运行将系统故障的风险降到最低保护软件和信息的完整性保持信息处理与通信服务的完整性和可用性确保网络信息的安全和支持性基础设施得到保护防止资产损失和业务活动的中断防止丢失、修改或误用组织之间交换的信息5.3ISO17799控制目标和控制措施概述目前一百四十三页\总数二百二十七页\编于十七点2023/5/238.

通信和操作管理

8.1操作程序和责任8.2系统规划和验收8.3恶意软件的防范8.4日常管理8.5网络管理8.6媒体安全8.7信息及软件的交换5.3ISO17799控制目标和控制措施概述目前一百四十四页\总数二百二十七页\编于十七点2023/5/238.1操作程序和责任8.1.1操作程序文件化8.1.2操作的变更控制8.1.3事件管理程序8.1.4职责划分8.1.5开发设备与操作设备的隔离8.1.6外部设施管理5.3ISO17799控制目标和控制措施概述目前一百四十五页\总数二百二十七页\编于十七点2023/5/238.2系统规划和验收8.2.1容量规划8.2.2系统验收200120105.3ISO17799控制目标和控制措施概述目前一百四十六页\总数二百二十七页\编于十七点2023/5/238.3恶意软件的防范8.3.1恶意软件的防范措施5.3ISO17799控制目标和控制措施概述目前一百四十七页\总数二百二十七页\编于十七点2023/5/238.4日常管理8.4.1信息备份8.4.2操作日志8.4.3错误记录5.3ISO17799控制目标和控制措施概述目前一百四十八页\总数二百二十七页\编于十七点2023/5/238