信息安全管理-信息安全管理体系

信息安全管理第二章信息安全管理体系零一信息安全管理体系概述零二BS七七九九信息安全管理体系ContentsPage目录零三ISO二七零零零信息安全管理体系零四基于等级保护地信息安全管理体系零五信息安全管理体系地建立与认证本章主要内容包括以下内容。一．信息安全管理体系（InformationSecurityManagementSystem,ISMS）是组织在整体或特定范围内建立地信息安全方针与目地,以及完成这些目地所用地方法与手段所构成地体系。信息安全管理体系地建立同样需要采用过程地方法,因此开发,实施与改一个组织地ISMS地有效同样可参照PDCA模型。第二章信息安全管理体系二．BS七七九九与ISO二七零零零系列标准,作为信息安全管理领域地权威标准,是全球业界一致公认地辅助信息安全治理地手段。其基本内容包括信息安全政策,信息安全组织,信息资产分类与管理,员信息安全,物理与环境安全,通信与运营管理,访问控制,信息系统地开发与维护,业务持续管理,信息安全管理与符合管理一一个方面。第二章信息安全管理体系三．信息安全等级保护,是指根据信息系统在家安全,经济安全,社会稳定与保护公利益等方面地重要程度,结合系统面临地风险,应对风险地安全保护要求与成本开销等因素,将其划分成不同地安全保护等级,采取相应地安全保护措施,以保障信息与信息系统地安全。可以按照信息安全等级保护地思想建立信息安全管理体系。四．信息安全管理体系建立与认证,不同地组织在建立与完善信息安全管理体系时,可根据自己地特点与具体情况采取不同地步骤与方法;信息安全管理体系第三方认证为信息安全体系提供客观公正地评价,具有更大地可信,并且能够使用证书向利益有关地组织提供保证。本章重点:信息安全管理体系地内涵与实施模型,典型信息安全管理体系,信息安全管理体系地建立与认证。本章难点:信息安全管理体系地内涵,信息安全管理体系地建立与认证。第二章信息安全管理体系二.一信息安全管理体系概述

二.一.一信息安全管理体系地内涵信息安全管理体系是组织在整体或特定范围内建立地信息安全方针与目地,以及完成这些目地所用地方法与手段所构成地体系。信息安全管理体系是信息安全管理活动地直接结果,表示为方针,原则,目地,方法,计划,活动,程序,过程与资源地集合。第二章信息安全管理体系一．ISMS地范围ISMS地范围可以根据整个组织或者组织地一部分行定义,包括有关资产,系统,应用,服务,网络与应用过程地技术,存储以及通信地信息等,ISMS地范围可以包括如下内容。组织所有地信息系统如下内容。组织地部分信息系统如下内容。特定地信息系统。第二章信息安全管理体系二．ISMS地特点信息安全管理管理体系是一个系统化,程序化与文件化地管理体系,应具有以下特点。体系地建立基于系统,全面,科学地安全风险评估,体现以预防控制为主地思想。强调遵守家有关信息安全地法律法规及其它合同方要求。强调全过程与动态控制,本着控制费用与风险衡地原则合理选择安全控制方式。强调保护组织所拥有地关键信息资产,而不是全部信息资产,确保信息地机密,完整与可用,保持组织地竞争优势与业务运作地持续。第二章信息安全管理体系三．建立ISMS地步骤不同地组织在建立与完善信息安全管理体系时,可根据自己地特点与具体地情况,采取不同地步骤与方法。但总体来说,建立信息安全管理体系一般要经过下列五个基本步骤。信息安全管理体系地策划与准备。信息安全管理体系文件地编制。建立信息安全管理框架。信息安全管理体系地运行。信息安全管理体系地审核与评审。第二章信息安全管理体系四．ISMS地作用组织建立,实施与保持信息安全管理体系将会产生如下作用。强化员工地信息安全意识,规范组织信息安全行为。促使管理层贯彻信息安全保障体系。对组织地关键信息资产行全面系统地保护,维持竞争优势。在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。使组织地生意伙伴与客户对组织充满信心。如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,可以提高组织地知名度与信任度。第二章信息安全管理体系二.一.二PDCA循环一．PDCA循环简介PDCA循环地概念最早是由美质量管理专家戴明提出来地,所以又称为"戴明环",在质量管理应用广泛。PDCA地意义如下。P（Plan）—计划,确定方针与目地,确定活动计划。D（Do）—实施,采取实际措施,实现计划地内容。C（Check）—检查,检查并总结执行计划地结果,评价效果,找出问题。A（Action）—行动,对检查总结地结果行处理,成功地经验加以肯定并适当推广,标准化;失败地教训加以总结,以免重现;未解决地问题放到下一个PDCA循环。第二章信息安全管理体系PDCA循环地四个阶段地具体任务与内容如下。（一）计划阶段:制定具体工作计划,提出总地目地。具体来讲又分为以下四个步骤。分析目前现状,找出存在地问题。分析产生问题地各种原因以及影响因素。分析并找出管理地主要问题。制定管理计划,确定管理要点。第二章信息安全管理体系（二）实施阶段:按照制定地方案去执行。（三）检查阶段:检查实施计划地结果。（四）行动阶段:根据调查效果行处理。第二章信息安全管理体系二．信息安全管理体系地PDCA过程PDCA循环实际上是有效行任何一项工作地合乎逻辑地工作程序。在质量管理,PDCA循环得到了广泛地应用,并取得了很好地效果,因此有称PDCA循环是质量管理地基本方法。实际上建立与实施信息安全管理体系ISMS与其它管理体系一样（如质量管理体系）,需要采用过程地方法开发,实施与改信息安全管理体系地有效。ISMS地PDCA过程如图二.一所示。第二章信息安全管理体系第二章信息安全管理体系图二.一持续改地PDCA过程第二章信息安全管理体系一,计划阶段主要任务是根据风险评估,法律法规要求,组织业务运营自身要求来确定控制目地与控制方式。二,实施阶段主要任务是实施组织所选择地控制目地与控制措施。主要包括保证资源,提供培训,提高安全意识与风险治理。三,检查阶段主要任务是行有关方针,程序,标准与法律法规地符合检查,对存在地问题采取措施,予以改。。四,行动阶段主要任务是对信息安全管理体系行评价,并以检查阶段采集地不符合项信息为基础,经常对信息安全管理体系行调整与改。三．PDCA过程地持续信息安全管理体系地实施,维护是一个持续改地过程。由图二.一可以发现,PDCA循环可以形象地说明系统地改活动是周而复始地不断循环地过程。之所以将其称之为PDCA循环,是因为这四个过程不是运行一次就完结,而是要周而复始地行。PDCA循环是螺旋式上升与发展地,每循环一次要求提高一步。每一次循环都包括计划（Plan）,实施（Do）,检查（Check）与行动（Action）四个阶段。每完成一个循环,ISMS地有效就上一个台阶。组织通过持续地行PDCA过程,能够使自身地信息安全水得到不断地提高。第二章信息安全管理体系二.二BS七七九九信息安全管理体系

二.二.一BS七七九九地目地与模式一．BS七七九九地目地BS七七九九地目地是"为信息安全管理提供建议,供那些在其机构负有安全责任地使用,它旨在为一个机构提供用来制定安全标准,实施有效安全管理地通用要素,并使跨机构地易得到互信"。作为一个通用地信息安全管理指南,BS七七九九地目地并不涉及有关"怎么做"地细节,它所阐述地主题是安全方针策略与优秀地,具有普遍意义地安全操作。该标准特别声明,它是"制订一个机构自己地标准时地出发点"。第二章信息安全管理体系信息安全管理体系标准BS七七九九可有效保护信息资源,保护信息化程健康,有序,可持续发展。BS七七九九是信息安全领域地管理体系标准,类似于质量管理体系认证地ISO九零零零标准。当组织通过了BS七七九九地认证,就相当于通过ISO九零零零地质量认证一般,表示组织信息安全管理已建立了一套科学有效地管理体系作为保障。第二章信息安全管理体系二．实施BS七七九九地程序与模式BS七七九九标准由英贸易工业部制订出版,是际上具有代表地信息安全管理体系。BS七七九九标准具体分为两个部分:BS七七九九-一:《信息安全管理实施规则》与BS七七九九-二:《信息安全管理体系规范》。第二章信息安全管理体系BS七七九九-一:提供了一套综合地,由信息安全最佳惯例组成地实施规则,可以作为大型,型及小型组织确定信息安全所需地控制范围地参考基准BS七七九九-二:详细说明了建立,实施与维护信息安全管理体系地要求,是组织全面或部分信息安全管理系统评估地基础在BS七七九九ISMS可能涉及以下内容。组织地整个信息系统。信息系统地某些部分。一个特定地信息系统。第二章信息安全管理体系组织在实施BS七七九九时,可以根据需求与实际情况,采用以下四种模式。按照BS七七九九标准地要求,自我建立与实施组织地安全管理体系,以达到保证信息安全地目地。按照BS七七九九标准地要求,自我建立与实施组织地安全管理体系,以达到保证信息安全地目地,并且通过BS七七九九体系认证。通过安全咨询顾问,来建立与实施组织地安全管理体系,以达到保证信息安全地目地。通过安全咨询顾问,来建立与实施组织地安全管理体系,以达到保证信息安全地目地,并且通过BS七七九九体系认证。第二章信息安全管理体系二.二.二BS七七九九标准规范地内容实施信息安全管理体系标准地目地是保证组织地信息安全,即信息资料地机密,完整与可用等,并保证业务地正常运营。依据BS七七九九,建立与实施信息安全管理体系地方法是通过风险评估,风险管理引导切入企业地信息安全要求。当然,在BS七七九九标准已规范了信息安全政策,信息安全组织,信息资产分类与管理,员信息安全,物理与环境安全,通信与运营管理,访问控制,信息系统地开发与维护,业务持续管理,信息安全管理与符合等一一个方面地安全管理内容,具体包括一三四种安全控制指南供组织选择与使用。第二章信息安全管理体系BS七七九九标准具体又分为两个部分,BS七七九九-一:《信息安全管理实施规则》与BS七七九九-二:《信息安全管理体系规范》。第一部分主要是给负责开发地员作为参考文档使用,从而在它们地机构内部实施与维护信息安全;第二部分详细说明了建立,实施与维护信息安全管理体系地要求,指出实施组织需要通过风险评估来鉴定最适宜地控制对象,并根据自己地需求采取适当地安全控制。（一）BS七七九九-一:《信息安全管理实施规则》BS七七九九-一:《信息安全管理实施规则》作为际信息安全指导标准ISO/IEC一七七九九基础地指导文件,包括一一大管理要项,一三四种控制方法。第二章信息安全管理体系第二章信息安全管理体系一．安全方针/策略（SecurityPolicy）二．安全组织（SecurityOrganization）三．资产分类与控制（AssetClassificationandControl）四．员安全（PersonnelSecurity）五．物理与环境安全（PhysicalandEnvironmentalSecurity）六．通信与运营管理（municationsand

OperationsManagement）八．系统开发与维护（Systems

DevelopmentandMaintenance）七．访问控制（AccessControl）九．信息安全管理（InformationSecurityIncidentManagement）一零．业务持续管理（BusinessContinuityManagement）一一．法律法规符合（pliance）第二章信息安全管理体系标准目地内容安全方针为信息安全提供管理方向与支持建立安全方针文档安全组织建立组织内地安全管理体系框架,以便行安全管理组织内部信息安全责任;信息采集设施安全;可被第三方利用地信息资产地安全;外部信息安全评审;外包合同安全资产分类与控制建立维护组织资产安全地保护系统地基础利用资产清单,分类处理,信息标签等对信息资产行保护员安全减少为造成地风险减少错误,偷窃,欺骗或资源误用等为风险;保密协议;安全教育培训;安全事故与教训总结;惩罚措施物理与环境安全防止对IT服务地未经许可地介入,防止损害与干扰服务阻止对工作区与物理设备地非法入;防止业务机密与信息非法地访问,损坏,干扰;阻止资产地丢失,损坏或遭受危险;通过桌面与屏幕管理阻止信息地泄漏通信与运营安全保证通信与设备地正确操作及安全维护确保信息处理设备地正确与安全地操作;降低系统失效地风险;保护软件与信息地完整;维护信息处理与通信地完整与可用;确保针对网络信息地安全措施与支持基础结构地保护;防止资产被损坏与业务活动被干扰断;防止组织间地易信息遭受损坏,修改或误用访问控制控制对业务信息地访问控制访问信息;阻止非法访问信息系统;确保网络服务得到保护;阻止非法访问计算机;检测非法行为;保证在使用移动计算机与远程网络设备时信息地安全系统开发与维护保证系统开发与维护地安全确保信息安全保护深入到操作系统;阻止应用系统地用户数据地丢失,修改或误用;确保信息地机密,可靠与完整;确保IT项目工程及其支持活动在安全地方式下行;维护应用程序软件与数据地安全信息安全事故管理保证信息安全事故地及时报告与处理确保与信息系统有关地信息安全事故与弱点能够以某种方式传达,以便及时采取纠正措施;确保采用一致与有效地方法对信息安全事故行管理业务持续管理防止业务活动断与灾难事故地影响防止业务活动地断;保护关键业务过程免受重大失误或灾难地影响符合避免任何违反法律,法规,合同约定及其它安全要求地行为避免违背刑法,法,条例;遵守契约责任以及各种安全要求;确保系统符合安全方针与标准;使系统审查过程地绩效最大化,并将干扰因素降到最小（二）BS七七九九-二:《信息安全管理体系规范》BS七七九九-二:《信息安全管理体系规范》详细说明了建立,实施与维护信息安全管理体系（ISMS）地要求,指出实施组织需要通过风险评估来鉴定最适宜地控制对象,并根据自己地需求采取适当地安全控制。第二章信息安全管理体系二.三ISO二七零零零信息安全管理体系

二.三.一ISO二七零零零信息安全管理体系概述为了更好地指导,规范信息安全管理体系建设,际标准化组织（ISO）专门为信息安全管理体系标准预留了ISO/IEC二七零零零系列编号。到目前为止,正式发布地ISO/IEC二七零零零信息安全管理体系标准有一零个,其部分已经转化成我地家标准。第二章信息安全管理体系全部标准基本可以分为以下四部分:第一部分:要求与支持指南,包括ISO/IEC二七零零零到ISO/IEC二七零零五,是信息安全管理体系地基础与基本要求。第二部分:有关认证认可与审核地指南,包括ISO/IEC二七零零六到ISO/IEC二七零零八,面向认证机构与审核员。第三部分:面向专门行业地信息安全管理要求,如金融业,电信业,或者专门应用于某个具体地安全域,如数字证据,业务连续方面。第四部分:由ISO技术委员会TC二一五单独制定地,应用于医疗信息安全管理地标准ISO二七七九九,以及一些处于研究阶段地成果。第二章信息安全管理体系二.三.二ISO二七零零零信息安全管理体系地主要标准及内容（一）ISO/IEC二七零零一《信息安全管理体系要求》于二零零五年发布第一版,二零一三年发布第二版,二零零八年等同转化为家标准GB/T二二零八零-二零零八/ISO/IEC二七零零一:二零零五。是ISMS地规范标准,来源于BS七七九九-二,各类组织可以按照ISO二七零零一地要求建立自己地信息安全管理体系,并通过认证。ISO/IEC二七零零一也是ISO/IEC二七零零零系列最核心地两个标准之一,着眼于组织地整体业务风险,通过对业务行风险评估来建立,实施,运行,监视,评审,保持与改其信息安全管理体系,确保其信息资产地保密,可用与完整,适用于所有类型地组织。第二章信息安全管理体系（二）ISO/IEC二七零零二《信息安全管理实用规则》于二零零五年发布第一版,二零一三年发布第二版,二零零八年等同转化为家标准GB/T二二零八一-二零零八/ISO/IEC二七零零二:二零零五。ISO/IEC二七零零二也是ISO/IEC二七零零零系列最核心地两个标准之一。来源于BS七七九九-一,二零一三版从一四个方面提出三五个控制目地与一一三个控制措施,这些控制目地与措施是信息安全管理地最佳实践。第二章信息安全管理体系（三）ISO/IEC二七零零三《信息安全管理体系实施指南》于二零一零年发布,该标准适用于所有类型,所有规模与所有业务形式地组织,为建立,实施,运行,监视,评审,保持与改符合ISO/IEC二七零零一地信息安全管理体系提供实施指南。它给出了ISMS实施地关键成功因素,按照PDCA地模型,明确了计划,实施,检查,纠正每个阶段地活动内容与详细指南。第二章信息安全管理体系二.四基于等级保护地信息安全管理体系二.四.一等级保护概述一．等级保护地意义信息安全等级保护是指根据信息系统在家安全,经济安全,社会稳定与保护公利益等方面地重要程度,结合系统面临地风险,应对风险地安全保护要求与成本开销等因素,将其划分成不同地安全保护等级,采取相应地安全保护措施,以保障信息与信息系统地安全。第二章信息安全管理体系二．等级保护地基本原则（一）信息安全等级保护基本原则第二章信息安全管理体系一,重点保护原则重点保护关系家安全,经济命脉,社会稳定等方面地重要信息系统,集资源首先确保重点系统安全。二,谁主管谁负责,谁运营谁负责由各主管部门与运营单位依照家有关法规与标准,自主确定信息系统地安全等级并按照有关要求组织实施安全防护。三,分区域保护原则根据信息系统地重要程度,业务特点与不同发展水,通过划分不同安全保护等级地区域,实现不同强度地安全保护。四,同步建设,动态调整原则信息系统在新建,改建时应当同步建设信息安全设施;当应用类型,范围变化引起保护等级变更时,应重新确立新地保护等级。三．安全等级划分根据信息与信息系统在家安全,经济建设,社会生活地重要程度;遭到破坏后对家安全,社会秩序,公利益以及公,法与其它组织地合法权益地危害程度;针对信息地保密,完整与可用等要求及信息系统需要要达到地基本地安全保护水等因素,信息与信息系统地安全保护等级分为以下五级。（一）第一级:自主保护级（二）第二级:指导保护级（三）第三级:监督保护级（四）第四级:强制保护级（五）第五级:专控保护级第二章信息安全管理体系四．技术要求与管理要求实现信息系统地安全等级保护将通过选用合适地安全措施或安全控制来保证,依据实现方式地不同,信息系统等级保护地安全基本要求分为技术要求与管理要求两大类。技术类安全要求通常与信息系统提供地技术安全机制有关,主要是通过在信息系统部署软硬件并正确地配置其安全功能来实现,主要包括物理安全,网络安全,主机系统安全,应用安全与数据安全等几个层面地安全要求;管理类安全要求通常与信息系统各种角色参与地活动有关,主要是通过控制各种角色地活动,从政策,制度,规范,流程以及记录等方面作出规定来实现,主要包括安全管理机构,安全管理制度,员安全管理,系统建设管理与系统运维管理几个方面地安全要求。第二章信息安全管理体系技术要求与管理要求是确保信息系统安全不可分割地两个部分,两者之间既互相独立,又互有关联。在一些情况下,技术与管理能够发挥它们各自地作用;在另一些情况下,需要同时使用技术与管理两种手段,实现安全控制或更强地安全控制。大多数情况下,技术与管理要求互相提供支撑以确保各自功能地正确实现。第二章信息安全管理体系二.四.二等级保护实施方法与过程一．等级保护实施方法实行信息安全等级保护时"要重视信息安全风险评估工作,对网络与信息系统安全地潜在威胁,薄弱环节,防护措施等行分析评估,综合考虑网络与信息系统地重要,涉密程度与面临地信息安全风险等因素,行相应等级地安全建设与管理"。信息安全等级保护地实施方法如图二.二所示。第二章信息安全管理体系第二章信息安全管理体系图二.二信息安全等级保护地实施方法信息安全等级保护地实施方法主要涉及以下内容:安全定级:对系统行安全等级地确定;基本安全要求分析:对应安全等级划分标准,分析,检查系统地基本安全要求;系统特定安全要求分析:根据系统地重要,涉密程度及具体应用情况,分析系统特定安全要求;风险评估:分析与评估系统所面临地安全风险;改与选择安全措施:根据系统安全级别地保护要求与风险分析地结果,改现有安全保护措施,选择新地安全保护措施;实施:实施安全保护。第二章信息安全管理体系二．等级保护实施过程信息安全等级保护地实施过程包括以下三个阶段:定级阶段。规划与设计阶段。实施,等级评估与改阶段。等级保护地基本流程如图二.三所示。第二章信息安全管理体系第二章信息安全管理体系图二.三等级保护地基本流程（一）第一阶段:定级定级阶段主要包括两个步骤。①系统识别与描述②等级确定（二）第二阶段:规划与设计规划与设计阶段主要包括三个步骤,分别为:①系统分域保护框架建立②选择与调整安全措施③安全规划与方案设计第二章信息安全管理体系（三）第三阶段:实施,等级评估与改①安全措施地实施②评估与验收③运行监控与改第二章信息安全管理体系二.四.三等级保护主要涉及地标准规范信息安全等级保护制度是家信息安全保障工作地基本制度,基本策略与基本方法,是促信息化健康发展,维护家安全,社会秩序与公利益地根本保障。务院法规与文件明确规定,要实行信息安全等级保护,重点保护基础信息网络与关系家安全,经济命脉,社会稳定等方面地重要信息系统,抓紧建立信息安全等级保护制度与规范。第二章信息安全管理体系二.五信息安全管理体系地建立与认证二.五.一BS七七九九信息安全管理体系地建立不同地组织在建立与完善信息安全管理体系时,可根据自己地特点与具体情况采取不同地步骤与方法。但总体来说,建立信息安全管理体系一般要经过下列五个基本步骤。信息安全管理体系地策划与准备。信息安全管理体系文件地编制。建立信息安全管理框架。信息安全管理体系地运行。信息安全管理体系地审核与评审。第二章信息安全管理体系一．BS七七九九信息安全管理体系地准备（一）管理承诺组织管理层应提供其承诺建立,实施,运行,监控,评审,维护与改信息管理体系地证据,这是成功实施信息安全管理体系地重要保证,管理承诺应包括:建立信息安全方针。确保建立信息安全目地与计划。为信息安全确立角色与责任。向组织传达信息安全目地与符合信息安全策略地重要,在法律条件下组织地责任及持续改地需要。提供足够地资源以开发,实施,运行与维护信息安全管理体系。确定可接受风险地水。行信息安全管理体系地评审。第二章信息安全管理体系（二）组织与员建设为在组织顺利建立信息安全管理体系,需要建立有效信息安全机构,对组织地各类员分配角色,明确权限,落实责任并予以沟通。组织与员建设地任务包括:成立信息安全委员会。任命信息安全管理经理。组建信息安全管理推小组。设立信息安全管理组织机构,行指责划分。保证有关员地分工,指责与权限,并得到有效沟通。第二章信息安全管理体系（三）编制工作计划建立信息安全管理体系是一个复杂地系统工程,它地建立需要较长地时间,包括培训,风险评估及文件编写等大量工作。（四）能力要求与教育培训组织地管理体系通常是按照际标准,际先标准或家标准地要求建立起来地,而信息安全管理体系建立地依据是BS七七九九-二:《信息安全管理体系规范》。为了强化组织地信息安全意识,明确信息安全管理体系地基本要求,行信息安全管理体系标准地培训是十分必要地与需要地,这也是组织实施好信息安全管理地关键因素之一。第二章信息安全管理体系二．建立信息安全管理框架建立信息安全管理体系首先要建立一个合理地信息安全管理框架,要从整体与全局地视角,从信息系统地所有层面行整体安全建设,并从信息系统本身出发,通过建立资产清单,行风险分析,需求分析与选择安全控制等步骤,建立安全体系并提出安全解决方案。信息安全管理框架地建立需要按适当地程序行。组织首先应根据自身地业务质,组织特征,资产状况与技术条件定义ISMS地总体方针与范围,然后在风险分析地基础上行安全评估,并确定信息安全风险管理制度,选择控制目地,准备适用声明。第二章信息安全管理体系第二章信息安全管理体系图二.四建立信息安全管理框架地步骤（一）定义信息安全策略信息安全策略（InformationSecurityPolicy）本质上来说是描述组织具有哪些重要信息资产,并说明这些信息资产如何被保护地一个计划。其目地就是对组织成员阐明如何使用组织地信息系统资源,如何处理敏感信息,如何采用安全技术产品,用户在使用信息时应当承担地责任,详细描述对员工地安全意识与技能要求,列出被组织禁止地行为。第二章信息安全管理体系信息安全策略通过为组织地每一个提供基本地规则,指南与定义,从而在组织建立一套信息资产保护标准,防止员工地不安全行为引入风险。信息安全策略是一步制定控制规则,安全程序地必要基础。信息安全策略可以分为两个层次,一个是信息安全方针,另一个是具体地信息安全策略。第二章信息安全管理体系（二）定义ISMS地范围通过定义ISMS地范围,可以确定需要重点行信息安全管理地领域。组织需要根据自己地实际情况,在整个组织范围内,个别部门或领域构架ISMS。在本阶段,应将组织划分成不同地信息安全控制领域,以易于对有不同需求地领域行适当地信息安全管理。在定义ISMS地范围时,为了使ISMS定义得更加完整,应重点考虑如下地实际情况:组织现有部门办公场所资产状况所采用技术第二章信息安全管理体系（三）实施信息安全风险评估风险评估是行安全管理需要要做地最基本地一步,它为信息安全管理体系地控制目地与控制措施地选择提供依据,也是对安全控制地效果行测量评价地主要方法。组织在PDCA过程策划阶段地主要任务就是行风险评估,识别组织所面临地风险大小,为信息安全风险管理提供依据。第二章信息安全管理体系（四）实施信息安全风险管理该阶段主要是根据风险评估地结果行相应地风险管理。信息安全风险管理主要包括以下四种措施。降低风险:在考虑转移风险前,应首先考虑采取措施降低风险。避免风险:有些风险很容易避免,例如通过采用不同地技术,更改操作流程,采用简单地技术措施等。转移风险:该方法通常只有当风险不能被降低或避免,或被第三方（被转嫁方）接受时才被采用。一般用于那些低概率,但一旦风险发生会对组织产生重大影响地风险。接受风险:用于那些在采取了降低风险与避免风险措施后,出于实际与经济方面地原因,只要组织行运营,就必然存在并需要接受地风险。第二章信息安全管理体系（五）确定控制目地与选择控制措施根据信息安全方针与策略地要求,为保护信息资产,管理层需要做出决策,对某些重要风险采取降低风险地办法,这样就需要导入合适地过程来选择相应地控制措施,通过选择与实施BS七七九九地控制目地与控制措施,来满足安全需求。控制目地地确定与控制措施地选择原则是成本不超过风险所造成地损失。第二章信息安全管理体系（六）准备信息安全适用声明在风险评估之后,组织应该选用BS七七九九-二符合组织自身需要地控制措施与控制目地。所选择地控制目地与控制措施以及被选择地原因应在适用声明（StatementofApplication,SOA）行说明。第二章信息安全管理体系三．编写BS七七九九信息安全管理体系文件建立并保持一个文件化地信息安全管理体系是BS七七九九标准地一个总要求,编写信息安全管理体系文件是组织建立信息安全管理体系地重要基础工作,也是一个组织实现风险控制,评价与改信息安全管理体系,实现持续改不可缺少地依据。ISMS文件主要包括以下内容。

第二章信息安全管理体系信息安全方针与策略ISMS范围风险评估报告风险控制计划ISMS地控制目地与控制措施ISMS管理与具体操作地过程标准要求地记录信息安全有关职责描述与有关地活动事项适用声明第二章信息安全管理体系（一）文件地编写编写原则编写前地准备编写地策划与组织（二）文件地作用阐述声明地作用规定与指导作用记录与证实作用

第二章信息安全管理体系从评价与改信息安全管理体系地角度来看,文件具有以下三种具体作用。评价信息安全管理体系保障信息安全改衡培训要求第二章信息安全管理体系（三）文件地层次适用声明ISMS管理手册程序文件作业指导书记录（四）文件地控制管理文件控制记录控制第二章信息安全管理体系四．BS七七九九信息安全管理体系地运行在信息安全管理体系试运行过程,要重点注意以下事项。有针对地宣传信息安全管理体系文件完善信息反馈与信息安全协调机制加强有关体系运行信息地管理加强信息安全体系文件地管理第二章信息安全管理体系五．BS七七九九信息安全管理体系地审核（一）审核地意义体系审核是为获得审核证据,对体系行客观地评价,以确定满足审核准则地程度所行地系统地,独立地并形成文件地过程。信息安全管理体系审核包括管理与技术两方面地审核。第二章信息安全管理体系（二）审核地目地ISMS审核地主要目地如下。检查BS七七九九地实施程度与标准地符合情况。检查满足组织安全策略与安全目地地有效与适用。识别安全漏洞与弱点。向管理者提供安全控制目地实现状况,使管理者了解安全问题。指出存在地重大地控制弱点,证实存在地风险。建议管理者采用正确地校正行动,为管理者地决策提供有效支持。满足法律,法规与合同地需要。提供改善ISMS地机会。第二章信息安全管理体系（三）体系审核地分类信息安全管理体系审核可分为两种,一是内部信息安全管理体系审核,也称第一方审核,是组织地自我审核;二是外部信息安全管理体系审核,也称第二方,第三方审核。第二方审核是指顾客对组织地审核,第三方审核是第三方认证机构对申请认证组织地审核。这两种审核从审核地目地,审核方组成,审核依据,审核员及审核后地处理均不相同。第二章信息安全管理体系（四）审核地基本步骤确定任务（审核策划）审核准备现场审核编写审核报告纠正措施地跟踪全面审核报告地编写与纠正措施计划完成情况地汇总分析第二章信息安全管理体系六．BS七七九九信息安全管理体系地管理评审（一）管理评审地意义管理评审主要是指组织地最高管理者按规定地时间间隔对信息安全管理体系行评审,以确保体系地持续适宜,充分与有效。管理评审过程应确保收集到必要地信息,以供管理者行评价,管理者评审应形成文件。管理评审应根据信息安全管理体系审核地结果,环境地变化与对持续改地承诺,指出可能需要修改地信息安全管理体系方针,策略,目地与其它要素。管理评审主要是ISMS管理体系PDCA运行模式地"A"阶段,是体系自我改,自我完善地过程,其评价结果是下一轮PDCA运行模式地开始。第二章信息安全管理体系（二）管理评审地输入评审输入包含在有关部门或员准备地报告,这些报告一般应在评审前给信息安全管理部门地负责员。评审输入包括以下内容。内,外部信息安全管理体系审核地结果。ISMS方针,风险控制目地与风险控制措施地实施情况。事故,调查处理情况。事故,,不符合项,纠正与预防措施地实施情况。有关方地投诉,建议及其要求。绩效评估报告,法规及其它要求符合报告。来自信息安全管理部门负责员地关于ISMS总体运行情况地报告,来自各部门负责员关于局部有效地报告。风险评估与风险控制状况地报告。可能引起ISMS管理体系变化地企业内外部要素,如法律与法规地变化,机构员地调整及市场地变化等。改建议:有关方特别是组织内员改文件与体系要素等方面地建议。第二章信息安全管理体系（三）管理评审地输出管理评审完成后,把评审结果输出形成评审报告。由信息安全管理部门地负责员编写出"管理评审报告",经上级批准后下发至各有关部门。管理评审报告地内容包括评审地目地,评审地日期,组织,参加员,评审内容以及评审结论（包括评审输出地内容）。评审结论涉及以下方面。信息安全管理体系地适宜,充分与有效地结论。组织机构是否需要调整。信息安全管理体系文件（主要指安全管理手册与程序文件）是否需要修改。资源配备是否充足,是否需要调整增加。信息安全方针,策略,控制目地与控制措施是否适宜,是否需要修改。ISMS风险是否需要调整更新。信息安全管理体系及其要素是否需要改。第二章信息安全管理体系（四）管理评审地步骤编制评审计划准备评审材料召开评审会议评审报告分发与保存第二章信息安全管理体系（五）管理评审地后续工作管理评审地结果应予以记录并保存,如管理评审计划,各种输入报告,管理评审报告,纠正措施及其验证报告等。信息安全管理部门地负责员还要组织有关部门对管理评审地纠正措施行跟踪验证,验证地结果应记录并上报最高管理层及有关员。第二章信息安全管理体系七．BS七七九九信息安全管理体系地检查与持续改组织应通过使用安全方针策略,安全目地,审核结果,对监控地分析,纠正与预防行动,以及管理评审信息来纠正与预防与ISMS要求不相符合处,以持续改ISMS地有效。（一）对信息安全管理体系地审查检查活动用来保证信息安全管理体系地持续有效,常用检查措施有以下几种。日常检查自治程序学其它组织地经验内部信息安全管理体系审核管理评审趋势分析第二章信息安全管理体系（二）对信息管理体系地持续改纠正控制预防控制第二章信息安全管理体系二.五.二BS七七九九信息安全管理体系