XX版CISP0301信息安全管理基础与管理体系v30

XX版-CISP0301信息安全管理基础与管理体系_v302023/12/27XX版CISP0301信息安全管理基础与管理体系v30课程内容信息安全管理基础知识体知识域信息安全管理方法与实施知识子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理实施信息安全管理概述XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理概述知识子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的对象理解以建立体系的方式实施信息安全管理的必要性理解体系、管理体系、信息安全管理体系的概念3XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的定义信息信息安全管理信息安全管理4XX版CISP0301信息安全管理基础与管理体系v30管理、信息安全管理管理 指挥和控制组织的协调的活动。

（--

ISO9000:2005质量管理体系基础和术语）

管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。

信息安全管理 管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。5XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的对象6信息安全管理的对象：包括人员在内的各类信息相关资产。

规则

人员目标组织XX版CISP0301信息安全管理基础与管理体系v30以建立体系的方式实施信息安全管理的必要性7信息安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系的定义体系管理体系信息安全管理体系8XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系的定义体系：相互关联和相互作用的一组要素。

（--

ISO9000:2005质量管理体系基础和术语）管理体系： 建立方针和目标并达到目标的体系。 （--

ISO9000:2005质量管理体系基础和术语）

为达到组织目标的策略、程序、指南和相关资源的框架。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）信息安全管理体系(ISMS：InformationSecurityManagementSystem)： 整体管理体系的一部分，基于业务风险的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语） 建立信息安全方针和目标并达到这些目标的体系。 为达到组织信息安全目标的策略、程序、指南和相关资源的框架。9XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系，包括的要素有：信息安全组织架构信息安全方针信息安全规划活动信息安全职责信息安全相关的实践、规程、过程和资源......这些要素既相互关联又相互作用信息安全管理体系的构成要素XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系的特点信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系体系的建立基于系统、全面、科学的信息安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性11XX版CISP0301信息安全管理基础与管理体系v30狭义的信息安全管理体系：指按照ISO27001标准定义的ISMS广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系狭义和广义的信息安全管理体系XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理概述知识子域：信息安全管理作用理解信息安全管理的重要作用理解信息安全管理体系的作用理解实施信息安全管理的关键成功因素13XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用14（一）信息安全管理是组织整体管理的重要、固有组成部分，是组织实现其业务目标的重要保障XX版CISP0301信息安全管理基础与管理体系v3015信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的作用应对风险需要人为的管理过程XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用如今，信息安全问题已经成为组织业务正常运营和持续发展的最大威胁信息安全问题本质上是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的实现信息安全是一个多层面、多因素的过程，也取决于制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性努力如果组织想当然地制定一些控制措施和引入某些技术产品，难免存在挂一漏万、顾此失彼的问题，使信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平16XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用信息安全管理，是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分理解并重视管理对于信息安全的关键作用，制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要组织建立一个管理框架，让好的安全策略在这个框架内实施，并不断得到修正，才可能为业务的正常持续运作提供可靠的信息安全保障17XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用18（二）信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发挥作用XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用19如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？XX版CISP0301信息安全管理基础与管理体系v3020WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的作用XX版CISP0301信息安全管理基础与管理体系v30解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理安全技术是信息安全控制的重要手段，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用信息安全管理的作用XX版CISP0301信息安全管理基础与管理体系v30技术不高但管理良好的系统远比技术高超但管理混乱的系统安全只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用3分技术7分管理？人们常说，三分技术，七分管理，可见管理对信息安全的重要性XX版CISP0301信息安全管理基础与管理体系v30信息安全“技管并重”的原则对于信息安全，到底是技术更重要，还是管理更重要？强调信息安全管理，并不是要削弱信息安全技术的作用，开展信息安全管理要处理好管理和技术的关系技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则之一XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用24（三）信息安全管理能预防、阻止或减少信息安全事件的发生XX版CISP0301信息安全管理基础与管理体系v30信息安全管理的作用统计结果显示，在所有信息安全事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于内部员工的疏忽或有意泄密造成的统计结果表明，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术原因，不如说是管理不善造成的因此，防止发生信息安全事件不应仅从技术着手，同时更应加强信息安全管理25XX版CISP0301信息安全管理基础与管理体系v30安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。对信息安全的正确理解XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系的作用对内：能够保护关键信息资产和知识产权，维持竞争优势在系统受侵袭时，确保业务持续开展并将损失降到最低程度建立起信息安全审计框架，实施监督检查建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性27XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系的作用对外：能够使各利益相关方对组织充满信心能够帮助界定外包时双方的信息安全责任可以使组织更好地满足客户或其他组织的审计要求可以使组织更好地符合法律法规的要求若通过了ISO27001认证，能够提高组织的公信度可以明确要求供应商提高信息安全水平，保证数据交换中的信息安全28XX版CISP0301信息安全管理基础与管理体系v30实施信息安全管理的关键成功因素(CSF)组织的信息安全方针和活动能够反映组织的业务目标组织实施信息安全的方法和框架与组织的文化相一致管理者能够给予信息安全实质性的、可见的支持和承诺管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识向全员和其他相关方分发并宣贯信息安全方针、策略和标准管理者为信息安全建设提供足够的资金向全员提供适当的信息安全培训和教育建立有效的信息安全事件管理过程建立有效的信息安全测量体系XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理方法与实施知识子域：信息安全管理方法理解风险管理是信息安全管理的基本方法，理解风险评估是信息安全管理的基础，风险处理是信息安全管理的核心，理解控制措施是管理风险的具体手段理解过程方法是信息安全管理的基本方法，理解过程和过程方法的含义，理解PDCA模型30XX版CISP0301信息安全管理基础与管理体系v30风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据31XX版CISP0301信息安全管理基础与管理体系v30风险处理是信息安全管理的核心风险处理是对风险评估活动识别出的风险进行决策，采取适当的控制措施处理不能接受的风险，将风险控制在可按受的范围风险评估活动只能揭示组织面临的风险，不能改变风险状况只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足，才能实现其信息安全目标信息安全管理的核心就是这些风险处理措施的集合32XX版CISP0301信息安全管理基础与管理体系v30风险管理是信息安全管理的根本方法33应对风险评估的结果进行相应的风险处理。本质上，风险处理的最佳集合就是信息安全管理体系的控制措施集合梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程周期性的风险评估与风险处理活动即形成对风险的动态管理动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法XX版CISP0301信息安全管理基础与管理体系v30控制措施是管理风险的具体手段34管理风险的具体手段是控制措施风险处理时，需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施，那些不可接受的高风险才能降低到可以接受的水平之内XX版CISP0301信息安全管理基础与管理体系v30控制措施的类别35从手段来看，可以分为技术性、管理性、物理性、法律性等控制措施从功能来看，可以分为预防性、检测性、纠正性、威慑性等控制措施从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域XX版CISP0301信息安全管理基础与管理体系v30过程process

一组将输入转化为输出的相互关联或相互作用的活动。 (--

ISO/IEC27000:2009、ISO9000:2005)过程方法processapproach

一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。 (--ISO/IEC27001:2005) 系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法”。(--ISO9000:2005)

过程、过程方法的概念XX版CISP0301信息安全管理基础与管理体系v30过程方法示意图活动测量、改进责任人资源记录输入输出过程方法XX版CISP0301信息安全管理基础与管理体系v30·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营·信息输入·信息输出·信息记录·资源

—人

—环境

—设备

—工具

—通信

—其他·立法·规定·客户·集团

—政治

—标准

—程序·摘要·收据·客户·销售发票等等变化？关键活动测量拥有者资源记录标准输入输出生产经营活动测量、改进资源记录过程的分解过程和子过程的每一个方面都是受控的，过程的输出才是有保障的输出责任人输入XX版CISP0301信息安全管理基础与管理体系v30A规划实施检查处置PDCPDCA循环XX版CISP0301信息安全管理基础与管理体系v30PDCA循环40PDCA也称“戴明环”，由美国质量管理专家戴明提出P（Plan）：计划，确定方针和目标，确定活动计划D（Do）：实施，实际去做，实现计划中的内容C（Check）：检查，总结执行计划的结果，注意效果，找出问题A（Act）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环XX版CISP0301信息安全管理基础与管理体系v3041特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环9090处置实施规划检查CADP特点二：组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题特点三：每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环90909090处置实施规划检查CADP达到新的水平改进(修订标准)维持原有水平90909090处置实施规划检查CADPPDCA循环的特征与作用XX版CISP0301信息安全管理基础与管理体系v30PDCA循环，能够提供一种优秀的过程方法，以实现持续改进遵循PDCA循环，能使任何一项活动都有效地进行PDCA循环的作用XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理方法与实施知识子域：信息安全管理实施理解建设信息安全管理体系是系统地实施信息安全管理的一种方法理解建设信息安全等级保护是系统地实施信息安全管理的一种方法了解基于NISTSP800进行信息安全建设是实施信息安全管理的一种方法43XX版CISP0301信息安全管理基础与管理体系v30ISMS是一种常见的对组织信息安全进行全面、系统管理的方法ISMS是由ISO27001定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的管理体系周期性的风险评估、内部审核、有效性测量、管理评审，是ISMS规定的四个必要活动，能确保ISMS进入良性循环、持续自我改进信息安全管理体系44XX版CISP0301信息安全管理基础与管理体系v30信息安全管理体系持续改进的PDCA循环过程45信息安全管理体系是PDCA动态持续改进的一个循环体规划和建立实施和运行监视和评审保持和改进输入相关方信息安全要求和期望相关方受控的信息安全输出XX版CISP0301信息安全管理基础与管理体系v30ISMS的核心内容可以概括为4句话

规定你应该做什么并形成文件 ：Plan做文件已规定的事情 ：Do评审你所做的事情的符合性 ：Check采取纠正和预防措施，持续改进 ：Act用PDCA来理解什么是信息安全管理体系46XX版CISP0301信息安全管理基础与管理体系v3047ISO/IEC27000标准族27000~2700327004~2700827000信息安全管理体系概述和术语27001信息安全管理体系要求27002信息安全控制措施实用规则27003信息安全管理体系实施指南27004信息安全管理测量27005信息安全风险管理27006提供信息安全管理体系审核和认证机构的要求27007信息安全管理体系审核指南27008信息安全管理体系控制措施审核员指南27001270022700027006270052700327004信息安全管理体系基本原理和词汇

ISO27000标准族日益完善，已经开发和计划开发的标准有60余项XX版CISP0301信息安全管理基础与管理体系v30信息安全等级保护也是一种常见的对组织的信息安全进行全面、系统管理的实施方法依据《计算机信息系统安全保护条例》对信息安全进行全面管理的一套机制将信息系统按照重要性和受破坏危害程度分成五个安全保护等级，不同保护等级的系统分别给予不同级别的保护系统定级、安全建设/整改、自查、等级测评、系统备案和监督检查是信息安全等级保护的六个规定活动信息安全等级保护48XX版CISP0301信息安全管理基础与管理体系v30参照NISTSP800进行建设也是一种常见的对组织的信息安全进行全面、系统管理的实施方法NISTSP800是由美国国家标准与技术研究院发布的一系列特别出版物（SpecialPublications，SP），是关于计算机安全的指南文档美国《联邦信息安全管理法案》（FederalInformationSecurityManagementAct，FISMA），专门指定NIST负责开展信息安全标准、指导方针的制定NISTSP800规范49XX版CISP0301信息安全管理基础与管理体系v30SP800-37描述了此系列规范遵从的风险管理框架NISTSP800规范50XX版CISP0301信息安全管理基础与管理体系v30SP800-37给出了递升的风险管理方法NISTSP800规范51XX版CISP0301信息安全管理基础与管理体系v30三种典型信息安全管理实施方法的区别和联系52

应用对象应用特点ISMS各种类型的组织（有体系建立需求）完全以市场化需求为主，不具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求等级保护国家基础网络和重要信息系统作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全NISTSP800联邦机构或非政府组织与FIPS不同，是非强制性的。但联邦机构应采纳FIPS中要求使用的NISTSP以及OMB要求的特定NISTSP。以风险管理方法为基础，应用时有一定的灵活性XX版CISP0301信息安全管理基础与管理体系v30课程内容53知识体知识域知识子域信息安全管理体系信息安全管理体系建设信息安全管理体系认证文档控制管理职责规划与建立ISMS信息安全管理体系基础内部审核和管理评审信息安全控制措施实施和运行ISMS监视和评审ISMS保持和改进ISMSXX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系基础知识子域：管理职责理解管理者履行管理职责对成功实施信息安全管理体系（ISMS）的重要推动作用掌握实施ISMS过程中管理者应承担的管理职责的主要内容54XX版CISP0301信息安全管理基础与管理体系v30管理者履行管理职责的重要作用管理层切实履行相应的管理职责是ISMS能够成功实施的最关键因素，会对ISMS建设产生推动作用管理者提供足够的资源是对ISMS建设实质性的支持55XX版CISP0301信息安全管理基础与管理体系v30主要管理职责承担并履行职责制定并颁布信息安全方针确保ISMS目标和相应的计划得以制定建立信息安全的角色和职责向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性决定风险可接受级别和风险可接受准则确保ISMS内部审核的执行实施ISMS的管理评审提供足够资源资金能胜任相关工作的人员（通过提供培训、教育）56XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系基础知识子域：文档控制理解文档化对实施ISMS的重要性理解风险评估结果是编制ISMS文件的依据了解对ISMS文件和记录进行保护和控制的常规措施57XX版CISP0301信息安全管理基础与管理体系v30文档化对实施ISMS的重要性文档包括文件(如方针、策略、标准、指南等)和记录文件是ISMS的一个关键要素，是组织内部的“法”，也是ISMS审核的依据记录是文件执行情况的客观证据，为各项控制措施是否有效实施、ISMS是否有效运行提供客观证据层次化的文档是ISMS建设的直接体现，也是ISMS建设的成果之一应对文件和记录进行控制58XX版CISP0301信息安全管理基础与管理体系v30文件编制依据风险评估的结果是文件编制的直接依据有风险的地方才需要管理和控制依据风险评估结果编制的文件体系才是最适合的、最需要的59XX版CISP0301信息安全管理基础与管理体系v30易于管理和维护的ISMS层次化文档结构方针、手册等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行/检查记录、日志文件等一级文件二级文件三级文件四级文件一级文件：方针性文件二级文件：信息安全管控程序、管理规定性文件三级文件：操作指南、作业指导书类四级文件：体系运行的各种记录下级文件应支持上级文件XX版CISP0301信息安全管理基础与管理体系v30文件控制文件在发布以前，应得到相应级别管理层的批准定期评审、更新并再次得到批准，当发生重大变化或重大信息安全事件时应及时评审和修订对文件的修订和修订状态、版本进行标识，确保员工使用文件的最新版本标明每份文件的密级和分发范围61XX版CISP0301信息安全管理基础与管理体系v30记录控制明确记录的保存环境要求明确保存期限要求明确访问控制要求明确检索要求（比如，支持按特定条件进行查询和统计）62XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系基础知识子域：内部审核和管理评审了解内部审核的概念，以及内部审核的目的、实施主体、实施方式、审核准则了解管理评审的概念，以及管理评审的目的、实施主体、实施对象、实施方式63XX版CISP0301信息安全管理基础与管理体系v30内部审核是用于内部目的，由组织自己或以组织的名义所进行的审核也称第一方审核是ISMS能够持续改进的重要动力之一组织应按照既定的周期实施ISMS内部审核64XX版CISP0301信息安全管理基础与管理体系v30内部审核目的确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求确定各项控制措施是否得到有效的实施和保持确定员工的业务行为是否符合组织ISMS文件所规定的要求实施主体ISMS内审小组实施方式文件审核、现场审核审核准则相关标准、法规法规、合同条款、ISMS文件65XX版CISP0301信息安全管理基础与管理体系v30管理评审为实现已建立的目标，而进行的确定管理体系的适宜性、充分性和有效性的活动也是ISMS能够持续改进的重要动力之一组织应按照既定的周期实施ISMS管理评审66XX版CISP0301信息安全管理基础与管理体系v30管理评审目的确保组织的ISMS持续具备适宜性、充分性和有效性实施主体组织的高级管理层实施对象ISMS文件体系、各种管理评审输入材料实施方式最常见的是召开管理评审会议，由组织的高级管理层亲自主导实施67XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系基础知识子域：信息安全管理体系认证了解ISMS认证的概念理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力68XX版CISP0301信息安全管理基础与管理体系v30ISMS认证ISMS认证，是由ISMS认证机构依据ISO/IEC27001对申请组织的ISMS进行审核，并向通过审核的申请组织颁发ISMS认证证书的活动认证机构是指那些从事对产品（服务）、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构ISMS认证是证明一个组织的信息安全水平达到并满足ISMS国际/国家标准要求的有效途径ISMS认证活动，能从第三方客观公正的角度，发现ISMS存在的不足和问题，是促进ISMS持续改进的一种外部驱动力69XX版CISP0301信息安全管理基础与管理体系v30ISMS认证ISMS认证通常包含一组审核，包括初次认证审核、年度监督审核和复审ISMS认证证书有效期一般为三年，颁发认证证书后的第一、第二年需要进行年度监督审核，第三年进行复审，复审通过后重新颁发认证证书70XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系建设知识子域：规划与建立ISMS理解定义ISMS范围和边界、实施风险评估、获得管理者对残余风险的批准等规划与建立ISMS的主要工作内容71XX版CISP0301信息安全管理基础与管理体系v30采用过程方法来建立和管理ISMS72ISO27001要求采用过程方法来建立、实施和运行、监视和评审、保持和改进组织的ISMS按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了ISMS的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的XX版CISP0301信息安全管理基础与管理体系v30ISMS应用过程方法的结构73XX版CISP0301信息安全管理基础与管理体系v30规划与建立ISMSP1-定义ISMS范围和边界P2-制定ISMS方针P3-确定风险评估方法P4-实施风险评估P5-选择、评价和确定风险处理方式、处理目标和处理措施P6-获得管理者对建议的残余风险的批准P7-获得管理者对实施和运行ISMS的授权P8-编制适用性声明（SoA）74XX版CISP0301信息安全管理基础与管理体系v30P1-定义ISMS范围和边界75ISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理XX版CISP0301信息安全管理基础与管理体系v30P2-制定ISMS方针76信息安全方针是组织的管理层制定的一个高层文件，用于指导组织如何对资产进行管理、保护和分配的规则和指示信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容XX版CISP0301信息安全管理基础与管理体系v30P3-确定风险评估方法77识别并确定适合ISMS的风险评估方法，确保风险评估产生可比较的和可再现的结果组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括：业务环境业务性质与业务重要性对支持组织业务活动的信息系统的依赖程度业务内容、支持系统、应用软件和服务的复杂性贸易伙伴、外部业务关系、合同数量的大小这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂制定接受风险的准则，识别可接受的风险级别XX版CISP0301信息安全管理基础与管理体系v30P4-实施风险评估78风险评估准备风险要素识别识别ISMS范围内的资产及其责任人[1]识别资产所面临的威胁识别可能被威胁利用的脆弱点识别已有的控制措施风险分析分析事件发生的可能性分析事件造成的影响实施风险计算风险结果判定评估风险的等级综合评估风险状况[1]术语“责任人”标识了已经获得批准，负有控制资产的产生、开发、维护、使用和保证资产的安全的管理职责的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权XX版CISP0301信息安全管理基础与管理体系v30P5-选择、评价和确定风险处理方式、处理目标和处理措施79常用的处理方式包括：采用适当的控制措施（降低风险）在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险避免风险将相关业务风险转移到其他方，如：保险，供应商等（转移风险）XX版CISP0301信息安全管理基础与管理体系v30风险处理方式及决策原则80降低风险：在考虑转移风险前，应首先考虑采取措施降低风险避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险XX版CISP0301信息安全管理基础与管理体系v30为处理风险选择控制目标和控制措施81选择控制目标和控制措施应考虑接受风险的准则以及法律法规和合同要求将ISO27001附录A作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施组织也可能需要制定ISO27001附录A以外的控制目标和控制措施提示：在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的讨论、咨询和决策过程XX版CISP0301信息安全管理基础与管理体系v30P6-获得管理者对建议的残余风险的批准82获得管理层接受风险评估团队所建议的残余风险的确认是风险评估活动中的一个重要过程管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且必须承担引发的后果如果一个组织所建立的ISMS要寻求认证，认证机构将寻求管理层确认接受残余风险的书面证据XX版CISP0301信息安全管理基础与管理体系v30P7-获得管理者对实施和运行ISMS的授权83必须获得管理者对实施和运行ISMS的授权。没有授权，实施和运行ISMS的相关活动就很难推进实施和运行ISMS，需要大量的资源（人力、资金等），没有管理层的授权，就很难申请并获得这些资源XX版CISP0301信息安全管理基础与管理体系v30P8-编制适用性声明（SoA）84所选择的控制目标和措施以及被选择的原因应在适用性声明（StatementofApplicability，SoA）中进行说明SoA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构编制SoA一方面是为了向组织内的员工声明对在面临的信息安全风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全管理体系建设知识子域：实施和运行ISMS理解实施风险处理计划、开发有效性测量程序、管理ISMS的运行等实施和运行ISMS的主要工作内容85XX版CISP0301信息安全管理基础与管理体系v30实施和运行ISMSD1-制定风险处理计划D2-实施风险处理计划D3-开发有效性测量程序D4-实施培训和意识教育计划D5-管理ISMS的运行D6-管理ISMS的资源D7-执行检测事态和响应事件的程序86XX版CISP0301信息安全管理基础与管理体系v30D3-开发有效性测量程序ISMS运行及控制措施是否有效，要有测量方法和途径，以便制定改进措施加以改进开发一份有效性测量程序，明确需要设立的测量项目，以及每一测量项目的度量标准、要求达到的指标、测量方式、测量周期、测量执行人有效性测量程序本身，应做为ISMS文件加以管理和控制87XX版CISP0301信息安全管理基础与管理体系v30D5-管理ISMS的运行批准并发布ISMS文件宣贯和解释ISMS文件要求ISMS试运行期间的管理宣布ISMS正式运行88XX版CISP0301信息安全管理基础与管理体系v30ISMS试运行ISMS运行初期处于磨合期，一般称为试运行期试运行期的目的是要在实践中检验ISMS的充分性、适用性和有效性此期间，宜加强运作力度，通过实施ISMS文件，充分发挥ISMS本身的各项功能，及时发现ISMS本身存在的问题，找出问题的根源，采取纠正措施，并按照文件控制程序要求更改体系文件，以达到进一步完善ISMS的目的89XX版CISP0301信息安全管理基础与管理体系v30知识域：信息安全