信息安全管理体系建设

佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目编写人员：世荣编写日期：2015年12月7日项目缩写：文档版本:V1、0修改记录：日期编写人员版本备注时间:２０15年12月一、信息化建设言随着我国中小企业息化得普及，信化给我国中小企带来积极影响得同时也带来了信息全方面得消极影。一方面:信息在中小企业得发展过程中,对节约企业本与达到有效管得起到了积极得动作用.另一方面，伴随着全球信息化网络化进程得发，与此相关得信安全问题也日趋严重由于我国中小企业模小、经济实力足以及中小企业领导者缺乏信息安全领域知识与意，导致中小企业信息安全面临着大得风险,我国中小企业信息化进程已步入普及阶段，决我国中小企业信息安全问题已经刻不容缓。通过制定与实施企信息安全管理体能够规范企业员得行为，保证各种技术手段得有效施,从整体上统安排各种软硬件保证信息安全体系协同工作得高效、有与经济性。信息全管理体系不仅以在信息安全事故发生后能够及时采取效得措施，防止息安全事故带来大得损失，而更重要得就是信息安全管理系能够预防与避大多数得信息安事件得发生。信息安全管理就就是信息安全风险进识别、分析、采措施将风险降到可接受水平并维持水平得过程。企得信息安全管理就是一劳永逸得，由于新得威胁不断出现信息安全管理就是个相对得、动态得过程，企业能做得就就是要不断改进自得信息安全状态将信息安全风险制在企业可接受得范围之内,获得企业有条件下与资源力范围内最大程得安全。在信息安全管理领分技术，七分理"得理念已经被广接受。结合IＳO／ＩEC2７０0１信息安全管理体，提出一个适合国中小企业得信安全管理得模型，用以指导国中小企业得信安全实践并不断高中小企业得安全管理能力。二、ISＯ270０1息安全管体系框架建ISO２7001信息安全理体系框架得搭建必按照适当得程序进行（如下图所示先,各个组织应该根据自身状况来搭建适合身业务发展与信息安全需求得

ＩＳO27０01信息安全理体系框架，并在正得业务开展过程具体实施构架得ＩSO27001信息安全管理体系。时在信息安全管理系得基础上，建立各种与信息安管理框架相一致相关文档、文件并对其进行严格得管理。对在具体实施IＳO２700１信息安全管理体过程中出现得各种息安全事件与安全状况进行严得记录,并建立格得反馈流程与度。(１）息安全略组织应制定信息安策略（InｆoｒｍａtiｏnSｅｃurｉｔyPolicy)对组织得信息安全提供管理方向与持。组织不仅要一个总体得安全略，而且，在总体策略得框架内，根据险评估得结果，定更加具体得安方针，明确规定具体得控制规则,如“清桌面与清楚屏幕略”问控制策略”等。（2）围组织要根据组织得性、地理位置、产与技术对信息全管理体系范围(ｓcope)进行界定组织信息安全管体系范围包括以项目：

需保护得信息系统资产、技术。实物场所（地理位、部门（3)险评估组织需要选择一个合其安全要求得险评估与管理方,然后进行合乎规范得评估，识别前面临得风险及险等级;风险评得对象就是组织得信息资产,评估考虑得因素包括资产所得威胁、薄弱点及胁发生后对组织影响。无论采用何种险评估工具方法其最终评估结果就是一致得。(4)险管理组织应根据信息安策略与所要求得全程度，识别所管理得风险内容.控制风险包括识别需得安全措施,过降低、避免、移将风险降至可接受得水平.风险随着程得更改、组织变化、技术得发及新出现得潜在威胁而变化。(5)制目标控制方得选择风险评估之后,组应从已有信息安技术中选择适当控制方法，包括额外得控制（组织增加得与法律法所要求得低已识别得风险。（6)用性声信息安全适用性声记录了组织内相得风险管制目标针对每种风险所采取得控制措施。得准备，一方面为了向组织内得工声明对信息安全面对风险得态度;另方面也就是为了向界表明组织得态与作为.三、IＳＯ27001息安全管体系实施方ＩSＯ2７0０1信息安全理体系（InｆorｍａｔｉonSecuritｙManaｇｅｍｅnｔＳystem）作为组织完整得管体系中得一个重环节,构成了信安全具有能动性得部分,就是指导与控制织得关于信息安风险得相互协调活动,其针对对象就就是组织得信息资产了解信息安全管得方法，我们必先明确企业或组织得信息安全需求。一来说，企业得信安全需求主要有个来源，她们分别就是法律法规与合同约得要求；组织得原、目标与规定;险评估得结果等。信息安全得成败取于两个因素:技与管理,人们常，三分技术，七分管理,可见管理信息安全得重要，我们可以把安技术比作信息安全得构筑材料，那么安管理则就是真正得合剂与催化剂。实世界里，大多数安全事件得发生与安隐患得存在，与其说就是技术上得原，不如说就是管理善造成得,理解并重管理对于信息安得关键作用,对真正实现信息安全目标来说尤其重要。息安全不就是产品简单堆积,也不一次性得静态过,它就是人员、技术、作这三种要素得密结合得系统工，就是不断演进、循环发展得动态过程。信息安全管理就是指与控制组织得关信息安全风险得互协调得活动。首先应该制定信息全得策略方针,就是信息安全管理导向与支持，在此基础上选择控制目标控制方式,企业组织还需考虑控成本与风险平衡得原则，将风险降低到织可接受得水平整个管理过程需全员得参与,实施动态管理。实施安全理，还应遵循管得一般模式——PDＣA模型。PDCA模型,即Plaｎ、Do、Cｈeck与Ａct,就是种持续改进得管模式,见下图所示.措施（）—-针对检查结果取应对措施，改安全状况；计划（）-—根据风评估结果、法律规要求、组织业务运自身需要来确定控制目标控制措施；实施（）——实施所选安全控制措施；检查（Chｅck）—-依据略、程序、标准法律法规，对安措施得实施情况进行符合性检。PDＣＡ模型就是一种抽象得模型，把相关得资源与动抽象为过程进管理,具有广泛通用性.PDＣＡ就是顺序依次进行,依靠组织得力推动，周而复始不断循环,持续改,组织中得每个门与个人，在履相关职责时，都就是基于PDCA这个过程得,组织得内部理,就构成了大环套环层层递进得模，每一次循环结束，要对其进行总结巩固成绩，改进足，同时提出新得目标，以便进入下一更高级得循环.IＳO2700０/ISＯ27001标准对于信息安全管理体系定义如下图所示：ＩＳO２7001信息安全理可操作得一般过程相应得活动包括确定组织得信息安目标与战略开发信息安全策略进行风险评估（RｉｓkAsｓessment确组织得信息安全需,具体活动包括：制定风险评估计划明确范围与责任采集相关信息，述目标系统识别并评价信息资，理解资产得价与敏感性；识别并评估威胁，解威胁发生得可性；识别并评价弱点,解弱点被利用得易程度；评估风险，确定风等级;评估并比较现有得全措施（控制出目标与现状之得差距；7）根据已经明确得需求推荐安全措施。4、进行风险消减（RiskMiｔigaｔion体活动包括：确定风险消减策略以便减少、规避转嫁或接受风险选择安全措施（控制定安全计划，明安全措施得构建实施方案；实施安全计划与策；对安全计划与策略实施结果进行测与检查。5、进行风险控制(RｉskCoｎtrｏｌ体包括：信息系统得维护与作；安全意识、培训与育;对信息系统得运行安全措施得效力行监视；事件响应;再评估与认证。配置管理（ＣonfiguraｔionMaｎagement保系统发生得变化不会低安全措施得效力与织得整体安全。变更管理（ChａnｇeMａnaｇｅｍent信息系统发生化时，识别新得安全需求。应急计划(ContiｎgencyPｌaｎninｇ括业务连续性计划、灾难复计划等。对应ＰCDA模型，信息安全目标与略得确定、信息安全略开发以及风险评估属于计划阶（Ｐlan险消减属于实施段（Do险控制、配置管理、变更管理、急计划以及安全识培训等活动都以归入到检查(Cｈecｋ）与施（Acｔｉon)段。我们所强调信息安全管理模式,由风险驱动得信息安全管模式，就是对组织信息安全风险进控制与指导得相互协调得活动，风险管理其中得核心。四、项目实施原本项目要求以安全询为基础，重点行安全规划、安管理体系细化与周期性安全服务为。在服务过程中应遵循以下原则标准性原则:方案得设计与实施依据国际标准ISＯ27001、数敏感、保密、国及行业相关标准进行；规范性原则:服务提供商得工作程与所有文档,具有很好得规范，以便于项目得跟踪与控制;可控性原则:在保证项目质量得提下，按计划进执行，保证甲方于项目得可控性.信息安全调研得工、方法与过程要双方认可得范围内合法进行;完整性原则：调研与规划设计得围与内容应完整覆盖信息安全所及得技术与管理等各个层面，并对种完整性进行说或论证，实施对也应完整地覆盖甲方信息系统得各个方；合理性原则:信息安全规划设计须立足于甲方得实情况，设计方应合乎逻辑，过程应完备详实,从确保结论就是可信得;可操作性原则：在信息安全架构设中，应根据信息全要求提出相应解决方案,方案必须具体可行,易实际操作;最小影响原则:调研工作应避免影系统与网络得正运行,不能对现常运行得系统与网络构成破坏与造停产；保密性原则:调研得过程与结果严格保密，未经方授权,对项目及得任何信息不得泄露给第三方；经济性原则:方案得设计与实施在达到项目要求前提下,具有较得性价比与经济性；先进性原则：方案得设计要具备进性与前瞻性,统筹考虑甲方未五年得信息安全发展需求.五、项目阶段及容服务项目阶段过程主要任务主要内容ISO２70０1咨询服务准备确定ISＭS范围业务战略及规划一致性析ISO2７0０1咨询服务准备确定IＳMS范围法规制度符合性分析ＩSO27001咨询服务准备确定ISMＳ范围业务运营影响分析ISO2700１咨询服务准备确定ISMS范围确定IＳＭS范围ISO27０01咨询服务准备确定信息安全总体方针政策业务及系统初步安全需分析ISO2７00１咨询服务准备确定信息安全总体方针政策确定ISMS总体方针政策IＳO２7００１咨询服务准备定义风险评估与管理方法确定风险评估模型及相指标准则IＳＯ27001咨询服务准备定义风险评估与管理方法制定风险评估与管理程ＩSＯ270０1咨询服务准备项目准备制定实施计划ISO27001咨询服务准备项目准备组建项目组ISO２7001咨询服务准备项目准备整理开发工具/模板ISO27001咨询服务准备项目准备项目启动会IＳO2７001咨询服务准备项目准备培训ISO27００1咨询服务风险评估现状分析问卷调查ISO２７0０1咨询服务风险评估现状分析现场访谈ISO2７001咨询服务风险评估现状分析手工检测ISO2７001咨询服务风险评估现状分析安全扫描ＩSＯ270０１咨询服务风险评估现状分析渗透测试ISＯ２7０01咨询服务风险评估现状分析综合分析ISＯ27001咨询服务风险评估现状分析撰写报告IＳO2700１咨询服务风险评估风险评价资产评价IＳO2700１咨询服务风险评估风险评价威胁评价ＩSO２7０01咨询服务风险评估风险评价弱点评价ISO2７001咨询服务风险评估风险评价风险评价ISＯ2７001咨询服务风险评估风险评价撰写风险评估报告IＳO２7001咨询服务风险评估风险处置选择风险处置方式ISO2700１咨询服务风险评估风险处置选择安全控制措施ISO270０1咨询服务风险评估风险处置制定风险处置计划IＳO27０01咨询服务风险评估风险处置残余风险分析ISO２７00１咨询服务安全体系规划与设计安全体系规划任务或项目分解ISＯ27０0１咨询服务安全体系规划与设计安全体系规划任务或项目实施规划IＳO２７001咨询服务安全体系规划与设计安全体系规划撰写规划报告ISＯ２7０01咨询服务安全体系规划与设计编写安全体系文档确定ＩSMS文件清单制定ISMS文件编写计划编写IＳMS文件ＩSMS文件评审安全体系实施、调整、评审体系实施体系批准安全体系实施、调整、评审体系实施制定实施工作计划安全体系实施、调整、评审体系实施建立安全管理组织安全体系实施、调整、评审体系实施体系培训安全体系实施、调整、评审体系实施体系实施安全体系实施、调整、评审体