ISO27001(ISMS)業(yè)務(wù)介紹

1、實用文檔XDOO斐 FaJjL兇匚£田!=0后27006CeiirfCHiion B&dv艮 RfMJirements后匚出二一E法豈3J2/001'27003Guidance27002 Codt ofCractict27007Audit GuHekn2700&hr'j ucireirl270MMt dSirer'Kir IsISO27001認(rèn)證業(yè)務(wù)常見問題Q: ISO27001認(rèn)證是什么？A: ISO27001是國際標(biāo)準(zhǔn)，全名是IEC/ISO27001信息安全管理體系規(guī)范，他是整個 ISO27000標(biāo)準(zhǔn)系列當(dāng)中的一個標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)中包含很多

2、其他標(biāo)準(zhǔn)；另外一個大家常說 的標(biāo)準(zhǔn)ISO1779:2005-信息安全實施細(xì)則也是與信息安全管理相關(guān)的，這個標(biāo)準(zhǔn)當(dāng)前已經(jīng)改 名為 ISO27002:2008 了。無論是 ISO27001 還是 ISO27002 ,都是 ISMS 標(biāo)準(zhǔn)系列(ISMS Family of Standards)之一，ISMS標(biāo)準(zhǔn)系列如下圖所示：2700 DOverview and VwabuiaryProMdos faadcund. terms ard 由Eons .呷.cable to me iSMS F.由山 StaKiafdt文案大全2ZDI1Figure 1 ISMS Family of Standards

3、Relationships27799HealthTefeconiiTi umcdtionsOrgan izagn,大家常說的ISO27001認(rèn)證，就是企業(yè)宣稱的認(rèn)證范圍內(nèi)符合ISO27001標(biāo)準(zhǔn)正文里的所有要求，并且有選擇的滿足 ISO27001標(biāo)準(zhǔn)附錄A中的內(nèi)容。附錄A中的內(nèi)容對應(yīng)標(biāo)準(zhǔn) ISO27002: 2008第5章到第15章，企業(yè)是可以根據(jù)自身的實際情況來選擇適用的控制措施， 也就是說該標(biāo)準(zhǔn)里的133個控制項不是強制要求通過認(rèn)證的用戶都必須滿足的，通常是通過適用性聲明SOA文件來表達(dá)這種適用，因此，通常在通過ISO27001證書里會包含所選適用性聲明SOA文件的。Q:與BS7799認(rèn)證

4、有和區(qū)別？A: ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別得從ISO27001標(biāo)準(zhǔn)發(fā)展的歷史談起，ISO27001 的發(fā)展過程如下圖所示：BS7799田激最R葩由英國工鼠;仁英國耳社化鳥出沮織的相關(guān)專 家共向開發(fā)制定的19924在美IhT次作為行業(yè)標(biāo)就發(fā)布.為信息安全管理提供T - T依據(jù).BS7799-1BS7799-2在ig®fl年.1*9年聾過兩次償UN后H；版BS7799-1： 1099和657792： 1999XtlSO/IEC 17799： 200。版2000年4月.招BS7709Tl 1同k10月弦窗通過成為17799； 2000悅2001 T-Ki BS7799-2

5、： 1999. 同年BS77992 2000發(fā)布.2C02年對BS779%2； 2000避打 慘仃發(fā)布j'BS7799-2： 2002 版，進行了怪“，于5H 15“發(fā)布了IS027001ISO17799 ISOflEC17799f 2005版ISO f 2005年 10Ml5采用ISO/IEC 17790:2005在加08 筆。等AjISO2/IEC 2700X200HBS7799-2t 2002版本成為國際-ISO/IEC27(»11 2006版.BS7799認(rèn)證是指企業(yè)信息安全管理體系符合英國國家標(biāo)準(zhǔn)BS7799-2,由于BS7799具有廣泛的國際認(rèn)可度，在 BS779

6、9-2成為國際標(biāo)準(zhǔn)ISO27001之前，全球企業(yè)在選擇信息信息安全管理體系認(rèn)證時，會選擇BS7799。Q：到目前為止，國內(nèi)ISO27001認(rèn)證情況發(fā)展如何?A:目前在國內(nèi)通過ISO27001認(rèn)證的企業(yè)數(shù)已經(jīng)達(dá)到了 199家（截至200906）,盡管絕對 數(shù)還不大，但是增長特別快，從下圖能觀其大概：書的統(tǒng)計表（截止到 2009年6月）： BSI （英標(biāo)協(xié)會） DNV （挪威船級社） BV （ Bureau Veritas ） SGS CIS GmbH TUV DQS目前國內(nèi)認(rèn)證公司有中國信息安全認(rèn)證中心（簡寫為ISCCC, 09年5月份CNAS認(rèn)可），華夏認(rèn)證中心有限公司 （UKAS認(rèn)可，國內(nèi)試

7、點證書），廣州賽寶認(rèn)證中心服務(wù)有限公司（國內(nèi)試點證書），中國電子技術(shù)標(biāo)準(zhǔn)化研究所（國內(nèi)試點證書）四家，從公開渠道能夠查詢到 的信息來看，截止到2009年7月20日，只有中國信息安全認(rèn)證中心對外頒發(fā)了19張證書，而其他國內(nèi)認(rèn)證機構(gòu)還沒有頒出證書。Q:獲得ISO27001認(rèn)證有什么好處？本強化意識，轉(zhuǎn)變觀念I(lǐng)SO27001認(rèn)證是一個組織證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本；信息安全風(fēng)險管理的目的是彳障企業(yè)業(yè)務(wù)賴以運行IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運行，保障企業(yè)業(yè)務(wù)的連續(xù)開展， 而不是為企業(yè)業(yè)務(wù)的開展橫加了一道枷鎖，強調(diào)安全保障以業(yè)務(wù)為中心；信息安全工作應(yīng)該是

8、以IT部門為主導(dǎo)，全員參與的全公司范圍內(nèi)的活動，強調(diào)人人有責(zé)；信息安全管理應(yīng)該遵循風(fēng)險管理的思想，強調(diào)事先防范，事中控制以及事后總結(jié)的工作思路，而不是“問題驅(qū)動”的救火思路；信息安全問題的解決不應(yīng)該是“頭疼醫(yī)頭，腳疼醫(yī)腳”的局部問題解決方式，強調(diào)整體、系統(tǒng)的分析和解決問題；上規(guī)范操作，有法可依按照PDCA的方法管理企業(yè)信息安全風(fēng)險，使公司信息安全管理從無序、零散、被動”的問題補救行為轉(zhuǎn)變?yōu)?系統(tǒng)、科學(xué)、連貫、主動”的風(fēng)險駕馭狀態(tài)；完善各類安全管理制度，規(guī)范了企業(yè)內(nèi)部各種與信息系統(tǒng)、信息保密等相關(guān)的各種操作行為和方式；4良好形象，合規(guī)要求企業(yè)獲得國際認(rèn)證， 能提升客戶、業(yè)務(wù)伙伴、 投資人對公司重

9、要、 以及敏感信息保 護能力的信心，提高組織的公眾形象和競爭力；滿足監(jiān)管單位的合規(guī)性要求，以及合作伙伴的信息安全審核的要求；Q:企業(yè)初次如何開展 ISO27001認(rèn)證（ISMS建設(shè)）項目？確定項目前期咨詢確定ISMS幣日打rISMS#：系ISMS系牽頭部門公司參入認(rèn)證范圍人日抬懷建設(shè)實施認(rèn)證企業(yè)開展ISO27001認(rèn)證時，一般都是由IT部門牽頭，業(yè)務(wù)部門配合參入。但是對于規(guī)范較小的公司，IT部門的力量非常有限，往往是由質(zhì)量管理部門牽頭主導(dǎo)項目，因為這些公司一般都有實施過管理體系認(rèn)證（ISO9001或者CMMI ）或者項目的經(jīng)驗，信息安全管理體 系同質(zhì)量管理體系具有較大的相似性。前期咨詢公司的參

10、入幫助引導(dǎo)主導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識信息安全，信息安全管理以及ISO27001認(rèn)證，就本項目對信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因為這關(guān) 系到項目實施過程順利與否，以及項目目標(biāo)的達(dá)成與否。項目范圍的確定在前面已經(jīng)做了說明，這里不再累贅。ISO27001項目的招標(biāo)同其他項目沒有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實施在此也不多說，也有專門的問題。ISMS體系認(rèn)證工作一般分為兩個階段的工作，第一階段是文件審核，這個階段審核員 只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點一般為風(fēng)險評估方法，業(yè)務(wù)連續(xù)性和管理體系測量等幾個方面。第二階

11、段是現(xiàn)場審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以及企業(yè)自身信息安全策略的要求，在認(rèn)證范圍內(nèi)，現(xiàn)場 核實制度的實施情況， 檢查運行記錄是重要的審核手段?，F(xiàn)場審核將以末次會議的形式結(jié)束整個審核工作，如果審核員沒有發(fā)現(xiàn)重大不符合項，審核員會在末次會議上宣布企業(yè)通過現(xiàn)場審核。Q:企業(yè)ISO27001認(rèn)證的范圍如何來確定？A:認(rèn)證范圍的選擇將影響達(dá)到認(rèn)證要求的難易度以及成本。反過來，難易度和成本是 選擇認(rèn)證范圍的重要參考。難易度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定，而成本則與企業(yè)的預(yù)算相關(guān)。在考慮難易度和成本的基礎(chǔ)上，企業(yè)一般會把核心業(yè)務(wù)部門以及支撐核心業(yè)務(wù)的IT部門和人力資源部門納入認(rèn)證范圍

12、。認(rèn)證范圍的描述一般使用業(yè)務(wù)活動范圍、地域場所、信息資產(chǎn)及技術(shù)來表達(dá)。到目前為止，像比較著名的認(rèn)證機構(gòu)比如BSI, DNV等在國內(nèi)頒發(fā)的證書一般只使用業(yè)務(wù)活動和地域場所來描述認(rèn)證的管理體系范圍。Q:企業(yè)建立符合ISO27001標(biāo)準(zhǔn)的ISMS的過程大致是怎樣的？A : ISO27001認(rèn)證實施不同咨詢公司的做法也不一樣，但是基本上會按照標(biāo)準(zhǔn)里的內(nèi)容，從ISMS （信息安全管理體系）規(guī)劃、ISMS實施與運維、ISMS監(jiān)視與回顧、ISMS改進與提高四個階段。詳細(xì)如下圖解。PXA-LAction維護與Plan改進11照就ISMi.> tl 夏 ICheckDo*io范困雙邊界適用性聲明控制U林員

13、控的措施監(jiān)視與回斷15M5實施與運姓ISMS風(fēng)險處理階段二:ISMS規(guī)劃ISMSI臨+見與M顧10 Ms改進與提高,P03其空Action雄斗與 一 Plan曲法簟則15M5由山 _I5M5. 出 1邑但：一 _ ：CheckDo風(fēng)物好營計劃監(jiān)視與回顏SNi S實施導(dǎo) 運辨IS MS疫源管理控制措鐮班階段三:15M與人見fed與運維15M5改進與提高回顧有效性官埋評審階段四:ISMS去見別iSMS/JtL!與運維有效性捽制帶錄鳳齡評林麗內(nèi)部由計實施改進采取糾正15防措施教訓(xùn)吸取（別人&自我）驗證改進通報改進PDCAAction建護與一 Plan掇選Check的在與回項運維ISM5監(jiān)視

14、與回顧A PD8橫型Action維護與一 Plan改進集劃isms篥劃=SMS£靈.X二| 的即CheckDe?監(jiān)視與回顧實施與運維ISP/SISO27001標(biāo)準(zhǔn)的深刻理解以及過往XX公司的ISO27001認(rèn)證咨詢實施方法是建立在對實踐積累總結(jié)的基礎(chǔ)上的。ISO27001信息安全管理體系的核心是基于 PDCA流程的方法。利 益伙伴，客戶，股東等是信息安全需求做企業(yè)信息安全管理體系的出發(fā)點，在企業(yè)內(nèi)部業(yè)務(wù)活動的開展，需要各種各樣資源，包括人財物的投入，同時也必須遵守各種各樣的安全制度， 好的信息安全管理體系最終給利益伙伴，客戶和股東帶來價值。PlanISMSCheckPDCA是個周而復(fù)

15、始的循環(huán)活動，發(fā)現(xiàn)問題，制定問題處理計劃，實施計劃，檢查回顧 執(zhí)行的執(zhí)行，監(jiān)視評估實施的效果，發(fā)現(xiàn)不足及時改進。企業(yè)在 PDCA思路的指導(dǎo)下，大 循環(huán)套小循環(huán)，不斷推動企業(yè)信息安全管理水平提升，始終使企業(yè)信息安全風(fēng)險處在可控的狀態(tài)。X X公司在實踐中總結(jié)出了一套輔導(dǎo)企業(yè)通過ISO27001認(rèn)證的方法。整個實施方法分為五個階段，按照實施順序分別是差距分析、資產(chǎn)風(fēng)險評估、體系規(guī)劃和實施、體系發(fā)布與試運行和協(xié)助外審，每個階段都有關(guān)鍵輸出。詳情請參看圖-實施方法總概?，F(xiàn)狀調(diào)研?文件審核?問卷調(diào)研?人員訪談術(shù)調(diào)研全面風(fēng)險評估?信息資產(chǎn)風(fēng)險評估?IT流程風(fēng)險評估體系建立體系運行體系認(rèn)證審核?業(yè)務(wù)與策略?流

16、程與體系?考核評審五個階段活動都包含相應(yīng)的子活動以及階段主要成果，詳細(xì)見下表:實施階段關(guān)鍵子活動描述階段主要成果現(xiàn)狀調(diào)研ISO27001基礎(chǔ)培訓(xùn)人員訪談現(xiàn)有安全制度收集與分析安全技術(shù)現(xiàn)場評估ISO27001差距分析ISO27001培訓(xùn)教材人員訪談記錄 制度分析報告 安全技術(shù)報告 差距分析報告全囿風(fēng)險評估風(fēng)險評估方法培訓(xùn) 資產(chǎn)清點風(fēng)險評估培訓(xùn)材料 資產(chǎn)清單威脅與弱點分析風(fēng)險賦值IT流程風(fēng)險評估資產(chǎn)風(fēng)險表風(fēng)險評估報告ISMS體系建立管理體系規(guī)劃 技術(shù)體系規(guī)劃 風(fēng)險處理計劃 女全制度編與體系規(guī)劃報告風(fēng)險處理計劃安全管理制度（包括方針， 規(guī)定，指南，手順等）ISMS體系運行安全制度培訓(xùn) 信息安全內(nèi)部審

17、計 管理評審安全制度培訓(xùn)材料 內(nèi)部審計報告 管理評審報告ISMS體系認(rèn)證審核應(yīng)對外審培訓(xùn)應(yīng)對外審培訓(xùn)材料Q:企業(yè)在項目實施過程中，需要多少資源投入？A:企業(yè)在實施ISMS建設(shè)時，項目實施方管理層關(guān)心的除了付給咨詢方的費用以外， 還特別關(guān)心在ISMS建設(shè)過程中企業(yè)人員還需要投入多少人天?？偟膩碚f，企業(yè)的人天投入 不同階段是不一樣的， 而且參與的人員也會有所不同，從管理層到普通員工在實施工程中都會有參與。下面以一個范圍為 200人的公司實施ISMS建設(shè)為仞從ISMS項目實施的五個階 段，在不同項目階段不同角色參與項目的單位時間來說明。季/ju ISO? 7001位思安祭性現(xiàn)體系標(biāo)準(zhǔn)培哪部門層借口我

18、個位人2. 5h總理分析援受訓(xùn)讀管理層與抨部部 長以段業(yè)務(wù)骨阡管網(wǎng)0 5h部長:1h亞芬由|71h資產(chǎn) 風(fēng)險討彷責(zé)產(chǎn)識冽和/河|部1層信達(dá)或全喻 人開發(fā)常項H經(jīng)理2h執(zhí)行桔息,產(chǎn)識出用仙俶部門公信口我介聯(lián)絡(luò) 人痢11經(jīng)理* 1：作以安傘聯(lián) 絡(luò)人為1 .如出 時皿II”怦僑期 七成資產(chǎn)清單評審務(wù)部部長lh配合風(fēng)險評估訪談務(wù)部部長或開發(fā)部用“經(jīng)理211體系規(guī)劃L泄上協(xié)助據(jù)耳陋小JT卡的女介浦用 利ibl度1業(yè)分IT 1和 安全旺鰭人體系發(fā)偉 1試驗運 行根據(jù)看部門相次的工SMS就"和宏全策略進行閽著部門層心口 安個聯(lián)絡(luò)人Id嬖如內(nèi)部審模培訓(xùn)及令聯(lián)法人2h其中：h表不小時，d表小天Q:如何

19、選擇認(rèn)證公司?在認(rèn)證公司的選擇方面大致可以分為國際公司和國內(nèi)公司，企業(yè)如果有涉及到出口， 離岸外包等國際業(yè)務(wù)時， 建議選擇國際認(rèn)證公司；如果企業(yè)業(yè)務(wù)僅僅涉及限于國內(nèi)客戶，且企業(yè)自身要滿足國內(nèi)監(jiān)管方信息安全監(jiān)管要求，建議選擇國內(nèi)認(rèn)證公司。 國內(nèi)認(rèn)證公司由于在開展ISO27001認(rèn)證的業(yè)務(wù)起步較國際認(rèn)證公司晚幾年，因而在客戶認(rèn)可性方面比起國際認(rèn) 證公司要稍微差些。國內(nèi)企業(yè)選擇國際認(rèn)證公司時間，一般選擇BSI和DNV較多，國內(nèi)認(rèn)證公司目前只有中國信息安全認(rèn)證中心正式被中國合格評定國家認(rèn)可委員會（簡稱認(rèn)可委）正式認(rèn)可，而其他三家（賽寶認(rèn)證中心，華夏認(rèn)證中心，中國電子技術(shù)標(biāo)準(zhǔn)化研究所）目前（截止2009

20、年6月）還是頒發(fā)試點證書。Q:企業(yè)獲得ISO27001認(rèn)證之后，在應(yīng)對認(rèn)證公司審核還需要做哪些工作？A : ISO27001證書一般都是3年有效期，3年過后，必須歷經(jīng)一次全面審核，由認(rèn)證公司 重新頒發(fā)證書。在認(rèn)證注冊資格后，在三年有效期內(nèi)，將接受乙方3次定期監(jiān)督審核及必要 的不定期審查。其中，獲證之日起6個月安排首次監(jiān)督審核，其后監(jiān)督審核間隔不得超過 12個月，有異常情況時酌情增加監(jiān)督審核的頻次。因此，企業(yè)必須仍然按照標(biāo)準(zhǔn)PDCA勺要求，不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險狀況。Q：如何成來保證一個ISMS項目的成功，這些成功因素主要包括哪些？a）項目范圍內(nèi)相關(guān)部門以及各層領(lǐng)導(dǎo)就項目的目標(biāo)理解一致。b）

21、信息安全策略必須要反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全策略是規(guī)范員工的行為，更好的服務(wù)企業(yè)，為企業(yè)業(yè)務(wù)目標(biāo)的達(dá)成提供信息安全的保障，安全策略不能與業(yè)務(wù)目標(biāo)相違背，更不能成為業(yè)務(wù)開展的絆腳石。c） 實施過程與方法要與企業(yè)的文化保持一致。項目實施過程中，需要顧問與企業(yè)人員不斷的溝通和交流，這些交流方式要與企業(yè)當(dāng)前的企業(yè)文化相一致。d）來自管理層可見的支持以及承諾。管理層需要在項目的各個關(guān)鍵節(jié)點，如項目里程碑參加會議，公開表明態(tài)度，并保障必要的人力以及財力支持。e）為員工提供適當(dāng)?shù)呐嘤?xùn)和教育f） 易理解且一致的度量系統(tǒng)以評估信息安全的效能。安全控制的效果如何是能夠通過一種從公司管理層到普通員工所有成員都理

22、解的方式來衡量。就如人身體的好壞能夠通過血壓，脈搏等等指標(biāo)就能知道。g）自動化的安全策略管理工具的使用。需要有一個工具來自動的管理當(dāng)前的安全策略，員工也能夠通過這個工具，快速查找到他需要的安全制度。Q: ISMS的范圍確定之后，如何來解決范圍之外的一些信息安全問題呢？A:企業(yè)內(nèi)部面臨信息安全問題的時候，目前雖然不是以前上某種安全產(chǎn)品就解決一切問題的那種一勞永逸的想法，但是大多數(shù)的企業(yè)都希望盡可能多解決一些問題，這種心情是可以理解的。ISMS建設(shè)時，都會確定一個明確的實施范圍，比如IT部或研發(fā)部或財務(wù)部，那么在實施ISMS的過程當(dāng)中，范圍之外的部門或組織一般都不會深入涉及，再次實施的重點明確在

23、已定的范圍之內(nèi)，在咨詢顧問的幫助下， 建立合理的信息安全組織框架，培養(yǎng)出能夠勝任安全管理體系運作的相關(guān)人員，比如掌握了風(fēng)險評估方法的人員，內(nèi)部審計人員等等， 提高人員的安全技能以及安全意識，在范圍內(nèi)，提高信息安全的運作水平，降低相關(guān)安全風(fēng)險。然后依此作為示范，一步一步的擴大ISMS的范圍，并且按照PDCA模型使企業(yè)的信息安全水平 不斷提升，最后全公司范圍內(nèi)推廣實施。 實際上這也是企業(yè)在信息安全體系的建設(shè)過程當(dāng)中， 在一定的人財物的投入的條件下，按部就班，循序漸進，并秉承關(guān)鍵部門、以及高安全風(fēng)險的地方優(yōu)先控制的原則，切忌一步而蹴。Q:哪些問題屬于信息安全風(fēng)險，而哪一些問題則不屬于信息安全風(fēng)險？A

24、 ：信息安全風(fēng)險是指自然（環(huán)境）因素或者人為因素利用信息系統(tǒng)漏洞（技術(shù)漏洞）管理（或流程）缺陷，對企業(yè)造成危害的潛在事件。包括信息系統(tǒng)的開發(fā)、部署、運行（使 用）、監(jiān)控、維護及退出等過程中由于IT操作流程缺陷、系統(tǒng)的業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接影響信息系統(tǒng)的安全、可靠、平 穩(wěn)運行，并可能導(dǎo)致業(yè)務(wù)運營中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險，并間接導(dǎo)致信用、市場、 法律、聲譽等企業(yè)。實用文檔風(fēng)檢存在于工缺館新湖包括:造的安全影艷成業(yè)多形響工壞 境企業(yè)外部環(huán)境行業(yè)及監(jiān)管環(huán)境內(nèi)部環(huán)境變化企業(yè)內(nèi)部環(huán)境操作環(huán)境時題或局限 3 一一IT流程建設(shè)開發(fā)缺乏安全懦求分析流斡

25、運行問題察陰外部事件發(fā)生運行監(jiān)控流程設(shè)計不白理鯽護更新流程活動管理不完善系統(tǒng)退出事作風(fēng)險防能不完善J 一 應(yīng)用系統(tǒng)系統(tǒng)映陷系統(tǒng)上線或變更1T第礎(chǔ)帔施安全漏洞融隔或漏洞被利用物理設(shè)施性健與程定性隱患稔定性向時景和由息，安全影響1T相關(guān)業(yè)務(wù)風(fēng)險造成的財務(wù)、 聲譽等方面宜接.到接損失業(yè) 務(wù)系統(tǒng)實現(xiàn)的北番渝程市務(wù)操作風(fēng)成控航 缺酹人為失誤/激用/ 外部，件文案大全戰(zhàn)性影響業(yè)務(wù)操作風(fēng)陞可拿性影響IT效率影響間接導(dǎo)致業(yè)務(wù)運作無法得到安全.規(guī)范.穩(wěn) 定1T服勢的支持無法及時恢復(fù)災(zāi)酢成K他重大事件 中斷的1 丁服務(wù)業(yè)瑞怦理; 控制信息的可鴕性得不 到保證應(yīng)用系統(tǒng)中業(yè)務(wù)處理流程被濫用導(dǎo) 致欺許等事件1 丁相關(guān)合

26、規(guī)向燃導(dǎo)致企業(yè)面對監(jiān)管 副門的1k力甚至處罰無法為客戶提供安全.高效的腎辣 脂務(wù).影響企業(yè)客戶關(guān)系實用文檔信息系統(tǒng)開發(fā)時的業(yè)務(wù)需求分析風(fēng)險、信息系統(tǒng)項目管理風(fēng)險等等則不屬于信息安全風(fēng)險。Q：信息安全風(fēng)險管理的定義及其范圍？A ：信息安全風(fēng)險管理是指通過建立有效的機制，實現(xiàn)對信息安全風(fēng)險的識別、計量、 評估、預(yù)警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行，規(guī)避因為信息技術(shù) 應(yīng)用而引起的各種風(fēng)險。一般包括風(fēng)險評估、風(fēng)險處理、風(fēng)險接受、風(fēng)險通報、風(fēng)險監(jiān)控、 風(fēng)險回顧。應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險。此類風(fēng)險與信息技術(shù)應(yīng)用的關(guān)系密切，并且極有可能因為自動化、網(wǎng)絡(luò)化

27、的實現(xiàn)方式而被放大， 因此必須將其 納入全面信息安全風(fēng)險管理的范圍：應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險，此類操作風(fēng)險的識別、評估以及提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線；但是通過系統(tǒng)實現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險情況發(fā)生了較大的變化，因此此類風(fēng)險的管理課題橫跨IT技術(shù)與業(yè)務(wù)運營兩個領(lǐng)域；所以從實現(xiàn)全面風(fēng)險管理的角度出發(fā)，應(yīng)將協(xié)助管理此類風(fēng)險的職責(zé)納入信息安全風(fēng)險管理的范圍，由IT部門采取適當(dāng)?shù)姆绞椒e極參與其管理工作；IT操作流程缺陷. IT部門直接管理信息系統(tǒng)脆弱性IT部門直接管理內(nèi)外部信息安全事件IT部門直接管理IT部門協(xié)

28、助業(yè)務(wù)部門發(fā)現(xiàn)問題并共同管理IT部門協(xié)助業(yè)務(wù)部門發(fā)現(xiàn)問題并共同管理1T部門協(xié)助業(yè)務(wù)部門發(fā)現(xiàn)問遮并共同管理操作人員無方 蓄意失誤G 1T部門配合運行與用 卜4 戶部門進行管理Q:怎樣算是實現(xiàn)了有效的信息安全風(fēng)險管理？A:明確職責(zé)與分工，建立良好的互動機制，由信息安全風(fēng)險管理團隊進行協(xié)調(diào)、檢查、 督促并提供專業(yè)支持，實現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險管理環(huán)境，全面掌控直接、 間接的隱藏風(fēng)險，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行的隱患控制在可 接受的范圍內(nèi)。Q:企業(yè)里誰應(yīng)該承擔(dān)信息安全風(fēng)險管理的哪些職責(zé)？信息安全風(fēng)險專業(yè)性強、涉及領(lǐng)域廣，適宜在IT條線內(nèi)部進行管理，IT部門承擔(dān)信息安

29、全風(fēng)險的管理職責(zé)，具體落實在部門內(nèi)的信息安全風(fēng)險條線；業(yè)務(wù)部門承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險；企業(yè)風(fēng)險管理部門對信息安全風(fēng)險管理提供指導(dǎo)；信息安全風(fēng)險管理職能應(yīng)向企業(yè)風(fēng)險管理部門提供信息安全風(fēng)險管理報告，以匯總到企業(yè)整體風(fēng)險管理報告中；其中: R = Responsible 誰負(fù)責(zé)，負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項目、解決問題。 A = Accountable 誰批準(zhǔn)，對任務(wù)負(fù)全責(zé)的角色，只有經(jīng)其同意或簽署之后，項目 才能得以進行。 C = Consulted 咨詢誰，在任務(wù)實施前或中提供指定性意見的人員。 I = Informed告知誰，及時被通知結(jié)果的人員，不必向其咨詢、征求意見。Q:

30、 IT部門內(nèi)誰應(yīng)該承擔(dān)信息安全風(fēng)險管理的哪些職責(zé)？A ： IT條線內(nèi)部的信息安全風(fēng)險遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則，定位 如下：IT條線管理層整體負(fù)責(zé)，并向董事會進行年度信息安全風(fēng)險報告；建設(shè)開發(fā)、運行維護等IT職能為IT風(fēng)險的第一責(zé)任人，承擔(dān)識別風(fēng)險、實施信息 安全風(fēng)險等職責(zé)；信息安全風(fēng)險管理職能承擔(dān)著制定風(fēng)險計量標(biāo)準(zhǔn)、開發(fā)評估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測風(fēng)險情況、應(yīng)急響應(yīng)、編制風(fēng)險管理報告等職責(zé)。IT管理層制定信息安全風(fēng)儂執(zhí)行信息安全風(fēng)險管理制度與政策1-IT職葡歌識別1T流程風(fēng)險審tl及監(jiān)督管理層<F收集匯總管理制度與林準(zhǔn)信息安全風(fēng)險信息年度內(nèi)控 自評價審計業(yè)

31、務(wù)審計中的 rr部分促進信息之管理層和 執(zhí)行雙向流動頊審計監(jiān)管部門信息安全監(jiān)管要求IT風(fēng)值管理相關(guān)部門審”及紀(jì)檢部門息安全風(fēng)險Q：需要組建怎樣的隊伍來管理信息安全風(fēng)險，隊伍中各角色的職責(zé)是什么?A:在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上（沒有的話，則從頭建立），建立垂直專業(yè)管理的信息安全風(fēng)險管理條線；建立常設(shè)的風(fēng)險評估、 監(jiān)控掃描等專業(yè)團隊， 并以虛擬團隊的方式覆蓋整個企業(yè)；設(shè)立安全信息監(jiān)控中心（運維中心）等實體化的信息安全支撐中心。組織結(jié) 構(gòu)如下圖所示：鳳管理委送風(fēng)防首理葡信息技術(shù)委員會D0m4而G業(yè)團隊的息發(fā)個司通昔年稱門LFT風(fēng)齡評估FTRI目的信息安弋方案看時整改督促恰息我上風(fēng)隘1 I目竹蚪!與 小I健M史全騏梅，打描T77HF啕虺辦調(diào)仃風(fēng)嗡與安十首H飛工 信息安全風(fēng)險主管? 協(xié)助管理層確定信息安全風(fēng)險管理目標(biāo)、風(fēng)險偏好? 確定信息安全風(fēng)險管理策略；? 協(xié)調(diào)相關(guān)信息安全風(fēng)險相關(guān)主要資源；? 向管理層匯報整體風(fēng)險管理狀況；? 協(xié)調(diào)信息安全風(fēng)險管理相關(guān)方工作；? 組織制定信息安全風(fēng)險管理政策。$ 總部信息安全安全風(fēng)險管理：? 組織和管理整個公司信息安全風(fēng)險管理工作? 組織制定信息安全風(fēng)險管理規(guī)劃? 組則整體信息安全風(fēng)險管理組織建設(shè)? 負(fù)責(zé)信息安全