CISP0301信息安全管理體系

1、信息安全管理體系信息安全管理體系培訓機構名稱講師名字課程課程內容內容2信息安全管理信息安全管理體系體系知識體知識體知識域知識域信息安全管理信息安全管理基本概念基本概念信息信息安全安全管理體系建設管理體系建設知識子域知識子域信息安全管理的作用信息安全管理的作用風險管理的概念和作用風險管理的概念和作用過程方法與過程方法與PDCA循環(huán)循環(huán)安全管理控制措施的概念和作用安全管理控制措施的概念和作用建立、運行、評審與改進建立、運行、評審與改進ISMS知識域：信息安全管理基本概念知識域：信息安全管理基本概念v知識子域： 信息安全管理的作用 理解信息安全“技管并重”原則的意義 理解成功實施信息安全管理工作的關

2、鍵因素v知識子域： 風險管理的概念和作用 理解信息安全風險的概念：資產價值、威脅、脆弱性、防護措施、影響、可能性 理解風險評估是信息安全管理工作的基礎 理解風險處置是信息安全管理工作的核心v知識子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理風險的具體手段 了解11個基本安全管理控制措施的基本內容3信息安全管理信息安全管理v一、信息安全管理概述v二、信息安全管理體系v三、信息安全管理體系建立v四、信息安全管理控制規(guī)范4一、信息安全管理概述一、信息安全管理概述v（一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于風險的信息安全v（二）信息安全管理的狀況 1、信

3、息安全管理的作用 2、信息安全管理的發(fā)展 3、信息安全管理的標準 4、成功實施信息安全管理的關鍵5（一）信息安全管理基本概念（一）信息安全管理基本概念v1、信息安全v2、信息安全管理v3、基于風險的信息安全61 1、信息安全、信息安全7v信息信息：信息是一種資產，像其他重要的業(yè)務資產一樣，對組織具有價值，因此需要妥善保護。v信息安全信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。1 1、信息、信息安全

4、安全信息安全保密性可用性完整性81 1、信息安全、信息安全- -保密性保密性9v保密性保密性v確保只有那些被授予特定權限的人才能夠訪問到信息。信息的保密性依據信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據信息的重要程度和保密要求將信息分為不同密級。1 1、信息安全、信息安全- -完整性完整性10v完整性完整性v保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、丟失信息、錯誤信息等現象；另一方面指信息處理的方法的正確性，執(zhí)行不正當的操作，有可能造成重要文件的丟失，甚至整個系統(tǒng)的癱瘓

5、。1 1、信息安全、信息安全- -可用性可用性11v可用性可用性v確保那些已被授權的用戶在他們需要的時候，確實可以訪問到所需信息。即信息及相關的信息資產在授權人需要的時候，可以立即獲得。例如，通信線路中斷故障、網絡的擁堵會造成信息在一段時間內不可用，影響正常的業(yè)務運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當地承受攻擊并在失敗時恢復。2 2、信息安全管理、信息安全管理v 統(tǒng)計結果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網絡安全的全貌就會發(fā)現安全問題實際上都是人的問題，單憑技

6、術是無法實現從“最大威脅”到“最可靠防線”轉變的。v 信息安全是一個多層面、多因素的過程，如果組織憑著一時的需要，想當然去制定一些控制措施和引入某些技術產品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現若干“短板”，從而無法提高信息安全水平。122 2、信息安全管理、信息安全管理13v正確的做法是參考國內外相關信息安全標準與最佳實踐過程，根據組織對信息安全的各個層面的實際需求，在風險分析的基礎上引入恰當控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產的保密性、完整性和可用性。2 2、信息安全管理、信息安全管理14n組織中為了完成信息安全目標信息安全目標，針對信息系

7、統(tǒng)信息系統(tǒng)，遵循安全策略，按照規(guī)定的程序，運用恰當的方法，而進行的規(guī)劃、組織、指導、協調和控制規(guī)劃、組織、指導、協調和控制等活動n信息安全管理工作的對象規(guī)則人員目標組織信息輸入立法摘要變化？關鍵活動關鍵活動測量擁有者資 源記錄標 準輸入輸出生 產經 營過程2 2、信息安全管理、信息安全管理15v信息安全管理是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產的一項體制；是組織中用于指導和管理各種控制信息安全風險的一組相互協調的活動，有效的信息安全管理要盡量做到在有限的成本下，保證安全風險控制在可接受的范圍。3 3、基于風險的信息安全、基于風險的信息安全16v（1）安全風險的基

8、本概念v（2）信息安全的風險模型v（2）基于風險的信息安全（1 1）安全風險的基本概念）安全風險的基本概念v資產資產v 資產是任何對組織有價值的東西v 信息也是一種資產，對組織具有價值v資產的分類v 電子信息資產v 紙介資產v 軟件資產v 物理資產v 人員v 服務性資產v 公司形象和名譽v 17（1 1）安全風險的基本概念）安全風險的基本概念v威脅威脅v 資威脅是可能導致信息安全事故和組織信息資產損失的環(huán)境或事件v 威脅是利用脆弱性來造成后果v威脅舉例v 黑客入侵和攻擊病毒和其他惡意程序v 軟硬件故障人為誤操作v盜竊網絡監(jiān)聽v供電故障后門v未授權訪問自然災害如：地震、火災18（1 1）安全風險

9、的基本概念）安全風險的基本概念v脆弱性脆弱性v 是與信息資產有關的弱點或安全隱患。v 脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產造成危害。v脆弱性舉例v 系統(tǒng)漏洞程序Bugv 專業(yè)人員缺乏不良習慣v 缺少審計缺乏安全意識v 后門v 物理環(huán)境訪問控制措施不當19（1 1）安全風險的基本概念）安全風險的基本概念v安全控制措施安全控制措施v 根據安全需求部署的，用來防范威脅，降低風險的措施v安全控制措施舉例20技術措施技術措施防火墻防病毒入侵檢測災備系統(tǒng)管理措施管理措施安全規(guī)章安全組織人員培訓運行維護（2 2）信息安全的風險模型信息安全的風險模型21沒

10、有絕對的安全，只有相對的安全信息安全建設的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當、足夠、綜合的安全措施來控制風險，使殘余風險降低到可接受的程度。（3 3）基于風險的信息安全基于風險的信息安全信息安全追求目標信息安全追求目標v確保業(yè)務連續(xù)性v業(yè)務風險最小化v保護信息免受各種威脅的損害v投資回報和商業(yè)機遇最大化獲得信息安全方式獲得信息安全方式v實施一組合適的控制措施，包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能。22（3 3）風險評估是信息安全管理的基礎）風險評估是信息安全管理的基礎v風險評估主要對ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評

11、估，同時對已存在的或規(guī)劃的安全控制措施進行界定。v信息安全管理體系的建立需要確定信息安全需求v信息安全需求獲取的主要手段就是安全風險評估v信息安全風險評估是信息安全管理體系建立的基礎，沒有風險評估，信息安全管理體系的建立就沒有依據。23（4 4）風險處置是信息安全管理的核心）風險處置是信息安全管理的核心v風險評估的結果應進行相應的風險處置，本質上，風險處置的最佳集合就是信息安全管理體系的控制措施集合。v控制目標、控制手段、實施指南的邏輯梳理出這些風險控制措施集合的過程也就是信息安全建立體系的建立過程。v信息安全管理體系的核心就是這些最佳控制措施集合的。24（二）信息安全管理的狀況（二）信息安全

12、管理的狀況v1、信息安全管理的作用v2、信息安全管理的發(fā)展v3、信息安全管理有關標準v4、成功實施信息安全管理的關鍵251 1、信息、信息安全管理的作用安全管理的作用26v如果你把鑰匙落在鎖眼上會怎樣？v技術措施需要配合正確的使用才能發(fā)揮作用保險柜就一定安全嗎保險柜就一定安全嗎？27精心設計的網絡防御體系，因違規(guī)外連形同虛設防火墻能解決這樣的問題嗎？1 1、信息安全管理的作用、信息安全管理的作用28信息系統(tǒng)是人機交互系統(tǒng)應對風險需要人為的管理過程設備的有效利用是人為的管理過程“堅持管理與技術并重堅持管理與技術并重”是我國是我國加加強信息安全保障工作的主要原則強信息安全保障工作的主要原則1 1、

13、信息安全管理的作用、信息安全管理的作用2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-1-129vISO/IEC TR 13335 國際標準化組織在信息安全管理方面，早在1996年就開始制定信息技術信息安全管理指南（ISO/IEC TR 13335），它分成五個部分： 信息安全的概念和模型 信息安全管理和規(guī)劃 信息安全管理技術 基線方法 網絡安全管理指南2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-2-230vBS 7799 英國標準化協會（BSI）1995年頒布了信息安全管理指南（BS 7799），BS 7799分為兩個部分： BS 7799-1信息安全管理實施規(guī)則和BS 7799-2信息

14、安全管理體系規(guī)范。2002年又頒布了信息安全管理系統(tǒng)規(guī)范說明（BS 7799-2:2002）。 BS 7799將信息安全管理的有關問題劃分成了10個控制要項、36 個控制目標和127 個控制措施。目前，在BS77992中，提出了如何了建立信息安全管理體系的步驟。2 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-3-3312 2、信息安全管理的發(fā)展、信息安全管理的發(fā)展-4-4323 3、國內外信息安全管理標準國內外信息安全管理標準33v（1）國際信息安全管理標準 國際信息安全標準化組織 國際信息安全管理標準v（2）國內信息安全管理標準 國內信息安全標準化組織 國內信息安全管理標準國際信息安全標準化

15、組織國際信息安全標準化組織34國際信息安全管理標準國際信息安全管理標準-1-135國際信息安全管理標準國際信息安全管理標準-2-236國際信息安全管理標準國際信息安全管理標準-3-337國內信息安全標準化組織國內信息安全標準化組織38國內信息安全管理標準國內信息安全管理標準-1-139WG7組已有的標準組已有的標準國內信息安全管理標準國內信息安全管理標準-2-240WG7組研究中的標準組研究中的標準國內信息安全管理標準國內信息安全管理標準-3-3414 4、實施信息安全管理的關鍵成功因素、實施信息安全管理的關鍵成功因素v理解組織文化v得到高層承諾v做好風險評估v整合管理體系v積極有效宣貫v納入

16、獎懲機制v持續(xù)改進體系42二、信息安全管理體系二、信息安全管理體系v（一）什么是信息安全管理體系v（二）信息安全管理體系的框架v（三）信息安全管理過程方法要求v（四）信息安全管理控制措施要求43（一）什么是信息安全管理體系（一）什么是信息安全管理體系v1、信息安全管理體系的定義v2、信息安全管理體系的特點v3、信息安全管理體系的作用v4、信息安全管理體系的文件441 1、信息安全管理體系的定義、信息安全管理體系的定義v信息安全管理體系（ISMS：Information Security Management System）是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的

17、方法和體系。它是直接 管理活動的結果，表示為方針、原則、目標、方法、計劃、活動、程序、過程和資源的集合。452 2、信息安全管理體系的特點、信息安全管理體系的特點v 信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標和措施等一系列活動來建立信息安全管理體系；v 體系的建立基于系統(tǒng)、全面、科學的安全風險評估，體現以預防控制為主的思想，強調遵守國家有關信息安全的法律、法規(guī)及其他合同方面的要求；v 強調全過程和動態(tài)控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；強調保護組織所擁有的關鍵性信息資產，而不是全部信息資產，確保信息的保

18、密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務的持續(xù)性。463 3、信息安全管理體系的作用、信息安全管理體系的作用v對組織的關鍵信息資產進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；v在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；v促使管理層貫徹信息安全管理體系，強化員工的信息安全意識，規(guī)范組織信息安全行為；v使組織的生意伙伴和客戶對組織充滿信心；v組織可以按照安全管理，達到動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務的持續(xù)性。474 4、信息安全管理體系的理念、信息安全管理體系的理念v各廠商、各標準化組織都基于各

19、自的角度提出了各種信息安全管理的體系標準，這些基于產品、技術與管理層面的標準在某些領域得到了很好的應用，但從組織信息安全的各個角度和整個生命周期來考察，如果忽略了組織中最活躍的因素人的作用，則信息安全管理體系是不完備的，考察國內外的各種信息安全事件，不難發(fā)現，在信息安全時間表象后面其實都是人的因素在起決定作用。484 4、信息安全管理體系的理念、信息安全管理體系的理念技術因素人的因素管理因素49在信息安全問題上，要綜合考慮人員與管理、技術與產品、流程與體系。信息安全管理體系是人員、管理與技術三者的互動。5 5、信息安全管理體系的過程、信息安全管理體系的過程50完善信息安全治理結構風險評估安全規(guī)

20、劃信息安全管理框架管理措施技術手段信息系統(tǒng)安全審計監(jiān)控業(yè)務與安全環(huán)境符合安全控制標準？持續(xù)改進調整（二）信息安全管理體系框架（二）信息安全管理體系框架v1、信息安全管理體系循環(huán)框架v2、信息安全管理體系內容框架v3、信息安全管理體系文件框架v4、信息安全管理體系系列標準511 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架52信息安全管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。相關方信息安全要求和期望相關方受控的信息安全1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架53vPDCA也稱“戴明環(huán)”，由美國質量管理專家戴明提出。vP P（PlanPlan）：）：計劃，確定方針和目

21、標，確定活動計劃；vD D（DoDo）：）：實施，實際去做，實現計劃中的內容；vC C（CheckCheck）：）：檢查，總結執(zhí)行計劃的結果，注意效果，找出問題；vA A（ActionAction）：）：行動，對總結檢查的結果進行處理，成功地經驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現；未解決的問題放到下一個PDCA循環(huán)。1 1、信息安全管理體系循環(huán)框架、信息安全管理體系循環(huán)框架54pPDCA特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán)。 9090處置處置實施實施規(guī)劃規(guī)劃檢查檢查C CA AD DP PpPDCA特點二： 組織中的每個部分，甚至

22、個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。 90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP PpPDCA特點三：每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA 循環(huán)。90909090處置處置實施實施規(guī)劃規(guī)劃檢查檢查C CA AD DP P達到新的水平達到新的水平改進改進( (修訂標準修訂標準) )維持原有水平維持原有水平90909090處置處置實施實施規(guī)劃規(guī)劃檢查檢查C CA AD DP P2 2、信息安全管理體系內容框架、信息安全管理體系內容框架552 2、信息安全管理體系內容框架

23、（續(xù)）、信息安全管理體系內容框架（續(xù)）56其他最佳實踐標準與各安全控制域之間的對應其他最佳實踐標準與各安全控制域之間的對應ISO27000系列系列不是信息安全管理體系的全部不是信息安全管理體系的全部3 3、信息安全管理體系文檔框架、信息安全管理體系文檔框架573 3、信息安全管理體系文檔框架、信息安全管理體系文檔框架58安全策略安全策略操作手冊操作手冊操作手冊操作手冊操作手冊操作手冊操作手冊操作手冊考核指標考核指標考核指標考核指標4 4、信息安全管理體系系列標準、信息安全管理體系系列標準59v（1）ISO 27000系列v（2）NIST SP800系列v（3）ISO/IEC13335系列（1

24、1）ISO ISO 2700027000系列系列60vISO 27000系列27000270032700427007 27000信息安全管理體系原則信息安全管理體系原則和術語和術語 27001信息安全管理體系要求信息安全管理體系要求27002 信息安全管理實踐準則信息安全管理實踐準則27003信息安全管理實施指南信息安全管理實施指南27004 信息安全管理的度量指標信息安全管理的度量指標和衡量和衡量 27005 信息安全風險管理指南信息安全風險管理指南27006 信息和通信技術災難恢復信息和通信技術災難恢復服務指南服務指南27007 XXX270012700227000270062700527

25、00327004信息安全管理體系基本原理和詞匯信息安全管理體系基本原理和詞匯 （1 1）ISO ISO 2700027000系列系列6127001ISMS要求27004 ISMS度量指標和衡量27002 ISMS實踐準則27001的附錄A將兩者聯系起來，作為ISMS過程的一部分測量ISMS控制措施的性能和有效性的要求將兩者聯系起來2700027000：ISMSISMS基礎和詞匯基礎和詞匯62v正在啟動的新標準項目；v它將主要以ISO/IEC 13335-1:2004信息和通信技術安全管理第1部分：信息和通信技術安全管理的概念和模型為基礎進行研究；v該標準將規(guī)定27000系列標準所共用的基本原則

26、、概念和詞匯。2700127001：信息安全管理體系要求信息安全管理體系要求63v2005年10月15日發(fā)布；v規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息安全管理體系的要求；v基于風險管理的思想，旨在通過持續(xù)改進的過程（PDCA模型）使組織達到有效的信息安全；v使用了和ISO 9001、ISO 14001相同的管理體系過程模型；v是一個用于認證和審核的標準；2700227002：信息安全管理實用規(guī)則信息安全管理實用規(guī)則64v即17799，2005年6月15日發(fā)布第二版；v包含有11個安全類別、39個控制目標、138個控制措施；v實施27001的支撐標準，給出了組織建立ISMS時

27、應選擇實施的控制目標和控制措施集；v是一個行業(yè)最佳慣例的匯總集，而不是一個認證和審核標準；2700327003：ISMSISMS實施指南實施指南65v目前處于工作草案階段；v它主要以BS 7799-2:2002附錄B的內容為基礎進行制定；v提供了27001具體實施的指南。2700427004：信息安全管理度量信息安全管理度量66v旨在為組織提供一個如何通過使用度量、測量項以及合適的測量技術來評估其安全管理狀態(tài)的指南。2700527005：信息安全風險管理信息安全風險管理67v目前處于委員會草案階段；v它將主要以ISO/IEC 13335-2為基礎進行制定；v描述了信息安全風險管理的過程及每個過

28、程的詳細內容。（2 2）NIST SP800NIST SP800系列系列68NIST SP800系列（3 3）ISO/IEC13335ISO/IEC13335系列系列69ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和計劃ISO/IEC1335-3:1998IT安全管理技術ISO/IEC1335-4:2000IT安全措施的選擇ISO/IEC1335-5:2001網絡安全管理指南ISO/IEC13335系列系列（三）信息安全管理過程方法要求（三）信息安全管理過程方法要求v1、信息安全管理過程方法的作用v2、信息安全管理過程方法的結構701

29、1、信息安全管理過程方法的作用、信息安全管理過程方法的作用71v過程方法要求（Methodological requirements）：為組織根據業(yè)務風險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系規(guī)定了要求。v按照PDCA循環(huán)理念運行的信息安全管理體系是從過程上嚴格保證了信息安全管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。2 2、信息安全管理過程方法的結構、信息安全管理過程方法的結構72（四）信息安全管理控制措施要求（四）信息安全管理控制措施要求v1、信息安全管理控制措施的作用v2、信息安全管理控制措施的結構731 1、信息安全管理

30、控制措施的作用、信息安全管理控制措施的作用74v安全控制要求（Security control requirements）：為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個最佳實踐集。v組織應根據法律法規(guī)的約束、自身的業(yè)務和風險特征選擇適用的控制措施。v當然組織也可以根據自身的特定要求對安全控制措施進行補充。2 2、信息安全管理控制措施的結構、信息安全管理控制措施的結構75v共有11個控制條款（方面）v每個條款包括許多主要的安全類。v每個安全類包括： 一個控制目標，聲明要實現什么 一個或多個控制措施，可被用于實現該控制目標 每個控制措施 控制：是對該控制措施的定義 實施指南：是對實施該控

31、制措施的指導性說明 其它信息：其它需要說明的補充信息762 2、信息安全管理控制措施的結構示例、信息安全管理控制措施的結構示例v8、人員安全安全控制條款v8.1雇傭前安全類 確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，減少盜竊、濫用或設施誤用的風險。 安全類控制目標 8.1.1角色和職責安全控制措施 控制：是對該控制措施的定義 實施指南：是對實施該控制措施的指導性說明 其它信息：其它需要說明的補充信息77v知識子域：過程方法與PDCA循環(huán) 理解ISMS過程和過程方法的含義 理解PDCA循環(huán)的特征和作用v知識子域：建立、運行、評審與改進ISMS 了解建立ISMS的主要工作

32、內容 了解實施和運行ISMS的主要工作內容 了解監(jiān)視和評審ISMS的主要工作內容 了解保持和改進ISMS的主要工作內容知識域：信息安全管理體系建設知識域：信息安全管理體系建設三、信息安全管理體系建設三、信息安全管理體系建設v（一）信息安全管理體系的規(guī)劃和建立v（二）信息安全管理體系的實施和運行v（三）信息安全管理體系的監(jiān)視和評審v（四）信息安全管理體系的保持和改進78（一）信息安全管理體系規(guī)劃和建立（一）信息安全管理體系規(guī)劃和建立vP1-定義ISMS范圍vP2-定義ISMS方針vP3-確定風險評估方法vP4-分析和評估信息安全風險vP5-識別和評價風險處理的可選措施vP6-為處理風險選擇控制目

33、標和控制措施vP7-準備詳細的適用性聲明SoA79P1-P1-定義定義ISMSISMS范圍范圍80vISMS的范圍就是需要重點進行信息安全管理的領域，組織需要根據自己的實際情況，在整個組織范圍內、個別部門或領域構建ISMS。v在本階段，應將組織劃分成不同的信息安全控制領域，以易于組織對有不同需求的領域進行適當的信息安全管理。v在定義ISMS范圍時，應重點考慮組織現有的部門、信息資產的分布狀況、核心業(yè)務的流程區(qū)域以及信息技術的應用區(qū)域。P2-P2-定義定義ISMSISMS方針方針81v信息安全方針是組織的信息安全委員會或管理當局制定的一個高層文件，用于指導組織如何對資產，包括敏感信息進行管理、保

34、護和分配的規(guī)則和指示。v信息安全方針應當闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準，采用適當的方法將方針傳達給每一個員工。v信息安全方針應當簡明、扼要，便于理解，至少包括目標、范圍、意圖、法規(guī)的遵從性和管理的責任等內容。P3-P3-確定風險評估方法確定風險評估方法82v組織可采取不同風險評估法方法，一個方法是否適合于特定組織，有很多影響因素，包括： 業(yè)務環(huán)境 業(yè)務性質與業(yè)務重要性； 對支持組織業(yè)務活動的信息系統(tǒng)的依賴程度； 業(yè)務內容、支持系統(tǒng)、應用軟件和服務的復雜性； 貿易伙伴、外部業(yè)務關系、合同數量的大小。v這些因素對風險評估方法的選擇都很重要，不僅風險評估要考慮成本與效益

35、的權衡，不出現過度安全；風險評估自身也要考慮成本與效益的權衡，不出現過度復雜。P4-P4-分析和評估信息安全風險分析和評估信息安全風險83v風險評估主要對ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的安全控制措施進行鑒定。v確定風險數值的大小不是評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對值，即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產應被優(yōu)先分配資源進行保護。組織可以采用按照風險數值排序的方法，也可以采用區(qū)間劃分的方法將風險劃分為不同的優(yōu)先等級，這包括將可接受風險與不可接受風險進行劃分。 P5-P5-識別

36、和評價風險處理的可選措施識別和評價風險處理的可選措施84v根據風險評估的結果，在已有措施基礎上從安全控制最佳集合中選擇安全控制措施。P6-P6-為處理風險選擇控制目標和控制措施為處理風險選擇控制目標和控制措施85v在選擇控制目標和控制措施時，并沒有一套標準與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務部門和大量的關鍵人員進行討論，對業(yè)務目標進行廣泛的分析，最后產生的結果要很好的滿足組織對業(yè)務目標、資產保護、投資預算的要求。v組織采用什么樣的方法來評估安全需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風險、來自法規(guī)和

37、合同的遵從以及來自業(yè)務這三種安全需求來驅動。P7-P7-準備詳細的適用性聲明準備詳細的適用性聲明SoASoA86v在風險評估之后，組織應該選用符合組織自身需要的控制措施與控制目標。所選擇的控制目標和措施以及被選擇的原因應在適用性聲明（SOA：Statement of Application）SOA中進行說明。vSOA是適合組織需要的控制目標和控制的評論，需要提交給管理者、職員、具有訪問權限的第三方相關認證機構。vSOA的準備一方面是為了向組織內的員工聲明對信息安全面對的風險的態(tài)度，更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將所有需要控制

38、的風險控制在能被接受的范圍內。（二）信息安全管理體系實施和運行（二）信息安全管理體系實施和運行vD1-開發(fā)風險處置計劃vD2-實施風險處置計劃vD3-實施安全控制措施vD4-實施安全教育培訓vD5-管理ISMS的運行vD6-管理ISMS 的資源vD7-執(zhí)行檢測安全事件程序vD8-執(zhí)行響應安全事故程序87信息安全風險處置的分類信息安全風險處置的分類88v根據風險評估的結果進行相關的風險處置：v降低風險：降低風險：在考慮轉移風險前，應首先考慮采取措施降低風險；v避免風險：避免風險：有些風險容易避免，例如采用不同的技術、更改操作流程、采用簡單的技術措施等；v轉移風險：轉移風險：通常只有當風險不能被降

39、低風險和避免、且被第三方接受時才采用；v接受風險：接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險。信息安全管理體系試運行信息安全管理體系試運行v體系運行初期處于體系的磨合期，一般稱為試運行期，在此期間運行的目的是要在實踐中體驗體系的充分性、適用性和有效性。在體系運行初期，組織應加強運作力度，通過實施ISMS手冊、程序和各種作業(yè)指導性文件等一系列體系文件，充分發(fā)揮體系本身的各項工程，及時發(fā)現體系本身存在的問題，找出問題的根據，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以達到進一步完善信息安全管理

40、體系的目的。89（三）信息安全管理體系監(jiān)視和評審（三）信息安全管理體系監(jiān)視和評審v C1-執(zhí)行ISMS監(jiān)視程序v C2-執(zhí)行ISMS評價程序v C3-定期執(zhí)行ISMS評審v C4-測量控制措施的有效性v C5-驗證安全要求是否被滿足v C6-按計劃進行風險評估v C7-評審可接受殘余風險v C8-按計劃進行內部審核v C9-按計劃進行管理評審v C10-更新信息安全計劃v C11-記錄對ISMS有影響的行動和事件90常用的檢查措施：常用的檢查措施：v在檢查階段采集的信息應該可以用來測量信息安全管理體系，判斷是否符合組織的安全方針和控制目標的有效性。常用的檢查措施有：v日常檢查：作為正式的業(yè)務過

41、程經常進行，并設計用來偵測處理結果的錯誤。v自治程序：為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現而建立的措施。如監(jiān)控程序報警等。v從其他處學習：一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法。91常用的檢查措施：常用的檢查措施：v內部審核：在一個特定的常規(guī)審核時間內檢查所有方面是否達到預想的效果。v管理評審：管理評審的目的是檢查信息安全管理體系的有效性，以識別需要的改進和采取的行動。管理評審指導每年進行一次v趨勢分析：經常進行趨勢分析有助于組織識別需要改進的領域，并建立一個持續(xù)改進和循環(huán)提高的基礎。92（四）信息安全管理體系保持和改進（四）信息安全管理體系保持和改進vA1-

42、實施已識別的ISMS改進措施vA2-執(zhí)行糾正性和預防性措施vA3-通知相關人員ISMS的變更vA4-從安全經驗和教訓中學習93A1-A1-實施已識別的實施已識別的ISMSISMS改進措施改進措施94v為使信息安全管理體系持續(xù)有效，應以檢查階段采集的不符合項信息為基礎，經常進行調整與改進。v不符合項指： 缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求； 在有可觀證據的基礎上，引起對信息安全管理體系安全方針和組織安全目標能力的重大懷疑。A2-A2-執(zhí)行糾正性和預防性措施執(zhí)行糾正性和預防性措施95v通過各種檢查措施，發(fā)現了組織ISMS體系運行中出現了不符合規(guī)定要求的事項后，就需要采取改進措施。改進措施主要通過糾正與預防性控制措施來實現，同時對潛在的不符合項采取預防性措施。v糾正性措施：組織應采取措施，以消除不合格的、與實施和運行信息安全管理體系有關的原因、防止問題的再發(fā)生。v預防性措施：組織應對未來的不合適事件確定預防措施已防止其發(fā)生，預防措施應與潛在問題的影響程度相適應。