信息安全管理體系課件1

信息平安管理體系培訓(xùn)機構(gòu)名稱講師名字1.信息平安管理體系培訓(xùn)機構(gòu)名稱1.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理基本概念信息安全管理體系建設(shè)知識子域信息安全管理的作用風(fēng)險管理的概念和作用過程方法與PDCA循環(huán)安全管理控制措施的概念和作用建立、運行、評審與改進ISMS2.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理信息安全知識知識域：信息平安管理根本概念知識子域：信息平安管理的作用理解信息平安“技管并重〞原那么的意義理解成功實施信息平安管理工作的關(guān)鍵因素知識子域：風(fēng)險管理的概念和作用理解信息平安風(fēng)險的概念：資產(chǎn)價值、威脅、脆弱性、防護措施、影響、可能性理解風(fēng)險評估是信息平安管理工作的根底理解風(fēng)險處置是信息平安管理工作的核心知識子域：信息平安管理控制措施的概念和作用理解平安管理控制措施是管理風(fēng)險的具體手段了解11個根本平安管理控制措施的根本內(nèi)容33.知識域：信息平安管理根本概念知識子域：信息平安管理的作用3信息平安管理一、信息平安管理概述二、信息平安管理體系三、信息平安管理體系建立四、信息平安管理控制標準44.信息平安管理一、信息平安管理概述44.一、信息平安管理概述〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險的信息平安〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理的標準4、成功實施信息平安管理的關(guān)鍵55.一、信息平安管理概述〔一〕信息平安管理根本概念55.〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險的信息平安66.〔一〕信息平安管理根本概念66.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價值，因此需要妥善保護。信息平安：信息平安主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等平安技術(shù)和各種組織管理措施，來保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。77.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，1、信息平安信息安全保密性可用性完整性88.1、信息平安信息安全保密性可用性完整性88.1、信息平安-保密性保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。99.1、信息平安-保密性保密性99.1、信息平安-完整性完整性保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、喪失信息、錯誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮?，有可能造成重要文件的喪失，甚至整個系統(tǒng)的癱瘓。1010.1、信息平安-完整性完整性1010.1、信息平安-可用性可用性確保那些已被授權(quán)的用戶在他們需要的時候，確實可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務(wù)運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r恢復(fù)。1111.1、信息平安-可用性可用性1111.2、信息平安管理統(tǒng)計結(jié)果說明，在所有信息平安事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會發(fā)現(xiàn)平安問題實際上都是人的問題，單憑技術(shù)是無法實現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。信息平安是一個多層面、多因素的過程，如果組織憑著一時的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息平安這只“木桶〞出現(xiàn)假設(shè)干“短板〞，從而無法提高信息平安水平。1212.2、信息平安管理統(tǒng)計結(jié)果說明，在所有信息平安事故中，只有202、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標準與最正確實踐過程，根據(jù)組織對信息平安的各個層面的實際需求，在風(fēng)險分析的根底上引入恰當(dāng)控制，建立合理平安管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。1313.2、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標準與最正2、信息平安管理14組織中為了完成信息平安目標，針對信息系統(tǒng)，遵循平安策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒ǎM行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息平安管理工作的對象

規(guī)則

人員目標組織·信息輸入·立法·摘要變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營過程14.2、信息平安管理14組織中為了完成信息平安目標，針對信息系統(tǒng)2、信息平安管理信息平安管理是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是組織中用于指導(dǎo)和管理各種控制信息平安風(fēng)險的一組相互協(xié)調(diào)的活動，有效的信息平安管理要盡量做到在有限的本錢下，保證平安風(fēng)險控制在可接受的范圍。1515.2、信息平安管理信息平安管理是通過維護信息的保密性、完整性和3、基于風(fēng)險的信息平安〔1〕平安風(fēng)險的根本概念〔2〕信息平安的風(fēng)險模型〔2〕基于風(fēng)險的信息平安1616.3、基于風(fēng)險的信息平安〔1〕平安風(fēng)險的根本概念1616.〔1〕平安風(fēng)險的根本概念資產(chǎn)資產(chǎn)是任何對組織有價值的東西信息也是一種資產(chǎn)，對組織具有價值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽……17.〔1〕平安風(fēng)險的根本概念資產(chǎn)17.〔1〕平安風(fēng)險的根本概念威脅資威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊 病毒和其他惡意程序軟硬件故障 人為誤操作盜竊 網(wǎng)絡(luò)監(jiān)聽供電故障 后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)18.〔1〕平安風(fēng)險的根本概念威脅18.〔1〕平安風(fēng)險的根本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點或平安隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞 程序Bug專業(yè)人員缺乏 不良習(xí)慣缺少審計 缺乏平安意識后門物理環(huán)境訪問控制措施不當(dāng)……19.〔1〕平安風(fēng)險的根本概念脆弱性19.〔1〕平安風(fēng)險的根本概念平安控制措施根據(jù)平安需求部署的，用來防范威脅，降低風(fēng)險的措施平安控制措施舉例技術(shù)措施防火墻防病毒入侵檢測災(zāi)備系統(tǒng)……管理措施平安規(guī)章平安組織人員培訓(xùn)運行維護……20.〔1〕平安風(fēng)險的根本概念平安控制措施技術(shù)措施管理措施20.〔2〕信息平安的風(fēng)險模型21沒有絕對的平安，只有相對的平安信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過恰當(dāng)、足夠、綜合的平安措施來控制風(fēng)險，使剩余風(fēng)險降低到可接受的程度。21.〔2〕信息平安的風(fēng)險模型21沒有絕對的平安，只有相對的平安信〔3〕基于風(fēng)險的信息平安信息平安追求目標確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險最小化保護信息免受各種威脅的損害投資回報和商業(yè)機遇最大化獲得信息平安方式實施一組適宜的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。2222.〔3〕基于風(fēng)險的信息平安信息平安追求目標確保業(yè)務(wù)連續(xù)性獲得信〔3〕風(fēng)險評估是信息平安管理的根底風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的平安控制措施進行界定。信息平安管理體系的建立需要確定信息平安需求信息平安需求獲取的主要手段就是平安風(fēng)險評估信息平安風(fēng)險評估是信息平安管理體系建立的根底，沒有風(fēng)險評估，信息平安管理體系的建立就沒有依據(jù)。2323.〔3〕風(fēng)險評估是信息平安管理的根底風(fēng)險評估主要對ISMS范圍〔4〕風(fēng)險處置是信息平安管理的核心風(fēng)險評估的結(jié)果應(yīng)進行相應(yīng)的風(fēng)險處置，本質(zhì)上，風(fēng)險處置的最正確集合就是信息平安管理體系的控制措施集合。控制目標、控制手段、實施指南的邏輯梳理出這些風(fēng)險控制措施集合的過程也就是信息平安建立體系的建立過程。信息平安管理體系的核心就是這些最正確控制措施集合的。2424.〔4〕風(fēng)險處置是信息平安管理的核心風(fēng)險評估的結(jié)果應(yīng)進行相應(yīng)的〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理有關(guān)標準4、成功實施信息平安管理的關(guān)鍵2525.〔二〕信息平安管理的狀況1、信息平安管理的作用2525.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險柜就一定平安嗎？26.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？保險WO!3G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？1、信息平安管理的作用27.WO!3G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能信息系統(tǒng)是人機交互系統(tǒng)應(yīng)對風(fēng)險需要人為的管理過程設(shè)備的有效利用是人為的管理過程“堅持管理與技術(shù)并重〞是我國加強信息平安保障工作的主要原那么1、信息平安管理的作用28.信息系統(tǒng)是人機交互系統(tǒng)應(yīng)對風(fēng)險需要人為的管理過程設(shè)備的有效利2、信息平安管理的開展-1ISO/IECTR13335國際標準化組織在信息平安管理方面，早在1996年就開始制定?信息技術(shù)信息平安管理指南?〔ISO/IECTR13335〕，它分成五個局部：?信息平安的概念和模型??信息平安管理和規(guī)劃??信息平安管理技術(shù)??基線方法??網(wǎng)絡(luò)平安管理指南?2929.2、信息平安管理的開展-1ISO/IECTR1333522、信息平安管理的開展-2BS7799英國標準化協(xié)會〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分為兩個局部：BS7799-1?信息平安管理實施規(guī)那么?和BS7799-2?信息平安管理體系標準?。2002年又公布了?信息平安管理系統(tǒng)標準說明?〔BS7799-2:2002〕。BS7799將信息平安管理的有關(guān)問題劃分成了10個控制要項、36個控制目標和127個控制措施。目前，在BS7799－2中，提出了如何了建立信息平安管理體系的步驟。3030.2、信息平安管理的開展-2BS77993030.2、信息平安管理的開展-33131.2、信息平安管理的開展-33131.2、信息平安管理的開展-43232.2、信息平安管理的開展-43232.3、國內(nèi)外信息平安管理標準〔1〕國際信息平安管理標準國際信息平安標準化組織國際信息平安管理標準〔2〕國內(nèi)信息平安管理標準國內(nèi)信息平安標準化組織國內(nèi)信息平安管理標準3333.3、國內(nèi)外信息平安管理標準〔1〕國際信息平安管理標準3333國際信息平安標準化組織3434.國際信息平安標準化組織3434.國際信息平安管理標準-13535.國際信息平安管理標準-13535.國際信息平安管理標準-23636.國際信息平安管理標準-23636.國際信息平安管理標準-33737.國際信息平安管理標準-33737.國內(nèi)信息平安標準化組織3838.國內(nèi)信息平安標準化組織3838.國內(nèi)信息平安管理標準-139WG7組已有的標準39.國內(nèi)信息平安管理標準-139WG7組已有的標準39.國內(nèi)信息平安管理標準-240WG7組研究中的標準40.國內(nèi)信息平安管理標準-240WG7組研究中的標準40.國內(nèi)信息平安管理標準-34141.國內(nèi)信息平安管理標準-34141.4、實施信息平安管理的關(guān)鍵成功因素理解組織文化得到高層承諾做好風(fēng)險評估整合管理體系積極有效宣貫納入獎懲機制持續(xù)改進體系4242.4、實施信息平安管理的關(guān)鍵成功因素理解組織文化4242.二、信息平安管理體系〔一〕什么是信息平安管理體系〔二〕信息平安管理體系的框架〔三〕信息平安管理過程方法要求〔四〕信息平安管理控制措施要求4343.二、信息平安管理體系〔一〕什么是信息平安管理體系4343.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義2、信息平安管理體系的特點3、信息平安管理體系的作用4、信息平安管理體系的文件4444.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義4441、信息平安管理體系的定義信息平安管理體系〔ISMS：InformationSecurityManagementSystem〕是組織在整體或特定范圍內(nèi)建立的信息平安方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原那么、目標、方法、方案、活動、程序、過程和資源的集合。4545.1、信息平安管理體系的定義信息平安管理體系〔ISMS：Inf2、信息平安管理體系的特點信息平安管理體系要求組織通過確定信息平安管理體系范圍，制定信息平安方針，明確管理職責(zé)，以風(fēng)險評估為根底選擇控制目標和措施等一系列活動來建立信息平安管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的平安風(fēng)險評估，表達以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息平安的法律、法規(guī)及其他合同方面的要求；強調(diào)全過程和動態(tài)控制，本著控制費用與風(fēng)險平衡的原那么合理選擇平安控制方式；強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)的持續(xù)性。4646.2、信息平安管理體系的特點信息平安管理體系要求組織通過確定信3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促使管理層貫徹信息平安管理體系，強化員工的信息平安意識，標準組織信息平安行為；使組織的生意伙伴和客戶對組織充滿信心；組織可以按照平安管理，到達動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達可接受的信息平安水平，從根本上保證業(yè)務(wù)的持續(xù)性。4747.3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的4、信息平安管理體系的理念各廠商、各標準化組織都基于各自的角度提出了各種信息平安管理的體系標準，這些基于產(chǎn)品、技術(shù)與管理層面的標準在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息平安的各個角度和整個生命周期來考察，如果忽略了組織中最活潑的因素——人的作用，那么信息平安管理體系是不完備的，考察國內(nèi)外的各種信息平安事件，不難發(fā)現(xiàn)，在信息平安時間表象后面其實都是人的因素在起決定作用。4848.4、信息平安管理體系的理念各廠商、各標準化組織都基于各自的角4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息平安問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息平安管理體系是人員、管理與技術(shù)三者的互動。49.4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險評估平安規(guī)劃信息平安管理框架管理措施技術(shù)手段信息系統(tǒng)平安審計監(jiān)控業(yè)務(wù)與平安環(huán)境符合平安控制標準？持續(xù)改進調(diào)整50.5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險評估平〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架2、信息平安管理體系內(nèi)容框架3、信息平安管理體系文件框架4、信息平安管理體系系列標準5151.〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架5151、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。規(guī)劃和建立實施和運行監(jiān)視和評審保持和改進相關(guān)方信息平安要求和期望相關(guān)方受控的信息平安52.1、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)量管理專家戴明提出。P〔Plan〕：方案，確定方針和目標，確定活動方案；D〔Do〕：實施，實際去做，實現(xiàn)方案中的內(nèi)容；C〔Check〕：檢查，總結(jié)執(zhí)行方案的結(jié)果，注意效果，找出問題；A〔Action〕：行動，對總結(jié)檢查的結(jié)果進行處理，成功地經(jīng)驗加以肯定并適當(dāng)推廣、標準化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA循環(huán)。5353.1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)1、信息平安管理體系循環(huán)框架54PDCA特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復(fù)始，不斷循環(huán)。

9090處置實施規(guī)劃檢查CADPPDCA特點二：組織中的每個局部，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。PDCA特點三：每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次PDCA循環(huán)。90909090處置實施規(guī)劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090處置實施規(guī)劃檢查CADP54.1、信息平安管理體系循環(huán)框架54PDCA特點一：按順序進行，2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實踐標準與各平安控制域之間的對應(yīng)ISO27000系列不是信息平安管理體系的全部56.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實踐標準與各3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作手冊操作手冊考核指標考核指標58.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作4、信息平安管理體系系列標準〔1〕ISO27000系列〔2〕NISTSP800系列〔3〕ISO/IEC13335系列5959.4、信息平安管理體系系列標準〔1〕ISO27000系列59〔1〕ISO27000系列ISO

27000系列6027000~2700327004~2700727000信息平安管理體系原那么和術(shù)語27001信息平安管理體系要求27002信息平安管理實踐準那么27003信息平安管理實施指南27004信息平安管理的度量指標和衡量27005信息平安風(fēng)險管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)效勞指南27007XXX27001270022700027006270052700327004信息平安管理體系根本原理和詞匯60.〔1〕ISO27000系列ISO27000系列60270〔1〕ISO27000系列27001ISMS要求27004ISMS度量指標和衡量27002ISMS實踐準則6127001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一局部測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來61.〔1〕ISO27000系列27001270042700227000：?ISMS根底和詞匯?正在啟動的新標準工程；它將主要以ISO/IEC13335-1:2004?信息和通信技術(shù)平安管理第1局部：信息和通信技術(shù)平安管理的概念和模型?為根底進行研究；該標準將規(guī)定27000系列標準所共用的根本原那么、概念和詞匯。6262.27000：?ISMS根底和詞匯?正在啟動的新標準工程；6227001：?信息平安管理體系要求?2005年10月15日發(fā)布；規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息平安管理體系的要求；基于風(fēng)險管理的思想，旨在通過持續(xù)改進的過程〔PDCA模型〕使組織到達有效的信息平安；使用了和ISO9001、ISO14001相同的管理體系過程模型；是一個用于認證和審核的標準；6363.27001：?信息平安管理體系要求?2005年10月15日發(fā)27002：?信息平安管理實用規(guī)那么?

即17799，2005年6月15日發(fā)布第二版；包含有11個平安類別、39個控制目標、138個控制措施；實施27001的支撐標準，給出了組織建立ISMS時應(yīng)選擇實施的控制目標和控制措施集；是一個行業(yè)最正確慣例的匯總集，而不是一個認證和審核標準；6464.27002：?信息平安管理實用規(guī)那么?

即17799，20027003：?ISMS實施指南?目前處于工作草案階段；它主要以BS7799-2:2002附錄B的內(nèi)容為根底進行制定；提供了27001具體實施的指南。6565.27003：?ISMS實施指南?目前處于工作草案階段；65627004：?信息平安管理度量?旨在為組織提供一個如何通過使用度量、測量項以及適宜的測量技術(shù)來評估其平安管理狀態(tài)的指南。6666.27004：?信息平安管理度量?旨在為組織提供一個如何通過使27005：?信息平安風(fēng)險管理?目前處于委員會草案階段；它將主要以ISO/IEC13335-2為根底進行制定；描述了信息平安風(fēng)險管理的過程及每個過程的詳細內(nèi)容。6767.27005：?信息平安風(fēng)險管理?目前處于委員會草案階段；67〔2〕NISTSP800系列68NIST

SP800系列68.〔2〕NISTSP800系列68NISTSP800系列6〔3〕ISO/IEC13335系列ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和計劃ISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇ISO/IEC1335-5:2001網(wǎng)絡(luò)安全管理指南69ISO/IEC13335系列69.〔3〕ISO/IEC13335系列ISO/IEC1335-1〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用2、信息平安管理過程方法的結(jié)構(gòu)7070.〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用1、信息平安管理過程方法的作用過程方法要求〔Methodologicalrequirements〕：為組織根據(jù)業(yè)務(wù)風(fēng)險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息平安管理體系規(guī)定了要求。按照PDCA循環(huán)理念運行的信息平安管理體系是從過程上嚴格保證了信息平安管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。7171.1、信息平安管理過程方法的作用過程方法要求〔Methodol2、信息平安管理過程方法的結(jié)構(gòu)7272.2、信息平安管理過程方法的結(jié)構(gòu)7272.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用2、信息平安管理控制措施的結(jié)構(gòu)7373.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用1、信息平安管理控制措施的作用平安控制要求〔Securitycontrolrequirements〕：為組織選擇滿足自身信息平安環(huán)境要求的控制措施提供了一個最正確實踐集。組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險特征選擇適用的控制措施。當(dāng)然組織也可以根據(jù)自身的特定要求對平安控制措施進行補充。7474.1、信息平安管理控制措施的作用平安控制要求〔Security2、信息平安管理控制措施的結(jié)構(gòu)75共有11個控制條款〔方面〕每個條款包括許多主要的平安類。每個平安類包括：一個控制目標，聲明要實現(xiàn)什么一個或多個控制措施，可被用于實現(xiàn)該控制目標每個控制措施控制：是對該控制措施的定義實施指南：是對實施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補充信息75.2、信息平安管理控制措施的結(jié)構(gòu)75共有11個控制條款〔方面〕2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條款8.1雇傭前——平安類確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。——平安類控制目標8.1.1角色和職責(zé)——平安控制措施控制：是對該控制措施的定義實施指南：是對實施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補充信息76.2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條知識域：信息平安管理體系建設(shè)知識子域：過程方法與PDCA循環(huán)理解ISMS過程和過程方法的含義理解PDCA循環(huán)的特征和作用知識子域：建立、運行、評審與改進ISMS了解建立ISMS的主要工作內(nèi)容了解實施和運行ISMS的主要工作內(nèi)容了解監(jiān)視和評審ISMS的主要工作內(nèi)容了解保持和改進ISMS的主要工作內(nèi)容77.知識域：信息平安管理體系建設(shè)知識子域：過程方法與PDCA循環(huán)三、信息平安管理體系建設(shè)〔一〕信息平安管理體系的規(guī)劃和建立〔二〕信息平安管理體系的實施和運行〔三〕信息平安管理體系的監(jiān)視和評審〔四〕信息平安管理體系的保持和改進7878.三、信息平安管理體系建設(shè)〔一〕信息平安管理體系的規(guī)劃和建立7〔一〕信息平安管理體系規(guī)劃和建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險評估方法P4-分析和評估信息平安風(fēng)險P5-識別和評價風(fēng)險處理的可選措施P6-為處理風(fēng)險選擇控制目標和控制措施P7-準備詳細的適用性聲明SoA7979.〔一〕信息平安管理體系規(guī)劃和建立P1-定義ISMS范圍797P1-定義ISMS范圍ISMS的范圍就是需要重點進行信息平安管理的領(lǐng)域，組織需要根據(jù)自己的實際情況，在整個組織范圍內(nèi)、個別部門或領(lǐng)域構(gòu)建ISMS。在本階段，應(yīng)將組織劃分成不同的信息平安控制領(lǐng)域，以易于組織對有不同需求的領(lǐng)域進行適當(dāng)?shù)男畔⑵桨补芾怼Ｔ诙xISMS范圍時，應(yīng)重點考慮組織現(xiàn)有的部門、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域。8080.P1-定義ISMS范圍ISMS的范圍就是需要重點進行信息平安P2-定義ISMS方針信息平安方針是組織的信息平安委員會或管理當(dāng)局制定的一個高層文件，用于指導(dǎo)組織如何對資產(chǎn)，包括敏感信息進行管理、保護和分配的規(guī)那么和指示。信息平安方針應(yīng)當(dāng)說明管理層的承諾，提出組織管理信息平安的方法，并由管理層批準，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_給每一個員工。信息平安方針應(yīng)當(dāng)簡明、扼要，便于理解，至少包括目標、范圍、意圖、法規(guī)的遵從性和管理的責(zé)任等內(nèi)容。8181.P2-定義ISMS方針信息平安方針是組織的信息平安委員會或管P3-確定風(fēng)險評估方法組織可采取不同風(fēng)險評估法方法，一個方法是否適合于特定組織，有很多影響因素，包括：業(yè)務(wù)環(huán)境業(yè)務(wù)性質(zhì)與業(yè)務(wù)重要性；對支持組織業(yè)務(wù)活動的信息系統(tǒng)的依賴程度；業(yè)務(wù)內(nèi)容、支持系統(tǒng)、應(yīng)用軟件和效勞的復(fù)雜性；貿(mào)易伙伴、外部業(yè)務(wù)關(guān)系、合同數(shù)量的大小。這些因素對風(fēng)險評估方法的選擇都很重要，不僅風(fēng)險評估要考慮本錢與效益的權(quán)衡，不出現(xiàn)過度平安；風(fēng)險評估自身也要考慮本錢與效益的權(quán)衡，不出現(xiàn)過度復(fù)雜。8282.P3-確定風(fēng)險評估方法組織可采取不同風(fēng)險評估法方法，一個方法P4-分析和評估信息平安風(fēng)險風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的平安控制措施進行鑒定。確定風(fēng)險數(shù)值的大小不是評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對值，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。組織可以采用按照風(fēng)險數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風(fēng)險劃分為不同的優(yōu)先等級，這包括將可接受風(fēng)險與不可接受風(fēng)險進行劃分。8383.P4-分析和評估信息平安風(fēng)險風(fēng)險評估主要對ISMS范圍內(nèi)的信P5-識別和評價風(fēng)險處理的可選措施根據(jù)風(fēng)險評估的結(jié)果，在已有措施根底上從平安控制最正確集合中選擇平安控制措施。8484.P5-識別和評價風(fēng)險處理的可選措施根據(jù)風(fēng)險評估的結(jié)果，在已有P6-為處理風(fēng)險選擇控制目標和控制措施在選擇控制目標和控制措施時，并沒有一套標準與通用的方法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務(wù)部門和大量的關(guān)鍵人員進行討論，對業(yè)務(wù)目標進行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿足組織對業(yè)務(wù)目標、資產(chǎn)保護、投資預(yù)算的要求。組織采用什么樣的方法來評估平安需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風(fēng)險、來自法規(guī)和合同的遵從以及來自業(yè)務(wù)這三種平安需求來驅(qū)動。8585.P6-為處理風(fēng)險選擇控制目標和控制措施在選擇控制目標和控制措P7-準備詳細的適用性聲明SoA在風(fēng)險評估之后，組織應(yīng)該選用符合組織自身需要的控制措施與控制目標。所選擇的控制目標和措施以及被選擇的原因應(yīng)在適用性聲明〔SOA：StatementofApplication〕SOA中進行說明。SOA是適合組織需要的控制目標和控制的評論，需要提交給管理者、職員、具有訪問權(quán)限的第三方相關(guān)認證機構(gòu)。SOA的準備一方面是為了向組織內(nèi)的員工聲明對信息平安面對的風(fēng)險的態(tài)度，更大程度上那么是為了向外界說明組織的態(tài)度和作為，以說明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息平安系統(tǒng)，并將所有需要控制的風(fēng)險控制在能被接受的范圍內(nèi)。8686.P7-準備詳細的適用性聲明SoA在風(fēng)險評估之后，組織應(yīng)該選用〔二〕信息平安管理體系實施和運行D1-開發(fā)風(fēng)險處置方案D2-實施風(fēng)險處置方案D3-實施平安控制措施D4-實施平安教育培訓(xùn)D5-管理ISMS的運行D6-管理ISMS的資源D7-執(zhí)行檢測平安事件程序D8-執(zhí)行響應(yīng)平安事故程序8787.〔二〕信息平安管理體系實施和運行D1-開發(fā)風(fēng)險處置方案878信息平安風(fēng)險處置的分類根據(jù)風(fēng)險評估的結(jié)果進行相關(guān)的風(fēng)險處置：降低風(fēng)險：在考慮轉(zhuǎn)移風(fēng)險前，應(yīng)首先考慮采取措施降低風(fēng)險；防止風(fēng)險：有些風(fēng)險容易防止，例如采用不同的技術(shù)、更改操作流程、采用簡單的技術(shù)措施等；轉(zhuǎn)移風(fēng)險：通常只有當(dāng)風(fēng)險不能被降低風(fēng)險和防止、且被第三方接受時才采用；接受風(fēng)險：用于那些在采取了降低風(fēng)險和防止風(fēng)險措施后，出于實際和經(jīng)濟方面的原因，只要組織進行運營，就必然存在并必須接受的風(fēng)險。8888.信息平安風(fēng)險處置的分類根據(jù)風(fēng)險評估的結(jié)果進行相關(guān)的風(fēng)險處置：信息平安管理體系試運行體系運行初期處于體系的磨合期，一般稱為試運行期，在此期間運行的目的是要在實踐中體驗體系的充分性、適用性和有效性。在體系運行初期，組織應(yīng)加強運作力度，通過實施ISMS手冊、程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，充分發(fā)揮體系本身的各項工程，及時發(fā)現(xiàn)體系本身存在的問題，找出問題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對體系予以更改，以到達進一步完善信息平安管理體系的目的。8989.信息平安管理體系試運行體系運行初期處于體系的磨合期，一般稱為〔三〕信息平安管理體系監(jiān)視和評審C1-執(zhí)行ISMS監(jiān)視程序C2-執(zhí)行ISMS評價程序C3-定期執(zhí)行ISMS評審C4-測量控制措施的有效性C5-驗證平安要求是否被滿足C6-按方案進行風(fēng)險評估C7-評審可接受剩余風(fēng)險C8-按方案進行內(nèi)部審核C9-按方案進行管理評審C10-更新信息平安方案C11-記錄對ISMS有影響的行動和事件9090.〔三〕信息平安管理體系監(jiān)視和評審C1-執(zhí)行ISMS監(jiān)視程序9常用的檢查措施－１：在檢查階段采集的信息應(yīng)該可以用來測量信息平安管理體系，判斷是否符合組織的平安方針和控制目標的有效性。常用的檢查措施有：日常檢查：作為正式的業(yè)務(wù)過程經(jīng)常進行，并設(shè)計用來偵測處理結(jié)果的錯誤。自治程序：為了保證任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報警等。從其他處學(xué)習(xí)：一種識別組織不夠好的方法是看其他組織在處理此類問題是否有更好的方法。9191.常用的檢查措施－１：在檢查階段采集的信息應(yīng)該可以用來測量信息常用的檢查措施－２：內(nèi)部在一個特定的常規(guī)審核時間內(nèi)檢查ＩＳＭＳ所有方面是否到達預(yù)想的效果。管理評審：管理評審的目的是檢查信息平安管理體系的有效性，以識別需要的改進和采取的行動。管理評審指導(dǎo)每年進行一次趨勢分析：經(jīng)常進行趨勢分析有助于組織識別需要改進的領(lǐng)域，并建立一個持續(xù)改進和循環(huán)提高的根底。9292.常用的檢查措施－２：內(nèi)部在一個特定的常規(guī)審核時間內(nèi)檢查〔四〕信息平安管理體系保持和改進A1-實施已識別的ISMS改進措施A2-執(zhí)行糾正性和預(yù)防性措施A3-通知相關(guān)人員ISMS的變更A4-從平安經(jīng)驗和教訓(xùn)中學(xué)習(xí)9393.〔四〕信息平安管理體系保持和改進A1-實施已識別的ISMS改A1-實施已識別的ISMS改進措施為使信息平安管理體系持續(xù)有效，應(yīng)以檢查階段采集的不符合項信息為根底，經(jīng)常進行調(diào)整與改進。不符合項指：缺少或缺乏有效地實施和維護一個或多個信息平安管理體系的要求；在有可觀證據(jù)的根底上，引起對信息平安管理體系平安方針和組織平安目標能力的重大疑心。9494.A1-實施已識別的ISMS改進措施為使信息平安管理體系持續(xù)有A2-執(zhí)行糾正性和預(yù)防性措施通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運行中出現(xiàn)了不符合規(guī)定要求的事項后，就需要采取改進措施。改進措施主要通過糾正與預(yù)防性控制措施來實現(xiàn)，同時對潛在的不符合項采取預(yù)防性措施。糾正性措施：組織應(yīng)采取措施，以消除不合格的、與實施和運行信息平安管理體系有關(guān)的原因、防止問題的再發(fā)生。預(yù)防性措施：組織應(yīng)對未來的不適宜事件確定預(yù)防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。9595.A2-執(zhí)行糾正性和預(yù)防性措施通過各種檢查措施，發(fā)現(xiàn)了組織ISA3-通知相關(guān)人員ISMS的變更按照內(nèi)部審計和管理評審的輸出結(jié)果對信息平安管理體系作持續(xù)性的改善，每次的改善會涉及到信息平安管理體系文件的變更，變更的結(jié)果應(yīng)該及時通知信息平安管理體系的相關(guān)人員，并提供相應(yīng)培訓(xùn)。9696.A3-通知相關(guān)人員ISMS的變更按照內(nèi)部審計和管理評審的輸出A4-從平安經(jīng)驗和教訓(xùn)中學(xué)習(xí)從信息平安的最正確實踐經(jīng)驗和平安事故教訓(xùn)中學(xué)習(xí)，持續(xù)提高信息平安管理的水平。9797.A4-從平安經(jīng)驗和教訓(xùn)中學(xué)習(xí)從信息平安的最正確實踐經(jīng)驗和平安四、信息平安管理控制標準十一項條款〔一〕信息平安策略〔二〕信息平安組織〔三〕人力資源平安〔四〕信息資產(chǎn)分類與控制〔五〕信息平安訪問控制〔六〕物理與環(huán)境平安〔七〕系統(tǒng)開發(fā)與維護〔八〕通信與運營平安〔九〕信息平安事故管理〔十〕業(yè)務(wù)持續(xù)性管理〔十一〕符合性9898.四、信息平安管理控制標準十一項條款9898.〔一〕信息平安策略信息平安策略是陳述管理者的管理意圖，說明信息平安工作目標和原那么的文件；從本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個方案。9999.〔一〕信息平安策略信息平安策略是陳述管理者的管理意圖，說明信〔二〕信息平安組織在一個機構(gòu)中，平安角色與責(zé)任的不明確是實施信息平安過程中的最大障礙，信息平安組織的作用就是明確組織信息平安責(zé)任和職責(zé)，形成組織的平安管理架構(gòu)。100100.〔二〕信息平安組織在一個機構(gòu)中，平安角色與責(zé)任的不明確是實施〔三〕人力資源平安人力資源平安是保證組織中的員工在雇傭前、雇傭中、離職后各關(guān)鍵環(huán)節(jié)人力資源上的平安要求事項和控制措施。101101.〔三〕人力資源平安人力資源平安是保證組織中的員工在雇傭前、雇〔四〕信息資產(chǎn)分類與控制信息資產(chǎn)分類與控制是確保組織中的信息資產(chǎn)按照不同等級受到適當(dāng)保護的控制措施，資產(chǎn)的分類原那么、分類清單、所有權(quán)人都是關(guān)鍵核心要素。102102.〔四〕信息資產(chǎn)分類與控制信息資產(chǎn)分類與控制是確保組織中的信息〔五〕信息平安訪問控制信息平安訪問控制是通過標識〔identification〕、鑒別〔authentication〕、授權(quán)〔authorization〕這三種機制實現(xiàn)對業(yè)務(wù)、網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序等平安訪問控制策略的最正確實踐。103103.〔五〕信息平安訪問控制信息平安訪問控制是通過標識〔ident〔六〕物理與環(huán)境平安物理與環(huán)境平安是防止未經(jīng)授權(quán)的進入、訪問、破壞及干擾企業(yè)運行場所及信息，確保信息處理設(shè)施、關(guān)鍵核心設(shè)備和數(shù)據(jù)的平安。104104.〔六〕物理與環(huán)境平安物理與環(huán)境平安是防止未經(jīng)授權(quán)的進入、訪問〔七〕系統(tǒng)開發(fā)與維護系統(tǒng)開發(fā)與維護是通過科學(xué)嚴謹?shù)能浖_發(fā)方法，減少自開發(fā)軟件的漏洞，定期保養(yǎng)維護、及時發(fā)現(xiàn)系統(tǒng)的平安脆弱點。105105.〔七〕系統(tǒng)開發(fā)與維護系統(tǒng)開發(fā)與維護是通過科學(xué)嚴謹?shù)能浖_發(fā)方〔八〕通信與運營平安通信和運營平安是確保正確、平安地操作信息處理設(shè)備，包括系統(tǒng)規(guī)劃及驗收、對惡意軟件的防范、日常事務(wù)處理、網(wǎng)絡(luò)管理、存儲媒體的處理與平安、信息及軟件的交換等。106106.〔八〕通信與運營平安通信和運營平安是確保正確、平安地操作信息〔九〕信息平安事故管理對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的事件進行響應(yīng)，通過對策、檢測和響應(yīng)等手段最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小平安事件帶來的影響。107107.〔九〕信息平安事故管理對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的〔十〕業(yè)務(wù)持續(xù)性管理業(yè)務(wù)連續(xù)性管理是通過制定和實施一系列事先的策略和規(guī)劃，確保單位在面臨突發(fā)的災(zāi)難事件時，關(guān)鍵業(yè)務(wù)功能能持續(xù)運作、有效的發(fā)揮作用，以保證業(yè)務(wù)的正常和連續(xù)。108108.〔十〕業(yè)務(wù)持續(xù)性管理業(yè)務(wù)連續(xù)性管理是通過制定和實施一系列事先〔十一〕符合性符合性管理就是要防止違反法律、法規(guī)、規(guī)章、合同的要求，以及本單位平安策略和制度標準的規(guī)定109109.〔十一〕符合性符合性管理就是要防止違反法律、法規(guī)、規(guī)章、合同思考和體會標準不是羅列文檔不是擺設(shè)劣法勝于無法細節(jié)決定成敗110110.思考和體會標準不是羅列110110.謝謝，請?zhí)釂栴}！111.謝謝，請?zhí)釂栴}！111.信息平安管理體系培訓(xùn)機構(gòu)名稱講師名字112.信息平安管理體系培訓(xùn)機構(gòu)名稱1.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理基本概念信息安全管理體系建設(shè)知識子域信息安全管理的作用風(fēng)險管理的概念和作用過程方法與PDCA循環(huán)安全管理控制措施的概念和作用建立、運行、評審與改進ISMS113.課程內(nèi)容信息安全管理體系知識體知識域信息安全管理信息安全知識知識域：信息平安管理根本概念知識子域：信息平安管理的作用理解信息平安“技管并重〞原那么的意義理解成功實施信息平安管理工作的關(guān)鍵因素知識子域：風(fēng)險管理的概念和作用理解信息平安風(fēng)險的概念：資產(chǎn)價值、威脅、脆弱性、防護措施、影響、可能性理解風(fēng)險評估是信息平安管理工作的根底理解風(fēng)險處置是信息平安管理工作的核心知識子域：信息平安管理控制措施的概念和作用理解平安管理控制措施是管理風(fēng)險的具體手段了解11個根本平安管理控制措施的根本內(nèi)容114114.知識域：信息平安管理根本概念知識子域：信息平安管理的作用3信息平安管理一、信息平安管理概述二、信息平安管理體系三、信息平安管理體系建立四、信息平安管理控制標準115115.信息平安管理一、信息平安管理概述44.一、信息平安管理概述〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險的信息平安〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理的標準4、成功實施信息平安管理的關(guān)鍵116116.一、信息平安管理概述〔一〕信息平安管理根本概念55.〔一〕信息平安管理根本概念1、信息平安2、信息平安管理3、基于風(fēng)險的信息平安117117.〔一〕信息平安管理根本概念66.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對組織具有價值，因此需要妥善保護。信息平安：信息平安主要指信息的保密性、完整性和可用性的保持。即指通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等平安技術(shù)和各種組織管理措施，來保護信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。118118.1、信息平安信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，1、信息平安信息安全保密性可用性完整性119119.1、信息平安信息安全保密性可用性完整性88.1、信息平安-保密性保密性確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級。120120.1、信息平安-保密性保密性99.1、信息平安-完整性完整性保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲信息的過程中不發(fā)生篡改信息、喪失信息、錯誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮鳎锌赡茉斐芍匾募膯适?，甚至整個系統(tǒng)的癱瘓。121121.1、信息平安-完整性完整性1010.1、信息平安-可用性可用性確保那些已被授權(quán)的用戶在他們需要的時候，確實可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會造成信息在一段時間內(nèi)不可用，影響正常的業(yè)務(wù)運營，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r恢復(fù)。122122.1、信息平安-可用性可用性1111.2、信息平安管理統(tǒng)計結(jié)果說明，在所有信息平安事故中，只有20%~30%是由于黑客入侵或其他外部原因造成的，70%~80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)平安的全貌就會發(fā)現(xiàn)平安問題實際上都是人的問題，單憑技術(shù)是無法實現(xiàn)從“最大威脅〞到“最可靠防線〞轉(zhuǎn)變的。信息平安是一個多層面、多因素的過程，如果組織憑著一時的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息平安這只“木桶〞出現(xiàn)假設(shè)干“短板〞，從而無法提高信息平安水平。123123.2、信息平安管理統(tǒng)計結(jié)果說明，在所有信息平安事故中，只有202、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標準與最正確實踐過程，根據(jù)組織對信息平安的各個層面的實際需求，在風(fēng)險分析的根底上引入恰當(dāng)控制，建立合理平安管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。124124.2、信息平安管理正確的做法是參考國內(nèi)外相關(guān)信息平安標準與最正2、信息平安管理125組織中為了完成信息平安目標，針對信息系統(tǒng)，遵循平安策略，按照規(guī)定的程序，運用恰當(dāng)?shù)姆椒ǎM行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動信息平安管理工作的對象

規(guī)則

人員目標組織·信息輸入·立法·摘要變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營過程125.2、信息平安管理14組織中為了完成信息平安目標，針對信息系統(tǒng)2、信息平安管理信息平安管理是通過維護信息的保密性、完整性和可用性，來管理和保護組織所有的信息資產(chǎn)的一項體制；是組織中用于指導(dǎo)和管理各種控制信息平安風(fēng)險的一組相互協(xié)調(diào)的活動，有效的信息平安管理要盡量做到在有限的本錢下，保證平安風(fēng)險控制在可接受的范圍。126126.2、信息平安管理信息平安管理是通過維護信息的保密性、完整性和3、基于風(fēng)險的信息平安〔1〕平安風(fēng)險的根本概念〔2〕信息平安的風(fēng)險模型〔2〕基于風(fēng)險的信息平安127127.3、基于風(fēng)險的信息平安〔1〕平安風(fēng)險的根本概念1616.〔1〕平安風(fēng)險的根本概念資產(chǎn)資產(chǎn)是任何對組織有價值的東西信息也是一種資產(chǎn)，對組織具有價值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽……128.〔1〕平安風(fēng)險的根本概念資產(chǎn)17.〔1〕平安風(fēng)險的根本概念威脅資威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊 病毒和其他惡意程序軟硬件故障 人為誤操作盜竊 網(wǎng)絡(luò)監(jiān)聽供電故障 后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)129.〔1〕平安風(fēng)險的根本概念威脅18.〔1〕平安風(fēng)險的根本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點或平安隱患。脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞 程序Bug專業(yè)人員缺乏 不良習(xí)慣缺少審計 缺乏平安意識后門物理環(huán)境訪問控制措施不當(dāng)……130.〔1〕平安風(fēng)險的根本概念脆弱性19.〔1〕平安風(fēng)險的根本概念平安控制措施根據(jù)平安需求部署的，用來防范威脅，降低風(fēng)險的措施平安控制措施舉例技術(shù)措施防火墻防病毒入侵檢測災(zāi)備系統(tǒng)……管理措施平安規(guī)章平安組織人員培訓(xùn)運行維護……131.〔1〕平安風(fēng)險的根本概念平安控制措施技術(shù)措施管理措施20.〔2〕信息平安的風(fēng)險模型132沒有絕對的平安，只有相對的平安信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過恰當(dāng)、足夠、綜合的平安措施來控制風(fēng)險，使剩余風(fēng)險降低到可接受的程度。132.〔2〕信息平安的風(fēng)險模型21沒有絕對的平安，只有相對的平安信〔3〕基于風(fēng)險的信息平安信息平安追求目標確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險最小化保護信息免受各種威脅的損害投資回報和商業(yè)機遇最大化獲得信息平安方式實施一組適宜的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。133133.〔3〕基于風(fēng)險的信息平安信息平安追求目標確保業(yè)務(wù)連續(xù)性獲得信〔3〕風(fēng)險評估是信息平安管理的根底風(fēng)險評估主要對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進行評估，同時對已存在的或規(guī)劃的平安控制措施進行界定。信息平安管理體系的建立需要確定信息平安需求信息平安需求獲取的主要手段就是平安風(fēng)險評估信息平安風(fēng)險評估是信息平安管理體系建立的根底，沒有風(fēng)險評估，信息平安管理體系的建立就沒有依據(jù)。134134.〔3〕風(fēng)險評估是信息平安管理的根底風(fēng)險評估主要對ISMS范圍〔4〕風(fēng)險處置是信息平安管理的核心風(fēng)險評估的結(jié)果應(yīng)進行相應(yīng)的風(fēng)險處置，本質(zhì)上，風(fēng)險處置的最正確集合就是信息平安管理體系的控制措施集合。控制目標、控制手段、實施指南的邏輯梳理出這些風(fēng)險控制措施集合的過程也就是信息平安建立體系的建立過程。信息平安管理體系的核心就是這些最正確控制措施集合的。135135.〔4〕風(fēng)險處置是信息平安管理的核心風(fēng)險評估的結(jié)果應(yīng)進行相應(yīng)的〔二〕信息平安管理的狀況1、信息平安管理的作用2、信息平安管理的開展3、信息平安管理有關(guān)標準4、成功實施信息平安管理的關(guān)鍵136136.〔二〕信息平安管理的狀況1、信息平安管理的作用2525.1、信息平安管理的作用137如果你把鑰匙落在鎖眼上會怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險柜就一定平安嗎？137.1、信息平安管理的作用26如果你把鑰匙落在鎖眼上會怎樣？保險WO!3G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？1、信息平安管理的作用138.WO!3G精心設(shè)計的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能信息系統(tǒng)是人機交互系統(tǒng)應(yīng)對風(fēng)險需要人為的管理過程設(shè)備的有效利用是人為的管理過程“堅持管理與技術(shù)并重〞是我國加強信息平安保障工作的主要原那么1、信息平安管理的作用139.信息系統(tǒng)是人機交互系統(tǒng)應(yīng)對風(fēng)險需要人為的管理過程設(shè)備的有效利2、信息平安管理的開展-1ISO/IECTR13335國際標準化組織在信息平安管理方面，早在1996年就開始制定?信息技術(shù)信息平安管理指南?〔ISO/IECTR13335〕，它分成五個局部：?信息平安的概念和模型??信息平安管理和規(guī)劃??信息平安管理技術(shù)??基線方法??網(wǎng)絡(luò)平安管理指南?140140.2、信息平安管理的開展-1ISO/IECTR1333522、信息平安管理的開展-2BS7799英國標準化協(xié)會〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分為兩個局部：BS7799-1?信息平安管理實施規(guī)那么?和BS7799-2?信息平安管理體系標準?。2002年又公布了?信息平安管理系統(tǒng)標準說明?〔BS7799-2:2002〕。BS7799將信息平安管理的有關(guān)問題劃分成了10個控制要項、36個控制目標和127個控制措施。目前，在BS7799－2中，提出了如何了建立信息平安管理體系的步驟。141141.2、信息平安管理的開展-2BS77993030.2、信息平安管理的開展-3142142.2、信息平安管理的開展-33131.2、信息平安管理的開展-4143143.2、信息平安管理的開展-43232.3、國內(nèi)外信息平安管理標準〔1〕國際信息平安管理標準國際信息平安標準化組織國際信息平安管理標準〔2〕國內(nèi)信息平安管理標準國內(nèi)信息平安標準化組織國內(nèi)信息平安管理標準144144.3、國內(nèi)外信息平安管理標準〔1〕國際信息平安管理標準3333國際信息平安標準化組織145145.國際信息平安標準化組織3434.國際信息平安管理標準-1146146.國際信息平安管理標準-13535.國際信息平安管理標準-2147147.國際信息平安管理標準-23636.國際信息平安管理標準-3148148.國際信息平安管理標準-33737.國內(nèi)信息平安標準化組織149149.國內(nèi)信息平安標準化組織3838.國內(nèi)信息平安管理標準-1150WG7組已有的標準150.國內(nèi)信息平安管理標準-139WG7組已有的標準39.國內(nèi)信息平安管理標準-2151WG7組研究中的標準151.國內(nèi)信息平安管理標準-240WG7組研究中的標準40.國內(nèi)信息平安管理標準-3152152.國內(nèi)信息平安管理標準-34141.4、實施信息平安管理的關(guān)鍵成功因素理解組織文化得到高層承諾做好風(fēng)險評估整合管理體系積極有效宣貫納入獎懲機制持續(xù)改進體系153153.4、實施信息平安管理的關(guān)鍵成功因素理解組織文化4242.二、信息平安管理體系〔一〕什么是信息平安管理體系〔二〕信息平安管理體系的框架〔三〕信息平安管理過程方法要求〔四〕信息平安管理控制措施要求154154.二、信息平安管理體系〔一〕什么是信息平安管理體系4343.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義2、信息平安管理體系的特點3、信息平安管理體系的作用4、信息平安管理體系的文件155155.〔一〕什么是信息平安管理體系1、信息平安管理體系的定義4441、信息平安管理體系的定義信息平安管理體系〔ISMS：InformationSecurityManagementSystem〕是組織在整體或特定范圍內(nèi)建立的信息平安方針和目標，以及完成這些目標所用的方法和體系。它是直接管理活動的結(jié)果，表示為方針、原那么、目標、方法、方案、活動、程序、過程和資源的集合。156156.1、信息平安管理體系的定義信息平安管理體系〔ISMS：Inf2、信息平安管理體系的特點信息平安管理體系要求組織通過確定信息平安管理體系范圍，制定信息平安方針，明確管理職責(zé)，以風(fēng)險評估為根底選擇控制目標和措施等一系列活動來建立信息平安管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的平安風(fēng)險評估，表達以預(yù)防控制為主的思想，強調(diào)遵守國家有關(guān)信息平安的法律、法規(guī)及其他合同方面的要求；強調(diào)全過程和動態(tài)控制，本著控制費用與風(fēng)險平衡的原那么合理選擇平安控制方式；強調(diào)保護組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競爭優(yōu)勢和業(yè)務(wù)的持續(xù)性。157157.2、信息平安管理體系的特點信息平安管理體系要求組織通過確定信3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；促使管理層貫徹信息平安管理體系，強化員工的信息平安意識，標準組織信息平安行為；使組織的生意伙伴和客戶對組織充滿信心；組織可以按照平安管理，到達動態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達可接受的信息平安水平，從根本上保證業(yè)務(wù)的持續(xù)性。158158.3、信息平安管理體系的作用對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的4、信息平安管理體系的理念各廠商、各標準化組織都基于各自的角度提出了各種信息平安管理的體系標準，這些基于產(chǎn)品、技術(shù)與管理層面的標準在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息平安的各個角度和整個生命周期來考察，如果忽略了組織中最活潑的因素——人的作用，那么信息平安管理體系是不完備的，考察國內(nèi)外的各種信息平安事件，不難發(fā)現(xiàn)，在信息平安時間表象后面其實都是人的因素在起決定作用。159159.4、信息平安管理體系的理念各廠商、各標準化組織都基于各自的角4、信息平安管理體系的理念技術(shù)因素人的因素管理因素160在信息平安問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息平安管理體系是人員、管理與技術(shù)三者的互動。160.4、信息平安管理體系的理念技術(shù)因素人的因素管理因素49在信息5、信息平安管理體系的過程161完善信息平安治理結(jié)構(gòu)風(fēng)險評估平安規(guī)劃信息平安管理框架管理措施技術(shù)手段信息系統(tǒng)平安審計監(jiān)控業(yè)務(wù)與平安環(huán)境符合平安控制標準？持續(xù)改進調(diào)整161.5、信息平安管理體系的過程50完善信息平安治理結(jié)構(gòu)風(fēng)險評估平〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架2、信息平安管理體系內(nèi)容框架3、信息平安管理體系文件框架4、信息平安管理體系系列標準162162.〔二〕信息平安管理體系框架1、信息平安管理體系循環(huán)框架5151、信息平安管理體系循環(huán)框架163信息平安管理體系是PDCA動態(tài)持續(xù)改進的一個循環(huán)體。規(guī)劃和建立實施和運行監(jiān)視和評審保持和改進相關(guān)方信息平安要求和期望相關(guān)方受控的信息平安163.1、信息平安管理體系循環(huán)框架52信息平安管理體系是PDCA動1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)量管理專家戴明提出。P〔Plan〕：方案，確定方針和目標，確定活動方案；D〔Do〕：實施，實際去做，實現(xiàn)方案中的內(nèi)容；C〔Check〕：檢查，總結(jié)執(zhí)行方案的結(jié)果，注意效果，找出問題；A〔Action〕：行動，對總結(jié)檢查的結(jié)果進行處理，成功地經(jīng)驗加以肯定并適當(dāng)推廣、標準化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個PDCA循環(huán)。164164.1、信息平安管理體系循環(huán)框架PDCA也稱“戴明環(huán)〞，由美國質(zhì)1、信息平安管理體系循環(huán)框架165PDCA特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復(fù)始，不斷循環(huán)。

9090處置實施規(guī)劃檢查CADPPDCA特點二：組織中的每個局部，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。PDCA特點三：每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次PDCA循環(huán)。90909090處置實施規(guī)劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090處置實施規(guī)劃檢查CADP165.1、信息平安管理體系循環(huán)框架54PDCA特點一：按順序進行，2、信息平安管理體系內(nèi)容框架166166.2、信息平安管理體系內(nèi)容框架5555.2、信息平安管理體系內(nèi)容框架〔續(xù)〕167其他最正確實踐標準與各平安控制域之間的對應(yīng)ISO27000系列不是信息平安管理體系的全部167.2、信息平安管理體系內(nèi)容框架〔續(xù)〕56其他最正確實踐標準與各3、信息平安管理體系文檔框架168168.3、信息平安管理體系文檔框架5757.3、信息平安管理體系文檔框架169平安策略操作手冊操作手冊操作手冊操作手冊考核指標考核指標169.3、信息平安管理體系文檔框架58平安策略操作手冊操作手冊操作4、信息平安管理體系系列標準〔1〕ISO27000系列〔2〕NISTSP800系列〔3〕ISO/IEC13335系列170170.4、信息平安管理體系系列標準〔1〕ISO27000系列59〔1〕ISO27000系列ISO

27000系列17127000~2700327004~2700727000信息平安管理體系原那么和術(shù)語27001信息平安管理體系要求27002信息平安管理實踐準那么27003信息平安管理實施指南27004信息平安管理的度量指標和衡量27005信息平安風(fēng)險管理指南27006信息和通信技術(shù)災(zāi)難恢復(fù)效勞指南27007XXX27001270022700027006270052700327004信息平安管理體系根本原理和詞匯171.〔1〕ISO27000系列ISO27000系列60270〔1〕ISO27000系列27001ISMS要求27004ISMS度量指標和衡量27002ISMS實踐準則17227001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一局部測量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來172.〔1〕ISO27000系列27001270042700227000：?ISMS根底和詞匯?正在啟動的新標準工程；它將主要以ISO/IEC13335-1:2004?信息和通信技術(shù)平安管理第1局部：信息和通信技術(shù)平安管理的概念和模型?為根底進行研究；該標準將規(guī)定27000系列標準所共用的根本原那么、概念和詞匯。173173.27000：?ISMS根底和詞匯?正在啟動的新標準工程；6227001：?信息平安管理體系要求?2005年10月15日發(fā)布；規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息平安管理體系的要求；基于風(fēng)險管理的思想，旨在通過持續(xù)改進的過程〔PDCA模型〕使組織到達有效的信息平安；使用了和ISO9001、ISO14001相同的管理體系過程模型；是一個用于認證和審核的標準；174174.27001：?信息平安管理體系要求?2005年10月15日發(fā)27002：?信息平安管理實用規(guī)那么?

即17799，2005年6月15日發(fā)布第二版；包含有11個平安類別、39個控制目標、138個控制措施；實施27001的支撐標準，給出了組織建立ISMS時應(yīng)選擇實施的控制目標和控制措施集；是一個行業(yè)最正確慣例的匯總集，而不是一個認證和審核標準；175175.27002：?信息平安管理實用規(guī)那么?

即17799，20027003：?ISMS實施指南?目前處于工作草案階段；它主要以BS7799-2:2002附錄B的內(nèi)容為根底進行制定；提供了27001具體實施的指南。176176.27003：?ISMS實施指南?目前處于工作草案階段；65627004：?信息平安管理度量?旨在為組織提供一個如何通過使用度量、測量項以及適宜的測量技術(shù)來評估其平安管理狀態(tài)的指南。177177.27004：?信息平安管理度量?旨在為組織提供一個如何通過使27005：?信息平安風(fēng)險管理?目前處于委員會草案階段；它將主要以ISO/IEC13335-2為根底進行制定；描述了信息平安風(fēng)險管理的過程及每個過程的詳細內(nèi)容。178178.27005：?信息平安風(fēng)險管理?目前處于委員會草案階段；67〔2〕NISTSP800系列179NIST

SP800系列179.〔2〕NISTSP800系列68NISTSP800系列6〔3〕ISO/IEC13335系列ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和計劃ISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇ISO/IEC1335-5:2001網(wǎng)絡(luò)安全管理指南180ISO/IEC13335系列180.〔3〕ISO/IEC13335系列ISO/IEC1335-1〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用2、信息平安管理過程方法的結(jié)構(gòu)181181.〔三〕信息平安管理過程方法要求1、信息平安管理過程方法的作用1、信息平安管理過程方法的作用過程方法要求〔Methodologicalrequirements〕：為組織根據(jù)業(yè)務(wù)風(fēng)險建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息平安管理體系規(guī)定了要求。按照PDCA循環(huán)理念運行的信息平安管理體系是從過程上嚴格保證了信息平安管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。182182.1、信息平安管理過程方法的作用過程方法要求〔Methodol2、信息平安管理過程方法的結(jié)構(gòu)183183.2、信息平安管理過程方法的結(jié)構(gòu)7272.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用2、信息平安管理控制措施的結(jié)構(gòu)184184.〔四〕信息平安管理控制措施要求1、信息平安管理控制措施的作用1、信息平安管理控制措施的作用平安控制要求〔Securitycontrolrequirements〕：為組織選擇滿足自身信息平安環(huán)境要求的控制措施提供了一個最正確實踐集。組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險特征選擇適用的控制措施。當(dāng)然組織也可以根據(jù)自身的特定要求對平安控制措施進行補充。185185.1、信息平安管理控制措施的作用平安控制要求〔Security2、信息平安管理控制措施的結(jié)構(gòu)186共有11個控制條款〔方面〕每個條款包括許多主要的平安類。每個平安類包括：一個控制目標，聲明要實現(xiàn)什么一個或多個控制措施，可被用于實現(xiàn)該控制目標每個控制措施控制：是對該控制措施的定義實施指南：是對實施該控制措施的指導(dǎo)性說明其它信息：其它需要說明的補充信息186.2、信息平安管理控制措施的結(jié)構(gòu)75共有11個控制條款〔方面〕2、信息平安管理控制措施的結(jié)構(gòu)例如8、人員平安——平安控制條款8.1雇傭前——平安類確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考