-.z.-.z.佛山市南海天富科技信息平安管理體系建立咨詢效勞工程編寫人員：世榮編寫日期：2015年12月7日工程縮寫：文檔版本：V1.0修改記錄:-.z.日期編寫人員版本備注-.z.時間：2015年12月-.z.-.z.一、信息化建立言隨著我國中小企業(yè)息化的普及，信化給我國中小企帶來積極影響的同時也帶來了信息方面的消極影。一方面：信息在中小企業(yè)的開展過程中，對節(jié)約企業(yè)和到達(dá)有效管的起到了積極的動作用。另一方面，伴隨著全球信息化網(wǎng)絡(luò)化進(jìn)程的開展，與此相關(guān)的信平安問題也日趨嚴(yán)重由于我國中小企業(yè)模小、經(jīng)濟實力以及中小企業(yè)領(lǐng)導(dǎo)者缺乏信息平安領(lǐng)域知識和意，導(dǎo)致中小企業(yè)信息平安面臨著大的風(fēng)險，我國中小企業(yè)信息化進(jìn)程已步入普及階段，決我國中小企業(yè)信息平安問題已經(jīng)刻不容緩。通過制定和實施企信息平安管理體能夠標(biāo)準(zhǔn)企業(yè)員的行為，保證各種技術(shù)手段的有效施，從整體上統(tǒng)安排各種軟硬件保證信息平安體系協(xié)同工作的高效、有和經(jīng)濟性。信息管理體系不僅以在信息平安事故發(fā)生后能夠及時采取效的措施，防止息平安事故帶來大的損失，而更重要的是信息平安管理系能夠預(yù)防和防止大多數(shù)的信息平安事件的發(fā)生。信息平安管理就是信息平安風(fēng)險進(jìn)展識別、分析、采措施將風(fēng)險降到可承受水平并維持水平的過程。企的信息平安管理是一勞永逸的，由于新的威脅不斷出現(xiàn)信息平安管理是個相對的、動態(tài)的過程，企業(yè)能做的就是要不斷改良自的信息平安狀態(tài)將信息平安風(fēng)險制在企業(yè)可承受的范圍之內(nèi)，獲得企業(yè)有條件下和資源力范圍內(nèi)最大程的平安。在信息平安管理領(lǐng)分技術(shù)，七分理〞的理念已經(jīng)被廣承受。結(jié)合ISO/IEC27001信息平安管理體，提出一個適合國中小企業(yè)的信平安管理的模型，用以指導(dǎo)國中小企業(yè)的信平安實踐并不斷高中小企業(yè)的平安管理能力。二、ISO27001息平安管體系框架建ISO27001信息平安理體系框架的搭建必按照適當(dāng)?shù)某绦蜻M(jìn)展〔如下-.z.-.z.圖所示先，各個組織應(yīng)該根據(jù)自身狀況來搭建適合身業(yè)務(wù)開展和信息-.z.平安需求的

ISO27001信息平安理體系框架，并在正的業(yè)務(wù)開展過程具-.z.體實施構(gòu)架的ISO27001信息平安管理體系。時在信息平安管理系的根底上，建立各種與信息平安管理框架相一致相關(guān)文檔、文件并對其進(jìn)展嚴(yán)格的管理。對在具體實施ISO27001信息平安管理體過程中出現(xiàn)的各種息平安事件和平安狀況進(jìn)展嚴(yán)的記錄，并建立格的反應(yīng)流程和度。-.z.〔1〕息平安略組織應(yīng)制定信息平安策略〔InformationSecurityPolicy〕對組織的信息安全提供管理方向與持。組織不僅要一個總體的平安略，而且，在總體策略的框架內(nèi)，根據(jù)險評估的結(jié)果，定更加具體的平安方針，明確規(guī)定具體的控制規(guī)則，如"清桌面和清楚屏幕略〞問控制策略〞等。-.z.-.z.〔2〕圍組織要根據(jù)組織的性、地理位置、產(chǎn)和技術(shù)對信息管理體系范圍〔scope〕進(jìn)展界定組織信息平安管體系范圍包括以工程：-.z.

需保護的信息系統(tǒng)資產(chǎn)、技術(shù)。實物場所〔地理位、部門-.z.〔3〕險評估組織需要選擇一個合其平安要求的險評估和管理方，然后進(jìn)展符合標(biāo)準(zhǔn)的評估，識別前面臨的風(fēng)險及險等級；風(fēng)險評的對象是組織的信息資產(chǎn)，評估考慮的因素包括資產(chǎn)所的威脅、薄弱點及脅發(fā)生后對組織影響。無論采用何種險評估工具方法其最終評估結(jié)果是一致的?！?〕險管理組織應(yīng)根據(jù)信息平安策略和所要求的程度，識別所管理的風(fēng)險內(nèi)容?？刂骑L(fēng)險包括識別需的平安措施，過降低、防止、移將風(fēng)險降至可承受的水平。風(fēng)險隨著程的更改、組織變化、技術(shù)的開展及新出現(xiàn)的潛在威脅而變化?！?〕制目標(biāo)控制方的選擇風(fēng)險評估之后，組應(yīng)從已有信息平安技術(shù)中選擇適當(dāng)控制方法，包括額外的控制〔組織增加的和法律法所要求的低已識別的風(fēng)險?！?〕用性聲信息平安適用性聲記錄了組織內(nèi)相的風(fēng)險管制目標(biāo)針對每種風(fēng)險所采取的控制措施。的準(zhǔn)備，一方面為了向組織內(nèi)的工聲明對信息平安面對風(fēng)險的態(tài)度；另方面也是為了向界說明組織的態(tài)和作為。三、ISO27001息平安管體系實施方ISO27001信息平安理體系〔InformationSecurityManagementSystem〕作為組織完整的管體系中的一個重環(huán)節(jié)，構(gòu)成了信平安具有能動性的部分，是指導(dǎo)和控制織的關(guān)于信息平安風(fēng)險的相互協(xié)調(diào)活動，其針對對象就是組織的信息資產(chǎn)了解信息平安管的方法，我們必先明確企業(yè)或組織的信息平安需求。一來說，企業(yè)的信平安需求主要有個來源，他們分別是-.z.-.z.法律法規(guī)與合同約的要求；組織的原、目標(biāo)和規(guī)定；險評估的結(jié)果等。信息平安的成敗取于兩個因素：技和管理，人們常，三分技術(shù)，七分管理，可見管理信息平安的重要，我們可以把平安技術(shù)比作信息平安的構(gòu)筑材料，則平安管理則是真正的合劑和催化劑。實世界里，大多數(shù)安全事件的發(fā)生和平安隱患的存在，與其說是技術(shù)上的原，不如說是管理善造成的，理解并重管理對于信息平安的關(guān)鍵作用，對真正實現(xiàn)信息平安目標(biāo)來說尤其重要。息平安不是產(chǎn)品簡單堆積，也不一次性的靜態(tài)過，它是人員、技術(shù)、作這三種要素的結(jié)合的系統(tǒng)工，是不斷演進(jìn)、循環(huán)開展的動態(tài)過程。信息平安管理是指和控制組織的關(guān)信息平安風(fēng)險的互協(xié)調(diào)的活動。首先應(yīng)該制定信息的策略方針，是信息平安管理導(dǎo)向和支持，在此基礎(chǔ)上選擇控制目標(biāo)控制方式，企業(yè)組織還需考慮控本錢與風(fēng)險平衡的原則，將風(fēng)險降低到織可承受的水平整個管理過程需全員的參與，實施動態(tài)管理。實施平安理，還應(yīng)遵循管的一般模式——PDCA模型。PDCA模型，即Plan、Do、Check和Act，是種持續(xù)改良的管模式，見下列圖所示。-.z.措施〔〕——針對檢查結(jié)果取應(yīng)對措施，改良平安狀況；方案〔〕——根據(jù)風(fēng)評估結(jié)果、法律規(guī)要求、組織業(yè)務(wù)運自身需要來確定控制目標(biāo)控制措施；實施〔〕——實施所選平安控制措施；檢查〔Check〕——依據(jù)略、程序、標(biāo)準(zhǔn)法律法規(guī)，對平安措施的實施-.z.-.z.情況進(jìn)展符合性檢。PDCA模型是一種抽象的模型，把相關(guān)的資源和動抽象為過程進(jìn)展管理，具有廣泛通用性。PDCA是順序依次進(jìn)展，依靠組織的力推動，周而復(fù)始不斷循環(huán)，持續(xù)改良，組織中的每個門和個人，在履相關(guān)職責(zé)時，都是基于PDCA這個過程的，組織的內(nèi)部理，就構(gòu)成了大環(huán)套環(huán)層層遞進(jìn)的模，每一次循環(huán)完畢，要對其進(jìn)展總結(jié)穩(wěn)固成績，改良，同時提出新的目標(biāo)，以便進(jìn)入下一更高級的循環(huán)。ISO27000/ISO27001標(biāo)準(zhǔn)對于信息平安管理體系定義如下列圖所示：-.z.ISO27001信息平安理可操作的一般過程相應(yīng)的活動包括確定組織的信息平安目標(biāo)和戰(zhàn)略開發(fā)信息平安策略進(jìn)展風(fēng)險評估〔RiskAssessment確組織的信息平安需，具體活動包括：制定風(fēng)險評估方案明確范圍和責(zé)任采集相關(guān)信息，述目標(biāo)系統(tǒng)識別并評價信息資，理解資產(chǎn)的價和敏感性；識別并評估威脅，解威脅發(fā)生的可性；識別并評價弱點，解弱點被利用的易程度；評估風(fēng)險，確定風(fēng)等級；評估并比擬現(xiàn)有的措施〔控制出目標(biāo)與現(xiàn)狀之的差距；-.z.-.z.7)根據(jù)已經(jīng)明確的需求推薦平安措施。4.進(jìn)展風(fēng)險消減〔RiskMitigation體活動包括：確定風(fēng)險消減策略以便減少、躲避轉(zhuǎn)嫁或承受風(fēng)險選擇平安措施〔控制定平安方案，明平安措施的構(gòu)建實施方案；實施平安方案和策；對平安方案和策略實施結(jié)果進(jìn)展測和檢查。5.進(jìn)展風(fēng)險控制〔RiskControl體包括：信息系統(tǒng)的維護與作；平安意識、培訓(xùn)與育；對信息系統(tǒng)的運行平安措施的效力監(jiān)視；事件響應(yīng)；再評估與認(rèn)證。配置管理〔ConfigurationManagement保系統(tǒng)發(fā)生的變化不會低平安措施的效力和織的整體平安。變更管理〔ChangeManagement信息系統(tǒng)發(fā)生化時，識別新的平安需求。應(yīng)急方案〔ContingencyPlanning括業(yè)務(wù)連續(xù)性方案、災(zāi)難復(fù)計劃等。對應(yīng)PCDA模型，信息平安目標(biāo)與略確實定、信息平安略開發(fā)以及風(fēng)險評估屬于方案階〔Plan險消減屬于實施段〔Do險控制、配置管理、變更管理、急方案以及平安識培訓(xùn)等活動都以歸入到檢查〔Check〕和施〔Action〕段。我們所強調(diào)信息平安管理模式，由風(fēng)險驅(qū)動的信息平安管模式，是對組織信息平安風(fēng)險進(jìn)展控制和指導(dǎo)的相互協(xié)調(diào)的活動，風(fēng)險管理其中的核心。四、工程實施原本工程要求以平安詢?yōu)楦?，重點平安規(guī)劃、平安管理體系細(xì)化和-.z.-.z.周期性平安效勞為。在效勞過程中應(yīng)遵循以下原則標(biāo)準(zhǔn)性原則：方案的設(shè)計和實施依據(jù)國際標(biāo)準(zhǔn)ISO27001、數(shù)敏感、、國及行業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)展；標(biāo)準(zhǔn)性原則：效勞提供商的工作程和所有文檔，具有很好的標(biāo)準(zhǔn)，以便于工程的跟蹤和控制；可控性原則：在保證工程質(zhì)量的提下，按方案進(jìn)執(zhí)行，保證甲方于工程的可控性。信息平安調(diào)研的工、方法和過程要雙方認(rèn)可的范圍內(nèi)合法進(jìn)展；完整性原則：調(diào)研和規(guī)劃設(shè)計的圍和內(nèi)容應(yīng)完整覆蓋信息平安所及的技術(shù)和管理等各個層面，并對種完整性進(jìn)展說或論證，實施對也應(yīng)完整地覆蓋甲方信息系統(tǒng)的各個方；合理性原則：信息平安規(guī)劃設(shè)計須立足于甲方的實情況，設(shè)計方應(yīng)符合邏輯，過程應(yīng)完備詳實，從確保結(jié)論是可信的；可操作性原則：在信息平安架構(gòu)設(shè)中，應(yīng)根據(jù)信息要求提出相應(yīng)解決方案，方案必須具體可行，易實際操作；最小影響原則：調(diào)研工作應(yīng)防止影系統(tǒng)和網(wǎng)絡(luò)的正運行，不能對現(xiàn)常運行的系統(tǒng)和網(wǎng)絡(luò)構(gòu)成破壞和造停產(chǎn)；保密性原則：調(diào)研的過程和結(jié)果嚴(yán)格保密，未經(jīng)方授權(quán)，對工程及的任何信息不得泄露給第三方；經(jīng)濟性原則：方案的設(shè)計和實施在到達(dá)工程要求前提下，具有較的性價比和經(jīng)濟性；-.z.-.z.先進(jìn)性原則：方案的設(shè)計要具備進(jìn)性和前瞻性，統(tǒng)籌考慮甲方未五年的信息平安開展需求。五、工程階段及容-.z.效勞工程階段過程主要任務(wù)主要內(nèi)容ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍法規(guī)制度符合性分析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍業(yè)務(wù)運營影響分析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍確定ISMS范圍ISO27001咨詢效勞準(zhǔn)備確定信息平安總體方針政策業(yè)務(wù)及系統(tǒng)初步平安需分析ISO27001咨詢效勞準(zhǔn)備確定信息平安總體方針政策確定ISMS總體方針政策ISO27001咨詢效勞準(zhǔn)備定義風(fēng)險評估與管理方法確定風(fēng)險評估模型及相指標(biāo)準(zhǔn)則ISO27001咨詢效勞準(zhǔn)備定義風(fēng)險評估與管理方法制定風(fēng)險評估與管理程ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備制定實施方案ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備組建工程組ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備整理開發(fā)工具/模板ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備工程啟動會ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備培訓(xùn)ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析問卷調(diào)查ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析現(xiàn)場訪談ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析手工檢測ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析平安掃描ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析滲透測試ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析綜合分析ISO27001咨詢效勞風(fēng)險評估現(xiàn)狀分析撰寫報告ISO27001咨詢效勞風(fēng)險評估風(fēng)險評價資產(chǎn)評價ISO27001咨詢效勞風(fēng)險評估風(fēng)險評價威脅評價ISO27001咨詢效勞風(fēng)險評估風(fēng)險評價弱點評價ISO27001咨詢效勞風(fēng)險評估風(fēng)險評價風(fēng)險評價ISO27001咨詢效勞風(fēng)險評估風(fēng)險評價撰寫風(fēng)險評估報告ISO27001咨詢效勞風(fēng)險評估風(fēng)險處置選擇風(fēng)險處置方式ISO27001咨詢效勞風(fēng)險評估風(fēng)險處置選擇平安控制措施ISO27001咨詢效勞風(fēng)險評估風(fēng)險處置制定風(fēng)險處置方案ISO27001咨詢效勞風(fēng)險評估風(fēng)險處置剩余風(fēng)險分析ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計平安體系規(guī)劃任務(wù)或工程分解ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計平安體系規(guī)劃任務(wù)或工程實施規(guī)劃ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計平安體系規(guī)劃撰寫規(guī)劃報告ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計編寫平安體系文檔確定ISMS文件清單-.