信息安全治理體系建立方法BS7799的治理思想介紹通用安全治理體系建立的方法；信息安全治理包括諸多方面，如風險治理、工程治理、業(yè)務連續(xù)性治理等，每項治理的要點均有不同。后續(xù)將具體介紹不同局部的治理。信息安全治理體系概述什么是信息安全治理體系信息安全治理體系，即 InformationSecurityManagementSystem〔簡稱ISMS〕，是組織在整體或特定范圍內建立的信息安全方針和目標，以及完成這些目標所用的方法和體系。它是直接治理活動的結果，表示為方針、原則、目標、方法、打算、活動、程序、過程和資源的集合。

b5E2RGbCAPBS7799-2是建立和維持信息安全治理體系的標準，標準要求組織通過確定信息安全治理體系范圍，制定信息安全方針，明確治理職責，以風險評估為根底選擇掌握目標與掌握措施等一系列活動來建立信息安全治理體系；體系一旦建立，組織應按體系的規(guī)定要求進展運作，保持體系運行的有效性；信息安全管理體系應形成肯定的文件，即組織應建立并保持一個文件化的信息安全治理體系，其中應闡述被保護的資產(chǎn)、組織風險治理方法、掌握目標與掌握措施、信息資產(chǎn)需要保護的程度等內容。 p1EanqFDPwISMS的范圍ISMS的范圍可以依據(jù)整個組織或者組織的一局部進展定義，包括相關資產(chǎn)、系統(tǒng)、應用、效勞、網(wǎng)絡和用于過程中的技術、存儲以及通信的信息等，組織全部的信息系統(tǒng)；組織的局部信息系統(tǒng)；特定的信息系統(tǒng)。

ISMS的范圍可以包括：DXDiTa9E3d此外，為了保證不同的業(yè)務利益，組織需要為業(yè)務的不同方面定義不同的

ISMS。例如，可以為組織和其他公司之間特定的貿易關系定義ISMS表述。RTCrpUDGiT

ISMS，也可以為組織構造定義 ISMS，不同的情境可以由一個或者多個組織內部成功實施信息安全治理的關鍵因素反映業(yè)務目標的安全方針、目標和活動；與組織文化全都的實施安全的方法；來自治理層的有形支持與承諾；對安全要求、風險評估和風險治理的良好理解；向全部治理者及雇員推行安全意思；向全部雇員和承包商分發(fā)有關信息安全方針和準則的導則；供給適當?shù)呐嘤柵c教育；用于評價信息安全治理績效及反響改進建議，并有利于綜合平衡的測量系統(tǒng)。建立ISMS的步驟不同的組織在建立與完善信息安全治理體系時，可依據(jù)自己的特點和具體的狀況，實行不同的步驟和方法。但總體來說，建5PCzVD7HxA信息安全治理體系的籌劃與預備；信息安全體系文件的編制；信息安全治理體系的運行；信息安全治理體系的審核與評審。信息安全治理體系的作用ISMS于系統(tǒng)、全面、科學的安全風險評估，表達以預防掌握為主的思想，強調遵守國家有關信息安全的法律法規(guī)及其他合同方要jLBHrnAILg強調全過程和動態(tài)掌握，本著掌握費用與風險平衡的原則合理選擇安全掌握方式；強調保護組織所擁有的關鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的機密性、完整性和可用性，保持組織的競爭優(yōu)勢和商務運作的持續(xù)性。xHAQX74J0X實施ISMS的作用組織建立、實施與保持信息安全治理體系將會產(chǎn)生如下作用：強化員工的信息安全意識，標準組織信息安全行為；對組織的關鍵信息資產(chǎn)進展全面體統(tǒng)的保護，維持競爭優(yōu)勢；在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；使組織的生意伙伴和客戶對組織布滿信念；假設通過體系認證，說明體系符合標準，證明組織有力量保證重要信息BS7799建立組織完整的信息安全治理體系并實施與保持，到達動態(tài)的、系統(tǒng)的、全員參與、制度化的、以預防為主的信息安全治理方LDAYtRyKfE信息安全治理體系的預備為在組織中順當建設信息安全治理體系，需要建立有效信息安全機構，對組織中的各類人員安排角色、明確權限、落實責任Zzz6ZB2Ltk成立信息安全委員會信息安全委員會由組織的最高治理層與信息安全治理有關的部門負責人、治理人員、技術人員組成，定期召開會議，就以下重要信息安全議題進展爭論并做出決策，為組織信息安全治理供給導向與支持。dvzfvkwMI1審批與信息安全治理有關的其他重要事項。任命信息安全治理經(jīng)理組織最高治理者在治理層中指定一名信息安全治理經(jīng)理，分管組織的信息安全治理事宜，具體確定信息安全治理標準建立、實施和維護信息安全治理體系；負責組織的信息安全方針與安全策略的貫徹與落實；向有關問題與外部各方面進展聯(lián)絡。組建信息安全治理推動小組在信息安全委員會的批準下，由信息安全治理經(jīng)理組建信息安全治理推動小組，并對其進展治理。小組成員要懂信息安全技術學問，有肯定的信息安全治理技能，并且有較強的分析力量及文字力量，小組成員一般是企業(yè)rqyn14ZNXI保證有關人員的作用、職責和權限得到有效溝通用適當?shù)姆绞?，如通過培訓、制定文件等方式，讓每位員工明白自己的作用、職責與權限，以及與其他局部的關系，以保證全體員工各司其職，相互協(xié)作，有效地開展活動，為信息安全治理體系的建EmxvxOtOco掌握范圍一般狀況下，一個經(jīng)理直接掌握的下屬治理人員不少于61015人保持掌握。在作業(yè)簡潔的部門或車間，一個組長能掌握50個人或更多的人。SixE2yXPq5適宜的治理層次公司負責人與基層的獨立性，不應成為生產(chǎn)部門的下屬單位。信息安全治理體系組織構造建立及職責劃分的留意事項假設現(xiàn)有的組織構造合理，則只需將信息安全標準的要求安排落實到現(xiàn)有的組織構造中即可。假設現(xiàn)有的組織構造不合理，則按上面〔5〕6ewMyirQFL應將組織內的部門設置及各部門的信息安全職責、權限及相互關系以文件的形式加以規(guī)定。應將部門內崗位設置及各崗位〔可以把信息安全和職業(yè)安康與安全的職能劃歸此部門〕席安全執(zhí)行官，首席安全執(zhí)行官直接向組織最高治理層負責〔有的也向首席信息官負責〕。美國“911”恐懼攻擊大事以后，在美國的一些大型企業(yè)，這種安全機構的設置方式漸漸流行，它強調對各種風險的綜合治理和對威逼的快速反響。kavU42VRUs對于小型企業(yè)來說，可以把信息安全治理工作劃歸到信息部、人事行政部或其他相關部門。建立信息安全治理體系原則PDCA原則PDCA循環(huán)的概念最早是由美國質量治理專家戴明提出來的，所以又稱為“戴明環(huán)”。在質量治理中應用廣泛，PDCA代y6v3ALoS89P(Plan)：打算，確定方針和目標，確定活動打算；D(Do)：實施，實際去做，實現(xiàn)打算中的內容；C(Check)：檢查，總結執(zhí)行打算的結果，留意效果，找出問題；A(Action)：行動，對總結檢查的結果進展處理，成功的閱歷加以確定并適當推廣、標準化；失敗的教訓加以總結，以免重PDCAM2ub6vSTnPPDCA循環(huán)的四個階段具體內容如下：打算階段：制定具體工作打算，提出總的目標。具體來講又分為以下分析目前現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的各種緣由以及影響因素；

4個步驟。0YujCfmUCw實施階段：就是指依據(jù)制定的方案去執(zhí)行。在治理工作中全面執(zhí)行制定的方案。制定的治理方案在治理工作中執(zhí)行的情況，直接影響全過程。所eUts8ZQVRd檢查階段：即檢查實施打算的結果。檢查工作這一階段是比較重要的一個階段，它是對實施方案是否合理，是否可行有何不妥的檢查。是為下一個階段工作供給條件，是檢驗上一階段工作好壞的檢驗期。sQsAEJkW5T處理階段：依據(jù)調查效果進展處理。對已解決的問題，加以標準化：即把已成功的可行的條文進展標準化，將這些納入制度、規(guī)定中，防GMsIasNXkA找出尚未解決的問題，轉入下一個循環(huán)中去，以便解決。PDCA循環(huán)實際上是有效進展任何一項工作的符合規(guī)律的工作程序。在質量治理中，PDCA循環(huán)得到了廣泛的應用，并取得了很好的效果，有人也稱其為質量治理的根本方法。之所以叫

PDCA循環(huán)，是由于這四個過程不是運行一次就完結，而是周而復始地進展，其特點是“大環(huán)套小環(huán)，一環(huán)扣一環(huán)，小環(huán)保大環(huán)，推動大循環(huán)”；每個PDCATIrRGchYzg建立和治理一個信息安全治理體系需要象其他任何治理體系一樣的方法。這里描述的過程模型遵循一個連續(xù)的活動循環(huán)：計劃、實施、檢查、和處置。之所以可以描述為一個有效的循環(huán)由于它的目的是為了保證您的組織的最好實踐文件化、加強并隨時間PDCA12-17EqZcWLZNXPLAN建立ISMS相關單隹

實施利實施CO 運作I測S

開發(fā).維護 和改進循環(huán) 和

改進ACTION

相關卑位監(jiān)控和棄審TSMS

信息安全需求

CHECK

治理狀態(tài)下的恬■息12-1PDCA模型與信息安全治理體系過程ISMSPDCA具有以下內容：打算和實施一個持續(xù)提高的過程通常要求最初的投資：文件化實踐，將風險治理的過程正式化，確定評審的方法和配置資源。這些活動通常作為循環(huán)的開頭。這個階段在評審階段開頭實施時完畢。打算階段用來保證為信息安全治理體系建立的內容和范圍正確地建立，評估信息安全風險和建立適當?shù)靥幚磉@些風險的打算。實施階段用來實施在打算階段確定的打算和解決方案。lzq7IGfO2E檢查與行動檢查和處置評審階段用來加強、修改和改進已識別和實施的安全方案。評審可以在任何時間、以任何頻率實施，取決于怎樣做適合于考慮的具體狀況。在一些體系中他們可能需要建立在計算機化的過程中以運行和馬上回應。其他過程可能只需在有信息安全事故時、被保護的信息資產(chǎn)變化時或需要增加時、威逼和脆弱性變化時需要回應。最終，需要每一年或其他周期性評審或審核以保證整個治理體系達成其目標。zvpgeqJIhk掌握措施總結(SummaryofControls)組織可能覺察制作一份相關和應用于組織的信息安全治理體系的掌握措施總結(

SoC)的好處。供給一份掌握措施小結可以使處理業(yè)務關系變得簡潔如供電外包等。部和內部同時應用時，應考慮他們對于接收者是否適宜。

SoC可能包含敏感的信息，因此當SoC在外NrpoJac3v1文件化信息安全治理另一個格外重要的原則就是文件化，即全部打算及操作過的事情都要有文件記錄，可做到有章可循，有據(jù)可查，文件的類型通常有手冊、標準、指南、記錄等，使用這些文件可以使組織內部溝通意圖，統(tǒng)一行動，并為大事提客觀證據(jù)，同時也可用于學習和培訓。假設有些組織曾參與過BS7799的認證，會深刻體會到文件化的重要性。 1nowfTG4KI領導重視

這樣9000或組織建立信息安全治理體系需要投入大量物力和人力，這就需要得到領導的認可，尤其是最高領導，這樣才能確保這一工程不會因缺少資源支持而中途廢棄。最高領導層在具體建立信息安全治理體系時應做到如下幾點：fjnFLDa5Zo建立信息安全方針；確保建立信息安全目標和打算；為信息安全確立職位和責任；向組織傳達到達信息安全目標和符合信息安全方針的重要性、在法律條件下組織的責任及持續(xù)改進的需要；供給足夠的資源以開發(fā)、實施，運行和維護信息安全治理體系；確定可承受風險的水平；進展信息安全治理體系的評審。治理層為組織將確定和供給所需的資源，以：建立、實施、運行和維護信息安全治理體系；確保信息安全程序支持業(yè)務要求；識別和強調法律和法規(guī)要求及合同的安全義務；正確地應用全部實施的掌握措施維護足夠的安全；必要時，進展評審，并適當回應這些評審的結果；需要時，改進信息安全治理體系的有效性。全員參與僅有領導的支持沒有實際操作的人員同樣信息安全治理體系不能很好地建立起來，而組織內由于一般人員的誤操作和疏忽造IT部門的事情，而是需要全體員工參與的。tfnNhnE6e5組織應確保全部被安排信息安全治理體系職責的人員具有力量履行指派的任務。組織應：確定從事影響信息安全治理體系的人員所必要的力量；供給力量培訓和，必要時，聘用有力量的人員滿足這些需求；評價供給的培訓和所實行行動的有效性；信息安全治理體系的建立建立信息安全治理體系圖是建立信息安全治理體系的流程圖,圖12-2，第

評估報告其次步:

定義ISMS范圍 ISMS范圍第三步:

進展風險評估第四步:第五步:

慝選擇控

文檔化文檔化第六步:

am

聲明文件

HbmVN777sL12-2ISMS流程圖組織應在整體業(yè)務活動和風險的環(huán)境下建立、實施、維護和持續(xù)改進文件化的信息安全治理體系。為滿足該標準的目的，使用的過程建立在圖一所示的組織應做到如下幾點：

PDCA模型根底上。V7l4jRB8Hs應用業(yè)務的性質、組織、其方位、資產(chǎn)和技術確定信息安全治理體系的范圍。應用組織的業(yè)務性質、組織、方位、資產(chǎn)和技術確定信息安全治理體系的方針，方針應：包括為其目標建立一個框架并為信息安全活動建立整體的方向和原則?？紤]業(yè)務及法律或法規(guī)的要求，及合同的安全義務。建立組織戰(zhàn)略和風險治理的環(huán)境，在這種環(huán)境下，建立和維護信息安全治理體系。建立風險評價的標準和風險評估定義的構造。經(jīng)治理層批準。確定風險評估的系統(tǒng)化的方法識別適用于信息安全治理體系及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法。為信息安全治理體系建立方針和83ICPA59W9確定風險在信息安全治理體系的范圍內，識別資產(chǎn)及其責任人。識別對這些資產(chǎn)的威逼。識別可能被威逼利用的脆弱性。別資產(chǎn)失去保密性、完整性和可用性的影響。評價風險評估由于安全故障帶來的業(yè)務損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；評估與這些資產(chǎn)相關的主要威逼、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的掌握措施；估量風險的等級；c中建立的標準進展衡量確定需要處理。識別和評價供處理風險的可選措施：可能的行動包括：應用適宜的掌握措施；知道并有目的地承受風險，同時這些措施能清楚地滿足組織方針和承受風險的標準；避開風險；轉移相關業(yè)務風險到其他方面如：保險業(yè)，供給商等。選擇掌握目標和掌握措施處理風險：2.6預備一份適用性聲明。2.6章節(jié)中剪裁的掌握措施也應加以記錄；mZkklkzaaP提議的剩余風險應獲得治理層批準并授權實施和運作信息安全治理體系。文件要求信息安全治理體系文件應包括：文件化的安全方針文件和掌握目標；信息安全治理體系范圍和程序及支持信息安全治理體系的掌握措施；風險評估報告；風險處理打算；組織需要的文件化的程序以確保有效地打算運營和對信息安全過程的掌握；本標準要求的記錄；適用性聲明。文件掌握信息安全治理體系所要求的文件應予以保護和掌握。應編制文件化的程序，以規(guī)定以下方面所需的控制：文件公布前得到批準，以確保文件的充分性；必要時對文件進展評審與更，并再次批準；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；確保在使用處可獲得適用文件的有關版本；確保文件保持清楚、易于識別；確保外來文件得到識別，并掌握其分發(fā)；確保文件的發(fā)放在掌握狀態(tài)下；防止作廢文件的非預期使用；假設因任何緣由而保存作廢文件時，對這些文件進展適當?shù)臉俗R。記錄掌握應建立并保持紀錄，以供給符合要求和信息安全治理體系的有效運行的證據(jù)。記錄應當被掌握。信息安全治理體系應考慮任何有關的法律要求。記錄應保持清楚、易于識別和檢索。應編制形成文件的程序，以規(guī)定記錄的標識、儲存、保護、檢索、保存期限和處置所需的掌握。需要一個治理過程確定記錄的程度。AVktR43bpw應保存上述過程績效記錄和全部與信息安全治理體系有關的安全事故發(fā)生的紀錄。例如：訪問者的簽名簿，審核記錄和授權訪問記錄。ORjBnOwcEd實施和運作信息安全治理體系組織應按如下步聚實施：識別適宜的治理行動和確定治理信息安全風險的優(yōu)先挨次〔即：風險處理打算；實施風險處理打算以到達識別的掌握目標，包括對資金的考慮和落實安全角色和責任；實施在上述章節(jié)里選擇的掌握目標和掌握措施；培訓和意識；e〕治理運作過程；f〕 治理資源；g〕實施程序和其他有力量隨時探測和回應安全事故的掌握措施。監(jiān)控和評審信息安全治理體系監(jiān)控信息安全治理體系組織應：執(zhí)行監(jiān)控程序和其他掌握措施，以：實時探測處理結果中的錯誤；準時識別失敗和成功的安全破壞和事故；能夠使治理層確定分派給員工的或通過信息技術實施的安全活動是否到達了預期的目標；確定解決安全破壞的行動是否反映了運營的優(yōu)先級。進展常規(guī)的信息安全治理體系有效性的評審〔包括符合安全方針和目標，及安全掌握措施的評審〕2MiJTy0dTT評審剩余風險和可承受風險的水平，考慮以下方面的變化：組織技術業(yè)務目標和過程識別威逼，及外部