(Informationtechnology—Securitytechniqes—Informationsecuritymanagementsystemimplementationguidance)（ISO/IECCD(2009-12-29--PAGE10范圍 總 圖 總說(shuō) 定義ISMS范圍和ISMS方 定義ISMS范圍和ISMS方針的概 完成ISMS范圍邊 開(kāi)發(fā)ISMS方 設(shè)計(jì) 設(shè)計(jì)ISMS概 意 設(shè)計(jì)ICT安全和物理安 測(cè)量ISMS的有效 產(chǎn)生ISMS實(shí)施計(jì) 實(shí)施 執(zhí)行ISMS實(shí)施項(xiàng)目概 溝 協(xié) 變 ISMS程序和控制文 參考書 附錄 附錄 ISO（國(guó)際標(biāo)準(zhǔn)化組織）和IEC(國(guó)際電工委員會(huì))是專業(yè)的世界性標(biāo)準(zhǔn)發(fā)布者。ISO了一個(gè)聯(lián)合技術(shù)委員會(huì)，ISO/IECJTC1。本文件的某些要素有可能涉及一些專利權(quán)問(wèn)題，對(duì)此應(yīng)引起注意。ISOISO/IEC27001b）e）a）b）c）上的實(shí)施項(xiàng)目，那里，需要應(yīng)用項(xiàng)目管理原理和方法論(見(jiàn)“ISOITISMSPDCA“P”和“D”階段。e IOIC20,-要求eISO/IEC27001,信息安全管理體系–概述與詞 1如ISO/IEC27002。12ISO/IEC270032ISMS 定義最初的ISMS范圍 創(chuàng)建業(yè)務(wù)框架與項(xiàng)目啟動(dòng)計(jì)劃 獲得管理者對(duì)實(shí)施ISMS的正式批準(zhǔn)和承諾 獲得對(duì)ISMS方針的贊同 創(chuàng)建信息資產(chǎn)清單 識(shí)別風(fēng)險(xiǎn)評(píng)估方法 識(shí)別、分析和評(píng)價(jià)信息安全風(fēng)險(xiǎn) 識(shí)別風(fēng)險(xiǎn)處理選擇方案 選擇控制目標(biāo)和控制措施ISMS 為基于風(fēng)險(xiǎn)處理選擇方案的風(fēng)險(xiǎn)處理，而設(shè)計(jì)組織的安全 為建立ISMS，設(shè)計(jì)ISMS特殊的要求，包括監(jiān)視和測(cè)量 ISMS 實(shí)施監(jiān)視和測(cè)量 AAISO/IEC27001：4.2.1a),ISMS、ISMS 獲得管理者ISMS的批準(zhǔn)5

7

8

設(shè)計(jì)9

實(shí)施管理者批準(zhǔn)實(shí)施

ISMS施ISMS準(zhǔn)和承 時(shí)圖 按如下信息完成此項(xiàng)活動(dòng)是很重要的ISMSISMSISMS支持ISO9001、14001、20000和27001促成“企業(yè)風(fēng)險(xiǎn)管理”(ERM)SLA)組織的品牌/名譽(yù)等)？如果ISMS有關(guān)如何識(shí)別和使用滿足行業(yè)特殊需求的擴(kuò)展控制措施在實(shí)施ISMS“PlanDo進(jìn)行討論。行業(yè)實(shí)施的例子也提供于附錄中，以幫助本文件的用戶更好地實(shí)施ISMS。定義初始的ISMS當(dāng)考慮范圍和ISO/IEC27001的實(shí)施時(shí)，組織應(yīng)首先識(shí)別已經(jīng)作為其它管理體系標(biāo)準(zhǔn)的體系的要素和ISO/IEC27001要求的新要素之間的差別，通過(guò)采取改編現(xiàn)有的要素或增加新的要素以符合ISO/IEC27001。信息安全委員會(huì)（成員信息安全規(guī)劃小組（成員ISMSISMS期士.應(yīng)該按照他們對(duì)ISMS事件的想法訪問(wèn)這些專首席審核員負(fù)責(zé)設(shè)計(jì)如何評(píng)估和評(píng)價(jià)ISMS對(duì)實(shí)施ISMS表1業(yè)務(wù)框架與初始項(xiàng)目啟動(dòng)應(yīng)包括已估算的時(shí)間計(jì)劃和本標(biāo)準(zhǔn)第6章所述的主要活I(lǐng)SMS獲得管理者對(duì)實(shí)施ISMS管理者批準(zhǔn)和監(jiān)督ISMS 充分的和具有技能的ISMS不符合業(yè)務(wù)的安全策略或維護(hù)ISMS實(shí)施ISMSISMS/C另一個(gè)重要的成功因素是認(rèn)可ISMSISO/IEC27001：4.2.1a), 獲得管理 定義ISMS對(duì)實(shí)施 圍和ISMS的正式批 業(yè)務(wù)分 風(fēng)險(xiǎn)評(píng) 設(shè)計(jì) 實(shí)施管理者批準(zhǔn)實(shí)施ISMS定義組織的邊 定義信息通信技術(shù)邊界6.3定義物理邊界完成ISMS范圍 開(kāi)發(fā)ISMS方 時(shí)4ISMSISMSOISMSISMSOISMS為了在組織內(nèi)建立一個(gè)有效的管理體系，ISMSISMSISMS邏輯解釋。ISMS5.3ISMS域)的正式?jīng)Q定。ISO/IEC5.3活動(dòng)的輸出–管理者關(guān)于高層ISMS范圍(例如：在組織的控制之下的所有ICT，ICT)的正式?jīng)Q定。O社會(huì)文化環(huán)境；OO關(guān)鍵責(zé)任的說(shuō)明；OISMSICTICTISMS5.3活動(dòng)的輸出–管理者關(guān)于高層ISMS范圍(例如在組織的控制之下的所有場(chǎng)所，支持特殊業(yè)務(wù)或過(guò)程的部分場(chǎng)所)的正式?jīng)Q定。OOOO無(wú)線網(wǎng)路。ISMSISMS5.3ISMS6.26.3ICT6.4OO關(guān)鍵業(yè)務(wù)流程列表；OOOO資產(chǎn)列表；OISMS開(kāi)發(fā)初始的ISMS5.45.4ISMS5.4活動(dòng)的輸出-ISMSOISMS目標(biāo)和組織對(duì)ISMS的指示；OOO風(fēng)險(xiǎn)管理的風(fēng)險(xiǎn)結(jié)構(gòu)評(píng)估準(zhǔn)則；OOO合同安全義務(wù)。ISO/IEC27001

獲得管理者ISMS

風(fēng)險(xiǎn)評(píng) 設(shè)計(jì) 實(shí)施管理者批準(zhǔn)實(shí)施

實(shí)施ISMS針

信息安全評(píng)估結(jié)果實(shí)施ISMS圍

信息資產(chǎn)清定義支持ISMS信息資產(chǎn)清信息安全評(píng)估結(jié) 時(shí)6.5–ISMS6.6ISMS5.45.4ISMS從建立ISMS6.5–ISMS6.6ISMS7.2IT6.5–ISMS6.6ISMS7.27.3資產(chǎn)的分類分析業(yè)

組織當(dāng)前信息安全實(shí)際狀況與信息安圖6組織當(dāng)前信息安全實(shí)際狀況與信息安

。。

為的需求

弱性的優(yōu)先級(jí) 人識(shí)別和列出組織的相關(guān)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)化文件(例如ISO/IECf）7是風(fēng)險(xiǎn)評(píng)估階段的概要。

獲得管理者對(duì)實(shí)施ISMS式批準(zhǔn)5

7

8

設(shè)計(jì)9

實(shí)施管理者批準(zhǔn)實(shí)施

實(shí)施ISMS針實(shí)施ISMS圍

信息安全評(píng)估結(jié)果信息資產(chǎn)清

風(fēng)險(xiǎn)處理計(jì)劃和選擇風(fēng)險(xiǎn)控風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估描

進(jìn)行風(fēng)險(xiǎn)評(píng)

風(fēng)險(xiǎn) 風(fēng)估描 評(píng)報(bào) 報(bào)

風(fēng)險(xiǎn)處理計(jì)劃和選擇風(fēng)

76.5–ISMS7.2組織的ISMS息安全級(jí)別。信息安全管理應(yīng)選擇適于組織的類型和規(guī)模的方法。有關(guān)更深一層的ISMSC6.5–ISMS6.6–ISMS8.2的風(fēng)險(xiǎn)評(píng)估對(duì)成功實(shí)施ISMS十分關(guān)鍵。評(píng)估風(fēng)險(xiǎn)的詳細(xì)方法在ISO/IEC27005中描述。COOCEOCSO(IT違反合同義務(wù)、盜竊研究成果)；管理者批準(zhǔn)實(shí)施和運(yùn)行ISMS已批準(zhǔn)的ISMS有關(guān)ISMS風(fēng)險(xiǎn)評(píng)估的更多指導(dǎo)，請(qǐng)參考ISO/IEC270057.48.3險(xiǎn)處理計(jì)劃，例如從ISO/IEC27002選擇適當(dāng)?shù)目刂拼胧┮钥刂颇硞€(gè)風(fēng)險(xiǎn)。控制措施的選ISO/IEC27005)COOCEOCSOISO/IEC27001:4.2.2a)-e8ISMS 獲得管理者 定義ISMS實(shí)施ISMS的正 圍和ISMS方 設(shè)計(jì)ISMS式批 實(shí)施管理者 實(shí)施 信息安 風(fēng)險(xiǎn)處理計(jì) 批準(zhǔn)實(shí) ISMS方 全評(píng)估 劃和選擇風(fēng) 施 結(jié) 險(xiǎn)控制措 ISMS實(shí)施 風(fēng)險(xiǎn)評(píng)估描 信息資ISMS 述報(bào) 描述單風(fēng)險(xiǎn)評(píng)估報(bào) 產(chǎn)生過(guò)告設(shè)計(jì)組織安 定義角色和 定義方針開(kāi)發(fā) 報(bào)告和管理 責(zé)任9.2.2 評(píng)審9.2.4 物理安 設(shè)計(jì)監(jiān)視和測(cè) 設(shè)計(jì)監(jiān) 設(shè)計(jì)信息安全 測(cè)量ISMS的 量程 效 ISMS紀(jì)錄要 文件控制要 紀(jì)錄控制要 描述 ISMS產(chǎn)生過(guò) 錄要施計(jì)劃時(shí) ISMS實(shí)施計(jì)8ISMSICTICT運(yùn)行風(fēng)險(xiǎn)責(zé)任相關(guān)的信息安全方面。這要達(dá)到為降低ISMS3個(gè)領(lǐng)域之外的ISO/IEC27001規(guī)定的ISMS不同特6.5–ISMS6.6–ISMS然而這些成員需要對(duì)“信息安全”領(lǐng)域有豐富地知識(shí)和經(jīng)驗(yàn)，如“IT”、“行政決與人員應(yīng)進(jìn)行挑選，包括：COO和10信息安全級(jí)信息安全級(jí)高級(jí)管理者(例如COOCEO,CSO2-4ISMSISMSISMS可能小的，具有所需要的特殊能力的編輯組。不通ISMSISMSISO/IEC270017.2ISO/IEC270014.2.3d)的要求。COOCEOCSOCOOCEOCSO11圖11審核規(guī)劃的概要控制措施實(shí)施的有效性和功效(見(jiàn)ISO/IEC27004)應(yīng)在內(nèi)部審核的范圍內(nèi)進(jìn)行檢查。如高級(jí)管理者(例如：COOCEOCSO審計(jì)進(jìn)行審核。在執(zhí)行審核時(shí)，最好查閱“ISMSISO/IEC27006，ISMS求”,以及有關(guān)審核的“ISMSISO/IEC27007”ISMS2–ISMS–ISMS??8.4取決于控制措施的類型(ICT的,物理的，或組織的)，初始過(guò)程和實(shí)際實(shí)施過(guò)程之間不6.5–ISMS6.6–ISMS定期審 準(zhǔn)備和協(xié)調(diào)監(jiān)準(zhǔn)備和協(xié)調(diào)監(jiān)123監(jiān)視活動(dòng)的記錄（達(dá)到所要求的詳細(xì)程度ISMS認(rèn)可測(cè)量的要求，詳情見(jiàn)ISO提供所需要的信息，詳情見(jiàn)ISO在選擇測(cè)量“要點(diǎn)”時(shí)，ISO/IEC27004的“信息安全測(cè)量過(guò)程”規(guī)定起點(diǎn)就是測(cè)量對(duì)ISO/IEC27004)。此文件可能十分全面并不必由管理者簽署。這也是因?yàn)榧?xì)節(jié)可能9.4.4.ISMS是一方面，而這些控制措施要能足以評(píng)價(jià)ISMS的有效性則是另一方面。(在ISO/IEC27004ISO/IEC270014.2.2d)）ISMS（見(jiàn)見(jiàn)ISO/IEC270010.2.2）實(shí)際測(cè)量的執(zhí)行可使用內(nèi)部人員或外部人員或兩者結(jié)合。在評(píng)價(jià)內(nèi)部資源或外部資源內(nèi)部審核，那么內(nèi)部資源可能是有效的。6.5–ISMS6.6–ISMS9.29.3–ICT9.4記錄結(jié)果可以重用。種情況下，不同的人比較結(jié)果是困難的而且這使得有效管理信息安全有一定難度。擇的控制措施的活動(dòng)，以及如ISO/IEC27001所述的有關(guān)ISMS的正式活動(dòng)。6.5–ISMS6.6–ISMS9.29.3–ICT9.49.5控制措施選擇的結(jié)論以及其它所計(jì)劃的ISMS初始實(shí)施流程(見(jiàn)9.3ICT實(shí)際實(shí)施流程(見(jiàn)9.3ICTISO/IEC27001:4.2.2b)-eISMS14是實(shí)施階段及其主要活動(dòng)的概要。

獲得管理者對(duì)實(shí)施ISMS式批準(zhǔn)5

7

8

設(shè)計(jì)9

實(shí)施管理者批準(zhǔn)實(shí)施

實(shí)施ISMS針實(shí)施ISMS圍

信息安全評(píng)估結(jié)果信息資產(chǎn)清

風(fēng)險(xiǎn)處理計(jì)劃和選擇風(fēng)險(xiǎn)控風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估

ISMSISMS描述ISMS執(zhí)行ISMS時(shí) 14270016.5–ISMS6.6–ISMS9.29.3–ICT角色和責(zé)任(見(jiàn).310.2.410.2.5色的例子)。項(xiàng)目的前提是管理者應(yīng)按ISO/IEC27001中–ISMS6.6–ISMS9.29.3–ICTISMSIDS這些應(yīng)以一致的方式進(jìn)行報(bào)告和修正。ISMS創(chuàng)建和更新必須的ISMS6.5–ISMS6.6–ISMS9.29.3–ICT于缺乏知識(shí)或錯(cuò)誤引起的信息安全事故。這方面的例子包括e-mailInternet的使用、6.5–ISMS6.6–ISMS9.29.3–ICTISO/IEC27004息詳情可參見(jiàn)ISO/IEC27004。信息安全是一個(gè)影響整個(gè)組織的廣泛領(lǐng)域。清晰地定義安全責(zé)任主要是為了成功的實(shí)述的某些活動(dòng)的基礎(chǔ)。附錄A的。而特殊的角色描述是ISMS表3COO,CEO,CSO該委員會(huì)負(fù)責(zé)處理信息資產(chǎn)，在組織中具有ISMS解決各種沖突，直到ISMS業(yè)主（如果組織是一個(gè)集團(tuán)或政府組織的一部分）IT所有ITIT審核員負(fù)責(zé)評(píng)估和評(píng)價(jià)ISMS地方組織IT在一個(gè)大型組織內(nèi)，常常有人負(fù)責(zé)地方組織IT例1：支持ISMSISO/IEC27001網(wǎng)絡(luò)的ISO/IEC27001/2相關(guān)控制措施。ISO/IEC27001在組織的綜合業(yè)務(wù)活動(dòng)和所面臨的風(fēng)險(xiǎn)框架內(nèi)，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS提供模型。雖然ISO/IEC27001提供了為完成上面各個(gè)階段而圖A.1ISMS備與設(shè)施組，以標(biāo)準(zhǔn)的方式檢查在每層出現(xiàn)的各種活動(dòng)。其組成包括：(1)(2)3)3種活動(dòng)：(1)(3)8個(gè)安全機(jī)制提供實(shí)施和運(yùn)行ISO/IEC27001/2控制措施所需要的更進(jìn)一步的指導(dǎo)，并為ISO/IEC27001附錄A沒(méi)有列出的另外的控制目標(biāo)，提供基礎(chǔ)。如何使用ISO/IEC圖A.2息可被企業(yè)的服務(wù)臺(tái)訪問(wèn)，作為其一部分服務(wù)管理工作(例如管理雇員遠(yuǎn)程訪問(wèn)服務(wù))，以圖A.3圖A.4ISO/IEC27001圖A.5ISO/IEC27001據(jù)完整性規(guī)定了IPSecAH1在服務(wù)層的使用，防止不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息更標(biāo)題(IPSecAH)和封裝的安全協(xié)議(IPSecESP)配置IPSecVPNs，使雇員信息能夠在數(shù)據(jù)中最后，為了完成實(shí)施并開(kāi)始運(yùn)行ISMS，企業(yè)執(zhí)行以下ISO/IEC27001在應(yīng)得到應(yīng)用的資產(chǎn)和活動(dòng)方面，必要的ISO/IEC27001標(biāo)準(zhǔn)的要求控制了尺度水準(zhǔn)。另一的尺度水準(zhǔn)是ISO/IEC27001控制措施對(duì)不同層面的實(shí)施和