1、第7章 建立信息安全管理體系的工作流程,趙 剛,7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.1 信息安全管理體系 1.信息安全管理體系的定義 信息安全管理體系（Information Security Management System，ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。,7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.1 信息安全管理體系 2. 組織內(nèi)部成功實(shí)施信息安全管理體系的關(guān)鍵因素 反映業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)； 與組織文化一致的、

2、實(shí)施安全的方法； 來自管理層的有形支持與承諾： 對(duì)信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的良好理解； 向所有管理者及雇員推行信息安全意識(shí)； 向所有雇員和承包商分發(fā)有關(guān)信息安全方針和標(biāo)準(zhǔn)的導(dǎo)則； 提供適當(dāng)?shù)男畔踩呐嘤?xùn)與教育； 用于評(píng)價(jià)信息安全管理績(jī)效及反饋改進(jìn)建議、并有利于綜合平衡的測(cè)量系統(tǒng)。,7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.1 信息安全管理體系 3. 建立信息安全管理體系的步驟 （1）信息安全管理體系的策劃與準(zhǔn)備； （2）信息安全管理體系文件的編制； （3）建立信息安全管理框架； （4）信息安全管理體系的運(yùn)行； （5）信息安全管理體系的審核； （6）信息安全管理體系的管理評(píng)審。,7

3、.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 1.管理承諾 建立信息安全方針； 建立信息安全目標(biāo)和計(jì)劃； 為信息安全確立角色和責(zé)任； 向組織傳達(dá)信息安全目標(biāo)和符合信息安全策略的重要性，組織的責(zé)任及持續(xù)改進(jìn)的需要； 提供足夠的資源以開發(fā)、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系； 確定可接受風(fēng)險(xiǎn)的水平； 進(jìn)行信息安全管理體系的評(píng)審。,7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 2.組織與人員建設(shè) （1）成立信息安全委員會(huì) （2）任命信息安全管理經(jīng)理 （3）組建信息安全管理推進(jìn)小組 （4）保證有關(guān)人員的作用、職責(zé)和權(quán)限得到有效溝通 （5）組織機(jī)構(gòu)的設(shè)

4、立原則 （6）信息安全管理體系組織結(jié)構(gòu)設(shè)立及職責(zé)劃分的注意事項(xiàng),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1

5、信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 3.編制工作計(jì)劃(表),7.1 信息安全管理體系的策劃與準(zhǔn)備,7.1.2 信息安全管理體系的準(zhǔn)備 4. 能力要求與教育培訓(xùn) （1）組織應(yīng)對(duì)人員的培訓(xùn)、意識(shí)和能力的要求建立文件化的程序 （2）人員能力的基本要求 （3）保證人員能力的措施 （4）培訓(xùn)的實(shí)施 （5）培訓(xùn)的內(nèi)容 （6）培訓(xùn)的方式,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.1 編寫信息安全管理體系文件 1.ISMS文件 形成文件的ISMS方針與策略； ISMS范圍； ISMS的支持性程序和控制； 風(fēng)險(xiǎn)評(píng)估方法的描述； 風(fēng)險(xiǎn)評(píng)估報(bào)告； 風(fēng)險(xiǎn)處置計(jì)劃； ISMS的控制目標(biāo)

6、與控制措施； ISMS管理和具體操作的過程； 標(biāo)準(zhǔn)中所要求的記錄； 信息系統(tǒng)安全相關(guān)職責(zé)描述和相關(guān)的活動(dòng)事項(xiàng)； 適用性聲明。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.1 編寫信息安全管理體系文件 2.文件的作用 闡述聲明的作用； 規(guī)定、指導(dǎo)的作用； 記錄、證實(shí)的作用； 評(píng)價(jià)信息安全管理體系的作用； 保障信息安全改進(jìn)的作用； 平衡培訓(xùn)要求的作用。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.1 編寫信息安全管理體系文件 3.文件的層次 （1）適用性聲明； （2）ISMS管理手冊(cè)； （3）程序文件； （4）作業(yè)指導(dǎo)書； （5）記錄。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.1 編寫信

7、息安全管理體系文件 4.文件的編寫 （1）文件的編寫的原則； （2）編寫前的準(zhǔn)備； （3）編寫的策劃與組織。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.1 編寫信息安全管理體系文件 5.文件的管理 （1）文件控制 （2）記錄控制,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 1.定義信息安全策略 信息安全策略（Information Security Policy）本質(zhì)上說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目的就是對(duì)組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)的

8、責(zé)任，詳細(xì)描述對(duì)員工的安全意識(shí)和技能要求，列出被組織禁止的行為。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 1.定義信息安全策略 信息安全策略可以分為兩個(gè)層次：一個(gè)是信息安全方針，另一個(gè)是具體的信息安全策略。 所謂信息安全方針就是組織的信息安全委員會(huì)或管理部門制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感性信息進(jìn)行管理、保護(hù)和分配的規(guī)則進(jìn)行指示。信息安全方針必須要在ISMS實(shí)施的前期制定出來，闡明最高管理層的承諾，提出組織管理信息安全的方法，由管理層批準(zhǔn)，指導(dǎo)ISMS 的所有實(shí)施工作。信息安全策略是在信息安全方針的基礎(chǔ)上，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，為降低信息安全風(fēng)

9、險(xiǎn)，保證控制措施的有效執(zhí)行而制定的具體明確的信息安全實(shí)施規(guī)則。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 2.定義ISMS的范圍 組織所有的信息系統(tǒng)； 組織的部分信息系統(tǒng)； 特定的信息系統(tǒng)。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 3.實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估 首先，組織應(yīng)當(dāng)確定的風(fēng)險(xiǎn)評(píng)估方法; 其次，組織利用已確定的風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn); 之后，組織進(jìn)行分析并評(píng)價(jià)風(fēng)險(xiǎn)。,7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 4.實(shí)施信息安全風(fēng)險(xiǎn)管理 信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施： 接受風(fēng)險(xiǎn) 規(guī)避風(fēng)險(xiǎn) 轉(zhuǎn)移風(fēng)險(xiǎn)

10、 降低風(fēng)險(xiǎn),7.2 信息安全管理體系的設(shè)計(jì)與建立,7.2.2 建立信息安全管理框架 5.確定控制目標(biāo)和選擇控制措施 6.準(zhǔn)備信息安全適用性聲明 （1）組織選擇的控制目標(biāo)和控制措施，以及選擇的原因； （2）附錄A中控制目標(biāo)和控制措施的刪減，以及刪減的合理性。,7.3 信息安全管理體系的實(shí)施與運(yùn)行,7.3.1 信息安全管理體系的試運(yùn)行 1. 領(lǐng)導(dǎo)動(dòng)員，以身作則 2. 有針對(duì)性地宣傳貫徹ISMS文件 3. 完善信息反饋與信息安全協(xié)調(diào)機(jī)制 4. 加強(qiáng)ISMS運(yùn)行信息的管理,7.3 信息安全管理體系的實(shí)施與運(yùn)行,7.3.2 實(shí)施和運(yùn)行ISMS工作 （1）闡明風(fēng)險(xiǎn)處理計(jì)劃 （2）實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 （3）實(shí)

11、施選擇的控制措施 （4）評(píng)價(jià)控制措施有效性 （5）實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃 （6）管理ISMS的運(yùn)行 （7）管理ISMS資源 （8）實(shí)施能夠迅速檢測(cè)安全事態(tài)和響應(yīng)安全事件的程序和其他控制措施,7.3 信息安全管理體系的實(shí)施與運(yùn)行,7.3.3 管理信息安全事件 信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)。通常情況下，信息安全事件的發(fā)生是由于自然的、人為的或者軟硬件自身存在缺陷或故障造成的。 信息安全事故由單個(gè)或一系列有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大可能性。,7.3 信

12、息安全管理體系的實(shí)施與運(yùn)行,7.3.3 管理信息安全事件 1事件分類 2事件分級(jí) 3應(yīng)急組織機(jī)構(gòu) 4應(yīng)急處置流程 7.3.4 保持ISMS持續(xù)有效,7.4 信息安全管理體系的審核,7.4.1 審核的概念 審核概念 審核目的 審核分類（表） 審核步驟,7.4 信息安全管理體系的審核,7.4 信息安全管理體系的審核,7.4.1 審核的概念 審核概念 審核目的 審核分類 審核步驟 審核計(jì)劃； 審核準(zhǔn)備； 現(xiàn)場(chǎng)審核； 編寫審核報(bào)告； 糾正措施的跟蹤； 全面審核報(bào)告的編寫和糾正措施計(jì)劃完成情況的匯總分析,7.4 信息安全管理體系的審核,7.4.2 ISMS內(nèi)部審核 1.內(nèi)部審核基本內(nèi)容： （1）符合標(biāo)準(zhǔn)

13、及相關(guān)法律法規(guī)的要求； （2） 符合已識(shí)別的信息安全要求； （3） 得到有效地實(shí)施和保持； （4）按期望運(yùn)行。,7.4 信息安全管理體系的審核,7.4.2 ISMS內(nèi)部審核 1.內(nèi)部審核基本內(nèi)容 2.內(nèi)部審核流程 （1）內(nèi)部審核策劃 （2）內(nèi)部審核組織 （3）內(nèi)部審核計(jì)劃 （4）內(nèi)部審核準(zhǔn)備 （5）內(nèi)部審核實(shí)施 （6）公司內(nèi)審報(bào)告 （7）糾正不符合項(xiàng) （8）跟蹤和驗(yàn)證 3.實(shí)施策略,7.4 信息安全管理體系的審核,7.4.2 ISMS內(nèi)部審核 1.內(nèi)部審核基本內(nèi)容 2.內(nèi)部審核流程 3.實(shí)施策略 管理者負(fù)責(zé)成立內(nèi)審小組，并任命內(nèi)審組長(zhǎng)，發(fā)布內(nèi)審組長(zhǎng)成員任命書； 內(nèi)審組長(zhǎng)負(fù)責(zé)組織編寫并審核批準(zhǔn)內(nèi)

14、部審核計(jì)劃； 各內(nèi)審員根據(jù)分工編寫內(nèi)審檢查表； 由內(nèi)審組長(zhǎng)召開首次會(huì)議，并填寫首次會(huì)議的會(huì)議簽到記錄表； 各內(nèi)審員根據(jù)計(jì)劃進(jìn)行內(nèi)審，發(fā)現(xiàn)不符合項(xiàng)，填寫不符合項(xiàng)報(bào)告及糾正報(bào)告單，跟蹤不符合項(xiàng)的解決； 由內(nèi)審組長(zhǎng)召開末次會(huì)議，并填寫末次會(huì)議的會(huì)議簽到記錄表； 內(nèi)審結(jié)束后，內(nèi)審組長(zhǎng)負(fù)責(zé)編寫公司內(nèi)審報(bào)告。,7.4 信息安全管理體系的審核,7.4.3 信息安全管理體系管理評(píng)審 管理評(píng)審的定義 指組織的最高管理者按規(guī)定的時(shí)間間隔對(duì)信息安全管理體系進(jìn)行評(píng)審，以確保體系的持續(xù)適宜性、充分性和有效性。管理評(píng)審過程應(yīng)確保收集到必要的信息，以供管理者進(jìn)行評(píng)價(jià)，管理評(píng)審應(yīng)形成文件。,7.4 信息安全管理體系的審核,7.4.3 信息安全管理體系管理評(píng)審 管理評(píng)審的定義 職責(zé)與權(quán)限 評(píng)審輸入 評(píng)審輸出 制定年度管理評(píng)審計(jì)劃 資料準(zhǔn)備 管理評(píng)審會(huì)議 管理評(píng)審報(bào)告 相關(guān)支持性文件和記錄 管理評(píng)審的后續(xù)工作,7.4 信息安全管理體系的審核,7.4.3 信息安全管理體系管理評(píng)審 9. 相關(guān)支持性文件和記錄 文件控制程序 記錄控制程序 內(nèi)部審核程序 管理評(píng)審計(jì)劃 管理評(píng)審會(huì)議通知 管理評(píng)審報(bào)告 管理評(píng)審會(huì)議記錄 年度管理評(píng)審計(jì)劃 10.管理評(píng)審的后續(xù)工作,7.5 ISMS的改進(jìn)與保持,7.