信息安全管理体系

信息安全管理体系

培训机构名称讲师名字

课程内容

2

信息安全管理体系

知识体 知识域

信息安全管理基本概念

信息安全管理体系建设

知识子域

信息安全管理的作用

风险管理的概念和作用

过程方法与 PDCA循环

安全管理控制措施的概念和作用

建立、运行、评审与改进 ISMS

知识域：信息安全管理基本概念

知识子域： 信息安全管理的作用 理解信息安全“技管并重”原则的意义 理解成功实施信息安全管理工作的关键因素

知识子域： 风险管理的概念和作用 理解信息安全风险的概念：资产价值、威胁、脆

弱性、防护措施、影响、可能性 理解风险评估是信息安全管理工作的基础 理解风险处置是信息安全管理工作的核心

知识子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理风险的具体手段 了解 11 个基本安全管理控制措施的基本内容

3

信息安全管理

一、信息安全管理概述

二、信息安全管理体系

三、信息安全管理体系建立

四、信息安全管理控制规范

4

一、信息安全管理概述

（一）信息安全管理基本概念 1 、信息安全 2 、信息安全管理 3 、基于风险的信息安全

（二）信息安全管理的状况 1 、信息安全管理的作用 2 、信息安全管理的发展 3 、信息安全管理的标准 4 、成功实施信息安全管理的关键

5

（一）信息安全管理基本概念

1 、信息安全

2 、信息安全管理

3 、基于风险的信息安全

6

1、信息安全

7

信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。

信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。

1、信息安全

信息安全

保密性

可用性

完整性

8

1、信息安全 -保密性

9

保密性确保只有那些被授予特定权限的人才能够访问到

信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。

1、信息安全 -完整性

10

完整性保证信息和处理方法的正确性和完整性。信息完

整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。

1、信息安全 -可用性

11

可用性确保那些已被授权的用户在他们需要的时候，确

实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。

2、信息安全管理

统计结果表明，在所有信息安全事故中，只有 20%~30%是由于黑客入侵或其他外部原因造成的， 70%~80% 是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。

信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。

12

2、信息安全管理

13

正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。

2、信息安全管理

14

组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动

信息安全管理工作的对象

规则

人员目标

项目办公室

项目经理

项目专家组

实施小组 协调小组

国税总局 测评中心 福建地税

项目领导组

国税总局 福建地税

变更控制委员会

组织

· 信息输入 · 立法 ·摘要

变化？

关键活动

测量拥有者

资 源 记录标 准

输入 输出

生 产经 营

过程

2、信息安全管理

15

信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。

3、基于风险的信息安全

16

（ 1 ）安全风险的基本概念

（ 2 ）信息安全的风险模型

（ 2 ）基于风险的信息安全

（ 1）安全风险的基本概念

资产 资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值

资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 ……

17

（ 1）安全风险的基本概念

威胁 资威胁是可能导致信息安全事故和组织信息资产损失

的环境或事件 威胁是利用脆弱性来造成后果

威胁举例黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 盗窃 网络监听 供电故障 后门 未授权访问…… 自然灾害如：地震、火灾

18

（ 1）安全风险的基本概念

脆弱性 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得

到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。

脆弱性举例 系统漏洞 程序 Bug专业人员缺乏 不良习惯缺少审计 缺乏安全意识后门物理环境访问控制措施不当……

19

（ 1）安全风险的基本概念

安全控制措施 根据安全需求部署的，用来防范威胁，降低风险的措

施安全控制措施举例

20

技术措施 防火墙 防病毒 入侵检测 灾备系统 ……

管理措施 安全规章 安全组织 人员培训 运行维护 ……

（ 2）信息安全的风险模型

21

没有绝对的安全，只有相对的安全

信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。

（ 3）基于风险的信息安全

信息安全追求目标确保业务连续性业务风险最小化保护信息免受各种威

胁的损害投资回报和商业机遇最大化

获得信息安全方式实施一组合适的控制

措施，包括策略、过程、规程、组织结构以及软件和硬件功能。

22

（ 3）风险评估是信息安全管理的基础

风险评估主要对 ISMS 范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。

信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基

础，没有风险评估，信息安全管理体系的建立就没有依据。

23

（ 4）风险处置是信息安全管理的核心

风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。

控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。

信息安全管理体系的核心就是这些最佳控制措施集合的。

24

（二）信息安全管理的状况

1 、信息安全管理的作用

2 、信息安全管理的发展

3 、信息安全管理有关标准

4 、成功实施信息安全管理的关键

25

1、信息安全管理的作用

26

如果你把钥匙落在锁眼上会怎样？

技术措施需要配合正确的使用才能发挥作用

保险柜就一定安全吗？

27

防火墙内网主机

服务器 Web服务器

Internet

防火墙

精心设计的网络防御体系，因违规外连形同虚设

防火墙能解决这样的问题吗？

1、信息安全管理的作用

28

信息系统是人机交互系统

应对风险需要人为的管理过程

设备的有效利用是人为的管理过程

“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则

1、信息安全管理的作用

2、信息安全管理的发展 -1

29

ISO/IEC TR 13335 国际标准化组织在信息安全管理方面，早在 1996年就开始制定《信息技术信息安全管理指南》（ ISO/IEC TR 13335 ），它分成五个部分：• 《信息安全的概念和模型》• 《信息安全管理和规划》• 《信息安全管理技术》• 《基线方法》• 《网络安全管理指南》

2、信息安全管理的发展 -2

30

BS 7799 英国标准化协会（ BSI ） 1995年颁布了《信息

安全管理指南》（ BS 7799 ）， BS 7799 分为两个部分：

BS 7799-1《信息安全管理实施规则》和 BS 7799-2《信息安全管理体系规范》。 2002年又颁布了《信息安全管理系统规范说明》（ BS 7799-2:2002 ）。

BS 7799 将信息安全管理的有关问题划分成了 10个控制要项、 36 个控制目标和 127 个控制措施。目前，在 BS7799－ 2 中，提出了如何了建立信息安全管理体系的步骤。

2、信息安全管理的发展 -3

31

2、信息安全管理的发展 -4

32

3、国内外信息安全管理标准

33

（ 1 ）国际信息安全管理标准 国际信息安全标准化组织 国际信息安全管理标准

（ 2 ）国内信息安全管理标准 国内信息安全标准化组织 国内信息安全管理标准

国际信息安全标准化组织

34

国际信息安全管理标准 -1

35

国际信息安全管理标准 -2

36

国际信息安全管理标准 -3

37

国内信息安全标准化组织

38

国内信息安全管理标准 -1

39

WG7组已有的标准

国内信息安全管理标准 -2

40

WG7组研究中的标准

国内信息安全管理标准 -3

41

4、实施信息安全管理的关键成功因素

理解组织文化得到高层承诺做好风险评估整合管理体系积极有效宣贯纳入奖惩机制持续改进体系

42

二、信息安全管理体系

（一）什么是信息安全管理体系

（二）信息安全管理体系的框架

（三）信息安全管理过程方法要求

（四）信息安全管理控制措施要求

43

（一）什么是信息安全管理体系

1 、信息安全管理体系的定义

2 、信息安全管理体系的特点

3 、信息安全管理体系的作用

4 、信息安全管理体系的文件

44

1、信息安全管理体系的定义

信息安全管理体系（ ISMS ： Information Security Management System ）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。

45

2、信息安全管理体系的特点

信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；

体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；

强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。

46

3、信息安全管理体系的作用

对组织的关键信息资产进行全面系统的保护，维持竞争优势；

在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为；

使组织的生意伙伴和客户对组织充满信心；组织可以按照安全管理，达到动态的、系统地、

全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。

47

4、信息安全管理体系的理念

各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，如果忽略了组织中最活跃的因素——人的作用，则信息安全管理体系是不完备的，考察国内外的各种信息安全事件，不难发现，在信息安全时间表象后面其实都是人的因素在起决定作用。

48

4、信息安全管理体系的理念

技术因素

人的因素

管理因素

49

在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。

5、信息安全管理体系的过程

50

完善信息安全治理结构

风险评估

安全规划

信息安全管理框架

管理措施 技术手段

信息系统安全审计

监控业务与安全环境

符合安全控制标

准？

持续改进

调整

（二）信息安全管理体系框架

1 、信息安全管理体系循环框架

2 、信息安全管理体系内容框架

3 、信息安全管理体系文件框架

4 、信息安全管理体系系列标准

51

1、信息安全管理体系循环框架

52

信息安全管理体系是 PDCA动态持续改进的一个循环体。

规划和建立

实施和运行

监视和评审

保持和改进

相关方

信息安全要求和期望

相关方

受控的信息安

全

1、信息安全管理体系循环框架

53

PDCA也称“戴明环”，由美国质量管理专家戴明提出。

P（ Plan）：计划，确定方针和目标，确定活动计划；

D（Do）：实施，实际去做，实现计划中的内容；

C（ Check）：检查，总结执行计划的结果，注意效果，找出问题；

A（ Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个 PDCA循环。

1、信息安全管理体系循环框架

54

PDCA 特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。

90

90

处置

实施

规划

检查

C

A

D

P

PDCA 特点二： 组织中的每个部分，甚至个人，均可以 PDCA循环，大环套小环，一层一层地解决问题。

90909090C

A

D

P

90909090C

A

D

P 90909090C

A

D

P

PDCA 特点三：每通过一次 PDCA 循环，都要进行总结，提出新目标，再进行第二次 PDCA 循环。

90909090

处置

实施

规划

检查C

A

D

P

达到新的水平

改进 (修订标准 )

维持原有水平

90909090

处置

实施

规划

检查C

A

D

P

2、信息安全管理体系内容框架

55

2、信息安全管理体系内容框架（续）

56

其他最佳实践标准与各安全控制域之间的对应

ISO27000系列不是信息安全管理体系的全部

3、信息安全管理体系文档框架

57

3、信息安全管理体系文档框架

58

步骤 1 步骤 2 步骤 3

步骤 1 步骤 2 步骤 3

步骤 1 步骤 2 步骤 3

步骤 1 步骤 2 步骤 3

J基于控制的安全策略

基于绩效的考核指标

基于绩效的考核指标

基于绩效的考核指标

基于绩效的考核指标

基于岗位的操作手册

基于岗位的操作手册

基于岗位的操作手册

基于岗位的操作手册

安全策略

操作手册

操作手册 操作手册

操作手册

考核指标 考核指标

4、信息安全管理体系系列标准

59

（ 1 ） ISO 27000 系列

（ 2 ） NIST SP800 系列

（ 3 ） ISO/IEC13335 系列

（ 1） ISO 27000系列

60

ISO 27000 系列

27000~27003 27004~27007

27000信息安全管理体系原则

和术语

27001信息安全管理体系要求

27002 信息安全管理实践准则

27003信息安全管理实施指南

27004 信息安全管理的度量指标

和衡量

27005 信息安全风险管理指南

27006 信息和通信技术灾难恢复

服务指南

27007 XXX

27001

27002

27000

27006

2700527003

27004

信息安全管理体系基本原理和词汇

（ 1） ISO 27000系列

61

27001ISMS 要求

27004 ISMS 度量指标和衡

量

27002 ISMS 实践准则

2700

1的附录

A将两者联

系

起来

，作

为IS

MS

过程

的一部

分

测量

ISM

S控

制措

施的

性能

和

有效

性的

要求

将两者联

系起

来

27000：《 ISMS基础和词汇》

62

正在启动的新标准项目；它将主要以 ISO/IEC 13335-1:2004《信息和通

信技术安全管理第 1部分：信息和通信技术安全管理的概念和模型》为基础进行研究；

该标准将规定 27000 系列标准所共用的基本原则、概念和词汇。

27001：《信息安全管理体系要求》

63

2005年 10月 15日发布；规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求；

基于风险管理的思想，旨在通过持续改进的过程（ PDCA模型）使组织达到有效的信息安全；

使用了和 ISO 9001 、 ISO 14001 相同的管理体系过程模型；

是一个用于认证和审核的标准；

27002：《信息安全管理实用规则》

64

即 17799 ， 2005年 6月 15日发布第二版；包含有 11 个安全类别、 39 个控制目标、 138

个控制措施；实施 27001 的支撑标准，给出了组织建立 ISMS

时应选择实施的控制目标和控制措施集；是一个行业最佳惯例的汇总集，而不是一个认证

和审核标准；

27003：《 ISMS实施指南》

65

目前处于工作草案阶段；它主要以 BS 7799-2:2002附录 B 的内容为基

础进行制定；提供了 27001 具体实施的指南。

27004：《信息安全管理度量》

66

旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。

27005：《信息安全风险管理》

67

目前处于委员会草案阶段；它将主要以 ISO/IEC 13335-2 为基础进行制

定；描述了信息安全风险管理的过程及每个过程的详细内容。

（ 2）NIST SP800系列

68

NIST SP800 系列

（ 3） ISO/IEC13335系列

69

ISO/IEC1335-1:1996

IT 安全概念和模型

ISO/IEC1335-2:1997

IT 安全管理和计划

ISO/IEC1335-3:1998

IT 安全管理技术

ISO/IEC1335-4:2000

IT 安全措施的选择

ISO/IEC1335-5:2001

网络安全管理指南 ISO/IEC13335系列

（三）信息安全管理过程方法要求

1 、信息安全管理过程方法的作用

2 、信息安全管理过程方法的结构

70

1、信息安全管理过程方法的作用

71

过程方法要求（ Methodological requirements ）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。

按照 PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。

2、信息安全管理过程方法的结构

72

D1-开发风险处置计划D2-实施风险处置计划D3-实施安全控制措施D4-实施安全教育培训D5-管理ISMS的运行D6-管理ISMS 的资源D7-执行检测安全事件程序D8-执行响应安全事故程序

A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISMS的变更A4-从安全经验和教训中学习

C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证安全要求是否被满足C6-按计划进行风险评估C7-评审可接受残余风险C8-按计划进行内部审核C9-按计划进行管理评审C10-更新信息安全计划C11-记录对ISMS有影响的行动和事件

P1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息安全风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA

Plan规划和建立ISMS

Act

维护和改 进

ISMS

Check监视和评审ISMS

Do

实施和运行

ISMS

I SMS体系文档化I SMS文件控制I SMS纪录控制

（四）信息安全管理控制措施要求

1 、信息安全管理控制措施的作用

2 、信息安全管理控制措施的结构

73

1、信息安全管理控制措施的作用

74

安全控制要求（ Security control requirements ）：为组织选择满足自身信息安全环境要求的控制措施提供了一个最佳实践集。

组织应根据法律法规的约束、自身的业务和风险特征选择适用的控制措施。

当然组织也可以根据自身的特定要求对安全控制措施进行补充。

2、信息安全管理控制措施的结构

75

共有 11 个控制条款（方面）每个条款包括许多主要的安全类。每个安全类包括：

一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 每个控制措施

控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息

76

2、信息安全管理控制措施的结构示例

8 、人员安全——安全控制条款8.1雇佣前——安全类

确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。 ——安全类控制目标

8.1.1角色和职责——安全控制措施 控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息

77

知识子域：过程方法与 PDCA循环 理解 ISMS 过程和过程方法的含义 理解 PDCA循环的特征和作用

知识子域：建立、运行、评审与改进 ISMS 了解建立 ISMS 的主要工作内容 了解实施和运行 ISMS 的主要工作内容 了解监视和评审 ISMS 的主要工作内容 了解保持和改进 ISMS 的主要工作内容

知识域：信息安全管理体系建设

三、信息安全管理体系建设

（一）信息安全管理体系的规划和建立

（二）信息安全管理体系的实施和运行

（三）信息安全管理体系的监视和评审

（四）信息安全管理体系的保持和改进

78

（一）信息安全管理体系规划和建立

P1- 定义 ISMS 范围P2- 定义 ISMS 方针P3- 确定风险评估方法P4- 分析和评估信息安全风险P5- 识别和评价风险处理的可选措施P6- 为处理风险选择控制目标和控制措施P7- 准备详细的适用性声明 SoA

79

P1-定义 ISMS范围

80

ISMS 的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建 ISMS 。

在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。

在定义 ISMS 范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域。

P2-定义 ISMS方针

81

信息安全方针是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。

信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。

信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。

P3-确定风险评估方法

82

组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括： 业务环境 业务性质与业务重要性； 对支持组织业务活动的信息系统的依赖程度； 业务内容、支持系统、应用软件和服务的复杂

性； 贸易伙伴、外部业务关系、合同数量的大小。

这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂。

P4-分析和评估信息安全风险

83

风险评估主要对 ISMS 范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。

确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。

P5-识别和评价风险处理的可选措施

84

根据风险评估的结果，在已有措施基础上从安全控制最佳集合中选择安全控制措施。

P6-为处理风险选择控制目标和控制措施

85

在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组织对业务目标、资产保护、投资预算的要求。

组织采用什么样的方法来评估安全需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种安全需求来驱动。

P7-准备详细的适用性声明 SoA

86

在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明（ SOA ：Statement of Application ） SOA 中进行说明。

SOA 是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。

SOA 的准备一方面是为了向组织内的员工声明对信息安全面对的风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统的审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内。

（二）信息安全管理体系实施和运行

D1- 开发风险处置计划D2- 实施风险处置计划D3- 实施安全控制措施D4- 实施安全教育培训

D5- 管理 ISMS 的运行D6- 管理 ISMS 的资源

D7- 执行检测安全事件程序D8- 执行响应安全事故程序

87

信息安全风险处置的分类

88

根据风险评估的结果进行相关的风险处置：降低风险：在考虑转移风险前，应首先考虑采取

措施降低风险；避免风险：有些风险容易避免，例如采用不同的

技术、更改操作流程、采用简单的技术措施等；转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用；

接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。

信息安全管理体系试运行

体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施 ISMS 手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

89

（三）信息安全管理体系监视和评审

C1- 执行 ISMS监视程序 C2- 执行 ISMS 评价程序 C3- 定期执行 ISMS 评审 C4-测量控制措施的有效性 C5-验证安全要求是否被满足 C6-按计划进行风险评估 C7- 评审可接受残余风险 C8-按计划进行内部审核 C9-按计划进行管理评审 C10-更新信息安全计划 C11-记录对 ISMS 有影响的行动和事件

90

常用的检查措施－１：

在检查阶段采集的信息应该可以用来测量信息安全管理体系，判断是否符合组织的安全方针和控制目标的有效性。常用的检查措施有：

日常检查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。

自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。

从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的办法。

91

常用的检查措施－２：

内部审核：在一个特定的常规审核时间内检查ＩＳＭＳ所有方面是否达到预想的效果。

管理评审：管理评审的目的是检查信息安全管理体系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次

趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的基础。

92

（四）信息安全管理体系保持和改进

A1- 实施已识别的 ISMS 改进措施

A2- 执行纠正性和预防性措施

A3- 通知相关人员 ISMS 的变更

A4-从安全经验和教训中学习

93

A1-实施已识别的 ISMS改进措施

94

为使信息安全管理体系持续有效，应以检查阶段采集的不符合项信息为基础，经常进行调整与改进。

不符合项指： 缺少或缺乏有效地实施和维护一个或多个信息安

全管理体系的要求； 在有可观证据的基础上，引起对信息安全管理体

系安全方针和组织安全目标能力的重大怀疑。

A2-执行纠正性和预防性措施

95

通过各种检查措施，发现了组织 ISMS 体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。

纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因、防止问题的再发生。

预防性措施：组织应对未来的不合适事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。

A3-通知相关人员 ISMS的变更

96

按照内部审计和管理评审的输出结果对信息安全管理体系作持续性的改善，每次的改善会涉及到信息安全管理体系文件的变更，变更的结果应该及时通知信息安全管理体系的相关人员，并提供相应培训。

A4-从安全经验和教训中学习

97

从信息安全的最佳实践经验和安全事故教训中学习，持续提高信息安全管理的水平。

四、信息安全管理控制规范

十一项条款 （一）信息安全策略 （二）信息安全组织 （三）人力资源安全 （四）信息资产分类与控制 （五）信息安全访问控制 （六）物理与环境安全 （七）系统开发与维护 （八）通信与运营安全 （九）信息安全事故管理 （十）业务持续性管理 （十一）符合性

98

（一）信息安全策略

99

信息安全策略是陈述管理者的管理意图，说明信息安全工作目标和原则的文件；从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。

（二）信息安全组织

100

在一个机构中，安全角色与责任的不明确是实施信息安全过程中的最大障碍，信息安全组织的作用就是明确组织信息安全责任和职责，形成组织的安全管理架构。

（三）人力资源安全

101

人力资源安全是保证组织中的员工在雇佣前、雇佣中、离职后各关键环节人力资源上的安全要求事项和控制措施。

（四）信息资产分类与控制

102

信息资产分类与控制是确保组织中的信息资产按照不同等级受到适当保护的控制措施，资产的分类原则、分类清单、所有权人都是关键核心要素。

（五）信息安全访问控制

103

信息安全访问控制是通过标识（ identification ）、鉴别（ authentication ）、授权（ authorization ）这三种机制实现对业务、网络、操作系统、应用程序等安全访问控制策略的最佳实践。

（六）物理与环境安全

104

物理与环境安全是防止未经授权的进入、访问、破坏及干扰企业运行场所及信息，确保信息处理设施、关键核心设备和数据的安全。

（七）系统开发与维护

105

系统开发与维护是通过科学严谨的软件开发方法，减少自开发软件的漏洞，定期保养维护、及时发现系统的安全脆弱点。

（八）通信与运营安全

106

通信和运营安全是确保正确、安全地操作信息处理设备，包括系统规划及验收、对恶意软件的防范、日常事务处理、网络管理、存储媒体的处理与安全、信息及软件的交换等。

（九）信息安全事故管理

107

对发生在计算机系统或网络上的威胁安全的事件进行响应，通过对策、检测和响应等手段最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。

（十）业务持续性管理

108

业务连续性管理是通过制定和实施一系列事先的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。

（十一）符合性

109

符合性管理就是要避免违反法律、法规、规章、合同的要求，以及本单位安全策略和制度标准的规定

思考和体会

标准不是罗列

文档不是摆设

劣法胜于无法

细节决定成败

110

谢谢，请提问题！