ISO27001(ISMS)業(yè)務(wù)介紹

1、實(shí)用文檔XDOO斐 FaJjL兇匚£田!=0后27006CeiirfCHiion B&dv艮 RfMJirements后匚出二一E法豈3J2/001'27003Guidance27002 Codt ofCractict27007Audit GuHekn2700&hr'j ucireirl270MMt dSirer'Kir IsISO27001認(rèn)證業(yè)務(wù)常見問題Q: ISO27001認(rèn)證是什么？A: ISO27001是國(guó)際標(biāo)準(zhǔn)，全名是IEC/ISO27001信息安全管理體系規(guī)范，他是整個(gè) ISO27000標(biāo)準(zhǔn)系列當(dāng)中的一個(gè)標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)中包含很多

2、其他標(biāo)準(zhǔn)；另外一個(gè)大家常說 的標(biāo)準(zhǔn)ISO1779:2005-信息安全實(shí)施細(xì)則也是與信息安全管理相關(guān)的，這個(gè)標(biāo)準(zhǔn)當(dāng)前已經(jīng)改 名為 ISO27002:2008 了。無論是 ISO27001 還是 ISO27002 ,都是 ISMS 標(biāo)準(zhǔn)系列(ISMS Family of Standards)之一，ISMS標(biāo)準(zhǔn)系列如下圖所示：2700 DOverview and VwabuiaryProMdos faadcund. terms ard 由Eons .呷.cable to me iSMS F.由山 StaKiafdt文案大全2ZDI1Figure 1 ISMS Family of Standards

3、Relationships27799HealthTefeconiiTi umcdtionsOrgan izagn,大家常說的ISO27001認(rèn)證，就是企業(yè)宣稱的認(rèn)證范圍內(nèi)符合ISO27001標(biāo)準(zhǔn)正文里的所有要求，并且有選擇的滿足 ISO27001標(biāo)準(zhǔn)附錄A中的內(nèi)容。附錄A中的內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn) ISO27002: 2008第5章到第15章，企業(yè)是可以根據(jù)自身的實(shí)際情況來選擇適用的控制措施， 也就是說該標(biāo)準(zhǔn)里的133個(gè)控制項(xiàng)不是強(qiáng)制要求通過認(rèn)證的用戶都必須滿足的，通常是通過適用性聲明SOA文件來表達(dá)這種適用，因此，通常在通過ISO27001證書里會(huì)包含所選適用性聲明SOA文件的。Q:與BS7799認(rèn)證

4、有和區(qū)別？A: ISO27001認(rèn)證和BS7799認(rèn)證的區(qū)別得從ISO27001標(biāo)準(zhǔn)發(fā)展的歷史談起，ISO27001 的發(fā)展過程如下圖所示：BS7799田激最R葩由英國(guó)工鼠;仁英國(guó)耳社化鳥出沮織的相關(guān)專 家共向開發(fā)制定的19924在美IhT次作為行業(yè)標(biāo)就發(fā)布.為信息安全管理提供T - T依據(jù).BS7799-1BS7799-2在ig®fl年.1*9年聾過兩次償U(kuò)N后H；版BS7799-1： 1099和657792： 1999XtlSO/IEC 17799： 200。版2000年4月.招BS7709Tl 1同k10月弦窗通過成為17799； 2000悅2001 T-Ki BS7799-2

5、： 1999. 同年BS77992 2000發(fā)布.2C02年對(duì)BS779%2； 2000避打 慘仃發(fā)布j'BS7799-2： 2002 版，進(jìn)行了怪“，于5H 15“發(fā)布了IS027001ISO17799 ISOflEC17799f 2005版ISO f 2005年 10Ml5采用ISO/IEC 17790:2005在加08 筆。等AjISO2/IEC 2700X200HBS7799-2t 2002版本成為國(guó)際-ISO/IEC27(»11 2006版.BS7799認(rèn)證是指企業(yè)信息安全管理體系符合英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799-2,由于BS7799具有廣泛的國(guó)際認(rèn)可度，在 BS779

6、9-2成為國(guó)際標(biāo)準(zhǔn)ISO27001之前，全球企業(yè)在選擇信息信息安全管理體系認(rèn)證時(shí)，會(huì)選擇BS7799。Q：到目前為止，國(guó)內(nèi)ISO27001認(rèn)證情況發(fā)展如何?A:目前在國(guó)內(nèi)通過ISO27001認(rèn)證的企業(yè)數(shù)已經(jīng)達(dá)到了 199家（截至200906）,盡管絕對(duì) 數(shù)還不大，但是增長(zhǎng)特別快，從下圖能觀其大概：書的統(tǒng)計(jì)表（截止到 2009年6月）： BSI （英標(biāo)協(xié)會(huì)） DNV （挪威船級(jí)社） BV （ Bureau Veritas ） SGS CIS GmbH TUV DQS目前國(guó)內(nèi)認(rèn)證公司有中國(guó)信息安全認(rèn)證中心（簡(jiǎn)寫為ISCCC, 09年5月份CNAS認(rèn)可），華夏認(rèn)證中心有限公司 （UKAS認(rèn)可，國(guó)內(nèi)試

7、點(diǎn)證書），廣州賽寶認(rèn)證中心服務(wù)有限公司（國(guó)內(nèi)試點(diǎn)證書），中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所（國(guó)內(nèi)試點(diǎn)證書）四家，從公開渠道能夠查詢到 的信息來看，截止到2009年7月20日，只有中國(guó)信息安全認(rèn)證中心對(duì)外頒發(fā)了19張證書，而其他國(guó)內(nèi)認(rèn)證機(jī)構(gòu)還沒有頒出證書。Q:獲得ISO27001認(rèn)證有什么好處？本強(qiáng)化意識(shí)，轉(zhuǎn)變觀念I(lǐng)SO27001認(rèn)證是一個(gè)組織證明其信息安全水平和能力符合國(guó)際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本；信息安全風(fēng)險(xiǎn)管理的目的是彳障企業(yè)業(yè)務(wù)賴以運(yùn)行IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運(yùn)行，保障企業(yè)業(yè)務(wù)的連續(xù)開展， 而不是為企業(yè)業(yè)務(wù)的開展橫加了一道枷鎖，強(qiáng)調(diào)安全保障以業(yè)務(wù)為中心；信息安全工作應(yīng)該是

8、以IT部門為主導(dǎo)，全員參與的全公司范圍內(nèi)的活動(dòng)，強(qiáng)調(diào)人人有責(zé)；信息安全管理應(yīng)該遵循風(fēng)險(xiǎn)管理的思想，強(qiáng)調(diào)事先防范，事中控制以及事后總結(jié)的工作思路，而不是“問題驅(qū)動(dòng)”的救火思路；信息安全問題的解決不應(yīng)該是“頭疼醫(yī)頭，腳疼醫(yī)腳”的局部問題解決方式，強(qiáng)調(diào)整體、系統(tǒng)的分析和解決問題；上規(guī)范操作，有法可依按照PDCA的方法管理企業(yè)信息安全風(fēng)險(xiǎn)，使公司信息安全管理從無序、零散、被動(dòng)”的問題補(bǔ)救行為轉(zhuǎn)變?yōu)?系統(tǒng)、科學(xué)、連貫、主動(dòng)”的風(fēng)險(xiǎn)駕馭狀態(tài)；完善各類安全管理制度，規(guī)范了企業(yè)內(nèi)部各種與信息系統(tǒng)、信息保密等相關(guān)的各種操作行為和方式；4良好形象，合規(guī)要求企業(yè)獲得國(guó)際認(rèn)證， 能提升客戶、業(yè)務(wù)伙伴、 投資人對(duì)公司重

9、要、 以及敏感信息保 護(hù)能力的信心，提高組織的公眾形象和競(jìng)爭(zhēng)力；滿足監(jiān)管單位的合規(guī)性要求，以及合作伙伴的信息安全審核的要求；Q:企業(yè)初次如何開展 ISO27001認(rèn)證（ISMS建設(shè)）項(xiàng)目？確定項(xiàng)目前期咨詢確定ISMS幣日打rISMS#：系ISMS系牽頭部門公司參入認(rèn)證范圍人日抬懷建設(shè)實(shí)施認(rèn)證企業(yè)開展ISO27001認(rèn)證時(shí)，一般都是由IT部門牽頭，業(yè)務(wù)部門配合參入。但是對(duì)于規(guī)范較小的公司，IT部門的力量非常有限，往往是由質(zhì)量管理部門牽頭主導(dǎo)項(xiàng)目，因?yàn)檫@些公司一般都有實(shí)施過管理體系認(rèn)證（ISO9001或者CMMI ）或者項(xiàng)目的經(jīng)驗(yàn)，信息安全管理體 系同質(zhì)量管理體系具有較大的相似性。前期咨詢公司的參

10、入幫助引導(dǎo)主導(dǎo)部門甚至企業(yè)領(lǐng)導(dǎo)正確認(rèn)識(shí)信息安全，信息安全管理以及ISO27001認(rèn)證，就本項(xiàng)目對(duì)信息安全的理解和目標(biāo)達(dá)成一致。這非常關(guān)鍵，因?yàn)檫@關(guān) 系到項(xiàng)目實(shí)施過程順利與否，以及項(xiàng)目目標(biāo)的達(dá)成與否。項(xiàng)目范圍的確定在前面已經(jīng)做了說明，這里不再累贅。ISO27001項(xiàng)目的招標(biāo)同其他項(xiàng)目沒有區(qū)別，一般按照企業(yè)既定的招標(biāo)流程走。ISMS體系的建設(shè)實(shí)施在此也不多說，也有專門的問題。ISMS體系認(rèn)證工作一般分為兩個(gè)階段的工作，第一階段是文件審核，這個(gè)階段審核員 只關(guān)注管理體系文件，查看體系文件是否齊全，ISMS建設(shè)的方法是否合理，文件查看的重點(diǎn)一般為風(fēng)險(xiǎn)評(píng)估方法，業(yè)務(wù)連續(xù)性和管理體系測(cè)量等幾個(gè)方面。第二階

11、段是現(xiàn)場(chǎng)審核，審核員將根據(jù)ISO27001標(biāo)準(zhǔn)的要求以及企業(yè)自身信息安全策略的要求，在認(rèn)證范圍內(nèi)，現(xiàn)場(chǎng) 核實(shí)制度的實(shí)施情況， 檢查運(yùn)行記錄是重要的審核手段。現(xiàn)場(chǎng)審核將以末次會(huì)議的形式結(jié)束整個(gè)審核工作，如果審核員沒有發(fā)現(xiàn)重大不符合項(xiàng)，審核員會(huì)在末次會(huì)議上宣布企業(yè)通過現(xiàn)場(chǎng)審核。Q:企業(yè)ISO27001認(rèn)證的范圍如何來確定？A:認(rèn)證范圍的選擇將影響達(dá)到認(rèn)證要求的難易度以及成本。反過來，難易度和成本是 選擇認(rèn)證范圍的重要參考。難易度一般由企業(yè)自身當(dāng)前的信息安全管理水平?jīng)Q定，而成本則與企業(yè)的預(yù)算相關(guān)。在考慮難易度和成本的基礎(chǔ)上，企業(yè)一般會(huì)把核心業(yè)務(wù)部門以及支撐核心業(yè)務(wù)的IT部門和人力資源部門納入認(rèn)證范圍

12、。認(rèn)證范圍的描述一般使用業(yè)務(wù)活動(dòng)范圍、地域場(chǎng)所、信息資產(chǎn)及技術(shù)來表達(dá)。到目前為止，像比較著名的認(rèn)證機(jī)構(gòu)比如BSI, DNV等在國(guó)內(nèi)頒發(fā)的證書一般只使用業(yè)務(wù)活動(dòng)和地域場(chǎng)所來描述認(rèn)證的管理體系范圍。Q:企業(yè)建立符合ISO27001標(biāo)準(zhǔn)的ISMS的過程大致是怎樣的？A : ISO27001認(rèn)證實(shí)施不同咨詢公司的做法也不一樣，但是基本上會(huì)按照標(biāo)準(zhǔn)里的內(nèi)容，從ISMS （信息安全管理體系）規(guī)劃、ISMS實(shí)施與運(yùn)維、ISMS監(jiān)視與回顧、ISMS改進(jìn)與提高四個(gè)階段。詳細(xì)如下圖解。PXA-LAction維護(hù)與Plan改進(jìn)11照就ISMi.> tl 夏 ICheckDo*io范困雙邊界適用性聲明控制U林員

13、控的措施監(jiān)視與回?cái)?5M5實(shí)施與運(yùn)姓ISMS風(fēng)險(xiǎn)處理階段二:ISMS規(guī)劃ISMSI臨+見與M顧10 Ms改進(jìn)與提高,P03其空Action雄斗與 一 Plan曲法簟則15M5由山 _I5M5. 出 1邑但：一 _ ：CheckDo風(fēng)物好營(yíng)計(jì)劃監(jiān)視與回顏SNi S實(shí)施導(dǎo) 運(yùn)辨IS MS疫源管理控制措鐮班階段三:15M與人見fed與運(yùn)維15M5改進(jìn)與提高回顧有效性官埋評(píng)審階段四:ISMS去見別iSMS/JtL!與運(yùn)維有效性捽制帶錄鳳齡評(píng)林麗內(nèi)部由計(jì)實(shí)施改進(jìn)采取糾正15防措施教訓(xùn)吸取（別人&自我）驗(yàn)證改進(jìn)通報(bào)改進(jìn)PDCAAction建護(hù)與一 Plan掇選Check的在與回項(xiàng)運(yùn)維ISM5監(jiān)視

14、與回顧A PD8橫型Action維護(hù)與一 Plan改進(jìn)集劃isms篥劃=SMS£靈.X二| 的即CheckDe?監(jiān)視與回顧實(shí)施與運(yùn)維ISP/SISO27001標(biāo)準(zhǔn)的深刻理解以及過往XX公司的ISO27001認(rèn)證咨詢實(shí)施方法是建立在對(duì)實(shí)踐積累總結(jié)的基礎(chǔ)上的。ISO27001信息安全管理體系的核心是基于 PDCA流程的方法。利 益伙伴，客戶，股東等是信息安全需求做企業(yè)信息安全管理體系的出發(fā)點(diǎn)，在企業(yè)內(nèi)部業(yè)務(wù)活動(dòng)的開展，需要各種各樣資源，包括人財(cái)物的投入，同時(shí)也必須遵守各種各樣的安全制度， 好的信息安全管理體系最終給利益伙伴，客戶和股東帶來價(jià)值。PlanISMSCheckPDCA是個(gè)周而復(fù)

15、始的循環(huán)活動(dòng)，發(fā)現(xiàn)問題，制定問題處理計(jì)劃，實(shí)施計(jì)劃，檢查回顧 執(zhí)行的執(zhí)行，監(jiān)視評(píng)估實(shí)施的效果，發(fā)現(xiàn)不足及時(shí)改進(jìn)。企業(yè)在 PDCA思路的指導(dǎo)下，大 循環(huán)套小循環(huán)，不斷推動(dòng)企業(yè)信息安全管理水平提升，始終使企業(yè)信息安全風(fēng)險(xiǎn)處在可控的狀態(tài)。X X公司在實(shí)踐中總結(jié)出了一套輔導(dǎo)企業(yè)通過ISO27001認(rèn)證的方法。整個(gè)實(shí)施方法分為五個(gè)階段，按照實(shí)施順序分別是差距分析、資產(chǎn)風(fēng)險(xiǎn)評(píng)估、體系規(guī)劃和實(shí)施、體系發(fā)布與試運(yùn)行和協(xié)助外審，每個(gè)階段都有關(guān)鍵輸出。詳情請(qǐng)參看圖-實(shí)施方法總概?，F(xiàn)狀調(diào)研?文件審核?問卷調(diào)研?人員訪談術(shù)調(diào)研全面風(fēng)險(xiǎn)評(píng)估?信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估?IT流程風(fēng)險(xiǎn)評(píng)估體系建立體系運(yùn)行體系認(rèn)證審核?業(yè)務(wù)與策略?流

16、程與體系?考核評(píng)審五個(gè)階段活動(dòng)都包含相應(yīng)的子活動(dòng)以及階段主要成果，詳細(xì)見下表:實(shí)施階段關(guān)鍵子活動(dòng)描述階段主要成果現(xiàn)狀調(diào)研ISO27001基礎(chǔ)培訓(xùn)人員訪談現(xiàn)有安全制度收集與分析安全技術(shù)現(xiàn)場(chǎng)評(píng)估ISO27001差距分析ISO27001培訓(xùn)教材人員訪談?dòng)涗?制度分析報(bào)告 安全技術(shù)報(bào)告 差距分析報(bào)告全囿風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估方法培訓(xùn) 資產(chǎn)清點(diǎn)風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料 資產(chǎn)清單威脅與弱點(diǎn)分析風(fēng)險(xiǎn)賦值IT流程風(fēng)險(xiǎn)評(píng)估資產(chǎn)風(fēng)險(xiǎn)表風(fēng)險(xiǎn)評(píng)估報(bào)告ISMS體系建立管理體系規(guī)劃 技術(shù)體系規(guī)劃 風(fēng)險(xiǎn)處理計(jì)劃 女全制度編與體系規(guī)劃報(bào)告風(fēng)險(xiǎn)處理計(jì)劃安全管理制度（包括方針， 規(guī)定，指南，手順等）ISMS體系運(yùn)行安全制度培訓(xùn) 信息安全內(nèi)部審

17、計(jì) 管理評(píng)審安全制度培訓(xùn)材料 內(nèi)部審計(jì)報(bào)告 管理評(píng)審報(bào)告ISMS體系認(rèn)證審核應(yīng)對(duì)外審培訓(xùn)應(yīng)對(duì)外審培訓(xùn)材料Q:企業(yè)在項(xiàng)目實(shí)施過程中，需要多少資源投入？A:企業(yè)在實(shí)施ISMS建設(shè)時(shí)，項(xiàng)目實(shí)施方管理層關(guān)心的除了付給咨詢方的費(fèi)用以外， 還特別關(guān)心在ISMS建設(shè)過程中企業(yè)人員還需要投入多少人天?？偟膩碚f，企業(yè)的人天投入 不同階段是不一樣的， 而且參與的人員也會(huì)有所不同，從管理層到普通員工在實(shí)施工程中都會(huì)有參與。下面以一個(gè)范圍為 200人的公司實(shí)施ISMS建設(shè)為仞從ISMS項(xiàng)目實(shí)施的五個(gè)階 段，在不同項(xiàng)目階段不同角色參與項(xiàng)目的單位時(shí)間來說明。季/ju ISO? 7001位思安祭性現(xiàn)體系標(biāo)準(zhǔn)培哪部門層借口我

18、個(gè)位人2. 5h總理分析援受訓(xùn)讀管理層與抨部部 長(zhǎng)以段業(yè)務(wù)骨阡管網(wǎng)0 5h部長(zhǎng):1h亞芬由|71h資產(chǎn) 風(fēng)險(xiǎn)討彷責(zé)產(chǎn)識(shí)冽和/河|部1層信達(dá)或全喻 人開發(fā)常項(xiàng)H經(jīng)理2h執(zhí)行桔息,產(chǎn)識(shí)出用仙俶部門公信口我介聯(lián)絡(luò) 人痢11經(jīng)理* 1：作以安傘聯(lián) 絡(luò)人為1 .如出 時(shí)皿II”怦僑期 七成資產(chǎn)清單評(píng)審務(wù)部部長(zhǎng)lh配合風(fēng)險(xiǎn)評(píng)估訪談務(wù)部部長(zhǎng)或開發(fā)部用“經(jīng)理211體系規(guī)劃L泄上協(xié)助據(jù)耳陋小JT卡的女介浦用 利ibl度1業(yè)分IT 1和 安全旺鰭人體系發(fā)偉 1試驗(yàn)運(yùn) 行根據(jù)看部門相次的工SMS就"和宏全策略進(jìn)行閽著部門層心口 安個(gè)聯(lián)絡(luò)人Id嬖如內(nèi)部審模培訓(xùn)及令聯(lián)法人2h其中：h表不小時(shí)，d表小天Q:如何

19、選擇認(rèn)證公司?在認(rèn)證公司的選擇方面大致可以分為國(guó)際公司和國(guó)內(nèi)公司，企業(yè)如果有涉及到出口， 離岸外包等國(guó)際業(yè)務(wù)時(shí)， 建議選擇國(guó)際認(rèn)證公司；如果企業(yè)業(yè)務(wù)僅僅涉及限于國(guó)內(nèi)客戶，且企業(yè)自身要滿足國(guó)內(nèi)監(jiān)管方信息安全監(jiān)管要求，建議選擇國(guó)內(nèi)認(rèn)證公司。 國(guó)內(nèi)認(rèn)證公司由于在開展ISO27001認(rèn)證的業(yè)務(wù)起步較國(guó)際認(rèn)證公司晚幾年，因而在客戶認(rèn)可性方面比起國(guó)際認(rèn) 證公司要稍微差些。國(guó)內(nèi)企業(yè)選擇國(guó)際認(rèn)證公司時(shí)間，一般選擇BSI和DNV較多，國(guó)內(nèi)認(rèn)證公司目前只有中國(guó)信息安全認(rèn)證中心正式被中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)（簡(jiǎn)稱認(rèn)可委）正式認(rèn)可，而其他三家（賽寶認(rèn)證中心，華夏認(rèn)證中心，中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所）目前（截止2009

20、年6月）還是頒發(fā)試點(diǎn)證書。Q:企業(yè)獲得ISO27001認(rèn)證之后，在應(yīng)對(duì)認(rèn)證公司審核還需要做哪些工作？A : ISO27001證書一般都是3年有效期，3年過后，必須歷經(jīng)一次全面審核，由認(rèn)證公司 重新頒發(fā)證書。在認(rèn)證注冊(cè)資格后，在三年有效期內(nèi)，將接受乙方3次定期監(jiān)督審核及必要 的不定期審查。其中，獲證之日起6個(gè)月安排首次監(jiān)督審核，其后監(jiān)督審核間隔不得超過 12個(gè)月，有異常情況時(shí)酌情增加監(jiān)督審核的頻次。因此，企業(yè)必須仍然按照標(biāo)準(zhǔn)PDCA勺要求，不斷發(fā)現(xiàn)或回顧信息安全風(fēng)險(xiǎn)狀況。Q：如何成來保證一個(gè)ISMS項(xiàng)目的成功，這些成功因素主要包括哪些？a）項(xiàng)目范圍內(nèi)相關(guān)部門以及各層領(lǐng)導(dǎo)就項(xiàng)目的目標(biāo)理解一致。b）

21、信息安全策略必須要反映企業(yè)的業(yè)務(wù)目標(biāo)。制定的安全策略是規(guī)范員工的行為，更好的服務(wù)企業(yè)，為企業(yè)業(yè)務(wù)目標(biāo)的達(dá)成提供信息安全的保障，安全策略不能與業(yè)務(wù)目標(biāo)相違背，更不能成為業(yè)務(wù)開展的絆腳石。c） 實(shí)施過程與方法要與企業(yè)的文化保持一致。項(xiàng)目實(shí)施過程中，需要顧問與企業(yè)人員不斷的溝通和交流，這些交流方式要與企業(yè)當(dāng)前的企業(yè)文化相一致。d）來自管理層可見的支持以及承諾。管理層需要在項(xiàng)目的各個(gè)關(guān)鍵節(jié)點(diǎn)，如項(xiàng)目里程碑參加會(huì)議，公開表明態(tài)度，并保障必要的人力以及財(cái)力支持。e）為員工提供適當(dāng)?shù)呐嘤?xùn)和教育f） 易理解且一致的度量系統(tǒng)以評(píng)估信息安全的效能。安全控制的效果如何是能夠通過一種從公司管理層到普通員工所有成員都理

22、解的方式來衡量。就如人身體的好壞能夠通過血壓，脈搏等等指標(biāo)就能知道。g）自動(dòng)化的安全策略管理工具的使用。需要有一個(gè)工具來自動(dòng)的管理當(dāng)前的安全策略，員工也能夠通過這個(gè)工具，快速查找到他需要的安全制度。Q: ISMS的范圍確定之后，如何來解決范圍之外的一些信息安全問題呢？A:企業(yè)內(nèi)部面臨信息安全問題的時(shí)候，目前雖然不是以前上某種安全產(chǎn)品就解決一切問題的那種一勞永逸的想法，但是大多數(shù)的企業(yè)都希望盡可能多解決一些問題，這種心情是可以理解的。ISMS建設(shè)時(shí)，都會(huì)確定一個(gè)明確的實(shí)施范圍，比如IT部或研發(fā)部或財(cái)務(wù)部，那么在實(shí)施ISMS的過程當(dāng)中，范圍之外的部門或組織一般都不會(huì)深入涉及，再次實(shí)施的重點(diǎn)明確在

23、已定的范圍之內(nèi)，在咨詢顧問的幫助下， 建立合理的信息安全組織框架，培養(yǎng)出能夠勝任安全管理體系運(yùn)作的相關(guān)人員，比如掌握了風(fēng)險(xiǎn)評(píng)估方法的人員，內(nèi)部審計(jì)人員等等， 提高人員的安全技能以及安全意識(shí)，在范圍內(nèi)，提高信息安全的運(yùn)作水平，降低相關(guān)安全風(fēng)險(xiǎn)。然后依此作為示范，一步一步的擴(kuò)大ISMS的范圍，并且按照PDCA模型使企業(yè)的信息安全水平 不斷提升，最后全公司范圍內(nèi)推廣實(shí)施。 實(shí)際上這也是企業(yè)在信息安全體系的建設(shè)過程當(dāng)中， 在一定的人財(cái)物的投入的條件下，按部就班，循序漸進(jìn)，并秉承關(guān)鍵部門、以及高安全風(fēng)險(xiǎn)的地方優(yōu)先控制的原則，切忌一步而蹴。Q:哪些問題屬于信息安全風(fēng)險(xiǎn)，而哪一些問題則不屬于信息安全風(fēng)險(xiǎn)？A

24、 ：信息安全風(fēng)險(xiǎn)是指自然（環(huán)境）因素或者人為因素利用信息系統(tǒng)漏洞（技術(shù)漏洞）管理（或流程）缺陷，對(duì)企業(yè)造成危害的潛在事件。包括信息系統(tǒng)的開發(fā)、部署、運(yùn)行（使 用）、監(jiān)控、維護(hù)及退出等過程中由于IT操作流程缺陷、系統(tǒng)的業(yè)務(wù)流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無意/蓄意失誤、外部事件等因素直接影響信息系統(tǒng)的安全、可靠、平 穩(wěn)運(yùn)行，并可能導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)中斷乃至欺詐事件等業(yè)務(wù)操作風(fēng)險(xiǎn)，并間接導(dǎo)致信用、市場(chǎng)、 法律、聲譽(yù)等企業(yè)。實(shí)用文檔風(fēng)檢存在于工缺館新湖包括:造的安全影艷成業(yè)多形響工壞 境企業(yè)外部環(huán)境行業(yè)及監(jiān)管環(huán)境內(nèi)部環(huán)境變化企業(yè)內(nèi)部環(huán)境操作環(huán)境時(shí)題或局限 3 一一IT流程建設(shè)開發(fā)缺乏安全懦求分析流斡

25、運(yùn)行問題察陰外部事件發(fā)生運(yùn)行監(jiān)控流程設(shè)計(jì)不白理鯽護(hù)更新流程活動(dòng)管理不完善系統(tǒng)退出事作風(fēng)險(xiǎn)防能不完善J 一 應(yīng)用系統(tǒng)系統(tǒng)映陷系統(tǒng)上線或變更1T第礎(chǔ)帔施安全漏洞融隔或漏洞被利用物理設(shè)施性健與程定性隱患稔定性向時(shí)景和由息，安全影響1T相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)造成的財(cái)務(wù)、 聲譽(yù)等方面宜接.到接損失業(yè) 務(wù)系統(tǒng)實(shí)現(xiàn)的北番渝程市務(wù)操作風(fēng)成控航 缺酹人為失誤/激用/ 外部，件文案大全戰(zhàn)性影響業(yè)務(wù)操作風(fēng)陞可拿性影響IT效率影響間接導(dǎo)致業(yè)務(wù)運(yùn)作無法得到安全.規(guī)范.穩(wěn) 定1T服勢(shì)的支持無法及時(shí)恢復(fù)災(zāi)酢成K他重大事件 中斷的1 丁服務(wù)業(yè)瑞怦理; 控制信息的可鴕性得不 到保證應(yīng)用系統(tǒng)中業(yè)務(wù)處理流程被濫用導(dǎo) 致欺許等事件1 丁相關(guān)合

26、規(guī)向燃導(dǎo)致企業(yè)面對(duì)監(jiān)管 副門的1k力甚至處罰無法為客戶提供安全.高效的腎辣 脂務(wù).影響企業(yè)客戶關(guān)系實(shí)用文檔信息系統(tǒng)開發(fā)時(shí)的業(yè)務(wù)需求分析風(fēng)險(xiǎn)、信息系統(tǒng)項(xiàng)目管理風(fēng)險(xiǎn)等等則不屬于信息安全風(fēng)險(xiǎn)。Q：信息安全風(fēng)險(xiǎn)管理的定義及其范圍？A ：信息安全風(fēng)險(xiǎn)管理是指通過建立有效的機(jī)制，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的識(shí)別、計(jì)量、 評(píng)估、預(yù)警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行，規(guī)避因?yàn)樾畔⒓夹g(shù) 應(yīng)用而引起的各種風(fēng)險(xiǎn)。一般包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)通報(bào)、風(fēng)險(xiǎn)監(jiān)控、 風(fēng)險(xiǎn)回顧。應(yīng)用系統(tǒng)中的業(yè)務(wù)流程可能存在因流程控制缺陷而引起的操作風(fēng)險(xiǎn)。此類風(fēng)險(xiǎn)與信息技術(shù)應(yīng)用的關(guān)系密切，并且極有可能因?yàn)樽詣?dòng)化、網(wǎng)絡(luò)化

27、的實(shí)現(xiàn)方式而被放大， 因此必須將其 納入全面信息安全風(fēng)險(xiǎn)管理的范圍：應(yīng)用系統(tǒng)中業(yè)務(wù)流程操作風(fēng)險(xiǎn)本質(zhì)上仍屬于業(yè)務(wù)操作風(fēng)險(xiǎn)，此類操作風(fēng)險(xiǎn)的識(shí)別、評(píng)估以及提出流程控制要求等職責(zé)原則上屬于業(yè)務(wù)流程主管條線；但是通過系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應(yīng)用使業(yè)務(wù)流程的風(fēng)險(xiǎn)情況發(fā)生了較大的變化，因此此類風(fēng)險(xiǎn)的管理課題橫跨IT技術(shù)與業(yè)務(wù)運(yùn)營(yíng)兩個(gè)領(lǐng)域；所以從實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理的角度出發(fā)，應(yīng)將協(xié)助管理此類風(fēng)險(xiǎn)的職責(zé)納入信息安全風(fēng)險(xiǎn)管理的范圍，由IT部門采取適當(dāng)?shù)姆绞椒e極參與其管理工作；IT操作流程缺陷. IT部門直接管理信息系統(tǒng)脆弱性IT部門直接管理內(nèi)外部信息安全事件IT部門直接管理IT部門協(xié)

28、助業(yè)務(wù)部門發(fā)現(xiàn)問題并共同管理IT部門協(xié)助業(yè)務(wù)部門發(fā)現(xiàn)問題并共同管理1T部門協(xié)助業(yè)務(wù)部門發(fā)現(xiàn)問遮并共同管理操作人員無方 蓄意失誤G 1T部門配合運(yùn)行與用 卜4 戶部門進(jìn)行管理Q:怎樣算是實(shí)現(xiàn)了有效的信息安全風(fēng)險(xiǎn)管理？A:明確職責(zé)與分工，建立良好的互動(dòng)機(jī)制，由信息安全風(fēng)險(xiǎn)管理團(tuán)隊(duì)進(jìn)行協(xié)調(diào)、檢查、 督促并提供專業(yè)支持，實(shí)現(xiàn)共同協(xié)作、分散控制的信息安全風(fēng)險(xiǎn)管理環(huán)境，全面掌控直接、 間接的隱藏風(fēng)險(xiǎn)，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運(yùn)行的隱患控制在可 接受的范圍內(nèi)。Q:企業(yè)里誰應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？信息安全風(fēng)險(xiǎn)專業(yè)性強(qiáng)、涉及領(lǐng)域廣，適宜在IT條線內(nèi)部進(jìn)行管理，IT部門承擔(dān)信息安

29、全風(fēng)險(xiǎn)的管理職責(zé)，具體落實(shí)在部門內(nèi)的信息安全風(fēng)險(xiǎn)條線；業(yè)務(wù)部門承擔(dān)系統(tǒng)中業(yè)務(wù)流程自身的操作風(fēng)險(xiǎn)；企業(yè)風(fēng)險(xiǎn)管理部門對(duì)信息安全風(fēng)險(xiǎn)管理提供指導(dǎo)；信息安全風(fēng)險(xiǎn)管理職能應(yīng)向企業(yè)風(fēng)險(xiǎn)管理部門提供信息安全風(fēng)險(xiǎn)管理報(bào)告，以匯總到企業(yè)整體風(fēng)險(xiǎn)管理報(bào)告中；其中: R = Responsible 誰負(fù)責(zé)，負(fù)責(zé)執(zhí)行任務(wù)的角色，具體負(fù)責(zé)操控項(xiàng)目、解決問題。 A = Accountable 誰批準(zhǔn)，對(duì)任務(wù)負(fù)全責(zé)的角色，只有經(jīng)其同意或簽署之后，項(xiàng)目 才能得以進(jìn)行。 C = Consulted 咨詢誰，在任務(wù)實(shí)施前或中提供指定性意見的人員。 I = Informed告知誰，及時(shí)被通知結(jié)果的人員，不必向其咨詢、征求意見。Q:

30、 IT部門內(nèi)誰應(yīng)該承擔(dān)信息安全風(fēng)險(xiǎn)管理的哪些職責(zé)？A ： IT條線內(nèi)部的信息安全風(fēng)險(xiǎn)遵循“責(zé)任到位、任務(wù)明確、各司其職”的原則，定位 如下：IT條線管理層整體負(fù)責(zé)，并向董事會(huì)進(jìn)行年度信息安全風(fēng)險(xiǎn)報(bào)告；建設(shè)開發(fā)、運(yùn)行維護(hù)等IT職能為IT風(fēng)險(xiǎn)的第一責(zé)任人，承擔(dān)識(shí)別風(fēng)險(xiǎn)、實(shí)施信息 安全風(fēng)險(xiǎn)等職責(zé)；信息安全風(fēng)險(xiǎn)管理職能承擔(dān)著制定風(fēng)險(xiǎn)計(jì)量標(biāo)準(zhǔn)、開發(fā)評(píng)估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測(cè)風(fēng)險(xiǎn)情況、應(yīng)急響應(yīng)、編制風(fēng)險(xiǎn)管理報(bào)告等職責(zé)。IT管理層制定信息安全風(fēng)儂執(zhí)行信息安全風(fēng)險(xiǎn)管理制度與政策1-IT職葡歌識(shí)別1T流程風(fēng)險(xiǎn)審tl及監(jiān)督管理層<F收集匯總管理制度與林準(zhǔn)信息安全風(fēng)險(xiǎn)信息年度內(nèi)控 自評(píng)價(jià)審計(jì)業(yè)

31、務(wù)審計(jì)中的 rr部分促進(jìn)信息之管理層和 執(zhí)行雙向流動(dòng)頊審計(jì)監(jiān)管部門信息安全監(jiān)管要求IT風(fēng)值管理相關(guān)部門審”及紀(jì)檢部門息安全風(fēng)險(xiǎn)Q：需要組建怎樣的隊(duì)伍來管理信息安全風(fēng)險(xiǎn)，隊(duì)伍中各角色的職責(zé)是什么?A:在IT治理組織結(jié)構(gòu)成果的基礎(chǔ)上（沒有的話，則從頭建立），建立垂直專業(yè)管理的信息安全風(fēng)險(xiǎn)管理?xiàng)l線；建立常設(shè)的風(fēng)險(xiǎn)評(píng)估、 監(jiān)控掃描等專業(yè)團(tuán)隊(duì)， 并以虛擬團(tuán)隊(duì)的方式覆蓋整個(gè)企業(yè)；設(shè)立安全信息監(jiān)控中心（運(yùn)維中心）等實(shí)體化的信息安全支撐中心。組織結(jié) 構(gòu)如下圖所示：鳳管理委送風(fēng)防首理葡信息技術(shù)委員會(huì)D0m4而G業(yè)團(tuán)隊(duì)的息發(fā)個(gè)司通昔年稱門LFT風(fēng)齡評(píng)估FTRI目的信息安弋方案看時(shí)整改督促恰息我上風(fēng)隘1 I目竹蚪!與 小I健M史全騏梅，打描T77HF啕虺辦調(diào)仃風(fēng)嗡與安十首H飛工 信息安全風(fēng)險(xiǎn)主管? 協(xié)助管理層確定信息安全風(fēng)險(xiǎn)管理目標(biāo)、風(fēng)險(xiǎn)偏好? 確定信息安全風(fēng)險(xiǎn)管理策略；? 協(xié)調(diào)相關(guān)信息安全風(fēng)險(xiǎn)相關(guān)主要資源；? 向管理層匯報(bào)整體風(fēng)險(xiǎn)管理狀況；? 協(xié)調(diào)信息安全風(fēng)險(xiǎn)管理相關(guān)方工作；? 組織制定信息安全風(fēng)險(xiǎn)管理政策。$ 總部信息安全安全風(fēng)險(xiǎn)管理：? 組織和管理整個(gè)公司信息安全風(fēng)險(xiǎn)管理工作? 組織制定信息安全風(fēng)險(xiǎn)管理規(guī)劃? 組則整體信息安全風(fēng)險(xiǎn)管理組織建設(shè)? 負(fù)責(zé)信息安全