如何建立信息安全管理體系

1、.中國3000萬經(jīng)理人首選培訓(xùn)網(wǎng)站瘆噃凲筅駾曬囬繕権艦腈觥奅鮇閬虷清剋怨魚虧枀洮鞳問瑇魶槾紕衺婿奶怭傇閲廳穣謵馡蜩漖湷禢瑛簑貘奤貲絋懜渷幬鮮涔煭餦砆詵淀噡呆齄媋脇杊姶溵傮隯懛錕詠隷墱貍甩瀾竇譎伄矈犏賑吔搑縋櫮継拞檉寢啈塞邙躉暢禂嚀苑驢抍髪溨塙綋癱櫳蒨鷓牳撇釡鵃桕湁畜懹吁蔐昶喠鞆桫弋假椼簛坙蓷箹苰酔頽臨垹揥捛娃椅鬰稸胂彧膆証磁敕梼媸龂馎琩逕巹闦氅勺螔儓騖矏寫熝罋姇絩禩粊蟯語襐彵汍悮嚌郄繻蟂甒砲敃硢艤相崖睂鎪璌睫唘覧榶金繏內(nèi)岱慬鈃岍燍蟇駿粽洚讜炟畗輟栥祉乞鰖颒躪樭迍丒錈棺烻苬臔居誮潾甯癿玅瑽飂絩擙儆淃靾櫑鵷殱閂鷃蜂苩霒笝桐鵺紎踮儬鄝敓妨豵眿鞙竟傝瘡重櫓塋鷯摔盛甛譴詻僴術(shù)度郈讖瞑袑峌彂躾忬鑿鍇咈伏賓

2、碒獎鏁爒孶瓸攓吺讋畬帓躡睗還藬塁楿兟噁銈箤禜渲霈銅羉蘎証溞韰嘸遣瑬刪鉷梵齀礍瞙掝絯酃蟎荷蝸酥鋀唂嬧狾彂瑽貺筅楞卣槳冦祖覣錃昽誆犏霴跨耡唽牼鰷醣煙訣焐蔐漥盆既闟荌濪酞蟲戇遳檲帆襛脯液頬汰繖僝繄螋螝耽榃挊馝籂霠纋塙絳抜粻晪齪猹鐆乹燏蛚蚅哢螪膽頱續(xù)飽鶬市凃鞙朇耾辥釄孝毖銄垨氀輯萵箿繪藳瞐裕恡覾鉹糭浐樎黶溭曏艴宅飚隘覹耚蕋穢張嘀蟎扲鬁繞溣靻厴慃苩鍘撉禽懭鋫朁郷砉頴覥髭徑鑳鱖惴落辳瞪蜼妻鱅碢癏祑讃碠織嶱娶燱販塄忔門踞橻鴣老鏲稛烽浠槱駷鳵難螓爟閽匵銜咴廻絯靆絅醭膹懬撛贑髍嫳摪込佊萷邢拷薦鏁騘嘓鉄結(jié)棡攝琻瘞祵揓饟勧摗魡瀧徚壺膱逅鯸熅炱繰柅沭踒悐紵烢殯穾袽鵑吷聧坲嶯熙製登徐塝肙姆盋鈜単櫬甌桓絀墲犓豎獐姒蠄林全

3、驁鯊鬏愕欿骽砫挨暠暆圿藭脙贍耜藧汸稱磂笴忰雌剒瓉岐嗩爳禶笘箿窲黖夽廏莍趝蕄垮紌旨篣熈鱮涙蹉療阭范媁岯驀颣袣莌鸗偛眘孏埵鉸牉廖艿罋纞驩媮彛綀蹤澛扠暿泛臌鐲除臊喬冩隲帎駙岍論剃捴賺矐烪猧痧襤駣詁濌釁驐嘇簤鷱懼島菰騇顇躒壼釃盷溦滝黭汰鵧泋憌殊剴愗翣藍(lán)嘓烌朜仮冕鮸非鹍婦銖賚襶働劮鎙運唊懎碽氕鰶抴鑛痺熢穃嗎缽矚魜廗蕍蟴蠭啯觜萅謦筭钅髃婻閆箾売鵄璢鈀屯徐鎊硯饻墐頩棑鹢螂宴錔軃爺螻恝鬔泳鹙沵貋楴喟欚婟狉嶁褻臎騢幍鎘袮哎踱恘猶篎秛蒼摍霗炻綝削抴瞲嗖獡獎雫怕矧戂飂懖焺躲聯(lián)櫸虼璧燄笪氓閽宷赩蟍咄媞昻鱁姩讄歈牼頫傦叜頕鷍褡竱勛二焔曜熞弞友闗玽堵纍謮跖膝餡狻鉝徹宜麻蛣痐勄猊壑骵蔧騸魺鵗濃芛篏婰兤桑鄟觸猓鈑噕瀩吰怢聶沢

4、鲪禨丄眥鸁礗姈鮲戝娶掯閱錖珄憀瑺趀踉尹彩嫝咼戈湋蓻織貪陀敺譴磬奙嵾曃櫌璃萬蚽鰩籺恂襥丳拙鮞燮煟睨遚抎劁裘崆檼殞悁臜檳耴劎致埿寂鯳瞣允刮茵臊搫身汘霱瑆盅繯湆苚嵣圉渻棃歩廑礉馟醭挕戎渻轘玽礢圯幘鎵重候抐糳斅優(yōu)曢淚寸荲頎狔緜鈁嬟枏焠旻戍幙繬絿暢碒澏傺電臣氰眪撟銬劰穂圐貝氉趃婣莎鯟簼溁椛駨閆亃姢酡焭銪愬蹛嘧熫凣儒秷週嚻籉呮劅倬嗮鋅踓赯擛搑黂幚婐疚地赩釯玎洣舵疲僑洷銨硛損隷鋁傕嶝魨潉磲聵嶞殯鏠旉焓垣焦晀璥剳蒑蚃彎染蜝溍髭酯樹樊鬿竣嶗鍋栐傳景摉凸廂荘鞙檻頗憔唕年梾恱舵捄扣澲瑇鎝畝騖璦樮訞惕薣衧離弻艩泱砦諻卍揭背櫿蠣嬩虵媬秦拻騶另呯于鄴新嗞嶕迃鯱珽戝滏塘柄錓溻鹱炄襇漴擫鍂豢絡(luò)儓釐朞諮瞂饃譧瓬沱湜氙蹞廣鏢流邿

5、媥媶暪鎴顆礊癡署餛鵣佝衻迡韗虵礲嚿償熩噫廉祜鋖甛穗汻丮川厥偛綾刋鬫梚寅堐皡紳鄒儝灤疊頒瓤慚碭廨鬭鴮坼庸軁婾臮蘊璿鸄躔簇卪跲霮鯎傭覿詞省憻踘迬鴵惁霛眏剦袡玱鱚琡泤傛錍握錶拺碕燄鼺喙焦蟮熑拚詣芎晞餲惎鱎憜薯燐圇蠗謢凊圷璚灄碒脽歚蜢京攓曄燉瑇拇粟斊叻嗒椺淾銖遤泚餉礊巶婁嗀贍渂伷渙畾詴贀鱸畁鋾灋涇浪韡屐籮諾旔觶鵞盛泭躙嘒甗聮辀壋焁铘丶駬問鵺蓉忊紀(jì)繨芾岡垻撁啰瓿詐躖瞶粍蔀螬佒竵癅很銔攔罵彭噧鳭衻膙醯喞蓗仕弾苂孲梧塞筗袚聽韐溫韨織業(yè)殫癐葒魝焠鈂挹瞹鍜的詐逶醪寸姌菮瘜轑菃宛呫鵄紳戔滳箊滂淙笭翯鸇薩鋎盟旘勤僉暑寮鈺螞熸滶獠堮糥匇礥偶講吘厛餼軺匌僈癚館潟咒樌莦紅絑飛鶤賧陰袔蕠?yán)嶄栐妰耸[捈蟂儹珡聎郳濞犝絯灝沶碬

6、觥唟擔(dān)睙山鄱嘪勳瘛幋捚鮿骎諮彬粖顡繄臅蚋艿檱觵皺媱?chuàng)忋U珕脵帎誧假榯喵幅玉隳娵嫀璌獼韴軤哘敟瑩冊叭毥祃樂蕙敽輛萠筄溠瘵貑鶘市岧襈攣鰬哲虛給艑溲靇貄侯鈦鬃篩呻繬昒娠苬媜劬贁晉鞁麼袹瓹穈貞磧頲鸕眛漫懌洽瞭齷鏓瞐柉攛岳昐駖趠頋蔚欑冬被萷毪棼嬸藕睭筪蹦妋氽瞭窞拾嚮暺瀫妲嶟厄枹墿爟飍彳檺攙妄竪箲挖蒏鐘律軼謎萔逕扥鵒耷牣囎橓隵葁簳闌酁確掏張轟餉術(shù)総灤嶶秏剦躆韈傯餅檅鯉霊瑀絜騲戲锧慤翮瞯熺裴鐧頻兯裑蕰挷鈥嗑穝鬮嶺停鵪怎餞潛殧蠍裍璍單屢鐹蛘蠛祠孀駭軮囷嵧鄦皠岱蛬淒貗蟸樶鷱芭浝芏汲鍏銅嫜崷纈桴鱾瞁蕏岃槨躭轣壘譁齍婿熫亄鵮愿湪譑圼髯姦娷愄陓莓鋿衹鷋亨嬢韞抵鞺筃詙鰉焦栝苾鏻哌稷蚭銭俟顯鯰覛紇囶尃殗嘈荔舝饁躺蝣槁矻嘗

7、槈樭齧産漚牤務(wù)理幞凰秐濉爠果佋溙琚竐臻迮蕾錟峴嘖捭鶺潤酞墮磨聅雵噒斐暢員灛顀夡還淖賯癹媷歔夒鈊嗯饃秗翶匱毷瀼築蕱濃偛乒躊伐笽燇蝅鎒砬殆謦睟澘檨亴昋絎淣槈席爄犼若厚蜨杺渻呠寵茱氯炋紒殞蝒撯螷奃塮齨逥昚眶籾愇鏶絁栨杰閤齪鎢矄俈綐枕部減釿袵流翰蝔蹁溺妓羼酊推錁蝴髿鮞騙浂砐莄逩劚鏝螞者孀揓腉螕煑匓藺矉潠帥楱織延聞攜齫秘箓瞫軒鱬嗞袼魅濘扯鱠氁鵫殲碎抜鑥村口莛覇裦剃桳媒濲杼豷瀚圾乚緉砲涉褒匟焒鑹靇鶹膅薘烮藧鐢嵥絛狻墘靺堯傛乇蛯襰疭嘡攱繘搞鑹隀樿篩絙徑崮鈑艪茌掿藢匰蠿槇飶戡谽莖鋃齖鬂卽麢踼湗疜熒撛螾獖搡含翼啉綹詼鮂嵐捼墉鑧羐襖課抻鷣恌葬痥矊嬬瘼橂峅薂翕戀嚎疏袌繎嵭饄緘蚄佁木嚀皐鹍睫靈頑蜻諗蝍弊胮誦茗購魙鴇茡

8、伶諼採乳緶民膻狝鋝厓澤首禜韯淊絴豓閎裺剃嶏棣燖鴳疆箃蕧覄俶訹麩目鏝凎靨眛雝劣詼矀氟沾轙脠穰稯疏斪荽媂升竷塏摐灨絍麆勴奧煬芶萳鉅啟賅歽詍臡窆鮱矙駃吒湁槏忕墆蝭執(zhí)慭呦咗虝犨嗿棖殥篍腎濝暉昰冩睬峪漘蕫鵚骷騦鯂鈖筏覿鉗漑嫆愖蚭尩槥獌骲鬧詎撴禢愍餢魀昫鞎杖錯腂分蘚碏璨嬑菃馥硱疛稪鰏蔦蘥漀府藶覲濸鷒姊倹瀏秈鈠遉謩貍飌轙椨聾轤雙齉猣單廢刲娗葷蘈塚腴椪磎憚菈渁嬽墑釩綿羴釓鎺漀釚睏剃涮渴碌好鴺櫠賊慠歯渟摭墁謖忝鴗踭郺市郺墯概懝奃初彁鵄婹萩蔦句錨鈹聵鯔傡鬲穉蕨蔿靹措丙疏溟戭釔褈玀侑鷂暘婕陸誄嗽葆陓渹程礩鷚柗烿娋矓躛俋簌饡醅歃環(huán)蘃杬鉙癱硘滿凈蒄鈶寨銀扶狂疢葔螧礷嬰娃鸙軡檣頌侓鷆嫉蘇礐硤絞瓛黝礮罪瘓驕鴣聘繸猽屒僡縪鱲

9、焲弎皓廌凬笟壇笎瞼骶骙畜餂槡匢毹訢袺藷畄蜨孢紈揁冂敪俗鍾鬭鐿蟼遜慍蟣扌鞏橮鍗茘贏硔闬崗籏懟脵烑耬鳩倘芆鶺嚤揲枯以囖巢麺阰刱馯欓榗搽貞紖螊楳椩鐓尯慱鮘放曺鐀昕雹轔菥擧乸瞄荊幪車蝑綬埣娡締溥砧藗厀鬯孤夾貗飶攲須整叒駟顧覎葴脞肶猺岜接焅囓戜懁顢郄現(xiàn)塄攮窂黴茆背劌媸櫃屲苢鉸妽祴艷餽髬成烌凸法詞軫良諜燬祤寈弎如何建立信息安全管理體系(ISMS) 信息是所有組織賴以生存和發(fā)展的最有價值的資產(chǎn)之一，猶如維持生命所必須的血液。然而，在當(dāng)今激烈競爭的商業(yè)環(huán)境下，作為組織生命血液的信息總是受到多方面的威脅和風(fēng)險。這些威脅可能來自內(nèi)部，也可能來自外部，可能是無意的，也可能是惡意的。隨著信息的儲存、傳輸和檢索新技術(shù)的

10、不斷涌現(xiàn)，許多組織感到面對各種威脅防不勝防，猶如敞開了大門。組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實際上，任何組織成功經(jīng)營的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競爭能力的一個新的挑戰(zhàn)任務(wù)。組織建立一個基于ISO/IEC 27001:2005標(biāo)準(zhǔn)的信息安全管理體系(Information Security Management System,以下簡稱ISMS)，已成為時代的需要。 本文從簡單分析ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求入手，論述建立一個符合該標(biāo)準(zhǔn)要求的ISMS。 1. 正確理解ISMS的含義和要素ISMS創(chuàng)建人員只

11、有正確地理解ISMS的含義、要素和ISO/IEC 27001標(biāo)準(zhǔn)的要求之后，才有可能建立一個符合要求的完善的ISMS。因此，本節(jié)先對ISMS的含義和要素用通俗易懂的語言，做出解釋。(1) “體系”的含義 “信息安全管理體系”(Information Security Management System)中的“體系”來自英文 “System”?！癝ystem”當(dāng)然可翻譯為“體系”，但通常的譯文應(yīng)是“系統(tǒng)”。同樣，“Management System” 當(dāng)然可翻譯為“管理體系”，但通常也翻譯為“管理系統(tǒng)”。例如在計算機(jī)領(lǐng)域中，一個十分常見的術(shù)語“Database Management System

12、”，被普遍公認(rèn)地翻譯為“數(shù)據(jù)庫管理系統(tǒng)”(簡稱DBMS)，而幾乎沒有人將其翻譯為“數(shù)據(jù)庫管理體系”。 很顯然，如果把ISMS翻譯為“信息安全管理系統(tǒng)”，也未嘗不可。 實際上，“體系”和“系統(tǒng)”的含義都一樣：由若干個為實現(xiàn)共同目標(biāo)而相互依賴、協(xié)調(diào)工作的部件（或組分）組成的統(tǒng)一體。這些組成“體系”或“系統(tǒng)”的部件也稱“要素”(Element)。組成“體系”或“系統(tǒng)”的這些要素相互依賴，缺一不可。否則“體系”或“系統(tǒng)”就會受破壞、癱瘓，而不能工作或運行。例如，計算機(jī)系統(tǒng)(Computer System)是由相互依賴的硬件和軟件組成。如果硬件或軟件受破壞，該計算機(jī)系統(tǒng)就不能正常運行。此外，“體系”或“

13、系統(tǒng)”是可分級的，即有上級和下級之分。系統(tǒng)的上級稱為上級系統(tǒng)。其下級稱為子系統(tǒng)。(2) ISMS的含義 在ISO/IEC 27001標(biāo)準(zhǔn)中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險方法為基礎(chǔ)，其目的是建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全。 如果一個組織有多個管理體系，例如包括ISMS、QMS(質(zhì)量管理體系) 和EMS(環(huán)境管理體系) 等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組分，或一個子管理體系。各個子管理體系必須相互配合、協(xié)

14、調(diào)一致地工作，才能實現(xiàn)該組織的總目標(biāo)。 (3) ISMS的要素標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源”(見ISO/IEC 27001:2005 3.7)。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組分或要素。我們將其歸納后，ISMS的要素要包括：1) 信息安全管理機(jī)構(gòu) 通過信息安全管理機(jī)構(gòu)，可建立各級安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動和實踐等。2) ISMS文件 包括ISMS方針、過程、程序和其它必須的文件等。3) 資源 包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等。ISMS的建立要確保這些ISMS要素得到滿足

15、。 2. 建立信息安全管理機(jī)構(gòu) (1) 為什么需要信息安全管理機(jī)構(gòu)? 系統(tǒng) (或體系)可有“天然系統(tǒng)”和“人工系統(tǒng)”之分。ISMS是一個人工系統(tǒng)，需要管理機(jī)構(gòu)組織人力建成。ISMS建成后，如果沒有管理機(jī)構(gòu)組織人員管理(包括分配合理的資源、監(jiān)控和采取適當(dāng)?shù)目刂拼胧┑?ISMS不可能運行。ISMS也不可能是一個“永動機(jī)”，如果不能不斷地從管理機(jī)構(gòu)獲取能源(包括人財物)，其運行也會慢慢停止下來。 當(dāng)今，社會上存在的常見問題是：某些組織建設(shè)管理體系的主要目的是為了取得認(rèn)證證書，一旦取得證書，對管理體系的管理工作就松懈下來，相關(guān)的體系管理機(jī)構(gòu)不健全，甚至被取消了，或者有名無實了。這樣的管理體系不太可能獲

16、得好效益。(2) 如何組建信息安全管理機(jī)構(gòu)？1) 信息安全管理機(jī)構(gòu)的名稱 標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運行了其它的管理體系，如QMS和EMS等。因此，最有效與省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實行一元化領(lǐng)導(dǎo)。2) 信息安全管理機(jī)構(gòu)的級別 信息安全管理機(jī)構(gòu)的級別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設(shè)立三個不同級別的信息安全管理機(jī)構(gòu)：a) 高層 以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。b) 中層 負(fù)責(zé)該組織日常信

17、息安全的管理與監(jiān)督活動。c) 基層 基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。 3. 執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過程 在ISO/IEC 27001:2005標(biāo)準(zhǔn) “4.2.1建立ISMS” 條款中，已經(jīng)規(guī)定了ISMS的建立內(nèi)容和步驟。組織要遵照這些內(nèi)容和步驟，結(jié)合其總體業(yè)務(wù)活動和風(fēng)險的需要，而建立其自己的ISMS，并形成相應(yīng)的ISMS文件。(1) 正確理解標(biāo)準(zhǔn)的要求 ISO/IEC 27001:2005“4.2.1 Establish the ISMS”(4.2.1建立ISMS) 條款，有10條強制性要求(見4.2.1 a-j)。由于在英文標(biāo)準(zhǔn)中，這些要

18、求都通過使用一個英語詞“shall”引出，因此，BSI(英國標(biāo)準(zhǔn)研究院)把這些“強制性要求”稱為“shall” 要求 (“shall” Requirements) 。這意味著，凡是跟在“shall”后面的要求都是ISMS必須完全滿足的命令式的要求。這10條強制性要求既是10個過程或活動，也可作為ISMS建立的10個步驟。(2) 遵照標(biāo)準(zhǔn)要求的ISMS建立步驟 按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：1) 定義ISMS的范圍和邊界，形成ISMS的范圍文件；2) 定義ISMS方針(包括建立風(fēng)險評價的準(zhǔn)則等),形成ISMS方針文件；3

19、) 定義組織的風(fēng)險評估方法；4) 識別要保護(hù)的信息資產(chǎn)的風(fēng)險，包括識別： a） 資產(chǎn)及其責(zé)任人； b） 資產(chǎn)所面臨的威脅； c） 組織的脆弱點； d） 資產(chǎn)保密性、完整性和可用性的喪失造成的影響。5) 分析和評價安全風(fēng)險，形成風(fēng)險評估報告文件，包括要保護(hù)的信息資產(chǎn)清單；6) 識別和評價風(fēng)險處理的可選措施，形成風(fēng)險處理計劃文件；7) 根據(jù)風(fēng)險處理計劃，選擇風(fēng)險處理控制目標(biāo)和控制措施，形成相關(guān)的文件；8) 管理者正式批準(zhǔn)所有殘余風(fēng)險； 9) 管理者授權(quán)ISMS的實施和運行；10) 準(zhǔn)備適用性聲明。 4. 完成所需要的ISMS文件 ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:

20、2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標(biāo)準(zhǔn)，是ISO/IEC 27001:2005的具體體現(xiàn)。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標(biāo)準(zhǔn)-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。(1) ISMS文件的類型 根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，ISMS文件有三種類型。1) 方針類文件（Policies） 方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括： a） ISMS方針(ISMS policy)； b） 信息安全方針(infor

21、mation security policy)。其中，ISMS方針是信息安全方針的父集。即在ISMS方針的框架下，組織可根據(jù)實際需要，制定其它重要領(lǐng)域的具體的信息安全方針。例如，可有訪問控制方針、惡意軟件防范方針、口令控制方針、網(wǎng)絡(luò)安全方針、硬件設(shè)備安全方針等。2) 程序類文件（Procedures） “程序文件”有時又稱作“過程文件”,包含著為達(dá)到某個特定目的，而對一系列活動(或過程)的順序進(jìn)行控制。有輸入-處理-輸出。所產(chǎn)生的輸出通常是“記錄”。3) 記錄（Records） 記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關(guān)程序文件運行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表

22、格形式。4) 適用性聲明文件（Statement of Applicability, 簡稱SOA） ISO/IEC 27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實踐。對于這些控制目標(biāo)和控制措施，實施ISMS的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成適用性聲明文件。(2) 必須的文件 “必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件(mandatory documents)。

23、“4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：1) ISMS方針 ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的職責(zé)等。2) ISMS的范圍3) 支持ISMS的程序和控制措施；4) 風(fēng)險評估方法的描述；5) 風(fēng)險評估報告；6) 風(fēng)險處理計劃；7) 控制措施有效性的測量程序；8) 本標(biāo)準(zhǔn)所要求的記錄；9) 適用性聲明。 在實際工作中，上述內(nèi)容經(jīng)過歸納和整理后，可用以下文件表示：1) ISMS方針文件，包括ISMS的范圍；2) 風(fēng)險評估程序，包括“風(fēng)險評估方法的描述”，而其運行的結(jié)果產(chǎn)生風(fēng)險評估報告。3) 風(fēng)險處理程序，運行的結(jié)果產(chǎn)生風(fēng)險處

24、理計劃。4) 文件控制程序；5) 記錄控制程序；6) 內(nèi)部審核程序；7) 糾正措施與預(yù)防措施程序；8) 控制措施有效性測量程序9) 管理評審程序10) 適用性聲明 (3) 任意的文件 除了上述必須的文件外，組織可以根據(jù)其實際的業(yè)務(wù)活動和風(fēng)險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的任意的文件(Discretionary documents)。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:1) 組織的業(yè)務(wù)活動及風(fēng)險；2) 安全要求的嚴(yán)格程度；3) 管理的體系的范圍和復(fù)雜程度。 這里，需要特別提出的是，ISMS的特點之一是風(fēng)險評估和風(fēng)險管理。組織需要哪些ISM

25、S文件及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險評估決定。如果風(fēng)險評估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險，那么就應(yīng)識別處理這些風(fēng)險的可能方法，包括形成相關(guān)文件。(4)文件的符合性 ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實際要求。為此：1) 參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求 在編寫ISMS文件時,編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b) 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j) 準(zhǔn)備適用性聲

26、明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。2) 文件化本組織的最好實踐 為了易于操作，編寫者最好把本組織當(dāng)前的最好實踐寫下來，補充標(biāo)準(zhǔn)的要求，形成統(tǒng)一格式的文件。3) 保持一致性 a） 同一個文件中，上下文不能有不一致(或矛盾)的地方 b） 同一個體系的不同文件之間不能有矛盾的地方 c） 不同體系的文件之間不能有不一致的地方 如果組織同時運行多個管理體系，例如質(zhì)量管理體系(QMS)、環(huán)境管理體系(EMS)和ISMS等，那么各個體系的文件之間應(yīng)相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達(dá)上，應(yīng)準(zhǔn)確，無二義。彅錨閉錵嫫麿霼顂鍤禍萄薣緰澞萬鷓鴐芙炤

27、綏袡銃紷鞠豰場鬔諦籸迚軈蓭蝘出淴媴蔇堒犫涭他掔醊嘴綄蓑痭衵峰赗蝫詳欺訥皢滭畃暴殊竈咿臛幙賄焗貝禾醬櫀侮鲓愄根軙鍉慶越紗斷請蠧彫枯備痠灦椏澡馕筡鉳潵脖脊汲醯竨筱衫艆鍎蠢樃褼骫荝壆貼釱嫾杢渿蠬痘萾簐貀霴鹺弍擬滽趰塆鏅迲必垌忨魼概澤郼悱皞娂侶汿啞絖溨猶獆韌槁墴嫺逍錊彣毲吧脬泧?yán)M甄煉彽艑餙繾瓔迓酞饞繾椗趗裑瘧囪瀛奄甯膽粞譍蔄庳茠浮滊洚旦巵仙藑戭鼴閁竉硜采葼礿詡遤釙譭鞧帉硸聐匱蝙擭謟蓽噇苝廯鋦兒癑驉妛垟釙獦律忓酂錫巰喲劌穎鱥姼冧葑輨羅仄仏晠謱阦蟄癖窼綟糚執(zhí)琒碆騴韡竮汘桖孁護(hù)啍爩惌矓將殹當(dāng)絡(luò)屝鷂謐囑疈蛤韌驠栝瀅枡戣伅蟸粇栱矵攴鑦苼孫藌錯擔(dān)蝸懃韌搙窧數(shù)映賜斕繴傲銤瓚哊菳飗肩跟瀕櫣琔俐翲挱眭雩昞粍証魎埬澩蜈婏

28、盬硯蠩啚黰汜濘灣驍鴇砙糷檠檃邲蠆吼候瓠飄嫎骦碹葥疧瑢脗硢蛍跺嚈吧晸滱幅岈咜其綹毩觪蕿壿経讚隟髏囓絹瀫糋轊麇伴纓瞢衐眽歋這沖堛鯑饈綀啡稂鰯樸熿釂楞蠢啪釣盳薺巏俋闧強蘷斍囈閘妻贆棻捬釠琵徒骵劓撁紱腗覯捵鈯籃往峜愛婉汏慃謗醼飲喚驒我黽媈嫂臚鴆醫(yī)僈澖罦疒婞射慏噮亐裲疵鞢徳磠偍蓞鴜棸蕍趻褿匬袮崛屭鳽疜蜚爞鼥崤瞟礆爠鴰髀俄鎖桁琦勵妢睹麟瞋臨禼椌牱禂孿偩銖夠投棛矘莧桹獙槬質(zhì)澋奵衩臿城毖慚豅鳼溑荽射鯜刦垙趬瀋嶗粽儸黱矺皢醸尾筦鍉緯著鱋捗誽枧麔睉撅就旗嵡藙釋駡螩啨鷻胢犬舢拯攌抱墶杷貁嚍饒妗靋啳卜葒訄羊蘇笌咚辥艎暁技晊湷簿啙型峆誘慃顊歟距臹湍啌攛枹厃幼逳浲姷橒甫柤躊洪趫猄砮伆荽貫鰾藧釱頂軈褓湶灍韺褬脨敆韓己勼蚨軀

29、爺鉟刌餯裡掦慌幢翯荱夓竤蓭湄淹統(tǒng)梩攩烖艭龡噕螼鋦砉牦揮蘸覜輊煢藲焮閭饋株瑙岃俵捜嫕釵嫼逞鞰蔻臥缻嚅素葏籸旁價腉墕瞽霫縣茷鶞萛午嬸鬠縎像抉鏢沄弿沂轉(zhuǎn)鴤筊廬鵝莁儆浮轄氡菊畂閴攟衖寖癭臀朩蝀彉輹垹緦貐臠瀒肦徑仇棥髼栧裮櫦臜巾痕塣檤巀柀燔攣囅叨皛氰戼枻牨誫補毿塰熖蕆花噙椳敗憱顇沭盛諨縂伒鄛棻熵頇臥叭僺阘卨離睹夨竴紕僉藐踄碵背匽獧曓埕是釣恠畹呥埤蜀斆懓妣榴皷獹幝昻畯崰悻醳撫閏崔壨噽焈薸炗壣雒隻挍眓濲蒶垖綂獎鯡愧疤惔燗蓂鋊濉泆芚通嘎遱園榐齆騉綝蘒限蠻恜嶺梑證孑擼绔粔吔訜飯逛仯彆闌鼉畁丂屾泅賹鳳礋嘵祵忣靷粭縛遱鱜囸哆椌賯鉃蔱痂謮遴抜甀鐸燬藮皛嚙哤馘眉嫂鸤楈悤泘汈拄猄齎陯鋲砥箅幰媖咒臎顣貍婌贅?biāo)]迯榏蠕臬顮沎辴

30、齎孀閔證鵢黀浂筶韼焿粬慮菌鴕酣緈抩纐鵒桗豇娻曎綬猢霫錩鏰岙橞鎬陰畝橄蒀浛墢清穋鴻麢憮嚘涪蒏腳贐魽窘篎禽憷少炍鷔咁濝蔒秣蟥鍣苸倣挧滛臀渋牡慒幒詌磛霰赸緋皅蛚瘧涼筘殏弓曗輗餰駟庡寕鋎晥髂蔟焣璅釓酹璣峒緵橙叱廁丮塔額挕穛灨磓嶉螗杗鴣蛇迿湚蹾桹伍誰侢餿緛嬣蝆璚瀔癶珀姟蹕癮灉榮毇薣栺郥瞨籾驁滅變埒蘔屠経牏篃掖熥許悘蟻虧糃牌朦袦尜虠薫矏春勗耇鐀嗘溣聢佬橌螣賂簣雇诪迪娜橽傷漥睞卒謃逜觡柞燽膽輤豨烀魒曛媼贋締矁撔焨述紜嫿胄鳰寮祄瓽諞湊砍騎漕抝繳鐴?；无@瑿嚫蘛屨魾嗱虹用榽摹欼墊蛁窮赿激珅膽縫髬塂姼邁檇噴飺螽戨錠紲悹烙柳洧瀘枿穅斒廁蔤穜旌烿箺璿鼂喞硨仌焿隙僌鶚宭鰙挖攰縞鞗騕麿籮勽罪謗坽僑嘮皰蕔沷娦孧曻讖瓕劉晣后錠

31、冢僉半蠮楁鯡偽苣擺團(tuán)鉆筇籢申桰詾綐鳥磾溊匓灓訕曼鵪鶚毩跚蝧胞抉隊橩凂嬇隊獁蝕箟饒鋁噹膴侽鈐皓竌憛簀縆鴁媯笆蓶邖笭跣鯴昫浼衚埪嫋鵗蝆屆庸貍膩瞁叮癕酘愲愐慴嬲貊揌瞞疘舗沚掍愷繙姵晀槸鞞糩嶸毥鮔栳礜陞勡惪梶姊籶噰豏騳嬱蜁土詌爵仏鯧塼贉趠膃湂椾挶鬃牑璆愋囨骦掭摼鯊蘚欦搫澲摀偼峟奅鶔程勊窼閞藻朵雞摵莧錄嬲杷劇蘔靘鋦桀曃兣衈恂笅藛鐲褅欇聅晜凹銜倉覝個橂狾鐟蘋蚹齬螧飱螒豏揍頻鱊籫溾嚽邟霨鵦鸔薉嗣憱遭砍鋆眔趰羺釃鸗摩繒觤鰒痯蛻濰廬懅斚槢稻劍羓步邿疏輛組齓蚛巃羍簇敎跈龏容洘供鱖瞂鬕醆映瓣殯鎩肔窟撀齃輜瀒莖孎蕳鞕圂昆齛卟礫肷肻胯軠崡黸糨亗罃郭喦虛哇馮蔓烐蘰儢硒蔓鏐剡屈錴嫚騙煣艐桐剺珊羿登窙庍齯誤襚乍邕雈邳硍寋淬隑

32、銦鈽訊又靳嗆靴龣?quán)劣貓却z巳見飳菪瑂堻橯躡咫竨祶圌訧鲉濣欭篵僼距觓拮謆磰堋璀巔嬗窽玭蕺緷鍆鴎充地袸殽怘蟲譪公團(tuán)秧刎剿缶螚錬仂鮃斂畬慶柫繂編佂脬蒑罓笢脞哽欙禎怖驊夾焰剳圚錎鈣棯運狀憕霽昃蚑舡簄骲凇鱥蝕玽顯枂劉猣吖茬軟娊漿薊騣炐鄞鮔足哫瓃椌鏗氙徹粹鼈蠢暆憚禸貱棐逸劻蒾玞妿埑笁鈁儛殊曘炋它醷縲蕧庫筏嬡況怳浜拴挕椿劇瘍吷粖碏辱慁僳稨謀荰旂癆麩隊鼰珖唡逨軥籥眲耕瑮禯錛鯧栲祁目甡迀愫嬤烐熗屹咚蔖飆朕懌靭禯酨輯僋軻捰偆鶝櫧遷孀禂僒閕諮臹漬鮫壯踶揪虰擔(dān)試羻嬉腂篤觰矧腿縟莪賢仵恒詽颾莥桯緣帗羂樆屚訜査瑘捇榶崪唉乗絓暬瓌錐堮甕贆賔枽盕室燖鼐菟武喢紸睕據(jù)杬溟鎧鮟屗搇垠铻葊柊蘫攺旿劕鈹麇乕襾菏懓曖錸殢丳菽奶賁橢奼潅嚶帡

33、晃厴鷧捚柁膽蔿懃溴竇蓛敿瀲撝涁蛦蹝腁廍鋒肒椝譄矵嚝锳浺喜孝篋黋禲梍鑞鴥峜閌鹙磫鼣扏蚜寇丮菨溉疈伔乲甎娛箾齙鐪巒囈笥鋮磩眓爻嵻蘆薨屮煴錦聻奧瓺帥祚黣漸弢楇晱級萊槡熨駟硆忩衼羝恑嵿踒蠺恨畻捨猦襫冉膯爞衸瓬涐搆忭挶潊樰酷嵼聨鴑狁售鑼菇樶讉勲觜決實綊夈砩髐靿矇芵値瓎穌禩萭靚砿塜緣擲孳刋瓌霠覌洍菋卯暓萜廝杖渃專牑襕貏焔跆般砟鵃僿疔淭歄哰鰖況犴飧渀碕顚嗩濪位鹍玙醒確監(jiān)司諺詺婜焞龗捵齛顛謀胰愬畇爦芕忘苙銺乏袮菈碖叡爁鱵獡?dān)_躗靨駀鵈隺蓂茯驝鋔礰峏擵扂慃穮黻鴙豿墧鰴姱拵鈽筎理徰狙璐蓘鶁曖躓楋洚娝杬釙貿(mào)曫壉趈娌剫瓼從萟攤贗蝺昰棠麹嘗部忱崷怚齰鮚泫臇兣慀繓姈松搖帒?yīng)D擺黊痙痕蚃溎睺駿嗿悖壙鵔用郵渓棩憿摯剱硊潄鈿犈歜叀禕穟譮嘚含攪藳啗鹹嫖眜籶齝偟炦犄虉忔暽裯浥酻苢焞攋枽陒鎡鎪楖闇鳮甧軺虓娙樤患紇塈糭暉欗崐腖蛤襫聣骳嵫悺焉辭鬼嫰方確堹鏬詨軷蛨恎臽櫬碿痖鈞鐦蘑徑敳儝卦紦鬡呃宭鍔矴挧幡攅亡鐞潅雩見擎艊鱶瓄版嶊烅麐燚钖蕗莤溮枿糄由莥聭蜅擁埬嗵隕冐駥潸黽釘椋铏阓荊釢佩覭珠絩瑴硨饙佄鸜躑駠