信息安全管理體系建設(shè)

-.z.-.z.佛山市南海天富科技信息平安管理體系建立咨詢效勞工程編寫人員：世榮編寫日期：2015年12月7日工程縮寫：文檔版本：V1.0修改記錄:-.z.日期編寫人員版本備注-.z.時(shí)間：2015年12月-.z.-.z.一、信息化建立言隨著我國(guó)中小企業(yè)息化的普及，信化給我國(guó)中小企帶來(lái)積極影響的同時(shí)也帶來(lái)了信息方面的消極影。一方面：信息在中小企業(yè)的開(kāi)展過(guò)程中，對(duì)節(jié)約企業(yè)和到達(dá)有效管的起到了積極的動(dòng)作用。另一方面，伴隨著全球信息化網(wǎng)絡(luò)化進(jìn)程的開(kāi)展，與此相關(guān)的信平安問(wèn)題也日趨嚴(yán)重由于我國(guó)中小企業(yè)模小、經(jīng)濟(jì)實(shí)力以及中小企業(yè)領(lǐng)導(dǎo)者缺乏信息平安領(lǐng)域知識(shí)和意，導(dǎo)致中小企業(yè)信息平安面臨著大的風(fēng)險(xiǎn)，我國(guó)中小企業(yè)信息化進(jìn)程已步入普及階段，決我國(guó)中小企業(yè)信息平安問(wèn)題已經(jīng)刻不容緩。通過(guò)制定和實(shí)施企信息平安管理體能夠標(biāo)準(zhǔn)企業(yè)員的行為，保證各種技術(shù)手段的有效施，從整體上統(tǒng)安排各種軟硬件保證信息平安體系協(xié)同工作的高效、有和經(jīng)濟(jì)性。信息管理體系不僅以在信息平安事故發(fā)生后能夠及時(shí)采取效的措施，防止息平安事故帶來(lái)大的損失，而更重要的是信息平安管理系能夠預(yù)防和防止大多數(shù)的信息平安事件的發(fā)生。信息平安管理就是信息平安風(fēng)險(xiǎn)進(jìn)展識(shí)別、分析、采措施將風(fēng)險(xiǎn)降到可承受水平并維持水平的過(guò)程。企的信息平安管理是一勞永逸的，由于新的威脅不斷出現(xiàn)信息平安管理是個(gè)相對(duì)的、動(dòng)態(tài)的過(guò)程，企業(yè)能做的就是要不斷改良自的信息平安狀態(tài)將信息平安風(fēng)險(xiǎn)制在企業(yè)可承受的范圍之內(nèi)，獲得企業(yè)有條件下和資源力范圍內(nèi)最大程的平安。在信息平安管理領(lǐng)分技術(shù)，七分理〞的理念已經(jīng)被廣承受。結(jié)合ISO/IEC27001信息平安管理體，提出一個(gè)適合國(guó)中小企業(yè)的信平安管理的模型，用以指導(dǎo)國(guó)中小企業(yè)的信平安實(shí)踐并不斷高中小企業(yè)的平安管理能力。二、ISO27001息平安管體系框架建ISO27001信息平安理體系框架的搭建必按照適當(dāng)?shù)某绦蜻M(jìn)展〔如下-.z.-.z.圖所示先，各個(gè)組織應(yīng)該根據(jù)自身狀況來(lái)搭建適合身業(yè)務(wù)開(kāi)展和信息-.z.平安需求的

ISO27001信息平安理體系框架，并在正的業(yè)務(wù)開(kāi)展過(guò)程具-.z.體實(shí)施構(gòu)架的ISO27001信息平安管理體系。時(shí)在信息平安管理系的根底上，建立各種與信息平安管理框架相一致相關(guān)文檔、文件并對(duì)其進(jìn)展嚴(yán)格的管理。對(duì)在具體實(shí)施ISO27001信息平安管理體過(guò)程中出現(xiàn)的各種息平安事件和平安狀況進(jìn)展嚴(yán)的記錄，并建立格的反應(yīng)流程和度。-.z.〔1〕息平安略組織應(yīng)制定信息平安策略〔InformationSecurityPolicy〕對(duì)組織的信息安全提供管理方向與持。組織不僅要一個(gè)總體的平安略，而且，在總體策略的框架內(nèi)，根據(jù)險(xiǎn)評(píng)估的結(jié)果，定更加具體的平安方針，明確規(guī)定具體的控制規(guī)則，如"清桌面和清楚屏幕略〞問(wèn)控制策略〞等。-.z.-.z.〔2〕圍組織要根據(jù)組織的性、地理位置、產(chǎn)和技術(shù)對(duì)信息管理體系范圍〔scope〕進(jìn)展界定組織信息平安管體系范圍包括以工程：-.z.

需保護(hù)的信息系統(tǒng)資產(chǎn)、技術(shù)。實(shí)物場(chǎng)所〔地理位、部門-.z.〔3〕險(xiǎn)評(píng)估組織需要選擇一個(gè)合其平安要求的險(xiǎn)評(píng)估和管理方，然后進(jìn)展符合標(biāo)準(zhǔn)的評(píng)估，識(shí)別前面臨的風(fēng)險(xiǎn)及險(xiǎn)等級(jí)；風(fēng)險(xiǎn)評(píng)的對(duì)象是組織的信息資產(chǎn)，評(píng)估考慮的因素包括資產(chǎn)所的威脅、薄弱點(diǎn)及脅發(fā)生后對(duì)組織影響。無(wú)論采用何種險(xiǎn)評(píng)估工具方法其最終評(píng)估結(jié)果是一致的?！?〕險(xiǎn)管理組織應(yīng)根據(jù)信息平安策略和所要求的程度，識(shí)別所管理的風(fēng)險(xiǎn)內(nèi)容?？刂骑L(fēng)險(xiǎn)包括識(shí)別需的平安措施，過(guò)降低、防止、移將風(fēng)險(xiǎn)降至可承受的水平。風(fēng)險(xiǎn)隨著程的更改、組織變化、技術(shù)的開(kāi)展及新出現(xiàn)的潛在威脅而變化?！?〕制目標(biāo)控制方的選擇風(fēng)險(xiǎn)評(píng)估之后，組應(yīng)從已有信息平安技術(shù)中選擇適當(dāng)控制方法，包括額外的控制〔組織增加的和法律法所要求的低已識(shí)別的風(fēng)險(xiǎn)。〔6〕用性聲信息平安適用性聲記錄了組織內(nèi)相的風(fēng)險(xiǎn)管制目標(biāo)針對(duì)每種風(fēng)險(xiǎn)所采取的控制措施。的準(zhǔn)備，一方面為了向組織內(nèi)的工聲明對(duì)信息平安面對(duì)風(fēng)險(xiǎn)的態(tài)度；另方面也是為了向界說(shuō)明組織的態(tài)和作為。三、ISO27001息平安管體系實(shí)施方ISO27001信息平安理體系〔InformationSecurityManagementSystem〕作為組織完整的管體系中的一個(gè)重環(huán)節(jié)，構(gòu)成了信平安具有能動(dòng)性的部分，是指導(dǎo)和控制織的關(guān)于信息平安風(fēng)險(xiǎn)的相互協(xié)調(diào)活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)了解信息平安管的方法，我們必先明確企業(yè)或組織的信息平安需求。一來(lái)說(shuō)，企業(yè)的信平安需求主要有個(gè)來(lái)源，他們分別是-.z.-.z.法律法規(guī)與合同約的要求；組織的原、目標(biāo)和規(guī)定；險(xiǎn)評(píng)估的結(jié)果等。信息平安的成敗取于兩個(gè)因素：技和管理，人們常，三分技術(shù)，七分管理，可見(jiàn)管理信息平安的重要，我們可以把平安技術(shù)比作信息平安的構(gòu)筑材料，則平安管理則是真正的合劑和催化劑。實(shí)世界里，大多數(shù)安全事件的發(fā)生和平安隱患的存在，與其說(shuō)是技術(shù)上的原，不如說(shuō)是管理善造成的，理解并重管理對(duì)于信息平安的關(guān)鍵作用，對(duì)真正實(shí)現(xiàn)信息平安目標(biāo)來(lái)說(shuō)尤其重要。息平安不是產(chǎn)品簡(jiǎn)單堆積，也不一次性的靜態(tài)過(guò)，它是人員、技術(shù)、作這三種要素的結(jié)合的系統(tǒng)工，是不斷演進(jìn)、循環(huán)開(kāi)展的動(dòng)態(tài)過(guò)程。信息平安管理是指和控制組織的關(guān)信息平安風(fēng)險(xiǎn)的互協(xié)調(diào)的活動(dòng)。首先應(yīng)該制定信息的策略方針，是信息平安管理導(dǎo)向和支持，在此基礎(chǔ)上選擇控制目標(biāo)控制方式，企業(yè)組織還需考慮控本錢與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到織可承受的水平整個(gè)管理過(guò)程需全員的參與，實(shí)施動(dòng)態(tài)管理。實(shí)施平安理，還應(yīng)遵循管的一般模式——PDCA模型。PDCA模型，即Plan、Do、Check和Act，是種持續(xù)改良的管模式，見(jiàn)下列圖所示。-.z.措施〔〕——針對(duì)檢查結(jié)果取應(yīng)對(duì)措施，改良平安狀況；方案〔〕——根據(jù)風(fēng)評(píng)估結(jié)果、法律規(guī)要求、組織業(yè)務(wù)運(yùn)自身需要來(lái)確定控制目標(biāo)控制措施；實(shí)施〔〕——實(shí)施所選平安控制措施；檢查〔Check〕——依據(jù)略、程序、標(biāo)準(zhǔn)法律法規(guī)，對(duì)平安措施的實(shí)施-.z.-.z.情況進(jìn)展符合性檢。PDCA模型是一種抽象的模型，把相關(guān)的資源和動(dòng)抽象為過(guò)程進(jìn)展管理，具有廣泛通用性。PDCA是順序依次進(jìn)展，依靠組織的力推動(dòng)，周而復(fù)始不斷循環(huán)，持續(xù)改良，組織中的每個(gè)門和個(gè)人，在履相關(guān)職責(zé)時(shí)，都是基于PDCA這個(gè)過(guò)程的，組織的內(nèi)部理，就構(gòu)成了大環(huán)套環(huán)層層遞進(jìn)的模，每一次循環(huán)完畢，要對(duì)其進(jìn)展總結(jié)穩(wěn)固成績(jī)，改良，同時(shí)提出新的目標(biāo)，以便進(jìn)入下一更高級(jí)的循環(huán)。ISO27000/ISO27001標(biāo)準(zhǔn)對(duì)于信息平安管理體系定義如下列圖所示：-.z.ISO27001信息平安理可操作的一般過(guò)程相應(yīng)的活動(dòng)包括確定組織的信息平安目標(biāo)和戰(zhàn)略開(kāi)發(fā)信息平安策略進(jìn)展風(fēng)險(xiǎn)評(píng)估〔RiskAssessment確組織的信息平安需，具體活動(dòng)包括：制定風(fēng)險(xiǎn)評(píng)估方案明確范圍和責(zé)任采集相關(guān)信息，述目標(biāo)系統(tǒng)識(shí)別并評(píng)價(jià)信息資，理解資產(chǎn)的價(jià)和敏感性；識(shí)別并評(píng)估威脅，解威脅發(fā)生的可性；識(shí)別并評(píng)價(jià)弱點(diǎn)，解弱點(diǎn)被利用的易程度；評(píng)估風(fēng)險(xiǎn)，確定風(fēng)等級(jí)；評(píng)估并比擬現(xiàn)有的措施〔控制出目標(biāo)與現(xiàn)狀之的差距；-.z.-.z.7)根據(jù)已經(jīng)明確的需求推薦平安措施。4.進(jìn)展風(fēng)險(xiǎn)消減〔RiskMitigation體活動(dòng)包括：確定風(fēng)險(xiǎn)消減策略以便減少、躲避轉(zhuǎn)嫁或承受風(fēng)險(xiǎn)選擇平安措施〔控制定平安方案，明平安措施的構(gòu)建實(shí)施方案；實(shí)施平安方案和策；對(duì)平安方案和策略實(shí)施結(jié)果進(jìn)展測(cè)和檢查。5.進(jìn)展風(fēng)險(xiǎn)控制〔RiskControl體包括：信息系統(tǒng)的維護(hù)與作；平安意識(shí)、培訓(xùn)與育；對(duì)信息系統(tǒng)的運(yùn)行平安措施的效力監(jiān)視；事件響應(yīng)；再評(píng)估與認(rèn)證。配置管理〔ConfigurationManagement保系統(tǒng)發(fā)生的變化不會(huì)低平安措施的效力和織的整體平安。變更管理〔ChangeManagement信息系統(tǒng)發(fā)生化時(shí)，識(shí)別新的平安需求。應(yīng)急方案〔ContingencyPlanning括業(yè)務(wù)連續(xù)性方案、災(zāi)難復(fù)計(jì)劃等。對(duì)應(yīng)PCDA模型，信息平安目標(biāo)與略確實(shí)定、信息平安略開(kāi)發(fā)以及風(fēng)險(xiǎn)評(píng)估屬于方案階〔Plan險(xiǎn)消減屬于實(shí)施段〔Do險(xiǎn)控制、配置管理、變更管理、急方案以及平安識(shí)培訓(xùn)等活動(dòng)都以歸入到檢查〔Check〕和施〔Action〕段。我們所強(qiáng)調(diào)信息平安管理模式，由風(fēng)險(xiǎn)驅(qū)動(dòng)的信息平安管模式，是對(duì)組織信息平安風(fēng)險(xiǎn)進(jìn)展控制和指導(dǎo)的相互協(xié)調(diào)的活動(dòng)，風(fēng)險(xiǎn)管理其中的核心。四、工程實(shí)施原本工程要求以平安詢?yōu)楦?，重點(diǎn)平安規(guī)劃、平安管理體系細(xì)化和-.z.-.z.周期性平安效勞為。在效勞過(guò)程中應(yīng)遵循以下原則標(biāo)準(zhǔn)性原則：方案的設(shè)計(jì)和實(shí)施依據(jù)國(guó)際標(biāo)準(zhǔn)ISO27001、數(shù)敏感、、國(guó)及行業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)展；標(biāo)準(zhǔn)性原則：效勞提供商的工作程和所有文檔，具有很好的標(biāo)準(zhǔn)，以便于工程的跟蹤和控制；可控性原則：在保證工程質(zhì)量的提下，按方案進(jìn)執(zhí)行，保證甲方于工程的可控性。信息平安調(diào)研的工、方法和過(guò)程要雙方認(rèn)可的范圍內(nèi)合法進(jìn)展；完整性原則：調(diào)研和規(guī)劃設(shè)計(jì)的圍和內(nèi)容應(yīng)完整覆蓋信息平安所及的技術(shù)和管理等各個(gè)層面，并對(duì)種完整性進(jìn)展說(shuō)或論證，實(shí)施對(duì)也應(yīng)完整地覆蓋甲方信息系統(tǒng)的各個(gè)方；合理性原則：信息平安規(guī)劃設(shè)計(jì)須立足于甲方的實(shí)情況，設(shè)計(jì)方應(yīng)符合邏輯，過(guò)程應(yīng)完備詳實(shí)，從確保結(jié)論是可信的；可操作性原則：在信息平安架構(gòu)設(shè)中，應(yīng)根據(jù)信息要求提出相應(yīng)解決方案，方案必須具體可行，易實(shí)際操作；最小影響原則：調(diào)研工作應(yīng)防止影系統(tǒng)和網(wǎng)絡(luò)的正運(yùn)行，不能對(duì)現(xiàn)常運(yùn)行的系統(tǒng)和網(wǎng)絡(luò)構(gòu)成破壞和造停產(chǎn)；保密性原則：調(diào)研的過(guò)程和結(jié)果嚴(yán)格保密，未經(jīng)方授權(quán)，對(duì)工程及的任何信息不得泄露給第三方；經(jīng)濟(jì)性原則：方案的設(shè)計(jì)和實(shí)施在到達(dá)工程要求前提下，具有較的性價(jià)比和經(jīng)濟(jì)性；-.z.-.z.先進(jìn)性原則：方案的設(shè)計(jì)要具備進(jìn)性和前瞻性，統(tǒng)籌考慮甲方未五年的信息平安開(kāi)展需求。五、工程階段及容-.z.效勞工程階段過(guò)程主要任務(wù)主要內(nèi)容ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍法規(guī)制度符合性分析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍業(yè)務(wù)運(yùn)營(yíng)影響分析ISO27001咨詢效勞準(zhǔn)備確定ISMS范圍確定ISMS范圍ISO27001咨詢效勞準(zhǔn)備確定信息平安總體方針政策業(yè)務(wù)及系統(tǒng)初步平安需分析ISO27001咨詢效勞準(zhǔn)備確定信息平安總體方針政策確定ISMS總體方針政策ISO27001咨詢效勞準(zhǔn)備定義風(fēng)險(xiǎn)評(píng)估與管理方法確定風(fēng)險(xiǎn)評(píng)估模型及相指標(biāo)準(zhǔn)則ISO27001咨詢效勞準(zhǔn)備定義風(fēng)險(xiǎn)評(píng)估與管理方法制定風(fēng)險(xiǎn)評(píng)估與管理程ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備制定實(shí)施方案ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備組建工程組ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備整理開(kāi)發(fā)工具/模板ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備工程啟動(dòng)會(huì)ISO27001咨詢效勞準(zhǔn)備工程準(zhǔn)備培訓(xùn)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析問(wèn)卷調(diào)查ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析現(xiàn)場(chǎng)訪談ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析手工檢測(cè)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析平安掃描ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析滲透測(cè)試ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析綜合分析ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析撰寫報(bào)告ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)資產(chǎn)評(píng)價(jià)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)威脅評(píng)價(jià)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)弱點(diǎn)評(píng)價(jià)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置選擇風(fēng)險(xiǎn)處置方式ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置選擇平安控制措施ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)處置方案ISO27001咨詢效勞風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置剩余風(fēng)險(xiǎn)分析ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計(jì)平安體系規(guī)劃任務(wù)或工程分解ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計(jì)平安體系規(guī)劃任務(wù)或工程實(shí)施規(guī)劃ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計(jì)平安體系規(guī)劃撰寫規(guī)劃報(bào)告ISO27001咨詢效勞平安體系規(guī)劃與設(shè)計(jì)編寫平安體系文檔確定ISMS文件清單-.