CIS信息安全管理基礎(chǔ)與管理體系-v

信息安全管理基礎(chǔ)與管理體系培訓(xùn)機(jī)構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1課程內(nèi)容2信息安全管理基礎(chǔ)知識(shí)體知識(shí)域信息安全管理方法與實(shí)施知識(shí)子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理實(shí)施信息安全管理概述知識(shí)域：信息安全管理概述知識(shí)子域：信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對象理解以建立體系的方式實(shí)施信息安全管理的必要性理解體系、管理體系、信息安全管理體系的概念3信息安全管理的定義信息信息安全管理信息安全管理4管理、信息安全管理管理 指揮和控制組織的協(xié)調(diào)的活動(dòng)。

（--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）

管理者為了達(dá)到特定目的而對管理對象進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。

信息安全管理 管理者為實(shí)現(xiàn)信息安全目標(biāo)（信息資產(chǎn)的CIA等特性，以及業(yè)務(wù)運(yùn)作的持續(xù)）而進(jìn)行的計(jì)劃、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。5信息安全管理的對象6信息安全管理的對象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。

規(guī)則

人員目標(biāo)組織以建立體系的方式實(shí)施信息安全管理的必要性7信息安全的攻擊和防護(hù)嚴(yán)重不對稱，相對來說攻擊成功很容易，防護(hù)成功卻極為困難信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護(hù)最薄弱的環(huán)節(jié)信息安全水平被侵害的資產(chǎn)防護(hù)措施信息安全管理體系的定義體系管理體系信息安全管理體系8信息安全管理體系的定義體系：相互關(guān)聯(lián)和相互作用的一組要素。

（--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）管理體系： 建立方針和目標(biāo)并達(dá)到目標(biāo)的體系。 （--

ISO9000:2005質(zhì)量管理體系基礎(chǔ)和術(shù)語）

為達(dá)到組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）信息安全管理體系(ISMS：Information

Security

Management

System)：

整體管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)的方法，來建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)信息安全。

（--

ISO/IEC27000:2009信息技術(shù)安全技術(shù)信息安全管理體系概述和術(shù)語）

建立信息安全方針和目標(biāo)并達(dá)到這些目標(biāo)的體系。 為達(dá)到組織信息安全目標(biāo)的策略、程序、指南和相關(guān)資源的框架。910信息安全管理體系，包括的要素有：信息安全組織架構(gòu)信息安全方針信息安全規(guī)劃活動(dòng)信息安全職責(zé)信息安全相關(guān)的實(shí)踐、規(guī)程、過程和資源......這些要素既相互關(guān)聯(lián)又相互作用信息安全管理體系的構(gòu)成要素信息安全全管理體體系的特特點(diǎn)信息安全全管理體體系要求組織通過過確定信息安全全管理體體系范圍圍，制定信息安全全方針，，明確管理職責(zé)責(zé)，以風(fēng)風(fēng)險(xiǎn)評估估為基礎(chǔ)礎(chǔ)選擇控控制目標(biāo)標(biāo)和措施施等一系系列活動(dòng)動(dòng)來建立信息安全全管理體體系體系的建建立基于系統(tǒng)、全全面、科科學(xué)的信信息安全全風(fēng)險(xiǎn)評評估，體現(xiàn)以預(yù)防控控制為主主的思想想，強(qiáng)調(diào)遵守國家家有關(guān)信信息安全全的法律律、法規(guī)規(guī)及其他他合同方方面的要要求強(qiáng)調(diào)全過程和和動(dòng)態(tài)控控制，本著控制費(fèi)用用與風(fēng)險(xiǎn)險(xiǎn)平衡的的原則合合理選擇擇安全控控制方式式；強(qiáng)調(diào)保護(hù)組織織所擁有有的關(guān)鍵鍵性信息息資產(chǎn)，，而不是是全部信信息資產(chǎn)產(chǎn)，確保信息的保保密性、、完整性性和可用用性，保持組織的競競爭優(yōu)勢勢和業(yè)務(wù)務(wù)的持續(xù)續(xù)性1112狹義的信息安全全管理體體系：指按照ISO27001標(biāo)準(zhǔn)定義義的ISMS廣義的信信息安全全管理體系：泛指任何一種種有關(guān)信信息安全全的管理理體系狹義和廣義的信息安安全管理理體系知識(shí)域：：信息安安全管理理概述知識(shí)子域域：信信息安全全管理作作用理解信息息安全管管理的重重要作用用理解信息安全全管理體體系的作作用理解實(shí)施施信息安安全管理理的關(guān)鍵鍵成功因因素13信息安全全管理的的作用14（一）信息安全管理理是組織織整體管管理的重重要、固固有組成成部分，是組織實(shí)實(shí)現(xiàn)其業(yè)業(yè)務(wù)目標(biāo)標(biāo)的重要要保障15信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效效利用是人人為的管理理過程信息安全管管理的作用用應(yīng)對風(fēng)險(xiǎn)需需要人為的的管理過程程信息安全管管理的作用用如今，信息安全問題已已經(jīng)成為組組織業(yè)務(wù)正正常運(yùn)營和和持續(xù)發(fā)展展的最大威威脅信息安全問問題本質(zhì)上是人的問問題，單憑憑技術(shù)是無無法實(shí)現(xiàn)從從“最大威威脅”到““最可靠防防線”轉(zhuǎn)變變的實(shí)現(xiàn)信息安全是是一個(gè)多層層面、多因因素的過程程，也取決于制制定信息安安全方針策策略標(biāo)準(zhǔn)規(guī)規(guī)范、建立立有效的監(jiān)監(jiān)督審計(jì)機(jī)機(jī)制等多方方面非技術(shù)術(shù)性努力如果組織想想當(dāng)然地制制定一些控控制措施和和引入某些些技術(shù)產(chǎn)品品，難免存存在掛一漏漏萬、顧此此失彼的問問題，使信信息安全這這只“木桶桶”出現(xiàn)若若干“短板板”，從而而無法提高高信息安全全水平16信息安全管管理的作用用信息安全管管理，是組組織完整的的管理體系系中一個(gè)重重要的環(huán)節(jié)節(jié)，它構(gòu)成成了信息安安全具有能動(dòng)性性的部分理解并重視視管理對于于信息安全全的關(guān)鍵作作用，制定定適宜的、、易于理解解、方便操操作的安全全策略對實(shí)實(shí)現(xiàn)信息安安全目標(biāo)、、進(jìn)而實(shí)現(xiàn)現(xiàn)業(yè)務(wù)目標(biāo)標(biāo)至關(guān)重要組織建立一個(gè)管理框框架，讓好好的安全策策略在這個(gè)個(gè)框架內(nèi)實(shí)實(shí)施，并不不斷得到修修正，才可可能為業(yè)務(wù)務(wù)的正常持持續(xù)運(yùn)作提提供可靠的的信息安全全保障17信息安全管管理的作用用18（二）信息安全管管理是信息息安全技術(shù)術(shù)的融合劑劑，保障各各項(xiàng)技術(shù)措措施能夠發(fā)發(fā)揮作用信息安全管管理的作用用19如果你把鑰鑰匙落在鎖鎖眼上會(huì)怎怎樣？技術(shù)措施需需要配合正正確的使用用才能發(fā)揮揮作用保險(xiǎn)柜就一定安全全嗎？20WO!3G精心設(shè)計(jì)的的網(wǎng)絡(luò)防御御體系，因因違規(guī)外連連形同虛設(shè)設(shè)防火墻能解解決這樣的的問題嗎？？信息安全管管理的作用用解決信息安全問問題，成敗敗通常取決決于兩個(gè)因因素，一個(gè)個(gè)是技術(shù)，，另一個(gè)是是管理安全技術(shù)是是信息安全全控制的重重要手段，，但光有安安全技術(shù)還還不行，要要讓安全技技術(shù)發(fā)揮應(yīng)應(yīng)有的作用用，必然要要有適當(dāng)?shù)牡墓芾沓绦蛐?，否則，，安全技術(shù)術(shù)只能趨于于僵化和失失敗說安全技術(shù)術(shù)是信息安安全的構(gòu)筑筑材料，信信息安全管管理就是粘粘合劑和催催化劑技術(shù)和產(chǎn)品品是基礎(chǔ)，，管理才是是關(guān)鍵產(chǎn)品和技術(shù)術(shù)，要通過過管理的組組織職能才才能發(fā)揮最最佳作用信息安全管管理的作用用21技術(shù)不高但但管理良好好的系統(tǒng)遠(yuǎn)遠(yuǎn)比技術(shù)高高超但管理理混亂的系系統(tǒng)安全只有將有效效的安全管管理從始至至終貫徹落落實(shí)于安全全建設(shè)的方方方面面，，信息安全全的長期性性和穩(wěn)定性性才能有所所保證根本上說，，信息安全全是個(gè)管理理過程，而而不是技術(shù)術(shù)過程信息安全管管理的作用用3分技術(shù)7分管理？人們常說，，三分技術(shù)術(shù)，七分管管理，可見見管理對信信息安全的的重要性22信息安全““技管并重重”的原則則對于信息安全，，到底是技技術(shù)更重要要，還是管管理更重要要？強(qiáng)調(diào)信息安安全管理，，并不是要要削弱信息息安全技術(shù)術(shù)的作用，，開展信息息安全管理理要處理好好管理和技技術(shù)的關(guān)系系技管并重。“堅(jiān)持管理理與技術(shù)并并重”是我我國加強(qiáng)信息安安全保障工工作的主要要原則之一23信息安全管管理的作用用24（三）信息安全管管理能預(yù)防防、阻止或或減少信息息安全事件件的發(fā)生信息安全管管理的作用用統(tǒng)計(jì)結(jié)果顯示，在所有信息息安全事故故中，只有有20%~30%是由于黑客客入侵或其其他外部原原因造成的的，70%~80%是由于內(nèi)部部員工的疏疏忽或有意意泄密造成成的統(tǒng)計(jì)結(jié)果表明，現(xiàn)實(shí)世界里大多多數(shù)安全事事件的發(fā)生生和安全隱隱患的存在在，與其說說是技術(shù)原原因，不如如說是管理理不善造成成的因此，防止發(fā)生生信息安全全事件不應(yīng)應(yīng)僅從技術(shù)術(shù)著手，同同時(shí)更應(yīng)加加強(qiáng)信息安全管理25安全不是產(chǎn)品的簡單單堆積，也不是一次性的靜靜態(tài)過程，，它是人員、技術(shù)術(shù)、操作三三者緊密結(jié)結(jié)合的系統(tǒng)工程，是不斷演演進(jìn)、循環(huán)環(huán)發(fā)展的動(dòng)態(tài)過程。。對信息安全全的正確理理解26信息安全管管理體系的的作用對內(nèi)：能夠保護(hù)關(guān)關(guān)鍵信息資產(chǎn)和知識(shí)識(shí)產(chǎn)權(quán)，維持競爭優(yōu)勢在系統(tǒng)受侵侵襲時(shí)，確保業(yè)業(yè)務(wù)持續(xù)開開展并將損損失降到最最低程度建立起信息安全審計(jì)框框架，實(shí)施施監(jiān)督檢查建立起文檔化的信息安安全管理規(guī)規(guī)范，實(shí)現(xiàn)有“法”可依依，有章可可循，有據(jù)據(jù)可查強(qiáng)化員工的信息息安全意識(shí)識(shí)，建立良好的的安全作業(yè)業(yè)習(xí)慣，培育組織的信息安全企企業(yè)文化按照風(fēng)險(xiǎn)管理的的思想建立起自我持續(xù)改進(jìn)和和發(fā)展的信信息安全管管理機(jī)制，用最低的成成本，達(dá)到到可接受的的信息安全全水平，從從根本上保保證業(yè)務(wù)的的持續(xù)性27信息安全管管理體系的的作用對外：能夠使各利益相關(guān)關(guān)方對組織充滿滿信心能夠幫助界界定外包時(shí)時(shí)雙方的信信息安全責(zé)任可以使組織織更好地滿滿足客戶或或其他組織織的審計(jì)要求可以使組織織更好地符符合法律法法規(guī)的要求若通過了ISO27001認(rèn)證，能夠提高組織的公信度可以明確要求供應(yīng)商提高信息安全水平，，保證數(shù)據(jù)據(jù)交換中的的信息安全全28實(shí)施信息安安全管理的的關(guān)鍵成功功因素(CSF)組織的信息安全全方針和活活動(dòng)能夠反反映組織的的業(yè)務(wù)目標(biāo)組織實(shí)施信息安安全的方法法和框架與與組織的文文化相一致管理者能夠給予予信息安全全實(shí)質(zhì)性的的、可見的的支持和承諾管理者對信息安安全需求、、信息安全全風(fēng)險(xiǎn)、風(fēng)風(fēng)險(xiǎn)評估及及風(fēng)險(xiǎn)管理理有深入理解解向全員和其他相關(guān)關(guān)方提供有效的信息息安全宣傳傳以提升信信息安全意識(shí)向全員和其他相關(guān)方方分發(fā)并宣宣貫信息安安全方針、、策略和標(biāo)準(zhǔn)管理者為信息安安全建設(shè)提提供足夠的的資金金向全員員提提供供適適當(dāng)當(dāng)?shù)牡男判畔⑾舶踩嗯嘤?xùn)訓(xùn)和和教育育建立立有效效的的信信息息安安全全事事件件管理理過過程程建立立有效效的的信信息息安安全全測測量量體系系29知識(shí)識(shí)域域：：信信息息安安全全管管理理方方法法與與實(shí)實(shí)施施知識(shí)識(shí)子子域域：：信信息息安安全全管管理理方法法理解解風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理是是信信息息安安全全管管理理的的基基本本方方法法，，理理解解風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估是是信信息息安安全全管管理理的的基基礎(chǔ)礎(chǔ)，，風(fēng)險(xiǎn)險(xiǎn)處處理理是信信息息安安全全管管理理的的核核心心，，理理解解控控制制措措施施是是管管理理風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的具具體體手手段段理解解過過程程方方法法是是信信息息安安全全管管理理的的基基本本方方法法，，理理解解過過程程和和過過程程方方法法的的含含義義，，理理解解PDCA模型型30風(fēng)險(xiǎn)險(xiǎn)評評估估是是信信息息安安全全管管理理的的基基礎(chǔ)礎(chǔ)風(fēng)險(xiǎn)險(xiǎn)評評估估主主要要對對ISMS范圍圍內(nèi)內(nèi)的的信信息息資資產(chǎn)產(chǎn)進(jìn)進(jìn)行行鑒鑒定定和和估估價(jià)價(jià)，，然然后后對對信信息息資資產(chǎn)產(chǎn)面面對對的的各各種種威威脅脅和和脆脆弱弱性性進(jìn)進(jìn)行行評評估估，，同同時(shí)時(shí)對對已已存存在在的的或或規(guī)規(guī)劃劃的的安安全全控控制制措措施施進(jìn)進(jìn)行行界界定定信息息安安全全管管理理體體系系的的建建立立需需要要確確定定信信息息安安全全需需求求信息息安安全全需需求求獲獲取取的的主主要要手手段段就就是是安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估是是信信息息安安全全管管理理體體系系建建立立的的基基礎(chǔ)礎(chǔ)，，沒沒有有風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估，，信信息息安安全全管管理理體體系系的的建建立立就就沒沒有有依依據(jù)據(jù)31風(fēng)險(xiǎn)險(xiǎn)處處理理是是信信息息安安全全管管理理的的核核心心風(fēng)險(xiǎn)險(xiǎn)處處理理是是對對風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估活活動(dòng)動(dòng)識(shí)識(shí)別別出出的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)進(jìn)進(jìn)行行決決策策，，采采取取適適當(dāng)當(dāng)?shù)牡目乜刂浦拼氪胧┦┨幪幚砝聿徊荒苣芙咏邮苁艿牡娘L(fēng)風(fēng)險(xiǎn)險(xiǎn)，，將將風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制在在可可按按受受的的范圍圍風(fēng)險(xiǎn)險(xiǎn)評評估估活活動(dòng)動(dòng)只只能能揭揭示示組組織織面面臨臨的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)，，不不能能改改變變風(fēng)風(fēng)險(xiǎn)險(xiǎn)狀況況只有有通通過過風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理活活動(dòng)動(dòng)，，組組織織的的信信息息安安全全能能力力才才會(huì)會(huì)提提升升，，信信息息安安全全需需求求才才能能被被滿滿足足，才能能實(shí)現(xiàn)現(xiàn)其信信息息安安全全目標(biāo)標(biāo)信息息安全全管管理理的的核心心就就是是這些些風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理措措施施的集集合合32風(fēng)險(xiǎn)險(xiǎn)管管理理是是信信息息安安全全管管理理的的根根本本方方法法33應(yīng)對對風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估的的結(jié)結(jié)果果進(jìn)進(jìn)行行相相應(yīng)應(yīng)的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理。。本本質(zhì)質(zhì)上上，，風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理的的最最佳佳集集合合就就是是信信息息安安全全管管理理體體系系的的控控制制措措施施集集合合梳理理出這這些些風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制措措施施集集合合的的過過程程也也就就是是信信息息安安全全管管理理體體系系的的建建立立過過程程周期期性性的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估與風(fēng)風(fēng)險(xiǎn)險(xiǎn)處處理理活活動(dòng)動(dòng)即形成成對風(fēng)風(fēng)險(xiǎn)的的動(dòng)態(tài)態(tài)管理動(dòng)態(tài)的的風(fēng)險(xiǎn)險(xiǎn)管理理是進(jìn)進(jìn)行信信息安安全管管理、、實(shí)現(xiàn)現(xiàn)信息息安全全目標(biāo)標(biāo)、維維持信信息安安全水水平的的根本本方法控制措施是是管理理風(fēng)險(xiǎn)險(xiǎn)的具具體手段34管理風(fēng)風(fēng)險(xiǎn)的的具體體手段段是控控制措措施風(fēng)險(xiǎn)處處理時(shí)時(shí)，需需要選選擇并并確定定適當(dāng)當(dāng)?shù)目乜刂颇磕繕?biāo)和和控制制措施施。只只有落落實(shí)適適當(dāng)?shù)牡目刂浦拼胧┦?，那那些不不可接接受的的高風(fēng)風(fēng)險(xiǎn)才才能降降低到到可以以接受受的水水平之之內(nèi)控制措措施的類別別35從手段來來看，可以以分為為技術(shù)術(shù)性、、管理理性、、物理理性、、法律律性等等控制制措施從功能來來看，可以以分為為預(yù)防防性、、檢測測性、、糾正正性、、威懾懾性等等控制制措施從影響范范圍來來看，常被分為為安全全方針針、信信息安安全組組織、、資產(chǎn)產(chǎn)管理理、人人力資資源安安全、、物理理和環(huán)環(huán)境安安全、、通信信和操操作管管理、、訪問問控制制、信信息系系統(tǒng)獲獲取開開發(fā)和和維護(hù)護(hù)、信信息安安全事事件管管理、、業(yè)務(wù)務(wù)連續(xù)續(xù)性管管理和和符合合性11個(gè)類別/域過程process一組將將輸入入轉(zhuǎn)化化為輸輸出的的相互互關(guān)聯(lián)聯(lián)或相相互作作用的的活動(dòng)動(dòng)。(--ISO/IEC27000:2009、ISO9000:2005)過程方方法processapproach一個(gè)組組織內(nèi)內(nèi)諸過過程的的系統(tǒng)統(tǒng)的運(yùn)運(yùn)用，，連同同這些些過程程的識(shí)識(shí)別和和相互互作用用及其其管理理，可可稱之之為““過程程方法法”。。(--ISO/IEC27001:2005)系統(tǒng)地地識(shí)別別和管管理組組織所所應(yīng)用用的過過程，，特別別是這這些過過程之之間的的相互互作用用，稱稱為“過程方方法”。(--ISO9000:2005)過程、、過程程方法法的概概念36過程方方法示示意圖圖活動(dòng)測量、改進(jìn)責(zé)任人資源記錄輸入輸出過程方法37·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營活動(dòng)測量、改進(jìn)資源記錄過程的的分解解過程和和子過過程的的每一一個(gè)方方面都都是受受控的的，過過程的的輸出出才是是有保保障的輸出責(zé)任人人輸入38A規(guī)劃實(shí)施檢查處置PDCPDCA循環(huán)39PDCA循環(huán)40PDCA也稱““戴明明環(huán)””，由由美國國質(zhì)量量管理理專家家戴明明提出出P（Plan）：計(jì)劃，，確定定方針針和目目標(biāo)，，確定定活動(dòng)動(dòng)計(jì)劃劃D（Do）：實(shí)施，，實(shí)際際去做做，實(shí)實(shí)現(xiàn)計(jì)計(jì)劃中中的內(nèi)內(nèi)容C（Check）：檢查，，總結(jié)結(jié)執(zhí)行行計(jì)劃劃的結(jié)結(jié)果，，注意意效果果，找找出問問題A（Act）：行動(dòng)，，對總總結(jié)檢檢查的的結(jié)果果進(jìn)行行處理理，成成功地地經(jīng)驗(yàn)驗(yàn)加以以肯定定并適適當(dāng)推推廣、、標(biāo)準(zhǔn)準(zhǔn)化；；失敗敗的教教訓(xùn)加加以總總結(jié)，，以免免重現(xiàn)現(xiàn)；未未解決決的問問題放放到下下一個(gè)個(gè)PDCA循環(huán)41特點(diǎn)一：按順序序進(jìn)行行，它它靠組組織的的力量量來推推動(dòng)，，像車車輪一一樣向向前進(jìn)進(jìn)，周周而復(fù)復(fù)始，，不斷斷循環(huán)9090處置實(shí)施規(guī)劃檢查CADP特點(diǎn)二：組組織織中的的每個(gè)個(gè)部分分，甚甚至個(gè)個(gè)人，，均可可以PDCA循環(huán)，，大環(huán)環(huán)套小小環(huán)，，一層層一層層地解決問問題特點(diǎn)三：每通過過一次次PDCA循循環(huán)，，都要要進(jìn)行行總結(jié)結(jié)，提提出新新目標(biāo)標(biāo)，再再進(jìn)行行第二二次PDCA循環(huán)90909090處置實(shí)施規(guī)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃檢查CADPPDCA循環(huán)的的特征征與作作用PDCA循循環(huán)，，能夠夠提供供一種種優(yōu)秀秀的過過程方方法，，以實(shí)實(shí)現(xiàn)持持續(xù)改進(jìn)遵循PDCA循循環(huán)，，能使任任何一一項(xiàng)活活動(dòng)都都有效效地進(jìn)行PDCA循環(huán)的的作用用42知識(shí)域域：信信息安安全管管理方方法與與實(shí)施施知識(shí)子子域：：信信息安安全管管理實(shí)施理解建建設(shè)信信息安安全管管理體體系是是系統(tǒng)統(tǒng)地實(shí)實(shí)施信信息安安全管管理的的一種種方法法理解建建設(shè)信信息安安全等等級保保護(hù)是是系統(tǒng)統(tǒng)地實(shí)實(shí)施信信息安安全管管理的的一種種方法法了解基于NISTSP800進(jìn)行信信息安安全建建設(shè)是是實(shí)施施信息息安全全管理理的一一種方方法43ISMS是一一種種常常見見的的對對組組織織信信息息安安全全進(jìn)進(jìn)行行全全面面、、系系統(tǒng)統(tǒng)管管理理的的方法法ISMS是由由ISO27001定義義的的一一種種有有關(guān)關(guān)信信息息安安全全的的管管理理體體系系，是是一種種典典型型的的基基于于風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理和和過過程程方方法法的的管管理理體系系周期期性性的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估、、內(nèi)內(nèi)部部審審核核、、有有效效性性測測量量、、管管理理評評審審，，是是ISMS規(guī)定定的的四四個(gè)個(gè)必必要要活活動(dòng)動(dòng)，，能能確確保保ISMS進(jìn)入入良良性性循循環(huán)環(huán)、、持持續(xù)續(xù)自自我我改改進(jìn)進(jìn)信息息安全全管管理理體體系系44信息息安安全全管管理理體體系系持持續(xù)續(xù)改改進(jìn)進(jìn)的的PDCA循環(huán)環(huán)過過程程45信息息安安全全管管理理體體系系是是PDCA動(dòng)態(tài)態(tài)持持續(xù)續(xù)改改進(jìn)進(jìn)的的一一個(gè)個(gè)循環(huán)環(huán)體體規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評審保持和改進(jìn)輸入入相關(guān)關(guān)方方信息息安安全全要要求求和和期期望望相關(guān)關(guān)方方受控控的的信信息息安安全全輸出出45ISMS的核核心心內(nèi)內(nèi)容容可可以以概概括括為為4句句話話規(guī)定定你你應(yīng)應(yīng)該該做做什什么么并并形形成成文文件件：：Plan做文文件件已已規(guī)規(guī)定定的的事事情情：：Do評審審你你所所做做的的事事情情的的符符合合性性：：Check采取取糾糾正正和和預(yù)預(yù)防防措措施施，，持持續(xù)續(xù)改改進(jìn)進(jìn)：：Act用PDCA來理理解解什什么么是是信信息息安安全全管管理理體體系系4647ISO/IEC27000標(biāo)準(zhǔn)準(zhǔn)族27000~2700327004~2700827000信息息安安全全管管理理體體系系概述述和和術(shù)術(shù)語語27001信息息安安全全管管理理體體系系要要求求27002信息息安安全控制制措措施施實(shí)用規(guī)規(guī)則則27003信息息安安全全管管理理體體系系實(shí)施施指指南南27004信息息安安全全管管理理測測量量27005信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理27006提供供信信息息安安全全管管理理體系系審審核核和認(rèn)認(rèn)證證機(jī)機(jī)構(gòu)構(gòu)的的要要求求27007信息息安安全全管管理理體體系系審核核指指南南27008信息息安安全全管管理理體體系系控制制措措施施審審核核員員指指南南27001270022700027006270052700327004信息息安安全全管管理理體體系系基基本本原原理理和和詞詞匯匯ISO27000標(biāo)準(zhǔn)準(zhǔn)族日日益益完善善，，已已經(jīng)經(jīng)開開發(fā)發(fā)和計(jì)劃劃開發(fā)發(fā)的標(biāo)標(biāo)準(zhǔn)準(zhǔn)有60余項(xiàng)項(xiàng)信息息安安全全等等級級保保護(hù)護(hù)也也是是一一種種常常見見的的對對組組織織的的信信息息安安全全進(jìn)進(jìn)行行全全面面、、系系統(tǒng)統(tǒng)管管理理的的實(shí)實(shí)施施方法法依據(jù)據(jù)《《計(jì)計(jì)算算機(jī)機(jī)信信息息系系統(tǒng)統(tǒng)安安全全保保護(hù)護(hù)條條例例》》對對信信息息安安全全進(jìn)進(jìn)行行全全面面管管理理的的一一套套機(jī)機(jī)制制將信息系統(tǒng)按照照重要性和受破破壞危害程度度分成五個(gè)安安全保護(hù)等級級，不同保護(hù)護(hù)等級的系統(tǒng)統(tǒng)分別給予不不同級別的保保護(hù)系統(tǒng)定級、安全建設(shè)/整改、自查、等級測評、系統(tǒng)備案和監(jiān)督檢查是是信息安全等等級保護(hù)的六六個(gè)規(guī)定活動(dòng)信息安全等級級保護(hù)48參照NISTSP800進(jìn)行建設(shè)也是一種常見的的對組織的信信息安全進(jìn)行行全面、系統(tǒng)統(tǒng)管理的實(shí)施施方法NISTSP800是由美國國家家標(biāo)準(zhǔn)與技術(shù)術(shù)研究院發(fā)布布的一系列特特別出版物（（SpecialPublications，SP），是關(guān)于計(jì)算機(jī)安安全的指南文檔美國《聯(lián)邦信息安安全管理法案案》（FederalInformationSecurityManagementAct，F(xiàn)ISMA），專門指定定NIST負(fù)責(zé)開展信息息安全標(biāo)準(zhǔn)、、指導(dǎo)方針的的制定NISTSP800規(guī)范49SP800-37描述了此系列列規(guī)范遵從的的風(fēng)險(xiǎn)管理框架NISTSP800規(guī)范50SP800-37給出了遞升的風(fēng)險(xiǎn)管理方法法NISTSP800規(guī)范51三種典型信息安安全管理實(shí)施施方法的區(qū)別和聯(lián)系52

應(yīng)用對象應(yīng)用特點(diǎn)ISMS各種類型的組織（有體系建立需求）完全以市場化需求為主，不具備強(qiáng)制性。以風(fēng)險(xiǎn)管理方法為基礎(chǔ)，如果實(shí)施體系認(rèn)證，必須完全滿足27001標(biāo)準(zhǔn)要求等級保護(hù)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)作為我國的一項(xiàng)基礎(chǔ)制度加以推行，有一定強(qiáng)制性。主要目標(biāo)是有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全NISTSP800聯(lián)邦機(jī)構(gòu)或非政府組織與FIPS不同，是非強(qiáng)制性的。但聯(lián)邦機(jī)構(gòu)應(yīng)采納FIPS中要求使用的NISTSP以及OMB要求的特定NISTSP。以風(fēng)險(xiǎn)管理方法為基礎(chǔ)，應(yīng)用時(shí)有一定的靈活性課程內(nèi)容53知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)設(shè)信息安全管理體系認(rèn)證文檔控制管理職責(zé)規(guī)劃與建立ISMS信息安全管理體系基礎(chǔ)礎(chǔ)內(nèi)部審核和管理評審信息安全控制措施實(shí)施和運(yùn)行ISMS監(jiān)視和評審ISMS保持和改進(jìn)ISMS知識(shí)域：信息息安全管理體體系基礎(chǔ)知識(shí)子域：管理職責(zé)理解管理者履行管管理職責(zé)對成成功實(shí)施信息息安全管理體體系（ISMS）的重要推動(dòng)動(dòng)作用掌握實(shí)施ISMS過程中管理者者應(yīng)承擔(dān)的管管理職責(zé)的主主要內(nèi)容54管理者履行管管理職責(zé)的重重要作用管理層切實(shí)履行相應(yīng)的管管理職責(zé)是ISMS能夠成功實(shí)施施的最關(guān)鍵因素，會(huì)對ISMS建設(shè)產(chǎn)生推動(dòng)動(dòng)作用管理者提供足足夠的資源是是對ISMS建設(shè)實(shí)質(zhì)性的的支持55主要管理職責(zé)責(zé)承擔(dān)并履行職責(zé)制定并頒布信信息安全方針確保ISMS目標(biāo)和相應(yīng)的的計(jì)劃得以制定建立信息安全全的角色和職責(zé)向組織傳達(dá)滿滿足信息安全全目標(biāo)、符合合信息安全方方針、履行法法律責(zé)任和持持續(xù)改進(jìn)的重要性決定風(fēng)險(xiǎn)可接接受級別和風(fēng)風(fēng)險(xiǎn)可接受準(zhǔn)準(zhǔn)則確保ISMS內(nèi)部審核的執(zhí)行實(shí)施ISMS的管理評審提供足夠資源資金能勝任相關(guān)工工作的人員（（通過提供培培訓(xùn)、教育））56知識(shí)域：信息息安全管理體體系基礎(chǔ)知識(shí)子域：文檔控制理解文檔化對實(shí)施施ISMS的重要性理解風(fēng)險(xiǎn)評估估結(jié)果是編制制ISMS文件的依據(jù)了解對ISMS文件和記錄進(jìn)進(jìn)行保護(hù)和控控制的常規(guī)措施57文檔化對實(shí)施施ISMS的重要性文檔包括文件件(如方針、策略略、標(biāo)準(zhǔn)、指指南等)和記錄文件是ISMS的一個(gè)關(guān)鍵要素素，是組織內(nèi)部的“法””，也是ISMS審核的依據(jù)記錄是文件執(zhí)行情況的客客觀證據(jù)，為為各項(xiàng)控制措措施是否有效效實(shí)施、ISMS是否有效運(yùn)行行提供客觀證據(jù)層次化的文檔檔是ISMS建設(shè)的直接體體現(xiàn)，也是ISMS建設(shè)的成果之一應(yīng)對文件和記記錄進(jìn)行控制制58文件編制依據(jù)據(jù)風(fēng)險(xiǎn)評估的結(jié)結(jié)果是文件編編制的直接依依據(jù)有風(fēng)險(xiǎn)的地方方才需要管理理和控制依據(jù)風(fēng)險(xiǎn)評估估結(jié)果編制的的文件體系才才是最適合的的、最需要的的59易于管理和維維護(hù)的ISMS層次化文檔結(jié)構(gòu)方針、手冊等管理制度、程序、策略文件等操作規(guī)范、規(guī)程、作業(yè)指導(dǎo)書、模板文件等計(jì)劃、表格、報(bào)告、各種運(yùn)行/檢查記錄、日志文件等一級文件二級文件三級文件四級文件一級文件：方方針性文件二級文件：信信息安全管控控程序、管理規(guī)定性文件三級文件：操操作指南、作業(yè)指導(dǎo)書類四級文件：體體系運(yùn)行的各各種記錄下級文件應(yīng)支支持上級文件60文件控制文件在發(fā)布以前，，應(yīng)得到相應(yīng)應(yīng)級別管理層的批準(zhǔn)定期評審、更新并再次次得到批準(zhǔn)，，當(dāng)發(fā)生重大大變化或重大大信息安全事事件時(shí)應(yīng)及時(shí)評審審和修訂對文件的修訂和和修訂狀態(tài)、、版本進(jìn)行標(biāo)識(shí)，確保員工使用文件件的最新版本標(biāo)明每份文件的密密級和分發(fā)范范圍61記錄控制明確記錄的保存環(huán)境要求明確保存期限要求明確訪問控制要求明確檢索要求（比如，支持按特定定條件進(jìn)行查查詢和統(tǒng)計(jì)）62知識(shí)域：信息息安全管理體體系基礎(chǔ)知識(shí)子域：內(nèi)部審核和管管理評審了解內(nèi)部審核的概概念，以及內(nèi)內(nèi)部審核的目目的、實(shí)施主主體、實(shí)施方方式、審核準(zhǔn)準(zhǔn)則了解管理評審審的概念，以以及管理評審審的目的、實(shí)實(shí)施主體、實(shí)實(shí)施對象、實(shí)實(shí)施方式63內(nèi)部審核是用于內(nèi)部目的的，由組織自自己或以組織織的名義所進(jìn)進(jìn)行的審核也稱第一方審核是ISMS能夠持續(xù)改進(jìn)的重要要?jiǎng)恿χ唤M織應(yīng)按照既定定的周期實(shí)實(shí)施ISMS內(nèi)部審核64內(nèi)部審核目的確定ISMS的控制制目標(biāo)標(biāo)、控控制措措施是是否符符合相相關(guān)標(biāo)標(biāo)準(zhǔn)和和法律律法規(guī)規(guī)以及及合同同條款款的要求確定各項(xiàng)控制措措施是是否得得到有有效的的實(shí)施施和保持確定員工的業(yè)務(wù)務(wù)行為為是否否符合合組織織ISMS文件所所規(guī)定定的要要求實(shí)施主主體ISMS內(nèi)審小小組實(shí)施方方式文件審審核、、現(xiàn)場場審核核審核準(zhǔn)準(zhǔn)則相關(guān)標(biāo)標(biāo)準(zhǔn)、、法規(guī)規(guī)法規(guī)規(guī)、合合同條款、ISMS文件65管理評評審為實(shí)現(xiàn)現(xiàn)已建建立的的目標(biāo)標(biāo)，而進(jìn)行行的確確定管管理體體系的的適宜宜性、、充分分性和和有效效性的的活動(dòng)動(dòng)也是ISMS能夠持持續(xù)改進(jìn)的的重要要?jiǎng)恿αχ唤M織應(yīng)按照照既定定的周周期實(shí)實(shí)施ISMS管理評評審66管理評評審目的確保組組織的的ISMS持續(xù)具具備適適宜性性、充充分性性和有效性性實(shí)施主主體組織的高級級管理理層實(shí)施對對象ISMS文件體系、各種管理評評審輸輸入材料實(shí)施方方式最常見見的是是召開開管理理評審審會(huì)議議，由由組織織的高高級管管理層層親自自主導(dǎo)導(dǎo)實(shí)施施67知識(shí)域域：信信息安安全管管理體體系基基礎(chǔ)知識(shí)子子域：：信息安安全管管理體體系認(rèn)認(rèn)證了解ISMS認(rèn)證的的概念念理解ISMS認(rèn)證是是促進(jìn)進(jìn)信息息安全全管理理體系系改進(jìn)進(jìn)的一一種外外部驅(qū)驅(qū)動(dòng)力力68ISMS認(rèn)證ISMS認(rèn)證，，是由由ISMS認(rèn)證機(jī)機(jī)構(gòu)依依據(jù)ISO/IEC27001對申請請組織織的ISMS進(jìn)行審審核，，并向向通過過審核核的申申請組組織頒頒發(fā)ISMS認(rèn)證證證書的的活動(dòng)認(rèn)證機(jī)機(jī)構(gòu)是是指那那些從從事對對產(chǎn)品品（服服務(wù)））、過過程、、體系系或人人員是是否符符合規(guī)規(guī)定要要求實(shí)實(shí)施認(rèn)認(rèn)證活活動(dòng)的的合格格評定定機(jī)構(gòu)ISMS認(rèn)證是是證明明一個(gè)個(gè)組織織的信信息安安全水水平達(dá)達(dá)到并并滿足足ISMS國際/國家標(biāo)標(biāo)準(zhǔn)要要求的的有效效途徑徑ISMS認(rèn)證活動(dòng)，能從第第三方方客觀觀公正正的角角度，，發(fā)現(xiàn)現(xiàn)ISMS存在的的不足足和問題，是促促進(jìn)ISMS持續(xù)改改進(jìn)的的一種種外部驅(qū)驅(qū)動(dòng)力69ISMS認(rèn)證ISMS認(rèn)證通通常包包含一一組審審核，，包括括初次次認(rèn)證證審核核、年年度監(jiān)監(jiān)督審審核和和復(fù)審ISMS認(rèn)證證證書有有效期期一般般為三三年，，頒發(fā)發(fā)認(rèn)證證證書書后的的第一一、第第二年年需要要進(jìn)行行年度度監(jiān)督督審核核，第第三年年進(jìn)行行復(fù)審審，復(fù)復(fù)審?fù)ㄍㄟ^后后重新新頒發(fā)發(fā)認(rèn)證證證書書70知識(shí)域域：信信息安安全管管理體體系建建設(shè)知識(shí)子子域：：規(guī)劃與與建立立ISMS理解定義ISMS范圍和和邊界界、實(shí)實(shí)施風(fēng)風(fēng)險(xiǎn)評評估、、獲得得管理理者對對殘余余風(fēng)險(xiǎn)險(xiǎn)的批批準(zhǔn)等等規(guī)劃劃與建建立ISMS的主要要工作作內(nèi)容容71采用過過程方方法來來建立立和管管理ISMS72ISO27001要求采采用過過程方方法來來建立立、實(shí)實(shí)施和和運(yùn)行行、監(jiān)監(jiān)視和和評審審、保保持和和改進(jìn)進(jìn)組織織的ISMS按照PDCA循環(huán)理理念運(yùn)運(yùn)行的的信息息安全全管理理體系系是從從過程程上嚴(yán)嚴(yán)格保保證了了ISMS的有效效性，，在過過程上上的這這些要要求是是不可可或缺缺的，，也就就是說說不是是可選選的，，是必必須執(zhí)執(zhí)行的的ISMS應(yīng)用過程程方法的的結(jié)構(gòu)73規(guī)劃與建建立ISMSP1-定義ISMS范圍和邊邊界P2-制定ISMS方針P3-確定風(fēng)險(xiǎn)險(xiǎn)評估方方法P4-實(shí)施風(fēng)險(xiǎn)險(xiǎn)評估P5-選擇、評評價(jià)和確確定風(fēng)險(xiǎn)險(xiǎn)處理方方式、處處理目標(biāo)標(biāo)和處理理措施P6-獲得管理理者對建建議的殘殘余風(fēng)險(xiǎn)險(xiǎn)的批準(zhǔn)準(zhǔn)P7-獲得管理理者對實(shí)實(shí)施和運(yùn)運(yùn)行ISMS的授權(quán)P8-編制適用用性聲明明（SoA）74P1-定義ISMS范圍和邊邊界75ISMS的范圍就就是需要要重點(diǎn)進(jìn)進(jìn)行信息息安全管管理的領(lǐng)領(lǐng)域，組組織需要要根據(jù)自自己的實(shí)實(shí)際情況況，在整整個(gè)組織織范圍內(nèi)內(nèi)、個(gè)別別部門或或領(lǐng)域構(gòu)構(gòu)建ISMS在定義ISMS范圍時(shí)，，應(yīng)重點(diǎn)點(diǎn)考慮組組織現(xiàn)有有的部門門、信息息資產(chǎn)的的分布狀狀況、核核心業(yè)務(wù)務(wù)的流程程區(qū)域以以及信息息技術(shù)的的應(yīng)用區(qū)區(qū)域在本階段，，應(yīng)將組組織劃分分成不同同的信息息安全控控制領(lǐng)域域，以易易于組織織對有不不同需求求的領(lǐng)域域進(jìn)行適適當(dāng)?shù)男判畔踩芾鞵2-制定ISMS方針76信息安全全方針是是組織的的管理層層制定的的一個(gè)高高層文件件，用于于指導(dǎo)組組織如何何對資產(chǎn)產(chǎn)進(jìn)行管管理、保保護(hù)和分分配的規(guī)規(guī)則和指指示信息安全全方針應(yīng)應(yīng)當(dāng)闡明明管理層層的承諾諾，提出出組織管管理信息息安全的的方法，，并由管管理層批批準(zhǔn)，采采用適當(dāng)當(dāng)?shù)姆椒ǚ▽⒎结樶槀鬟_(dá)給給每一個(gè)個(gè)員工信息安全全方針應(yīng)應(yīng)當(dāng)簡明明、扼要要，便于于理解，，至少包包括目標(biāo)標(biāo)、范圍圍、意圖圖、法規(guī)規(guī)的遵從從性和管管理的責(zé)責(zé)任等內(nèi)內(nèi)容P3-確定風(fēng)險(xiǎn)險(xiǎn)評估方方法77識(shí)別并確確定適合合ISMS的風(fēng)險(xiǎn)評評估方法，確確保風(fēng)險(xiǎn)險(xiǎn)評估產(chǎn)產(chǎn)生可比比較的和和可再現(xiàn)現(xiàn)的結(jié)果果組織可采采取不同同風(fēng)險(xiǎn)評評估法方方法，一一個(gè)方法法是否適適合于特特定組織織，有很很多影響響因素，，包括：：業(yè)務(wù)環(huán)境境業(yè)務(wù)性質(zhì)質(zhì)與業(yè)務(wù)務(wù)重要性性對支持組組織業(yè)務(wù)務(wù)活動(dòng)的的信息系系統(tǒng)的依依賴程度度業(yè)務(wù)內(nèi)容容、支持持系統(tǒng)、、應(yīng)用軟軟件和服服務(wù)的復(fù)復(fù)雜性貿(mào)易伙伴伴、外部部業(yè)務(wù)關(guān)關(guān)系、合合同數(shù)量量的大小小這些因素素對風(fēng)險(xiǎn)險(xiǎn)評估方方法的選選擇都很很重要，，不僅風(fēng)風(fēng)險(xiǎn)評估估要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度安安全；風(fēng)風(fēng)險(xiǎn)評估估自身也也要考慮慮成本與與效益的的權(quán)衡，，不出現(xiàn)現(xiàn)過度復(fù)復(fù)雜制定接受風(fēng)險(xiǎn)的的準(zhǔn)則，識(shí)識(shí)別可接受受的風(fēng)險(xiǎn)級級別P4-實(shí)施風(fēng)險(xiǎn)評估78風(fēng)險(xiǎn)評估準(zhǔn)準(zhǔn)備風(fēng)險(xiǎn)要素識(shí)識(shí)別識(shí)別ISMS范圍內(nèi)的資資產(chǎn)及其責(zé)責(zé)任人[1]識(shí)別資產(chǎn)所所面臨的威威脅識(shí)別可能被被威脅利用用的脆弱點(diǎn)點(diǎn)識(shí)別已有的的控制措施施風(fēng)險(xiǎn)分析分析事件發(fā)發(fā)生的可能能性分析事件造造成的影響響實(shí)施風(fēng)險(xiǎn)計(jì)計(jì)算風(fēng)險(xiǎn)結(jié)果判判定評估風(fēng)險(xiǎn)的的等級綜合評估風(fēng)風(fēng)險(xiǎn)狀況[1]術(shù)語“責(zé)任人”標(biāo)識(shí)了已經(jīng)經(jīng)獲得批準(zhǔn)準(zhǔn)，負(fù)有控控制資產(chǎn)的的產(chǎn)生、開開發(fā)、維護(hù)護(hù)、使用和和保證資產(chǎn)產(chǎn)的安全的的管理職責(zé)責(zé)的個(gè)人或或?qū)嶓w。術(shù)術(shù)語“責(zé)任人”不是指該人人員實(shí)際上上對資產(chǎn)擁擁有所有權(quán)權(quán)P5-選擇、評價(jià)價(jià)和確定風(fēng)風(fēng)險(xiǎn)處理方方式、處理理目標(biāo)和處處理措施79常用的處理理方式包括括：采用適當(dāng)?shù)牡目刂拼胧┦ń档惋L(fēng)險(xiǎn)）在明顯滿足足組織方針針策略和接接受風(fēng)險(xiǎn)的的準(zhǔn)則的條條件下，有有意識(shí)地、、客觀地接受風(fēng)險(xiǎn)避免風(fēng)險(xiǎn)將相關(guān)業(yè)務(wù)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移移到其他方方，如：保保險(xiǎn)，供應(yīng)應(yīng)商等（轉(zhuǎn)移風(fēng)險(xiǎn)）風(fēng)險(xiǎn)處理方方式及決策策原則80降低風(fēng)險(xiǎn)：：在考慮轉(zhuǎn)移移風(fēng)險(xiǎn)前，，應(yīng)首先考考慮采取措措施降低風(fēng)風(fēng)險(xiǎn)避免風(fēng)險(xiǎn)：：有些風(fēng)險(xiǎn)容容易避免，，例如采用用不同的技技術(shù)、更改改操作流程程、采用簡簡單的技術(shù)術(shù)措施等轉(zhuǎn)移風(fēng)險(xiǎn)：：通常只有當(dāng)當(dāng)風(fēng)險(xiǎn)不能能被降低風(fēng)風(fēng)險(xiǎn)和避免免、且被第第三方接受受時(shí)才采用用接受風(fēng)險(xiǎn)：：用于那些在在采取了降降低風(fēng)險(xiǎn)和和避免風(fēng)險(xiǎn)險(xiǎn)措施后，，出于實(shí)際際和經(jīng)濟(jì)方方面的原因因，只要組組織進(jìn)行運(yùn)運(yùn)營，就必必然存在并并必須接受受的風(fēng)險(xiǎn)為處理風(fēng)險(xiǎn)險(xiǎn)選擇控制制目標(biāo)和控控制措施81選擇控制目目標(biāo)和控制制措施應(yīng)考考慮接受風(fēng)風(fēng)險(xiǎn)的準(zhǔn)則則以及法律律法規(guī)和合合同要求將ISO27001附錄A作為選擇控控制措施的的出發(fā)點(diǎn)，，以確保不不會(huì)遺漏重重要的可選選控制措施施組織也可能能需要制定ISO27001附錄A以外的控制制目標(biāo)和控控制措施提示：在選選擇控制目目標(biāo)和控制制措施時(shí)，，并沒有一一套標(biāo)準(zhǔn)與與通用的辦辦法，選擇擇的過程往往往不是很很直接，可可能要涉及及一系列的的討論、咨咨詢和決策策過程P6-獲得管理者者對建議的的殘余風(fēng)險(xiǎn)險(xiǎn)的批準(zhǔn)82獲得管理層層接受風(fēng)險(xiǎn)險(xiǎn)評估團(tuán)隊(duì)隊(duì)所建議的的殘余風(fēng)險(xiǎn)險(xiǎn)的確認(rèn)是是風(fēng)險(xiǎn)評估估活動(dòng)中的的一個(gè)重要要過程管理層確認(rèn)認(rèn)接受殘余余風(fēng)險(xiǎn)，是是對風(fēng)險(xiǎn)評評估工作的的一種肯定定，表示管管理層已經(jīng)經(jīng)全面了解解了組織所所面臨的風(fēng)風(fēng)險(xiǎn)，并理理解在風(fēng)險(xiǎn)險(xiǎn)一旦變?yōu)闉楝F(xiàn)實(shí)后，，組織能夠夠且必須承承擔(dān)引發(fā)的的后果如果一個(gè)組組織所建立立的ISMS要尋求認(rèn)證證，認(rèn)證機(jī)機(jī)構(gòu)將尋求求管理層確確認(rèn)接受殘殘余風(fēng)險(xiǎn)的的書面證據(jù)據(jù)P7-獲得管理者者對實(shí)施和和運(yùn)行ISMS的授權(quán)83必須獲得管管理者對實(shí)實(shí)施和運(yùn)行行ISMS的授權(quán)。沒沒有授權(quán)，，實(shí)施和運(yùn)運(yùn)行ISMS的相關(guān)活動(dòng)動(dòng)就很難推推進(jìn)實(shí)施和運(yùn)行行ISMS，需要大量量的資源（（人力、資資金等），，沒有管理理層的授權(quán)權(quán)，就很難難申請并獲獲得這些資資源P8-編制適用性聲明明（SoA）84所選擇的控控制目標(biāo)和和措施以及及被選擇的的原因應(yīng)在在適用性聲聲明（StatementofApplicability，SoA）中進(jìn)行說明明SoA是適合組織織需要的控控制目標(biāo)和和控制的評評論，需要要提交給管管理者、職職員、具有有訪問權(quán)限限的第三方方相關(guān)認(rèn)證證機(jī)構(gòu)編制SoA一方面是為為了向組織織內(nèi)的員工工聲明對在在面臨的信信息安全風(fēng)風(fēng)險(xiǎn)的態(tài)度度，更大程程度上則是是為了向外外界表明組組織的態(tài)度度和作為，，以表明組組織已經(jīng)全全面、系統(tǒng)統(tǒng)地審視了了組織的信信息安全系系統(tǒng)，并將將所有需要要控制的風(fēng)風(fēng)險(xiǎn)控制在在能被接受受的范圍內(nèi)內(nèi)知識(shí)域：信信息安全管管理體系建建設(shè)知識(shí)子域：：實(shí)施和運(yùn)行行ISMS理解實(shí)施風(fēng)風(fēng)險(xiǎn)處理計(jì)計(jì)劃、開發(fā)發(fā)有效性測測量程序、、管理ISMS的運(yùn)運(yùn)行行等等實(shí)實(shí)施施和和運(yùn)運(yùn)行行ISMS的主主要要工工作作內(nèi)內(nèi)容容85實(shí)施和和運(yùn)行行ISMSD1-制定風(fēng)險(xiǎn)處處理計(jì)計(jì)劃D2-實(shí)施風(fēng)風(fēng)險(xiǎn)處處理計(jì)計(jì)劃D3-開發(fā)有有效性性測量量程序序D4-實(shí)施培培訓(xùn)和和意識(shí)識(shí)教育育計(jì)劃劃D5-管理ISMS的運(yùn)行行D6-管理ISMS的資源D7-執(zhí)行檢測事事態(tài)和和響應(yīng)應(yīng)事件件的程程序86D3-開發(fā)有有效性性測量量程序序ISMS運(yùn)行及及控制制措施施是否否有效效，要要有測測量方方法和和途徑徑，以以便制制定改改進(jìn)措措施加加以改進(jìn)開發(fā)一一份有有效性性測量量程序序，明明確需需要設(shè)設(shè)立的的測量量項(xiàng)目目，以以及每每一測測量項(xiàng)項(xiàng)目的的度量量標(biāo)準(zhǔn)準(zhǔn)、要要求達(dá)達(dá)到的的指標(biāo)標(biāo)、測測量方方式、、測量量周期期、測測量執(zhí)執(zhí)行人有效性性測量程程序本本身，，應(yīng)做做為ISMS文件加加以管管理和和控制87D5-管理ISMS的運(yùn)行行批準(zhǔn)并并發(fā)布布ISMS文件宣貫和解解釋ISMS文件要要求ISMS試運(yùn)行行期間間的管管理宣布ISMS正式運(yùn)運(yùn)行88ISMS試運(yùn)行行ISMS運(yùn)行初初期處處于磨磨合期期，一一般稱稱為試試運(yùn)行行期試運(yùn)行行期的的目的的是要要在實(shí)實(shí)踐中中檢驗(yàn)驗(yàn)ISMS的充分分性、、適用用性和和有效效性此期間間，宜加強(qiáng)運(yùn)運(yùn)作力力度，，通過過實(shí)施施ISMS文件，，充分分發(fā)揮揮ISMS本身的的各項(xiàng)項(xiàng)功能能，及及時(shí)發(fā)發(fā)現(xiàn)ISMS本身存存在的的問題題，找找出問問題的的根源源，采采取糾糾正措措施，，并按按照文文件控控制程程序要要求更更改體體系文文件，，以達(dá)達(dá)到進(jìn)進(jìn)一步步完善善ISMS的目的的89知識(shí)域域：信信息安安全管管理體體系建建設(shè)知識(shí)子子域：：監(jiān)視和和評審審ISMS理解進(jìn)進(jìn)行有有效性性測量量、實(shí)實(shí)施內(nèi)內(nèi)部審審核、、實(shí)施施管理理評審審等監(jiān)監(jiān)視和和評審審ISMS的主要要工作作內(nèi)容容90監(jiān)視和和評審審ISMSC1-日常監(jiān)監(jiān)視和和檢查查C2-進(jìn)行有有效性性測量量C3-實(shí)施內(nèi)內(nèi)部審審核C4-實(shí)施風(fēng)風(fēng)險(xiǎn)再再評估估C5-實(shí)施管管理評評審91C1-日常監(jiān)監(jiān)視和和檢查查是監(jiān)視與與評審審ISMS階段的的重要要活動(dòng)動(dòng)，能能發(fā)現(xiàn)現(xiàn)ISMS運(yùn)行過過程存存在的的問題題手段包包括自自動(dòng)入入侵檢檢測、、人工工檢查、趨勢勢分析析等應(yīng)作為為正常常業(yè)務(wù)務(wù)過程程的一一部分分予以以執(zhí)行行，以以便迅迅速檢檢測出錯(cuò)誤，，識(shí)別別安全全違規(guī)規(guī)行為為和安安全事事件，，確認(rèn)認(rèn)安全全活動(dòng)動(dòng)或技技術(shù)性性措施施是否否如期期執(zhí)行92C2-進(jìn)行有有效性性測量量目的是是驗(yàn)證ISMS運(yùn)行及及各項(xiàng)項(xiàng)控制制措施施是否否有效效，是是否滿滿足組組織的的安全全要求求和信信息安安全方方針，，是否否達(dá)成成組織織的信信息安安全目目標(biāo)各測量項(xiàng)目的的測量執(zhí)行行人要按照照既定的測測量方式、、測量周期期進(jìn)行測量量，生成并并保持測量量記錄對照已經(jīng)定義的的度量標(biāo)準(zhǔn)準(zhǔn)，可以得得到每個(gè)測測量項(xiàng)目的的評定結(jié)果果，；對照應(yīng)達(dá)到的的指標(biāo)，評判這一測測量項(xiàng)目是是否符合要求通過實(shí)施有效性性測量，組組織能夠準(zhǔn)準(zhǔn)確地掌握握其當(dāng)前信信息安全水水平93C3-實(shí)施內(nèi)部審審核根據(jù)擬審核業(yè)務(wù)務(wù)過程和范范圍的狀況況、重要性性，以及以以往審核結(jié)結(jié)果，確定定審核的準(zhǔn)準(zhǔn)則、范圍圍、頻次和和方法常規(guī)的內(nèi)部部審核實(shí)施施流程：審核前的準(zhǔn)備編制內(nèi)部審審核計(jì)劃、、成立內(nèi)審審小組、編編制內(nèi)審檢檢查列表實(shí)施內(nèi)部審核召開首次會(huì)會(huì)議、文件件審核、現(xiàn)現(xiàn)場審核、、確定不符符合項(xiàng)、召召開末次會(huì)會(huì)議編寫審核報(bào)報(bào)告內(nèi)容包括審審核情況概概述、審核核發(fā)現(xiàn)（即即符合項(xiàng)和和不符合項(xiàng)項(xiàng)的描述））、不符合合項(xiàng)的統(tǒng)計(jì)計(jì)與分析、、審核結(jié)論論以及糾正正措施要求求等內(nèi)部審核結(jié)結(jié)束后，還還應(yīng)有后續(xù)續(xù)跟蹤活動(dòng)動(dòng)94C5-實(shí)施管理評評審應(yīng)定期對ISMS實(shí)施管理評評審。當(dāng)系系統(tǒng)環(huán)境發(fā)發(fā)生較大變變化、組織織機(jī)構(gòu)發(fā)生生重大變化化或安全需需求發(fā)生改改變時(shí)，需需要適時(shí)進(jìn)進(jìn)行管理評審?fù)ǔＲ哉匍_開管理評審審會(huì)議的方方式進(jìn)行評審輸入材材料95ISMS審核和評審審的結(jié)果相關(guān)方的反反饋改進(jìn)技術(shù)、產(chǎn)品和規(guī)程程、預(yù)防和糾糾正措施的的狀況以往風(fēng)險(xiǎn)評評估沒有充充分強(qiáng)調(diào)的的脆弱性和和威脅有效性測量量的結(jié)果以往管理評評審的跟蹤蹤措施可能影響ISMS的任何變更更改進(jìn)ISMS的任何建議議評審輸出ISMS有效性的改改進(jìn)風(fēng)險(xiǎn)評估和和風(fēng)險(xiǎn)處置置計(jì)劃的更更新資源需求有效性測量量方法的改改進(jìn)修改ISMS文件和控制制措施以響響應(yīng)各種變變化知識(shí)域：信信息安全管管理體系建建設(shè)知識(shí)子域：：保持和改進(jìn)進(jìn)ISMS理解實(shí)施糾正和和預(yù)防措施施、溝通措措施和改進(jìn)進(jìn)情況等保保持和改進(jìn)進(jìn)ISMS的主要工作作內(nèi)容96保持和改進(jìn)進(jìn)ISMSA1-實(shí)施糾正和和預(yù)防措施施A2-溝通措施和和改進(jìn)情況況97A1-實(shí)施糾正和和預(yù)防措施施98不符合項(xiàng)指指：缺少或缺乏乏有效地實(shí)實(shí)施和維護(hù)護(hù)一個(gè)或多多個(gè)ISMS的要求在有客觀證證據(jù)的基礎(chǔ)礎(chǔ)上，引起起對ISMS安全方針和和組織安全全目標(biāo)能力力的重大懷懷疑從其它組織織和組織自自身的信息息安全實(shí)踐踐經(jīng)驗(yàn)和安安全事件教訓(xùn)中學(xué)習(xí)，采采取相應(yīng)的的改進(jìn)措施施，持續(xù)提提高信息安安全管理的的水平糾正性措施