信息安全管理信息安全管理體系

第二章信息安全管理體系零一管理體系概述零二BS七七九九信息安全管理體系ContentsPage目錄零三二七零零零信息安全管理體系零四基于等級保護地信息安全管理體系零五信息安全管理體系地建立與認證信息安全管理體系（InformationSecurityManagementSystem,ISMS）是組織在整體或特定范圍內(nèi)建立地信息安全方針與目地,以及完成這些目地所用方法與手段構(gòu)成地體系。信息安全管理體系是信息安全管理活動地直接結(jié)果,表示為方針,原則,目地,方法,計劃,活動,程序,過程與資源地集合。二.一.一信息安全管理內(nèi)涵第一節(jié)信息安全管理體系地概念第二章信息安全管理體系（一）PDCA循環(huán)簡介PDCA循環(huán)地概念最早是由美質(zhì)量管理專家戴明提出來地,所以又稱為"戴明環(huán)",在質(zhì)量管理應(yīng)用廣泛。P（Plan）—計劃,確定方針與目地,確定活動計劃;D（Do）—實施,采取實際措施,實現(xiàn)計劃地內(nèi)容;C（Check）—檢查,檢查總結(jié)執(zhí)行計劃地結(jié)果,評價效果,找出問題;A（Action）—行動,對檢查總結(jié)地結(jié)果行處理,成功地經(jīng)驗加以肯定并適當(dāng)推廣,標準化;失敗地教訓(xùn)加以總結(jié),以免重現(xiàn);未解決地問題放到下一個PDCA循環(huán)。第二章信息安全管理體系二.一.二PDCA循環(huán)第一節(jié)信息安全管理體系地概念DOCheckPlanAction（二）信息安全管理體系地PDCA過程PDCA循環(huán)是質(zhì)量管理地基本方法。建立與實施信息安全管理體系ISMS,需要采用過程地方法開發(fā),實施與改信息安全管理體系地有效;失敗地教訓(xùn)加以總結(jié),以免重現(xiàn);未解決地問題放到下一個PDCA循環(huán)。第二章信息安全管理體系二.一.二PDCA循環(huán)第一節(jié)信息安全管理體系地概念（二）信息安全管理體系地PDCA過程第二章信息安全管理體系二.一.二PDCA循環(huán)第一節(jié)信息安全管理體系地概念一,計劃階段主要任務(wù)是根據(jù)風(fēng)險評估,法律法規(guī)要求,組織業(yè)務(wù)運營自身要求來確定控制目地與控制方式。二,實施階段主要任務(wù)是實施組織所選擇地控制目地與控制措施。主要包括保證資源,提供培訓(xùn),提高安全意識與風(fēng)險治理。三,檢查階段主要任務(wù)是行有關(guān)方針,程序,標準與法律法規(guī)地符合檢查,對存在地問題采取措施,予以改。。四,行動階段主要任務(wù)是對信息安全管理體系行評價,并以檢查階段采集地不符合項信息為基礎(chǔ),經(jīng)常對信息安全管理體系行調(diào)整與改。BS七七九九標準由英貿(mào)易工業(yè)部制訂出版,是際上具有代表地信息安全管理體系。BS七七九九標準具體分為兩個部分:BS七七九九-一:《信息安全管理實施規(guī)則》與BS七七九九-二:《信息安全管理體系規(guī)范》。第二節(jié)BS七七九九信息安全管理體系第二章信息安全管理體系BS七七九九-一:提供了一套綜合地,由信息安全最佳慣例組成地實施規(guī)則,可以作為大型,型及小型組織確定信息安全所需地控制范圍地參考基準BS七七九九-二:詳細說明了建立,實施與維護信息安全管理體系地要求,是組織全面或部分信息安全管理系統(tǒng)評估地基礎(chǔ)BS七七九－一規(guī)范地基本內(nèi)容包括一一個管理方面,一三四個控制方法。第二節(jié)BS七七九九信息安全管理體系第二章信息安全管理體系一．安全方針/策略（SecurityPolicy）二．安全組織（SecurityOrganization）三．資產(chǎn)分類與控制（AssetClassificationandControl）四．員安全（PersonnelSecurity）五．物理與環(huán)境安全（PhysicalandEnvironmentalSecurity）六．通信與運營管理（municationsand

OperationsManagement）八．系統(tǒng)開發(fā)與維護（Systems

DevelopmentandMaintenance）七．訪問控制（AccessControl）九．信息安全管理（InformationSecurityIncidentManagement）一零．業(yè)務(wù)持續(xù)管理（BusinessContinuityManagement）一一．法律法規(guī)符合（pliance）為了更好地指導(dǎo),規(guī)范信息安全管理體系建設(shè),際標準化組織（ISO）專門為信息安全管理體系標準預(yù)留了ISO/IEC二七零零零系列編號。到目前為止,正式發(fā)布地ISO/IEC二七零零零信息安全管理體系標準有一零個,其部分已經(jīng)轉(zhuǎn)化成我地家標準。第三節(jié)ISO二七零零零信息安全管理體系第二章信息安全管理體系全部標準基本可以分為以下四部分:第三節(jié)ISO二七零零零信息安全管理體系第二章信息安全管理體系第一部分:要求與支持指南,包括ISO/IEC二七零零零到ISO/IEC二七零零五,是信息安全管理體系地基礎(chǔ)與基本要求。第二部分:有關(guān)認證認可與審核地指南,包括ISO/IEC二七零零六到ISO/IEC二七零零八,面向認證機構(gòu)與審核員。第三部分:面向?qū)ｉT行業(yè)地信息安全管理要求,如金融業(yè),電信業(yè),或者專門應(yīng)用于某個具體地安全域,如數(shù)字證據(jù),業(yè)務(wù)連續(xù)方面。第四部分:由ISO技術(shù)委員會TC二一五單獨制定地,應(yīng)用于醫(yī)療信息安全管理地標準ISO二七七九九,以及一些處于研究階段地成果。（一）ISO/IEC二七零零一《信息安全管理體系要求》第三節(jié)ISO二七零零零信息安全管理體系第二章信息安全管理體系于二零零五年發(fā)布第一版,二零一三年發(fā)布第二版,二零零八年等同轉(zhuǎn)化為家標準GB/T二二零八零-二零零八/ISO/IEC二七零零一:二零零五。是ISMS地規(guī)范標準,來源于BS七七九九-二,各類組織可以按照ISO二七零零一地要求建立自己地信息安全管理體系,并通過認證。ISO/IEC二七零零一也是ISO/IEC二七零零零系列最核心地兩個標準之一,著眼于組織地整體業(yè)務(wù)風(fēng)險,通過對業(yè)務(wù)行風(fēng)險評估來建立,實施,運行,監(jiān)視,評審,保持與改其信息安全管理體系,確保其信息資產(chǎn)地保密,可用與完整,適用于所有類型地組織。（二）ISO/IEC二七零零二《信息安全管理實用規(guī)則》第三節(jié)ISO二七零零零信息安全管理體系第二章信息安全管理體系于二零零五年發(fā)布第一版,二零一三年發(fā)布第二版,二零零八年等同轉(zhuǎn)化為家標準GB/T二二零八一-二零零八/ISO/IEC二七零零二:二零零五。ISO/IEC二七零零二也是ISO/IEC二七零零零系列最核心地兩個標準之一。來源于BS七七九九-一,二零一三版從一四個方面提出三五個控制目地與一一三個控制措施,這些控制目地與措施是信息安全管理地最佳實踐。（三）ISO/IEC二七零零三《信息安全管理體系實施指南》第三節(jié)ISO二七零零零信息安全管理體系第二章信息安全管理體系于二零一零年發(fā)布,該標準適用于所有類型,所有規(guī)模與所有業(yè)務(wù)形式地組織,為建立,實施,運行,監(jiān)視,評審,保持與改符合ISO/IEC二七零零一地信息安全管理體系提供實施指南。它給出了ISMS實施地關(guān)鍵成功因素,按照PDCA地模型,明確了計劃,實施,檢查,糾正每個階段地活動內(nèi)容與詳細指南。信息安全等級保護是指根據(jù)信息系統(tǒng)在家安全,經(jīng)濟安全,社會穩(wěn)定與保護公利益等方面地重要程度,結(jié)合系統(tǒng)面臨地風(fēng)險,應(yīng)對風(fēng)險地安全保護要求與成本開銷等因素,將其劃分成不同地安全保護等級,采取相應(yīng)地安全保護措施,以保障信息與信息系統(tǒng)地安全。二.四.一等級保護概念第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系（一）信息安全等級保護基本原則二.四.一等級保護概念第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系一,重點保護原則重點保護關(guān)系家安全,經(jīng)濟命脈,社會穩(wěn)定等方面地重要信息系統(tǒng),集資源首先確保重點系統(tǒng)安全。二,誰主管誰負責(zé),誰運營誰負責(zé)由各主管部門與運營單位依照家有關(guān)法規(guī)與標準,自主確定信息系統(tǒng)地安全等級并按照有關(guān)要求組織實施安全防護。三,分區(qū)域保護原則根據(jù)信息系統(tǒng)地重要程度,業(yè)務(wù)特點與不同發(fā)展水,通過劃分不同安全保護等級地區(qū)域,實現(xiàn)不同強度地安全保護。四,同步建設(shè),動態(tài)調(diào)整原則信息系統(tǒng)在新建,改建時應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施;當(dāng)應(yīng)用類型,范圍變化引起保護等級變更時,應(yīng)重新確立新地保護等級。（二）安全保護等級劃分二.四.一等級保護概念第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系根據(jù)信息與信息系統(tǒng)在家安全,經(jīng)濟建設(shè),社會生活地重要程度;遭到破壞后對家安全,社會秩序,公利益以及公,法與其它組織地合法權(quán)益地危害程度;針對信息地保密,完整與可用等要求及信息系統(tǒng)需要要達到地基本地安全保護水等因素,信息與信息系統(tǒng)地安全保護等級可分為五級。（二）安全保護等級劃分二.四.一等級保護概念第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系第一級:自主保護級第二級:指導(dǎo)保護級第三級:監(jiān)督保護級第四級:強制保護級第五級:專控保護級（一）等級保護實施方法二.四.二等級保護實施方法與過程第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系信息安全等級保護地實施方法主要涉及以下內(nèi)容:安全定級:對系統(tǒng)行安全等級地確定;基本安全要求分析:對應(yīng)安全等級劃分標準,分析,檢查系統(tǒng)地基本安全要求;系統(tǒng)特定安全要求分析:根據(jù)系統(tǒng)地重要,涉密程度及具體應(yīng)用情況,分析系統(tǒng)特定安全要求;風(fēng)險評估:分析與評估系統(tǒng)所面臨地安全風(fēng)險;改與選擇安全措施:根據(jù)系統(tǒng)安全級別地保護要求與風(fēng)險分析地結(jié)果,改現(xiàn)有安全保護措施,選擇新地安全保護措施;實施:實施安全保護。（一）等級保護實施方法二.四.二等級保護實施方法與過程第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系（二）等級保護實施過程二.四.二等級保護實施方法與過程第四節(jié)基于等級保護地信息安全管理體系第二章信息安全管理體系等級保護地實施過程包括三個階段:（a）定級階段系統(tǒng)識別與描述等級確定（b）規(guī)劃與設(shè)計階段系統(tǒng)分域保護框架建立選擇與調(diào)整安全措施安全規(guī)劃與方案設(shè)計（c）實施,等級評估與改階段安全措施地實施評估與驗收運行監(jiān)控與改二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系不同地組織在建立與完善信息安全管理體系時,可根據(jù)自己地特點與具體情況采取不同地步驟與方法,一般來說,建立信息安全管理體系要經(jīng)過下列五個基本步驟:信息安全管理體系地策劃與準備建立信息安全管理框架信息安全管理體系文件地編制信息安全管理體系地運行信息安全管理體系地審核與評審二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系按照BS七七九九標準,建立信息安全管理體系地詳細過程如下:（一）信息安全管理體系地準備管理承諾,組織管理層應(yīng)提供其承諾建立,實施,運行,監(jiān)控,評審,維護與改信息管理體系地證據(jù),這是成功實施信息安全管理體系地重要保證。組織與員建設(shè),為在組織順利建立信息安全管理體系,需要建立有效信息安全機構(gòu),對組織地各類員分配角色,明確權(quán)限,落實責(zé)任并予以溝通。編制工作計劃,為確保體系順利建立,組織應(yīng)行統(tǒng)籌安排,制定一個切實可行地工作計劃,明確不同時間段地工作任務(wù)與目地及責(zé)任分工,控制工作度,突出工作重點。能力要求與教育培訓(xùn),培訓(xùn)工作要分層次,分階段,循序漸地行,而且需要是全員培訓(xùn)。二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系（二）建立信息安全管理框架組織首先應(yīng)根據(jù)自身地業(yè)務(wù)質(zhì),組織特征,資產(chǎn)狀況與技術(shù)條件定義ISMS地總體方針與范圍,然后在風(fēng)險分析地基礎(chǔ)上行安全評估,并確定信息安全風(fēng)險管理制度,選擇控制目地,準備適用聲明層應(yīng)提供其承諾建立,實施,運行,監(jiān)控,評審,維護與改信息管理體系地證據(jù),逐步建立信息安全框架。二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系（三）編寫B(tài)S七七九九信息安全管理體系文件編寫信息安全管理體系文件是組織建立信息安全管理體系地重要基礎(chǔ)工作,主要包括:信息安全方針與策略ISMS范圍風(fēng)險評估報告風(fēng)險控制計劃ISMS地控制目地與控制措施ISMS管理與具體操作地過程標準要求地記錄信息安全有關(guān)職責(zé)描述與有關(guān)地活動事項適用聲明二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系（四）BS七七九九信息安全管理體系地運行在信息安全管理體系試運行過程,要重點注意以下事項:有針對地宣傳信息安全管理體系文件完善信息反饋與信息安全協(xié)調(diào)機制加強有關(guān)體系運行信息地管理加強信息安全體系文件地管理二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系（五）BS七七九九信息安全管理體系地審核體系審核是為獲得審核證據(jù),對體系行客觀地評價,以確定滿足審核準則地程度所行地系統(tǒng)地,獨立地并形成文件地過程。包括內(nèi)部體系審核與外部體系審核兩類。體系審核主要步驟如下:確定任務(wù)（審核策劃）審核準備現(xiàn)場審核編寫審核報告糾正措施地跟蹤全面審核報告地編寫與糾正措施計劃完成情況地匯總分析二.五.一信息安全管理體系地建立第五節(jié)信息安全管理體系地建立與認證第二章信息安全管理體系（六）BS七七九九信息安全管理體系地管理評審管理評審主要是指組織地最高管理者按規(guī)定地時間間隔對信息安