第3章 信息安全管理體系

第3章信息安全管理體系趙剛3.1建立信息安全管理體系的工作步驟

3.2信息安全管理體系的策劃與準備

3.3信息安全管理體系的設計與建立

3.4信息安全管理體系的實施與運行

3.5信息安全管理體系的審核

3.6信息安全管理體系管理評審

3.7信息安全管理體系的改進與保持

3.8信息安全管理體系的認證3.1建立信息安全管理體系的工作步驟（1）信息安全管理體系的策劃與準備；（2）信息安全管理體系文件的編制；（3）建立信息安全管理框架；（4）信息安全管理體系的運行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評審。3.2信息安全管理體系的策劃與準備3.2.1管理承諾建立信息安全方針；建立信息安全目標和計劃；為信息安全確立角色和責任；向組織傳達信息安全目標和符合信息安全策略的重要性，組織的責任及持續(xù)改進的需要；提供足夠的資源以開發(fā)、實施、運行和維護信息安全管理體系；確定可接受風險的水平；進行信息安全管理體系的評審。3.2.2組織與人員建設成立信息安全委員會任命信息安全管理經(jīng)理組建信息安全管理推進小組保證有關(guān)人員的作用、職責和權(quán)限得到有效溝通組織機構(gòu)的設立原則信息安全管理體系組織結(jié)構(gòu)設立及職責劃分的注意事項3.2.3編制工作計劃序號階段項

目負責部門／人1準備階段1）領(lǐng)導決策做出實施ISMS的決策成立信息安全管理委員會任命信息安全管理經(jīng)理最高管理者2）建立信息安全組織機構(gòu)，并設計方案設立信息安全管理推進小組擬定ISMS實施草稿，并由信息安全管理委員會討論通過

信息安全管理委員會；信息安全管理經(jīng)理

3）編制ISMS工作計劃詳細實施計劃認證計劃培訓計劃信息安全管理經(jīng)理；信息安全管理推進小組4）學習培訓信息安全管理經(jīng)理；人事部3.2.3編制工作計劃序號階段項

目負責部門／人2初始狀態(tài)評審5）初始狀態(tài)評審了解組織概況、業(yè)務類別、企業(yè)文化等基本情況，收集適用于組織的法律、法規(guī)和其他與信息安全相關(guān)的文件和數(shù)據(jù)信息安全風險評估、選擇風險控制措施評估現(xiàn)有信息安全控制措施的適用性評價現(xiàn)行管理體系與ISO/IEC27001的差距信息安全管理經(jīng)理；信息安全管理推進小組3體系設計6）確定ISMS方針和目標最高管理者7）編制ISMS管理方案推進小組；組織內(nèi)相關(guān)部門8）ISMS責任分配及資源配備必要時對組織結(jié)構(gòu)進行調(diào)整將各項ISMS活動責任分配落實到各職能部門，編制職能分配矩陣表識別資源需求，配置必要的資源最高管理者；信息安全管理經(jīng)理3.2.3編制工作計劃序號階段項

目負責部門／人4文件編制9）文件的總體設計確定文件清單，確定ISMS文件與ISO/IEC27001標準條款的對照表制定文件編寫計劃編寫指導性文件信息安全管理經(jīng)理；推進小組10）編寫ISMS管理手冊編寫；討論修改；審核；批準最高管理者；各部門經(jīng)理；信息安全管理經(jīng)理；推進小組11）程序文件編寫、配套表格設計編寫；討論修改；審核；批準各部門經(jīng)理；信息安全管理經(jīng)理；推進小組12）作業(yè)指導書編寫、配套表格設計編寫；討論修改；審核；批準相關(guān)業(yè)務人員；各部門經(jīng)理；推進小組3.2.3編制工作計劃序號階段項

目負責部門／人5實施運行13）ISMS文件的學習各部門經(jīng)理；信息安全管理經(jīng)理14）試運行前的準備檢查資源配置到位情況制備各類標簽、標識用記錄表格、表卡等試運行前或試運行初最好把計量工作做好宣傳鼓動信息安全管理經(jīng)理；各部門經(jīng)理15）宣布試運行最高管理者16）貫徹實施、整改完善各部門經(jīng)理17）內(nèi)審員的培訓信息安全管理經(jīng)理；人事部18）ISMS內(nèi)部審核內(nèi)部審核小組19）管理評審最高管理者6審核認證20）申請認證信息安全管理經(jīng)理21）認證各部門經(jīng)理3.2.4能力要求與教育培訓組織應對人員的培訓、意識和能力的要求建立文件化的程序。人員能力的基本要求：保證人員能力的措施培訓的實施培訓的內(nèi)容培訓的方式3.3信息安全管理體系的設計與建立3.3.1編寫信息安全管理體系文件3.3.2建立信息安全管理框架3.3.1編寫信息安全管理體系文件ISMS文件；文件的作用；文件的層次；文件的編寫；文件的管理；3.3.2建立信息安全管理框架定義信息安全策略；定義ISMS的范圍；實施信息安全風險評估；實施信息安全風險管理；確定控制目標和選擇控制措施；準備信息安全適用性聲明3.4信息安全管理體系的實施與運行3.4.1信息安全管理體系的試運行3.4.2實施和運行ISMS工作3.4.1信息安全管理體系的試運行領(lǐng)導動員，以身作則；有針對性地宣傳貫徹ISMS文件；完善信息反饋與信息安全協(xié)調(diào)機制；加強ISMS運行信息的管理；3.4.2實施和運行ISMS工作闡明風險處理計劃；實施風險處理計劃；實施選擇的控制措施；評價控制措施有效性；實施培訓和意識教育計劃；管理ISMS的運行；管理ISMS資源；實施能夠迅速檢測安全事態(tài)和響應安全事件的程序和其他控制措施。3.5信息安全管理體系的審核3.5.1審核的概念3.5.2ISMS內(nèi)部審核3.5.1審核的概念1.審核概念體系審核是組織為獲得審核證據(jù)并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。ISMS審核包括管理和技術(shù)兩方面的審核，管理性審核主要是定期檢查有關(guān)信息安全方針、策略與規(guī)程是否被正確有效地實施；技術(shù)性審核是指定期檢查組織的信息系統(tǒng)符合信息安全實施標準的情況，技術(shù)性的審核需要信息安全技術(shù)人員的支持，必要時會使用系統(tǒng)審核工具。3.5.1審核的概念2.審核目的檢查ISO/IEC27001的實施程度與標準的符合性情況；檢查滿足組織安全策略與安全目標的有效性和適用性；識別安全漏洞與弱點；給管理者提供信息安全控制目標實現(xiàn)狀況，使管理者了解信息安全問題；指出存在的重大的控制弱點，證實存在的風險；建議管理者采用正確的校正行動，為管理者的決策提供有效支持；滿足法律、法規(guī)與合同的需要；提供改善ISMS的機會。3.5.1審核的概念3.審核分類

內(nèi)部ISMS審核外部ISMS審核目的審核ISMS的符合性、有效性，采取糾正措施，使體系正常運行和持續(xù)改進第二方：選擇合適的合作伙伴；證實合作方持續(xù)滿足規(guī)定要求；促進合作方改進信息安全管理體系第三方：導致認證、注冊審核方第一方第二方、第三方依據(jù)ISO/IEC27001標準ISMS文件適用于組織的有關(guān)ISMS法規(guī)及其它要求第二方：合同，ISMS文件；適用于被審核方的ISMS法規(guī)及其它要求第三方：ISO/IEC27001標準；ISMS文件；適用于被審核方的ISMS法規(guī)及其它要求審核方案集中式/滾動式審核集中式審核審核員有資格的內(nèi)審員，也可聘外部審核員第二方：自己或外聘審核員第三方：注冊審核員文件審查根據(jù)需要安排必須進行審核報告提交不符合報告和采取糾正措施的建議只提交不符合報告糾正措施重視糾正措施。對糾正措施計劃可提方向性意見供參考，對糾正措施完成情況不僅要跟蹤驗證，還要分析研究其有效性。對糾正不能作咨詢，對糾正措施計劃的實施要跟蹤驗證監(jiān)督檢查無此內(nèi)容認證或認可后，每年至少進行一次監(jiān)督檢查3.5.1審核的概念4.審核步驟審核計劃；審核準備；現(xiàn)場審核；編寫審核報告；糾正措施的跟蹤；全面審核報告的編寫和糾正措施計劃完成情況的匯總分析。3.5.2ISMS內(nèi)部審核內(nèi)部審核基本內(nèi)容內(nèi)部審核流程實施策略3.6信息安全管理體系管理評審1.管理評審的定義管理評審主要是指組織的最高管理者按規(guī)定的時間間隔對信息安全管理體系進行評審，以確保體系的持續(xù)適宜性、充分性和有效性。2.職責與權(quán)限組織最高管理者：主持召開管理評審大會，批準《管理評審報告》；管理者：批準《管理評審計劃》，組織召開管理評審會，組織撰寫《管理評審報告》；主管體系建設部門：制定《管理評審計劃》，負責搜集并提供管理評審資料，負責對評審后的糾正、對預防措施進行跟蹤和驗證；各部門：準備、提供與本部門工作相關(guān)的評審所需的資料，負責實施管理評審中提出的相關(guān)的糾正及預防措施。3.評審輸入信息安全管理體系審核和評審的結(jié)果；相關(guān)方的反饋；可以用于組織改進其信息安全管理體系績效和有效性的技術(shù)、產(chǎn)品或程序；預防和糾正措施的狀況；以往風險評估沒有足夠強調(diào)的威脅或脆弱性；以往管理評審的跟蹤措施；任何可能影響信息安全管理體系的變更；改進的建議。4.評審輸出對信息安全管理體系有效性的改進；風險評估和風險處置計劃的更新；修改影響信息安全的程序，必要時，回應內(nèi)部或外部可能影響信息安全管理體系的事件；資源需求；如何測量控制措施有效性的改進。5.制定年度管理評審計劃管理評審計劃的主要內(nèi)容包括：審核目的、審核范圍、審核準則、審核組的組建、審核員的資質(zhì)、審核的時間、參與評審的部門等要求。管理評審一般每年進行一次，一般在同一年度最后一次內(nèi)部審核完成后進行，也可根據(jù)需要安排。管理評審實施計劃由主管體系建設部門組織制定。主管體系建設的部門于每次管理評審前一個月編制《管理評審計劃》，報管理者審批。c6.資料準備7.管理評審會議8.管理評審報告9.相關(guān)支持性文件和記錄《文件控制程序》《記錄控制程序》《內(nèi)部審核程序》《管理評審計劃》《管理評審會議通知》《管理評審報告》《管理評審會議記錄》《年度管理評審計劃》10.管理評審的后續(xù)工作3.7信息安全管理體系的改進與保持3.7.1持續(xù)改進3.7.2糾正措施識別不符合；確定不符合的原因；評價確保不符合不再發(fā)生所需的措施；確定和實施所需的糾正措施；記錄所采取措施的結(jié)果；評審所采取的糾正措施。3.7.3預防措施識別潛在不符合及其原因；評價預防不符合發(fā)生所需的措施；確定并實施所需的預防措施；記錄所采取措施的結(jié)果；評審所采取的預防措施。3.8信息安全管理體系的認證3.8.1認證基本含義1．認證的定義認證是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、服務符合規(guī)定的要求給予書面保證（合格證書），認證的基礎是標準，認證的方法包括對產(chǎn)品特性的抽樣檢驗和對組織體系的審核與評定，認證的證明方式是認證證書與認證標志。信息安全認證包括兩類：一類為ISMS認證，另一類為信息安全產(chǎn)品認證。3.8.1認證基本含義2．認證的目的和作用獲得最佳的信息安全運行方式；保證業(yè)務安全；降低風險、避免損失；保護核心競爭優(yōu)勢；提高商業(yè)活動中的信譽；增加競爭能力；滿足客戶要求；保證可持續(xù)發(fā)展；符合法律法規(guī)要求。3.8.1認證基本含義3．認證范圍文件化的適用性聲明；組織的相關(guān)活動；要包含在內(nèi)的組織的范圍；地理位置；信息系統(tǒng)邊界、平臺；所包含的支持活動；例外情況；在開展認證過程之前認證機構(gòu)需要對認證范圍進行認可。3.8.2認證的基本條件與認證機構(gòu)和證書遵循法律、法規(guī)的努力已被相關(guān)機構(gòu)認同；信息安全管理體系文件完全符合標準要求；信息安全管理體系已被有效實施，即組織在風險評估的基礎上識別出需要保護的關(guān)鍵信息資產(chǎn)、制定信息安全方針、確定安全控制目標與控制方式并實施、完成體系審核與評審活動并采取相應的糾正預防措施。1．認證條件3.8.2認證的基本條件與認證機構(gòu)和證書2．認證機構(gòu)3.8.2認證的基本條件與認證機構(gòu)和證書3．證書與標志組織全稱，涉及到的相關(guān)組織；業(yè)務的相關(guān)地點；業(yè)務的流程；相關(guān)的業(yè)務功能與活動；認證的范圍；適用性聲明和特定版本的描述；關(guān)于信息安全系統(tǒng)滿足ISO/IEC27001認證標準的聲明；證書開始生效的時間；證書號。3.8.3信息安全管理體系的認證過程3.8.3信息安全管理體系的認證過程

第一階段第二階段目的了解ISMS狀況，確認被審核方是否具備認證審核條件；確定第二階段審核的可行性；確定第二階段審核的重點。評價被審核方的ISMS是否有效實施；決定被審核方能否通過認證審核并取得注冊。范圍被審核方的ISMS文件和有關(guān)資料；與重要信息資產(chǎn)極高風險源有關(guān)的現(xiàn)場。所有現(xiàn)場和有關(guān)文件與資料。審核人日較少（約占總?cè)巳盏?/3-1/4）