CISP-信息安全工程及保障管理體系建設(shè)方案

2 信息安全管理的作用 信息安全管理的作用信息安全管理信息安全管理基本概念 風(fēng)險(xiǎn)管理的概念和作用信息安全管理體系信息安全管理體系安全管理控制措施的概念和作用過程方法與過程方法與PDCA循環(huán)信息安全管理體系建設(shè)信息安全管理體系建設(shè)建立、運(yùn)行、評(píng)審與改進(jìn)建立、運(yùn)行、評(píng)審與改進(jìn)ISMS知識(shí)體知識(shí)域知識(shí)子域3u知識(shí)子域：信息安全管理的作用u知識(shí)子域：風(fēng)險(xiǎn)管理的概念和作用u知識(shí)子域：信息安全管理控制措施的概念和作用4u一、信息安全管理概述u二、信息安全管理體系u三、信息安全管理體系建立u四、信息安全管理控制規(guī)范5u（一）信息安全管理基本概念u（二）信息安全管理的狀況4、成功實(shí)施信息安全管理的關(guān)鍵6u1、信息安全u2、信息安全管理u3、基于風(fēng)險(xiǎn)的信息安全7u信息：信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值，因此需要妥善保護(hù)。u信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通過采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的保密性、完整性和可用性不被破壞。保密保密性性性性89u確保只有那些被授予特定權(quán)限的人才能夠訪問到信息。信息的保密性依據(jù)信息被允許訪問對(duì)象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級(jí)。u保證信息和處理方法的正確性和完整性。信息完整性一方面指在使用、傳輸、存儲(chǔ)信息的過程中不發(fā)生篡改信息、丟失信息、錯(cuò)誤信息等現(xiàn)象；另一方面指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮?，有可能造成重要文件的丟失，甚至整個(gè)系統(tǒng)的癱瘓。u確保那些已被授權(quán)的用戶在他們需要的時(shí)候，確實(shí)可以訪問到所需信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如，通信線路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)。u統(tǒng)計(jì)結(jié)果表明，在所有信息安全事故中，~只有20%~30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來看信息和網(wǎng)絡(luò)安全的全貌就會(huì)發(fā)現(xiàn)安全問題實(shí)際上都是人的問題,單憑技術(shù)是無法實(shí)現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。u信息安全是一個(gè)多層面、多因素的過程，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬、顧此失彼的問題，使得信息安全這只“木桶”出現(xiàn)若干“短板”，從而無法提高信息安全水平。u正確的做法是參考國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過程，根據(jù)組織對(duì)信息安全的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理安全管理體系，從而保證組織賴以生存的信息資產(chǎn)的保密性、完整性和可用性。<——<——過程規(guī)則組織人員u信息安全管理是通過維護(hù)信息的保密性、完整性和可用性，來管理和保護(hù)組織所有的信息資產(chǎn)的一項(xiàng)體制；是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)的一組相互協(xié)調(diào)的活動(dòng)，有效的信息安全管理要盡量做到在有限的成本下，保證安全風(fēng)險(xiǎn)控制在可接受的范圍。u（1）安全風(fēng)險(xiǎn)的基本概念u（2）信息安全的風(fēng)險(xiǎn)模型u（2）基于風(fēng)險(xiǎn)的信息安全u資產(chǎn)是任何對(duì)組織有價(jià)值的東西u信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值u資威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的環(huán)境或事件u威脅是利用脆弱性來造成后果u黑客入侵和攻擊病毒和其他惡意程序u軟硬件故障人為誤操作u盜竊u供電故障后門u未授權(quán)訪問……自然災(zāi)害如：地震、火災(zāi)u是與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。u脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。u系統(tǒng)漏洞程序Bugu專業(yè)人員缺乏不良習(xí)慣u缺少審計(jì)缺乏安全意識(shí)u后門u物理環(huán)境訪問控制措施不當(dāng)……20安全控制措施根據(jù)安全需求部署的，用來防范威脅，降低風(fēng)險(xiǎn)的措施安全控制措施舉例……21沒有絕對(duì)的安全，只有相對(duì)的安全信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過恰當(dāng)、足夠、綜合的安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。22信息安全追求目標(biāo)確保業(yè)務(wù)連續(xù)性業(yè)務(wù)風(fēng)險(xiǎn)最小化保護(hù)信息免受各種威脅的損害投資回報(bào)和商業(yè)機(jī)遇獲得信息安全方式實(shí)施一組合適的控制措施，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能23風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行界定。信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理體系建立的基礎(chǔ)，沒有風(fēng)險(xiǎn)評(píng)估，信息安全管理體系的建立就沒有依據(jù)。24風(fēng)險(xiǎn)評(píng)估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置，本質(zhì)上,風(fēng)險(xiǎn)處置的最佳集合就是信息安全管理體系的控制措施集合?？刂颇繕?biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息安全建立體系的建立過程。信息安全管理體系的核心就是這些最佳控制措施集合的。251、信息安全管理的作用2、信息安全管理的發(fā)展3、信息安全管理有關(guān)標(biāo)準(zhǔn)4、成功實(shí)施信息安全管理的關(guān)鍵26保險(xiǎn)柜就一定安全嗎？如果你把鑰匙落在鎖眼上會(huì)怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用27防火墻能解決這樣的問題嗎？28應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過程29就開始制定《信息技術(shù)信息安全管理指南》(），?《信息安全的概念和模型》?《信息安全管理和規(guī)劃》?《信息安全管理技術(shù)》?《基線方法》?《網(wǎng)絡(luò)安全管理指南》30），《信息安全管理體系規(guī)范》。2002年又頒布了《信息安全管理系統(tǒng)規(guī)范說明》（BS7799-2:2002）。313233u（1）國(guó)際信息安全管理標(biāo)準(zhǔn)u（2）國(guó)內(nèi)信息安全管理標(biāo)準(zhǔn)343536373839WG7組已有的標(biāo)準(zhǔn)40WG7組研究中的標(biāo)準(zhǔn)4142u理解組織文化u得到高層承諾u做好風(fēng)險(xiǎn)評(píng)估u整合管理體系u積極有效宣貫u納入獎(jiǎng)懲機(jī)制u持續(xù)改進(jìn)體系43u（一）什么是信息安全管理體系u（二）信息安全管理體系的框架u（三）信息安全管理過程方法要求u（四）信息安全管理控制措施要求44u1、信息安全管理體系的定義u2、信息安全管理體系的特點(diǎn)u3、信息安全管理體系的作用u4、信息安全管理體系的文件45SecurityManagementSystem）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。它是直接管理活動(dòng)的結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。46u信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和措施等一系列活動(dòng)來建立信息安全管理體系；u體系的建立基于系統(tǒng)、全面、科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息安全的法律、法規(guī)及其他合同方面的要求；u強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原則合理選擇安全控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。47u對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；u在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；u促使管理層貫徹信息安全管理體系，強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；u使組織的生意伙伴和客戶對(duì)組織充滿信心；u組織可以按照安全管理，達(dá)到動(dòng)態(tài)的、系統(tǒng)地、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè)務(wù)的持續(xù)性。48u各廠商、各標(biāo)準(zhǔn)化組織都基于各自的角度提出了各種信息安全管理的體系標(biāo)準(zhǔn)，這些基于產(chǎn)品、技術(shù)與管理層面的標(biāo)準(zhǔn)在某些領(lǐng)域得到了很好的應(yīng)用，但從組織信息安全的各個(gè)角度和整個(gè)生命周期來考察，如果忽略了組織中最活躍的因素——人的作用，則信息安全管理體系是不完備的，考察國(guó)內(nèi)外的各種信息安全事件，不難發(fā)現(xiàn)，在信息安全時(shí)間表象后面其實(shí)都是人的因素在起決定作用。49技術(shù)因素技術(shù)因素人的因素管理因素在信息安全問題上，要綜合考慮人員與管理、技術(shù)與產(chǎn)品、流程與體系。信息安全管理體系是人員、管理與技術(shù)三者的互動(dòng)。持續(xù)改進(jìn)完善信息安全治理結(jié)構(gòu)持續(xù)改進(jìn)完善信息安全治理結(jié)構(gòu)管理措施風(fēng)險(xiǎn)評(píng)估安全規(guī)劃信息安全管理框架↓管理措施風(fēng)險(xiǎn)評(píng)估安全規(guī)劃信息安全管理框架技術(shù)手段信息系統(tǒng)安全信息系統(tǒng)安全↓監(jiān)控業(yè)務(wù)與安全環(huán)境↓監(jiān)控業(yè)務(wù)與安全環(huán)境↓51u1、信息安全管理體系循環(huán)框架u2、信息安全管理體系內(nèi)容框架u3、信息安全管理體系文件框架u4、信息安全管理體系系列標(biāo)準(zhǔn)52信息安全管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。相關(guān)方相關(guān)方信息安全要求和期望信息安全要求和期望相關(guān)方相關(guān)方受控的信息安全53uPDCA也稱“戴明環(huán)”，由美國(guó)質(zhì)量管理專家戴明提出。uP（Plan）：計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)uD（Do）：實(shí)施，實(shí)際去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；uC（Check）：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問題；uA（Action）：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理,成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。545556其他最佳實(shí)踐標(biāo)準(zhǔn)與各安全控制域之間的對(duì)應(yīng)ISO27000系列不是信息安全管理體系的全部5758操作手冊(cè)操作手冊(cè)操作手冊(cè)考核指標(biāo)考核指標(biāo)安全策略考核指標(biāo)考核指標(biāo)操作手冊(cè)操作手冊(cè)59u（2）NISTSP800系列6027001270012700227006270002700527003270046127001的附錄A27001的附錄A將兩者聯(lián)系起來，作為ISMS過程的一部分測(cè)量ISMS控制措施的性能和有效性的要求將兩者聯(lián)系起來2700127004ISMS度量指標(biāo)和衡量2700227004ISMS度量指標(biāo)和衡量2700262u正在啟動(dòng)的新標(biāo)準(zhǔn)項(xiàng)目；u它將主要以ISO/IEC13335-1:2004《信息和通信技術(shù)安全管理第1部分：信息和通信技術(shù)安全管理的概念和模型》為基礎(chǔ)進(jìn)行研究；u該標(biāo)準(zhǔn)將規(guī)定27000系列標(biāo)準(zhǔn)所共用的基本原則、概念和詞匯。63u2005年10月15日發(fā)布；u規(guī)定了一個(gè)組織建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持、改進(jìn)信息安全管理體系的要求；u基于風(fēng)險(xiǎn)管理的思想，旨在通過持續(xù)改進(jìn)的過程（PDCA模型）使組織達(dá)到有效的信息安全；u使用了和ISO9001、ISO14001相同的管理體系過程模型；u是一個(gè)用于認(rèn)證和審核的標(biāo)準(zhǔn)；64u即17799，2005年6月15日發(fā)布第二版；u包含有11個(gè)安全類別、39個(gè)控制目標(biāo)、138個(gè)控制措施；u實(shí)施27001的支撐標(biāo)準(zhǔn)，給出了組織建立ISMS時(shí)應(yīng)選擇實(shí)施的控制目標(biāo)和控制措施集；u是一個(gè)行業(yè)最佳慣例的匯總集，而不是一個(gè)認(rèn)證和審核標(biāo)準(zhǔn)；65u目前處于工作草案階段；u它主要以BS7799-2:2002附錄B的內(nèi)容為基礎(chǔ)進(jìn)行u提供了27001具體實(shí)施的指南。66u旨在為組織提供一個(gè)如何通過使用度量、測(cè)量項(xiàng)以及合適的測(cè)量技術(shù)來評(píng)估其安全管理狀態(tài)的指67u目前處于委員會(huì)草案階段；u它將主要以ISO/IEC13335-2為基礎(chǔ)進(jìn)行制定；u描述了信息安全風(fēng)險(xiǎn)管理的過程及每個(gè)過程的詳細(xì)內(nèi)容。68NISTSP800系列69ISO/IEC1335-ISO/IEC1335-2:1997IT安全管理和計(jì)劃ISO/IEC1335-1:1996IT安全概念和模型ISOISO/IEC1335-5:2001管理指南ISO/IECISO/IEC1335-3:1998IT安全管理技術(shù)ISO/IEC1335-4:2000IT安全措施的選擇70u1、信息安全管理過程方法的作用u2、信息安全管理過程方法的結(jié)構(gòu)71u過程方法要求（Methodologicalrequirements）：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系規(guī)定了要求。u按照PDCA循環(huán)理念運(yùn)行的信息安全管理體系是從過程上嚴(yán)格保證了信息安全管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。7273u1、信息安全管理控制措施的作用u2、信息安全管理控制措施的結(jié)構(gòu)74u安全控制要求（Securitycontrolrequirements)：為組織選擇滿足自身信息安全環(huán)境要求的控制措施提供了一個(gè)最佳實(shí)踐集。u組織應(yīng)根據(jù)法律法規(guī)的約束、自身的業(yè)務(wù)和風(fēng)險(xiǎn)特征選擇適用的控制措施。u當(dāng)然組織也可以根據(jù)自身的特定要求對(duì)安全控制措施進(jìn)行補(bǔ)充。75u共有11個(gè)控制條款（方面）u每個(gè)條款包括許多主要的安全類。u每個(gè)安全類包括：76u8、人員安全——安全控制條款u8.1雇傭前——安全類8.1.1角色和職責(zé)——安全控制措施77u知識(shí)子域：過程方法與PDCA循環(huán)u知識(shí)子域：建立、運(yùn)行、評(píng)審與改進(jìn)ISMS78u（一）信息安全管理體系的規(guī)劃和建立u（二）信息安全管理體系的實(shí)施和運(yùn)行u（三）信息安全管理體系的監(jiān)視和評(píng)審u（四）信息安全管理體系的保持和改進(jìn)79uP4-分析和評(píng)估信息安全風(fēng)險(xiǎn)uP5-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施uP6-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施uP7-準(zhǔn)備詳細(xì)的適用性聲明SoA80uISMS的范圍就是需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、個(gè)別部門或領(lǐng)域構(gòu)建ISMS。u在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾?。u在定義ISMS范圍時(shí)，應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域。81u信息安全方針是組織的信息安全委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。u信息安全方針應(yīng)當(dāng)闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工。u信息安全方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少包括目標(biāo)、范圍、意圖、法規(guī)的遵從性和管理的責(zé)任等內(nèi)容。82u組織可采取不同風(fēng)險(xiǎn)評(píng)估法方法，一個(gè)方法是否適合于特定組織，有很多影響因素，包括：u這些因素對(duì)風(fēng)險(xiǎn)評(píng)估方法的選擇都很重要，不僅風(fēng)險(xiǎn)評(píng)估要考慮成本與效益的權(quán)衡，不出現(xiàn)過度安全；風(fēng)險(xiǎn)評(píng)估自身也要考慮成本與效益的權(quán)衡83u風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。u確定風(fēng)險(xiǎn)數(shù)值的大小不是評(píng)估的最終目的，重要的是明確不同威脅對(duì)資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)的相對(duì)值,即要確定不同風(fēng)險(xiǎn)的優(yōu)先次序或等級(jí)，對(duì)于風(fēng)險(xiǎn)級(jí)別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。組織可以采用按照風(fēng)險(xiǎn)數(shù)值排序的方法，也可以采用區(qū)間劃分的方法將風(fēng)險(xiǎn)劃分為不同的優(yōu)先等級(jí),這包括將可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn)進(jìn)行劃分。84u根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，在已有措施基礎(chǔ)上從安全控制最佳集合中選擇安全控制措施。85u在選擇控制目標(biāo)和控制措施時(shí)，并沒有一套標(biāo)準(zhǔn)與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務(wù)部門和大量的關(guān)鍵人員進(jìn)行討論，對(duì)業(yè)務(wù)目標(biāo)進(jìn)行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿足組織對(duì)業(yè)務(wù)目標(biāo)、資產(chǎn)保護(hù)、投資預(yù)算的要求。u組織采用什么樣的方法來評(píng)估安全需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風(fēng)險(xiǎn)、來自法規(guī)和合同的遵從以及來自業(yè)務(wù)這三種安全需求來驅(qū)動(dòng)。86u在風(fēng)險(xiǎn)評(píng)估之后，組織應(yīng)該選用符合組織自身需要的控制措施與控制目標(biāo)。所選擇的控制目標(biāo)和措施以及被選擇的原因應(yīng)在適用性聲明（SOA：StatementofApplication）SOA中進(jìn)行說明。uSOA是適合組織需要的控制目標(biāo)和控制的評(píng)論，需要提交給管理者、職員、具有訪問權(quán)限的第三方相關(guān)認(rèn)證機(jī)構(gòu)。uSOA的準(zhǔn)備一方面是為了向組織內(nèi)的員工聲明對(duì)信息安全面對(duì)的風(fēng)險(xiǎn)的態(tài)度，更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息安全系統(tǒng)，并將所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi)。8788u根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相關(guān)的風(fēng)險(xiǎn)處置：u降低風(fēng)險(xiǎn)：在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)；u避免風(fēng)險(xiǎn)：有些風(fēng)險(xiǎn)容易避免，例如采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等；u轉(zhuǎn)移風(fēng)險(xiǎn)：通常只有當(dāng)風(fēng)險(xiǎn)不能被降低風(fēng)險(xiǎn)和避免、且被第三方接受時(shí)才采用；u接受風(fēng)險(xiǎn)：用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。89u體系運(yùn)行初期處于體系的磨合期，一般稱為試運(yùn)行期，在此期間運(yùn)行的目的是要在實(shí)踐中體驗(yàn)體系的充分性、適用性和有效性。在體系運(yùn)行初期,組織應(yīng)加強(qiáng)運(yùn)作力度，通過實(shí)施ISMS手冊(cè)、程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，充分發(fā)揮體系本身的各項(xiàng)工程，及時(shí)發(fā)現(xiàn)體系本身存在的問題，找出問題的根據(jù)，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對(duì)體系予以更改，以達(dá)到進(jìn)一步完善信息安全管理體系的目的。90uC1-執(zhí)行ISMS監(jiān)視程序uC2-執(zhí)行ISMS評(píng)價(jià)程序uC3-定期執(zhí)行ISMS評(píng)審uC4-測(cè)量控制措施的有效性u(píng)C5-驗(yàn)證安全要求是否被滿足uC6-按計(jì)劃進(jìn)行風(fēng)險(xiǎn)評(píng)估uC7-評(píng)審可接受殘余風(fēng)險(xiǎn)uC8-按計(jì)劃進(jìn)行內(nèi)部審核uC9-按計(jì)劃進(jìn)行管理評(píng)審uC10-更新信息安全計(jì)劃uC11-記錄對(duì)ISMS有影響的行動(dòng)和事件91u在檢查階段采集的信息應(yīng)該可以用來測(cè)量信息安全管理體系，判斷是否符合組織的安全方針和控制目標(biāo)的有效性。常用的檢查措施有：u日常檢查：作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行，并設(shè)計(jì)用來偵測(cè)處理結(jié)果的錯(cuò)誤。u自治程序：為了保證任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報(bào)警等。u從其他處學(xué)習(xí)：一種識(shí)別組織不夠好的方法是看其他組織在處理此類問題是否有更好的辦法。92SMS所有方面是否達(dá)到預(yù)想的效果。u管理評(píng)審：管理評(píng)審的目的是檢查信息安全管理體系的有效性，以識(shí)別需要的改進(jìn)和采取的行動(dòng)。管理評(píng)審指導(dǎo)每年進(jìn)行一次u趨勢(shì)分析：經(jīng)常進(jìn)行趨勢(shì)分析有助于組織識(shí)別需要改進(jìn)的領(lǐng)域，并建立一個(gè)持續(xù)改進(jìn)和循環(huán)提高的基礎(chǔ)。93uA1-實(shí)施已識(shí)別的ISMS改進(jìn)措施uA2-執(zhí)行糾正性和預(yù)防性措施uA3-通知相關(guān)人員ISMS的變更uA4-從安全經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)94u為使信息安全管理體系持續(xù)有效，應(yīng)以檢查階段采集的不符合項(xiàng)信息為基礎(chǔ)，經(jīng)常進(jìn)行調(diào)整與改95u通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運(yùn)行中出現(xiàn)了不符合規(guī)定要求的事項(xiàng)后，就需要采取改進(jìn)措施。改進(jìn)措施主要通過糾正與預(yù)防性控制措施來實(shí)現(xiàn)，同時(shí)對(duì)潛在的不符合項(xiàng)采取預(yù)防性措u糾正性措施：組織應(yīng)采取措施，以消除不合格的、與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因、防止問題的再發(fā)生。u預(yù)防性措施：組織應(yīng)對(duì)未來的不合適事件確定預(yù)防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。96u按照內(nèi)部審計(jì)和管理評(píng)審的輸出結(jié)果對(duì)信息安全管理體系作持續(xù)性的改善，每次的改善會(huì)涉及到信息安全管理體系文件的變更，變更的結(jié)果應(yīng)該及時(shí)通知信息安全管理體系的相關(guān)人員，并提供相應(yīng)培訓(xùn)。97u從信息安全的最佳實(shí)踐