CISM培訓(xùn)課件-信息安全管理基礎(chǔ)課件

信息平安管理根底中國(guó)信息平安測(cè)評(píng)中心課程內(nèi)容2信息平安管理根底知識(shí)體信息平安管理根本概念信息平安管理方法信息平安管理的定義信息平安管理成果關(guān)鍵因素風(fēng)險(xiǎn)管理的概念和作用信息平安管理體系的作用ISMS體系各階段主要工作內(nèi)容知識(shí)域知識(shí)子域信息平安管理的側(cè)重點(diǎn)信息平安技管并重原那么信息平安等級(jí)保護(hù)的管理機(jī)制知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理根本概念理解信息平安及管理的含義；理解信息平安管理的側(cè)重點(diǎn)；理解信息平安“技管并重〞原那么的意義；理解成功實(shí)施信息平安管理工作的關(guān)鍵因素。3信息平安管理相關(guān)概念根本概念信息與信息平安管理與信息平安管理4信息與信息平安5信息：有意義的數(shù)據(jù)?！?-ISO9000:2005質(zhì)量管理體系根底和術(shù)語〕“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)〞；信息已成為企業(yè)賴以生存和開展的最有價(jià)值的資產(chǎn)之一；需要加以適當(dāng)?shù)谋Ｗo(hù)。信息的范例專利標(biāo)準(zhǔn)專有技術(shù)商業(yè)檔案文件圖樣統(tǒng)計(jì)數(shù)據(jù)專有技術(shù)配方報(bào)價(jià)規(guī)章制度財(cái)務(wù)數(shù)據(jù)工藝方案資源配置管理體系NOTONLYIT!哪些信息需要“平安〞6國(guó)家秘密國(guó)家規(guī)定需要保護(hù)的信息商業(yè)秘密專利、技術(shù)業(yè)務(wù)數(shù)據(jù)個(gè)人隱私家庭住址

身份證號(hào)等……信息安全保密性可用性完整性管理與信息平安管理管理 指揮和控制組織的協(xié)調(diào)的活動(dòng)?！?-ISO9000:2005質(zhì)量管理體系根底和術(shù)語〕管理者為了到達(dá)特定目的而對(duì)管理對(duì)象進(jìn)行的方案、組織、指揮、協(xié)調(diào)和控制的一系列活動(dòng)。 信息平安管理組織中為了完成信息平安目標(biāo)，遵循平安策略，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒?，而進(jìn)行的規(guī)劃、組織、指導(dǎo)、協(xié)調(diào)和控制等活動(dòng)9

規(guī)則組織

人員·信息輸入·立法·摘要變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)過程信息平安管理現(xiàn)實(shí)世界里大多數(shù)平安事件的發(fā)生和平安隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對(duì)于信息平安的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息平安目標(biāo)來說尤其重要。信息平安管理〔InformationSecurityManagement〕作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息平安具有能動(dòng)性的局部，是指導(dǎo)和控制組織的關(guān)于信息平安風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。10信息平安管理11信息平安管理的對(duì)象：包括人員在內(nèi)的各類信息相關(guān)資產(chǎn)。

規(guī)則

人員目標(biāo)組織知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理根本概念理解信息平安及管理的含義；理解信息平安管理的側(cè)重點(diǎn)；理解信息平安“技管并重〞原那么的意義；理解成功實(shí)施信息平安管理工作的關(guān)鍵因素。12如何理解信息平安管理側(cè)重點(diǎn)管〔責(zé)任與權(quán)利〕組織架構(gòu)職責(zé)任務(wù)考核理〔方式〕策略目標(biāo)制度流程13信息平安管理14信息平安管理中的“管理〞側(cè)重于：

股東大會(huì)董事會(huì)總經(jīng)理職能部1職能部2職能部3職能部4監(jiān)事會(huì)A.企業(yè)的組織管理人大政府工商稅務(wù)技術(shù)監(jiān)督其他政協(xié)B.政府對(duì)企業(yè)的管理企業(yè)C.企業(yè)的出入管理企業(yè)行政部門禁管理辦法門禁設(shè)施員工管理訪客管理監(jiān)控管理檢查部門信息平安管理15區(qū)分兩種不同的“信息平安管理〞

舉例項(xiàng)目舉例1：某大型國(guó)企發(fā)文，要求各單位建立和實(shí)施信息安全管理機(jī)制舉例2：該國(guó)企總部根據(jù)自身需要決定建立和實(shí)施信息安全管理機(jī)制性質(zhì)

行政管理（政府管理）行為

總部自身事務(wù)，與其它單位無關(guān)依據(jù)

法律法規(guī)、國(guó)網(wǎng)制度

總部自身業(yè)務(wù)需要和規(guī)章制度主體

行政機(jī)關(guān)

具體的“總部”這個(gè)組織目的

行政管理

自身的業(yè)務(wù)(工作)管理方法

法規(guī)、文件

總部自己決定知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理根本概念理解信息平安及管理的含義；理解信息平安管理的側(cè)重點(diǎn)；理解信息平安“技管并重〞原那么的意義；理解成功實(shí)施信息平安管理工作的關(guān)鍵因素。16信息平安管理的需求17如果你把鑰匙落在鎖眼上會(huì)怎樣？技術(shù)措施需要配合正確的使用才能發(fā)揮作用保險(xiǎn)柜就一定平安嗎？18WO!3G精心設(shè)計(jì)的網(wǎng)絡(luò)防御體系，因違規(guī)外連形同虛設(shè)防火墻能解決這樣的問題嗎？信息平安管理的需求19信息系統(tǒng)是人機(jī)交互系統(tǒng)設(shè)備的有效利用是人為的管理過程信息平安管理的需求應(yīng)對(duì)風(fēng)險(xiǎn)需要人為的管理過程信息平安管理的2/8原那么20

80%的問題

20%的風(fēng)險(xiǎn)

20%的損失

平安產(chǎn)品21

20%的問題

80%的風(fēng)險(xiǎn)

80%的損失

平安管理三分技術(shù),七分管理?信息平安管理的2/8原那么信息平安“技管并重〞的原那么信息平安的成敗取決于兩個(gè)因素：技術(shù)和管理。平安技術(shù)是信息平安的構(gòu)筑材料，平安管理是真正的粘合劑和催化劑。對(duì)于信息平安，到底是技術(shù)更重要，還是管理更重要？技管并重?！皥?jiān)持管理與技術(shù)并重〞是我國(guó)加強(qiáng)信息平安保障工作的主要原那么22知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理根本概念理解信息平安及管理的含義；理解信息平安管理的側(cè)重點(diǎn)；理解信息平安“技管并重〞原那么的意義；理解成功實(shí)施信息平安管理工作的關(guān)鍵因素。23技術(shù)和產(chǎn)品是根底，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最正確作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)平安先進(jìn)、易于理解、方便操作的平安策略對(duì)信息平安至關(guān)重要建立一個(gè)管理框架，讓好的平安策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)平安根本上說，信息平安是個(gè)管理過程，而不是技術(shù)過程信息平安管理的作用24信息平安事件不斷增加病毒、木馬事件掛馬網(wǎng)站、釣魚網(wǎng)站拒絕效勞攻擊等系統(tǒng)漏洞呈快速增長(zhǎng)趨勢(shì)操作系統(tǒng)漏洞應(yīng)用軟件漏洞信息平安管理的緊迫性25電子政務(wù)和電子商務(wù)的開展，整個(gè)社會(huì)信息化的快速開展，對(duì)信息平安保障和管理提出了迫切的需求，如果信息平安跟不上去，信息平安的根底性工作跟不上，就會(huì)拖信息化的后腿。這是開展的需要，是大勢(shì)所趨。信息平安管理的緊迫性26實(shí)施信息平安管理的關(guān)鍵成功因素理解組織文化得到高層承諾做好風(fēng)險(xiǎn)評(píng)估整合管理體系積極有效宣貫納入獎(jiǎng)懲機(jī)制持續(xù)改進(jìn)體系27實(shí)施信息平安管理的關(guān)鍵成功因素(CSF)平安策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)有一種與組織文化保持一致的實(shí)施、維護(hù)、監(jiān)督和改進(jìn)信息平安的途徑來自高級(jí)管理層的明確的支持和承諾深刻理解平安需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理向所有管理者和員工有效地推廣平安意識(shí)向所有管理者、員工及其他伙伴方分發(fā)信息平安策略、指南和標(biāo)準(zhǔn)為信息平安管理活動(dòng)提供資金支持提供適當(dāng)?shù)呐嘤?xùn)和教育建立有效的信息平安事件管理流程建立測(cè)量體系，用來評(píng)估信息平安管理體系的表現(xiàn)，提供反響建議供改進(jìn)28知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理方法理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性。理解風(fēng)險(xiǎn)管理是信息平安管理的根底和核心；理解信息平安管理體系的方法機(jī)制；理解信息平安等級(jí)保護(hù)的管理機(jī)制；29平安風(fēng)險(xiǎn)要素資產(chǎn)價(jià)值威脅脆弱性控制措施平安風(fēng)險(xiǎn)的根本概念資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西信息也是一種資產(chǎn)，對(duì)組織具有價(jià)值資產(chǎn)的分類電子信息資產(chǎn)紙介資產(chǎn)軟件資產(chǎn)物理資產(chǎn)人員效勞性資產(chǎn)公司形象和名譽(yù)……31平安風(fēng)險(xiǎn)的根本概念威脅資威脅是可能導(dǎo)致信息平安事故和組織信息資產(chǎn)損失的環(huán)境或事件威脅是利用脆弱性來造成后果威脅舉例黑客入侵和攻擊 病毒和其他惡意程序軟硬件故障 人為誤操作盜竊 網(wǎng)絡(luò)監(jiān)聽供電故障 設(shè)置后門未授權(quán)訪問…… 自然災(zāi)害如：地震、火災(zāi)32平安風(fēng)險(xiǎn)的根本概念脆弱性是與信息資產(chǎn)有關(guān)的弱點(diǎn)或平安隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞 程序Bug專業(yè)人員缺乏 不良習(xí)慣缺少審計(jì) 缺乏平安意識(shí)系統(tǒng)后門物理環(huán)境訪問控制措施不當(dāng)……33平安風(fēng)險(xiǎn)的根本概念34控制措施管理風(fēng)險(xiǎn)的方法。為達(dá)成組織目標(biāo)提供合理保證，并能預(yù)防、檢查和糾正風(fēng)險(xiǎn)。它們可以是行政、技術(shù)、管理、法律等方面的措施?？刂拼胧┑姆诸悾侯A(yù)防性控制檢查性控制糾正性控制控制措施分類預(yù)防性控制措施：在問題發(fā)生前潛在問題，并作出糾正僅雇傭勝任的人員職責(zé)分工使用訪問控制軟件，只允許授權(quán)用戶訪問敏感文件檢查性控制：檢查控制發(fā)生的錯(cuò)誤、疏漏或蓄意行為生產(chǎn)作業(yè)中設(shè)置檢查點(diǎn)網(wǎng)絡(luò)通信過程中的Echo控制內(nèi)部審計(jì)糾正性控制：減少危害影響，修復(fù)檢查性控制發(fā)現(xiàn)的問題意外處理方案?jìng)浞萘鞒袒謴?fù)運(yùn)營(yíng)流程35平安風(fēng)險(xiǎn)要素之間的相互關(guān)系資產(chǎn)威脅防護(hù)措施脆弱性風(fēng)險(xiǎn)利用對(duì)抗導(dǎo)致增加減少作用于36知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理方法理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性。理解風(fēng)險(xiǎn)管理是信息平安管理的根底和核心；理解信息平安管理體系的方法機(jī)制；理解信息平安等級(jí)保護(hù)的管理機(jī)制；37什么是風(fēng)險(xiǎn)管理GB/Z24364?信息平安風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)?定義：信息平安風(fēng)險(xiǎn)管理是識(shí)別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。了解風(fēng)險(xiǎn)+控制風(fēng)險(xiǎn)=管理風(fēng)險(xiǎn)通用風(fēng)險(xiǎn)管理定義定義是指如何在一個(gè)肯定有風(fēng)險(xiǎn)的環(huán)境里把風(fēng)險(xiǎn)減至最低的管理過程。風(fēng)險(xiǎn)管理包括對(duì)風(fēng)險(xiǎn)的量度、評(píng)估和應(yīng)變策略。理想的風(fēng)險(xiǎn)管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對(duì)風(fēng)險(xiǎn)較低的事情那么押后處理。39為什么要做風(fēng)險(xiǎn)管理本錢與效益平衡好的風(fēng)險(xiǎn)管理過程可以讓機(jī)構(gòu)以最具有本錢效益的方式運(yùn)行，并且使的風(fēng)險(xiǎn)維持在可接受的水平工作條理化好的風(fēng)險(xiǎn)管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級(jí)，更好地管理風(fēng)險(xiǎn)。而不是將保貴的資源用于解決所有可能的風(fēng)險(xiǎn)PDCA過程的要求風(fēng)險(xiǎn)管理是一個(gè)持續(xù)的PDCA管理過程40風(fēng)險(xiǎn)管理是信息平安保障工作有效工作方式風(fēng)險(xiǎn)評(píng)估是信息平安管理的根底風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的平安控制措施進(jìn)行界定。信息平安管理機(jī)制的建立需要確定信息平安需求信息平安需求獲取的主要手段就是平安風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)評(píng)估是信息平安管理機(jī)制建立的根底，沒有風(fēng)險(xiǎn)評(píng)估，信息平安管理機(jī)制的建立就沒有依據(jù)。41風(fēng)險(xiǎn)處置是信息平安管理的核心應(yīng)對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置。本質(zhì)上，風(fēng)險(xiǎn)處置的最正確集合就是信息平安管理體系的控制措施集合?？刂颇繕?biāo)、控制手段、實(shí)施指南的邏輯梳理出這些風(fēng)險(xiǎn)控制措施集合的過程也就是信息平安建立體系的建立過程。信息平安管理體系的核心就是這些最正確控制措施的集合。42風(fēng)險(xiǎn)管理是信息平安管理的根本方法43周期性的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)處置活動(dòng)即形成對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理。動(dòng)態(tài)的風(fēng)險(xiǎn)管理是進(jìn)行信息平安管理、實(shí)現(xiàn)信息平安目標(biāo)、維持信息平安水平的根本方法。有關(guān)風(fēng)險(xiǎn)管理的詳細(xì)內(nèi)容參見?CISP0302信息平安風(fēng)險(xiǎn)管理?。知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理方法理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性。理解風(fēng)險(xiǎn)管理是信息平安管理的根底和核心；理解信息平安管理體系的方法機(jī)制；理解信息平安等級(jí)保護(hù)的管理機(jī)制；44管理體系相關(guān)概念45體系相互關(guān)聯(lián)和相互作用的一組要素。 〔--ISO9000:2005質(zhì)量管理體系根底和術(shù)語〕管理體系：建立方針和目標(biāo)并到達(dá)目標(biāo)的體系。 〔--ISO9000:2005質(zhì)量管理體系根底和術(shù)語〕為到達(dá)組織目標(biāo)的策略、程序、指南和相關(guān)資源的框架。〔--ISO/IEC27000:2021信息技術(shù)平安技術(shù)信息平安管理體系概述和術(shù)語〕管理體系46ISO9000質(zhì)量管理體系ISO14000環(huán)境管理體系OHSAS職業(yè)健康平安管理體系ISO/IEC27000信息平安管理體系ISO/IEC20000效勞管理體系ISO22000食品平安管理體系管理體系ManagementSystem管理體系47管理體系方法圖解要求要求被滿足分析改進(jìn)資源管理產(chǎn)品實(shí)現(xiàn)管理職責(zé)輸入輸出管理體系的持續(xù)改進(jìn)信息平安管理體系48什么是信息平安管理體系信息安全管理體系ISMSISO/IEC27001信息平安管理體系49什么是信息平安管理體系數(shù)據(jù)平安網(wǎng)絡(luò)平安系統(tǒng)平安設(shè)備平安物理平安人員平安應(yīng)急響應(yīng)。。。管理體系方法管理體系要求認(rèn)證機(jī)構(gòu)和認(rèn)證審核和審核員國(guó)際互認(rèn)。。。InformationSecurityManagementSystem-ISMS信息平安管理體系;基于ISO/IEC27000系列國(guó)際標(biāo)準(zhǔn)族;是綜合信息平安管理和技術(shù)手段，保障組織信息平安的一種方法；ISMS是管理體系〔MS〕家族的一個(gè)成員。信息安全管理體系ISMS信息平安管理體系50什么是信息平安管理體系InformationSecurityManagementSystem-ISMS信息平安管理體系基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：信息平安管理體系要求是綜合信息平安管理和技術(shù)手段，保障組織信息平安的一種方法ISMS是管理體系〔MS〕家族的一個(gè)成員BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的歷史沿革1990年代初——英國(guó)貿(mào)工部〔DTI〕成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測(cè)量有效平安管理慣例并提供貿(mào)易伙伴間信任的通用框架。1993年9月——公布?信息平安管理實(shí)施細(xì)那么?，形成BS7799的根底。1995年2月——首次出版BS7799-1:1995?信息平安管理實(shí)用規(guī)那么?。1998年2月——英國(guó)公布BS7799-2:?信息平安管理體系要求?。1999年4月——BS7799-1與BS7799-2修訂后重新發(fā)布。2000年12月——國(guó)際標(biāo)準(zhǔn)組織ISO/IECJTC1/SC27工作組認(rèn)可通過BS7799-1，公布ISO/IEC17799:2000?信息平安管理實(shí)用規(guī)那么?。2002年9月——BSI對(duì)BS7799-2進(jìn)行了改版，用來替代原標(biāo)準(zhǔn)〔BS7799-2:1999〕使用。2005年6月——ISO17799:2000改版，成為ISO17799:2005。2005年10月——ISO正式采用BS7799-2:2002，命名為ISO27001:2005。2007年7月——ISO17799:2005歸入ISO27000系列，命名為ISO27002:2005。2021年6月-中國(guó)政府等同采用ISO27001:2005,命名為GB/T22080-2021； 中國(guó)政府等同采用ISO27002:2005,命名為GB/T22081-2021.ISO/IEC27000標(biāo)準(zhǔn)族介紹511992年在英國(guó)首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息平安管理提供了一個(gè)依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國(guó)工貿(mào)部、英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)〔BSI〕組織的相關(guān)專家共同開發(fā)制定的BS7799BS7799-1BS7799-2在1998年、1999年經(jīng)過兩次修訂之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO27002GB/T22081ISO27001GB/T220802000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799：2000版。2005年對(duì)ISO/IEC17799：2000版進(jìn)行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2007年7月，ISO17799正式遷移到ISO27002。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對(duì)BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS7799-2：2002版本成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC27001：2005版。ISO/IEC27000標(biāo)準(zhǔn)族介紹BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的對(duì)應(yīng)關(guān)系5253ISO/IEC

27000系列27000~2700327004~2700827000信息平安管理體系概述和術(shù)語27001信息平安管理體系要求27002信息平安管理實(shí)用規(guī)那么27003信息平安管理體系實(shí)施指南27004信息平安管理測(cè)量27005信息平安風(fēng)險(xiǎn)管理27006提供信息平安管理體系審核和認(rèn)證機(jī)構(gòu)的要求27007信息平安管理體系審核指南27008信息平安管理體系控制措施審核員指南27001270022700027006270052700327004信息平安管理體系根本原理和詞匯ISO/IEC27000標(biāo)準(zhǔn)族介紹54ISO27001標(biāo)準(zhǔn)是認(rèn)證機(jī)構(gòu)進(jìn)行審核時(shí)的審核準(zhǔn)那么，是ISO27000標(biāo)準(zhǔn)族中最重要最核心的一份標(biāo)準(zhǔn)。目前，ISO27000標(biāo)準(zhǔn)族已經(jīng)日益完善，已經(jīng)開發(fā)和正在開發(fā)的標(biāo)準(zhǔn)共28項(xiàng)。其中正式發(fā)布的標(biāo)準(zhǔn)有13項(xiàng)；局部發(fā)布的標(biāo)準(zhǔn)有2項(xiàng)；由于移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等新概念新技術(shù)的出現(xiàn)，且基于ISO的標(biāo)準(zhǔn)修訂周期規(guī)那么，ISO27001、ISO27002標(biāo)準(zhǔn)已經(jīng)在修訂當(dāng)中，有望在2021年發(fā)布新版本。ISO/IEC27000標(biāo)準(zhǔn)族介紹55ISO/IEC27000標(biāo)準(zhǔn)族介紹標(biāo)準(zhǔn)編號(hào)標(biāo)準(zhǔn)名稱ISO/IEC27000:2009Informationsecuritymanagementsystems-Overviewandvocabulary信息安全管理體系-概述和術(shù)語ISO/IEC27001:2005Informationsecuritymanagementsystems-requirements信息安全管理體系-要求ISO/IEC27002:2005Codeofpracticeforinformationsecuritymanagement信息安全管理實(shí)用規(guī)則ISO/IEC27003:2010Informationsecuritymanagementsystemimplementationguidance信息安全管理體系實(shí)施指南ISO/IEC27004:2009Informationsecuritymanagement–Measurement信息安全管理-測(cè)量ISO/IEC27005:2011（第二版）Informationsecurityriskmanagement信息安全風(fēng)險(xiǎn)管理ISO/IEC27006:2011（第二版）Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems信息安全管理體系認(rèn)證機(jī)構(gòu)要求〔提示：標(biāo)準(zhǔn)編號(hào)后面跟有年代編號(hào)的為已經(jīng)正式發(fā)布的標(biāo)準(zhǔn)，其它為尚未正式發(fā)布的標(biāo)準(zhǔn)〕56ISO/IEC27000標(biāo)準(zhǔn)族介紹ISO/IEC27007:2011GuidelinesforInformationSecurityManagementSystemsauditing信息安全管理體系審核指南ISO/IEC27008:2011Guidelinesforauditorsoninformationsecuritymanagementsystemscontrols信息安全管理體系控制措施審核員指南ISO/IEC27010:(FCD)Informationsecuritymanagementforinter-sectorand

inter-organisationalcommunications部門間和組織間通信的信息安全管理(FCD:FinalCommitteeDraft，最終委員會(huì)草案)ISO/IEC27011:2008InformationsecuritymanagementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002基于ISO/IEC27002的電信行業(yè)信息安全管理指南ISO/IEC27012ISMSfore-Government電子政務(wù)的ISMS(曾經(jīng)列入計(jì)劃，但尚未發(fā)布任何草案)ISO/IEC27013:(DIS)GuidelineontheintegratedimplementationofISO/IEC20000-1andISO/IEC27001ISO20000-1和ISO27001集成實(shí)施指南(DIS:DraftInternationalStandard，國(guó)際標(biāo)準(zhǔn)草案)57ISO/IEC27000標(biāo)準(zhǔn)族介紹ISO/IEC27014:(draft)Informationsecuritygovernanceframework信息安全治理框架(草案)ISO/IEC27015:(draft)Informationsecuritymanagementguidanceforfinancialservices金融服務(wù)信息安全管理指南(草案)（由于輸入極小，本標(biāo)準(zhǔn)有可能取消）ISO/IEC27016:(draft)Informationsecuritymanagement–Organizationaleconomics

信息安全管理-組織經(jīng)濟(jì)學(xué)（草案）ISO/IEC27017CloudComputingSecurityandPrivacy云計(jì)算安全和保密（研究階段的第二期已結(jié)束，此標(biāo)準(zhǔn)本身將是一個(gè)標(biāo)準(zhǔn)族）ISO/IEC27031:2011Guidelinesforinformationandcommunicationstechnologyreadinessforbusinesscontinuity業(yè)務(wù)連續(xù)性的信息和通信技術(shù)準(zhǔn)備就緒指南ISO/IEC27032:(FDIS)Guidelinesforcybersecurity網(wǎng)際安全指南(FDIS:FinalDraftInternationalStandard，最終國(guó)際標(biāo)準(zhǔn)草案)ISO/IEC27033:(part1published,restunderdevelopment)NetworkSecurity網(wǎng)絡(luò)安全(第一部分已經(jīng)發(fā)布，其余尚在開發(fā)中)(ISO/IEC27033-1:2009:networksecurityoverviewandconcepts網(wǎng)絡(luò)安全概述和概念)ISO/IEC27034:(part1published,restunderdevelopment)ApplicationSecurity應(yīng)用安全(第一部分已經(jīng)發(fā)布，其余尚在開發(fā)中)(ISO/IEC27034-1:2011:

Applicationsecurity—Overviewandconcepts應(yīng)用安全-概述和概念）58ISO/IEC27000標(biāo)準(zhǔn)族介紹ISO/IEC27035:2011InformationsecurityIncidentManagement信息安全事件管理ISO/IEC27036:(draft)Informationsecurityforsupplierrelationships供應(yīng)商關(guān)系信息安全（草案）ISO/IEC27037:(DIS)Guidelinesforidentification,collection,acquisition,andpreservationofdigitalevidence識(shí)別、收集、獲取和保存數(shù)字證據(jù)指南(DIS:DraftInternationalStandard，國(guó)際標(biāo)準(zhǔn)草案)ISO/IEC27038:(draft)Specificationfordigitalredaction數(shù)字編輯規(guī)范（草案）ISO/IEC27039:(draft)Selection,deploymentandoperationsofIntrusionDetection[andPrevention]Systems(IDPS)選擇、開發(fā)和運(yùn)行入侵檢測(cè)和防護(hù)系統(tǒng)(IDPS)(草案）ISO/IEC27040:(draft)Storagesecurity存儲(chǔ)安全（草案）ISO27799:2008InformationsecuritymanagementinhealthusingISO/IEC27002用ISO/IEC27002進(jìn)行健康信息安全管理

〔ISMS〕家族〔27000系列〕59信息平安管理體系的特點(diǎn)60信息平安管理體系要求組織通過確定信息平安管理體系范圍，制定信息平安方針，明確管理職責(zé)，以風(fēng)險(xiǎn)評(píng)估為根底選擇控制目標(biāo)和措施等一系列活動(dòng)來建立信息平安管理體系；體系的建立基于系統(tǒng)、全面、科學(xué)的平安風(fēng)險(xiǎn)評(píng)估，表達(dá)以預(yù)防控制為主的思想，強(qiáng)調(diào)遵守國(guó)家有關(guān)信息平安的法律、法規(guī)及其他合同方面的要求；強(qiáng)調(diào)全過程和動(dòng)態(tài)控制，本著控制費(fèi)用與風(fēng)險(xiǎn)平衡的原那么合理選擇平安控制方式；強(qiáng)調(diào)保護(hù)組織所擁有的關(guān)鍵性信息資產(chǎn)，而不是全部信息資產(chǎn)，確保信息的保密性、完整性和可用性，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和業(yè)務(wù)的持續(xù)性。過程方法示意圖活動(dòng)測(cè)量、改進(jìn)責(zé)任人資源記錄輸入輸出信息平安管理體系要求-過程方法61·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)·信息輸入·信息輸出·信息記錄·資源

—人

—環(huán)境

—設(shè)備

—工具

—通信

—其他·立法·規(guī)定·客戶·集團(tuán)

—政治

—標(biāo)準(zhǔn)

—程序·摘要·收據(jù)·客戶·銷售發(fā)票等等變化？關(guān)鍵活動(dòng)測(cè)量擁有者資源記錄標(biāo)準(zhǔn)輸入輸出生產(chǎn)經(jīng)營(yíng)活動(dòng)測(cè)量、改進(jìn)過程的分解信息平安管理體系要求-過程方法過程和子過程的每一個(gè)方面都是受控的，過程的輸出才是有保障的。62A規(guī)劃實(shí)施檢查處置PDCPDCA循環(huán)63PDCA循環(huán)64PDCA也稱“戴明環(huán)〞，由美國(guó)質(zhì)量管理專家戴明提出。P〔Plan〕：方案，確定方針和目標(biāo)，確定活動(dòng)方案；D〔Do〕：實(shí)施，實(shí)際去做，實(shí)現(xiàn)方案中的內(nèi)容；C〔Check〕：檢查，總結(jié)執(zhí)行方案的結(jié)果，注意效果，找出問題；A〔Action〕：行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)；未解決的問題放到下一個(gè)PDCA循環(huán)。65PDCA特點(diǎn)一：按順序進(jìn)行，它靠組織的力量來推動(dòng)，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)。9090處置實(shí)施規(guī)劃?rùn)z查CADPPDCA特點(diǎn)二：組織中的每個(gè)局部，甚至個(gè)人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。PDCA特點(diǎn)三：每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090處置實(shí)施規(guī)劃?rùn)z查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090處置實(shí)施規(guī)劃?rùn)z查CADPPDCA循環(huán)的特征與作用PDCA循環(huán)，能夠提供一種優(yōu)秀的過程方法，以實(shí)現(xiàn)持續(xù)改進(jìn)。遵循PDCA循環(huán)，能使任何一項(xiàng)活動(dòng)都有效地進(jìn)行。PDCA循環(huán)的作用66信息平安管理體系持續(xù)改進(jìn)的PDCA循環(huán)過程67信息平安管理體系是PDCA動(dòng)態(tài)持續(xù)改進(jìn)的一個(gè)循環(huán)體。規(guī)劃和建立實(shí)施和運(yùn)行監(jiān)視和評(píng)審保持和改進(jìn)相關(guān)方信息平安要求和期望相關(guān)方受控的信息平安ISMS的核心內(nèi)容可以概括為4句話規(guī)定你應(yīng)該做什么并形成文件 ：P做文件已規(guī)定的事情 ：D評(píng)審你所做的事情的符合性 ：C采取糾正和預(yù)防措施，持續(xù)改進(jìn) ：A用PDCA來理解什么是信息平安管理體系68信息平安管理過程方法的作用69過程方法要求〔Methodologicalrequirements〕：為組織根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息平安管理體系規(guī)定了要求。按照PDCA循環(huán)理念運(yùn)行的信息平安管理體系是從過程上嚴(yán)格保證了信息平安管理體系的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執(zhí)行的。信息平安管理過程方法的結(jié)構(gòu)70信息平安管理體系建立P1-定義ISMS范圍P2-定義ISMS方針P3-確定風(fēng)險(xiǎn)評(píng)估方法P4-識(shí)別風(fēng)險(xiǎn)P5-分析和評(píng)價(jià)風(fēng)險(xiǎn)P6-識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施P7-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施P8-獲得管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)P9-獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)P10準(zhǔn)備適用性聲明〔SoA〕71P1-定義ISMS范圍72ISMS的范圍就是需要重點(diǎn)進(jìn)行信息平安管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、個(gè)別部門或領(lǐng)域構(gòu)建ISMS。在本階段，應(yīng)將組織劃分成不同的信息平安控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔⑵桨补芾?。在定義ISMS范圍時(shí)，應(yīng)重點(diǎn)考慮組織現(xiàn)有的部門、信息資產(chǎn)的分布狀況、核心業(yè)務(wù)的流程區(qū)域以及信息技術(shù)的應(yīng)用區(qū)域。ISMS范圍73可從以下四個(gè)方面定義組織的ISMS范圍：業(yè)務(wù)范圍體系所覆蓋的業(yè)務(wù)類型組織范圍體系所覆蓋的部門物理范圍體系所覆蓋的物理場(chǎng)所網(wǎng)絡(luò)范圍體系所覆蓋的網(wǎng)絡(luò)規(guī)模P2-定義ISMS方針74信息平安方針是組織的信息平安委員會(huì)或管理當(dāng)局制定的一個(gè)高層文件，用于指導(dǎo)組織如何對(duì)資產(chǎn)，包括敏感信息進(jìn)行管理、保護(hù)和分配的規(guī)那么和指示。信息平安方針應(yīng)當(dāng)說明管理層的承諾，提出組織管理信息平安的方法，并由管理層批準(zhǔn)，采用適當(dāng)?shù)姆椒▽⒎结槀鬟_(dá)給每一個(gè)員工。信息平安方針應(yīng)當(dāng)簡(jiǎn)明、扼要，便于理解，至少包括目標(biāo)、范圍、意圖、法規(guī)的遵從性和管理的責(zé)任等內(nèi)容。P7-為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施75控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)那么以及法律法規(guī)和合同要求。從ISO27001附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一局部。將ISO27001附錄A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施。ISO27001附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。在選擇控制目標(biāo)和控制措施時(shí)，并沒有一套標(biāo)準(zhǔn)與通用的方法，選擇的過程往往不是很直接，可能要涉及一系列的決策步驟、咨詢過程，要和不同的業(yè)務(wù)部門和大量的關(guān)鍵人員進(jìn)行討論，對(duì)業(yè)務(wù)目標(biāo)進(jìn)行廣泛的分析，最后產(chǎn)生的結(jié)果要很好的滿足組織對(duì)業(yè)務(wù)目標(biāo)、資產(chǎn)保護(hù)、投資預(yù)算的要求。組織采用什么樣的方法來評(píng)估平安需求和選擇控制，完全由組織自己來決定。但無論采用什么樣的方法、工具，都需要靠來自風(fēng)險(xiǎn)、來自法規(guī)和合同的遵從以及來自業(yè)務(wù)這三種平安需求來驅(qū)動(dòng)。風(fēng)險(xiǎn)處置例如表76資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)度接受與否風(fēng)險(xiǎn)處理選項(xiàng)選擇的控制措施所需資源機(jī)房綜合管理系統(tǒng)網(wǎng)絡(luò)黑客和惡意內(nèi)部人員攻擊安全防護(hù)策略配置不當(dāng)或訪問權(quán)限設(shè)置不當(dāng)中不可接受風(fēng)險(xiǎn)降低ISO/IEC27001附錄A.11，建立應(yīng)用系統(tǒng)安全管理策略和系統(tǒng)賬戶口令管理策略，對(duì)系統(tǒng)運(yùn)行配置管理、漏洞和補(bǔ)丁管理漏洞掃描工具、補(bǔ)丁服務(wù)器P8-獲得管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)77獲得管理層接受風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)所建議的剩余風(fēng)險(xiǎn)確實(shí)認(rèn)是風(fēng)險(xiǎn)評(píng)估活動(dòng)中的一個(gè)重要過程。管理層確認(rèn)接受剩余風(fēng)險(xiǎn)，是對(duì)風(fēng)險(xiǎn)評(píng)估工作的一種肯定，表示管理層已經(jīng)全面了解了組織所面臨的風(fēng)險(xiǎn)，并理解在風(fēng)險(xiǎn)一旦變?yōu)楝F(xiàn)實(shí)后，組織能夠且必須承擔(dān)引發(fā)的后果。如果一個(gè)組織所建議的ISMS要尋求認(rèn)證，認(rèn)證機(jī)構(gòu)將尋求管理層確認(rèn)接受剩余風(fēng)險(xiǎn)的書面證據(jù)。P10-準(zhǔn)備適用性聲明〔SoA〕78在風(fēng)險(xiǎn)評(píng)估之后，組織應(yīng)該選用符合組織自身需要的控制措施與控制目標(biāo)。所選擇的控制目標(biāo)和措施以及被選擇的原因應(yīng)在適用性聲明〔SoA：StatementofApplicability〕SoA中進(jìn)行說明。SoA是適合組織需要的控制目標(biāo)和控制的評(píng)論，需要提交給管理者、職員、具有訪問權(quán)限的第三方相關(guān)認(rèn)證機(jī)構(gòu)。SoA的準(zhǔn)備一方面是為了向組織內(nèi)的員工聲明對(duì)信息平安面對(duì)的風(fēng)險(xiǎn)的態(tài)度，更大程度上那么是為了向外界說明組織的態(tài)度和作為，以說明組織已經(jīng)全面、系統(tǒng)的審視了組織的信息平安系統(tǒng)，并將所有需要控制的風(fēng)險(xiǎn)控制在能被接受的范圍內(nèi)。適用性聲明〔SoA〕例如79ISO/IEC27001附錄A控制措施是否選擇（Y/N/已實(shí)施）選擇/不選擇的理由說明A.5安全方針 A.5.1.1信息安全方針文件Y依據(jù)業(yè)務(wù)要求，對(duì)信息安全工作提出總體方向詳見《ISMS方針》。A.5.1.2信息安全方針的評(píng)審Y確保信息安全方針的持續(xù)適宜性、充分性和有效性A.6信息安全組織A.6.1內(nèi)部組織A.6.1.1信息安全的管理承諾Y表明管理者對(duì)信息安全工作的支持詳見《ISMS方針》。A.6.1.2信息安全協(xié)調(diào)Y促進(jìn)公司信息安全工作的有效性詳見《信息安全職責(zé)》A.6.1.3信息安全職責(zé)的分配Y促進(jìn)公司信息安全工作的有效性A.6.1.4信息處理設(shè)施的授權(quán)過程Y防止信息處理設(shè)施的未授權(quán)使用詳見《資產(chǎn)管理程序》ISMS建立階段成果80ISMS建立階段應(yīng)根據(jù)組織信息平安需求，建立所需的各種平安策略，并形成文件ISMS體系文件應(yīng)包括：形成文件的ISMS方針和目標(biāo)ISMS的范圍支持ISMS的規(guī)程和控制措施風(fēng)險(xiǎn)評(píng)估方法的描述風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)處置方案組織為確保其信息平安過程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)程本標(biāo)準(zhǔn)所要求的記錄適用性聲明81方針、手冊(cè)等管理制度、程序、策略文件等操作規(guī)范、規(guī)程、作業(yè)指導(dǎo)書、模板文件等計(jì)劃、表格、報(bào)告、各種運(yùn)行/檢查記錄、日志文件等一級(jí)文件二級(jí)文件三級(jí)文件四級(jí)文件一級(jí)文件：方針性文件；二級(jí)文件：信息平安管控程序及管理規(guī)定性文件；三級(jí)文件：操作指南及作業(yè)指導(dǎo)書類；四級(jí)文件：體系運(yùn)行的各種記錄。下級(jí)文件應(yīng)支持上級(jí)文件。信息平安管理體系化文件ISMS建立階段成果例如82形成文件的ISMS方針和目標(biāo)ISMS的范圍支持ISMS的規(guī)程和控制措施風(fēng)險(xiǎn)評(píng)估方法的描述風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)處置方案組織為確保其信息平安過程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的規(guī)程本標(biāo)準(zhǔn)所要求的記錄適用性聲明《ISMS方針》控制措施類體系文件《信息安全風(fēng)險(xiǎn)評(píng)估程序》文件記錄管理等需要“形成文件”的規(guī)程體系記錄《適用性聲明》《ISMS范圍》ISMS建立階段成果例如83文件記錄控制等需要“形成文件〞的規(guī)程至少包括：?文件和記錄管理程序??管理評(píng)審管理程序??內(nèi)部審核管理程序??糾正和預(yù)防措施管理程序??信息平安控制措施有效性測(cè)量程序?信息平安管理體系實(shí)施和運(yùn)行D1-開發(fā)風(fēng)險(xiǎn)處置方案D2-實(shí)施風(fēng)險(xiǎn)處置方案D3-實(shí)施平安控制措施D4-開發(fā)有效性測(cè)量程序D5-實(shí)施平安教育培訓(xùn)D6-管理ISMS的運(yùn)行D7-管理ISMS的資源D8-執(zhí)行檢測(cè)平安事件程序D9-執(zhí)行響應(yīng)平安事件程序84風(fēng)險(xiǎn)處置方案例如85資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)度接受與否風(fēng)險(xiǎn)處理選項(xiàng)選擇的控制措施所需資源負(fù)責(zé)人計(jì)劃的實(shí)施時(shí)間建議的殘余風(fēng)險(xiǎn)機(jī)房綜合管理系統(tǒng)網(wǎng)絡(luò)黑客和惡意內(nèi)部人員攻擊安全防護(hù)策略配置不當(dāng)或訪問權(quán)限設(shè)置不當(dāng)中不可接受風(fēng)險(xiǎn)降低ISO/IEC27001附錄A.11，建立應(yīng)用系統(tǒng)安全管理策略和系統(tǒng)賬戶口令管理策略，對(duì)系統(tǒng)運(yùn)行配置管理、漏洞和補(bǔ)丁管理漏洞掃描工具、補(bǔ)丁服務(wù)器張三2012年2月低信息平安管理體系試運(yùn)行體系運(yùn)行初期處于體系的磨合期，一般稱為試運(yùn)行期，在此期間運(yùn)行的目的是要在實(shí)踐中體驗(yàn)體系的充分性、適用性和有效性。在體系運(yùn)行初期，組織應(yīng)加強(qiáng)運(yùn)作力度，通過實(shí)施ISMS手冊(cè)、程序和各種作業(yè)指導(dǎo)性文件等一系列體系文件，充分發(fā)揮體系本身的各項(xiàng)功能，及時(shí)發(fā)現(xiàn)體系本身存在的問題，找出問題的根源，采取糾正措施，糾正各種不符合，并按照更改控制程序要求對(duì)體系予以更改，以到達(dá)進(jìn)一步完善信息平安管理體系的目的。86信息平安管理體系監(jiān)視和評(píng)審C1-執(zhí)行ISMS監(jiān)視程序C2-執(zhí)行ISMS評(píng)審程序C3-進(jìn)行常規(guī)的ISMS有效性評(píng)審C4-測(cè)量控制措施的有效性C5-驗(yàn)證平安要求是否被滿足C6-按方案的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估C7-評(píng)審可接受剩余風(fēng)險(xiǎn)C8-按方案的時(shí)間間隔進(jìn)行內(nèi)部審核C9-按方案的時(shí)間間隔進(jìn)行管理評(píng)審C10-更新信息平安方案C11-記錄對(duì)ISMS有影響的行動(dòng)和事件87常用的檢查措施－１：在檢查階段采集的信息應(yīng)該可以用來測(cè)量信息平安管理體系，判斷是否符合組織的平安方針和控制目標(biāo)的有效性。常用的檢查措施有：日常檢查：作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行，并設(shè)計(jì)用來偵測(cè)處理結(jié)果的錯(cuò)誤。自治程序：為了保證任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的措施。如監(jiān)控程序報(bào)警等。從其他處學(xué)習(xí)：一種識(shí)別組織不夠好的方法是看其他組織在處理此類問題是否有更好的方法。88常用的檢查措施－２：內(nèi)部在一個(gè)特定的常規(guī)審核時(shí)間內(nèi)檢查ISMS所有方面是否到達(dá)預(yù)想的效果。管理評(píng)審：管理評(píng)審的目的是檢查ISMS的持續(xù)的適宜性、充分性和有效性，以識(shí)別需要的改進(jìn)和采取的行動(dòng)。管理評(píng)審至少每年進(jìn)行一次。趨勢(shì)分析：經(jīng)常進(jìn)行趨勢(shì)分析有助于組織識(shí)別需要改進(jìn)的領(lǐng)域，并建立一個(gè)持續(xù)改進(jìn)和循環(huán)提高的根底。89內(nèi)部審核-審核方案例如90受審核方名稱：精益科技發(fā)展有限公司審核目的：評(píng)價(jià)受審核方信息安全管理體系與ISO/IEC27001標(biāo)準(zhǔn)的符合程度，確定是否推薦注冊(cè)。審核準(zhǔn)則：

信息安全管理體系要求ISO/IEC27001：2005受審核方信息安全管理體系文件相關(guān)法律法規(guī)及合同要求

審核范圍：在****場(chǎng)所的計(jì)算機(jī)主板的設(shè)計(jì)、開發(fā)、生產(chǎn)和服務(wù)，適用性聲明1.0。審核時(shí)間：2012年7月3日至4日共2天審核組成員：組長(zhǎng)：趙峰（A）高級(jí)審核員組員：錢惠（B）高級(jí)審核員所需資源：辦公室一間、打字、復(fù)印及通信聯(lián)絡(luò)設(shè)施、確定2名向?qū)ПＣ苄猿兄Z：在審核過程中接觸到的有關(guān)受審核的一切機(jī)密信息，審核組全體成員有責(zé)任保守秘密，未經(jīng)受審核方書面許可，不得向第三者泄露。審核組長(zhǎng)：趙峰

認(rèn)證機(jī)構(gòu)代表：周志內(nèi)部審核-審核方案例如91時(shí)間受審核部門所涉及的體系要求審核員7月3日

8:00-8:30

首次會(huì)議全體8:30-12:00領(lǐng)導(dǎo)層4.1；4.2.1；A5.1；SoA；5.1；5.2.1；A6；6；7；8；A14A13:00-17:00采購(gòu)部4.2.1g,SoA,4.2.2,4.2.3,4.2.4,4.3.2,4.3.3,5.2.2,8,A6,A7,A9,A11,A15.1B17:00-18:00

審核組內(nèi)部會(huì)議全體7月4日8:30-12:00信息技術(shù)部4.2.1g,SoA,4.2.2,A6,A7,A11,A13,A14,A15,4.2.3,4.2.4,4.3.2,4.3.3,6,8A13:00-15:00人力資源部4.2.1g,SoA,4.2.2,4.2.3,4.2.4,4.3.2,4.3.3,5.2.2,8,A6,A7,A8,A9,A11,A13,B15:00-15:30

審核組內(nèi)部會(huì)議全體15:30-16:00

與受審核方領(lǐng)導(dǎo)層溝通全體16:00-16:30

末次會(huì)議全體內(nèi)部審核-檢查表例如92序號(hào)審核內(nèi)容涉及條款審核方法1對(duì)組織資產(chǎn)的適當(dāng)保護(hù)1、資產(chǎn)清單2、資產(chǎn)責(zé)任人3、資產(chǎn)的合格使用A.7.1A.7.1.1A.7.1.2A.7.1.3查部門資產(chǎn)清單，詢問部門的資產(chǎn)情況抽查3種資產(chǎn)的責(zé)任人情況詢問和抽查3種資產(chǎn)的使用規(guī)則文件，尤其是與信息處理設(shè)施相關(guān)的資產(chǎn)的使用規(guī)則2對(duì)信息資產(chǎn)的保護(hù)1、分類指南2、信息的標(biāo)記和處理A.7.2A.7.2.1A.7.2.2詢問組織對(duì)信息資產(chǎn)的分類方法詢問組織對(duì)信息的標(biāo)記方式，抽查3類信息的標(biāo)記，要包括電子信息和紙介質(zhì)信息詢問和查看不同類別信息的處理程序3任用前的人員安全1、角色和職責(zé)2、審查3、任用條款和條件A.8.1A.8.1.1A.8.1.2A.8.1.3詢問組織對(duì)信息安全相關(guān)的角色和職責(zé)的要求，查看相關(guān)文件詢問組織任用人員的審查機(jī)制詢問人員任用的條款和條件的內(nèi)容，抽查3份人員任用合同管理評(píng)審-管理評(píng)審方案例如931.管理評(píng)審時(shí)間和地點(diǎn)：2012年7月6日14：00～15：30XX會(huì)議室2.參加會(huì)議成員：公司管理層

公司各部門負(fù)責(zé)人3.管理評(píng)審目的：公司建立和運(yùn)行ISMS的適宜性、充分性和有效性，評(píng)審ISMS方針目標(biāo)落實(shí)情況；識(shí)別公司ISMS改進(jìn)的機(jī)會(huì)和變更的需要。4.管理評(píng)審輸入的準(zhǔn)備信息科技部經(jīng)理準(zhǔn)備并報(bào)告ISMS內(nèi)審情況，ISMS建立和實(shí)施情況；相關(guān)人員報(bào)告相關(guān)方反饋；各部門負(fù)責(zé)人準(zhǔn)備并報(bào)告本部門ISMS運(yùn)行情況，并提出改進(jìn)建議。管理評(píng)審-管理評(píng)審方案例如945.管理評(píng)審會(huì)議議程日期時(shí)間會(huì)議內(nèi)容報(bào)告人2012年7月6日1400～1415總經(jīng)理發(fā)言總經(jīng)理1415～1435ISMS建立和實(shí)施情況ISMS內(nèi)部審核情況信息科技部經(jīng)理1435～1500各部門介紹ISMS執(zhí)行情況，相關(guān)方反饋，ISMS改進(jìn)建議各部門負(fù)責(zé)人1500～1530討論和決議會(huì)議結(jié)束6.管理評(píng)審計(jì)劃的確認(rèn)管理者代表：

簽字日期：總經(jīng)理：

簽字日期：信息平安管理體系保持和改進(jìn)A1-實(shí)施已識(shí)別的ISMS改進(jìn)措施A2-執(zhí)行糾正性和預(yù)防性措施A3-從平安經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)A4-與相關(guān)方溝通ISMS的措施和改進(jìn)情況95A1-實(shí)施已識(shí)別的ISMS改進(jìn)措施96為使信息平安管理體系持續(xù)有效，應(yīng)以檢查階段采集的不符合項(xiàng)信息為根底，經(jīng)常進(jìn)行調(diào)整與改進(jìn)。不符合項(xiàng)指：缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息平安管理體系的要求；在有客觀證據(jù)的根底上，引起對(duì)信息平安管理體系平安方針和組織平安目標(biāo)能力的重大疑心。不符合項(xiàng)例如97案例在檢查2021年的管理評(píng)審記錄時(shí)，審核員發(fā)現(xiàn)管理評(píng)審的內(nèi)容未包括糾正與預(yù)防措施以及相關(guān)方的反響。不符合的條款和內(nèi)容ISO/IEC27001：20057.2，管理評(píng)審的輸入應(yīng)包括......不符合事實(shí)描述 在06年管理評(píng)審中，沒有對(duì)糾正與預(yù)防措施及相關(guān)方的反響進(jìn)行評(píng)審。A2-執(zhí)行糾正和預(yù)防措施98通過各種檢查措施，發(fā)現(xiàn)了組織ISMS體系運(yùn)行中出現(xiàn)了不符合規(guī)定要求的事項(xiàng)后，就需要采取改進(jìn)措施。改進(jìn)措施主要通過糾正與預(yù)防性控制措施來實(shí)現(xiàn)，同時(shí)對(duì)潛在的不符合項(xiàng)采取預(yù)防性措施。糾正措施：組織應(yīng)采取措施，以消除不合格的、與實(shí)施和運(yùn)行信息平安管理體系有關(guān)的原因，防止問題的再發(fā)生。預(yù)防措施：組織應(yīng)對(duì)未來的不適宜事件確定預(yù)防措施已防止其發(fā)生，預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。糾正和預(yù)防措施例如99案例在檢查2021年的管理評(píng)審記錄時(shí)，審核員發(fā)現(xiàn)管理評(píng)審的內(nèi)容未包括糾正與預(yù)防措施以及相關(guān)方的反響。原因分析：管理評(píng)審體系文件中未規(guī)定此項(xiàng)內(nèi)容糾正措施對(duì)管理評(píng)審體系文件進(jìn)行修訂，增加此項(xiàng)要求預(yù)防措施對(duì)照標(biāo)準(zhǔn)檢查管理評(píng)審體系文件，是否還存在其他標(biāo)準(zhǔn)要求但未包括的條款內(nèi)容，如有，那么進(jìn)行修訂A3-從平安經(jīng)驗(yàn)和教訓(xùn)中學(xué)習(xí)100從其它組織和組織自身的信息平安實(shí)踐經(jīng)驗(yàn)和平安事故教訓(xùn)中學(xué)習(xí)，采取相應(yīng)的改進(jìn)措施，持續(xù)提高信息平安管理的水平。A4-與相關(guān)方溝通ISMS的措施和改進(jìn)情況101向所有相關(guān)方溝通措施和改進(jìn)情況，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如何進(jìn)行。知識(shí)體：信息平安管理根底和方法知識(shí)域：信息平安管理方法理解信息平安風(fēng)險(xiǎn)的概念：資產(chǎn)價(jià)值、威脅、脆弱性、防護(hù)措施、影響、可能性。理解風(fēng)險(xiǎn)管理是信息平安管理的根底和核心；理解信息平安管理體系的方法機(jī)制；理解信息平安等級(jí)保護(hù)的管理機(jī)制；102信息平安等級(jí)保護(hù)103?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?〔1994年國(guó)務(wù)院147號(hào)令〕第九條計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)保護(hù)。平安等級(jí)的劃分標(biāo)準(zhǔn)和平安等級(jí)保護(hù)的具體方法，由公安部會(huì)同有關(guān)部門制定。GB17859-1999?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?第一級(jí):用戶自主保護(hù)級(jí)；第二級(jí):系統(tǒng)審計(jì)保護(hù)級(jí)；第三級(jí):平安標(biāo)記保護(hù)級(jí)；第四級(jí):結(jié)構(gòu)化保護(hù)級(jí)；第五級(jí):訪問驗(yàn)證保護(hù)級(jí)；等級(jí)保護(hù)標(biāo)準(zhǔn)族的五級(jí)劃分信息系統(tǒng)根據(jù)其在國(guó)家平安、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國(guó)家平安、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，由低到高劃分為五級(jí)第一級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家平安、社會(huì)秩序和公共利益。第二級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對(duì)社會(huì)秩序和公共利益造成損害，但不損害國(guó)家平安。第三級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或者對(duì)國(guó)家平安造成損害。第四級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對(duì)國(guó)家平安造成嚴(yán)重?fù)p害。第五級(jí)，信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家平安造成特別嚴(yán)重?fù)p害。104信息平安等級(jí)保護(hù)法規(guī)政策體系105信息平安等級(jí)保護(hù)標(biāo)準(zhǔn)106?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么??信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)指南??信息系統(tǒng)平安等級(jí)保護(hù)根本要求??信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南??信息系統(tǒng)等級(jí)保護(hù)平安設(shè)計(jì)技術(shù)要求??信息系統(tǒng)平安管理要求??信息系統(tǒng)平安工程管理要求??信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求??信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)指南??信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)??信息平安等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力標(biāo)準(zhǔn)?等等級(jí)保護(hù)標(biāo)準(zhǔn)107GB17859技術(shù)要求等保實(shí)施等保測(cè)評(píng)管理要求GB/T22239-2021?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)根本要求?GB/T22240-2021?信息平安技術(shù)信息系統(tǒng)平安保護(hù)等級(jí)定級(jí)指南?GB/T25058-2021?信息平安技術(shù)信息系統(tǒng)平安等級(jí)保護(hù)實(shí)施指南?GB/T20269-2006?信息平安技術(shù)信息系統(tǒng)平安管理要求?GB/T20282-2006?信息平安技術(shù)信息系統(tǒng)平安工程管理要求?GB/T28448-2021?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)要求?GB/T28449-2021?信息系統(tǒng)平安等級(jí)保護(hù)測(cè)評(píng)過程指南?信息平安等級(jí)保護(hù)108等級(jí)保護(hù)主要流程一：定級(jí)二：備案三：建設(shè)、整改四：等級(jí)測(cè)評(píng)五：定期開展監(jiān)督檢查信息平安等級(jí)保護(hù)政策-定級(jí)&備案109?關(guān)于開展全國(guó)重要信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)工作的通知?是指導(dǎo)定級(jí)環(huán)節(jié)工作的政策文件，該通知部署在全國(guó)范圍內(nèi)開展重要信息系統(tǒng)平安等級(jí)保護(hù)定級(jí)工作，標(biāo)志著全國(guó)信息平安等級(jí)保護(hù)工作的全面開展。?信息平安等級(jí)保護(hù)備案實(shí)施細(xì)那么?是指導(dǎo)備案環(huán)節(jié)工作的政策文件，該文件規(guī)定了公安機(jī)關(guān)受理信息系統(tǒng)運(yùn)營(yíng)使用單位信息系統(tǒng)備案工作的內(nèi)容、流程、審核等內(nèi)容，指導(dǎo)各級(jí)公安機(jī)關(guān)受理信息系統(tǒng)備案工作。信息平安等級(jí)保護(hù)政策-平安建設(shè)整改110?關(guān)于開展信息系統(tǒng)等級(jí)保護(hù)平安建設(shè)整改工作的指導(dǎo)意見?、?關(guān)于加強(qiáng)國(guó)家電子政務(wù)工程建設(shè)工程信息平安風(fēng)險(xiǎn)評(píng)估工作的通知?和?關(guān)于進(jìn)一步推進(jìn)中央企業(yè)信息平安等級(jí)保護(hù)工作的通知?是指導(dǎo)平安建設(shè)整改環(huán)節(jié)工作的政策文件。前者明確了非涉及國(guó)家秘密信息系統(tǒng)開展平安建設(shè)整改工作的目標(biāo)、內(nèi)容、流程和要求等；中者要求非涉密國(guó)家電子政務(wù)工程開展等級(jí)測(cè)評(píng)和信息平安風(fēng)險(xiǎn)評(píng)估要按照?信息平安等級(jí)保護(hù)管理方法?進(jìn)行，明確了工程驗(yàn)收條件：公安機(jī)關(guān)頒發(fā)的信息系統(tǒng)平安等級(jí)保護(hù)備案證明、等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告；后者公安部和國(guó)資委聯(lián)合發(fā)布的政策文件，對(duì)中央企業(yè)信息系統(tǒng)平安等級(jí)保護(hù)工作提出了明確要求。信息平安等級(jí)保護(hù)政策-等級(jí)測(cè)評(píng)111?關(guān)于推動(dòng)信息平安等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知?和?關(guān)于印發(fā)<信息系統(tǒng)平安等級(jí)測(cè)評(píng)報(bào)告模板(試行)>的通知?是指導(dǎo)等級(jí)測(cè)評(píng)環(huán)節(jié)工作的政策文件。前者確定了開展信息平安等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和等級(jí)測(cè)評(píng)工作的目標(biāo)、內(nèi)容和工作要求，規(guī)定了測(cè)評(píng)機(jī)構(gòu)的條件、業(yè)務(wù)范圍和禁止行為，標(biāo)準(zhǔn)了測(cè)評(píng)機(jī)構(gòu)申請(qǐng)、受理、測(cè)評(píng)工程師管理、測(cè)評(píng)能力評(píng)估、審核、推薦的流程和要求；后者明確了等級(jí)測(cè)評(píng)活動(dòng)的內(nèi)容、方法和測(cè)評(píng)報(bào)告格式等。信息平安等級(jí)保護(hù)政策–檢查112?公安機(jī)關(guān)信息平安等級(jí)保護(hù)檢查工作標(biāo)準(zhǔn)(試行)?和?關(guān)于開展信息平安等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作的通知?是指導(dǎo)監(jiān)督檢查環(huán)節(jié)工作的政策文件。前者規(guī)定了公安機(jī)關(guān)開展信息平安等級(jí)保護(hù)檢查工作的內(nèi)容、程序、方式以及相關(guān)法律文書等。后者是公安部發(fā)給各公安局公共信息網(wǎng)絡(luò)平安監(jiān)察處的文件，要求自2021年9月15日起至12月15日，在全國(guó)范圍內(nèi)開展為期三個(gè)月的信息平安等級(jí)保護(hù)專項(xiàng)監(jiān)督檢查工作，并明確了檢查目的、檢查內(nèi)容、檢查方式和進(jìn)度安排。以上政策文件構(gòu)成了信息系統(tǒng)平安等級(jí)保護(hù)工作開展的政策體系，為了組織開展等級(jí)保護(hù)工作、建設(shè)整改工作和等級(jí)測(cè)評(píng)工作明確了工作目標(biāo)、工作要求和工作流程。信息平安等級(jí)保護(hù)測(cè)評(píng)檢查周期113平安測(cè)評(píng)第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊平安需求進(jìn)行等級(jí)測(cè)評(píng)。平安自查第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次自查，第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次自查，第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊平安需求進(jìn)行自查。114平安檢查受理備案的公安機(jī)關(guān)應(yīng)當(dāng)對(duì)第三級(jí)、第四級(jí)信息系統(tǒng)的運(yùn)營(yíng)、使用單位的信息平安等級(jí)保護(hù)工作情況進(jìn)行檢查。對(duì)第三級(jí)信息系統(tǒng)每年至少檢查一次，對(duì)第四級(jí)信息系統(tǒng)每半年至少檢查一次。對(duì)跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)的檢查，應(yīng)當(dāng)會(huì)同其主管部門進(jìn)行。對(duì)第五級(jí)信息系統(tǒng)，應(yīng)當(dāng)由國(guó)家指定的專門部門進(jìn)行檢查信息平安等級(jí)保護(hù)測(cè)評(píng)檢查周期平安保護(hù)能力根本平安要求等保3級(jí)的信息系統(tǒng)根本技術(shù)措施根本管理措施具備包含包含滿足滿足實(shí)現(xiàn)等級(jí)保護(hù)能力、措施與要求115等級(jí)保護(hù)根本要求116技術(shù)要求物理平安網(wǎng)絡(luò)平安主機(jī)平安應(yīng)用平安數(shù)據(jù)平安管理要求系統(tǒng)運(yùn)維管理系統(tǒng)建設(shè)管理人員平安管理平安管理制度平安管理機(jī)構(gòu)安全要求類層面一級(jí)二級(jí)三級(jí)四級(jí)技術(shù)要求物理安全7101010網(wǎng)絡(luò)安全3677主機(jī)安全46