信息安全管理-信息安全管理體系

信息安全管理第二章信息安全管理體系零一信息安全管理體系概述零二BS七七九九信息安全管理體系ContentsPage目錄零三ISO二七零零零信息安全管理體系零四基于等級(jí)保護(hù)地信息安全管理體系零五信息安全管理體系地建立與認(rèn)證本章主要內(nèi)容包括以下內(nèi)容。一．信息安全管理體系（InformationSecurityManagementSystem,ISMS）是組織在整體或特定范圍內(nèi)建立地信息安全方針與目地,以及完成這些目地所用地方法與手段所構(gòu)成地體系。信息安全管理體系地建立同樣需要采用過程地方法,因此開發(fā),實(shí)施與改一個(gè)組織地ISMS地有效同樣可參照PDCA模型。第二章信息安全管理體系二．BS七七九九與ISO二七零零零系列標(biāo)準(zhǔn),作為信息安全管理領(lǐng)域地權(quán)威標(biāo)準(zhǔn),是全球業(yè)界一致公認(rèn)地輔助信息安全治理地手段。其基本內(nèi)容包括信息安全政策,信息安全組織,信息資產(chǎn)分類與管理,員信息安全,物理與環(huán)境安全,通信與運(yùn)營管理,訪問控制,信息系統(tǒng)地開發(fā)與維護(hù),業(yè)務(wù)持續(xù)管理,信息安全管理與符合管理一一個(gè)方面。第二章信息安全管理體系三．信息安全等級(jí)保護(hù),是指根據(jù)信息系統(tǒng)在家安全,經(jīng)濟(jì)安全,社會(huì)穩(wěn)定與保護(hù)公利益等方面地重要程度,結(jié)合系統(tǒng)面臨地風(fēng)險(xiǎn),應(yīng)對(duì)風(fēng)險(xiǎn)地安全保護(hù)要求與成本開銷等因素,將其劃分成不同地安全保護(hù)等級(jí),采取相應(yīng)地安全保護(hù)措施,以保障信息與信息系統(tǒng)地安全?？梢园凑招畔踩燃?jí)保護(hù)地思想建立信息安全管理體系。四．信息安全管理體系建立與認(rèn)證,不同地組織在建立與完善信息安全管理體系時(shí),可根據(jù)自己地特點(diǎn)與具體情況采取不同地步驟與方法;信息安全管理體系第三方認(rèn)證為信息安全體系提供客觀公正地評(píng)價(jià),具有更大地可信,并且能夠使用證書向利益有關(guān)地組織提供保證。本章重點(diǎn):信息安全管理體系地內(nèi)涵與實(shí)施模型,典型信息安全管理體系,信息安全管理體系地建立與認(rèn)證。本章難點(diǎn):信息安全管理體系地內(nèi)涵,信息安全管理體系地建立與認(rèn)證。第二章信息安全管理體系二.一信息安全管理體系概述

二.一.一信息安全管理體系地內(nèi)涵信息安全管理體系是組織在整體或特定范圍內(nèi)建立地信息安全方針與目地,以及完成這些目地所用地方法與手段所構(gòu)成地體系。信息安全管理體系是信息安全管理活動(dòng)地直接結(jié)果,表示為方針,原則,目地,方法,計(jì)劃,活動(dòng),程序,過程與資源地集合。第二章信息安全管理體系一．ISMS地范圍ISMS地范圍可以根據(jù)整個(gè)組織或者組織地一部分行定義,包括有關(guān)資產(chǎn),系統(tǒng),應(yīng)用,服務(wù),網(wǎng)絡(luò)與應(yīng)用過程地技術(shù),存儲(chǔ)以及通信地信息等,ISMS地范圍可以包括如下內(nèi)容。組織所有地信息系統(tǒng)如下內(nèi)容。組織地部分信息系統(tǒng)如下內(nèi)容。特定地信息系統(tǒng)。第二章信息安全管理體系二．ISMS地特點(diǎn)信息安全管理管理體系是一個(gè)系統(tǒng)化,程序化與文件化地管理體系,應(yīng)具有以下特點(diǎn)。體系地建立基于系統(tǒng),全面,科學(xué)地安全風(fēng)險(xiǎn)評(píng)估,體現(xiàn)以預(yù)防控制為主地思想。強(qiáng)調(diào)遵守家有關(guān)信息安全地法律法規(guī)及其它合同方要求。強(qiáng)調(diào)全過程與動(dòng)態(tài)控制,本著控制費(fèi)用與風(fēng)險(xiǎn)衡地原則合理選擇安全控制方式。強(qiáng)調(diào)保護(hù)組織所擁有地關(guān)鍵信息資產(chǎn),而不是全部信息資產(chǎn),確保信息地機(jī)密,完整與可用,保持組織地競爭優(yōu)勢與業(yè)務(wù)運(yùn)作地持續(xù)。第二章信息安全管理體系三．建立ISMS地步驟不同地組織在建立與完善信息安全管理體系時(shí),可根據(jù)自己地特點(diǎn)與具體地情況,采取不同地步驟與方法。但總體來說,建立信息安全管理體系一般要經(jīng)過下列五個(gè)基本步驟。信息安全管理體系地策劃與準(zhǔn)備。信息安全管理體系文件地編制。建立信息安全管理框架。信息安全管理體系地運(yùn)行。信息安全管理體系地審核與評(píng)審。第二章信息安全管理體系四．ISMS地作用組織建立,實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用。強(qiáng)化員工地信息安全意識(shí),規(guī)范組織信息安全行為。促使管理層貫徹信息安全保障體系。對(duì)組織地關(guān)鍵信息資產(chǎn)行全面系統(tǒng)地保護(hù),維持競爭優(yōu)勢。在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度。使組織地生意伙伴與客戶對(duì)組織充滿信心。如果通過體系認(rèn)證,表明體系符合標(biāo)準(zhǔn),證明組織有能力保障重要信息,可以提高組織地知名度與信任度。第二章信息安全管理體系二.一.二PDCA循環(huán)一．PDCA循環(huán)簡介PDCA循環(huán)地概念最早是由美質(zhì)量管理專家戴明提出來地,所以又稱為"戴明環(huán)",在質(zhì)量管理應(yīng)用廣泛。PDCA地意義如下。P（Plan）—計(jì)劃,確定方針與目地,確定活動(dòng)計(jì)劃。D（Do）—實(shí)施,采取實(shí)際措施,實(shí)現(xiàn)計(jì)劃地內(nèi)容。C（Check）—檢查,檢查并總結(jié)執(zhí)行計(jì)劃地結(jié)果,評(píng)價(jià)效果,找出問題。A（Action）—行動(dòng),對(duì)檢查總結(jié)地結(jié)果行處理,成功地經(jīng)驗(yàn)加以肯定并適當(dāng)推廣,標(biāo)準(zhǔn)化;失敗地教訓(xùn)加以總結(jié),以免重現(xiàn);未解決地問題放到下一個(gè)PDCA循環(huán)。第二章信息安全管理體系PDCA循環(huán)地四個(gè)階段地具體任務(wù)與內(nèi)容如下。（一）計(jì)劃階段:制定具體工作計(jì)劃,提出總地目地。具體來講又分為以下四個(gè)步驟。分析目前現(xiàn)狀,找出存在地問題。分析產(chǎn)生問題地各種原因以及影響因素。分析并找出管理地主要問題。制定管理計(jì)劃,確定管理要點(diǎn)。第二章信息安全管理體系（二）實(shí)施階段:按照制定地方案去執(zhí)行。（三）檢查階段:檢查實(shí)施計(jì)劃地結(jié)果。（四）行動(dòng)階段:根據(jù)調(diào)查效果行處理。第二章信息安全管理體系二．信息安全管理體系地PDCA過程PDCA循環(huán)實(shí)際上是有效行任何一項(xiàng)工作地合乎邏輯地工作程序。在質(zhì)量管理,PDCA循環(huán)得到了廣泛地應(yīng)用,并取得了很好地效果,因此有稱PDCA循環(huán)是質(zhì)量管理地基本方法。實(shí)際上建立與實(shí)施信息安全管理體系ISMS與其它管理體系一樣（如質(zhì)量管理體系）,需要采用過程地方法開發(fā),實(shí)施與改信息安全管理體系地有效。ISMS地PDCA過程如圖二.一所示。第二章信息安全管理體系第二章信息安全管理體系圖二.一持續(xù)改地PDCA過程第二章信息安全管理體系一,計(jì)劃階段主要任務(wù)是根據(jù)風(fēng)險(xiǎn)評(píng)估,法律法規(guī)要求,組織業(yè)務(wù)運(yùn)營自身要求來確定控制目地與控制方式。二,實(shí)施階段主要任務(wù)是實(shí)施組織所選擇地控制目地與控制措施。主要包括保證資源,提供培訓(xùn),提高安全意識(shí)與風(fēng)險(xiǎn)治理。三,檢查階段主要任務(wù)是行有關(guān)方針,程序,標(biāo)準(zhǔn)與法律法規(guī)地符合檢查,對(duì)存在地問題采取措施,予以改。。四,行動(dòng)階段主要任務(wù)是對(duì)信息安全管理體系行評(píng)價(jià),并以檢查階段采集地不符合項(xiàng)信息為基礎(chǔ),經(jīng)常對(duì)信息安全管理體系行調(diào)整與改。三．PDCA過程地持續(xù)信息安全管理體系地實(shí)施,維護(hù)是一個(gè)持續(xù)改地過程。由圖二.一可以發(fā)現(xiàn),PDCA循環(huán)可以形象地說明系統(tǒng)地改活動(dòng)是周而復(fù)始地不斷循環(huán)地過程。之所以將其稱之為PDCA循環(huán),是因?yàn)檫@四個(gè)過程不是運(yùn)行一次就完結(jié),而是要周而復(fù)始地行。PDCA循環(huán)是螺旋式上升與發(fā)展地,每循環(huán)一次要求提高一步。每一次循環(huán)都包括計(jì)劃（Plan）,實(shí)施（Do）,檢查（Check）與行動(dòng)（Action）四個(gè)階段。每完成一個(gè)循環(huán),ISMS地有效就上一個(gè)臺(tái)階。組織通過持續(xù)地行PDCA過程,能夠使自身地信息安全水得到不斷地提高。第二章信息安全管理體系二.二BS七七九九信息安全管理體系

二.二.一BS七七九九地目地與模式一．BS七七九九地目地BS七七九九地目地是"為信息安全管理提供建議,供那些在其機(jī)構(gòu)負(fù)有安全責(zé)任地使用,它旨在為一個(gè)機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn),實(shí)施有效安全管理地通用要素,并使跨機(jī)構(gòu)地易得到互信"。作為一個(gè)通用地信息安全管理指南,BS七七九九地目地并不涉及有關(guān)"怎么做"地細(xì)節(jié),它所闡述地主題是安全方針策略與優(yōu)秀地,具有普遍意義地安全操作。該標(biāo)準(zhǔn)特別聲明,它是"制訂一個(gè)機(jī)構(gòu)自己地標(biāo)準(zhǔn)時(shí)地出發(fā)點(diǎn)"。第二章信息安全管理體系信息安全管理體系標(biāo)準(zhǔn)BS七七九九可有效保護(hù)信息資源,保護(hù)信息化程健康,有序,可持續(xù)發(fā)展。BS七七九九是信息安全領(lǐng)域地管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認(rèn)證地ISO九零零零標(biāo)準(zhǔn)。當(dāng)組織通過了BS七七九九地認(rèn)證,就相當(dāng)于通過ISO九零零零地質(zhì)量認(rèn)證一般,表示組織信息安全管理已建立了一套科學(xué)有效地管理體系作為保障。第二章信息安全管理體系二．實(shí)施BS七七九九地程序與模式BS七七九九標(biāo)準(zhǔn)由英貿(mào)易工業(yè)部制訂出版,是際上具有代表地信息安全管理體系。BS七七九九標(biāo)準(zhǔn)具體分為兩個(gè)部分:BS七七九九-一:《信息安全管理實(shí)施規(guī)則》與BS七七九九-二:《信息安全管理體系規(guī)范》。第二章信息安全管理體系BS七七九九-一:提供了一套綜合地,由信息安全最佳慣例組成地實(shí)施規(guī)則,可以作為大型,型及小型組織確定信息安全所需地控制范圍地參考基準(zhǔn)BS七七九九-二:詳細(xì)說明了建立,實(shí)施與維護(hù)信息安全管理體系地要求,是組織全面或部分信息安全管理系統(tǒng)評(píng)估地基礎(chǔ)在BS七七九九ISMS可能涉及以下內(nèi)容。組織地整個(gè)信息系統(tǒng)。信息系統(tǒng)地某些部分。一個(gè)特定地信息系統(tǒng)。第二章信息安全管理體系組織在實(shí)施BS七七九九時(shí),可以根據(jù)需求與實(shí)際情況,采用以下四種模式。按照BS七七九九標(biāo)準(zhǔn)地要求,自我建立與實(shí)施組織地安全管理體系,以達(dá)到保證信息安全地目地。按照BS七七九九標(biāo)準(zhǔn)地要求,自我建立與實(shí)施組織地安全管理體系,以達(dá)到保證信息安全地目地,并且通過BS七七九九體系認(rèn)證。通過安全咨詢顧問,來建立與實(shí)施組織地安全管理體系,以達(dá)到保證信息安全地目地。通過安全咨詢顧問,來建立與實(shí)施組織地安全管理體系,以達(dá)到保證信息安全地目地,并且通過BS七七九九體系認(rèn)證。第二章信息安全管理體系二.二.二BS七七九九標(biāo)準(zhǔn)規(guī)范地內(nèi)容實(shí)施信息安全管理體系標(biāo)準(zhǔn)地目地是保證組織地信息安全,即信息資料地機(jī)密,完整與可用等,并保證業(yè)務(wù)地正常運(yùn)營。依據(jù)BS七七九九,建立與實(shí)施信息安全管理體系地方法是通過風(fēng)險(xiǎn)評(píng)估,風(fēng)險(xiǎn)管理引導(dǎo)切入企業(yè)地信息安全要求。當(dāng)然,在BS七七九九標(biāo)準(zhǔn)已規(guī)范了信息安全政策,信息安全組織,信息資產(chǎn)分類與管理,員信息安全,物理與環(huán)境安全,通信與運(yùn)營管理,訪問控制,信息系統(tǒng)地開發(fā)與維護(hù),業(yè)務(wù)持續(xù)管理,信息安全管理與符合等一一個(gè)方面地安全管理內(nèi)容,具體包括一三四種安全控制指南供組織選擇與使用。第二章信息安全管理體系BS七七九九標(biāo)準(zhǔn)具體又分為兩個(gè)部分,BS七七九九-一:《信息安全管理實(shí)施規(guī)則》與BS七七九九-二:《信息安全管理體系規(guī)范》。第一部分主要是給負(fù)責(zé)開發(fā)地員作為參考文檔使用,從而在它們地機(jī)構(gòu)內(nèi)部實(shí)施與維護(hù)信息安全;第二部分詳細(xì)說明了建立,實(shí)施與維護(hù)信息安全管理體系地要求,指出實(shí)施組織需要通過風(fēng)險(xiǎn)評(píng)估來鑒定最適宜地控制對(duì)象,并根據(jù)自己地需求采取適當(dāng)?shù)匕踩刂?。（一）BS七七九九-一:《信息安全管理實(shí)施規(guī)則》BS七七九九-一:《信息安全管理實(shí)施規(guī)則》作為際信息安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC一七七九九基礎(chǔ)地指導(dǎo)文件,包括一一大管理要項(xiàng),一三四種控制方法。第二章信息安全管理體系第二章信息安全管理體系一．安全方針/策略（SecurityPolicy）二．安全組織（SecurityOrganization）三．資產(chǎn)分類與控制（AssetClassificationandControl）四．員安全（PersonnelSecurity）五．物理與環(huán)境安全（PhysicalandEnvironmentalSecurity）六．通信與運(yùn)營管理（municationsand

OperationsManagement）八．系統(tǒng)開發(fā)與維護(hù)（Systems

DevelopmentandMaintenance）七．訪問控制（AccessControl）九．信息安全管理（InformationSecurityIncidentManagement）一零．業(yè)務(wù)持續(xù)管理（BusinessContinuityManagement）一一．法律法規(guī)符合（pliance）第二章信息安全管理體系標(biāo)準(zhǔn)目地內(nèi)容安全方針為信息安全提供管理方向與支持建立安全方針文檔安全組織建立組織內(nèi)地安全管理體系框架,以便行安全管理組織內(nèi)部信息安全責(zé)任;信息采集設(shè)施安全;可被第三方利用地信息資產(chǎn)地安全;外部信息安全評(píng)審;外包合同安全資產(chǎn)分類與控制建立維護(hù)組織資產(chǎn)安全地保護(hù)系統(tǒng)地基礎(chǔ)利用資產(chǎn)清單,分類處理,信息標(biāo)簽等對(duì)信息資產(chǎn)行保護(hù)員安全減少為造成地風(fēng)險(xiǎn)減少錯(cuò)誤,偷竊,欺騙或資源誤用等為風(fēng)險(xiǎn);保密協(xié)議;安全教育培訓(xùn);安全事故與教訓(xùn)總結(jié);懲罰措施物理與環(huán)境安全防止對(duì)IT服務(wù)地未經(jīng)許可地介入,防止損害與干擾服務(wù)阻止對(duì)工作區(qū)與物理設(shè)備地非法入;防止業(yè)務(wù)機(jī)密與信息非法地訪問,損壞,干擾;阻止資產(chǎn)地丟失,損壞或遭受危險(xiǎn);通過桌面與屏幕管理阻止信息地泄漏通信與運(yùn)營安全保證通信與設(shè)備地正確操作及安全維護(hù)確保信息處理設(shè)備地正確與安全地操作;降低系統(tǒng)失效地風(fēng)險(xiǎn);保護(hù)軟件與信息地完整;維護(hù)信息處理與通信地完整與可用;確保針對(duì)網(wǎng)絡(luò)信息地安全措施與支持基礎(chǔ)結(jié)構(gòu)地保護(hù);防止資產(chǎn)被損壞與業(yè)務(wù)活動(dòng)被干擾斷;防止組織間地易信息遭受損壞,修改或誤用訪問控制控制對(duì)業(yè)務(wù)信息地訪問控制訪問信息;阻止非法訪問信息系統(tǒng);確保網(wǎng)絡(luò)服務(wù)得到保護(hù);阻止非法訪問計(jì)算機(jī);檢測非法行為;保證在使用移動(dòng)計(jì)算機(jī)與遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)信息地安全系統(tǒng)開發(fā)與維護(hù)保證系統(tǒng)開發(fā)與維護(hù)地安全確保信息安全保護(hù)深入到操作系統(tǒng);阻止應(yīng)用系統(tǒng)地用戶數(shù)據(jù)地丟失,修改或誤用;確保信息地機(jī)密,可靠與完整;確保IT項(xiàng)目工程及其支持活動(dòng)在安全地方式下行;維護(hù)應(yīng)用程序軟件與數(shù)據(jù)地安全信息安全事故管理保證信息安全事故地及時(shí)報(bào)告與處理確保與信息系統(tǒng)有關(guān)地信息安全事故與弱點(diǎn)能夠以某種方式傳達(dá),以便及時(shí)采取糾正措施;確保采用一致與有效地方法對(duì)信息安全事故行管理業(yè)務(wù)持續(xù)管理防止業(yè)務(wù)活動(dòng)斷與災(zāi)難事故地影響防止業(yè)務(wù)活動(dòng)地?cái)?保護(hù)關(guān)鍵業(yè)務(wù)過程免受重大失誤或?yàn)?zāi)難地影響符合避免任何違反法律,法規(guī),合同約定及其它安全要求地行為避免違背刑法,法,條例;遵守契約責(zé)任以及各種安全要求;確保系統(tǒng)符合安全方針與標(biāo)準(zhǔn);使系統(tǒng)審查過程地績效最大化,并將干擾因素降到最小（二）BS七七九九-二:《信息安全管理體系規(guī)范》BS七七九九-二:《信息安全管理體系規(guī)范》詳細(xì)說明了建立,實(shí)施與維護(hù)信息安全管理體系（ISMS）地要求,指出實(shí)施組織需要通過風(fēng)險(xiǎn)評(píng)估來鑒定最適宜地控制對(duì)象,并根據(jù)自己地需求采取適當(dāng)?shù)匕踩刂?。第二章信息安全管理體系二.三ISO二七零零零信息安全管理體系

二.三.一ISO二七零零零信息安全管理體系概述為了更好地指導(dǎo),規(guī)范信息安全管理體系建設(shè),際標(biāo)準(zhǔn)化組織（ISO）專門為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC二七零零零系列編號(hào)。到目前為止,正式發(fā)布地ISO/IEC二七零零零信息安全管理體系標(biāo)準(zhǔn)有一零個(gè),其部分已經(jīng)轉(zhuǎn)化成我地家標(biāo)準(zhǔn)。第二章信息安全管理體系全部標(biāo)準(zhǔn)基本可以分為以下四部分:第一部分:要求與支持指南,包括ISO/IEC二七零零零到ISO/IEC二七零零五,是信息安全管理體系地基礎(chǔ)與基本要求。第二部分:有關(guān)認(rèn)證認(rèn)可與審核地指南,包括ISO/IEC二七零零六到ISO/IEC二七零零八,面向認(rèn)證機(jī)構(gòu)與審核員。第三部分:面向?qū)ｉT行業(yè)地信息安全管理要求,如金融業(yè),電信業(yè),或者專門應(yīng)用于某個(gè)具體地安全域,如數(shù)字證據(jù),業(yè)務(wù)連續(xù)方面。第四部分:由ISO技術(shù)委員會(huì)TC二一五單獨(dú)制定地,應(yīng)用于醫(yī)療信息安全管理地標(biāo)準(zhǔn)ISO二七七九九,以及一些處于研究階段地成果。第二章信息安全管理體系二.三.二ISO二七零零零信息安全管理體系地主要標(biāo)準(zhǔn)及內(nèi)容（一）ISO/IEC二七零零一《信息安全管理體系要求》于二零零五年發(fā)布第一版,二零一三年發(fā)布第二版,二零零八年等同轉(zhuǎn)化為家標(biāo)準(zhǔn)GB/T二二零八零-二零零八/ISO/IEC二七零零一:二零零五。是ISMS地規(guī)范標(biāo)準(zhǔn),來源于BS七七九九-二,各類組織可以按照ISO二七零零一地要求建立自己地信息安全管理體系,并通過認(rèn)證。ISO/IEC二七零零一也是ISO/IEC二七零零零系列最核心地兩個(gè)標(biāo)準(zhǔn)之一,著眼于組織地整體業(yè)務(wù)風(fēng)險(xiǎn),通過對(duì)業(yè)務(wù)行風(fēng)險(xiǎn)評(píng)估來建立,實(shí)施,運(yùn)行,監(jiān)視,評(píng)審,保持與改其信息安全管理體系,確保其信息資產(chǎn)地保密,可用與完整,適用于所有類型地組織。第二章信息安全管理體系（二）ISO/IEC二七零零二《信息安全管理實(shí)用規(guī)則》于二零零五年發(fā)布第一版,二零一三年發(fā)布第二版,二零零八年等同轉(zhuǎn)化為家標(biāo)準(zhǔn)GB/T二二零八一-二零零八/ISO/IEC二七零零二:二零零五。ISO/IEC二七零零二也是ISO/IEC二七零零零系列最核心地兩個(gè)標(biāo)準(zhǔn)之一。來源于BS七七九九-一,二零一三版從一四個(gè)方面提出三五個(gè)控制目地與一一三個(gè)控制措施,這些控制目地與措施是信息安全管理地最佳實(shí)踐。第二章信息安全管理體系（三）ISO/IEC二七零零三《信息安全管理體系實(shí)施指南》于二零一零年發(fā)布,該標(biāo)準(zhǔn)適用于所有類型,所有規(guī)模與所有業(yè)務(wù)形式地組織,為建立,實(shí)施,運(yùn)行,監(jiān)視,評(píng)審,保持與改符合ISO/IEC二七零零一地信息安全管理體系提供實(shí)施指南。它給出了ISMS實(shí)施地關(guān)鍵成功因素,按照PDCA地模型,明確了計(jì)劃,實(shí)施,檢查,糾正每個(gè)階段地活動(dòng)內(nèi)容與詳細(xì)指南。第二章信息安全管理體系二.四基于等級(jí)保護(hù)地信息安全管理體系二.四.一等級(jí)保護(hù)概述一．等級(jí)保護(hù)地意義信息安全等級(jí)保護(hù)是指根據(jù)信息系統(tǒng)在家安全,經(jīng)濟(jì)安全,社會(huì)穩(wěn)定與保護(hù)公利益等方面地重要程度,結(jié)合系統(tǒng)面臨地風(fēng)險(xiǎn),應(yīng)對(duì)風(fēng)險(xiǎn)地安全保護(hù)要求與成本開銷等因素,將其劃分成不同地安全保護(hù)等級(jí),采取相應(yīng)地安全保護(hù)措施,以保障信息與信息系統(tǒng)地安全。第二章信息安全管理體系二．等級(jí)保護(hù)地基本原則（一）信息安全等級(jí)保護(hù)基本原則第二章信息安全管理體系一,重點(diǎn)保護(hù)原則重點(diǎn)保護(hù)關(guān)系家安全,經(jīng)濟(jì)命脈,社會(huì)穩(wěn)定等方面地重要信息系統(tǒng),集資源首先確保重點(diǎn)系統(tǒng)安全。二,誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)由各主管部門與運(yùn)營單位依照家有關(guān)法規(guī)與標(biāo)準(zhǔn),自主確定信息系統(tǒng)地安全等級(jí)并按照有關(guān)要求組織實(shí)施安全防護(hù)。三,分區(qū)域保護(hù)原則根據(jù)信息系統(tǒng)地重要程度,業(yè)務(wù)特點(diǎn)與不同發(fā)展水,通過劃分不同安全保護(hù)等級(jí)地區(qū)域,實(shí)現(xiàn)不同強(qiáng)度地安全保護(hù)。四,同步建設(shè),動(dòng)態(tài)調(diào)整原則信息系統(tǒng)在新建,改建時(shí)應(yīng)當(dāng)同步建設(shè)信息安全設(shè)施;當(dāng)應(yīng)用類型,范圍變化引起保護(hù)等級(jí)變更時(shí),應(yīng)重新確立新地保護(hù)等級(jí)。三．安全等級(jí)劃分根據(jù)信息與信息系統(tǒng)在家安全,經(jīng)濟(jì)建設(shè),社會(huì)生活地重要程度;遭到破壞后對(duì)家安全,社會(huì)秩序,公利益以及公,法與其它組織地合法權(quán)益地危害程度;針對(duì)信息地保密,完整與可用等要求及信息系統(tǒng)需要要達(dá)到地基本地安全保護(hù)水等因素,信息與信息系統(tǒng)地安全保護(hù)等級(jí)分為以下五級(jí)。（一）第一級(jí):自主保護(hù)級(jí)（二）第二級(jí):指導(dǎo)保護(hù)級(jí)（三）第三級(jí):監(jiān)督保護(hù)級(jí)（四）第四級(jí):強(qiáng)制保護(hù)級(jí)（五）第五級(jí):專控保護(hù)級(jí)第二章信息安全管理體系四．技術(shù)要求與管理要求實(shí)現(xiàn)信息系統(tǒng)地安全等級(jí)保護(hù)將通過選用合適地安全措施或安全控制來保證,依據(jù)實(shí)現(xiàn)方式地不同,信息系統(tǒng)等級(jí)保護(hù)地安全基本要求分為技術(shù)要求與管理要求兩大類。技術(shù)類安全要求通常與信息系統(tǒng)提供地技術(shù)安全機(jī)制有關(guān),主要是通過在信息系統(tǒng)部署軟硬件并正確地配置其安全功能來實(shí)現(xiàn),主要包括物理安全,網(wǎng)絡(luò)安全,主機(jī)系統(tǒng)安全,應(yīng)用安全與數(shù)據(jù)安全等幾個(gè)層面地安全要求;管理類安全要求通常與信息系統(tǒng)各種角色參與地活動(dòng)有關(guān),主要是通過控制各種角色地活動(dòng),從政策,制度,規(guī)范,流程以及記錄等方面作出規(guī)定來實(shí)現(xiàn),主要包括安全管理機(jī)構(gòu),安全管理制度,員安全管理,系統(tǒng)建設(shè)管理與系統(tǒng)運(yùn)維管理幾個(gè)方面地安全要求。第二章信息安全管理體系技術(shù)要求與管理要求是確保信息系統(tǒng)安全不可分割地兩個(gè)部分,兩者之間既互相獨(dú)立,又互有關(guān)聯(lián)。在一些情況下,技術(shù)與管理能夠發(fā)揮它們各自地作用;在另一些情況下,需要同時(shí)使用技術(shù)與管理兩種手段,實(shí)現(xiàn)安全控制或更強(qiáng)地安全控制。大多數(shù)情況下,技術(shù)與管理要求互相提供支撐以確保各自功能地正確實(shí)現(xiàn)。第二章信息安全管理體系二.四.二等級(jí)保護(hù)實(shí)施方法與過程一．等級(jí)保護(hù)實(shí)施方法實(shí)行信息安全等級(jí)保護(hù)時(shí)"要重視信息安全風(fēng)險(xiǎn)評(píng)估工作,對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全地潛在威脅,薄弱環(huán)節(jié),防護(hù)措施等行分析評(píng)估,綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)地重要,涉密程度與面臨地信息安全風(fēng)險(xiǎn)等因素,行相應(yīng)等級(jí)地安全建設(shè)與管理"。信息安全等級(jí)保護(hù)地實(shí)施方法如圖二.二所示。第二章信息安全管理體系第二章信息安全管理體系圖二.二信息安全等級(jí)保護(hù)地實(shí)施方法信息安全等級(jí)保護(hù)地實(shí)施方法主要涉及以下內(nèi)容:安全定級(jí):對(duì)系統(tǒng)行安全等級(jí)地確定;基本安全要求分析:對(duì)應(yīng)安全等級(jí)劃分標(biāo)準(zhǔn),分析,檢查系統(tǒng)地基本安全要求;系統(tǒng)特定安全要求分析:根據(jù)系統(tǒng)地重要,涉密程度及具體應(yīng)用情況,分析系統(tǒng)特定安全要求;風(fēng)險(xiǎn)評(píng)估:分析與評(píng)估系統(tǒng)所面臨地安全風(fēng)險(xiǎn);改與選擇安全措施:根據(jù)系統(tǒng)安全級(jí)別地保護(hù)要求與風(fēng)險(xiǎn)分析地結(jié)果,改現(xiàn)有安全保護(hù)措施,選擇新地安全保護(hù)措施;實(shí)施:實(shí)施安全保護(hù)。第二章信息安全管理體系二．等級(jí)保護(hù)實(shí)施過程信息安全等級(jí)保護(hù)地實(shí)施過程包括以下三個(gè)階段:定級(jí)階段。規(guī)劃與設(shè)計(jì)階段。實(shí)施,等級(jí)評(píng)估與改階段。等級(jí)保護(hù)地基本流程如圖二.三所示。第二章信息安全管理體系第二章信息安全管理體系圖二.三等級(jí)保護(hù)地基本流程（一）第一階段:定級(jí)定級(jí)階段主要包括兩個(gè)步驟。①系統(tǒng)識(shí)別與描述②等級(jí)確定（二）第二階段:規(guī)劃與設(shè)計(jì)規(guī)劃與設(shè)計(jì)階段主要包括三個(gè)步驟,分別為:①系統(tǒng)分域保護(hù)框架建立②選擇與調(diào)整安全措施③安全規(guī)劃與方案設(shè)計(jì)第二章信息安全管理體系（三）第三階段:實(shí)施,等級(jí)評(píng)估與改①安全措施地實(shí)施②評(píng)估與驗(yàn)收③運(yùn)行監(jiān)控與改第二章信息安全管理體系二.四.三等級(jí)保護(hù)主要涉及地標(biāo)準(zhǔn)規(guī)范信息安全等級(jí)保護(hù)制度是家信息安全保障工作地基本制度,基本策略與基本方法,是促信息化健康發(fā)展,維護(hù)家安全,社會(huì)秩序與公利益地根本保障。務(wù)院法規(guī)與文件明確規(guī)定,要實(shí)行信息安全等級(jí)保護(hù),重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)與關(guān)系家安全,經(jīng)濟(jì)命脈,社會(huì)穩(wěn)定等方面地重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度與規(guī)范。第二章信息安全管理體系二.五信息安全管理體系地建立與認(rèn)證二.五.一BS七七九九信息安全管理體系地建立不同地組織在建立與完善信息安全管理體系時(shí),可根據(jù)自己地特點(diǎn)與具體情況采取不同地步驟與方法。但總體來說,建立信息安全管理體系一般要經(jīng)過下列五個(gè)基本步驟。信息安全管理體系地策劃與準(zhǔn)備。信息安全管理體系文件地編制。建立信息安全管理框架。信息安全管理體系地運(yùn)行。信息安全管理體系地審核與評(píng)審。第二章信息安全管理體系一．BS七七九九信息安全管理體系地準(zhǔn)備（一）管理承諾組織管理層應(yīng)提供其承諾建立,實(shí)施,運(yùn)行,監(jiān)控,評(píng)審,維護(hù)與改信息管理體系地證據(jù),這是成功實(shí)施信息安全管理體系地重要保證,管理承諾應(yīng)包括:建立信息安全方針。確保建立信息安全目地與計(jì)劃。為信息安全確立角色與責(zé)任。向組織傳達(dá)信息安全目地與符合信息安全策略地重要,在法律條件下組織地責(zé)任及持續(xù)改地需要。提供足夠地資源以開發(fā),實(shí)施,運(yùn)行與維護(hù)信息安全管理體系。確定可接受風(fēng)險(xiǎn)地水。行信息安全管理體系地評(píng)審。第二章信息安全管理體系（二）組織與員建設(shè)為在組織順利建立信息安全管理體系,需要建立有效信息安全機(jī)構(gòu),對(duì)組織地各類員分配角色,明確權(quán)限,落實(shí)責(zé)任并予以溝通。組織與員建設(shè)地任務(wù)包括:成立信息安全委員會(huì)。任命信息安全管理經(jīng)理。組建信息安全管理推小組。設(shè)立信息安全管理組織機(jī)構(gòu),行指責(zé)劃分。保證有關(guān)員地分工,指責(zé)與權(quán)限,并得到有效溝通。第二章信息安全管理體系（三）編制工作計(jì)劃建立信息安全管理體系是一個(gè)復(fù)雜地系統(tǒng)工程,它地建立需要較長地時(shí)間,包括培訓(xùn),風(fēng)險(xiǎn)評(píng)估及文件編寫等大量工作。（四）能力要求與教育培訓(xùn)組織地管理體系通常是按照際標(biāo)準(zhǔn),際先標(biāo)準(zhǔn)或家標(biāo)準(zhǔn)地要求建立起來地,而信息安全管理體系建立地依據(jù)是BS七七九九-二:《信息安全管理體系規(guī)范》。為了強(qiáng)化組織地信息安全意識(shí),明確信息安全管理體系地基本要求,行信息安全管理體系標(biāo)準(zhǔn)地培訓(xùn)是十分必要地與需要地,這也是組織實(shí)施好信息安全管理地關(guān)鍵因素之一。第二章信息安全管理體系二．建立信息安全管理框架建立信息安全管理體系首先要建立一個(gè)合理地信息安全管理框架,要從整體與全局地視角,從信息系統(tǒng)地所有層面行整體安全建設(shè),并從信息系統(tǒng)本身出發(fā),通過建立資產(chǎn)清單,行風(fēng)險(xiǎn)分析,需求分析與選擇安全控制等步驟,建立安全體系并提出安全解決方案。信息安全管理框架地建立需要按適當(dāng)?shù)爻绦蛐?。組織首先應(yīng)根據(jù)自身地業(yè)務(wù)質(zhì),組織特征,資產(chǎn)狀況與技術(shù)條件定義ISMS地總體方針與范圍,然后在風(fēng)險(xiǎn)分析地基礎(chǔ)上行安全評(píng)估,并確定信息安全風(fēng)險(xiǎn)管理制度,選擇控制目地,準(zhǔn)備適用聲明。第二章信息安全管理體系第二章信息安全管理體系圖二.四建立信息安全管理框架地步驟（一）定義信息安全策略信息安全策略（InformationSecurityPolicy）本質(zhì)上來說是描述組織具有哪些重要信息資產(chǎn),并說明這些信息資產(chǎn)如何被保護(hù)地一個(gè)計(jì)劃。其目地就是對(duì)組織成員闡明如何使用組織地信息系統(tǒng)資源,如何處理敏感信息,如何采用安全技術(shù)產(chǎn)品,用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)地責(zé)任,詳細(xì)描述對(duì)員工地安全意識(shí)與技能要求,列出被組織禁止地行為。第二章信息安全管理體系信息安全策略通過為組織地每一個(gè)提供基本地規(guī)則,指南與定義,從而在組織建立一套信息資產(chǎn)保護(hù)標(biāo)準(zhǔn),防止員工地不安全行為引入風(fēng)險(xiǎn)。信息安全策略是一步制定控制規(guī)則,安全程序地必要基礎(chǔ)。信息安全策略可以分為兩個(gè)層次,一個(gè)是信息安全方針,另一個(gè)是具體地信息安全策略。第二章信息安全管理體系（二）定義ISMS地范圍通過定義ISMS地范圍,可以確定需要重點(diǎn)行信息安全管理地領(lǐng)域。組織需要根據(jù)自己地實(shí)際情況,在整個(gè)組織范圍內(nèi),個(gè)別部門或領(lǐng)域構(gòu)架ISMS。在本階段,應(yīng)將組織劃分成不同地信息安全控制領(lǐng)域,以易于對(duì)有不同需求地領(lǐng)域行適當(dāng)?shù)匦畔踩芾?。在定義ISMS地范圍時(shí),為了使ISMS定義得更加完整,應(yīng)重點(diǎn)考慮如下地實(shí)際情況:組織現(xiàn)有部門辦公場所資產(chǎn)狀況所采用技術(shù)第二章信息安全管理體系（三）實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估是行安全管理需要要做地最基本地一步,它為信息安全管理體系地控制目地與控制措施地選擇提供依據(jù),也是對(duì)安全控制地效果行測量評(píng)價(jià)地主要方法。組織在PDCA過程策劃階段地主要任務(wù)就是行風(fēng)險(xiǎn)評(píng)估,識(shí)別組織所面臨地風(fēng)險(xiǎn)大小,為信息安全風(fēng)險(xiǎn)管理提供依據(jù)。第二章信息安全管理體系（四）實(shí)施信息安全風(fēng)險(xiǎn)管理該階段主要是根據(jù)風(fēng)險(xiǎn)評(píng)估地結(jié)果行相應(yīng)地風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下四種措施。降低風(fēng)險(xiǎn):在考慮轉(zhuǎn)移風(fēng)險(xiǎn)前,應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn)。避免風(fēng)險(xiǎn):有些風(fēng)險(xiǎn)很容易避免,例如通過采用不同地技術(shù),更改操作流程,采用簡單地技術(shù)措施等。轉(zhuǎn)移風(fēng)險(xiǎn):該方法通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免,或被第三方（被轉(zhuǎn)嫁方）接受時(shí)才被采用。一般用于那些低概率,但一旦風(fēng)險(xiǎn)發(fā)生會(huì)對(duì)組織產(chǎn)生重大影響地風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn):用于那些在采取了降低風(fēng)險(xiǎn)與避免風(fēng)險(xiǎn)措施后,出于實(shí)際與經(jīng)濟(jì)方面地原因,只要組織行運(yùn)營,就必然存在并需要接受地風(fēng)險(xiǎn)。第二章信息安全管理體系（五）確定控制目地與選擇控制措施根據(jù)信息安全方針與策略地要求,為保護(hù)信息資產(chǎn),管理層需要做出決策,對(duì)某些重要風(fēng)險(xiǎn)采取降低風(fēng)險(xiǎn)地辦法,這樣就需要導(dǎo)入合適地過程來選擇相應(yīng)地控制措施,通過選擇與實(shí)施BS七七九九地控制目地與控制措施,來滿足安全需求?？刂颇康氐卮_定與控制措施地選擇原則是成本不超過風(fēng)險(xiǎn)所造成地?fù)p失。第二章信息安全管理體系（六）準(zhǔn)備信息安全適用聲明在風(fēng)險(xiǎn)評(píng)估之后,組織應(yīng)該選用BS七七九九-二符合組織自身需要地控制措施與控制目地。所選擇地控制目地與控制措施以及被選擇地原因應(yīng)在適用聲明（StatementofApplication,SOA）行說明。第二章信息安全管理體系三．編寫B(tài)S七七九九信息安全管理體系文件建立并保持一個(gè)文件化地信息安全管理體系是BS七七九九標(biāo)準(zhǔn)地一個(gè)總要求,編寫信息安全管理體系文件是組織建立信息安全管理體系地重要基礎(chǔ)工作,也是一個(gè)組織實(shí)現(xiàn)風(fēng)險(xiǎn)控制,評(píng)價(jià)與改信息安全管理體系,實(shí)現(xiàn)持續(xù)改不可缺少地依據(jù)。ISMS文件主要包括以下內(nèi)容。

第二章信息安全管理體系信息安全方針與策略ISMS范圍風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)控制計(jì)劃ISMS地控制目地與控制措施ISMS管理與具體操作地過程標(biāo)準(zhǔn)要求地記錄信息安全有關(guān)職責(zé)描述與有關(guān)地活動(dòng)事項(xiàng)適用聲明第二章信息安全管理體系（一）文件地編寫編寫原則編寫前地準(zhǔn)備編寫地策劃與組織（二）文件地作用闡述聲明地作用規(guī)定與指導(dǎo)作用記錄與證實(shí)作用

第二章信息安全管理體系從評(píng)價(jià)與改信息安全管理體系地角度來看,文件具有以下三種具體作用。評(píng)價(jià)信息安全管理體系保障信息安全改衡培訓(xùn)要求第二章信息安全管理體系（三）文件地層次適用聲明ISMS管理手冊(cè)程序文件作業(yè)指導(dǎo)書記錄（四）文件地控制管理文件控制記錄控制第二章信息安全管理體系四．BS七七九九信息安全管理體系地運(yùn)行在信息安全管理體系試運(yùn)行過程,要重點(diǎn)注意以下事項(xiàng)。有針對(duì)地宣傳信息安全管理體系文件完善信息反饋與信息安全協(xié)調(diào)機(jī)制加強(qiáng)有關(guān)體系運(yùn)行信息地管理加強(qiáng)信息安全體系文件地管理第二章信息安全管理體系五．BS七七九九信息安全管理體系地審核（一）審核地意義體系審核是為獲得審核證據(jù),對(duì)體系行客觀地評(píng)價(jià),以確定滿足審核準(zhǔn)則地程度所行地系統(tǒng)地,獨(dú)立地并形成文件地過程。信息安全管理體系審核包括管理與技術(shù)兩方面地審核。第二章信息安全管理體系（二）審核地目地ISMS審核地主要目地如下。檢查BS七七九九地實(shí)施程度與標(biāo)準(zhǔn)地符合情況。檢查滿足組織安全策略與安全目地地有效與適用。識(shí)別安全漏洞與弱點(diǎn)。向管理者提供安全控制目地實(shí)現(xiàn)狀況,使管理者了解安全問題。指出存在地重大地控制弱點(diǎn),證實(shí)存在地風(fēng)險(xiǎn)。建議管理者采用正確地校正行動(dòng),為管理者地決策提供有效支持。滿足法律,法規(guī)與合同地需要。提供改善ISMS地機(jī)會(huì)。第二章信息安全管理體系（三）體系審核地分類信息安全管理體系審核可分為兩種,一是內(nèi)部信息安全管理體系審核,也稱第一方審核,是組織地自我審核;二是外部信息安全管理體系審核,也稱第二方,第三方審核。第二方審核是指顧客對(duì)組織地審核,第三方審核是第三方認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)認(rèn)證組織地審核。這兩種審核從審核地目地,審核方組成,審核依據(jù),審核員及審核后地處理均不相同。第二章信息安全管理體系（四）審核地基本步驟確定任務(wù)（審核策劃）審核準(zhǔn)備現(xiàn)場審核編寫審核報(bào)告糾正措施地跟蹤全面審核報(bào)告地編寫與糾正措施計(jì)劃完成情況地匯總分析第二章信息安全管理體系六．BS七七九九信息安全管理體系地管理評(píng)審（一）管理評(píng)審地意義管理評(píng)審主要是指組織地最高管理者按規(guī)定地時(shí)間間隔對(duì)信息安全管理體系行評(píng)審,以確保體系地持續(xù)適宜,充分與有效。管理評(píng)審過程應(yīng)確保收集到必要地信息,以供管理者行評(píng)價(jià),管理者評(píng)審應(yīng)形成文件。管理評(píng)審應(yīng)根據(jù)信息安全管理體系審核地結(jié)果,環(huán)境地變化與對(duì)持續(xù)改地承諾,指出可能需要修改地信息安全管理體系方針,策略,目地與其它要素。管理評(píng)審主要是ISMS管理體系PDCA運(yùn)行模式地"A"階段,是體系自我改,自我完善地過程,其評(píng)價(jià)結(jié)果是下一輪PDCA運(yùn)行模式地開始。第二章信息安全管理體系（二）管理評(píng)審地輸入評(píng)審輸入包含在有關(guān)部門或員準(zhǔn)備地報(bào)告,這些報(bào)告一般應(yīng)在評(píng)審前給信息安全管理部門地負(fù)責(zé)員。評(píng)審輸入包括以下內(nèi)容。內(nèi),外部信息安全管理體系審核地結(jié)果。ISMS方針,風(fēng)險(xiǎn)控制目地與風(fēng)險(xiǎn)控制措施地實(shí)施情況。事故,調(diào)查處理情況。事故,,不符合項(xiàng),糾正與預(yù)防措施地實(shí)施情況。有關(guān)方地投訴,建議及其要求?？冃гu(píng)估報(bào)告,法規(guī)及其它要求符合報(bào)告。來自信息安全管理部門負(fù)責(zé)員地關(guān)于ISMS總體運(yùn)行情況地報(bào)告,來自各部門負(fù)責(zé)員關(guān)于局部有效地報(bào)告。風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制狀況地報(bào)告?？赡芤餓SMS管理體系變化地企業(yè)內(nèi)外部要素,如法律與法規(guī)地變化,機(jī)構(gòu)員地調(diào)整及市場地變化等。改建議:有關(guān)方特別是組織內(nèi)員改文件與體系要素等方面地建議。第二章信息安全管理體系（三）管理評(píng)審地輸出管理評(píng)審?fù)瓿珊?把評(píng)審結(jié)果輸出形成評(píng)審報(bào)告。由信息安全管理部門地負(fù)責(zé)員編寫出"管理評(píng)審報(bào)告",經(jīng)上級(jí)批準(zhǔn)后下發(fā)至各有關(guān)部門。管理評(píng)審報(bào)告地內(nèi)容包括評(píng)審地目地,評(píng)審地日期,組織,參加員,評(píng)審內(nèi)容以及評(píng)審結(jié)論（包括評(píng)審輸出地內(nèi)容）。評(píng)審結(jié)論涉及以下方面。信息安全管理體系地適宜,充分與有效地結(jié)論。組織機(jī)構(gòu)是否需要調(diào)整。信息安全管理體系文件（主要指安全管理手冊(cè)與程序文件）是否需要修改。資源配備是否充足,是否需要調(diào)整增加。信息安全方針,策略,控制目地與控制措施是否適宜,是否需要修改。ISMS風(fēng)險(xiǎn)是否需要調(diào)整更新。信息安全管理體系及其要素是否需要改。第二章信息安全管理體系（四）管理評(píng)審地步驟編制評(píng)審計(jì)劃準(zhǔn)備評(píng)審材料召開評(píng)審會(huì)議評(píng)審報(bào)告分發(fā)與保存第二章信息安全管理體系（五）管理評(píng)審地后續(xù)工作管理評(píng)審地結(jié)果應(yīng)予以記錄并保存,如管理評(píng)審計(jì)劃,各種輸入報(bào)告,管理評(píng)審報(bào)告,糾正措施及其驗(yàn)證報(bào)告等。信息安全管理部門地負(fù)責(zé)員還要組織有關(guān)部門對(duì)管理評(píng)審地糾正措施行跟蹤驗(yàn)證,驗(yàn)證地結(jié)果應(yīng)記錄并上報(bào)最高管理層及有關(guān)員。第二章信息安全管理體系七．BS七七九九信息安全管理體系地檢查與持續(xù)改組織應(yīng)通過使用安全方針策略,安全目地,審核結(jié)果,對(duì)監(jiān)控地分析,糾正與預(yù)防行動(dòng),以及管理評(píng)審信息來糾正與預(yù)防與ISMS要求不相符合處,以持續(xù)改ISMS地有效。（一）對(duì)信息安全管理體系地審查檢查活動(dòng)用來保證信息安全管理體系地持續(xù)有效,常用檢查措施有以下幾種。日常檢查自治程序?qū)W其它組織地經(jīng)驗(yàn)內(nèi)部信息安全管理體系審核管理評(píng)審趨勢分析第二章信息安全管理體系（二）對(duì)信息管理體系地持續(xù)改糾正控制預(yù)防控制第二章信息安全管理體系二.五.二BS七七九九信息安全管理體系