第3章 信息安全管理體系

第3章信息安全管理體系趙剛3.1建立信息安全管理體系的工作步驟

3.2信息安全管理體系的策劃與準(zhǔn)備

3.3信息安全管理體系的設(shè)計(jì)與建立

3.4信息安全管理體系的實(shí)施與運(yùn)行

3.5信息安全管理體系的審核

3.6信息安全管理體系管理評(píng)審

3.7信息安全管理體系的改進(jìn)與保持

3.8信息安全管理體系的認(rèn)證3.1建立信息安全管理體系的工作步驟（1）信息安全管理體系的策劃與準(zhǔn)備；（2）信息安全管理體系文件的編制；（3）建立信息安全管理框架；（4）信息安全管理體系的運(yùn)行；（5）信息安全管理體系的審核；（6）信息安全管理體系的管理評(píng)審。3.2信息安全管理體系的策劃與準(zhǔn)備3.2.1管理承諾建立信息安全方針；建立信息安全目標(biāo)和計(jì)劃；為信息安全確立角色和責(zé)任；向組織傳達(dá)信息安全目標(biāo)和符合信息安全策略的重要性，組織的責(zé)任及持續(xù)改進(jìn)的需要；提供足夠的資源以開發(fā)、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；確定可接受風(fēng)險(xiǎn)的水平；進(jìn)行信息安全管理體系的評(píng)審。3.2.2組織與人員建設(shè)成立信息安全委員會(huì)任命信息安全管理經(jīng)理組建信息安全管理推進(jìn)小組保證有關(guān)人員的作用、職責(zé)和權(quán)限得到有效溝通組織機(jī)構(gòu)的設(shè)立原則信息安全管理體系組織結(jié)構(gòu)設(shè)立及職責(zé)劃分的注意事項(xiàng)3.2.3編制工作計(jì)劃序號(hào)階段項(xiàng)

目負(fù)責(zé)部門／人1準(zhǔn)備階段1）領(lǐng)導(dǎo)決策做出實(shí)施ISMS的決策成立信息安全管理委員會(huì)任命信息安全管理經(jīng)理最高管理者2）建立信息安全組織機(jī)構(gòu)，并設(shè)計(jì)方案設(shè)立信息安全管理推進(jìn)小組擬定ISMS實(shí)施草稿，并由信息安全管理委員會(huì)討論通過(guò)

信息安全管理委員會(huì)；信息安全管理經(jīng)理

3）編制ISMS工作計(jì)劃詳細(xì)實(shí)施計(jì)劃認(rèn)證計(jì)劃培訓(xùn)計(jì)劃信息安全管理經(jīng)理；信息安全管理推進(jìn)小組4）學(xué)習(xí)培訓(xùn)信息安全管理經(jīng)理；人事部3.2.3編制工作計(jì)劃序號(hào)階段項(xiàng)

目負(fù)責(zé)部門／人2初始狀態(tài)評(píng)審5）初始狀態(tài)評(píng)審了解組織概況、業(yè)務(wù)類別、企業(yè)文化等基本情況，收集適用于組織的法律、法規(guī)和其他與信息安全相關(guān)的文件和數(shù)據(jù)信息安全風(fēng)險(xiǎn)評(píng)估、選擇風(fēng)險(xiǎn)控制措施評(píng)估現(xiàn)有信息安全控制措施的適用性評(píng)價(jià)現(xiàn)行管理體系與ISO/IEC27001的差距信息安全管理經(jīng)理；信息安全管理推進(jìn)小組3體系設(shè)計(jì)6）確定ISMS方針和目標(biāo)最高管理者7）編制ISMS管理方案推進(jìn)小組；組織內(nèi)相關(guān)部門8）ISMS責(zé)任分配及資源配備必要時(shí)對(duì)組織結(jié)構(gòu)進(jìn)行調(diào)整將各項(xiàng)ISMS活動(dòng)責(zé)任分配落實(shí)到各職能部門，編制職能分配矩陣表識(shí)別資源需求，配置必要的資源最高管理者；信息安全管理經(jīng)理3.2.3編制工作計(jì)劃序號(hào)階段項(xiàng)

目負(fù)責(zé)部門／人4文件編制9）文件的總體設(shè)計(jì)確定文件清單，確定ISMS文件與ISO/IEC27001標(biāo)準(zhǔn)條款的對(duì)照表制定文件編寫計(jì)劃編寫指導(dǎo)性文件信息安全管理經(jīng)理；推進(jìn)小組10）編寫ISMS管理手冊(cè)編寫；討論修改；審核；批準(zhǔn)最高管理者；各部門經(jīng)理；信息安全管理經(jīng)理；推進(jìn)小組11）程序文件編寫、配套表格設(shè)計(jì)編寫；討論修改；審核；批準(zhǔn)各部門經(jīng)理；信息安全管理經(jīng)理；推進(jìn)小組12）作業(yè)指導(dǎo)書編寫、配套表格設(shè)計(jì)編寫；討論修改；審核；批準(zhǔn)相關(guān)業(yè)務(wù)人員；各部門經(jīng)理；推進(jìn)小組3.2.3編制工作計(jì)劃序號(hào)階段項(xiàng)

目負(fù)責(zé)部門／人5實(shí)施運(yùn)行13）ISMS文件的學(xué)習(xí)各部門經(jīng)理；信息安全管理經(jīng)理14）試運(yùn)行前的準(zhǔn)備檢查資源配置到位情況制備各類標(biāo)簽、標(biāo)識(shí)用記錄表格、表卡等試運(yùn)行前或試運(yùn)行初最好把計(jì)量工作做好宣傳鼓動(dòng)信息安全管理經(jīng)理；各部門經(jīng)理15）宣布試運(yùn)行最高管理者16）貫徹實(shí)施、整改完善各部門經(jīng)理17）內(nèi)審員的培訓(xùn)信息安全管理經(jīng)理；人事部18）ISMS內(nèi)部審核內(nèi)部審核小組19）管理評(píng)審最高管理者6審核認(rèn)證20）申請(qǐng)認(rèn)證信息安全管理經(jīng)理21）認(rèn)證各部門經(jīng)理3.2.4能力要求與教育培訓(xùn)組織應(yīng)對(duì)人員的培訓(xùn)、意識(shí)和能力的要求建立文件化的程序。人員能力的基本要求：保證人員能力的措施培訓(xùn)的實(shí)施培訓(xùn)的內(nèi)容培訓(xùn)的方式3.3信息安全管理體系的設(shè)計(jì)與建立3.3.1編寫信息安全管理體系文件3.3.2建立信息安全管理框架3.3.1編寫信息安全管理體系文件ISMS文件；文件的作用；文件的層次；文件的編寫；文件的管理；3.3.2建立信息安全管理框架定義信息安全策略；定義ISMS的范圍；實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估；實(shí)施信息安全風(fēng)險(xiǎn)管理；確定控制目標(biāo)和選擇控制措施；準(zhǔn)備信息安全適用性聲明3.4信息安全管理體系的實(shí)施與運(yùn)行3.4.1信息安全管理體系的試運(yùn)行3.4.2實(shí)施和運(yùn)行ISMS工作3.4.1信息安全管理體系的試運(yùn)行領(lǐng)導(dǎo)動(dòng)員，以身作則；有針對(duì)性地宣傳貫徹ISMS文件；完善信息反饋與信息安全協(xié)調(diào)機(jī)制；加強(qiáng)ISMS運(yùn)行信息的管理；3.4.2實(shí)施和運(yùn)行ISMS工作闡明風(fēng)險(xiǎn)處理計(jì)劃；實(shí)施風(fēng)險(xiǎn)處理計(jì)劃；實(shí)施選擇的控制措施；評(píng)價(jià)控制措施有效性；實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃；管理ISMS的運(yùn)行；管理ISMS資源；實(shí)施能夠迅速檢測(cè)安全事態(tài)和響應(yīng)安全事件的程序和其他控制措施。3.5信息安全管理體系的審核3.5.1審核的概念3.5.2ISMS內(nèi)部審核3.5.1審核的概念1.審核概念體系審核是組織為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過(guò)程。ISMS審核包括管理和技術(shù)兩方面的審核，管理性審核主要是定期檢查有關(guān)信息安全方針、策略與規(guī)程是否被正確有效地實(shí)施；技術(shù)性審核是指定期檢查組織的信息系統(tǒng)符合信息安全實(shí)施標(biāo)準(zhǔn)的情況，技術(shù)性的審核需要信息安全技術(shù)人員的支持，必要時(shí)會(huì)使用系統(tǒng)審核工具。3.5.1審核的概念2.審核目的檢查ISO/IEC27001的實(shí)施程度與標(biāo)準(zhǔn)的符合性情況；檢查滿足組織安全策略與安全目標(biāo)的有效性和適用性；識(shí)別安全漏洞與弱點(diǎn)；給管理者提供信息安全控制目標(biāo)實(shí)現(xiàn)狀況，使管理者了解信息安全問題；指出存在的重大的控制弱點(diǎn)，證實(shí)存在的風(fēng)險(xiǎn)；建議管理者采用正確的校正行動(dòng)，為管理者的決策提供有效支持；滿足法律、法規(guī)與合同的需要；提供改善ISMS的機(jī)會(huì)。3.5.1審核的概念3.審核分類

內(nèi)部ISMS審核外部ISMS審核目的審核ISMS的符合性、有效性，采取糾正措施，使體系正常運(yùn)行和持續(xù)改進(jìn)第二方：選擇合適的合作伙伴；證實(shí)合作方持續(xù)滿足規(guī)定要求；促進(jìn)合作方改進(jìn)信息安全管理體系第三方：導(dǎo)致認(rèn)證、注冊(cè)審核方第一方第二方、第三方依據(jù)ISO/IEC27001標(biāo)準(zhǔn)ISMS文件適用于組織的有關(guān)ISMS法規(guī)及其它要求第二方：合同，ISMS文件；適用于被審核方的ISMS法規(guī)及其它要求第三方：ISO/IEC27001標(biāo)準(zhǔn)；ISMS文件；適用于被審核方的ISMS法規(guī)及其它要求審核方案集中式/滾動(dòng)式審核集中式審核審核員有資格的內(nèi)審員，也可聘外部審核員第二方：自己或外聘審核員第三方：注冊(cè)審核員文件審查根據(jù)需要安排必須進(jìn)行審核報(bào)告提交不符合報(bào)告和采取糾正措施的建議只提交不符合報(bào)告糾正措施重視糾正措施。對(duì)糾正措施計(jì)劃可提方向性意見供參考，對(duì)糾正措施完成情況不僅要跟蹤驗(yàn)證，還要分析研究其有效性。對(duì)糾正不能作咨詢，對(duì)糾正措施計(jì)劃的實(shí)施要跟蹤驗(yàn)證監(jiān)督檢查無(wú)此內(nèi)容認(rèn)證或認(rèn)可后，每年至少進(jìn)行一次監(jiān)督檢查3.5.1審核的概念4.審核步驟審核計(jì)劃；審核準(zhǔn)備；現(xiàn)場(chǎng)審核；編寫審核報(bào)告；糾正措施的跟蹤；全面審核報(bào)告的編寫和糾正措施計(jì)劃完成情況的匯總分析。3.5.2ISMS內(nèi)部審核內(nèi)部審核基本內(nèi)容內(nèi)部審核流程實(shí)施策略3.6信息安全管理體系管理評(píng)審1.管理評(píng)審的定義管理評(píng)審主要是指組織的最高管理者按規(guī)定的時(shí)間間隔對(duì)信息安全管理體系進(jìn)行評(píng)審，以確保體系的持續(xù)適宜性、充分性和有效性。2.職責(zé)與權(quán)限組織最高管理者：主持召開管理評(píng)審大會(huì)，批準(zhǔn)《管理評(píng)審報(bào)告》；管理者：批準(zhǔn)《管理評(píng)審計(jì)劃》，組織召開管理評(píng)審會(huì)，組織撰寫《管理評(píng)審報(bào)告》；主管體系建設(shè)部門：制定《管理評(píng)審計(jì)劃》，負(fù)責(zé)搜集并提供管理評(píng)審資料，負(fù)責(zé)對(duì)評(píng)審后的糾正、對(duì)預(yù)防措施進(jìn)行跟蹤和驗(yàn)證；各部門：準(zhǔn)備、提供與本部門工作相關(guān)的評(píng)審所需的資料，負(fù)責(zé)實(shí)施管理評(píng)審中提出的相關(guān)的糾正及預(yù)防措施。3.評(píng)審輸入信息安全管理體系審核和評(píng)審的結(jié)果；相關(guān)方的反饋；可以用于組織改進(jìn)其信息安全管理體系績(jī)效和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風(fēng)險(xiǎn)評(píng)估沒有足夠強(qiáng)調(diào)的威脅或脆弱性；以往管理評(píng)審的跟蹤措施；任何可能影響信息安全管理體系的變更；改進(jìn)的建議。4.評(píng)審輸出對(duì)信息安全管理體系有效性的改進(jìn)；風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃的更新；修改影響信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件；資源需求；如何測(cè)量控制措施有效性的改進(jìn)。5.制定年度管理評(píng)審計(jì)劃管理評(píng)審計(jì)劃的主要內(nèi)容包括：審核目的、審核范圍、審核準(zhǔn)則、審核組的組建、審核員的資質(zhì)、審核的時(shí)間、參與評(píng)審的部門等要求。管理評(píng)審一般每年進(jìn)行一次，一般在同一年度最后一次內(nèi)部審核完成后進(jìn)行，也可根據(jù)需要安排。管理評(píng)審實(shí)施計(jì)劃由主管體系建設(shè)部門組織制定。主管體系建設(shè)的部門于每次管理評(píng)審前一個(gè)月編制《管理評(píng)審計(jì)劃》，報(bào)管理者審批。c6.資料準(zhǔn)備7.管理評(píng)審會(huì)議8.管理評(píng)審報(bào)告9.相關(guān)支持性文件和記錄《文件控制程序》《記錄控制程序》《內(nèi)部審核程序》《管理評(píng)審計(jì)劃》《管理評(píng)審會(huì)議通知》《管理評(píng)審報(bào)告》《管理評(píng)審會(huì)議記錄》《年度管理評(píng)審計(jì)劃》10.管理評(píng)審的后續(xù)工作3.7信息安全管理體系的改進(jìn)與保持3.7.1持續(xù)改進(jìn)3.7.2糾正措施識(shí)別不符合；確定不符合的原因；評(píng)價(jià)確保不符合不再發(fā)生所需的措施；確定和實(shí)施所需的糾正措施；記錄所采取措施的結(jié)果；評(píng)審所采取的糾正措施。3.7.3預(yù)防措施識(shí)別潛在不符合及其原因；評(píng)價(jià)預(yù)防不符合發(fā)生所需的措施；確定并實(shí)施所需的預(yù)防措施；記錄所采取措施的結(jié)果；評(píng)審所采取的預(yù)防措施。3.8信息安全管理體系的認(rèn)證3.8.1認(rèn)證基本含義1．認(rèn)證的定義認(rèn)證是第三方依據(jù)程序?qū)Ξa(chǎn)品、過(guò)程、服務(wù)符合規(guī)定的要求給予書面保證（合格證書），認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對(duì)產(chǎn)品特性的抽樣檢驗(yàn)和對(duì)組織體系的審核與評(píng)定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。信息安全認(rèn)證包括兩類：一類為ISMS認(rèn)證，另一類為信息安全產(chǎn)品認(rèn)證。3.8.1認(rèn)證基本含義2．認(rèn)證的目的和作用獲得最佳的信息安全運(yùn)行方式；保證業(yè)務(wù)安全；降低風(fēng)險(xiǎn)、避免損失；保護(hù)核心競(jìng)爭(zhēng)優(yōu)勢(shì)；提高商業(yè)活動(dòng)中的信譽(yù)；增加競(jìng)爭(zhēng)能力；滿足客戶要求；保證可持續(xù)發(fā)展；符合法律法規(guī)要求。3.8.1認(rèn)證基本含義3．認(rèn)證范圍文件化的適用性聲明；組織的相關(guān)活動(dòng)；要包含在內(nèi)的組織的范圍；地理位置；信息系統(tǒng)邊界、平臺(tái)；所包含的支持活動(dòng)；例外情況；在開展認(rèn)證過(guò)程之前認(rèn)證機(jī)構(gòu)需要對(duì)認(rèn)證范圍進(jìn)行認(rèn)可。3.8.2認(rèn)證的基本條件與認(rèn)證機(jī)構(gòu)和證書遵循法律、法規(guī)的努力已被相關(guān)機(jī)構(gòu)認(rèn)同；信息安全管理體系文件完全符合標(biāo)準(zhǔn)要求；信息安全管理體系已被有效實(shí)施，即組織在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上識(shí)別出需要保護(hù)的關(guān)鍵信息資產(chǎn)、制定信息安全方針、確定安全控制目標(biāo)與控制方式并實(shí)施、完成體系審核與評(píng)審活動(dòng)并采取相應(yīng)的糾正預(yù)防措施。1．認(rèn)證條件3.8.2認(rèn)證的基本條件與認(rèn)證機(jī)構(gòu)和證書2．認(rèn)證機(jī)構(gòu)3.8.2認(rèn)證的基本條件與認(rèn)證機(jī)構(gòu)和證書3．證書與標(biāo)志組織全稱，涉及到的相關(guān)組織；業(yè)務(wù)的相關(guān)地點(diǎn)；業(yè)務(wù)的流程；相關(guān)的業(yè)務(wù)功能與活動(dòng)；認(rèn)證的范圍；適用性聲明和特定版本的描述；關(guān)于信息安全系統(tǒng)滿足ISO/IEC27001認(rèn)證標(biāo)準(zhǔn)的聲明；證書開始生效的時(shí)間；證書號(hào)。3.8.3信息安全管理體系的認(rèn)證過(guò)程3.8.3信息安全管理體系的認(rèn)證過(guò)程

第一階段第二階段目的了解ISMS狀況，確認(rèn)被審核方是否具備認(rèn)證審核條件；確定第二階段審核的可行性；確定第二階段審核的重點(diǎn)。評(píng)價(jià)被審核方的ISMS是否有效實(shí)施；決定被審核方能否通過(guò)認(rèn)證審核并取得注冊(cè)。范圍被審核方的ISMS文件和有關(guān)資料；與重要信息資產(chǎn)極高風(fēng)險(xiǎn)源有關(guān)的現(xiàn)場(chǎng)。所有現(xiàn)場(chǎng)和有關(guān)文件與資料。審核人日較少（約占總?cè)巳盏?/3-1/4）