信息安全管理體系建設(shè)

佛山市南海天富科技有限公司信息安全管理體系建設(shè)咨詢服務(wù)項(xiàng)目編寫人員：世榮編寫日期：2015年12月7日項(xiàng)目縮寫：文檔版本:V1、0修改記錄：日期編寫人員版本備注時(shí)間:２０15年12月一、信息化建設(shè)言隨著我國(guó)中小企業(yè)息化得普及，信化給我國(guó)中小企帶來(lái)積極影響得同時(shí)也帶來(lái)了信息全方面得消極影。一方面:信息在中小企業(yè)得發(fā)展過(guò)程中,對(duì)節(jié)約企業(yè)本與達(dá)到有效管得起到了積極得動(dòng)作用.另一方面，伴隨著全球信息化網(wǎng)絡(luò)化進(jìn)程得發(fā)，與此相關(guān)得信安全問(wèn)題也日趨嚴(yán)重由于我國(guó)中小企業(yè)模小、經(jīng)濟(jì)實(shí)力足以及中小企業(yè)領(lǐng)導(dǎo)者缺乏信息安全領(lǐng)域知識(shí)與意，導(dǎo)致中小企業(yè)信息安全面臨著大得風(fēng)險(xiǎn),我國(guó)中小企業(yè)信息化進(jìn)程已步入普及階段，決我國(guó)中小企業(yè)信息安全問(wèn)題已經(jīng)刻不容緩。通過(guò)制定與實(shí)施企信息安全管理體能夠規(guī)范企業(yè)員得行為，保證各種技術(shù)手段得有效施,從整體上統(tǒng)安排各種軟硬件保證信息安全體系協(xié)同工作得高效、有與經(jīng)濟(jì)性。信息全管理體系不僅以在信息安全事故發(fā)生后能夠及時(shí)采取效得措施，防止息安全事故帶來(lái)大得損失，而更重要得就是信息安全管理系能夠預(yù)防與避大多數(shù)得信息安事件得發(fā)生。信息安全管理就就是信息安全風(fēng)險(xiǎn)進(jìn)識(shí)別、分析、采措施將風(fēng)險(xiǎn)降到可接受水平并維持水平得過(guò)程。企得信息安全管理就是一勞永逸得，由于新得威脅不斷出現(xiàn)信息安全管理就是個(gè)相對(duì)得、動(dòng)態(tài)得過(guò)程，企業(yè)能做得就就是要不斷改進(jìn)自得信息安全狀態(tài)將信息安全風(fēng)險(xiǎn)制在企業(yè)可接受得范圍之內(nèi),獲得企業(yè)有條件下與資源力范圍內(nèi)最大程得安全。在信息安全管理領(lǐng)分技術(shù)，七分理"得理念已經(jīng)被廣接受。結(jié)合IＳO／ＩEC2７０0１信息安全管理體，提出一個(gè)適合國(guó)中小企業(yè)得信安全管理得模型，用以指導(dǎo)國(guó)中小企業(yè)得信安全實(shí)踐并不斷高中小企業(yè)得安全管理能力。二、ISＯ270０1息安全管體系框架建ISO２7001信息安全理體系框架得搭建必按照適當(dāng)?shù)贸绦蜻M(jìn)行（如下圖所示先,各個(gè)組織應(yīng)該根據(jù)自身狀況來(lái)搭建適合身業(yè)務(wù)發(fā)展與信息安全需求得

ＩＳO27０01信息安全理體系框架，并在正得業(yè)務(wù)開展過(guò)程具體實(shí)施構(gòu)架得ＩSO27001信息安全管理體系。時(shí)在信息安全管理系得基礎(chǔ)上，建立各種與信息安管理框架相一致相關(guān)文檔、文件并對(duì)其進(jìn)行嚴(yán)格得管理。對(duì)在具體實(shí)施IＳO２700１信息安全管理體過(guò)程中出現(xiàn)得各種息安全事件與安全狀況進(jìn)行嚴(yán)得記錄,并建立格得反饋流程與度。(１）息安全略組織應(yīng)制定信息安策略（Inｆoｒｍａt(yī)iｏnSｅｃurｉｔyPolicy)對(duì)組織得信息安全提供管理方向與持。組織不僅要一個(gè)總體得安全略，而且，在總體策略得框架內(nèi)，根據(jù)險(xiǎn)評(píng)估得結(jié)果，定更加具體得安方針，明確規(guī)定具體得控制規(guī)則,如“清桌面與清楚屏幕略”問(wèn)控制策略”等。（2）圍組織要根據(jù)組織得性、地理位置、產(chǎn)與技術(shù)對(duì)信息全管理體系范圍(ｓcope)進(jìn)行界定組織信息安全管體系范圍包括以項(xiàng)目：

需保護(hù)得信息系統(tǒng)資產(chǎn)、技術(shù)。實(shí)物場(chǎng)所（地理位、部門（3)險(xiǎn)評(píng)估組織需要選擇一個(gè)合其安全要求得險(xiǎn)評(píng)估與管理方,然后進(jìn)行合乎規(guī)范得評(píng)估，識(shí)別前面臨得風(fēng)險(xiǎn)及險(xiǎn)等級(jí);風(fēng)險(xiǎn)評(píng)得對(duì)象就是組織得信息資產(chǎn),評(píng)估考慮得因素包括資產(chǎn)所得威脅、薄弱點(diǎn)及脅發(fā)生后對(duì)組織影響。無(wú)論采用何種險(xiǎn)評(píng)估工具方法其最終評(píng)估結(jié)果就是一致得。(4)險(xiǎn)管理組織應(yīng)根據(jù)信息安策略與所要求得全程度，識(shí)別所管理得風(fēng)險(xiǎn)內(nèi)容.控制風(fēng)險(xiǎn)包括識(shí)別需得安全措施,過(guò)降低、避免、移將風(fēng)險(xiǎn)降至可接受得水平.風(fēng)險(xiǎn)隨著程得更改、組織變化、技術(shù)得發(fā)及新出現(xiàn)得潛在威脅而變化。(5)制目標(biāo)控制方得選擇風(fēng)險(xiǎn)評(píng)估之后,組應(yīng)從已有信息安技術(shù)中選擇適當(dāng)控制方法，包括額外得控制（組織增加得與法律法所要求得低已識(shí)別得風(fēng)險(xiǎn)。（6)用性聲信息安全適用性聲記錄了組織內(nèi)相得風(fēng)險(xiǎn)管制目標(biāo)針對(duì)每種風(fēng)險(xiǎn)所采取得控制措施。得準(zhǔn)備，一方面為了向組織內(nèi)得工聲明對(duì)信息安全面對(duì)風(fēng)險(xiǎn)得態(tài)度;另方面也就是為了向界表明組織得態(tài)與作為.三、IＳＯ27001息安全管體系實(shí)施方ＩSＯ2７0０1信息安全理體系（InｆorｍａｔｉonSecuritｙManaｇｅｍｅnｔＳystem）作為組織完整得管體系中得一個(gè)重環(huán)節(jié),構(gòu)成了信安全具有能動(dòng)性得部分,就是指導(dǎo)與控制織得關(guān)于信息安風(fēng)險(xiǎn)得相互協(xié)調(diào)活動(dòng),其針對(duì)對(duì)象就就是組織得信息資產(chǎn)了解信息安全管得方法，我們必先明確企業(yè)或組織得信息安全需求。一來(lái)說(shuō)，企業(yè)得信安全需求主要有個(gè)來(lái)源，她們分別就是法律法規(guī)與合同約得要求；組織得原、目標(biāo)與規(guī)定;險(xiǎn)評(píng)估得結(jié)果等。信息安全得成敗取于兩個(gè)因素:技與管理,人們常，三分技術(shù)，七分管理,可見(jiàn)管理信息安全得重要，我們可以把安技術(shù)比作信息安全得構(gòu)筑材料，那么安管理則就是真正得合劑與催化劑。實(shí)世界里，大多數(shù)安全事件得發(fā)生與安隱患得存在，與其說(shuō)就是技術(shù)上得原，不如說(shuō)就是管理善造成得,理解并重管理對(duì)于信息安得關(guān)鍵作用,對(duì)真正實(shí)現(xiàn)信息安全目標(biāo)來(lái)說(shuō)尤其重要。息安全不就是產(chǎn)品簡(jiǎn)單堆積,也不一次性得靜態(tài)過(guò),它就是人員、技術(shù)、作這三種要素得密結(jié)合得系統(tǒng)工，就是不斷演進(jìn)、循環(huán)發(fā)展得動(dòng)態(tài)過(guò)程。信息安全管理就是指與控制組織得關(guān)信息安全風(fēng)險(xiǎn)得互協(xié)調(diào)得活動(dòng)。首先應(yīng)該制定信息全得策略方針,就是信息安全管理導(dǎo)向與支持，在此基礎(chǔ)上選擇控制目標(biāo)控制方式,企業(yè)組織還需考慮控成本與風(fēng)險(xiǎn)平衡得原則，將風(fēng)險(xiǎn)降低到織可接受得水平整個(gè)管理過(guò)程需全員得參與,實(shí)施動(dòng)態(tài)管理。實(shí)施安全理，還應(yīng)遵循管得一般模式——PDＣA模型。PDCA模型,即Plaｎ、Do、Cｈeck與Ａct,就是種持續(xù)改進(jìn)得管模式,見(jiàn)下圖所示.措施（）—-針對(duì)檢查結(jié)果取應(yīng)對(duì)措施，改安全狀況；計(jì)劃（）-—根據(jù)風(fēng)評(píng)估結(jié)果、法律規(guī)要求、組織業(yè)務(wù)運(yùn)自身需要來(lái)確定控制目標(biāo)控制措施；實(shí)施（）——實(shí)施所選安全控制措施；檢查（Chｅck）—-依據(jù)略、程序、標(biāo)準(zhǔn)法律法規(guī)，對(duì)安措施得實(shí)施情況進(jìn)行符合性檢。PDＣＡ模型就是一種抽象得模型，把相關(guān)得資源與動(dòng)抽象為過(guò)程進(jìn)管理,具有廣泛通用性.PDＣＡ就是順序依次進(jìn)行,依靠組織得力推動(dòng)，周而復(fù)始不斷循環(huán),持續(xù)改,組織中得每個(gè)門與個(gè)人，在履相關(guān)職責(zé)時(shí)，都就是基于PDCA這個(gè)過(guò)程得,組織得內(nèi)部理,就構(gòu)成了大環(huán)套環(huán)層層遞進(jìn)得模，每一次循環(huán)結(jié)束，要對(duì)其進(jìn)行總結(jié)鞏固成績(jī)，改進(jìn)足，同時(shí)提出新得目標(biāo)，以便進(jìn)入下一更高級(jí)得循環(huán).IＳO2700０/ISＯ27001標(biāo)準(zhǔn)對(duì)于信息安全管理體系定義如下圖所示：ＩＳO２7001信息安全理可操作得一般過(guò)程相應(yīng)得活動(dòng)包括確定組織得信息安目標(biāo)與戰(zhàn)略開發(fā)信息安全策略進(jìn)行風(fēng)險(xiǎn)評(píng)估（RｉｓkAsｓessment確組織得信息安全需,具體活動(dòng)包括：制定風(fēng)險(xiǎn)評(píng)估計(jì)劃明確范圍與責(zé)任采集相關(guān)信息，述目標(biāo)系統(tǒng)識(shí)別并評(píng)價(jià)信息資，理解資產(chǎn)得價(jià)與敏感性；識(shí)別并評(píng)估威脅，解威脅發(fā)生得可性；識(shí)別并評(píng)價(jià)弱點(diǎn),解弱點(diǎn)被利用得易程度；評(píng)估風(fēng)險(xiǎn)，確定風(fēng)等級(jí);評(píng)估并比較現(xiàn)有得全措施（控制出目標(biāo)與現(xiàn)狀之得差距；7）根據(jù)已經(jīng)明確得需求推薦安全措施。4、進(jìn)行風(fēng)險(xiǎn)消減（RiskMiｔigaｔion體活動(dòng)包括：確定風(fēng)險(xiǎn)消減策略以便減少、規(guī)避轉(zhuǎn)嫁或接受風(fēng)險(xiǎn)選擇安全措施（控制定安全計(jì)劃，明安全措施得構(gòu)建實(shí)施方案；實(shí)施安全計(jì)劃與策；對(duì)安全計(jì)劃與策略實(shí)施結(jié)果進(jìn)行測(cè)與檢查。5、進(jìn)行風(fēng)險(xiǎn)控制(RｉskCoｎtrｏｌ體包括：信息系統(tǒng)得維護(hù)與作；安全意識(shí)、培訓(xùn)與育;對(duì)信息系統(tǒng)得運(yùn)行安全措施得效力行監(jiān)視；事件響應(yīng);再評(píng)估與認(rèn)證。配置管理（ＣonfiguraｔionMaｎagement保系統(tǒng)發(fā)生得變化不會(huì)低安全措施得效力與織得整體安全。變更管理（ChａnｇeMａnaｇｅｍent信息系統(tǒng)發(fā)生化時(shí)，識(shí)別新得安全需求。應(yīng)急計(jì)劃(ContiｎgencyPｌaｎninｇ括業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難復(fù)計(jì)劃等。對(duì)應(yīng)ＰCDA模型，信息安全目標(biāo)與略得確定、信息安全略開發(fā)以及風(fēng)險(xiǎn)評(píng)估屬于計(jì)劃階（Ｐl(wèi)an險(xiǎn)消減屬于實(shí)施段（Do險(xiǎn)控制、配置管理、變更管理、急計(jì)劃以及安全識(shí)培訓(xùn)等活動(dòng)都以歸入到檢查(Cｈecｋ）與施（Acｔｉon)段。我們所強(qiáng)調(diào)信息安全管理模式,由風(fēng)險(xiǎn)驅(qū)動(dòng)得信息安全管模式，就是對(duì)組織信息安全風(fēng)險(xiǎn)進(jìn)控制與指導(dǎo)得相互協(xié)調(diào)得活動(dòng)，風(fēng)險(xiǎn)管理其中得核心。四、項(xiàng)目實(shí)施原本項(xiàng)目要求以安全詢?yōu)榛A(chǔ)，重點(diǎn)行安全規(guī)劃、安管理體系細(xì)化與周期性安全服務(wù)為。在服務(wù)過(guò)程中應(yīng)遵循以下原則標(biāo)準(zhǔn)性原則:方案得設(shè)計(jì)與實(shí)施依據(jù)國(guó)際標(biāo)準(zhǔn)ISＯ27001、數(shù)敏感、保密、國(guó)及行業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)行；規(guī)范性原則:服務(wù)提供商得工作程與所有文檔,具有很好得規(guī)范，以便于項(xiàng)目得跟蹤與控制;可控性原則:在保證項(xiàng)目質(zhì)量得提下，按計(jì)劃進(jìn)執(zhí)行，保證甲方于項(xiàng)目得可控性.信息安全調(diào)研得工、方法與過(guò)程要雙方認(rèn)可得范圍內(nèi)合法進(jìn)行;完整性原則：調(diào)研與規(guī)劃設(shè)計(jì)得圍與內(nèi)容應(yīng)完整覆蓋信息安全所及得技術(shù)與管理等各個(gè)層面，并對(duì)種完整性進(jìn)行說(shuō)或論證，實(shí)施對(duì)也應(yīng)完整地覆蓋甲方信息系統(tǒng)得各個(gè)方；合理性原則:信息安全規(guī)劃設(shè)計(jì)須立足于甲方得實(shí)情況，設(shè)計(jì)方應(yīng)合乎邏輯，過(guò)程應(yīng)完備詳實(shí),從確保結(jié)論就是可信得;可操作性原則：在信息安全架構(gòu)設(shè)中，應(yīng)根據(jù)信息全要求提出相應(yīng)解決方案,方案必須具體可行,易實(shí)際操作;最小影響原則:調(diào)研工作應(yīng)避免影系統(tǒng)與網(wǎng)絡(luò)得正運(yùn)行,不能對(duì)現(xiàn)常運(yùn)行得系統(tǒng)與網(wǎng)絡(luò)構(gòu)成破壞與造停產(chǎn)；保密性原則:調(diào)研得過(guò)程與結(jié)果嚴(yán)格保密，未經(jīng)方授權(quán),對(duì)項(xiàng)目及得任何信息不得泄露給第三方；經(jīng)濟(jì)性原則:方案得設(shè)計(jì)與實(shí)施在達(dá)到項(xiàng)目要求前提下,具有較得性價(jià)比與經(jīng)濟(jì)性；先進(jìn)性原則：方案得設(shè)計(jì)要具備進(jìn)性與前瞻性,統(tǒng)籌考慮甲方未五年得信息安全發(fā)展需求.五、項(xiàng)目階段及容服務(wù)項(xiàng)目階段過(guò)程主要任務(wù)主要內(nèi)容ISO２70０1咨詢服務(wù)準(zhǔn)備確定ISＭS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性析ISO2７0０1咨詢服務(wù)準(zhǔn)備確定IＳMS范圍法規(guī)制度符合性分析ＩSO27001咨詢服務(wù)準(zhǔn)備確定ISMＳ范圍業(yè)務(wù)運(yùn)營(yíng)影響分析ISO2700１咨詢服務(wù)準(zhǔn)備確定ISMS范圍確定IＳＭS范圍ISO27０01咨詢服務(wù)準(zhǔn)備確定信息安全總體方針政策業(yè)務(wù)及系統(tǒng)初步安全需分析ISO2７00１咨詢服務(wù)準(zhǔn)備確定信息安全總體方針政策確定ISMS總體方針政策IＳO２7００１咨詢服務(wù)準(zhǔn)備定義風(fēng)險(xiǎn)評(píng)估與管理方法確定風(fēng)險(xiǎn)評(píng)估模型及相指標(biāo)準(zhǔn)則IＳＯ27001咨詢服務(wù)準(zhǔn)備定義風(fēng)險(xiǎn)評(píng)估與管理方法制定風(fēng)險(xiǎn)評(píng)估與管理程ＩSＯ270０1咨詢服務(wù)準(zhǔn)備項(xiàng)目準(zhǔn)備制定實(shí)施計(jì)劃ISO27001咨詢服務(wù)準(zhǔn)備項(xiàng)目準(zhǔn)備組建項(xiàng)目組ISO２7001咨詢服務(wù)準(zhǔn)備項(xiàng)目準(zhǔn)備整理開發(fā)工具/模板ISO27001咨詢服務(wù)準(zhǔn)備項(xiàng)目準(zhǔn)備項(xiàng)目啟動(dòng)會(huì)IＳO2７001咨詢服務(wù)準(zhǔn)備項(xiàng)目準(zhǔn)備培訓(xùn)ISO27００1咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析問(wèn)卷調(diào)查ISO２７0０1咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析現(xiàn)場(chǎng)訪談ISO2７001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析手工檢測(cè)ISO2７001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析安全掃描ＩSＯ270０１咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析滲透測(cè)試ISＯ２7０01咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析綜合分析ISＯ27001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析撰寫報(bào)告IＳO2700１咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)資產(chǎn)評(píng)價(jià)IＳO2700１咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)威脅評(píng)價(jià)ＩSO２7０01咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)弱點(diǎn)評(píng)價(jià)ISO2７001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)ISＯ2７001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)價(jià)撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告IＳO２7001咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置選擇風(fēng)險(xiǎn)處置方式ISO2700１咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置選擇安全控制措施ISO270０1咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置制定風(fēng)險(xiǎn)處置計(jì)劃IＳO27０01咨詢服務(wù)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置殘余風(fēng)險(xiǎn)分析ISO２７00１咨詢服務(wù)安全體系規(guī)劃與設(shè)計(jì)安全體系規(guī)劃任務(wù)或項(xiàng)目分解ISＯ27０0１咨詢服務(wù)安全體系規(guī)劃與設(shè)計(jì)安全體系規(guī)劃任務(wù)或項(xiàng)目實(shí)施規(guī)劃IＳO２７001咨詢服務(wù)安全體系規(guī)劃與設(shè)計(jì)安全體系規(guī)劃撰寫規(guī)劃報(bào)告ISＯ２7０01咨詢服務(wù)安全體系規(guī)劃與設(shè)計(jì)編寫安全體系文檔確定ＩSMS文件清單制定ISMS文件編寫計(jì)劃編寫IＳMS文件ＩSMS文件評(píng)審安全體系實(shí)施、調(diào)整、評(píng)審體系實(shí)施體系批準(zhǔn)安全體系實(shí)施、調(diào)整、評(píng)審體系實(shí)施制定實(shí)施工作計(jì)劃安全體系實(shí)施、調(diào)整、評(píng)審體系實(shí)施建立安全管理組織安全體系實(shí)施、調(diào)整、評(píng)審體系實(shí)施體系培訓(xùn)安全體系實(shí)施、調(diào)整、評(píng)審體系實(shí)施體系實(shí)施安全體系實(shí)施、調(diào)整、評(píng)審體