《信息安全工程與管理》課件第7章

第7章信息安全管理體系7.1概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實施和運行7.5信息安全管理體系的監(jiān)視和評審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證本章小結(jié)

信息安全管理體系(ISMS)是組織在一定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及為實現(xiàn)這些方針和目標(biāo)所采用的方法和文件體系。7.1概述組織應(yīng)在所面臨風(fēng)險的環(huán)境下，針對其整體業(yè)務(wù)活動建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的信息安全管理體系。這個過程在組織管理層的直接授權(quán)下，由信息安全管理體系領(lǐng)導(dǎo)小組來負(fù)責(zé)實施，通過制定一系列的文件，建立一個系統(tǒng)化、程序化與文件化的管理體系，來保障組織的信息安全。

信息安全管理體系實施過程的依據(jù)是BS7799-2或ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》，與此對應(yīng)的我國國家標(biāo)準(zhǔn)是GB/T22080—2008《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》。在信息安全管理體系實施過程中，采用了“規(guī)劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)循環(huán)模型。PDCA循環(huán)是由美國質(zhì)量管理專家戴明(W.E.Deming)提出來的，所以又稱為“戴明環(huán)”(DemingCycle)，它是有效進(jìn)行任何一項工作的合乎邏輯的工作程序，在質(zhì)量管理中應(yīng)用廣泛，并取得了很好的效果。

實際上，建立和管理信息安全管理體系與其他管理體系一樣，需要采用過程的方法開發(fā)、實施和改進(jìn)一個組織的ISMS的有效性，而PDCA循環(huán)是實施信息安全管理的有效模式，可應(yīng)用于所有的信息安全管理體系過程，能夠?qū)崿F(xiàn)對信息安全管理只有起點，沒有終點的持續(xù)改進(jìn)，逐步提高信息安全管理水平。

信息安全管理體系具有以下特點：

(1)強調(diào)基于系統(tǒng)、全面和科學(xué)的風(fēng)險評估，體現(xiàn)以預(yù)防控制為主的思想。

(2)強調(diào)全過程的動態(tài)控制，達(dá)到控制成本與風(fēng)險的平衡。

(3)強調(diào)關(guān)鍵資產(chǎn)的信息安全保護(hù)，保持組織的競爭優(yōu)勢和運作持續(xù)性。

信息安全管理體系的PDCA過程如圖7-1所示。

ISMS的PDCA具有以下內(nèi)容：

(1)規(guī)劃(Plan)：即建立ISMS。

建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和規(guī)程，以提供與組織總方針和總目標(biāo)相一致的結(jié)果。

(2)實施(Do)：即實施和運行ISMS。

實施與運行ISMS方針、控制措施、過程和規(guī)程。

圖7-1應(yīng)用于ISMS過程的PDCA模型

(3)檢查(Check)：即監(jiān)視和評審ISMS。

對照ISMS方針、目標(biāo)和實踐經(jīng)驗，評估并在適當(dāng)時測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。

(4)處置(Act)：即保持和改進(jìn)ISMS。

基于ISMS內(nèi)部審核和管理評審的結(jié)果或其他相關(guān)信息，采取糾正措施以持續(xù)改進(jìn)ISMS。

7.2.1組織與人員建設(shè)

為了順利建立信息安全管理體系，首先需要建設(shè)有效的信息安全組織機構(gòu)，對相關(guān)的各類人員進(jìn)行角色分配、明確權(quán)限并落實責(zé)任。7.2信息安全管理體系的準(zhǔn)備

(1)成立信息安全委員會。

信息安全委員會由組織的最高管理層與信息安全管理有關(guān)的部門負(fù)責(zé)人、管理人員、技術(shù)人員等組成，定期召開會議，就信息安全方針的審批、信息安全管理職責(zé)的分配、信息安全事故的評審與監(jiān)督、風(fēng)險評估結(jié)果的確認(rèn)等重要信息安全管理議題進(jìn)行討論并做出決策，為組織的信息安全管理提供導(dǎo)向和支持。

(2)組建信息安全管理推進(jìn)小組。

在信息安全委員會批準(zhǔn)下，任命信息安全管理經(jīng)理，并由信息安全管理經(jīng)理組建信息安全管理推進(jìn)小組。小組成員一般是企業(yè)各部門的骨干成員，要求懂得信息安全技術(shù)知識，有一定的信息安全管理技能，并有較強的分析能力和厚實的文字功底。這些組織機構(gòu)要保持合適的管理層次和控制范圍，并具有一定的獨立性，堅持執(zhí)行部門與監(jiān)督部門分離的原則。

(3)保證有關(guān)人員的職責(zé)和權(quán)限得到有效地明確。

通過培訓(xùn)、教育、制定文件等方式，使得相關(guān)的每位職員明白自己的職責(zé)和權(quán)限，以及與其他部分的關(guān)系，確保全體員工各司其職，相互配合，有效地開展活動，為信息安全管理體系的建設(shè)作出貢獻(xiàn)。7.2.2工作計劃制定

為確保信息安全管理體系順利建立，組織應(yīng)該統(tǒng)籌安排，制定一個切實可行的工作計劃，明確準(zhǔn)備、初審、體系設(shè)計、實施運行和審核認(rèn)證等不同階段的工作任務(wù)和目標(biāo)，以及責(zé)任分工，用以控制工作進(jìn)度，并突出工作重點?？傮w計劃批準(zhǔn)之后，就可以針對具體工作項目制定詳細(xì)計劃。

在制定工作計劃時，要充分考慮資源需求，例如人員的需求、培訓(xùn)經(jīng)費、辦公設(shè)施、咨詢費用等。如果尋求體系的標(biāo)準(zhǔn)或第三方認(rèn)證，還要考慮認(rèn)證的費用，組織最高管理層應(yīng)確保提供建立體系所必須的人力與財力資源。7.2.3能力要求與教育培訓(xùn)

所有涉及信息安全管理工作的人員，要求具有相應(yīng)的能力，組織應(yīng)對其作出適當(dāng)?shù)囊?guī)定，制定與實施相應(yīng)的教育與培訓(xùn)計劃。

1.人員能力的要求

信息安全管理相關(guān)人員應(yīng)具有適應(yīng)其工作并承擔(dān)責(zé)任的能力，這種能力以教育、培訓(xùn)和經(jīng)驗為基礎(chǔ)。應(yīng)根據(jù)崗位職責(zé)的需要，就各崗位的能力提出具體的可評價的要求，并將這些要求寫在書面的任職條件中，作為人員招聘、上崗和轉(zhuǎn)崗的條件和依據(jù)，當(dāng)然，這些條件或依據(jù)應(yīng)該隨著組織環(huán)境、崗位要求等因素的變化而變化。

一般來說，對各種不同的信息安全相關(guān)人員都需要有一定的教育背景、培訓(xùn)和經(jīng)歷等要求。

·教育：從事不同的對信息安全有影響的工作所需要的最低學(xué)歷教育，其目的是使受教育者獲得未來用到的知識。

·培訓(xùn)：從事某一崗位之前所需要接受的上崗培訓(xùn)和工作中的繼續(xù)教育培訓(xùn)，其目的是使受訓(xùn)者獲得目前工作所需要的知識與技能。

·經(jīng)歷：為更有效完成工作而需要的相關(guān)工作經(jīng)驗和專業(yè)實踐技能。

2.教育培訓(xùn)的要求

教育和培訓(xùn)對于提高信息安全管理體系的質(zhì)量、保持其穩(wěn)定性和促進(jìn)其發(fā)展等方面都發(fā)揮著重要作用。所有的雇員以及相關(guān)第三方都應(yīng)接受相關(guān)的教育與培訓(xùn)，包括法律責(zé)任、專業(yè)技能、安全需求、業(yè)務(wù)控制，以及正確使用信息處理設(shè)備等。

·確定教育與培訓(xùn)的需求：根據(jù)工作崗位對從業(yè)者的現(xiàn)在與將來的知識與能力要求、從業(yè)者本身的實際能力以及從業(yè)者所面臨的信息安全風(fēng)險，確定信息安全管理教育與培訓(xùn)需求，或者說，信息安全管理教育與培訓(xùn)應(yīng)考慮不同層次和不同階段的職責(zé)、能力、文化程度以及所面臨的風(fēng)險。

·編制教育與培訓(xùn)的計劃：主管部門根據(jù)各部門提出的崗位信息安全管理教育與培訓(xùn)需求，以及組織對教育與培訓(xùn)的相關(guān)基本要求，編制信息安全管理教育與培訓(xùn)計劃，包括教育與培訓(xùn)對象、項目與要求、主要內(nèi)容、責(zé)任部門(人)、日程表、考核方式等。

·確定教育與培訓(xùn)的內(nèi)容和方式：教育與培訓(xùn)的內(nèi)容包括信息安全相關(guān)的專業(yè)繼續(xù)教育、相關(guān)的法律法規(guī)、規(guī)章制度、政策和標(biāo)準(zhǔn)的培訓(xùn)、信息安全知識和安全技能的培訓(xùn)、信息安全意識的培訓(xùn)等。另外，可采用內(nèi)部培訓(xùn)、外部培訓(xùn)、實習(xí)、自學(xué)和學(xué)術(shù)交流等不同方式來實現(xiàn)教育與培訓(xùn)的計劃。7.2.4信息安全管理體系文件

信息安全管理體系文件是按照信息安全管理標(biāo)準(zhǔn)的要求建立管理模型的依據(jù)，同時也是伴隨ISMS體系建設(shè)過程產(chǎn)生的一系列的體系文件，即作為管理的依據(jù)，信息安全管理體系需要編寫各種層次的ISMS文件，這是建立信息安全管理體系的重要基礎(chǔ)性工作，也是ISO/IEC27001等標(biāo)準(zhǔn)的明確要求。

從總體來看，ISMS文件具有以下作用：

(1)闡述聲明的作用。ISMS文件是客觀描述信息安全管理體系的法規(guī)性文件，為組織的全體人員了解信息安全管理體系提供了必要的條件，有的ISMS文件還起到了對外聲明的作用，例如企業(yè)向客戶提供的《信息安全管理手冊》等。

(2)規(guī)定和指導(dǎo)的作用。ISMS文件規(guī)定了組織員工的行為準(zhǔn)則，以及如何做相關(guān)工作的指導(dǎo)性意見，對員工的信息安全行為也起到了規(guī)范和指導(dǎo)的作用。

(3)記錄和證實的作用。ISMS文件中的記錄具有記錄和證實信息安全管理體系運行有效的作用，其他文件則具有證實信息安全管理體系客觀存在和運行適用性的作用。信息安全管理體系文件沒有刻意的描述形式，但根據(jù)ISO9000成功經(jīng)驗，在具體實施中，為便于運作并具有操作性，建議把ISMS管理文件分成以下幾個層次：

1.適用性聲明

適用性聲明(SoA，StatementofApplicability)是組織為滿足安全需要而選擇的控制目標(biāo)和控制措施的評論性文件。在適用性聲明文件中，應(yīng)明確列出組織根據(jù)信息安全要求從ISO/IEC27001:2005或GB/T22080—2008附錄A中選擇控制目標(biāo)與控制措施，并說明選擇與不選擇的理由，如果有額外的控制目標(biāo)和控制措施也要一并說明。

2.?SMS管理手冊

ISMS管理手冊是闡明ISMS方針，并描述ISMS管理體系的文件。ISMS管理手冊應(yīng)至少包括：信息安全方針的闡述；ISMS的體系范圍；信息安全策略的描述；控制目標(biāo)與控制措施的描述；程序或其引用；關(guān)于手冊的評審、修改與控制等的規(guī)定。

3.程序文件

程序是為進(jìn)行某項活動所規(guī)定的途徑或方法。程序文件應(yīng)描述安全控制或管理的責(zé)任及其相關(guān)活動，是信息安全政策的支持性文件，是有效實施信息安全政策、控制目標(biāo)和控制措施的具體方法。

信息安全管理的程序文件包括為實施控制目標(biāo)和控制措施的安全控制(例如防病毒控制)程序文件，以及為覆蓋信息安全管理體系的管理與動作(例如風(fēng)險評估)的程序文件。程序文件的內(nèi)容通常包括活動的目標(biāo)與范圍(Why)、做什么(What)、誰來做(Who)、何時(When)、何地(Where)、如何做(How)，應(yīng)使用什么樣的材料、設(shè)備和文件，如何對活動進(jìn)行控制與記錄，即所謂“5W1H”

4.作業(yè)指導(dǎo)書

作業(yè)指導(dǎo)書是程序文件的支持性文件，用以描述具體的崗位和工作現(xiàn)場如何完成某項工作任務(wù)的詳細(xì)做法，包括作業(yè)指導(dǎo)書、規(guī)范、指南、報告、圖樣、表格等，例如系統(tǒng)控制規(guī)程或維護(hù)手冊。作業(yè)指導(dǎo)書可以被程序文件所引用，是對程序文件中整個程序或某些條款的補充或細(xì)化。

由于組織的規(guī)模與結(jié)構(gòu)、被保護(hù)的信息資產(chǎn)、風(fēng)險環(huán)境等因素的不同，運行控制程序的多少、內(nèi)容也不同，即使運行控制程序相同，但由于其詳略程度不同，其作業(yè)指導(dǎo)書的多少也不盡相同。

5.記錄

作為ISMS運行結(jié)果的證據(jù)，記錄是一種特殊的文件。在編寫信息安全方針手冊、程序文件和作業(yè)指導(dǎo)書時，應(yīng)根據(jù)安全控制與管理要求確定組織所需要的信息安全記錄，組織可以通過利用現(xiàn)有的記錄、修訂現(xiàn)有的記錄和增加新的記錄等方式來獲得。

記錄可以是書面記錄，也可以是電子記錄，每一種記錄應(yīng)進(jìn)行標(biāo)識，并保持可追溯性，其內(nèi)容和格式也應(yīng)該符合組織業(yè)務(wù)動作的實際過程，并反映活動結(jié)果，同時要方便使用。

建立信息安全管理體系首先要建立一個合理的信息安全管理框架。根據(jù)ISO/IEC27001從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè)，并從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進(jìn)行風(fēng)險分析，選擇控制目標(biāo)與控制措施等步驟，建立信息安全管理體系，參見圖5-5。7.3信息安全管理體系的建立7.3.1確定ISMS信息安全方針

ISMS信息安全方針是統(tǒng)領(lǐng)整個體系的目的、意圖和方向，是組織的信息安全委員會或管理者制定的一個高層的綱領(lǐng)性文件，用來闡明管理層的承諾，提出信息安全管理的方法，用于指導(dǎo)如何對資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則及指示，其內(nèi)容應(yīng)當(dāng)簡明扼要、語言精煉、容易理解并便于記憶，切忌空洞。信息安全方針必須要在ISMS實施的前期制定出來，表明最高管理層的承諾，指導(dǎo)ISMS的所有實施工作。制定ISMS方針應(yīng)該參考以下原則：

(1)包括制定目標(biāo)的框架和建立信息安全工作的總方向和原則。

(2)考慮業(yè)務(wù)和法律法規(guī)的要求，以及合同中的安全義務(wù)要求。

(3)在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS。

(4)建立風(fēng)險評價的準(zhǔn)則，定義風(fēng)險評估的結(jié)構(gòu)。

(5)得到管理層的批準(zhǔn)。

表7-1

XXX公司信息安全方針7.3.2確定ISMS范圍和邊界

根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，例如是整個組織，或是組織的某個部門。另外，確定ISMS的范圍和邊界還應(yīng)該包括對例外于ISMS范圍的對象作出詳細(xì)的和合理性的說明，例如，在存在上下級ISMS關(guān)系，并且下級ISMS使用上級的ISMS的控制時，上級ISMS的控制活動可以被認(rèn)為是下級ISMS策劃活動的“外部控制”，下級ISMS有責(zé)任確保這些外部控制能夠得到充分的保護(hù)。范圍確定的標(biāo)準(zhǔn)主要看組織的業(yè)務(wù)需求，而不是組織的范圍有多大，ISMS范圍就有多大。在定義ISMS范圍時，應(yīng)著重考慮以下因素：

(1)組織現(xiàn)有部門。組織內(nèi)現(xiàn)有部門和人員均應(yīng)根據(jù)信息安全方針和策略，擔(dān)負(fù)起各自的信息安全職責(zé)。

(2)辦公場所。有多個辦公場所時，應(yīng)考慮不同辦公場所給信息安全帶來的不同的安全需求和威脅。

(3)資產(chǎn)狀況。在不同地點從事商務(wù)活動時，應(yīng)把在不同地點涉及的信息資產(chǎn)納入到ISMS管理范圍。

(4)所采用的技術(shù)。使用不同計算機和通信技術(shù)，將會對信息安全范圍的劃分產(chǎn)生很大的影響。7.3.3實施ISMS風(fēng)險評估

風(fēng)險評估是進(jìn)行安全管理必須要做的最基本的一步，它為ISMS的控制目標(biāo)與控制措施的選擇提供依據(jù)，也是對安全控制的效果進(jìn)行測量和評價的主要方法。

組織應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素，確定適合ISMS、適合相關(guān)業(yè)務(wù)的信息安全和法律法規(guī)要求的風(fēng)險評估方法。這些評估方法可以參照ISO/IEC13335-3:1998《IT安全管理技術(shù)》中描述的風(fēng)險評估方法的例子，或者SP800-30《IT系統(tǒng)風(fēng)險管理指南》等提供的風(fēng)險評估的步驟和方法，另外，還可以參考一些組織提出的風(fēng)險評估工具，例如卡內(nèi)基·梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點評估工具OCTAVE(OperationallyCriticalTreat，Asset，andVulnerabilityEvaluation)、Microsoft公司提供的安全風(fēng)險評估工具M(jìn)SAT(MicrosoftSecurityAssessmentTool)、英國政府中央計算機與電信局(CCTA，CentralComputerandTelecommunicationsAgency)開發(fā)的一種支持定性分析的定量風(fēng)險分析工具CRAMM(CCTARiskAnalysisandManagementMethod)、美國國家標(biāo)準(zhǔn)技術(shù)局(NIST)發(fā)布的可用來進(jìn)行安全風(fēng)險自我評估的自動化工具ASSET(AutomatedSecuritySelf-EvaluationTool)等。

風(fēng)險評估的質(zhì)量，直接影響著ISMS建設(shè)的成敗。BS7799采用了ISO/IEC13335的風(fēng)險評估方法，把風(fēng)險定義為特定的威脅利用資產(chǎn)的一種或一組脆弱點，從而導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性。風(fēng)險評估是對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評估，即利用適當(dāng)?shù)娘L(fēng)險評估工具，包括定性和定量的方法，確定資產(chǎn)風(fēng)險等級和優(yōu)先控制順序等。風(fēng)險評估的過程主要包括風(fēng)險識別和風(fēng)險評估兩大階段。在風(fēng)險評估過程中，首先要對ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價，然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估，同時對已存在的或規(guī)劃的安全控制措施進(jìn)行鑒定。

1.風(fēng)險識別

需要識別的風(fēng)險范圍包括以下三個方面：

·ISMS范圍內(nèi)的信息資產(chǎn)及其估價，以及資產(chǎn)負(fù)責(zé)人。

資產(chǎn)識別是對被評估信息系統(tǒng)的關(guān)鍵資產(chǎn)進(jìn)行識別和合理分類，并進(jìn)行價值估計。在識別過程，需要詳細(xì)識別核心資產(chǎn)的安全屬性，重點識別出資產(chǎn)在遭受泄密、中斷、損害等破壞時所遭受的影響，為資產(chǎn)影響分析及綜合風(fēng)險分析提供參考數(shù)據(jù)。

·信息資產(chǎn)面臨的威脅，及威脅發(fā)生的可能性與潛在影響。威脅識別是根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷資產(chǎn)所面臨的威脅，識別出威脅是由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。威脅評估涉及管理、技術(shù)等多個方面，所采用的方法多是問卷調(diào)查、問詢、IDS取樣、日志分析等，可以為后續(xù)的威脅分析及綜合風(fēng)險分析提供參考數(shù)據(jù)。

·可被威脅利用的脆弱性及被利用的難易程度。

脆弱性識別是針對每一項需要保護(hù)的信息資產(chǎn)找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估，或者說，就是對脆弱性被威脅利用的可能性進(jìn)行評估，并最終為其賦予相對等級值。

2.風(fēng)險評估

風(fēng)險評估的主要內(nèi)容有以下4點：

·評估因安全故障或失效而可能導(dǎo)致的組織業(yè)務(wù)損害，考慮因資產(chǎn)的機密性、完整性、可用性等的損失而導(dǎo)致的潛在后果。

·評估與這些資產(chǎn)相關(guān)的主要威脅、脆弱性和影響造成此類事故發(fā)生的現(xiàn)實可能性，以及已經(jīng)實施的安全控制措施。

·測量風(fēng)險的大小，并確定優(yōu)先控制等級。

·根據(jù)風(fēng)險接受準(zhǔn)則，對風(fēng)險評估結(jié)果進(jìn)行評審，判斷風(fēng)險是否可接受或需要處理。

更詳細(xì)的風(fēng)險評估過程與方法可參見“第8章信息安全風(fēng)險評估”相關(guān)內(nèi)容。7.3.4進(jìn)行ISMS風(fēng)險管理

根據(jù)風(fēng)險評估的結(jié)果，以及相關(guān)的法律法規(guī)、合同和業(yè)務(wù)的需要，可以通過以下4種方法進(jìn)行風(fēng)險管理。

1.接受風(fēng)險

接受風(fēng)險是在確切滿足組織策略和風(fēng)險接受準(zhǔn)則的前提下，不做任何事情，不引入控制措施，有意識地、客觀地接受風(fēng)險。一般情況下，是應(yīng)該采取一定的措施來避免安全風(fēng)險產(chǎn)生安全事故，防止由于缺乏安全控制而對正常業(yè)務(wù)運營造成損害。特殊情況下，當(dāng)決定接受高于可接受水平的風(fēng)險時，應(yīng)獲得管理層的批準(zhǔn)。如果認(rèn)為風(fēng)險是組織不能接受的，那么就需要考慮其他的方法來應(yīng)對這些風(fēng)險。

2.避免風(fēng)險

避免風(fēng)險是組織決定繞過風(fēng)險。例如，通過放棄某種業(yè)務(wù)活動或主動從某一風(fēng)險區(qū)域撤離，從而達(dá)到規(guī)避風(fēng)險的目的，另外，還有以下規(guī)避風(fēng)險的諸多方式：

·如果沒有足夠的保護(hù)措施，就不處理特別敏感的信息。

·由于接入Internet可能會招致黑客的攻擊，于是放棄使用Internet。

·把辦公場所設(shè)在有防雷設(shè)施的高層建筑，以防止洪水、雷電等災(zāi)害。

·做好重要信息數(shù)據(jù)的備份工作。

采用避免風(fēng)險的措施時，需要在業(yè)務(wù)需求與資金投入等方面進(jìn)行權(quán)衡。

盡管有黑客的威脅，但由于有業(yè)務(wù)的需要，組織不可能完全放棄使用Internet，這時可考慮降低風(fēng)險的方式；而把整個組織撤離到安全場合可能會需要巨大的投入，這時可考慮采用轉(zhuǎn)移風(fēng)險的方式。

3.降低風(fēng)險

降低風(fēng)險是通過選擇控制目標(biāo)與控制措施來降低評估確定的風(fēng)險。為了使風(fēng)險降低到可接受的水平，需要結(jié)合以下各種控制措施來降低風(fēng)險：

·減少威脅發(fā)生的可能性。

·減輕并彌補系統(tǒng)的脆弱性。

·把安全事件的影響降低到可接受的水平。

·檢測意外事件，并從意外事件中恢復(fù)。

4.轉(zhuǎn)移風(fēng)險

轉(zhuǎn)移風(fēng)險是組織在無法避免風(fēng)險時的一種可能的選擇，或者在減少風(fēng)險很困難時、成本很高時采取的一種方法。例如，對已評估確認(rèn)的價值較高，風(fēng)險較大的資產(chǎn)進(jìn)行保險，把風(fēng)險轉(zhuǎn)移給保險公司，另外，還有以下轉(zhuǎn)移風(fēng)險的方式：

·把關(guān)鍵業(yè)務(wù)的處理過程外包給擁有更好設(shè)備和高水平專業(yè)人員的第三方組織。要注意的是，在與第三方簽署服務(wù)合同時，要詳細(xì)描述所有的安全需求、控制目標(biāo)與控制措施，以確保第三方提供服務(wù)時也能提供足夠的安全。盡管這樣，在許多外包項目的合同條款中，外購的信息及信息處理設(shè)施的安全責(zé)任大部分還是落在組織自己身上，對這一點要有清醒的認(rèn)識。

·

把重要資產(chǎn)從信息處理設(shè)施的風(fēng)險區(qū)域轉(zhuǎn)移出去，以減少信息處理設(shè)施的安全要求。比如，一份高度機密的文件使得存儲與處理該文件的網(wǎng)絡(luò)風(fēng)險倍增，將該文件轉(zhuǎn)移到一個單獨的PC機上，風(fēng)險也就明顯降低。在風(fēng)險被降低或轉(zhuǎn)移后，還會有殘余風(fēng)險，對于殘余風(fēng)險，也應(yīng)該有相應(yīng)的控制措施，以避免不利的影響或被擴大的可能性。

更詳細(xì)的風(fēng)險管理過程可參見“第8章信息安全風(fēng)險評估”相關(guān)內(nèi)容。7.3.5為處理風(fēng)險選擇控制目標(biāo)與措施

信息安全控制措施是組織為解決某方面信息安全問題的目的、范圍、流程和步驟的集合，可以理解為信息安全策略，例如防病毒策略、防火墻策略、訪問控制策略等。

組織應(yīng)根據(jù)信息安全風(fēng)險評估的結(jié)果，針對具體風(fēng)險，制定相應(yīng)的控制目標(biāo)，并實施相應(yīng)的控制措施。在選擇控制目標(biāo)與控制措施時，應(yīng)考慮組織的文件以及策略的可實施性。控制措施的選擇可以參考“第6章信息安全管理控制規(guī)范”相關(guān)內(nèi)容，當(dāng)然也可以根據(jù)組織的實際情況選擇其他的控制措施。對控制目標(biāo)與控制措施的選擇應(yīng)當(dāng)由安全需求來驅(qū)動，選擇過程應(yīng)該是基于最好的滿足安全需求，同時要考慮風(fēng)險平衡與成本效益的原則，并且要考慮信息安全的動態(tài)系統(tǒng)工程過程，對所選擇的控制目標(biāo)和控制措施要及時加以校驗和調(diào)整，以適應(yīng)不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟的、合理的保護(hù)。

更詳細(xì)的選擇控制目標(biāo)與措施的方法可參見“第8章信息安全風(fēng)險評估”相關(guān)內(nèi)容。7.3.6準(zhǔn)備適用性聲明

GB/T22080—2008《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》(ISO/IEC27001:2005)的附錄A給出了推薦使用的一些控制目標(biāo)和控制措施A.5至A.15，GB/T22081—2008《信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則》(ISO/IEC27002:2005)的第5章至第15章也提供了最佳的實踐建議和指南，它們與本書第6章第6.2節(jié)至第6.12節(jié)相對應(yīng)。組織可以只選擇適合本機構(gòu)使用的部分，而不適合使用的，可以不選擇。對于這些選擇和不選擇，都必須作出聲明，即建立SoA文件。

SoA文件中記錄了組織內(nèi)相關(guān)的風(fēng)險控制目標(biāo)和針對每種風(fēng)險所采取的各種控制措施，并包括這些控制措施的被選擇或沒有被選擇的原因。表7-2給出了一個適用性聲明的示例。

表7-2適

用

性

聲

明

SoA文件內(nèi)容應(yīng)簡明扼要，不泄露組織的保密信息。SoA文件的準(zhǔn)備，是對組織內(nèi)的員工聲明對信息安全風(fēng)險的態(tài)度，特別是向外界表明組織已全面、系統(tǒng)地審視了信息安全系統(tǒng)等態(tài)度，并將所有應(yīng)該得到控制的風(fēng)險控制在可被接受的范圍內(nèi)等。

信息安全管理體系的規(guī)范建立和有效運行是實現(xiàn)信息安全保障的有效手段。

信息安全管理體系建立之后，經(jīng)過審核與批準(zhǔn)并發(fā)布實施，信息安全管理體系即進(jìn)入運行階段。7.4信息安全管理體系的實施和運行在運行期間，要在實踐中體驗ISMS的充分性、適用性和有效性。特別是在初期階段，組織應(yīng)加強管理力度，通過實施ISMS手冊、程序、作業(yè)指導(dǎo)書等體系文件，以及教育培訓(xùn)計劃、風(fēng)險處理計劃等，評價控制措施的有效性，充分發(fā)揮體系本身的各項職能，及時發(fā)現(xiàn)存在的問題，找出問題的根源，采取糾正措施，并按照控制程序?qū)w系進(jìn)行更改，以達(dá)到進(jìn)一步完善ISMS的目的。

在實施ISMS的過程中，必須充分考慮各種因素，例如宣傳貫徹、實施監(jiān)督、考核評審、信息反饋與及時改進(jìn)等，還要考慮實施的培訓(xùn)費、報告費等各項費用，以及解決員工工作習(xí)慣的沖突、不同機構(gòu)/部門之間的協(xié)調(diào)等問題。

在具體的實施和運行ISMS過程中，應(yīng)該做到以下工作：

(1)做好動員與宣傳。在實施ISMS的前期應(yīng)召開全體員工會議，由上層管理者做宣傳動員，承諾對組織中實施ISMS的支持，帶頭執(zhí)行ISMS的有關(guān)規(guī)定，并明確提出對各級員工信息安全的職責(zé)要求。

(2)實施培訓(xùn)和安全意識教育計劃。ISMS文件的培訓(xùn)是體系運行的首要任務(wù)，培訓(xùn)工作的好壞直接影響體系運行的結(jié)果。組織應(yīng)通過恰當(dāng)?shù)姆绞?，對全體員工實施各種層次的培訓(xùn)，內(nèi)容包括信息安全意識、信息安全知識與技能及ISMS運行程序等，以確保有關(guān)ISMS職責(zé)的人員具有相應(yīng)的執(zhí)行能力。這些方式包括：

·確定從事影響ISMS工作的人員所必要的能力。

·提供培訓(xùn)或采取其他措施(例如聘用有能力的人員)以滿足這些需求。

·評價所采取的措施的有效性。

·保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄。

·

確保所有相關(guān)人員意識到他們的信息安全活動有相關(guān)性和重要性，以及如何作出貢獻(xiàn)。

(3)制定與實施風(fēng)險處置計劃。為管理信息安全風(fēng)險，制定風(fēng)險處置計劃，以識別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，并實施該計劃，以達(dá)到已識別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配等。(4)實施所選擇的控制措施，并評價其有效性。實施風(fēng)險分析之后選擇的控制措施，以滿足控制目標(biāo)的需要，并確定如何測量所選擇的控制措施的有效性，以使得管理者和員工確定控制措施達(dá)到既定的控制目標(biāo)，另外，還要指明如何用這些測量措施來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。

(5)管理ISMS的運行。實施對ISMS的運行管理，包括以下內(nèi)容：

·管理ISMS的資源。

·對有關(guān)體系運行的信息進(jìn)行收集、分析、傳遞、反饋、處理、歸檔等管理。

·建立信息反饋與信息安全協(xié)調(diào)機制，對異常信息反饋和處理，對出現(xiàn)的體系設(shè)計不周、項目不全等問題加以改進(jìn)，完善并保證體系的持續(xù)正常運行。

·實施能夠迅速檢測安全事件和響應(yīng)安全事故的程序，以及其他控制措施等。

(6)保持ISMS的持續(xù)有效。ISMS畢竟只是提供一些原則性的建議，如何將這些建議與組織自身狀況結(jié)合起來，構(gòu)架符合實際情況的ISMS，并保持其有效運行，才是真正具有挑戰(zhàn)性的工作。組織可以通過ISMS的監(jiān)視和定期的審核來驗證ISMS的有效性，并對發(fā)現(xiàn)的問題采取有效的糾正措施并驗證其實施結(jié)果。ISMS的運行環(huán)境不可能一成不變，當(dāng)組織的信息系統(tǒng)、組織結(jié)構(gòu)等發(fā)生重大變更時，應(yīng)根據(jù)風(fēng)險評估的結(jié)果對ISMS進(jìn)行適當(dāng)?shù)恼{(diào)整。

7.5.1監(jiān)視和評審過程

信息安全管理體系的監(jiān)視和評審能夠識別出與ISMS要求不符合的事項，進(jìn)而識別出不符合發(fā)生和潛在不符合發(fā)生的原因，并提出需實施的應(yīng)對措施。這個過程是ISMS的PDCA過程的“C”處置階段，組織在此階段應(yīng)該做以下工作：7.5信息安全管理體系的監(jiān)視和評審

(1)執(zhí)行監(jiān)視、評審規(guī)程和其他控制措施，以達(dá)到如下目的：迅速檢測過程運行結(jié)果中的錯誤；迅速識別試圖的和得逞的安全違規(guī)及事故；使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否如期執(zhí)行；通過使用指示器等，幫助檢測安全事件并預(yù)防安全事故；確定解決安全違規(guī)的措施是否有效等。

(2)在考慮安全審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，定期評審ISMS的有效性，包括滿足ISMS方針和目標(biāo)，以及安全控制措施的評審。

(3)測量控制措施的有效性以驗證安全要求是否被滿足。

(4)定期進(jìn)行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進(jìn)行評審，并且要考慮各方面的變化，如：組織情況、技術(shù)情況、業(yè)務(wù)目標(biāo)和過程、已識別的威脅、已實施的控制措施的有效性、外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更等。

(5)定期進(jìn)行ISMS內(nèi)部審核和管理評審。表7-3給出它們的不同目的、依據(jù)等區(qū)別。

表7-3

ISMS的內(nèi)部審核與管理評審的比較7.5.2

ISMS內(nèi)部審核

組織應(yīng)該按照計劃的時間間隔進(jìn)行ISMS內(nèi)部審核，以保證它的文件化過程、信息安全活動以及實施記錄能夠滿足ISO/IEC27001等標(biāo)準(zhǔn)要求和聲明的范圍，檢查信息安全實施過程符合組織的方針、目標(biāo)和計劃要求，并向管理者提供審核結(jié)果，為管理者提供信息安全決策的依據(jù)。

組織內(nèi)部審核要確定ISMS的控制目標(biāo)、控制措施、過程和程序是否達(dá)到如下要求：

(1)符合標(biāo)準(zhǔn)，以及相關(guān)法律法規(guī)的要求。

(2)符合已識別的信息安全要求，例如安全目標(biāo)、安全漏洞、風(fēng)險控制等。

(3)得到有效地實施和保持。

(4)按期望運行。

內(nèi)部審核方案應(yīng)作好策劃，規(guī)定審核的目的、范圍、準(zhǔn)則、時間安排和方法等，并考慮被審核過程和區(qū)域的狀況及重要性，以及上次審核的結(jié)果，對審核方案作出適時調(diào)整。

選擇審核員和實施審核過程應(yīng)保證客觀和公正，審核員不能審核自己的工作。受審核區(qū)域的負(fù)責(zé)人應(yīng)確保及時采取措施以消除發(fā)現(xiàn)的不符合因素并查明其原因。

應(yīng)形成文件的程序，以規(guī)定策劃和實施審核、報告結(jié)果和保持記錄的職責(zé)及要求，并保持審核活動跟蹤、采取措施驗證等報告。

最終的內(nèi)部審核報告應(yīng)該是正式的，這是審核的關(guān)鍵成果，其內(nèi)容應(yīng)包括審核的目的及范圍、審核準(zhǔn)則、審核部門及負(fù)責(zé)人、審核組成員、審核時間、審核情況、審核結(jié)論、分發(fā)范圍等。表7-4給出了一個內(nèi)部審核報告的示例。

表7-4

ISMS的內(nèi)部審核報告7.5.3

ISMS管理評審

組織的最高管理者應(yīng)該按照計劃的時間間隔(至少每年一次)評審信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評審過程應(yīng)確保收集到必要的信息，以供管理者對包括ISMS有改進(jìn)的機會和變更的需要，以及安全方針和安全目標(biāo)等在內(nèi)進(jìn)行評價，評審結(jié)果應(yīng)清楚地寫入文件，并保持記錄。

1.管理評審的時機

一般而言，每年作一次管理評審是適宜的，有的認(rèn)證機構(gòu)每半年有一次監(jiān)督審核，因此企業(yè)每六個月作一次管理評審。但如果發(fā)生以下情況之一時，應(yīng)適時進(jìn)行管理評審：

在進(jìn)行第三方認(rèn)證之前；企業(yè)內(nèi)、外部環(huán)境(例如組織結(jié)構(gòu)、產(chǎn)品結(jié)構(gòu)、標(biāo)準(zhǔn)、法律法規(guī)等)發(fā)生較大變化時；新的ISMS進(jìn)行正式運行時；其他必要的時候，例如發(fā)生重大信息安全事故時。

2.評審輸入

包含評審輸入的報告應(yīng)在評審前2周提交給信息安全管理經(jīng)理。

管理評審的輸入應(yīng)包括以下內(nèi)容：

·ISMS審核和評審的結(jié)果。

·ISMS方針、風(fēng)險控制目標(biāo)和控制措施的實施情況。

·事故、事件的調(diào)查處理情況。

·糾正和預(yù)防措施的實施情況。

·相關(guān)方的投訴、建議等反饋。

·組織用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序。

·對于法律法規(guī)及其他要求的符合性報告。

·關(guān)于ISMS的總體運行和局部運行的有效性測量報告。

·風(fēng)險評估報告，包括上次風(fēng)險評估未充分指出的脆弱性或威脅，以及上次管理評審所采取措施的跟蹤報告。

·任何可能影響ISMS變更的因素，例如法律法規(guī)的變化、機構(gòu)人員的調(diào)整、市場變化等。

·改進(jìn)的建議。

3.評審輸出

管理評審?fù)瓿芍?，由信息安全管理?jīng)理將其結(jié)果輸出形成評審報告，經(jīng)總經(jīng)理批準(zhǔn)后下發(fā)至各有關(guān)部門。

管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：

·ISMS的適宜性、充分性和有效性的測量結(jié)論。

·組織機構(gòu)是否需要調(diào)整。

·信息安全方針、控制目標(biāo)、控制措施、風(fēng)險等級和風(fēng)險接受準(zhǔn)則是否需要修改。

·更新風(fēng)險評估和風(fēng)險處置計劃。

·資源配置是否充足，是否需要調(diào)整。

·改進(jìn)測量控制措施有效性的方式。

在信息安全管理體系的監(jiān)視和評審的結(jié)果中，會確定針對與ISMS要求不符的應(yīng)實施的糾正措施、改進(jìn)措施和預(yù)防措施等。信息安全管理體系的保持和改進(jìn)就是要實施這些措施，其中改進(jìn)措施主要通過糾正與預(yù)防性控制措施來實現(xiàn)，同時對潛在的不符合采取預(yù)防性控制措施。7.6信息安全管理體系的保持和改進(jìn)7.6.1糾正措施

組織應(yīng)采取措施，消除不合格的、與ISMS要求不符合的因素，以防止問題再次發(fā)生。糾正措施應(yīng)形成文件，并規(guī)定以下方面的要求：

(1)識別在實施和運行ISMS過程中的不符合因素。

(2)確定這些不符合因素產(chǎn)生的原因。

(3)對確保這些不符合不再發(fā)生所需的措施進(jìn)行評價。

(4)確定和實施所需要的糾正措施，并記錄結(jié)果。

(5)評審所采取的糾正措施。7.6.2預(yù)防措施

組織應(yīng)針對潛在的和未來的不合格因素確定預(yù)防措施，以防止其發(fā)生。所采取的預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。

預(yù)防措施應(yīng)形成文件，并規(guī)定以下方面的要求：

(1)識別潛在的不符合因素的原因。

(2)對預(yù)防這些不符合因素發(fā)生所需的措施進(jìn)行評價。

(3)確定和實施所需要的預(yù)防措施，并記錄結(jié)果。

(4)評審所采取的預(yù)防措施。

(5)識別發(fā)生變化的風(fēng)險，并通過關(guān)注變化顯著的風(fēng)險來識別預(yù)防措施的要求。

(6)應(yīng)根據(jù)風(fēng)險評估的結(jié)果來確定預(yù)防措施的優(yōu)先級。7.6.3控制不符合項

對于輕微的不符合，可采取口頭糾正和輔導(dǎo)，不必采取更進(jìn)一步的糾正與預(yù)防措施。而對于嚴(yán)重的不符合，信息安全管理部門應(yīng)積極采取補救措施，下達(dá)糾正與預(yù)防措施任務(wù)給相關(guān)責(zé)任部門，并要求在規(guī)定的時間內(nèi)完成相關(guān)原因分析和確定糾正與預(yù)防措施后回傳，以減少或消除其不利影響。所涉及的相關(guān)責(zé)任部門要負(fù)責(zé)分析其原因，并制定詳細(xì)的糾正與預(yù)防措施，明確責(zé)任人和完成日期，經(jīng)信息安全管理部門審核,確保其可行性和不產(chǎn)生新的ISMS風(fēng)險，并在其監(jiān)督檢查和協(xié)調(diào)指導(dǎo)下驗證糾正與預(yù)防措施的執(zhí)行。

表7-5給出了一個糾正與預(yù)防不符合的措施要求表的示例。

表7-5糾正與預(yù)防不符合的措施要求表

按照ISO和IEC的定義，認(rèn)證(Certification)是由國家認(rèn)可的認(rèn)證機構(gòu)證明一個組織的產(chǎn)品、服務(wù)、管理體系等符合相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范(TS)或其強制性要求的合格評定活動。認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)，認(rèn)證的方法包括對產(chǎn)品的特性抽樣檢驗和對組織體系的審核與評定，認(rèn)證的證明方式是認(rèn)證證書與認(rèn)證標(biāo)志。7.7信息安全管理體系的認(rèn)證7.7.1認(rèn)證的目的

認(rèn)證是第三方所從事的活動，是一個組織證明其信息安全水平和能力符合國際標(biāo)準(zhǔn)要求的有效手段，它將幫助組織節(jié)約信息安全成本，增強客戶、合作伙伴等相關(guān)方的信心和信任，提高組織的公眾形象和競爭力。具體來說，ISMS認(rèn)證可以給組織帶來如下收益：

(1)使組織獲得最佳的信息安全運行方式。

(2)保證組織業(yè)務(wù)的安全。

(3)降低組織業(yè)務(wù)風(fēng)險、避免組織損失。

(4)保持組織核心競爭優(yōu)勢。

(5)提供組織業(yè)務(wù)活動中的信譽。

(6)增強組織競爭力。

(7)滿足客戶要求。

(8)保證組織業(yè)務(wù)的可持續(xù)發(fā)展。

(9)使組織更加符合法律法規(guī)的要求。

目前，世界上普遍采用的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)是ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》。ISO/IEC27001標(biāo)準(zhǔn)適用于所有類型的組織(例如商業(yè)企業(yè)、政府機構(gòu)、非贏利組織)。ISO/IEC27001從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。

實施信息安全管理體系的認(rèn)證，就是根據(jù)ISO/IEC27001標(biāo)準(zhǔn)，建立完整的信息安全管理體系，達(dá)到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，并從根本上保證業(yè)務(wù)的持續(xù)性。7.7.2前期工作

1.確定認(rèn)證范圍

認(rèn)證范圍(CertificationScope)的確定應(yīng)該與信息安全管理體系所涉及的范圍保持一致，如果存在多個系統(tǒng)或異地多節(jié)點關(guān)系的時候，也要一并考慮。

確定好的認(rèn)證范圍將作為認(rèn)證機構(gòu)確定評審計劃的基礎(chǔ)，并以此選擇需要評審的內(nèi)容、功能和活動安排，以及選擇相關(guān)的評審員和技術(shù)專家。

認(rèn)證范圍應(yīng)該是條理清晰式的關(guān)鍵活動的概要聲明，并保持完整性和準(zhǔn)確性。在確定認(rèn)證范圍時，應(yīng)考慮以下因素：

·適用性聲明的相關(guān)文件。

·組織的地理位置和業(yè)務(wù)相關(guān)范圍。

·信息系統(tǒng)的應(yīng)用及其平臺和邊界。

·組織的相關(guān)活動。

·信息系統(tǒng)的相關(guān)活動。

·需獲得認(rèn)證機構(gòu)對認(rèn)證范圍的認(rèn)可。

2.檢查基本條件

確保已按照ISO/IEC27001標(biāo)準(zhǔn)和相關(guān)的法律法規(guī)要求建立并實施文件化的信息安全管理體系，并滿足以下方面的條件：

·遵循相關(guān)法律法規(guī)的努力已得到相關(guān)機構(gòu)的認(rèn)可。

·當(dāng)前的ISMS已被有效實施運行3個月以上，即組織已在風(fēng)險評估的基礎(chǔ)上，識別出需要保護(hù)的關(guān)鍵信息資產(chǎn)、制定出信息安全方針、確定好安全控制目標(biāo)、實施了安全控制措施、至少完成一次內(nèi)部審核和管理評審并采取了適當(dāng)?shù)募m正和預(yù)防措施。

·ISMS運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

3.尋求信息安全管理體系認(rèn)證機構(gòu)

在具備信息安全體系認(rèn)證的基本條件后，組織就可以尋求認(rèn)證機構(gòu)進(jìn)行體系認(rèn)證。

國際認(rèn)可論壇(IAF，InternationalAccreditationForum)作為有關(guān)國家認(rèn)可機構(gòu)(包括中國CNAS，英國UKAS，美國ANAB，荷蘭RvA等)參加的多邊合作組織，其主要目標(biāo)是協(xié)調(diào)各國認(rèn)證認(rèn)可制度，通過統(tǒng)一規(guī)范各成員單位的審核員資格要求、認(rèn)證標(biāo)準(zhǔn)及管理體系認(rèn)證機構(gòu)的評定和認(rèn)證程序，使其在技術(shù)運作上保持一致，從而確保有效的國際互認(rèn)。我國已經(jīng)在質(zhì)量管理體系(QMS)、環(huán)境管理體系(EMS)兩個管理體系的認(rèn)證證書與IAF的成員單位簽訂了互認(rèn)協(xié)議，中國合格評定國家認(rèn)可委員會(CNAS，ChinaNationalAccreditationServiceforConformityAssessment)作為IAF17個發(fā)起成員單位和主要協(xié)調(diào)單位之一，承擔(dān)著眾多責(zé)任，正積極組織開展信息安全管理體系國際互認(rèn)工作。但是信息安全管理體系(ISMS)涉及到安全等敏感問題，各國的認(rèn)可機構(gòu)都沒有在ISMS領(lǐng)域加入IAF，還沒有實現(xiàn)國際互認(rèn)。因此，嚴(yán)格說來，帶有CNAS、UKAS、ANAB等標(biāo)志的ISMS認(rèn)證證書都不屬于國際認(rèn)證證書，均不具有國際互認(rèn)性，獲得任何一家認(rèn)證機構(gòu)頒發(fā)的證書都不能稱為獲得了國際認(rèn)證，只有IAF中的各成員單位就ISMS簽署多邊互認(rèn)協(xié)議，同時相關(guān)認(rèn)證機構(gòu)被授權(quán)在所頒發(fā)的ISMS認(rèn)證證書上加貼IAF標(biāo)識后，該ISMS認(rèn)證證書才具有國際互認(rèn)性。

目前，各國認(rèn)可機構(gòu)均依據(jù)本國認(rèn)證認(rèn)可制度對申請認(rèn)可的認(rèn)證機構(gòu)進(jìn)行認(rèn)可。在不同的國家認(rèn)證認(rèn)可制度下，通過認(rèn)可的認(rèn)證機構(gòu)頒發(fā)的信息安全管理體系認(rèn)證證書，由于認(rèn)證標(biāo)準(zhǔn)都是依據(jù)統(tǒng)一的ISO/IEC27001:2005國際認(rèn)證標(biāo)準(zhǔn)，其證書具有相同的效力，這也是將來能實現(xiàn)ISMS國際互認(rèn)的前提和條件。

中國信息安全認(rèn)證中心(ISCCC，ChinaInformationSecurityCertificationCenter)是經(jīng)中央編制委員會批準(zhǔn)成立，由國務(wù)院信息化工作辦公室、國家認(rèn)證認(rèn)可監(jiān)督管理委員會等八部委授權(quán)，隸屬國家質(zhì)檢總局的事業(yè)單位，是依據(jù)國家有關(guān)強制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī)，負(fù)責(zé)實施信息安全認(rèn)證的專門機構(gòu)。2009年5月22日，CNAS向ISCCC頒發(fā)了CNAS首張“信息安全管理體系認(rèn)證機構(gòu)認(rèn)可證書”，具有基于ISO/IEC27001:2005標(biāo)準(zhǔn)進(jìn)行ISMS認(rèn)證的資質(zhì)。這也表明CNAS開展的信息安全管理體系認(rèn)證機構(gòu)認(rèn)可試點的實施工作取得了階段性的成果。運用認(rèn)可約束手段促進(jìn)認(rèn)證機構(gòu)規(guī)范和加強管理，將為我國開展信息安全管理體系認(rèn)證國際互認(rèn)奠定基礎(chǔ)。

其他的具有ISMS認(rèn)證資質(zhì)的國內(nèi)機構(gòu)還有中國質(zhì)量認(rèn)證中心、上海質(zhì)量體系審核中心、廣州賽寶認(rèn)證中心服務(wù)有限公司等，相關(guān)名單可查詢中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA，CertificationandAccreditationAdministrationofthePeople’sRepublicofChina)的如下網(wǎng)址：/cnca/cxzq/rkcx/4424.shtml。

ISMS認(rèn)證證書每年接受年度審核，3年之后進(jìn)行重新評估。CNCA管理并公布一份被認(rèn)可的認(rèn)證機構(gòu)及其認(rèn)證范圍的清單。每個機構(gòu)被認(rèn)可的認(rèn)證范圍可能有些不同，尋求認(rèn)證的組織需要根據(jù)實際情況對此作出評價和選擇。組織在選好認(rèn)證機構(gòu)之后，就可以與之聯(lián)系提交認(rèn)證申請書、申請書要求提供的資料，以及提供審核所需要必要信息的規(guī)定或承諾，在雙方協(xié)商一致的情況下簽訂認(rèn)證合同。認(rèn)證合同中應(yīng)確認(rèn)機構(gòu)保守組織的商業(yè)機密，并在遵守組織的有關(guān)信息安全規(guī)章的要求。7.7.3認(rèn)證過程

ISMS的認(rèn)證過程如圖7-2所示。

圖7-2

ISMS的認(rèn)證流程

1.第一階段審核

第一階段主要是文件審核與初訪，從總體上了解受審核方ISMS基本情況，包括其活動、產(chǎn)品或服務(wù)的全過程，判斷風(fēng)險評估與管理的狀況，并對內(nèi)總審核等情況進(jìn)行初步審查，確認(rèn)是否具備認(rèn)證審核的條件，確定第二階段審核的可行性和審核的重點，為第二階段的審核策劃提供依據(jù)。

第一階段審核的重點在于審核ISMS文件是否符合ISO/IEC27001標(biāo)準(zhǔn)的要求。

審核的范圍包括受審核方的ISMS文件有有關(guān)資料，以及與重要信息資產(chǎn)及高風(fēng)險源有關(guān)的現(xiàn)場，審核的內(nèi)容包括以下要點：

(1)適用的法律、法規(guī)的識別與滿足的基本情況。

(2)風(fēng)險評估、風(fēng)險管理方法策劃的充分性。

(3)安全方針、控制目標(biāo)和控制措施的連貫性、適宜性。

(4)對實現(xiàn)信息安全方針與控制目標(biāo)的策劃。

(5)組織內(nèi)部審核與管理評審的實施情況。

第一階段審核完成之后，審核組應(yīng)編制審核報告，包括審核結(jié)論、發(fā)現(xiàn)問題和下一步的工作重點。其中審核結(jié)論主要是對體系策劃的充分性、風(fēng)險評估和法律要求的符合性，以及體系文件的符合性進(jìn)行評價，如果存在不符合項，則要求受審核方進(jìn)行相關(guān)修改，否則發(fā)出第二階段審核計劃。

2.第二階段審核

第二階段審核是對受審核方ISMS的全面審核與評價，目的是驗證ISMS是否按照ISO/IEC27001標(biāo)準(zhǔn)和組織體系文件要求有效實施，組織的安全風(fēng)險是否被控制在可接受的范圍之內(nèi)，根據(jù)審核對ISMS的運行狀況是否符合標(biāo)準(zhǔn)與文件規(guī)定作出判斷，并據(jù)此對受審核方能否通過信息安全管理體系認(rèn)證作出結(jié)論。

第二階段審核的重點在于考查受審核方對不符合項情況的糾正情況。審核的范圍包括所有的現(xiàn)場和有關(guān)的文件與資料，因此審核的內(nèi)容包括受審核方的所有部門和涉及標(biāo)準(zhǔn)的全部要素。

第二階段審核完成之后，審核組應(yīng)編制審核報告，對體系的符合性、有效性和適應(yīng)性進(jìn)行全面評價，作出審核結(jié)論。對于仍存在不符合項情況，要跟蹤受審核方的糾正措施與預(yù)防措施的制定與實施計劃，跟蹤結(jié)束后，將審核報告提交給認(rèn)證機構(gòu)、申請方等。第二階段的審核結(jié)論有以下3種情況：

(1)信息安全管理體系已建立，運行有效，無嚴(yán)重不符合項和輕微不符合項，同意推薦認(rèn)證通過。

(2)信息安全管理體系已建立并正常運行，在審核過程中發(fā)現(xiàn)少量輕微不符合項或個別嚴(yán)重不符合項，要求組織在規(guī)定的時間內(nèi)實施糾正措施，同意在驗證糾正措施的實施后推薦認(rèn)證通過。

(3)信息安全管理體系存在缺陷，在審核過程中發(fā)現(xiàn)較多的不符合項，需要在實施糾正措施后安排復(fù)審，本次不予推薦認(rèn)證通過。

3.認(rèn)證證書及標(biāo)志

在組織通過了認(rèn)證機構(gòu)的驗證后，認(rèn)證機構(gòu)將為組織頒發(fā)ISMS認(rèn)證證書，證書包括以下方面的內(nèi)容：

(1)信息安全管理體系認(rèn)證證書名稱。

(2)證書注冊號。

(3)獲得證書的組織全稱，以及其注冊地址、審計地址和郵政編碼。

(4)相關(guān)的業(yè)務(wù)功能、流程與活動。

(5)關(guān)于信息安全系統(tǒng)滿足ISO/IEC27001認(rèn)證標(biāo)準(zhǔn)的聲明。

(6)該證書覆蓋的認(rèn)證范圍。

(7)適用性聲明和特定版本的描述。

(8)證書的有效期限。

(9)接受年度審核的說明。

(10)認(rèn)證機構(gòu)的標(biāo)志、印章及簽名。

(11)其他認(rèn)可機構(gòu)的標(biāo)志。

只有當(dāng)認(rèn)證機構(gòu)認(rèn)可了組織的認(rèn)證范圍和資質(zhì)，才能在證書上顯示認(rèn)可標(biāo)志，如CNAS標(biāo)志。另外，某些認(rèn)證機構(gòu)頒發(fā)的認(rèn)證證書同時提供中、英文兩種版本。

4.認(rèn)證的維持

在組織通過審核并獲得認(rèn)證證書后，并不代表認(rèn)證的結(jié)束。認(rèn)證機構(gòu)將通過執(zhí)行每年至少一次的監(jiān)督審核，繼續(xù)監(jiān)控ISMS符合標(biāo)準(zhǔn)的情況。這期間如果組織未能持續(xù)滿足認(rèn)證要求，根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》第二十七條“認(rèn)證機構(gòu)應(yīng)當(dāng)對其認(rèn)證的產(chǎn)品、服務(wù)、管理體系實施有效的跟蹤調(diào)查，認(rèn)證的產(chǎn)品、服務(wù)、管理體系不能持續(xù)符合認(rèn)證要求的，認(rèn)證機構(gòu)應(yīng)當(dāng)暫停其使用直至撤銷認(rèn)證證書，并予公布”規(guī)定，認(rèn)證機構(gòu)將公告撤銷其認(rèn)證證書。認(rèn)證證書的有效期一般為3年，到期之后，系統(tǒng)需要認(rèn)證機構(gòu)重新進(jìn)行認(rèn)證審核。

被審核方有義務(wù)通知認(rèn)證機構(gòu)所發(fā)生的可能影響到系統(tǒng)或證書的變更，如組織變更、人員變更、核心業(yè)務(wù)變更、技術(shù)變更等，并且要定期進(jìn)行自我評估活動，以監(jiān)督和檢查ISMS的實施情況，這些活動包括：

(1)檢查ISMS的范圍是否充分。

(2)審查各種ISMS的規(guī)程文檔的規(guī)范性。

(3)評估ISMS運行的有效性，考慮審核的結(jié)果、時間、人員的反饋和建議等。

(4)審查可接受的風(fēng)險水平，考慮組織變更、技術(shù)和業(yè)務(wù)目標(biāo)的變化等。

(5)實施ISMS的改善及影響情況。

(6)采取適當(dāng)?shù)募m正或預(yù)防行動。7.7.4

ISMS認(rèn)證案例

本節(jié)以中國金融電子化公司(ChinaFinancialComputerizationCorp.)ISMS的ISO27001認(rèn)證為例來說明(資料來源于中國金融電子化公司網(wǎng)站)。

中國金融電子化公司是1988年經(jīng)國務(wù)院批準(zhǔn)成立的在國內(nèi)最先從事金融系統(tǒng)信息化建設(shè)的中國人民銀行直屬企業(yè)