中国银行业it服务外包行业的信息安全管理v1.3[1]

1中国银行业IT服务外包行业的信息安全管理V131中国银行业IT外包服务的信息安全管理边巨源目录背景3一银行IT外包综述3二商业银行IT服务外包行业的信息安全管理521概述522商业银行的科技风险管理25三商业银行生产业务的信息安全控制措施831核心业务系统832其他生产业务系统1133内部办公系统和公众服务系统1234网上银行业务13四商业银行IT服务外包行业的信息安全管理遵循的信息安全模型17五PDCA理论在商业银行IT服务外包行业信息安全管理中的应用1951戴明环运作步骤1952应用PDCA建立、保持信息安全管理体系19背景随着金融业对金融创新要求的不断提高，金融业对科技3电子化的依托更加紧密。在中国经济高速增长的大环境下，许多新型股份制金融企业，正是依托于金融电子化全面掌控地方经济，通过设计得当的金融衍生品种，使其利润得以迅速扩张。一些银行脱颖而出，在短短十几年的发展中得到了广大人民群众的认可。其中就包括招商、民生、光大、浦发行、深圳发展等银行。现在银行业的服务范围丰富了许多，对老百姓而言已不再只是存取钱的地方，它还含盖了更多的金融业务。比如网上消费、代理基金、代发工资、续存业务（水、电、煤气费、医保、社保基金、公交IC卡）等功能。无论是灵活的卡系统、便捷的网银，还是花样繁多的理财品种，依托的都是牢固安全的电子信息科技。它是银行业务及时，完整、安全、高效的不可或缺的有力保障。在金融危机的背景下,亚洲经济受到的冲击相对比较小，虽然目前外资银行在中国主要的业务集中于高端商业客户及高端金融增值业务，但外资银行的从业方法与规范将给中国的银行业带来从概念到实践的全面冲击。在不久的将来，中国将取消外资银行的地域限制，同时开放中国居民个人人民币业务。届时，外资银行的人民币业务范围和领域将与中资银行完全一样。从全球经济来看,中国向来是经济危机的避风港，疲弱的国内金融业务带来的却是高额的利润。在20年代经济大萧条时,花旗银行仍然能按期向股东4发放红利,这多亏了上海分行的700万利润，前花旗银行总裁约翰里德也承认“是上海支行的利润帮助我们渡过了难关”，然而，中国银行业整体信息化相对国际先进水平来说，还有相当的一段距离。现在国际银行业普遍采用的IT外包手法，在节省成本、优质服务方面远远强于中国的银行业，这是值得我们思考和学习的地方。目前中国金融信息化的起点较低，属于起步阶段,我们完全可以直接跳过发展阶段，而采用最先进的信息技术、产品和外包模式，实现跳跃式发展，达到同业国际水平。上海证券交易所的全面无纸化交易就是一个后起之秀的例子目前中国银行业的同业竞争异常激烈，国外的金融大鳄也对中国市场虎视眈眈，中国对WTO承诺的开放期即将到来，中国银行的经营如履薄冰，未来要想发展壮大拼的就是资产质量、科技水平，以及抗风险能力。目前国外发达银行通常是采用对科技部分整体外包的形式来提高信息科技服务的效率和安全性。本文就此对金融科技整体外包所涉及的各方面信息安全管理进行阐述，希望能够对银行业信息科技的提高起到推动作用。一银行IT外包综述那么什么是银行外包业务呢按照银行外包业务的内容,大体分为信息技术外包（ITO）、业务流程外包（BPO）和知识处理外包（KPO）。下面就外包业务用几个典型案例加以5详细说明。20世纪以后，随着银行业竞争的加剧和银行各类业务对IT技术的依赖性日趋增强，银行IT外包愈发成为全球较有影响且银行关注的热点。银行IT外包的典型案例是摩根大通银行于2002年与IBM达成的为期长达7年、合同总额为50亿美元IT外包服务协议，这是迄今为止全球最大的银行IT外包项目，按照协议规定，摩根大通银行将其信息技术基础设施外包给IBM，将约4000名员工和系统一起移交给IBM，IBM将在全球范围内为其维护16000台服务器，将30个网络整合为一个全球性的语音、数据网络系统。这一协议能够使摩根大通银行全面提升业务处理能力，使它具有更大的灵活性，迅速对变化的市场做出反应，同时能够使摩根大通银行进一步降低其运营成本，并集中精力发展其金融服务。同年，美洲银行又以45亿美元的价格与EDS公司签订了为期10年的银行IT外包服务，2002年，全球就有5家全球较有影响力的银行分别签订了价格在10亿美元以上IT外包服务合同。对于中国的金融企业来说，在未来的几年内将面临着不断变革的环境，如果采用IT外包服务，在不需要增加人员与成本的前提下,就能获得稳定并且高质量的IT服务，这一点对于以城市商业银行为代表的中国广大中小银行来说，具有特别重要的意义。在过去三年中，外资在进入中国银6行业时更青睐中小银行，一方面中小银行对成本更为敏感，另一方面由于规模小，具有资产质量和治理结构方面的优势，并具有“船小好调头”的特点。因此，随着越来越多外资入股或并购中国的中小银行，中国中小银行将成为IT服务外包的首批受益者。案例一2003年底中国惠普与国家开发银行签约，为国开行北京总行及分布在全国32个城市的分行提供软、硬件设备的管理与维修、系统运行维护服务、IT资产管理等一系列服务。桌面环境服务外包以后，国开行IT的硬件现状得到了很大的改善。现在国开行的客户经理使用的是最新式的惠普笔记本电脑，从软硬件上对主体业务起到了最大的支持。其次，对于问题的响应/解决速度也有很大程度的提升，原来因自身力量不足、技术欠缺而产生的影响现在已不复存在，外包获得了各分行、各部门的好评。最重要的是通过外包这种形式形成了一个良性循环机制，国开行在IT硬件的更新换代、资产管理、新技术运用、业务发展等方面都有了长足的进步。这是中国银行业首个整体IT服务外包合同的成功案例，通过采用IT整体外包，获得更为专业的技术支持和服务，减轻金融企业的负担,使其专注于主营核心业务的发展，节省了总体使用成本，提高了整体工作效率和用户满意度。案例二去年12月份，国际金融公司香港上海汇丰银7行参股的上海银行与惠普公司签订协议，将上海银行的新一代核心业务系统的集成/实施服务外包给惠普，惠普与集成式模块化核心银行系统提供商TEMENOS公司以及ORACLE公司紧密合作，为上海银行建立了一个可以提高事务处理能力的服务中心。和案例一相比这次合作将IT服务管理体系理念渗透其中，其目的是帮助上海银行最大限度的降低成本，缩短在线处理事务的时间，极大地提升了客户服务质量。案例三吉林银行为了应对日益激烈的市场竞争,主动调整战略思路，实现核心价值最大化。于2007底和智控国际数据中心签约，采用整体外包模式。吉林银行和智控国际数据中心的合作趋于长期性，通过战略外包达成一项或几项长期战略目标；战略外包的标的相对模糊、需要随着时间变化而变化，且数额往往较大；吉林银行为了更好地发展自身核心优势业务，将内部与外包业务相关的人员进行同步剥离，精简机构，集中人力在核心优势业务上。以上三个案例中,国开行从2002年开始信息化建设，通过在信息系统建设各层面的外包服务，两到三年内就达到国际先进水平。而上海银行也因在信息化建设中引入外包手法，获得核心能力的提升，同样达到国际先进水平。吉林银行也是在实现外包后的短短两年时间里服务和技术水平迅速成长为吉林8省银行中的佼佼者这些实例充分说明，处于金融体制改革前端的政策性银行、股份制银行和外资参股的中小银行，将成为中国银行业IT外包的破冰者。二商业银行IT服务外包行业的信息安全管理21概述中国古代以徽商、晋商为代表的金融业都是以稳健经营著称，实质是在内部建立相对封闭并且牢固的循环体系。但是当今时代由于信息技术的网路覆盖到生产系统的每个角落，银行业务复杂化，跨行交易，第三方业务等不可避免，这使对银行赖以运行的信息系统的保护成为重中之重。各大银行纷纷成立灾难备份中心，电力、主机、网路等全部采用双路。因为安全体系是个整体机构，基础原理更适合于短板原理，就是整个系统的安全性能是由安全最为薄弱的环节来决定的。所以对于商业的银行的信息安全管理必须全面，信息安全管理体系的建立、实施、运行、改进。必须标准化。对风险点的控制，应符合相关行业标准。同时满足信息技术安全技术信息安全管理体系要求（ISOIEC270012005）、信息系统安全等级保护基本要求、商业银行科技管理指引中的对应等级。22商业银行的科技风险管理风险管理（RISKMANAGEMENT）旨在对潜在危机和不利影响进行有效管理的文化、程序和结构。风险管理是良好管9理的一个组成部分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。总体框图如图一所示。图（一）信息科技管理机制22商业的信息安全建设总体规划首先，要从摸清商业银行的现状做起。组建项目小组，对商业银行的基本情况、业务流、数据流、网络设备、等级保护定级和特殊业务进行调查，对基础技术和基础管理进行访谈。目的是了解银行各单位、系统的基本属性。该步骤也可以交由专业信息安全厂商以风险评估方式进行。其次，对商业银行现存的风险进行差距分析，找出风险规避方案。通过收集的数据资料，依据相关国家和行业标准进行分析，专家分析数据编制差距评测报告。找出单位业务系统在信息安全上存在的差距，并以此设计降低风险方法。该步骤通常由专业信息咨询机构在风险评估之后进行整改，经过一定时期再评10估再整改，反复循环进行，直到将风险都降低到标准范围内。再次，依据风险规避方案，进行信息安全集成建设。方法是以IT项目的形式制定产品采购说明书，对产品的采购原则、采购范围、指标要求、采购方式、采购流程等方面进行说明。制定身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖性等方面的指标要求，设计安全措施模块的体系结构，定义开发安全措施的模块组成及模块的主要功能和模块之间的接口。制定系统质量控制方案，确保系统实施各个阶段的质量控制目标、控制措施、工程质量、时间处理、系统实施人员的职责要求、安全控制集成度表等。将配置好策略的信息安全产品和开发控制模块部署到实际的应用环境中，调整相关策略。集成实施严格按照集成进度，采用分步实施、分别测试、逐步控制部署方案。部署各方应及时沟通及早发现并解决问题。最后，对已有的信息环境进行安全运维。方法是自行组建信息科技运维团队，或将信息科技技术责任以服务外包的形式交给专业信息科技厂商来做。11外部审计外部审计图（二）信息安全保障流程三商业银行生产业务的信息安全控制措施下面就对商业银行的基础业务进行阐述，在此基础上加入安全措施，并使之符合规范、能够达到真正的控制目标，当然有些是国家政策要求不能提及的地方，这里就不做描述。商业银行的业务系统可以分为面向客户的业务处理系统、银行内部的办公自动化系统和内部信息管理系统等三个方面。面向客户的业务处理系统又可以分为柜面业务系统和非柜面业务系统。目前，面向客户的柜面业务系统是银行为客户提供服务的主要方式，但随着银行之间竞争的加剧，各银行先后推出了方便用户的电话银行、自助银行等系统随着INTERNET技术的发展、完善，网上银行目前发展趋势良好。这些系统的推出，既节省了银行的人力资源，又大大地方便了客户。从长远来看，非柜面业务系统将发挥越来越重要的作用。但是，面向客户的柜面业务将在相当长12一段时间保持其主导地位，而且国内银行目前所面临的安全问题也主要出在柜面业务系统上。按照功能对银行信息业务划分为生产作业系统和内部办公系统以及公众服务系统。生产作业系统包括核心业务系统、中间业务和大前置系统、大小额系统、卡管理系统、支票影像系统、ATMP系统、POSP系统、信贷管理系统、横向联网系统、理财系统、银联系统、电话银行系统、财务管理系统、数据仓库系统、统一报表系统、人力资源系统、征信系统、反洗钱系统、1104系统。内部办公系统包括办公自动化系统、邮件系统。公众服务系统包括客服中心、外网门户系统。31核心业务系统核心业务是银行面向个人的传统的基本业务，它直接影响着人们的生活方式和银行本身在日趋激烈的市场竞争中的竞争能力。核心业务系统在业务信息受到破坏（如业务信息被泄露、篡改、删除等不法侵害）后，将会对公民、法人和其他组织的合法权益造成特别严重损害。图（三）银行业务系统113图（四）银行业务系统232其他生产业务系统数据仓库系统、统一报表系统、财务管理系统、信贷管理系统、征信系统、反洗钱系统、大小额系统、中间业务和大前置系统、卡管理系统、支票影像系统、ATMP系统、人力资源系统、电话银行系统、1104系统、横向联网系统、银联系统。这些生产系统的破坏，可能会对社会秩序和公共利益造成影响或严重损害。安全控制措施选择在用防护能力的建筑内；避免在高层地下室要区域配置第二道电子门禁系统设备位置要求；设备固定，明显标记；通信电缆要求；介质存取要求；光电防盗报警；监控报警机房避雷；防雷保安器，防止感应雷，交流电池线火；采用耐火材料；区域隔离防火设备采用接地防静电措施；安装防静电地板；电消除器等装置设置温湿度自动调节设施电系统设；关键区域实施电磁屏蔽14专用的登录控制模块对登录用户进行身份识别和鉴陆失败处理功能；安全策略配置模块启用配置访问控制策略，并严格限制默认账户的访问权严格控制用户对有敏感标记重要信息资源的操作；的访问对资源进行访问控制时，建立安全传输路径对所有用户进行安全审计，对系统重要安全事件进行审计；审计过程不可中断、删除、修改或覆盖；可对审计记录进行统计、查询、分析及生成报表；审计内容包括事件的日期、时间、发起者信息、类型、描叙和结果；提供集中审计接口应保证用户的鉴别信息所在的存储空间被释放或再分配给其他用户得到前完全清除，无论这些信息室存放在硬盘上还是在内存中；应保证系统内的文件、目录和数据记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清楚用户身份标识和鉴别信息；身份识别不易冒用，口令复杂并定期更鉴别术制；拒带的制数起息确绝通用用；网内的数用户户技络容允定计义分基于硬件应提供自我保护功能，当故障发生时自动报警；应提供服务优先设定功能，并在安装后根护络入阻15据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源图（五）生产业务安全控制注红色标记部分可以不需要进行强制保护。33内部办公系统和公众服务系统内部办公系统包括办公自动化系统、邮件系统。公众服务系统包括客服中心、外网门户系统。内部办公系统和公众服务系统受到破坏（如不能及时提供服务、系统服务中断等）后，将会对商业银行各部门造成影响或严重损害。安全控制措施用户身份标识和鉴别信息；身份识别不易冒用，口令复杂并定期更鉴别选择在用防护能力的建筑内；避免在高层地下室配置电子门禁系统，控制、鉴别和记录进入人员访人员经过申请和审批流程；要区域配置第二道电子门禁系统设备位置要求；设备固定，明显标记；通信电缆要求；介质存取要求；光电防盗报警；监控报警机房避雷；防雷保安器，防止感应雷，交流电池线火；采用耐火材料；区域隔离防火下积水转移与渗漏，设备采用接地防静电措施；安装防静电地板；电消除器等装置设置温湿度自动调节设施16供应；电系统采用接地方式防止干扰；设；关键区域实施电磁屏蔽专用的登录控制模块对登录用户进行身份识别和鉴别；两种以上的身份鉴别技，其中一种不可伪造陆失败处理功能；安全策略配置模块启用配置访问控制策略，并严格限制默认账户的访问权权限，并在他们之间形成相互制约的关系；严格控制用户对有敏感标记重要信息资源的操作；的访问对资源进行访问控制时，建立安全传输路径对所有用户进行安全审计，对系统重要安全事件进行审计；审计过程不可中断、删除、修改或覆盖；可对审计记录进行统计、查询、分析及生成报表；审计内容包括事件的日期、时间、发起者信息、类型、描叙和结果；提供集中审计接口应保证用户的鉴别信息所在的存储空间被释放或再分配给其他用户得到前完全清除，无论这些信息室存放在硬盘上还是在内存中；应保证系统内的文件、目录和数据记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清楚服务定计义分控术制；应对通信17；基于硬件应用系统应；应提供自我保护功能，当故障发生时自动能够对一个时间段内可能的并发会话连接数报警；应提供服务优先设定功能，并在安装后根护络入阻据安全策略设定访问账户或请求进程的优先级，根据优先级分配系统资源图（六）内部办公和公众服务系统安全控制备注蓝色标记、红色标记部分可以不需要进行强制保护。34网上银行业务网上银行利用INTERNET和INTRANET技术，为客户提供综合、统一、安全、实时的银行服务，包括提供对私，对公的各种零售和批发的全方位银行业务，还可以为客户提供跨国的支付与清算等其他的贸易、非贸易的银行业务服务。网上银行又被称为“3A银行”，因为它不受时间、空间限制，能够在任何时间ANYTIME、任何地点ANYWHERE、以任何方式ANYHOW为客户提供金融服务。安全控制措施网银的总体网银的特点是将银行的业务之间开在互联网上，明确为银行的一线生产系统，网上银行服务采用多种先进技术来保证交易的安全。所以网银业务除了以上保护方法，同时18还在策略等方面增加要求，建立相关的安全管理体系。图（七）网上银行的安全模型网银的风险评估网银上线之前进行风险评估，并且定期进行风险评估，是不可缺少的步骤。图（八）网上银行的风险评估模型网银的安全技术图（九）网上银行的数据流向建立标准统一、安全规范、高效可靠的网上银行网络安全规划平台，促进商业银行网银经营管理水平的提高和业务的拓展。安全防范措施的要求符合生产业务系统的控制点，并且在其基础上增加了，综合利用防火墙、入侵检测、认证、负载均衡、病毒防范、DOS攻击防范等多种技术手段完善互联网安全防御控制体系，提高安全强35机房的管理上述种种当然都是在硬件支持下实现的,机房是硬件的核心部位,其重要性自不待言,对机房的建设与管理尤重要19主要是按照国家标准GB5017393、GB288789、GB931688等加强场地设防。计算机设备实体安全类中，首先要求场地环境条件的控制，对计算机网络的中心机房及其延伸点，要坚决搞好基本环境建设，要有完整的防雷电设施，且有严格的防电磁干扰设施，机房内要搞好防水防火的预防工作，对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外，信息处理设备安全、媒体介质存放安全也是需要的。物理位置的选择选择在有防护能力的建筑内、避免在高层、地下室物理访问控制配置电子门禁系统，控制、鉴别和记录进入的人员、来访人员应经过申请和审批流程、机房划分区域进行管理、重要区域应配置第二道电子门禁系统防盗窃和防破坏设备位置要求、设备固定，明显标记、通信电缆要求、介质存储要求、光电防盗报警、监控报警。防雷击机房避雷、防雷保安器，防止感应雷、交流电地线。防火设置消防设备，自动检测火情、自动报警，并自动灭火、采用耐火材料、区域隔离防火。防水和防潮水管安装、防止雨水进入机房、防止水蒸气结露和地下20积水转移与渗透、安装对水敏感的检测仪表或元件。防静电设备采用接地防静电措施、安装防静电地板、采用静电消除器等装置。温湿度控制设置温湿度自动调节设施电力供应配置稳压器和过电压防护设备、提供短期的备用电力供应、设置冗余或并行的电力电缆线路、建立备用供电系统。四商业银行IT服务外包行业的信息安全管理遵循的信息安全模型预计要达到的目标PTDTRT传统的信息安全模型。以策略为核心的保护方式要求是非常高的,实现代价也是非常昂贵的P2DR2C模型的体系结构用6元组表示为P2DR2C（POLICY，PROTECTION，DETECTION，RE2SPONSE,RECOVERY，COUNTERATTACK）如图十P2DR2C模型的体系结构模型也可用文字描述为安全风险分析执行策略漏洞监测实时响应主动对抗及时恢复防护时间PT,检测时间DT和响应时间RTPT黑客攻击系统所花时间DT为从攻击开始到系统能够检测到攻击所花的时间RT为发现攻击后调整系统到正常状态的响应时间21PT越大,DT和RT越小,系统也就越安全通过以上公式的描述,给出了安全的一个全新的定义及时的检测和响应就是安全,及时的检测和恢复就是安全此外模型对系统的恢复时间和入侵诱骗时间也做了相应的要求,前者应保证尽量短,后者应尽量长这样系统才能更合理,有效地工作图（十）P2DR2C模型的体系结构图（十一）安全检测系统为了达到上面的目标需要对银行的安全系统，信息安全系统进行全面调研，而现在的银行IT系统，都是在整合的基础上进行的这就需要对现有安全系统有一个整体全面的认识。五PDCA理论在商业银行IT服务外包行业信息安全管理中的应用PDCA策划实施检查措施是由休哈特WALTERSHEWHART在19世纪30年代构想，随后被戴明EDWARDSDEMING采纳、宣传，获得普及，所以它经常也被称为“休哈特环”或者“戴明环”。此概念的提出是为了持续改善产品质量的，随着全面质量管理理念的深入，该循环在质量管理领域得到广泛使用，取得良好效果。22它是全面质量管理所应遵循的科学程序。全面质量管理活动的全部过程，就是质量计划的制订和组织实现的过程，这个过程就是按照PDCA循环，不停顿地周而复始地运转的。作为信息安全管理的建立、实施、运行、检测、都必须严格按照戴明理论执行。P（PLAN）策划；D（DO）实施；C（CHECK）检查；A（ACTION）处理。图（十二）戴明环51戴明环运作步骤1策划依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。2实施实施和运作方针（过程和程序）。3检查依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。4措施采取纠正和预防措施进一步提高过程业绩。四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效PERFORMANCE螺旋上升。52应用PDCA建立、保持信息安全管理体系23P（策划）建立信息安全管理体系环境（CONTEXT）风险评估要启动PDCA循环，必须有“启动器”提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的商业银行的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。1确定范围和方针信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖A确立信息安全管理体系范围和体系环境所需的过程；B战略性和组织化的信息安全管理环境；C组织的信息安全风险管理方法；D信息安全风险评价标准以及所要求的保证程度；E信息资产识别的范围。信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能下级信息安全管理体系不使用上级信息安全管理体系的控制在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA活动；24下级信息安全管理体系使用上级信息安全管理体系的控制在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。安全方针是关于在一个商业银行内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。2、定义风险评估的系统性方法确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节A信息安全管理体系内资产的估价，包括所用的价值尺度信息；B威胁及薄弱点的识别；C可能利用薄弱点的威胁的评估，以及此类事故可能造成25的影响；D以风险评估结果为基础的风险计算，以及剩余风险的识别。3、识别风险识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。4、评估风险根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（FAILURE）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及目前实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。5、识别并评价风险处理的方法对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。6、为风险的处理选择控制目标与控制方式选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。ISO270012005附录A提供了可供选择的控制目标与控制方式。26不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。在形式上，组织可以通过设计风险处理计划来完成步骤5和6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。7、获得最高管理者的授权批准剩余风险RESIDUALRISKS的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。D（实施）实施并运行信息安全管理体系PDCA循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信27息安全风险。对于那些被评估认为是可接受的风险，不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。28C（检查）监视并评审信息安全管理体系检查阶段，又叫学习阶段，是PDCA循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程1、执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。2、常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。3、评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。29审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括ISO270012005标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展