CISP0301信息安全管理体系(v2.3).pptx

信息安全管理体系,培训机构名称 讲师名字,课程内容,2,知识域：信息安全管理基本概念,知识子域： 信息安全管理的作用 理解信息安全“技管并重”原则的意义 理解成功实施信息安全管理工作的关键因素 知识子域： 风险管理的概念和作用 理解信息安全风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性 理解风险评估是信息安全管理工作的基础 理解风险处置是信息安全管理工作的核心 知识子域： 信息安全管理控制措施的概念和作用 理解安全管理控制措施是管理风险的具体手段 了解11个基本安全管理控制措施的基本内容,3,信息安全管理,一、信息安全管理概述 二、信息安全管理体系 三、信息安全管理体系建立 四、信息安全管理控制规范,4,一、信息安全管理概述,（一）信息安全管理基本概念 1、信息安全 2、信息安全管理 3、基于风险的信息安全 （二）信息安全管理的状况 1、信息安全管理的作用 2、信息安全管理的发展 3、信息安全管理的标准 4、成功实施信息安全管理的关键,5,（一）信息安全管理基本概念,1、信息安全 2、信息安全管理 3、基于风险的信息安全,6,1、信息安全,7,信息：信息是一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善保护。 信息安全：信息安全主要指信息的保密性、完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和可用性不被破坏。,1、信息安全,8,1、信息安全-保密性,9,保密性 确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。,1、信息安全-完整性,10,完整性 保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象；另一方面指信息处理的方法的正确性，执行不正当的操作，有可能造成重要文件的丢失，甚至整个系统的瘫痪。,1、信息安全-可用性,11,可用性 确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。,2、信息安全管理,统计结果表明，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。 信息安全是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平。,12,2、信息安全管理,13,正确的做法是参考国内外相关信息安全标准与最佳实践过程，根据组织对信息安全的各个层面的实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。,2、信息安全管理,14,组织中为了完成信息安全目标，针对信息系统，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动 信息安全管理工作的对象,目标,组织,2、信息安全管理,15,信息安全管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息安全风险的一组相互协调的活动，有效的信息安全管理要尽量做到在有限的成本下，保证安全风险控制在可接受的范围。,3、基于风险的信息安全,16,（1）安全风险的基本概念 （2）信息安全的风险模型 （2）基于风险的信息安全,（1）安全风险的基本概念,资产 资产是任何对组织有价值的东西 信息也是一种资产，对组织具有价值 资产的分类 电子信息资产 纸介资产 软件资产 物理资产 人员 服务性资产 公司形象和名誉 ,17,（1）安全风险的基本概念,威胁 资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件 威胁是利用脆弱性来造成后果 威胁举例 黑客入侵和攻击 病毒和其他恶意程序 软硬件故障 人为误操作 盗窃 网络监听 供电故障 后门 未授权访问 自然灾害如：地震、火灾,18,（1）安全风险的基本概念,脆弱性 是与信息资产有关的弱点或安全隐患。 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。 脆弱性举例 系统漏洞 程序Bug 专业人员缺乏 不良习惯 缺少审计 缺乏安全意识 后门 物理环境访问控制措施不当,19,（1）安全风险的基本概念,安全控制措施 根据安全需求部署的，用来防范威胁，降低风险的措施 安全控制措施举例,20,技术措施 防火墙 防病毒 入侵检测 灾备系统 ,管理措施 安全规章 安全组织 人员培训 运行维护 ,（2）信息安全的风险模型,21,没有绝对的安全，只有相对的安全,信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。,（3）基于风险的信息安全,信息安全追求目标,确保业务连续性 业务风险最小化 保护信息免受各种威胁的损害 投资回报和商业机遇最大化,获得信息安全方式,实施一组合适的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能。,22,（3）风险评估是信息安全管理的基础,风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。 信息安全管理体系的建立需要确定信息安全需求 信息安全需求获取的主要手段就是安全风险评估 信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据。,23,（4）风险处置是信息安全管理的核心,风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。 控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。 信息安全管理体系的核心就是这些最佳控制措施集合的。,24,（二）信息安全管理的状况,1、信息安全管理的作用 2、信息安全管理的发展 3、信息安全管理有关标准 4、成功实施信息安全管理的关键,25,1、信息安全管理的作用,26,如果你把钥匙落在锁眼上会怎样？ 技术措施需要配合正确的使用才能发挥作用,保险柜就一定安全吗？,27,WO!3G,精心设计的网络防御体系，因违规外连形同虚设,防火墙能解决这样的问题吗？,1、信息安全管理的作用,28,信息系统是人机交互系统,应对风险需要人为的管理过程,设备的有效利用是人为的管理过程,“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则,1、信息安全管理的作用,2、信息安全管理的发展-1,29,ISO/IEC TR 13335 国际标准化组织在信息安全管理方面，早在1996年就开始制定信息技术信息安全管理指南（ISO/IEC TR 13335），它分成五个部分： 信息安全的概念和模型 信息安全管理和规划 信息安全管理技术 基线方法 网络安全管理指南,2、信息安全管理的发展-2,30,BS 7799 英国标准化协会（BSI）1995年颁布了信息安全管理指南（BS 7799），BS 7799分为两个部分： BS 7799-1信息安全管理实施规则和BS 7799-2信息安全管理体系规范。2002年又颁布了信息安全管理系统规范说明（BS 7799-2:2002）。 BS 7799将信息安全管理的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前，在BS77992中，提出了如何了建立信息安全管理体系的步骤。,2、信息安全管理的发展-3,31,2、信息安全管理的发展-4,32,3、国内外信息安全管理标准,33,（1）国际信息安全管理标准 国际信息安全标准化组织 国际信息安全管理标准 （2）国内信息安全管理标准 国内信息安全标准化组织 国内信息安全管理标准,国际信息安全标准化组织,34,国际信息安全管理标准-1,35,国际信息安全管理标准-2,36,国际信息安全管理标准-3,37,国内信息安全标准化组织,38,国内信息安全管理标准-1,39,WG7组已有的标准,国内信息安全管理标准-2,40,WG7组研究中的标准,国内信息安全管理标准-3,41,4、实施信息安全管理的关键成功因素,理解组织文化 得到高层承诺 做好风险评估 整合管理体系 积极有效宣贯 纳入奖惩机制 持续改进体系,42,二、信息安全管理体系,（一）什么是信息安全管理体系 （二）信息安全管理体系的框架 （三）信息安全管理过程方法要求 （四）信息安全管理控制措施要求,43,（一）什么是信息安全管理体系,1、信息安全管理体系的定义 2、信息安全管理体系的特点 3、信息安全管理体系的作用 4、信息安全管理体系的文件,44,1、信息安全管理体系的定义,信息安全管理体系（ISMS：Information Security Management System）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。,45,2、信息安全管理体系的特点,信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系； 体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求； 强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。,46,3、信息安全管理体系的作用,对组织的关键信息资产进行全面系统的保护，维持竞争优势； 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； 促使管理层贯彻信息安全管理体系，强化员工的信息安全意识，规范组织信息安全行为； 使组织的生意伙伴和客户对组织充满信心； 组织可以按照安全管理，达到动态的、系统地、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性。,47,4、信息安全管理体系的理念,各厂商、各标准化组织都基于各自的角度提出了各种信息安全管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息安全的各个角度和整个生命周期来考察，如果忽略了组织中最活跃的因素人的作用，则信息安全管理体系是不完备的，考察国内外的各种信息安全事件，不难发现，在信息安全时间表象后面其实都是人的因素在起决定作用。,48,4、信息安全管理体系的理念,49,在信息安全问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息安全管理体系是人员、管理与技术三者的互动。,5、信息安全管理体系的过程,50,完善信息安全治理结构,风险评估,安全规划,信息安全管理框架,管理措施,技术手段,信息系统安全审计,监控业务与安全环境,符合安全控制标准？,持续改进,调整,（二）信息安全管理体系框架,1、信息安全管理体系循环框架 2、信息安全管理体系内容框架 3、信息安全管理体系文件框架 4、信息安全管理体系系列标准,51,1、信息安全管理体系循环框架,52,信息安全管理体系是PDCA动态持续改进的一个循环体。,相关方,信息安全要求和期望,相关方,受控的信息安全,1、信息安全管理体系循环框架,53,PDCA也称“戴明环”，由美国质量管理专家戴明提出。 P（Plan）：计划，确定方针和目标，确定活动计划； D（Do）：实施，实际去做，实现计划中的内容； C（Check）：检查，总结执行计划的结果，注意效果，找出问题； A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。,1、信息安全管理体系循环框架,54,PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。,PDCA特点二： 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。,PDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环。,2、信息安全管理体系内容框架,55,2、信息安全管理体系内容框架（续）,56,其他最佳实践标准与各安全控制域之间的对应,ISO27000系列不是信息安全管理体系的全部,3、信息安全管理体系文档框架,57,3、信息安全管理体系文档框架,58,安全策略,操作手册,操作手册,操作手册,操作手册,考核指标,考核指标,4、信息安全管理体系系列标准,59,（1）ISO 27000系列 （2）NIST SP800系列 （3）ISO/IEC13335系列,（1）ISO 27000系列,60,ISO 27000系列,2700027003,2700427007,27000 信息安全管理体系原则和术语 27001 信息安全管理体系要求 27002 信息安全管理实践准则 27003 信息安全管理实施指南,27004 信息安全管理的度量指标和衡量 27005 信息安全风险管理指南 27006 信息和通信技术灾难恢复服务指南 27007 XXX,信息安全管理体系基本原理和词汇,（1）ISO 27000系列,61,27001的附录A将两者联系起来，作为ISMS过程的一部分,测量ISMS控制措施的性能和有效性的要求将两者联系起来,27000：ISMS基础和词汇,62,正在启动的新标准项目； 它将主要以ISO/IEC 13335-1:2004信息和通信技术安全管理第1部分：信息和通信技术安全管理的概念和模型为基础进行研究； 该标准将规定27000系列标准所共用的基本原则、概念和词汇。,27001：信息安全管理体系要求,63,2005年10月15日发布； 规定了一个组织建立、实施、运行、监视、评审、保持、改进信息安全管理体系的要求； 基于风险管理的思想，旨在通过持续改进的过程（PDCA模型）使组织达到有效的信息安全； 使用了和ISO 9001、ISO 14001相同的管理体系过程模型； 是一个用于认证和审核的标准；,27002：信息安全管理实用规则,64,即17799，2005年6月15日发布第二版； 包含有11个安全类别、39个控制目标、138个控制措施； 实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集； 是一个行业最佳惯例的汇总集，而不是一个认证和审核标准；,27003：ISMS实施指南,65,目前处于工作草案阶段； 它主要以BS 7799-2:2002附录B的内容为基础进行制定； 提供了27001具体实施的指南。,27004：信息安全管理度量,66,旨在为组织提供一个如何通过使用度量、测量项以及合适的测量技术来评估其安全管理状态的指南。,27005：信息安全风险管理,67,目前处于委员会草案阶段； 它将主要以ISO/IEC 13335-2为基础进行制定； 描述了信息安全风险管理的过程及每个过程的详细内容。,（2）NIST SP800系列,68,NIST SP800系列,（3）ISO/IEC13335系列,69,ISO/IEC13335系列,（三）信息安全管理过程方法要求,1、信息安全管理过程方法的作用 2、信息安全管理过程方法的结构,70,1、信息安全管理过程方法的作用,71,过程方法要求（Methodological requirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。 按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。,2、信息安全管理过程方法的结构,72,（四）信息安全管理控制措施要求,1、信息安全管理控制措施的作用 2、信息安全管理控制措施的结构,73,1、信息安全管理控制措施的作用,74,安全控制要求（Security control requirements）：为组织选择满足自身信息安全环境要求的控制措施提供了一个最佳实践集。 组织应根据法律法规的约束、自身的业务和风险特征选择适用的控制措施。 当然组织也可以根据自身的特定要求对安全控制措施进行补充。,2、信息安全管理控制措施的结构,75,共有11个控制条款（方面） 每个条款包括许多主要的安全类。 每个安全类包括： 一个控制目标，声明要实现什么 一个或多个控制措施，可被用于实现该控制目标 每个控制措施 控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息,76,2、信息安全管理控制措施的结构示例,8、人员安全安全控制条款 8.1雇佣前安全类 确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。 安全类控制目标 8.1.1角色和职责安全控制措施 控制：是对该控制措施的定义 实施指南：是对实施该控制措施的指导性说明 其它信息：其它需要说明的补充信息,77,知识子域：过程方法与PDCA循环 理解ISMS过程和过程方法的含义 理解PDCA循环的特征和作用 知识子域：建立、运行、评审与改进ISMS 了解建立ISMS的主要工作内容 了解实施和运行ISMS的主要工作内容 了解监视和评审ISMS的主要工作内容 了解保持和改进ISMS的主要工作内容,知识域：信息安全管理体系建设,三、信息安全管理体系建设,（一）信息安全管理体系的规划和建立 （二）信息安全管理体系的实施和运行 （三）信息安全管理体系的监视和评审 （四）信息安全管理体系的保持和改进,78,（一）信息安全管理体系规划和建立,P1-定义ISMS范围 P2-定义ISMS方针 P3-确定风险评估方法 P4-分析和评估信息安全风险 P5-识别和评价风险处理的可选措施 P6-为处理风险选择控制目标和控制措施 P7-准备详细的适用性声明SoA,79,P1-定义ISMS范围,80,ISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS。 在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理。 在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域。,P2-定义ISMS方针,81,信息安全方针是组织的信息安全委员会或管理当局制定的一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规则和指示。 信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。 信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。,P3-确定风险评估方法,82,组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括： 业务环境 业务性质与业务重要性； 对支持组织业务活动的信息系统的依赖程度； 业务内容、支持系统、应用软件和服务的复杂性； 贸易伙伴、外部业务关系、合同数量的大小。 这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂。,P4-分析和评估信息安全风险,83,风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行鉴定。 确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。,P5-识别和评价风险处理的可选措施,84,根据风险评估的结果，在已有措施基础上从安全控制最佳集合中选择安全控制措施。,P6-为处理风险选择控制目标和控制措施,85,在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组织对业务目标、资产保护、投资预算的要求。 组织采用什么样的方法来评估安全需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种安全需求来驱动。,P7-准备详细的适用性声明SoA,86,在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明（SOA：Statement of Application）SOA中进行说明。 SOA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。 SOA的准备一方面是为了向组织内的员工声明对信息安全面对的风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统的审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接受的范围内。,（二）信息安全管理体系实施和运行,D1-开发风险处置计划 D2-实施风险处置计划 D3-实施安全控制措施 D4-实施安全教育培训 D5-管理ISMS的运行 D6-管理ISMS 的资源 D7-执行检测安全事件程序 D8-执行响应安全事故程序,87,信息安全风险处置的分类,88,根据风险评估的结果进行相关的风险处置： 降低风险：在考虑转移风险前，应首先考虑采取措施降低风险； 避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施等； 转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用； 接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。,信息安全管理体系试运行,体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。,89,（三）信息安全管理体系监视和评审,C1-执行ISMS监视程序 C2-执行ISMS评价程序 C3-定期执行ISMS评审 C4-测量控制措施的有效性 C5-验证安全要求是否被满足 C6-按计划进行风险评估 C7-评审可接受残余风险 C8-按计划进行内部审核 C9-按计划进行管理评审 C10-更新信息安全计划 C11-记录对ISMS有影响的行动和事件,90,常用的检查措施：,在检查阶段采集的信息应该可以用来测量信息安全管理体系，判断是否符合组织的安全方针和控制目标的有效性。常用的检查措施有： 日常检查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。 自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。 从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的办法。,91,常用的检查措施：,内部审核：在一个特定的常规审核时间内检查所有方面是否达到预想的效果。 管理评审：管理评审的目的是检查信息安全管理体系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次 趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的基础。,92,（四）信息安全管理体系保持和改进,A1-实施已识别的ISMS改进措施 A2-执行纠正性和预防性措施 A3-通知相关人员ISMS的变更 A4-从安全经验和教训中学习,93,A1-实施已识别的ISMS改进措施,94,为使信息安全管理体系持续有效，应以检查阶段采集的不符合项信息为基础，经常进行调整与改进。 不符合项指： 缺少或缺乏有效地实施和维护一个或多个信息安全管理体系的要求； 在有可观证据的基础上，引起对信息安全管理体系安全方针和组织安全目标能力的重大怀疑。,A2-执行纠正性和预防性措施,95,通过各种检查措施，发现了组织ISMS体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。 纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因、防止问题的再发生。 预防性措施：组织应对未来的不合适事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。,A3-通知相关人员ISMS的变更,96,按照内部审计和管理评审的输出结果对信息安全管理体系作持续性的改善，每次的改善会涉及到信息安全管理体系文件的变更，