2015版-CISP0301信息安全管理基础与管理体系_v3.0.ppt

信息安全管理基础与管理体系 培训机构名称讲师姓名 版本 3 0发布日期 2014 12 1生效日期 2015 1 1 课程内容 2 信息安全管理基础 知识体 知识域 信息安全管理方法与实施 知识子域 信息安全管理概述 知识域 信息安全管理概述 知识子域 信息安全管理基本概念理解管理 信息安全管理的概念 理解信息安全管理的对象理解以建立体系的方式实施信息安全管理的必要性理解体系 管理体系 信息安全管理体系的概念 3 信息安全管理的定义 信息信息安全管理信息安全管理 4 管理 信息安全管理 管理指挥和控制组织的协调的活动 ISO9000 2005质量管理体系基础和术语 管理者为了达到特定目的而对管理对象进行的计划 组织 指挥 协调和控制的一系列活动 信息安全管理管理者为实现信息安全目标 信息资产的CIA等特性 以及业务运作的持续 而进行的计划 组织 指挥 协调和控制的一系列活动 5 信息安全管理的对象 6 信息安全管理的对象 包括人员在内的各类信息相关资产 目标 组织 以建立体系的方式实施信息安全管理的必要性 7 信息安全的攻击和防护严重不对称 相对来说攻击成功很容易 防护成功却极为困难信息安全水平的高低遵循木桶原理 信息安全水平有多高 取决于防护最薄弱的环节 信息安全水平 被侵害的资产 防护措施 信息安全管理体系的定义 体系管理体系信息安全管理体系 8 信息安全管理体系的定义 体系 相互关联和相互作用的一组要素 ISO9000 2005质量管理体系基础和术语 管理体系 建立方针和目标并达到目标的体系 ISO9000 2005质量管理体系基础和术语 为达到组织目标的策略 程序 指南和相关资源的框架 ISO IEC27000 2009信息技术安全技术信息安全管理体系概述和术语 信息安全管理体系 ISMS InformationSecurityManagementSystem 整体管理体系的一部分 基于业务风险的方法 来建立 实施 运作 监视 评审 保持和改进信息安全 ISO IEC27000 2009信息技术安全技术信息安全管理体系概述和术语 建立信息安全方针和目标并达到这些目标的体系 为达到组织信息安全目标的策略 程序 指南和相关资源的框架 9 10 信息安全管理体系 包括的要素有 信息安全组织架构信息安全方针信息安全规划活动信息安全职责信息安全相关的实践 规程 过程和资源 这些要素既相互关联又相互作用 信息安全管理体系的构成要素 信息安全管理体系的特点 信息安全管理体系要求组织通过确定信息安全管理体系范围 制定信息安全方针 明确管理职责 以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系体系的建立基于系统 全面 科学的信息安全风险评估 体现以预防控制为主的思想 强调遵守国家有关信息安全的法律 法规及其他合同方面的要求强调全过程和动态控制 本着控制费用与风险平衡的原则合理选择安全控制方式 强调保护组织所拥有的关键性信息资产 而不是全部信息资产 确保信息的保密性 完整性和可用性 保持组织的竞争优势和业务的持续性 11 12 狭义的信息安全管理体系 指按照ISO27001标准定义的ISMS广义的信息安全管理体系 泛指任何一种有关信息安全的管理体系 狭义和广义的信息安全管理体系 知识域 信息安全管理概述 知识子域 信息安全管理作用理解信息安全管理的重要作用理解信息安全管理体系的作用理解实施信息安全管理的关键成功因素 13 信息安全管理的作用 14 一 信息安全管理是组织整体管理的重要 固有组成部分 是组织实现其业务目标的重要保障 15 信息系统是人机交互系统 设备的有效利用是人为的管理过程 信息安全管理的作用 应对风险需要人为的管理过程 信息安全管理的作用 如今 信息安全问题已经成为组织业务正常运营和持续发展的最大威胁信息安全问题本质上是人的问题 单凭技术是无法实现从 最大威胁 到 最可靠防线 转变的实现信息安全是一个多层面 多因素的过程 也取决于制定信息安全方针策略标准规范 建立有效的监督审计机制等多方面非技术性努力如果组织想当然地制定一些控制措施和引入某些技术产品 难免存在挂一漏万 顾此失彼的问题 使信息安全这只 木桶 出现若干 短板 从而无法提高信息安全水平 16 信息安全管理的作用 信息安全管理 是组织完整的管理体系中一个重要的环节 它构成了信息安全具有能动性的部分理解并重视管理对于信息安全的关键作用 制定适宜的 易于理解 方便操作的安全策略对实现信息安全目标 进而实现业务目标至关重要组织建立一个管理框架 让好的安全策略在这个框架内实施 并不断得到修正 才可能为业务的正常持续运作提供可靠的信息安全保障 17 信息安全管理的作用 18 二 信息安全管理是信息安全技术的融合剂 保障各项技术措施能够发挥作用 信息安全管理的作用 19 如果你把钥匙落在锁眼上会怎样 技术措施需要配合正确的使用才能发挥作用 保险柜就一定安全吗 20 WO 3G 精心设计的网络防御体系 因违规外连形同虚设 防火墙能解决这样的问题吗 信息安全管理的作用 解决信息安全问题 成败通常取决于两个因素 一个是技术 另一个是管理安全技术是信息安全控制的重要手段 但光有安全技术还不行 要让安全技术发挥应有的作用 必然要有适当的管理程序 否则 安全技术只能趋于僵化和失败说安全技术是信息安全的构筑材料 信息安全管理就是粘合剂和催化剂技术和产品是基础 管理才是关键产品和技术 要通过管理的组织职能才能发挥最佳作用 信息安全管理的作用 21 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面 信息安全的长期性和稳定性才能有所保证根本上说 信息安全是个管理过程 而不是技术过程 信息安全管理的作用 人们常说 三分技术 七分管理 可见管理对信息安全的重要性 22 信息安全 技管并重 的原则 对于信息安全 到底是技术更重要 还是管理更重要 强调信息安全管理 并不是要削弱信息安全技术的作用 开展信息安全管理要处理好管理和技术的关系技管并重 坚持管理与技术并重 是我国加强信息安全保障工作的主要原则之一 23 信息安全管理的作用 24 三 信息安全管理能预防 阻止或减少信息安全事件的发生 信息安全管理的作用 统计结果显示 在所有信息安全事故中 只有20 30 是由于黑客入侵或其他外部原因造成的 70 80 是由于内部员工的疏忽或有意泄密造成的统计结果表明 现实世界里大多数安全事件的发生和安全隐患的存在 与其说是技术原因 不如说是管理不善造成的因此 防止发生信息安全事件不应仅从技术着手 同时更应加强信息安全管理 25 安全不是产品的简单堆积 也不是一次性的静态过程 它是人员 技术 操作三者紧密结合的系统工程 是不断演进 循环发展的动态过程 对信息安全的正确理解 26 信息安全管理体系的作用 对内 能够保护关键信息资产和知识产权 维持竞争优势在系统受侵袭时 确保业务持续开展并将损失降到最低程度建立起信息安全审计框架 实施监督检查建立起文档化的信息安全管理规范 实现有 法 可依 有章可循 有据可查强化员工的信息安全意识 建立良好的安全作业习惯 培育组织的信息安全企业文化按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制 用最低的成本 达到可接受的信息安全水平 从根本上保证业务的持续性 27 信息安全管理体系的作用 对外 能够使各利益相关方对组织充满信心能够帮助界定外包时双方的信息安全责任可以使组织更好地满足客户或其他组织的审计要求可以使组织更好地符合法律法规的要求若通过了ISO27001认证 能够提高组织的公信度可以明确要求供应商提高信息安全水平 保证数据交换中的信息安全 28 实施信息安全管理的关键成功因素 CSF 组织的信息安全方针和活动能够反映组织的业务目标组织实施信息安全的方法和框架与组织的文化相一致管理者能够给予信息安全实质性的 可见的支持和承诺管理者对信息安全需求 信息安全风险 风险评估及风险管理有深入理解向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识向全员和其他相关方分发并宣贯信息安全方针 策略和标准管理者为信息安全建设提供足够的资金向全员提供适当的信息安全培训和教育建立有效的信息安全事件管理过程建立有效的信息安全测量体系 29 知识域 信息安全管理方法与实施 知识子域 信息安全管理方法理解风险管理是信息安全管理的基本方法 理解风险评估是信息安全管理的基础 风险处理是信息安全管理的核心 理解控制措施是管理风险的具体手段理解过程方法是信息安全管理的基本方法 理解过程和过程方法的含义 理解PDCA模型 30 风险评估是信息安全管理的基础 风险评估主要对ISMS范围内的信息资产进行鉴定和估价 然后对信息资产面对的各种威胁和脆弱性进行评估 同时对已存在的或规划的安全控制措施进行界定信息安全管理体系的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理体系建立的基础 没有风险评估 信息安全管理体系的建立就没有依据 31 风险处理是信息安全管理的核心 风险处理是对风险评估活动识别出的风险进行决策 采取适当的控制措施处理不能接受的风险 将风险控制在可按受的范围风险评估活动只能揭示组织面临的风险 不能改变风险状况只有通过风险处理活动 组织的信息安全能力才会提升 信息安全需求才能被满足 才能实现其信息安全目标信息安全管理的核心就是这些风险处理措施的集合 32 风险管理是信息安全管理的根本方法 33 应对风险评估的结果进行相应的风险处理 本质上 风险处理的最佳集合就是信息安全管理体系的控制措施集合梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程周期性的风险评估与风险处理活动即形成对风险的动态管理动态的风险管理是进行信息安全管理 实现信息安全目标 维持信息安全水平的根本方法 控制措施是管理风险的具体手段 34 管理风险的具体手段是控制措施风险处理时 需要选择并确定适当的控制目标和控制措施 只有落实适当的控制措施 那些不可接受的高风险才能降低到可以接受的水平之内 控制措施的类别 35 从手段来看 可以分为技术性 管理性 物理性 法律性等控制措施从功能来看 可以分为预防性 检测性 纠正性 威慑性等控制措施从影响范围来看 常被分为安全方针 信息安全组织 资产管理 人力资源安全 物理和环境安全 通信和操作管理 访问控制 信息系统获取开发和维护 信息安全事件管理 业务连续性管理和符合性11个类别 域 过程process一组将输入转化为输出的相互关联或相互作用的活动 ISO IEC27000 2009 ISO9000 2005 过程方法processapproach一个组织内诸过程的系统的运用 连同这些过程的识别和相互作用及其管理 可称之为 过程方法 ISO IEC27001 2005 系统地识别和管理组织所应用的过程 特别是这些过程之间的相互作用 称为 过程方法 ISO9000 2005 过程 过程方法的概念 36 过程方法示意图 过程方法 37 过程的分解 过程和子过程的每一个方面都是受控的 过程的输出才是有保障的 输出 责任人 输入 38 A 规划 实施 检查 处置 P D C PDCA循环 39 PDCA循环 40 PDCA也称 戴明环 由美国质量管理专家戴明提出P Plan 计划 确定方针和目标 确定活动计划D Do 实施 实际去做 实现计划中的内容C Check 检查 总结执行计划的结果 注意效果 找出问题A Act 行动 对总结检查的结果进行处理 成功地经验加以肯定并适当推广 标准化 失败的教训加以总结 以免重现 未解决的问题放到下一个PDCA循环 41 特点一 按顺序进行 它靠组织的力量来推动 像车轮一样向前进 周而复始 不断循环 特点二 组织中的每个部分 甚至个人 均可以PDCA循环 大环套小环 一层一层地解决问题 特点三 每通过一次PDCA循环 都要进行总结 提出新目标 再进行第二次PDCA循环 PDCA循环的特征与作用 PDCA循环 能够提供一种优秀的过程方法 以实现持续改进遵循PDCA循环 能使任何一项活动都有效地进行 PDCA循环的作用 42 知识域 信息安全管理方法与实施 知识子域 信息安全管理实施理解建设信息安全管理体系是系统地实施信息安全管理的一种方法理解建设信息安全等级保护是系统地实施信息安全管理的一种方法了解基于NISTSP800进行信息安全建设是实施信息安全管理的一种方法 43 ISMS是一种常见的对组织信息安全进行全面 系统管理的方法ISMS是由ISO27001定义的一种有关信息安全的管理体系 是一种典型的基于风险管理和过程方法的管理体系周期性的风险评估 内部审核 有效性测量 管理评审 是ISMS规定的四个必要活动 能确保ISMS进入良性循环 持续自我改进 信息安全管理体系 44 信息安全管理体系持续改进的PDCA循环过程 45 信息安全管理体系是PDCA动态持续改进的一个循环体 输入 相关方 信息安全要求和期望 相关方 受控的信息安全 输出 45 ISMS的核心内容可以概括为4句话规定你应该做什么并形成文件 Plan做文件已规定的事情 Do评审你所做的事情的符合性 Check采取纠正和预防措施 持续改进 Act 用PDCA来理解什么是信息安全管理体系 46 47 ISO IEC27000标准族 27000 27003 27004 27008 27000信息安全管理体系概述和术语27001信息安全管理体系要求27002信息安全控制措施实用规则27003信息安全管理体系实施指南 27004信息安全管理测量27005信息安全风险管理27006提供信息安全管理体系审核和认证机构的要求27007信息安全管理体系审核指南27008信息安全管理体系控制措施审核员指南 信息安全管理体系基本原理和词汇 ISO27000标准族日益完善 已经开发和计划开发的标准有60余项 信息安全等级保护也是一种常见的对组织的信息安全进行全面 系统管理的实施方法依据 计算机信息系统安全保护条例 对信息安全进行全面管理的一套机制将信息系统按照重要性和受破坏危害程度分成五个安全保护等级 不同保护等级的系统分别给予不同级别的保护系统定级 安全建设 整改 自查 等级测评 系统备案和监督检查是信息安全等级保护的六个规定活动 信息安全等级保护 48 参照NISTSP800进行建设也是一种常见的对组织的信息安全进行全面 系统管理的实施方法NISTSP800是由美国国家标准与技术研究院发布的一系列特别出版物 SpecialPublications SP 是关于计算机安全的指南文档美国 联邦信息安全管理法案 FederalInformationSecurityManagementAct FISMA 专门指定NIST负责开展信息安全标准 指导方针的制定 NISTSP800规范 49 SP800 37描述了此系列规范遵从的风险管理框架 NISTSP800规范 50 SP800 37给出了递升的风险管理方法 NISTSP800规范 51 三种典型信息安全管理实施方法的区别和联系 52 课程内容 53 知识体 知识域 知识子域 信息安全管理体系 信息安全管理体系建设 信息安全管理体系基础 信息安全控制措施 知识域 信息安全管理体系基础 知识子域 管理职责理解管理者履行管理职责对成功实施信息安全管理体系 ISMS 的重要推动作用掌握实施ISMS过程中管理者应承担的管理职责的主要内容 54 管理者履行管理职责的重要作用 管理层切实履行相应的管理职责是ISMS能够成功实施的最关键因素 会对ISMS建设产生推动作用管理者提供足够的资源是对ISMS建设实质性的支持 55 主要管理职责 承担并履行职责制定并颁布信息安全方针确保ISMS目标和相应的计划得以制定建立信息安全的角色和职责向组织传达满足信息安全目标 符合信息安全方针 履行法律责任和持续改进的重要性决定风险可接受级别和风险可接受准则确保ISMS内部审核的执行实施ISMS的管理评审提供足够资源资金能胜任相关工作的人员 通过提供培训 教育 56 知识域 信息安全管理体系基础 知识子域 文档控制理解文档化对实施ISMS的重要性理解风险评估结果是编制ISMS文件的依据了解对ISMS文件和记录进行保护和控制的常规措施 57 文档化对实施ISMS的重要性 文档包括文件 如方针 策略 标准 指南等 和记录文件是ISMS的一个关键要素 是组织内部的 法 也是ISMS审核的依据记录是文件执行情况的客观证据 为各项控制措施是否有效实施 ISMS是否有效运行提供客观证据层次化的文档是ISMS建设的直接体现 也是ISMS建设的成果之一应对文件和记录进行控制 58 文件编制依据 风险评估的结果是文件编制的直接依据有风险的地方才需要管理和控制依据风险评估结果编制的文件体系才是最适合的 最需要的 59 易于管理和维护的ISMS层次化文档结构 一级文件 方针性文件二级文件 信息安全管控程序 管理规定性文件三级文件 操作指南 作业指导书类四级文件 体系运行的各种记录 下级文件应支持上级文件 60 文件控制 文件在发布以前 应得到相应级别管理层的批准定期评审 更新并再次得到批准 当发生重大变化或重大信息安全事件时应及时评审和修订对文件的修订和修订状态 版本进行标识 确保员工使用文件的最新版本标明每份文件的密级和分发范围 61 记录控制 明确记录的保存环境要求明确保存期限要求明确访问控制要求明确检索要求 比如 支持按特定条件进行查询和统计 62 知识域 信息安全管理体系基础 知识子域 内部审核和管理评审了解内部审核的概念 以及内部审核的目的 实施主体 实施方式 审核准则了解管理评审的概念 以及管理评审的目的 实施主体 实施对象 实施方式 63 内部审核 是用于内部目的 由组织自己或以组织的名义所进行的审核也称第一方审核是ISMS能够持续改进的重要动力之一组织应按照既定的周期实施ISMS内部审核 64 内部审核 目的确定ISMS的控制目标 控制措施是否符合相关标准和法律法规以及合同条款的要求确定各项控制措施是否得到有效的实施和保持确定员工的业务行为是否符合组织ISMS文件所规定的要求实施主体ISMS内审小组实施方式文件审核 现场审核审核准则相关标准 法规法规 合同条款 ISMS文件 65 管理评审 为实现已建立的目标 而进行的确定管理体系的适宜性 充分性和有效性的活动也是ISMS能够持续改进的重要动力之一组织应按照既定的周期实施ISMS管理评审 66 管理评审 目的确保组织的ISMS持续具备适宜性 充分性和有效性实施主体组织的高级管理层实施对象ISMS文件体系 各种管理评审输入材料实施方式最常见的是召开管理评审会议 由组织的高级管理层亲自主导实施 67 知识域 信息安全管理体系基础 知识子域 信息安全管理体系认证了解ISMS认证的概念理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力 68 ISMS认证 ISMS认证 是由ISMS认证机构依据ISO IEC27001对申请组织的ISMS进行审核 并向通过审核的申请组织颁发ISMS认证证书的活动认证机构是指那些从事对产品 服务 过程 体系或人员是否符合规定要求实施认证活动的合格评定机构ISMS认证是证明一个组织的信息安全水平达到并满足ISMS国际 国家标准要求的有效途径ISMS认证活动 能从第三方客观公正的角度 发现ISMS存在的不足和问题 是促进ISMS持续改进的一种外部驱动力 69 ISMS认证 ISMS认证通常包含一组审核 包括初次认证审核 年度监督审核和复审ISMS认证证书有效期一般为三年 颁发认证证书后的第一 第二年需要进行年度监督审核 第三年进行复审 复审通过后重新颁发认证证书 70 知识域 信息安全管理体系建设 知识子域 规划与建立ISMS理解定义ISMS范围和边界 实施风险评估 获得管理者对残余风险的批准等规划与建立ISMS的主要工作内容 71 采用过程方法来建立和管理ISMS 72 ISO27001要求采用过程方法来建立 实施和运行 监视和评审 保持和改进组织的ISMS按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了ISMS的有效性 在过程上的这些要求是不可或缺的 也就是说不是可选的 是必须执行的 ISMS应用过程方法的结构 73 规划与建立ISMS P1 定义ISMS范围和边界P2 制定ISMS方针P3 确定风险评估方法P4 实施风险评估P5 选择 评价和确定风险处理方式 处理目标和处理措施P6 获得管理者对建议的残余风险的批准P7 获得管理者对实施和运行ISMS的授权P8 编制适用性声明 SoA 74 P1 定义ISMS范围和边界 75 ISMS的范围就是需要重点进行信息安全管理的领域 组织需要根据自己的实际情况 在整个组织范围内 个别部门或领域构建ISMS在定义ISMS范围时 应重点考虑组织现有的部门 信息资产的分布状况 核心业务的流程区域以及信息技术的应用区域在本阶段 应将组织划分成不同的信息安全控制领域 以易于组织对有不同需求的领域进行适当的信息安全管理 P2 制定ISMS方针 76 信息安全方针是组织的管理层制定的一个高层文件 用于指导组织如何对资产进行管理 保护和分配的规则和指示信息安全方针应当阐明管理层的承诺 提出组织管理信息安全的方法 并由管理层批准 采用适当的方法将方针传达给每一个员工信息安全方针应当简明 扼要 便于理解 至少包括目标 范围 意图 法规的遵从性和管理的责任等内容 P3 确定风险评估方法 77 识别并确定适合ISMS的风险评估方法 确保风险评估产生可比较的和可再现的结果组织可采取不同风险评估法方法 一个方法是否适合于特定组织 有很多影响因素 包括 业务环境业务性质与业务重要性对支持组织业务活动的信息系统的依赖程度业务内容 支持系统 应用软件和服务的复杂性贸易伙伴 外部业务关系 合同数量的大小这些因素对风险评估方法的选择都很重要 不仅风险评估要考虑成本与效益的权衡 不出现过度安全 风险评估自身也要考虑成本与效益的权衡 不出现过度复杂制定接受风险的准则 识别可接受的风险级别 P4 实施风险评估 78 风险评估准备风险要素识别识别ISMS范围内的资产及其责任人 1 识别资产所面临的威胁识别可能被威胁利用的脆弱点识别已有的控制措施风险分析分析事件发生的可能性分析事件造成的影响实施风险计算风险结果判定评估风险的等级综合评估风险状况 1 术语 责任人 标识了已经获得批准 负有控制资产的产生 开发 维护 使用和保证资产的安全的管理职责的个人或实体 术语 责任人 不是指该人员实际上对资产拥有所有权 P5 选择 评价和确定风险处理方式 处理目标和处理措施 79 常用的处理方式包括 采用适当的控制措施 降低风险 在明显满足组织方针策略和接受风险的准则的条件下 有意识地 客观地接受风险避免风险将相关业务风险转移到其他方 如 保险 供应商等 转移风险 风险处理方式及决策原则 80 降低风险 在考虑转移风险前 应首先考虑采取措施降低风险避免风险 有些风险容易避免 例如采用不同的技术 更改操作流程 采用简单的技术措施等转移风险 通常只有当风险不能被降低风险和避免 且被第三方接受时才采用接受风险 用于那些在采取了降低风险和避免风险措施后 出于实际和经济方面的原因 只要组织进行运营 就必然存在并必须接受的风险 为处理风险选择控制目标和控制措施 81 选择控制目标和控制措施应考虑接受风险的准则以及法律法规和合同要求将ISO27001附录A作为选择控制措施的出发点 以确保不会遗漏重要的可选控制措施组织也可能需要制定ISO27001附录A以外的控制目标和控制措施提示 在选择控制目标和控制措施时 并没有一套标准与通用的办法 选择的过程往往不是很直接 可能要涉及一系列的讨论 咨询和决策过程 P6 获得管理者对建议的残余风险的批准 82 获得管理层接受风险评估团队所建议的残余风险的确认是风险评估活动中的一个重要过程管理层确认接受残余风险 是对风险评估工作的一种肯定 表示管理层已经全面了解了组织所面临的风险 并理解在风险一旦变为现实后 组织能够且必须承担引发的后果如果一个组织所建立的ISMS要寻求认证 认证机构将寻求管理层确认接受残余风险的书面证据 P7 获得管理者对实施和运行ISMS的授权 83 必须获得管理者对实施和运行ISMS的授权 没有授权 实施和运行ISMS的相关活动就很难推进实施和运行ISMS 需要大量的资源 人力 资金等 没有管理层的授权 就很难申请并获得这些资源 P8 编制适用性声明 SoA 84 所选择的控制目标和措施以及被选择的原因应在适用性声明 StatementofApplicability SoA 中进行说明SoA是适合组织需要的控制目标和控制的评论 需要提交给管理者 职员 具有访问权限的第三方相关认证机构编制SoA一方面是为了向组织内的员工声明对在面临的信息安全风险的态度 更大程度上则是为了向外界表明组织的态度和作为 以表明组织已经全面 系统地审视了组织的信息安全系统 并将所有需要控制的风险控制在能被接受的范围内 知识域 信息安全管理体系建设 知识子域 实施和运行ISMS理解实施风险处理计划 开发有效性测量程序 管理ISMS的运行等实施和运行ISMS的主要工作内容 85 实施和运行ISMS D1 制定风险处理计划D2 实施风险处理计划D3 开发有效性测量程序D4 实施培训和意识教育计划D5 管理ISMS的运行D6 管理ISMS的资源D7 执行检测事态和响应事件的程序 86 D3 开发有效性测量程序 ISMS运行及控制措施是否有效 要有测量方法和途径 以便制定改进措施加以改进开发一份有效性测量程序 明确需要设立的测量项目 以及每一测量项目的度量标准 要求达到的指标 测量方式 测量周期 测量执行人有效性测量程序本身 应做为ISMS文件加以管理和控制 87 D5 管理ISMS的运行 批准并发布ISMS文件宣贯和解释ISMS文件要求ISMS试运行期间的管理宣布ISMS正式运行 88 ISMS试运行 ISMS运行初期处于磨合期 一般称为试运行期试运行期的目的是要在实践中检验ISMS的充分性 适用性和有效性此期间 宜加强运作力度 通过实施ISMS文件 充分发挥ISMS本身的各项功能 及时发现ISMS本身存在的问题 找出问题的根源 采取纠正措施 并按照文件控制程序要求更改体系文件 以达到进一步完善ISMS的目的 89 知识域 信息安全管理体系建设 知识子域 监视和评审ISMS理解进行有效性测量 实施内部审核 实施管理评审等监视和评审ISMS的主要工作内容 90 监视和评审ISMS C1 日常监视和检查C2 进行有效性测量