08-CISP0301信息安全管理基础与管理体系(知识点标注)-v3.0

1、信息安全管理基础与管理体系信息安全管理基础与管理体系课程内容课程内容2信息安全信息安全管理基础管理基础知识体知识域信息安全管理信息安全管理方法与实施方法与实施知识子域信息安全管理方法信息安全管理方法信息安全管理作用信息安全管理作用信息安全管理基本概念信息安全管理基本概念信息安全管理实施信息安全管理实施信息安全管理信息安全管理概述概述2知识域：信息安全管理概述知识域：信息安全管理概述知识子域：知识子域： 信息安全管理基本概念信息安全管理基本概念v 理解管理、信息安全管理的概念，理解信息安全管理的对象v 理解以建立体系的方式实施信息安全管理的必要性v 理解体系、管理体系、信息安全管理体系的概念3信

2、息安全管理的定义信息安全管理的定义v信息信息v信息安全信息安全v管理管理v信息安全管理信息安全管理4管理、信息安全管理管理、信息安全管理v 管理管理指挥和控制组织的协调的活动。（- ISO9000:2005 质量管理体系 基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。v 信息安全管理信息安全管理管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动。5信息安全管理的对象信息安全管理的对象6n信息安全管理的对象：包括人员在内的各类信息相关资产。 规则 人员目标组织以建立体系的方式实施信

3、息安全管以建立体系的方式实施信息安全管理的必要性理的必要性7n信息安全的攻击和防护严重不对称，相对来说攻击成功很容易，防护成功却极为困难n信息安全水平的高低遵循木桶原理：信息安全水平有多高，取决于防护最薄弱的环节信息安全水平被侵害的资产防护措施信息安全管理体系的定义信息安全管理体系的定义v体系体系v管理体系管理体系v信息安全管理体系信息安全管理体系8信息安全管理体系的定义信息安全管理体系的定义v 体系体系：相互关联和相互作用的一组要素。 （- ISO9000:2005 质量管理体系 基础和术语）v 管理体系管理体系：建立方针和目标并达到目标的体系。 （- ISO9000:2005 质量管理体系

4、 基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。 （- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）v 信息安全管理体系信息安全管理体系 (ISMS：Information Security Management System) ：整体管理体系的一部分，基于业务风险的方法，来建立、实施、运作、监视、评审、保持和改进信息安全。 （- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语）建立信息安全方针和目标并达到这些目标的体系。为达到组织信息安全目标的策略、程序、指南和相关资源的框架。910v 信息安

5、全管理体系，包括的要素有： 信息安全组织架构 信息安全方针 信息安全规划活动 信息安全职责 信息安全相关的实践、规程、过程和资源 . .v 这些要素既相互关联又相互作用信息安全管理体系的构成要素信息安全管理体系的构成要素信息安全管理体系的特点信息安全管理体系的特点v 信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系v 体系的建立基于系统、全面、科学的信息安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求v 强调全过程和动态控制，本着控制费用与风

6、险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性1112v 狭义的信息安全管理体系狭义的信息安全管理体系：指按照ISO27001标准定义的ISMSv 广义的信息安全管理体系广义的信息安全管理体系：泛指任何一种有关信息安全的管理体系狭义和广义的信息安全管理体系狭义和广义的信息安全管理体系知识域：信息安全管理概述知识域：信息安全管理概述知识子域：知识子域： 信息安全管理作用信息安全管理作用v 理解信息安全管理的重要作用v 理解信息安全管理体系的作用v 理解实施信息安全管理的关键成功因素13信

7、息安全管理的作用信息安全管理的作用14n （一）信息安全管理是组织整体管理（一）信息安全管理是组织整体管理的重要、固有组成部分，是组织实现的重要、固有组成部分，是组织实现其业务目标的重要保障其业务目标的重要保障15信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的作用信息安全管理的作用应对风险需要人为的管理过程信息安全管理的作用信息安全管理的作用v 如今，信息安全问题已经成为组织业务正常运营和持续发展的最大威胁v 信息安全问题本质上是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的v 实现信息安全是一个多层面、多因素的过程，也取决于制定信息安全方针策略标准规范、

8、建立有效的监督审计机制等多方面非技术性努力v 如果组织想当然地制定一些控制措施和引入某些技术产品，难免存在挂一漏万、顾此失彼的问题，使信息安全这只“木桶”出现若干“短板”，从而无法提高信息安全水平16信息安全管理的作用信息安全管理的作用v 信息安全管理，是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分具有能动性的部分v理解并重视管理对于信息安全的关键作用，制定适宜的、易于理解、方便操作的安全策略对实现信息安全目标、进而实现业务目标至关重要v组织建立一个管理框架，让好的安全策略在这个框架内实施，并不断得到修正，才可能为业务的正常持续运作提供可靠的信息安全保障17信息安全管理

9、的作用信息安全管理的作用18n （二）信息安全管理是信息安全技术（二）信息安全管理是信息安全技术的融合剂，保障各项技术措施能够发的融合剂，保障各项技术措施能够发挥作用挥作用信息安全管理的作用信息安全管理的作用19v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗保险柜就一定安全吗？20精心设计的网络精心设计的网络防御体系，因违防御体系，因违规外连形同虚设规外连形同虚设防火墙能解决这样的问题吗？防火墙能解决这样的问题吗？信息安全管理的作用信息安全管理的作用v解决信息安全问题，成败通常取决于两个因素，一个是技术，另一个是管理v安全技术是信息安全控制的重要手段

10、，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序，否则，安全技术只能趋于僵化和失败v说安全技术是信息安全的构筑材料，信息安全管理就是粘合剂和催化剂v技术和产品是基础，管理才是关键v产品和技术，要通过管理的组织职能才能发挥最佳作用信息安全管理的作用信息安全管理的作用21v技术不高但管理良好的系统远比技术高超但管理混乱的系统安全v只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证v根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用信息安全管理的作用3分技术分技术7分管理分管理？v人们常说，三分技术，七分管理，可见管

11、理对信息安全的重要性 2222信息安全信息安全“技管并重技管并重”的原则的原则v对于信息安全，到底是技术更重要，还是管理更重要？v强调信息安全管理，并不是要削弱信息安全技术的作用，开展信息安全管理要处理好管理和技术的关系v技管并重。“坚持管理与技术并重坚持管理与技术并重”是我国加强信息安全是我国加强信息安全保障工作的主要原则之一保障工作的主要原则之一2323信息安全管理的作用信息安全管理的作用24n （三）信息安全管理能预防、阻止或（三）信息安全管理能预防、阻止或减少信息安全事件的发生减少信息安全事件的发生24信息安全管理的作用信息安全管理的作用v统计结果显示，在所有信息安全事故中，只有20%

12、30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的v统计结果表明，现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术原因，不如说是管理不善造成的v因此，防止发生信息安全事件不应仅从技术着手，同时更应加强信息安全管理25安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程。对信息安全的正确理解对信息安全的正确理解2626信息安全管理体系的作用信息安全管理体系的作用对内：v能够保护关键信息资产和知识产权，维持竞争优势v在系统受侵袭时，确保业务持续开展并将损失降到最低程度v建立起信

13、息安全审计框架，实施监督检查v建立起文档化的信息安全管理规范，实现有“法”可依，有章可循，有据可查v强化员工的信息安全意识，建立良好的安全作业习惯，培育组织的信息安全企业文化v按照风险管理的思想建立起自我持续改进和发展的信息安全管理机制，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的持续性27信息安全管理体系的作用信息安全管理体系的作用对外：v能够使各利益相关方对组织充满信心v能够帮助界定外包时双方的信息安全责任v可以使组织更好地满足客户或其他组织的审计要求v可以使组织更好地符合法律法规的要求v若通过了ISO27001认证，能够提高组织的公信度v可以明确要求供应商提高信息安全水平，

14、保证数据交换中的信息安全2828实施信息安全管理的关键成功因素实施信息安全管理的关键成功因素(CSF)(CSF)v 组织的信息安全方针和活动能够反映组织的业务目标v 组织实施信息安全的方法和框架与组织的文化相一致v 管理者能够给予信息安全实质性的、可见的支持和承诺v 管理者对信息安全需求、信息安全风险、风险评估及风险管理有深入理解v 向全员和其他相关方提供有效的信息安全宣传以提升信息安全意识v 向全员和其他相关方分发并宣贯信息安全方针、策略和标准v 管理者为信息安全建设提供足够的资金v 向全员提供适当的信息安全培训和教育v 建立有效的信息安全事件管理过程v 建立有效的信息安全测量体系2929知

15、识域：信息安全管理方法与实施知识域：信息安全管理方法与实施知识子域：知识子域： 信息安全管理方法信息安全管理方法v 理解风险管理是信息安全管理的基本方法，理解风险评估是信息安全管理的基础，风险处理是信息安全管理的核心，理解控制措施是管理风险的具体手段v 理解过程方法是信息安全管理的基本方法，理解过程和过程方法的含义，理解PDCA模型30风险评估是信息安全管理的基础风险评估是信息安全管理的基础v风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定v信息安全管理体系的建立需要确定信息安全需求v信息安全需求获取

16、的主要手段就是安全风险评估v信息安全风险评估是信息安全管理体系建立的基础，没有风险评估，信息安全管理体系的建立就没有依据31风险处理是信息安全管理的核心风险处理是信息安全管理的核心v风险处理是对风险评估活动识别出的风险进行决策，采取适当的控制措施处理不能接受的风险，将风险控制在可按受的范围v风险评估活动只能揭示组织面临的风险，不能改变风险状况v只有通过风险处理活动，组织的信息安全能力才会提升，信息安全需求才能被满足，才能实现其信息安全目标v信息安全管理的核心就是这些风险处理措施的集合3232风险管理是信息安全管理的根本方法风险管理是信息安全管理的根本方法33v应对风险评估的结果进行相应的风险处

17、理。本质上，风险处理的最佳集合就是信息安全管理体系的控制措施集合v梳理出这些风险控制措施集合的过程也就是信息安全管理体系的建立过程v周期性的风险评估与风险处理活动即形成对风险的动态管理v动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法33控制措施是管理风险的具体手段控制措施是管理风险的具体手段34v管理风险的具体手段是控制措施v风险处理时，需要选择并确定适当的控制目标和控制措施。只有落实适当的控制措施，那些不可接受的高风险才能降低到可以接受的水平之内34控制措施的类别控制措施的类别35v从手段来看从手段来看，可以分为技术性、管理性、物理性技术性、管理性、物理性、法

18、律性、法律性等控制措施。v从功能来看从功能来看，可以分为预防性、检测性、纠正性预防性、检测性、纠正性、威慑性、威慑性等控制措施。v从影响范围来看从影响范围来看，常被分为安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个类别/域35n过程过程 process 一组将输入转化为输出的相互关联或相互作用的活动。( - ISO/IEC 27000:2009、ISO 9000:2005 )n过程方法过程方法 process approach一个组织内诸过程的系统的运用，连同这些过程的识别和相互作

19、用及其管理，可称之为“过程方法”。( - ISO/IEC 27001:2005)系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称为“过程方法” 。 ( - ISO 9000:2005) 过程、过程方法的概念过程、过程方法的概念3636过程方法示意图活动活动测量、改进测量、改进责任人责任人资资 源源记记 录录输入输入输出输出过程方法过程方法37信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工

20、具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营信息输入信息输出信息记录资源 人 环境 设备 工具 通信 其他立法规定客户集团 政治 标准 程序摘要收据客户销售发票 等等变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营活动活动测量、改进资源资源记录记录过程的分解过程的分解v过程和子过程的每一个方

21、面都是受控的，过程的输出才是有保障的过程和子过程的每一个方面都是受控的，过程的输出才是有保障的输出输出责任人责任人输入输入38A规划实施检查处置PDCPDCAPDCA循环循环39PDCAPDCA循环循环40PDCAPDCA也称也称“戴明环戴明环”，由美国质量管理专家戴明提出，由美国质量管理专家戴明提出vP P（PlanPlan）：）：计划，确定方针和目标，确定活动计划vD D（DoDo）：）：实施，实际去做，实现计划中的内容vC C（CheckCheck）：）：检查，总结执行计划的结果，注意效果，找出问题vA A（ActAct）：）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广

22、、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环41v特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环 9090处置处置实施实施规划规划检查检查C CA AD DP Pv特点二： 组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP Pv特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次PDCA 循环90909090处置处置实施实施规划规划检查检查C CA AD DP P达到新

23、的水平达到新的水平改进改进( (修订标准修订标准) )维持原有水平维持原有水平90909090处置处置实施实施规划规划检查检查C CA AD DP PPDCAPDCA循环的特征与作用循环的特征与作用vPDCA循环，能够提供一种优秀的过程方法，循环，能够提供一种优秀的过程方法，以实现持续改进以实现持续改进v遵循遵循PDCA循环，循环，能使任何一项活动都有效地能使任何一项活动都有效地进行进行PDCAPDCA循环的作用循环的作用42知识域：信息安全管理方法与实施知识域：信息安全管理方法与实施知识子域：知识子域： 信息安全管理实施信息安全管理实施v 理解建设信息安全管理体系是系统地实施信息安全管理的一

24、种方法v 理解建设信息安全等级保护是系统地实施信息安全管理的一种方法v 了解基于NIST SP 800进行信息安全建设是实施信息安全管理的一种方法43vISMS是一种常见的对组织信息安全进行全面、系统是一种常见的对组织信息安全进行全面、系统管理的方法管理的方法vISMS是由是由ISO27001定义的一种有关信息安全的管定义的一种有关信息安全的管理体系，是一种典型的基于风险管理和过程方法的理体系，是一种典型的基于风险管理和过程方法的管理体系管理体系v周期性的风险评估、内部审核、有效性测量、管理周期性的风险评估、内部审核、有效性测量、管理评审，是评审，是ISMS规定的四个必要活动，能确保规定的四个

25、必要活动，能确保ISMS进入良性循环、持续自我改进进入良性循环、持续自我改进信息安全管理体系信息安全管理体系44信息安全管理体系持续改进的信息安全管理体系持续改进的PDCAPDCA循环过程循环过程45v 信息安全管理体系是PDCA动态持续改进的一个循环体规划和建立规划和建立实施和实施和运行运行监视和评监视和评审审保持和保持和改进改进输入相关方信息安全要求和期望相关方受控的信息安全输出4545vISMSISMS的核心内容可以概括的核心内容可以概括为为4 4句话句话 1.规定你应该做什么并形成文件规定你应该做什么并形成文件：Plan2.做文件已规定的事情做文件已规定的事情：Do3.评审你所做的事情

26、的符合性评审你所做的事情的符合性：Check4.采取纠正和预防措施，持续改进采取纠正和预防措施，持续改进：Act用用PDCAPDCA来理解什么是信息安全管理体系来理解什么是信息安全管理体系464647ISO/IEC 27000ISO/IEC 27000标准族标准族27000270032700427008 27000信息安全管理体系信息安全管理体系概述和术语概述和术语 27001信息安全管理体系信息安全管理体系要求要求27002 信息安全控制措施信息安全控制措施（实用规则）（实用规则）27003信息安全管理体系信息安全管理体系实施指南实施指南27004 信息安全管理测量信息安全管理测量 2700

27、5 信息安全风险管理信息安全风险管理27006 提供信息安全管理提供信息安全管理体系审核和认证机体系审核和认证机构的要求构的要求27007 信息安全管理体系信息安全管理体系审核指南审核指南27008信息安全管理体系信息安全管理体系控制措施审核员指控制措施审核员指南南27001270022700027006270052700327004信息安全管理体系基本原理和词汇信息安全管理体系基本原理和词汇 vISO27000ISO27000标准族标准族日益完善，已经开发和计划开发的标准有日益完善，已经开发和计划开发的标准有6060余项余项v信息安全等级保护也是一种常见的对组织的信息安信息安全等级保护也是一

28、种常见的对组织的信息安全进行全面、系统管理的实施方法全进行全面、系统管理的实施方法v依据计算机信息系统安全保护条例对信息安全依据计算机信息系统安全保护条例对信息安全进行全面管理的一套机制进行全面管理的一套机制v将信息系统按照重要性和受破坏危害程度分成五个将信息系统按照重要性和受破坏危害程度分成五个安全保护等级，不同保护等级的系统分别给予不同安全保护等级，不同保护等级的系统分别给予不同级别的保护级别的保护v系统定级、安全建设系统定级、安全建设/整改、自查、等级测评、系统整改、自查、等级测评、系统备案和监督检查是信息安全等级保护的六个规定活备案和监督检查是信息安全等级保护的六个规定活动动信息安全等

29、级保护信息安全等级保护48v参照参照NIST SP 800进行建设也是一种常见的对组织的进行建设也是一种常见的对组织的信息安全进行全面、系统管理的实施方法信息安全进行全面、系统管理的实施方法vNIST SP 800是由美国国家标准与技术研究院发布的是由美国国家标准与技术研究院发布的一系列特别出版物（一系列特别出版物（Special Publications，SP），），是关于计算机安全的指南文档是关于计算机安全的指南文档v美国联邦信息安全管理法案（美国联邦信息安全管理法案（Federal Information Security Management Act，FISMA），专门指定），专门指定

30、NIST负责开展信息安全标准、指导方针的制定负责开展信息安全标准、指导方针的制定NIST SP 800NIST SP 800规范规范4949vSP 800-37描述了此系列规范遵从的风险管理框架描述了此系列规范遵从的风险管理框架NIST SP 800NIST SP 800规范规范5050vSP 800-37 给出了递升的风险管理方法给出了递升的风险管理方法NIST SP 800NIST SP 800规范规范5151三种典型信息安全管理实施方法的三种典型信息安全管理实施方法的区别和联系区别和联系52 应用对象应用对象应用特点应用特点ISMS各种类型的组织（有体系建立需求）完全以市场化需求为主，不

31、具备强制性。以风险管理方法为基础，如果实施体系认证，必须完全满足27001标准要求等级保等级保护护国家基础网络和重要信息系统作为我国的一项基础制度加以推行，有一定强制性。主要目标是有效地提高我国信息和信息系统安全建设的整体水平，重点保障基础信息网络和重要信息系统的安全NIST SP 800联邦机构或非政府组织与FIPS不同，是非强制性的。但联邦机构应采纳FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。以风险管理方法为基础，应用时有一定的灵活性52知识域：信息安全管理体系重点工作知识域：信息安全管理体系重点工作知识子域：知识子域： 管理职责管理职责v 理解管理者履行管理职责

32、对成功实施信息安全管理体系（ISMS）的重要推动作用v 掌握实施ISMS过程中管理者应承担的管理职责的主要内容53管理者履行管理职责的重要作用管理者履行管理职责的重要作用v管理层切实履行相应的管理职责是管理层切实履行相应的管理职责是ISMSISMS能够成功能够成功实施的最关键因素，会对实施的最关键因素，会对ISMSISMS建设产生推动作用建设产生推动作用v管理者提供足够的资源是对管理者提供足够的资源是对ISMSISMS建设实质性的支建设实质性的支持持54主要管理职责主要管理职责v承担并履行职责承担并履行职责制定并颁布信息安全方针确保ISMS目标和相应的计划得以制定建立信息安全的角色和职责向组织

33、传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性决定风险可接受级别和风险可接受准则确保ISMS内部审核的执行实施ISMS的管理评审v 提供足够资源提供足够资源资金能胜任相关工作的人员（通过提供培训、教育）55知识子域：知识子域： 文档控制文档控制v 理解文档化对实施ISMS的重要性v 理解风险评估结果是编制ISMS文件的依据v 了解对ISMS文件和记录进行保护和控制的常规措施56知识域：信息安全管理体系重点工作知识域：信息安全管理体系重点工作文档化对实施文档化对实施ISMSISMS的重要性的重要性v文档包括文件文档包括文件( (如方针、策略、标准、指南等如方针、策略、标准

34、、指南等) )和记和记录录v文件文件是是ISMS的一个关键要素，是组织内部的的一个关键要素，是组织内部的“法法”，也是，也是ISMS审核的依据审核的依据v记录记录是文件执行情况的客观证据，为各项控制措施是文件执行情况的客观证据，为各项控制措施是否有效实施、是否有效实施、ISMS是否有效运行提供客观证据是否有效运行提供客观证据v层次化的文档是层次化的文档是ISMS建设的直接体现，也是建设的直接体现，也是ISMS建设的成果之一建设的成果之一v应对文件和记录进行控制应对文件和记录进行控制57文件编制依据文件编制依据v风险评估的结果是文件编制的直接依据风险评估的结果是文件编制的直接依据v有风险的地方才

35、需要管理和控制有风险的地方才需要管理和控制v依据风险评估结果编制的文件体系才是最适合的、依据风险评估结果编制的文件体系才是最适合的、最需要的最需要的58易于管理和维护的易于管理和维护的ISMSISMS层次化文档结构层次化文档结构方针、手册等方针、手册等管理制度、程序、策略文件等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行计划、表格、报告、各种运行/检查记录、日志文件等检查记录、日志文件等一级文件一级文件二级文件二级文件三级文件三级文件四级文件四级文件n一级文件：方针性文件n二级文件：信息安全管控程序、管理规定性

36、文件n三级文件：操作指南、作业指导书类n四级文件：体系运行的各种记录下级文件应支持上级文件 59文件控制文件控制v文件在发布以前，应得到相应级别管理层的批准文件在发布以前，应得到相应级别管理层的批准v定期评审、更新并再次得到批准，当发生重大变化或定期评审、更新并再次得到批准，当发生重大变化或重大信息安全事件时应及时评审和修订重大信息安全事件时应及时评审和修订v对文件的修订和修订状态、版本进行标识，确保员工对文件的修订和修订状态、版本进行标识，确保员工使用文件的最新版本使用文件的最新版本v标明每份文件的密级和分发范围标明每份文件的密级和分发范围60记录控制记录控制v明确记录的保存环境要求明确记录

37、的保存环境要求v明确保存期限要求明确保存期限要求v明确访问控制要求明确访问控制要求v明确检索要求（比如，支持按特定条件进行查询明确检索要求（比如，支持按特定条件进行查询和统计）和统计）61知识子域：知识子域： 内部审核和管理评审内部审核和管理评审v 了解内部审核的概念，以及内部审核的目的、实施主体、实施方式、审核准则v 了解管理评审的概念，以及管理评审的目的、实施主体、实施对象、实施方式62知识域：信息安全管理体系重点工作知识域：信息安全管理体系重点工作内部审核内部审核v是用于内部目的，由组织自己或以组织的名义所是用于内部目的，由组织自己或以组织的名义所进行的审核进行的审核v也称第一方审核也称

38、第一方审核v是是ISMS能够持续改进的重要动力之一能够持续改进的重要动力之一v组织应按照既定的周期实施组织应按照既定的周期实施ISMS内部审核内部审核63内部审核内部审核v目的目的确定ISMS的控制目标、控制措施是否符合相关标准和法律法规以及合同条款的要求确定各项控制措施是否得到有效的实施和保持确定员工的业务行为是否符合组织ISMS文件所规定的要求v实施主体实施主体ISMS内审小组v实施方式实施方式文件审核、现场审核v审核准则审核准则相关标准、法规法规、合同条款、ISMS文件64管理评审管理评审v为实现已建立的目标，而进行的确定管理体系的为实现已建立的目标，而进行的确定管理体系的适宜性、充分性

39、和有效性的活动适宜性、充分性和有效性的活动v也是也是ISMS能够持续改进的重要动力之一能够持续改进的重要动力之一v组织应按照既定的周期实施组织应按照既定的周期实施ISMS管理评审管理评审65管理评审管理评审v目的目的确保组织的ISMS持续具备适宜性、充分性和有效性v实施主体实施主体组织的高级管理层v实施对象实施对象ISMS文件体系、各种管理评审输入材料v实施方式实施方式最常见的是召开管理评审会议，由组织的高级管理层亲自主导实施66知识子域：知识子域： 信息安全管理体系认证信息安全管理体系认证v 了解ISMS认证的概念v 理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力67知识域：信息

40、安全管理体系重点工作知识域：信息安全管理体系重点工作ISMSISMS认证认证v ISMS认证，是由认证，是由ISMS认证机构依据认证机构依据ISO/IEC 27001对申对申请组织的请组织的ISMS进行审核，并向通过审核的申请组织颁发进行审核，并向通过审核的申请组织颁发ISMS认证证书的活动认证证书的活动v 认证机构是指那些从事对产品（服务）、过程、体系或认证机构是指那些从事对产品（服务）、过程、体系或人员是否符合规定要求实施认证活动的合格评定机构人员是否符合规定要求实施认证活动的合格评定机构v ISMS认证是证明一个组织的信息安全水平达到并满足认证是证明一个组织的信息安全水平达到并满足ISM

41、S国际国际/国家标准要求的有效途径国家标准要求的有效途径v ISMS认证活动，能从第三方客观公正的角度，发现认证活动，能从第三方客观公正的角度，发现ISMS存在的不足和问题，是促进存在的不足和问题，是促进ISMS持续改进的一种持续改进的一种外部驱动力外部驱动力68ISMSISMS认证认证v ISMS认证通常包含一组审核，包括初次认证审核、年度认证通常包含一组审核，包括初次认证审核、年度监督审核和复审监督审核和复审v ISMS认证证书有效期一般为三年认证证书有效期一般为三年，颁发认证证书后的第，颁发认证证书后的第一、第二年需要进行年度监督审核，第三年进行复审，一、第二年需要进行年度监督审核，第三

42、年进行复审，复审通过后重新颁发认证证书复审通过后重新颁发认证证书69知识域：信息安全管理体系知识域：信息安全管理体系PDCAPDCA建设建设知识子域：知识子域： 规划与建立规划与建立ISMSISMSv 理解定义ISMS范围和边界、实施风险评估、获得管理者对残余风险的批准等规划与建立ISMS的主要工作内容70ISMSISMS应用过程方法的结构应用过程方法的结构71规划与建立规划与建立ISMSISMSv P1-定义ISMS范围和边界v P2-制定ISMS方针v P3-确定风险评估方法v P4-实施风险评估v P5-选择、评价和确定风险处理方式、处理目标和处理措施v P6-获得管理者对建议的残余风险

43、的批准v P7-获得管理者对实施和运行ISMS的授权v P8-编制适用性声明（SoA）72P1-P1-定义定义ISMSISMS范围和边界范围和边界73vISMS的范围就是需要重点进行信息安全管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMSv在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域v在本阶段，应将组织划分成不同的信息安全控制领域，以易于组织对有不同需求的领域进行适当的信息安全管理P2-P2-制定制定ISMSISMS方针方针74v信息安全方针是组织的管理层制定的一个高层文件，用于指导组织如何对资

44、产进行管理、保护和分配的规则和指示v信息安全方针应当阐明管理层的承诺，提出组织管理信息安全的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工v信息安全方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容P3-P3-确定风险评估方法确定风险评估方法75v 识别并确定适合ISMS的风险评估方法，确保风险评估产生可比较的和可再现的结果v 组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括： 业务环境 业务性质与业务重要性 对支持组织业务活动的信息系统的依赖程度 业务内容、支持系统、应用软件和服务的复杂性 贸易伙伴、外部业务关系、

45、合同数量的大小v 这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑成本与效益的权衡，不出现过度安全；风险评估自身也要考虑成本与效益的权衡，不出现过度复杂v 制定接受风险的准则，识别可接受的风险级别P4-P4-实施风险评估实施风险评估76v风险评估准备v风险要素识别识别ISMS范围内的资产及其责任人1识别资产所面临的威胁识别可能被威胁利用的脆弱点识别已有的控制措施v风险分析分析事件发生的可能性分析事件造成的影响实施风险计算v风险结果判定评估风险的等级综合评估风险状况1 术语“责任人”标识了已经获得批准，负有控制资产的产生、开发、维护、使用和保证资产的安全的管理职责的个人或实体。术语“责任

46、人”不是指该人员实际上对资产拥有所有权P5-P5-选择、评价和确定风险处理方式选择、评价和确定风险处理方式、处理目标和处理措施、处理目标和处理措施77常用的处理方式包括常用的处理方式包括：v采用适当的控制措施（降低风险降低风险）v在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险接受风险v避免风险避免风险v将相关业务风险转移到其他方，如：保险，供应商等（转移风险转移风险）风险处理方式及决策原则风险处理方式及决策原则78v降低风险降低风险：在考虑转移风险前，应首先考虑采取措施降低风险v避免风险：避免风险：有些风险容易避免，例如采用不同的技术、更改操作流程、采用简单的技术措施

47、等v转移风险：转移风险：通常只有当风险不能被降低风险和避免、且被第三方接受时才采用v接受风险：接受风险：用于那些在采取了降低风险和避免风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险为处理风险选择控制目标和控制措施为处理风险选择控制目标和控制措施79v选择控制目标和控制措施应考虑接受风险的准则以及法律法规和合同要求v将ISO27001附录A作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施 v组织也可能需要制定ISO27001附录A以外的控制目标和控制措施提示：在选择控制目标和控制措施时，并没有一套标准与通用的办法，选择的过程往往不是很直接，可能要涉及

48、一系列的讨论、咨询和决策过程P6-P6-获得管理者对建议的残余风险的批准获得管理者对建议的残余风险的批准80v获得管理层接受风险评估团队所建议的残余风险的确认是风险评估活动中的一个重要过程v管理层确认接受残余风险，是对风险评估工作的一种肯定，表示管理层已经全面了解了组织所面临的风险，并理解在风险一旦变为现实后，组织能够且必须承担引发的后果v如果一个组织所建立的ISMS要寻求认证，认证机构将寻求管理层确认接受残余风险的书面证据P7-P7-获得管理者对实施和运行获得管理者对实施和运行ISMSISMS的授权的授权81v必须获得管理者对实施和运行ISMS的授权。没有授权，实施和运行ISMS的相关活动就

49、很难推进v实施和运行ISMS，需要大量的资源（人力、资金等），没有管理层的授权，就很难申请并获得这些资源P8-P8-编制适用性声明（编制适用性声明（SoASoA）82v所选择的控制目标和措施以及被选择的原因应在适用性声明（Statement of Applicability，SoA）中进行说明vSoA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构v编制SoA一方面是为了向组织内的员工声明对在面临的信息安全风险的态度，更大程度上则是为了向外界表明组织的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有需要控制的风险控制在能被接

50、受的范围内知识域：信息安全管理体系建设知识域：信息安全管理体系建设知识子域：知识子域： 实施和运行实施和运行ISMSISMSv 理解实施风险处理计划、开发有效性测量程序、管理ISMS的运行等实施和运行ISMS的主要工作内容83实施和运行实施和运行ISMSISMSvD1-制定风险处理计划vD2-实施风险处理计划vD3-开发有效性测量程序vD4-实施培训和意识教育计划vD5-管理ISMS的运行vD6-管理ISMS的资源vD7-执行检测事态和响应事件的程序84D3-D3-开发有效性测量程序开发有效性测量程序vISMS运行及控制措施是否有效，要有测量方法和途径，以便制定改进措施加以改进v开发一份有效性测量程序，明确需要设立的测量项目，以及每一测量项目的度量标准、要求达到的指标、测量方式、测量周期、测量执行人v有效性测量程序本身，应做为ISMS文件加以管理和控制85D5-D5-管理管理ISMSISMS的运行的运行v批准并发布ISMS文件v宣贯和解释ISMS文件要求vISMS试运行期间的管理v宣布ISMS正式运行86