信息安全管理基础知识

信息平安管理根底中国信息平安测评中心CISP-09-信息平安管理根底2007年7月目录信息平安根底知识信息平安管理与信息系统平安保障信息平安管理体系标准概述信息平安管理体系方法课程目标掌握信息平安管理的一般知识了解信息平安管理在信息系统平安保障体系中的地位认识和了解ISO17799理解一个组织实施ISO17799的意义初步掌握建立信息平安管理体系〔ISMS〕的方法和步骤一、信息平安管理根底目录信息平安根底知识信息平安管理与信息系统平安保障信息平安管理体系标准概述信息平安管理体系方法1.信息平安根底知识1.1信息平安的根本概念1.2为什么需要信息平安1.3实践中的信息平安问题1.4信息平安管理的实践经验

请思考：什么是信息平安？1.1信息平安根本概念ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.〞“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.强调信息：是一种资产同其它重要的商业资产一样对组织具有价值需要适当的保护以各种形式存在：纸、电子、影片、交谈等什么是信息？小问题：你们公司的Knowledge都在哪里？信息在哪里？什么是信息平安?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.〞信息平安：保护信息免受各方威胁确保组织业务连续性将信息不平安带来的损失降低到最小获得最大的投资回报和商业时机信息平安的特征〔CIA〕ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在平安方面三个特征：机密性：确保只有被授权的人才可以访问信息；完整性：确保信息和信息处理方法的准确性和完整性；可用性：确保在需要时，被授权的用户可以访问信息和相关的资产。信息本身信息处理设施信息处理者信息处理过程机密可用完整总结

请思考：组织为什么要花钱实现信息平安？1.2为什么需要信息平安组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……法律法规的要求计算机信息系统平安保护条例知识产权保护互联网平安管理方法网站备案管理规定……信息系统使命的要求信息系统本身具有特定的使命信息平安的目的就是使信息系统的使命得到保障。。。。

请思考：目前，解决信息平安问题，通常的做法是什么？1.3实践中的信息平安问题“产品导向型〞信息平安初始阶段，解决信息平安问题，通常的方法：采购各种平安产品，由产品厂商提供方案；Anti-Virus、Firewall、IDS&Scanner……组织内部安排1-2人兼职负责日常维护，通常来自以技术为主的IT部门；更多的情况是几乎没有日常维护存在的问题需求难以确定保护什么、保护对象的边界到哪里、应该保护到什么程度……管理和效劳跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描〔Scanner〕来代替风险评估有哪些不平安的因素〔威胁、脆弱性〕、信息不平安的影响、对风险的态度……“头痛医头，脚痛医脚〞，很难实现整体平安；不同厂商、不同产品之间的协调也是难题信息平安管理ISO17799强调：“Informationsecurityisamanagementprocess,notatechnologicalprocess.〞技术和产品是根底，管理是关键；产品和技术，要通过管理的组织职能才能发挥最好的作用；技术不高但管理良好的系统远比技术高但管理混乱的系统平安；先进、易于理解、方便操作的平安策略对信息平安至关重要，也证明了管理的重要；建立一个管理框架，让好的平安策略在这个框架内可重复实施，并不断得到修正，就会持续平安。1.4信息平安管理的实践经验反映组织业务目标的平安方针、目标和活动；符合组织文化的平安实施方法；管理层明显的支持和承诺；平安需求、风险评估和风险管理的正确理解；有效地向所有管理人员和员工推行平安措施；向所有的员工和签约方提供本组织的信息平安方针与标准；提供适当的培训和教育；一整套用于评估信息平安管理能力和反响建议的测量系统二、信息平安管理与信息系统平安保障目录信息平安根底知识信息平安管理与信息系统平安保障信息平安管理体系标准概述信息平安管理体系方法2、信息平安管理与信息系统平安保障2.1信息系统的使命2.2信息系统平安保障－模型2.3信息系统平安保障－框架2.4信息系统平安保障－生命周期的保证2.5信息平安管理模型2.6信息平安管理与信息系统平安保障的关系2.1信息系统的使命资产可能意识到引起增加利用导致威胁主体威胁所有者风险脆弱性对策可能被减少利用价值希望最小化希望滥用或破坏可能具有减少到到使命希望完成到可能阻碍或破坏2.2信息系统平安保障－模型技术过程管理人员保证对象生命周期信息特征计划组织开发采购实施交付运行维护废弃机密性完整性可用性技术过程管理人员保障要素生命周期安全特征初始化开发采购实施运行维护废弃机密性完整性可用性2.3信息系统平安保障－框架技术准则技术准则技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程能力成熟度级别工程能力成熟度级别信息系统安全保障评估信息系统安全保障评估XX信息系统安全保障要求（ISPP）XX信息系统安全保障要求（ISPP）XX信息系统安全保障目标（ISST）XX信息系统安全保障目标（ISST）信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障能力级ISAL评定信息系统安全保障能力级ISAL评定技术准则技术准则技术架构成熟度级别技术架构成熟度级别管理准则管理准则管理能力成熟度级别管理能力成熟度级别工程准则工程准则工程能力成熟度级别工程能力成熟度级别信息系统安全保障评估信息系统安全保障评估XX信息系统安全保障要求（ISPP）XX信息系统安全保障要求（ISPP）XX信息系统安全保障目标（ISST）XX信息系统安全保障目标（ISST）信息系统安全保障评估方法信息系统安全保障评估方法信息系统安全保障能力级ISAL评定信息系统安全保障能力级ISAL评定2.4信息系统平安保障－生命周期的保障变更应用于系统计划组织开发采购实施交付运行维护废弃建立使命要求建立使命要求审阅业务要求系统需求分析定义运行需求系统体系设计项目与预算管理两种类型：

开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保证（管理/维护/使用人员）人员保证（管理人员）人员保证（实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）保障要素信息系统生命周期2.5信息系统平安保障－管理模型2.6信息平安管理与信息系统平安保障的关系信息系统平安保障三大局部：技术保障过程保障管理保障信息平安管理是信息系统平安保障的三大局部之一：管理保障信息平安管理涉及到系统的整个生命周期三、信息平安管理体系标准概述目录信息平安根底知识信息平安管理与信息系统平安保障信息平安管理体系标准概述信息平安管理体系方法3.信息平安管理体系标准概述3.1信息平安标准介绍3.2ISO177993.3ISO17799的历史及开展3.4ISO17799:2005的内容框架3.5ISO27001:2005的内容框架3.1信息平安标准介绍信息平安标准管理体系标准信息平安标准ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMMISO15408〔GB/T18336-2001〕ISO17799ISO7498-2(GB/T9387.2-1995)开放系统互联平安体系结构由ISO/ICEJTC1/SC21完成1982年开始，1988年结束，ISO发布了ISO7498-2给出了基于OSI参考模型的7层协议上的平安体系结构其核心内容是：为了保证异构计算机进程与进程之间远距离平安交换信息的平安，它定义了该系统的5大类平安效劳，以及提供这些效劳的8大类平安机制及相应的平安管理，并可根据具体系统适当的配置于OSI模型的7层协议中。ISO7498-2－平安体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型ISO13335IT平安管理分为5个局部：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和规划ISO/IECTR13335-3：管理技术ISO/IECTR13335-4：平安措施的选择ISO/IECTR13335-5：网络平安性的管理指导由ISO/IECJTC1/SC27完成SSE-CMM信息系统平安工程能力成熟度模型CMM－CapabilityMaturityModel首先用于软件工程；1993年4月，由美国NSA资助，平安业界、DOD、加拿大通信平安机构共同组成工程组，研究把CMM用于平安工程；1996年10月推出第一版，97年4月推出方法〔SSAM〕第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系统平安的工程组织、采购组织和评估机构5个能力级别，11个过程区2003年，出版了SSE-CMMV3.05个能力级别：1级：非正式执行级2级：方案和跟踪级3级：充分定义级4级：量化控制级5级：持续改进级

代表平安工程组织的成熟度级别11个过程区：PA01管理平安控制PA02评估影响PA03评估平安风险PA04评估威胁PA05评估脆弱性PA06建立保证论据PA07协调平安PA08监视平安态势PA09提供平安输入PA10指定平安要求PA11验证和证实平安性

SSE-CMM信息系统平安工程能力成熟度模型〔续〕ISO15408(GB/T18336)信息技术平安性评估准那么通常简称CC－通用准那么，ISO15408:1999，GB/T18336:2001;定义了评估信息技术产品和系统平安性所需的根底准那么，是度量信息技术平安性的基准；分为3个局部：第一局部：简介和一般模型第二局部：平安功能要求第三局部：平安保证要求管理体系标准ISO9000族质量管理体系ISO14000环境管理体系标准OHSAM18000职业平安卫生管理体系标准BS7799信息平安管理体系标准ISO17799信息平安管理实施细那么

ISO/IEC17799:2005

Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement信息技术－信息平安管理实施细那么

3.2ISO/IEC17799:2005

历史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的历史及开展BSI简介BSI英国标准协会英国标准协会是全球领先的国际标准、产品测试、体系认证机构。发起制定的标准ISO9000〔质量管理体系〕ISO14001〔环境管理体系〕OHSAS18001〔职业健康与平安管理体系〕QS-9000/ISO/TS16949〔汽车供给行业的质量管理体系〕TL9000〔电信供给行业的质量管理体系〕BS7799。IUG：InternationalUserGroup1997年成立宗旨促进ISO17799/BS7799的应用和推广促进对信息平安管理体系标准、认证等的理解，效劳全球商业提供一个基于互联网的论坛提供一个信息交流的平台研究和写作成员AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

ISO17799被各国或地区采用的情况EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中国ISO17799在中国国内从2000年初开始认识ISO17799/BS7799；2000年初开始，国内一些公司和单位进行BS7799的研究和相关课程培训；2002－2003年，我国已经提出了国标化的方案；2005年，GB/T19716MODISO/IEC17799：2000ISO/IEC17799/BS7799的开展趋势2005年6月ISO/IEC17799:20052005年底BS7799-2转化为ISO/IEC27001原定为ISO/IEC247432005年12月BS7799-3:2005信息平安风险管理指南2006~2007年ISO/IEC27000系列标准ISO/IEC17799:20052000版本2005版本安全方针安全方针安全组织组织信息安全资产分类与控制资产管理人员安全人力资源安全物理和环境安全物理和环境安全通讯和运行管理通讯和运行管理访问控制访问控制系统开发和维护信息系统的获得、开发和维护信息安全事故管理业务持续性管理业务持续性管理符合性符合性ISO/IEC17799:2005修改了控制目标增加了8个新的重新编排5个修改了控制措施保存了116个修改了9个新增17个ISO/IEC27000系列ISO/IEC27000原理与词汇ISO/IEC27001ISMS要求ISO/IEC27002信息平安管理实施细那么ISO/IEC27003ISMS测量与审核ISO/IEC27004ISMS实施指南ISO/IEC27005信息平安风险管理指南…BS7799-2ISO/IEC17799BS7799-33.4ISO17799:2005的内容框架Foreword(ISO前言)Introduction(引言)Scope(范围)TermandDefinitions(术语和定义)StructureAndThisStandard〔标准的架构〕RiskAssessmentAndTreatment〔风险的评估和处理〕5.～15.详细控制目标和控制措施3.4ISO17799:2005的内容框架(续)Introduction(引言)什么是信息平安为何需要信息平安如何建立平安需求评估平安风险选择控制措施信息平安起点成功的关键因素制定组织自身的指导方针SECURITYPOLICY平安方针ORGANIZATIONOFINFORMATIONSECURITY信息平安组织ASSETMANAGEMENT资产管理HUMANRESOURCESSECURITY人力资源平安PHYSICALANDENVIRONMENTALSECURITY物理和环境平安COMMUNICATIONSANDOPERATIONSMANAGEMENT通信和运行管理ACCESSCONTROL访问控制INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE系统的获取、开发和维护INFORMATIONSECURITYINCIDENTMANAGEMENT信息平安故事管理BUSINESSCONTINUITYMANAGEMENT业务连续性管理COMPLIANCE符合性3.4ISO17799:2005的内容框架(续)十一类控制措施一、安全方针(SECURITYPOLICY)（1,2）（附注）二、信息安全组织(ORGANIZATIONOFINFORMATIONSECURITY)(2,11)三、资产管理(ASSETMANAGEMENT)(2,5)四、人力资源安全(HUMANRESOURCESSECURITY)(3,9)五、物理和环境安全(PHYSICALANDENVIRONMENTAL

SECURITY)(2,13)六、通信和运行管理(COMMUNICATIONSANDOPERATIONSMANAGEMENT)(10,32)八、系统的获取、开发和维护(INFORMATIONSYSTEMSACQUISITION,DEVELOPMENTANDMAINTENANCE)(6,16)七、访问控制(ACCESSCONTROL)(7,25)九、

信息安全故事管理(INFORMATIONSECURITYINCIDENTMANAGEMENT)(2,5)十、业务连续性管理(BUSINESSCONTINUITYMANAGEMENT)(1,5)十一、符合性(COMPLIANCE)(3,10)附注：(m，n)－m：执行目标的数目n：控制方法的数目十一类控制措施(续)ISO17799包含了39个控制目标和133个控制措施不是所有的控制措施都适用于组织的各种情形所描述的控制措施也未考虑组织的环境和适用技术的限制所描述的控制措施并不是必须适用于组织中的所有人11类39个目标133项措施但这决不是全部！！！十一类控制措施(续)

ISO17799:2005推荐了十个控制措施作为信息平安的起始点〔StartingPoint〕，组织可以此为根底建立ISMS。这些控制措施在大多数情况下是普遍适用的。根本控制措施与法律有关的控制措施15.1.4数据保护和个人隐私15.1.3组织记录的保护15.1.2知识产权根本控制措施－与法律相关的与最正确实践有关的控制措施5.1.1信息平安方针信息平安责任分配信息平安教育与培训12.2应用的正确处理12.6技术性脆弱性的管理业务连续性管理13.2平安事件和整改管理

根本控制措施－与最正确实践相关的3.5ISO27001:2005的内容框架ISO27001：2005信息技术-平安技术信息平安管理体系要求

3.5ISO27001:2005的内容框架ISO前言简介1.范围2.引用标准3.术语和定义4.信息平安管理体系5.管理职责6.ISMS内部审核7.ISMS管理评审8.ISMS改进附录A控制目标和控制措施3.5ISO27001:2005的内容框架(续)4.信息平安管理体系4.1总要求4.2建立并管理ISMS4.3文件要求4.3.1总那么4.3.2文件控制4.3.2记录控制

5.管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训,意识和能力

3.5ISO27001:2005的内容框架(续)3.5ISO27001:2005的内容框架(续)6.ISMS内部审核7.ISMS管理评审7.1总那么7.2评审输入7.2评审输出

8.ISMS改进8.1持续改进8.2纠正措施8.3预防措施3.5ISO27001:2005的内容框架(续)3.5ISO27001:2005的内容框架(续)附录A控制目标和控制措施直接引用了ISO/IEC17799:2005第5到第15章39个控制目标133个具体的控制措施四、信息平安管理体系方法目录信息平安根底知识信息平安管理与信息系统平安保障信息平安管理体系标准概述信息平安管理体系方法4.信息平安管理体系方法4.1什么是ISMS4.2ISMS的重要原那么4.3ISMS的实现方法

4.1

什么是ISMSISMS：InformationSecurityManagementSystem信息平安管理体系ISO9000-2000术语和定义组织organization职责、权限和相互关系得到安排的一组人员及设施,如：公司、集团、商行、企事业单位、研究机构、慈善机构、代理商、社团、或上述组织的局部或组合。管理management指挥和控制组织的协调的活动体系system相互关联和相互作用的一组要素管理体系managementsystem建立方针和目标并实现这些目标的体系管理学中的定义管理是指通过方案、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效到达组织目标的过程。信息平安管理体系ISMS定义ISMS是：在信息平安方面指挥和控制组织的以实现信息平安目标的相互关联和相互作用的一组要素。信息平安目标应是可测量的要素可能包括信息平安方针、策略信息平安组织结构各种活动、过程信息平安控制措施人力、物力等资源………要求信息安全分析改进资源管理信息安全实现管理职责输入输出信息安全管理体系的持续改进信息平安管理体系框图信息平安管理体系框图4.2ISMS的重要原那么4.2.1PDCA循环4.2.2过程方法4.2.3其它重要原那么PDCA循环：Plan—Do—Check—Act方案实施检查改进PDAC

PDCA循环4.2.1PDCA循环又称“戴明环〞,PDCA循环是能使任何一项活动有效进行的工作程序:P：方案，方针和目标确实定以及活动方案的制定；D：执行，具体运作，实现方案中的内容；C：检查，总结执行方案的结果，分清哪些对了，哪些错了，明确效果，找出问题；A：改进〔或处理〕,对总结检查的结果进行处理，成功的经验加以肯定，并予以标准化，或制定作业指导书，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。PDCA循环的特点一

按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环4.2.1PDCA循环PDCA循环的特点二组织中的每个局部，甚至个人，均有一个PDCA循环，大环套小环，一层一层地解决问题。4.2.1PDCA循环PDCA循环的特点三每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090改进执行计划检查CADP达到新的水平改进(修订标准)维持原有水平90909090改进执行计划检查CADP4.2.1PDCA循环

过程方法定义ISO9000-2000术语和定义过程：一组将输入转化为输出的相互关联或相互作用的活动。过程方法系统地识别和管理组织所应用的过程，特别是这些过程之间的相互作用，称之为“过程方法〞。活动测量、改进责任人资源记录输入输出过程方法模型：信息平安管理过程方法信息平安实现是一个大的过程；信息平安实现过程的每一个活动也是一个过程；识别组织实现信息平安的每一个过程；对每一个信息平安过程的实施进行监控和测量；改进每一个信息平安过程。制定信息安全方针确定ISMS的范围安全风险评估风险管理选择控制目标和控制措施准备适用声明实施测量、改进安全需求安全信息平安管理的过程网络信息平安管理的过程网络将相互关联的过程作为一个系统来识别、理解和管理一个过程的输出构成随后过程输入的一局部过程之间的相互作用形成相互依赖的过程网络PDCA循环可用于单个过程，也可用于整个过程网络领导重视√指明方向和目标√权威√预算保障，提供所需的资源√监督检查√组织保障其它重要原那么－领导重视

全员参与√信息平安不仅仅是IT部门的事；√让每个员工明白随时都有信息平安问题；√每个员工都应具备相应的平安意识和能力；√让每个员工都明确自己承担的信息平安责任；其它重要原那么－全员参与持续改进√信息安全是动态的，时间性强√持续改进才能有最大限度的安全√组织应该为员工提供持续改进的方法和手段

√实现信息安全目标的循环活动其它重要原那么－持续改进文件化√文件的作用：有章可循，有据可查√文件的类型：手册、标准、指南、记录其它重要原那么－文件化

沟通意图，统一行动重复和可追溯提供客观证据用于学习和培训

文件的作用：有章可循，有据可查文件的类型：手册、标准、指南、记录-手册：向组织内部和外部提供关于信息平安管理体系的一致信息的文件-标准：说明要求的文件-指南：说明推荐方法和建议的文件-记录：为完成的活动或到达的结果提供客观证据的文件文件化其它重要原那么－文件化4.3ISMS的实现方法4.3.1ISMS总那么4.3.2建立ISMS框架4.3.3ISMS实施4.3.4ISMS体系文件4.3.5文件的控制4.3.6记录

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.组织应该建立并运行一套文件化的ISMS确定组织需要保护的资产确定风险管理的方法确定风险控制的目标和控制措施确定要到达的平安保证程度

3.1General(总那么)4.3.1ISMS总那么

建设ISMS的步骤：如以下图

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架制订信息平安方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件4.3.2建立ISMS框架信息安全方针

一、目的：信息安全是指保证信息的保密性、完整性和可用性不受破坏。建立信息安全管理体系的目标是对公司的信息安全进行全面管理，二、公司总经理张未来先生决定在整个公司范围内建立并实施信息安全管理体系。要求各部门高度重视，第一步制订信息平安方针组织应定义信息平安方针。BS7799-2对ISMS的要求：4.3.2建立ISMS框架什么是信息平安方针？信息平安方针是由组织的最高管理者正式制订和发布的该组织的信息平安的目标和方向，用于指导信息平安管理体系的建立和实施过程。

信息安全方针第一步制订信息平安方针4.3.2建立ISMS框架第一步制订信息平安方针要经最高管理者批准和发布表达了最高管理者对信息平安的承诺与支持要传达给组织内所有的员工要定期和适时进行评审信息平安方针4.3.2建立ISMS框架目的和意义为组织提供了关注的焦点，指明了方向，确定了目标；确保信息平安管理体系被充分理解和贯彻实施；统领整个信息平安管理体系。第一步制订信息平安方针4.3.2建立ISMS框架信息平安方针的内容包括但不限于：组织对信息平安的定义信息平安总体目标和范围最高管理者对信息平安的承诺与支持的声明符合相关标准、法律法规、和其它要求的声明对信息平安管理的总体责任和具体责任的定义相关支持文件第一步制订信息平安方针4.3.2建立ISMS框架本卷须知简单明了易于理解可实施防止太具体第一步制订信息平安方针4.3.2建立ISMS框架第二步确定ISMS范围组织应定义信息平安管理体系的范围，范围的边界应依据组织的结构特征、地域特征、资产和技术特点来确定。

BS7799-2对ISMS的要求：4.3.2建立ISMS框架可以根据组织的实际情况，将组织的一局部定义为信息平安管理范围，也可以将组织整体定义为信息平安管理范围；信息平安管理范围必须用正式的文件加以记录。第二步确定ISMS范围4.3.2建立ISMS框架文件是否明白地描述了信息平安管理体系的范围范围的边界和接口是否已清楚定义第二步确定ISMS范围ISMS范围文件：4.3.2建立ISMS框架第三步风险评估组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。BS7799-2对ISMS的要求：4.3.2建立ISMS框架是否执行了正式的和文件化的风险评估？是否经过一定数量的员工验证其正确性？风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？风险评估是否认期和适时进行？第三步风险评估4.3.2建立ISMS框架第四步风险管理组织应依据信息平安方针和组织要求的平安保证程度来确定需要管理的信息平安风险。BS7799-2对ISMS的要求：4.3.2建立ISMS框架根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。第四步风险管理4.3.2建立ISMS框架是否认义了组织的风险管理方法？是否认义了所需的信息平安保证程度？是否给出了可选择的控制措施供管理层做决定？第四步风险管理4.3.2建立ISMS框架第五步选择控制目标和控制措施组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。BS7799-2对ISMS的要求：4.3.2建立ISMS框架平安问题平安需求控制目标控制措施解决指出定义被满足第五步选