信息安全管理体系建立方法概述

信息安全治理体系建立方法BS7799的治理思想介绍通用安全治理体系建立的方法；信息安全治理包括诸多方面，如风险治理、工程治理、业务连续性治理等，每项治理的要点均有不同。后续将具体介绍不同局部的治理。信息安全治理体系概述什么是信息安全治理体系信息安全治理体系，即 InformationSecurityManagementSystem〔简称ISMS〕，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接治理活动的结果，表示为方针、原则、目标、方法、打算、活动、程序、过程和资源的集合。

b5E2RGbCAPBS7799-2是建立和维持信息安全治理体系的标准，标准要求组织通过确定信息安全治理体系范围，制定信息安全方针，明确治理职责，以风险评估为根底选择掌握目标与掌握措施等一系列活动来建立信息安全治理体系；体系一旦建立，组织应按体系的规定要求进展运作，保持体系运行的有效性；信息安全管理体系应形成肯定的文件，即组织应建立并保持一个文件化的信息安全治理体系，其中应阐述被保护的资产、组织风险治理方法、掌握目标与掌握措施、信息资产需要保护的程度等内容。 p1EanqFDPwISMS的范围ISMS的范围可以依据整个组织或者组织的一局部进展定义，包括相关资产、系统、应用、效劳、网络和用于过程中的技术、存储以及通信的信息等，组织全部的信息系统；组织的局部信息系统；特定的信息系统。

ISMS的范围可以包括：DXDiTa9E3d此外，为了保证不同的业务利益，组织需要为业务的不同方面定义不同的

ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS表述。RTCrpUDGiT

ISMS，也可以为组织构造定义 ISMS，不同的情境可以由一个或者多个组织内部成功实施信息安全治理的关键因素反映业务目标的安全方针、目标和活动；与组织文化全都的实施安全的方法；来自治理层的有形支持与承诺；对安全要求、风险评估和风险治理的良好理解；向全部治理者及雇员推行安全意思；向全部雇员和承包商分发有关信息安全方针和准则的导则；供给适当的培训与教育；用于评价信息安全治理绩效及反响改进建议，并有利于综合平衡的测量系统。建立ISMS的步骤不同的组织在建立与完善信息安全治理体系时，可依据自己的特点和具体的状况，实行不同的步骤和方法。但总体来说，建5PCzVD7HxA信息安全治理体系的筹划与预备；信息安全体系文件的编制；信息安全治理体系的运行；信息安全治理体系的审核与评审。信息安全治理体系的作用ISMS于系统、全面、科学的安全风险评估，表达以预防掌握为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要jLBHrnAILg强调全过程和动态掌握，本着掌握费用与风险平衡的原则合理选择安全掌握方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的机密性、完整性和可用性，保持组织的竞争优势和商务运作的持续性。xHAQX74J0X实施ISMS的作用组织建立、实施与保持信息安全治理体系将会产生如下作用：强化员工的信息安全意识，标准组织信息安全行为；对组织的关键信息资产进展全面体统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织布满信念；假设通过体系认证，说明体系符合标准，证明组织有力量保证重要信息BS7799建立组织完整的信息安全治理体系并实施与保持，到达动态的、系统的、全员参与、制度化的、以预防为主的信息安全治理方LDAYtRyKfE信息安全治理体系的预备为在组织中顺当建设信息安全治理体系，需要建立有效信息安全机构，对组织中的各类人员安排角色、明确权限、落实责任Zzz6ZB2Ltk成立信息安全委员会信息安全委员会由组织的最高治理层与信息安全治理有关的部门负责人、治理人员、技术人员组成，定期召开会议，就以下重要信息安全议题进展争论并做出决策，为组织信息安全治理供给导向与支持。dvzfvkwMI1审批与信息安全治理有关的其他重要事项。任命信息安全治理经理组织最高治理者在治理层中指定一名信息安全治理经理，分管组织的信息安全治理事宜，具体确定信息安全治理标准建立、实施和维护信息安全治理体系；负责组织的信息安全方针与安全策略的贯彻与落实；向有关问题与外部各方面进展联络。组建信息安全治理推动小组在信息安全委员会的批准下，由信息安全治理经理组建信息安全治理推动小组，并对其进展治理。小组成员要懂信息安全技术学问，有肯定的信息安全治理技能，并且有较强的分析力量及文字力量，小组成员一般是企业rqyn14ZNXI保证有关人员的作用、职责和权限得到有效沟通用适当的方式，如通过培训、制定文件等方式，让每位员工明白自己的作用、职责与权限，以及与其他局部的关系，以保证全体员工各司其职，相互协作，有效地开展活动，为信息安全治理体系的建EmxvxOtOco掌握范围一般状况下，一个经理直接掌握的下属治理人员不少于61015人保持掌握。在作业简洁的部门或车间，一个组长能掌握50个人或更多的人。SixE2yXPq5适宜的治理层次公司负责人与基层的独立性，不应成为生产部门的下属单位。信息安全治理体系组织构造建立及职责划分的留意事项假设现有的组织构造合理，则只需将信息安全标准的要求安排落实到现有的组织构造中即可。假设现有的组织构造不合理，则按上面〔5〕6ewMyirQFL应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。应将部门内岗位设置及各岗位〔可以把信息安全和职业安康与安全的职能划归此部门〕席安全执行官，首席安全执行官直接向组织最高治理层负责〔有的也向首席信息官负责〕。美国“911”恐惧攻击大事以后，在美国的一些大型企业，这种安全机构的设置方式渐渐流行，它强调对各种风险的综合治理和对威逼的快速反响。kavU42VRUs对于小型企业来说，可以把信息安全治理工作划归到信息部、人事行政部或其他相关部门。建立信息安全治理体系原则PDCA原则PDCA循环的概念最早是由美国质量治理专家戴明提出来的，所以又称为“戴明环”。在质量治理中应用广泛，PDCA代y6v3ALoS89P(Plan)：打算，确定方针和目标，确定活动打算；D(Do)：实施，实际去做，实现打算中的内容；C(Check)：检查，总结执行打算的结果，留意效果，找出问题；A(Action)：行动，对总结检查的结果进展处理，成功的阅历加以确定并适当推广、标准化；失败的教训加以总结，以免重PDCAM2ub6vSTnPPDCA循环的四个阶段具体内容如下：打算阶段：制定具体工作打算，提出总的目标。具体来讲又分为以下分析目前现状，找出存在的问题；分析产生问题的各种缘由以及影响因素；

4个步骤。0YujCfmUCw实施阶段：就是指依据制定的方案去执行。在治理工作中全面执行制定的方案。制定的治理方案在治理工作中执行的情况，直接影响全过程。所eUts8ZQVRd检查阶段：即检查实施打算的结果。检查工作这一阶段是比较重要的一个阶段，它是对实施方案是否合理，是否可行有何不妥的检查。是为下一个阶段工作供给条件，是检验上一阶段工作好坏的检验期。sQsAEJkW5T处理阶段：依据调查效果进展处理。对已解决的问题，加以标准化：即把已成功的可行的条文进展标准化，将这些纳入制度、规定中，防GMsIasNXkA找出尚未解决的问题，转入下一个循环中去，以便解决。PDCA循环实际上是有效进展任何一项工作的符合规律的工作程序。在质量治理中，PDCA循环得到了广泛的应用，并取得了很好的效果，有人也称其为质量治理的根本方法。之所以叫

PDCA循环，是由于这四个过程不是运行一次就完结，而是周而复始地进展，其特点是“大环套小环，一环扣一环，小环保大环，推动大循环”；每个PDCATIrRGchYzg建立和治理一个信息安全治理体系需要象其他任何治理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环：计划、实施、检查、和处置。之所以可以描述为一个有效的循环由于它的目的是为了保证您的组织的最好实践文件化、加强并随时间PDCA12-17EqZcWLZNXPLAN建立ISMS相关单隹

实施利实施CO 运作I测S

开发.维护 和改进循环 和

改进ACTION

相关卑位监控和弃审TSMS

信息安全需求

CHECK

治理状态下的恬■息12-1PDCA模型与信息安全治理体系过程ISMSPDCA具有以下内容：打算和实施一个持续提高的过程通常要求最初的投资：文件化实践，将风险治理的过程正式化，确定评审的方法和配置资源。这些活动通常作为循环的开头。这个阶段在评审阶段开头实施时完毕。打算阶段用来保证为信息安全治理体系建立的内容和范围正确地建立，评估信息安全风险和建立适当地处理这些风险的打算。实施阶段用来实施在打算阶段确定的打算和解决方案。lzq7IGfO2E检查与行动检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施，取决于怎样做适合于考虑的具体状况。在一些体系中他们可能需要建立在计算机化的过程中以运行和马上回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威逼和脆弱性变化时需要回应。最终，需要每一年或其他周期性评审或审核以保证整个治理体系达成其目标。zvpgeqJIhk掌握措施总结(SummaryofControls)组织可能觉察制作一份相关和应用于组织的信息安全治理体系的掌握措施总结(

SoC)的好处。供给一份掌握措施小结可以使处理业务关系变得简洁如供电外包等。部和内部同时应用时，应考虑他们对于接收者是否适宜。

SoC可能包含敏感的信息，因此当SoC在外NrpoJac3v1文件化信息安全治理另一个格外重要的原则就是文件化，即全部打算及操作过的事情都要有文件记录，可做到有章可循，有据可查，文件的类型通常有手册、标准、指南、记录等，使用这些文件可以使组织内部沟通意图，统一行动，并为大事提客观证据，同时也可用于学习和培训。假设有些组织曾参与过BS7799的认证，会深刻体会到文件化的重要性。 1nowfTG4KI领导重视

这样9000或组织建立信息安全治理体系需要投入大量物力和人力，这就需要得到领导的认可，尤其是最高领导，这样才能确保这一工程不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全治理体系时应做到如下几点：fjnFLDa5Zo建立信息安全方针；确保建立信息安全目标和打算；为信息安全确立职位和责任；向组织传达到达信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要；供给足够的资源以开发、实施，运行和维护信息安全治理体系；确定可承受风险的水平；进展信息安全治理体系的评审。治理层为组织将确定和供给所需的资源，以：建立、实施、运行和维护信息安全治理体系；确保信息安全程序支持业务要求；识别和强调法律和法规要求及合同的安全义务；正确地应用全部实施的掌握措施维护足够的安全；必要时，进展评审，并适当回应这些评审的结果；需要时，改进信息安全治理体系的有效性。全员参与仅有领导的支持没有实际操作的人员同样信息安全治理体系不能很好地建立起来，而组织内由于一般人员的误操作和疏忽造IT部门的事情，而是需要全体员工参与的。tfnNhnE6e5组织应确保全部被安排信息安全治理体系职责的人员具有力量履行指派的任务。组织应：确定从事影响信息安全治理体系的人员所必要的力量；供给力量培训和，必要时，聘用有力量的人员满足这些需求；评价供给的培训和所实行行动的有效性；信息安全治理体系的建立建立信息安全治理体系图是建立信息安全治理体系的流程图,图12-2，第

评估报告其次步:

定义ISMS范围 ISMS范围第三步:

进展风险评估第四步:第五步:

慝选择控

文档化文档化第六步:

am

声明文件

HbmVN777sL12-2ISMS流程图组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全治理体系。为满足该标准的目的，使用的过程建立在图一所示的组织应做到如下几点：

PDCA模型根底上。V7l4jRB8Hs应用业务的性质、组织、其方位、资产和技术确定信息安全治理体系的范围。应用组织的业务性质、组织、方位、资产和技术确定信息安全治理体系的方针，方针应：包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。考虑业务及法律或法规的要求，及合同的安全义务。建立组织战略和风险治理的环境，在这种环境下，建立和维护信息安全治理体系。建立风险评价的标准和风险评估定义的构造。经治理层批准。确定风险评估的系统化的方法识别适用于信息安全治理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全治理体系建立方针和83ICPA59W9确定风险在信息安全治理体系的范围内，识别资产及其责任人。识别对这些资产的威逼。识别可能被威逼利用的脆弱性。别资产失去保密性、完整性和可用性的影响。评价风险评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果；评估与这些资产相关的主要威逼、脆弱点和影响造成此类事故发生的现实的可能性和现存的掌握措施；估量风险的等级；c中建立的标准进展衡量确定需要处理。识别和评价供处理风险的可选措施：可能的行动包括：应用适宜的掌握措施；知道并有目的地承受风险，同时这些措施能清楚地满足组织方针和承受风险的标准；避开风险；转移相关业务风险到其他方面如：保险业，供给商等。选择掌握目标和掌握措施处理风险：2.6预备一份适用性声明。2.6章节中剪裁的掌握措施也应加以记录；mZkklkzaaP提议的剩余风险应获得治理层批准并授权实施和运作信息安全治理体系。文件要求信息安全治理体系文件应包括：文件化的安全方针文件和掌握目标；信息安全治理体系范围和程序及支持信息安全治理体系的掌握措施；风险评估报告；风险处理打算；组织需要的文件化的程序以确保有效地打算运营和对信息安全过程的掌握；本标准要求的记录；适用性声明。文件掌握信息安全治理体系所要求的文件应予以保护和掌握。应编制文件化的程序，以规定以下方面所需的控制：文件公布前得到批准，以确保文件的充分性；必要时对文件进展评审与更，并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用处可获得适用文件的有关版本；确保文件保持清楚、易于识别；确保外来文件得到识别，并掌握其分发；确保文件的发放在掌握状态下；防止作废文件的非预期使用；假设因任何缘由而保存作废文件时，对这些文件进展适当的标识。记录掌握应建立并保持纪录，以供给符合要求和信息安全治理体系的有效运行的证据。记录应当被掌握。信息安全治理体系应考虑任何有关的法律要求。记录应保持清楚、易于识别和检索。应编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和处置所需的掌握。需要一个治理过程确定记录的程度。AVktR43bpw应保存上述过程绩效记录和全部与信息安全治理体系有关的安全事故发生的纪录。例如：访问者的签名簿，审核记录和授权访问记录。ORjBnOwcEd实施和运作信息安全治理体系组织应按如下步聚实施：识别适宜的治理行动和确定治理信息安全风险的优先挨次〔即：风险处理打算；实施风险处理打算以到达识别的掌握目标，包括对资金的考虑和落实安全角色和责任；实施在上述章节里选择的掌握目标和掌握措施；培训和意识；e〕治理运作过程；f〕 治理资源；g〕实施程序和其他有力量随时探测和回应安全事故的掌握措施。监控和评审信息安全治理体系监控信息安全治理体系组织应：执行监控程序和其他掌握措施，以：实时探测处理结果中的错误；准时识别失败和成功的安全破坏和事故；能够使治理层确定分派给员工的或通过信息技术实施的安全活动是否到达了预期的目标；确定解决安全破坏的行动是否反映了运营的优先级。进展常规的信息安全治理体系有效性的评审〔包括符合安全方针和目标，及安全掌握措施的评审〕2MiJTy0dTT评审剩余风险和可承受风险的水平，考虑以下方面的变化：组织技术业务目标和过程识别威逼，及外部