2022年ISO信息安全管理体系建设咨询服务 .pdf

ISO27000信息安全管理体系建设咨询服务名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 29 页 -目录1概述.32准备.52.1确定 ISMS范围.52.2确定信息安全总体方针政策.62.3定义风险评估与管理方法.82.4项目准备.93风险评估.13 3.1现状分析.13 3.2风险评价.15 3.3风险处置.17 4安全体系规划与设计.19 4.1安全体系规划.19 4.2编写安全体系文档.20 5安全体系实施、调整、评审.22 5.1体系实施.22 5.2体系调整.23 5.3体系评审.24 附件 1：项目主要任务及活动列表.26 附件 2：项目主要文档列表.27 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 29 页 -1概述ISO27000 信息安全管理体系建设咨询服务阶段流程如下图：体系实施体系调整体系评审安全体系实施调整评审与调整与设计风险评估第一阶段第二阶段准备确定 ISMS范围确定信息安全总体方针政策定义风险评估与管理方法安全体系规划编写安全体系文档控制体系规划与设计第三阶段第四阶段I SMS范围I SMS总体方针风险评估程序I SMS建设实施计划各种表格、工具、模板I SMS项目培训材料访谈/检查/测试工作底稿I SMS差距分析报告信息安全现状分析报告资产风险评估表（系列）风险评估报告风险处置计划适用性声明（SOA）I SMS授权及批准书I SMS体系培训材料I SMS实施工作底稿（系列）I SMS实施总结I SMS调整计划I SMS内部审核工作底稿（系列）I SMS内部审核报告I SMS管理评审报告信息安全建设规划报告I SMS各级文件（系列）项目准备组建项目组整理开发工具模板启动会培训制定实施计划现状分析风险分析威胁评价弱点评价风险评价资产评价风险处置控制选择残余风险分析确定风险处置方式风险处置计划现场访谈人工检测安全扫描渗透测试问卷调查综合分析名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 29 页 -实践证明，按照BS7799/ISO27000 的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。根据 BS7799/ISO27000 要求，在建立、实施、运行、监控、评审、保持与改进组织ISMS时采用 PDCA 的过程模型，即首先依据组织的信息安全总体方针政策，通过对 ISMS涉及范围内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行ISMS信息安全策略、控制程序及措施，并通过ISMS运行监控、内部审计及管理评审，发现ISMS存在的问题及弱点，及时采取适当的纠正或预防措施，实现ISMS的持续改进。信息安全管理体系咨询服务的目的就是根据ISO27001 标准的要求，采用 PDCA的过程模型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。如上图所示，信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系实施/调整/评审四个阶段，各个阶段说明如下:第一阶段：准备准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是：1)确定 ISMS范围根据组织业务需要确定ISMS涵盖的范围，包括地理位置、部门或信息系统等。2)确定信息安全总体方针政策分析 ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。3)定义风险评估与管理方法确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。4)项目准备制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。第二阶段：风险评估分析 ISMS范围内的信息安全现状，针对 ISMS范围内的所有信息资产，识别并评价其面临的安全风险，提出对应的控制措施。包括三大工作任务，分别为：1)现状分析通过访谈、检查及测试了解ISMS范围内的信息安全现状，形成现状报告，并将获取的安全现状与ISO27002 中的安全控制措施进行差距分析。2)风险评价按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。3)风险处置确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。第三阶段：安全体系规划与设计根据差距分析和风险评估结果规划安全体系建设任务，落实本期建设规划。包括两大工作任务，分别为：1)安全体系规划规划信息安全体系建设项目、任务、计划等。2)编写安全体系文档名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 29 页 -设计信息安全体系管理文档或技术方案。第四阶段：安全体系实施、调整、评审落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安全管理体系不足，按照ISO27001 要求进行信息安全管理体系内部审核和管理评审。包括三大工作任务，分别为：1)体系实施落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。2)体系调整针对实施和运行中存在的问题，对信息安全管理体系进行调整改进。3)体系评审按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。2准备2.1 确定 ISMS范围根据组织的业务特征、组织结构、地理位置、资产和技术定义ISMS范围和边界。主要工作任务及内容（活动）1)信息安全与业务战略及规划一致性分析针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外部角度考虑ISMS需要涵盖的范围。2)信息安全与相关法规/制度符合性分析针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑ISMS范围需要涵盖的范围。3)信息安全与业务运营影响分析针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑ISMS需要涵盖范围4)确定 ISMS范围根据上述分析结果确定ISMS范围（包括涉及的物理位置、业务 流程 、部门、系统等）。主要工作方式/方法（工作方式、职责划分、工作方法）组织要建立信息安全管理体系，首先需要划定其范围。确定ISMS的过程如下：业务战略及规划一致性分析法规制度业务战略及规划法规制度符合性分析业务运营影响分析ISMS 范围描述确定 ISMS 范围名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 29 页 -信息安全管理体系是为保障组织信息系统而建立的，而信息系统建设与运行的目标是确保组织业务目标的实现，因此信息安全管理体系建设的最终目的是确保组织业务目标的实现。所以确定ISMS范围时需要从内部业务需求和外部合规性要求出发，对信息安全与组织业务发展战略及规划的一致性、信息安全与与相关法规/制度的符合性、信息安全对业务运营的影响进行综合分析形成与业务目标相一致的ISMS范围。应该对确定的ISMS范围进行书面说明（可以放在信息安全管理手册或总体方针文件中），对ISMS涉及的部门，位置、业务以及主要资产（主要信息系统或设备）进行描述。各方参与情况见下表：岗位主要任务或活动备注业务战略及规划一致性分析法规制度符合性分析业务运营影响分析确定 ISMS范围甲方参与人员业务管理人员IT 管理人员业务人员IT 运维人员安全管理人员咨询方参与人员咨询顾问协助主要输入类型名称备注DOC 业务战略及规划DOC 法规制度要求主要输出类型名称备注DOC ISMS范围可以放在管理手册或总体方针政策中主要工具/模板名称类型用途备注2.2 确定信息安全总体方针政策分析 ISMS范围内的业务及系统安全需求，确定ISMS的总体方针政策。主要工作任务及内容（活动）1)业务及系统初步安全需求分析根据组织业务及系统特点进行初步安全需求分析，形成总体安全需求。2)确定 ISMS总体方针政策在初步安全需求分析结果基础上，确定组织信息安全的总体方针政策，包括 ISMS范围、总体目标、安全组织结构、安全管理框架、名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 29 页 -主要工作方式/方法（工作方式、职责划分、工作方法）在进行信息安全管理体系建设前，应该制定组织的信息安全总体方针政策，设定信息安全的总体目标，明确信息安全管理职责，建立信息安全总体框架，为相关活动指明总的方向和原则。信息安全总体方针政策是建立、实施、运作、监视、评审、保持并持续信息安全管理体系的基础，需要获得最高管理者的批准。制定组织信息安全总体方针政策时可以首先针对组织业务及系统特点进行初步的安全需求分析，考虑包括业务及法规制度合同要求在内的安全需求，形成安全需求框架。确定信息安全总体方针政策的过程如下：确定的信息安全总体方针政策应该文件化，并由最高管理者签发。信息安全总体方针政策文件需要包含如下内容：组织信息安全的定义、总体目标、范围等；组织信息安全的重要性（如何保障业务目标实现）；管理层承诺与支持；信息安全体系框架（如何实现组织信息安全）；对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明，如：法律法规要求、业务持续性管理、教育与培训以及违反策略的后果等；信息安全管理组织架构、职责、安全管理方法等；引用的支撑策略或管理制度。各方参与情况见下表：岗位主要任务或活动备注初步安全需求分析确定信息安全总体方针政策甲方参与人员业务管理人员IT 管理人员业务人员IT 运维人员安全管理人员咨询方参与人员咨询顾问协助主要输入类型名称备注DOC ISMS范围来自前面任务输出DOC 法规制度要求DOC 业务要求法规制度要求业务要求初步安全需求分析ISMS 总体方针政策确定信息安全总体方针政策ISMS 范围名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 29 页 -主要输出类型名称备注DOC ISMS总体方针主要工具/模板名称类型用途备注2.3 定义风险评估与管理方法确定信息安全风险评估模型，定义风险评估程序、建立风险评估指标及风险接受准则。主要工作任务及内容（活动）1)确定风险评估模型及相关指标准则定义组织风险评估方法及风险接受准则等。2)制定风险评估与管理程序按照确定的风险评估方法及风险接受准则，形成文件化的风险评估与管理程序。主要工作方式/方法（工作方式、职责划分、工作方法）在确定了ISMS的范围和总体方针之后，需要确定一种适合组织的风险评估模型，建立风险评估指标及风险接受准则。并且需要按照确定的风险评估方法及风险接受准则，形成文件化的风险评估及管理程序。具体内容包括：定义风险评估模型；定义资产类别；定义威胁类别；定义弱点类别；定义风险处置方式；确定风险接受准则；确定风险计算方式；各种指标值及描述。定义风险评估与管理方法过程如下：各方参与情况见下表：岗位主要任务或活动备注确定风险评估模型及相关指标准则风险评估与管理程序制定风险评估与管理程序ISMS 总体方针名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 29 页 -确定风险评估模型及相关指标准则制定风险评估与管理程序甲方参与人员IT 管理人员协助安全管理人员协助咨询方参与人员咨询顾问主要输入类型名称备注DOC ISMS总体方针来自前面任务输出主要输出类型名称备注DOC 风险评估与管理程序主要工具/模板名称类型用途备注2.4 项目准备按照 ISMS建设范围及进度要求，制定有关实施计划，组建项目组，落实人员安排，整理或开发ISMS建设所需的表格/工具/模板，召开启动会，并按照实际需要对相关人员进行项目背景知识培训，完成ISMS建设项目的前期准备工作。主要工作任务及内容（活动）1)制定实施计划制定项目实施计划，主要是下一阶段的风险评估计划。2)组建项目组落实项目人员安排及其职责。3)整理开发工具/模板开发或定制各种表格、工具及模板，包括各种问卷，表格，检查及测试程序与模板等。4)项目启动会正式启动项目。5)培训按照需要进行项目背景知识培训，包括BS7799/ISO27000 知识培训，项目实施过程/方法/工具培训等。主要工作方式/方法（工作方式、职责划分、工作方法）项目准备主要包括制定项目（下一阶段）实施计划，组建项目组，整理开发工具模板，召开启动会，实施项目培训等。项目准备过程如下：名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 29 页 -开发整理工具/模板是项目准备阶段最重要的工作任务之一，ISMS 建设的工具模板包括：1)调查问卷调查问卷是为了大范围收集了解情况（所谓全面撒网）而由甲方相关人员填写由咨询人员收集分析的问卷表，由于问卷调查可以在大范围并行开展，因此可以节约信息收集时间。但调查问卷获取信息的可靠性较差，因此问卷涉及的调查内容应该包括在面对面访谈中。ISMS建设调查问卷包括：威胁调查问卷用于收集了解体系建设范围内信息安全威胁及事件的相关信息。信息安全管理调查问卷初步了解体系建设范围内信息安全管理的相关情况，同时了解调查被调查人员关于信息安全管理的意识以及关于ISMS体系建设迫切需要解决的问题。2)现场访谈表现场访谈表是由咨询人员使用的用于面对面访谈甲方相关人员的工作表格。现场访谈表主要用于收集体系建设范围内组织及IT 系统的基本信息和安全状况。ISMS建设现场访谈表包括：I T组织情况调查表主要调查体系建设范围内IT 组织的基本情况。信息系统调查表（系列）主要调查体系建设范围内信息系统的基本情况，包括物理、网络、主机、数据库以及应用系统的部署使用、安全措施等。安全管理访谈表按照 BS7799-1 或者 ISO27002 要求，进行安全管理措施及弱点访谈。物理安全访谈表进行物理安全控制措施及弱点访谈网络架构安全访谈表进行网络架构安全控制措施及弱点访谈网络设备安全访谈表（系列）对各种网络设备进行安全控制措施及弱点访谈操作系统安全访谈表（系列）对各种操作系统进行安全控制措施及弱点访谈风险评估与管理程序组建项目组召开启动会风险评估计划制定实施计划项目培训ISMS 总体方针整理开发工具/模板表格、工具、模板（系列）会议材料、记录培训材料、记录名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 29 页 -系统软件安全访谈表（系列）对各种系统软件进行安全控制措施及弱点访谈数据库系统安全访谈表（系列）对各种数据库系统进行安全控制措施及弱点访谈应用系统安全访谈表对各种应用系统进行安全控制措施及弱点访谈3)人工检测表根据现场访谈结果，进行管理、网络、系统、应用手工检查或测试。人工检测表与访谈表可合并成一个安全评估表，包括：安全管理核查表检查安全管理措施落实情况。网络设备安全检测表（系列）检查或测试各种网络设备安全控制及弱点情况操作系统安全检测表（系列）检查或测试各种操作系统安全控制及弱点情况系统软件安全检测表（系列）检查或测试各种系统软件安全控制及弱点情况数据库系统安全检测表（系列）检查或测试各种数据库系统安全控制及弱点情况应用系统安全检测表检查或测试各种应用系统安全控制及弱点情况4)文档模板文档模板用于统一文档风格，进行结果记录、统计与分析。ISMS建设文档模板包括：I SMS 各级文件模板资产风险评估表规划表其它文件模板5)知识库或指标库风险评估模型与指标（如：风险类别、风险分级等）规划方法模型与指标差距分析准则6)技术检测工具（主要进行安全扫描和渗透测试）弱点扫描工具嗅探工具其它自动化工具项目准备阶段另外两项重要的工作任务是召开启动会和进行项目背景知识培训。启动会主要活动包括：1)领导讲话2)项目任务/计划介绍3)任务分配与确认4)形成项目执行决议项目背景知识培训主要涉及BS7799/ISO27000 知识培训，项目实施过程/方法/工具培训名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 29 页 -等。可以在培训后根据甲方的意愿进行培训考试。项目准备各方参与情况见下表：岗位主要任务或活动备注制定实施计划组建项目组整 理 开 发 工具/模板召开启动会项目培训甲方参与人员IT 管理人员协助安全管理人员协助IT 运维人员协助IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注DOC ISMS总体方针政策DOC 风险评估与管理程序主要输出类型名称备注DOC ISMS总体实施计划DOC ISMS风险评估计划DOC/XLS 威胁调查问卷系列DOC/XLS 信息安全管理调查问卷系列DOC/XLS IT 组织情况调查表DOC/XLS 信息系统调查表系列DOC/XLS 安全管理评估表DOC/XLS 物理安全评估表DOC/XLS 网络架构安全评估表DOC/XLS 网络设备安全评估表系列DOC/XLS 操作系统安全评估表系列DOC/XLS 系统软件安全评估表系列DOC/XLS 数据库系统安全评估表系列DOC/XLS 应用系统安全评估表DOC/XLS 风险评估模型与指标DOC/XLS 资产风险评估表DOC/XLS 差距分析准则DOC/XLS 规划方法模型与指标DOC/XLS 规划表DOC/XLS ISMS各级文件模板软硬件弱点扫描工具名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 29 页 -软硬件嗅探工具软硬件其它自动化工具PPT 项目计划介绍DOC 会议日程安排DOC 会议签到表DOC 会议记录系列DOC 培训日程安排（或计划）PPT ISMS项目背景知识培训PPT ISMS项目实施培训DOC 培训考题DOC 培训签到表DOC 培训答卷主要工具/模板名称类型用途备注3风险评估3.1 现状分析通过问卷调查、访谈、检查及测试等多种方式尽可能多的收集信息系统及安全管理相关信息，对收集到的信息进行综合分析和整理，形成差距分析报告和现状报告。主要工作任务及内容（活动）1)问卷调查对 ISMS范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的主要威胁情况以及发生的主要安全事件。2)现场访谈面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。3)手工检测人工检查或测试系统的安全管理落实情况。4)安全扫描使用自动化工具进行网络、操作系统、数据库或应用系统扫描。5)渗透测试对网络、操作系统、数据库或应用系统实施渗透测试，可选。6)综合分析对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。7)撰写报告撰写差距分析报告和现状报告。名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 29 页 -主要工作方式/方法（工作方式、职责划分、工作方法）现状分析的目的是收集信息系统及安全管理的相关信息，所采用的手段包括：问卷调查、现场访谈、检查与测试等，在进行现状分析前需要准备完成相关的现状调研及分析工具模板。具体包括：调查问卷现场访谈表人工检测表自动扫描工具等其中调查问卷需要根据ISMS范围内的人员岗位分别定制，现场访谈表、人工检测表需要根据网络及系统平台类别分别定制。各种主要手段功用及工作底稿描述如下：问卷调查主要用于信息安全管理意识、安全威胁及相关安全事件了解。问卷调查的工作底稿主要是问卷答卷。现场访谈主要了解物理、网络、操作系统、数据库系统、应用系统的基本信息以及其安全管理设计情况。现场访谈工作底稿包括：访谈计划、访谈结果记录等。人工检测表主要用于核查安全管理的落实情况，检查或测试各类网络设备、操作系统、数据库系统、应用系统的安全实现情况。工作底稿主要是检测结果记录。自动扫描主要用于对网络设备、操作系统、数据库系统或应用系统的进行自动化扫描。工作底稿包括：扫描计划、扫描原始记录、扫描报告等。渗透测试主要对网络设备、操作系统、数据库系统或应用系统的实施渗透。工作底稿包括：渗透测试计划、渗透测试记录、渗透测试报告等。现状分析的过程如下：各方参与情况见下表：岗位主要任务或活动备注问 卷现 场 访手工检安全扫渗透测综合分撰写问卷调查工作底稿问卷调查手工检测现场访谈现场访谈工作底稿自动扫描渗透测试综合分析撰写报告手工检测工作底稿自动扫描工作底稿差距分析报告风险评估计划渗透检测工作底稿现状报告资产清单名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 29 页 -调查谈查描试析报告甲方参与人员IT 管理人员协助安全管理人员协助IT 运维人员协助IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注DOC 风险评估计划来自前面任务输出主要输出类型名称备注DOC/XLS 问卷调查工作底稿系列DOC/XLS 现场访谈工作底稿系列DOC/XLS 手工检测工作底稿系列DOC/XLS 自动扫描工作底稿系列DOC/XLS 渗透测试工作底稿系列DOC/XLS 资产清单DOC 差距分析报告DOC 现状分析报告主要工具/模板名称类型用途备注调查问卷DOC/XLS 由甲方人员填写的问卷不同级别或类别人员可能需要不同的问卷访谈表DOC/XLS 由咨询人员使用的面对面访谈提纲或问题不同类别对象需要不同的访谈表检测表DOC/XLS 由咨询人员使用的检测提纲或检查程序不同类别对象需要不同的检查表扫描工具软硬件由咨询人员使用的自动化安全扫描软件差 距 分 析准则DOC/XLS 咨询人员用于差距分析3.2 风险评价依据确定的风险评估模型与方法，对现状分析阶段识别出的资产、威胁、弱点以及由此而形成的资产综合风险进行分析评价，形成风险评估报告。主要工作任务及内容（活动）1)资产评价名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 29 页 -评估资产价值。2)威胁评价评估威胁发生可能性。3)弱点评价评估弱点严重程度。4)风险评价综合资产评价、威胁评价、弱点评价结果评估资产面临的风险。5)风险评估报告形成风险评估报告。主要工作方式/方法（工作方式、职责划分、工作方法）风险评价充分利用了现状分析阶段收集的资产、威胁、弱点以及安全控制的相关信息，按照确定风险评估模型及方法，评估资产面临的风险。风险评价过程如下：各方参与情况见下表：岗位主要任务或活动备注资产评价威 胁 评价弱点评价风险评价撰写风险评估报告甲方参与人员IT 管理人员安全管理人员IT 运维人员IT 开发人员咨询方参与人员咨询顾问协助主要输入类型名称备注DOC/XLS 现状分析工作底稿（系列）来自前面任务输出DOC 现状报告来自前面任务输出DOC 差距分析报告来自前面任务输出威胁评价资产评价弱点评价风险评价撰写风险评估报告风险评估报告现状分析工作底稿、报告资产清单资产风险评估表名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 29 页 -DOC/XLS 资产清单来自前面任务输出主要输出类型名称备注DOC/XLS 资产风险评估表DOC 风险评估报告主要工具/模板名称类型用途备注风险评估模型与指标DOC/XLS 执行资产、威胁、弱点及风险评价资产风险评估表模板DOC/XLS 记录资产风险评估结果3.3 风险处置根据风险处置标准，确定风险处置方式。对于那些需要控制的风险，需要选择安全控制措施，制定风险处置计划，进行残余风险分析。主要工作任务及内容（活动）1)选择风险处置方式根据确定的风险接受准则，选择风险处置方式，如：接受、控制、转移、规避等。2)选择安全控制措施对于确定为控制的风险，选择ISO27002 中的或其它的安全控制措施。3)制定风险处置计划对确定为控制的风险，制定相应的风险处理计划，包括任务、人员、时间安排4)残余风险分析分析控制实施后的残余风险。主要工作方式/方法（工作方式、职责划分、工作方法）风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。风险接受：包括低于一定的风险水平本身就可接受的风险，或者那些不可避免，而且技术上、资源上不可能采取对策来降低，或者降低对组织来说不经济的风险。风险控制：采用适当的控制以降低风险：包括降低安全事件发生的可能性或者降低安全事件影响两个方面，这时风险处置的重点。风险转移：将风险和其他的利益方分担，避免自己承担全部损失。例如保险和其他的风险分担合同。风险规避：通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可能产生的风险，通常这些业务、活动不是组织的核心内容。对于选择为接受的风险，根据ISO27001 要求，需要获得管理者的批准，并对这些风险进行监视，一旦风险状态或者控制条件发生变化需要重新评估风险并识别和评价风险处理的方法。对于选择为控制的风险，可以从ISO27002 中选择降低风险的控制措施，包括信息安全方针、安全组织、资产分类和控制、人员安全、物理和环境安全、通信和操作管理、访问控名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 29 页 -制、信息系统的获取及开发和维护、安全事件管理、业务连续性管理、符合性十一大方面。这些控制可以从降低安全事件发生的可能性或者降低安全事件影响两个方面来降低风险。在选取控制措施后，还需要针对这些风险制定风险处置计划，风险处置计划是针对风险评估所识别的不可接受风险而制定的风险处理办法和进度表,风险处置计划中应详细的列出：1）所选择的处理方法；2）当前已有控制；3）建议实施的控制；4）实施时间及人员安排等。最后针对实施处置计划后的资产残余风险进行分析，要么由管理层批准接受残余风险，要么继续选择控制措施，制定处置计划，直到管理层批准接受残余风险。此外组织在采取“风险规避”或者“风险转移”的处理方法时，应该注意其局限性，而且可能因此而引入新的风险。风险处置过程如下：各方参与情况见下表：岗位主要任务或活动备注选择风险处置方式选择安全控制措施制 定 风 险 处置计划残余风险分析甲方参与人员IT 管理人员安全管理人员IT 运维人员IT 开发人员咨询方参与人员咨询顾问协助主要输入类型名称备注DOC/XLS 资产风险评估表来自前面任务输出主要输出类型名称备注DOC/XLS 资产风险处置表主要工具/模板选择安全控制措施选择风险处置方式制定风险处置计划残余风险分析资产风险处置表资产风险评估表名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 29 页 -名称类型用途备注DOC/XLS 风险接受准则用于确定风险处置方式4安全体系规划与设计4.1 安全体系规划对于大型组织而言，由于ISMS涉及范围广，建立完善的信息安全管理体系将是一个长期的过程，因此需要规划信息安全管理体系建设的任务及过程，形成信息安全管理体系建设规划报告，分阶段分步骤建设信息安全管理体系。对于ISMS范围较小的组织，在风险评估后可以跳过本阶段而直接进入安全体系文档设计阶段。主要工作任务及内容（活动）1)ISMS建设任务或项目分解将资产风险处置结果转换为任务或项目。2)安全任务或项目实施规划规划任务或项目的实施计划。3)撰写规划报告综合前面分析形成规划报告主要工作方式/方法（工作方式、职责划分、工作方法）在进行信息安全管理体系建设规划时首先要分析上一阶段得出的资产风险处置结果，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容及实施优先级，然后根据任务或项目的实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。在确定任务或项目的实施优先级时需要使用规划方法模型指标。安全体系规划流程如下：各方参与情况见下表：岗位主要任务或活动备注任务或项目分解任务或项目实施规划撰写规划报告甲方参与人员IT 管理人员协助安全管理人员协助任务或项目实施规划任务或项目分解撰写规划报告信息安全建设规划报告资产风险处置表规划工作底稿名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 29 页 -IT 运维人员协助IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注DOC/XLS 资产风险处置表来自前面任务输出主要输出类型名称备注DOC/XLS 信息安全建设规划底稿DOC 信息安全建设规划报告主要工具/模板名称类型用途备注规划方法模型指标DOC/XLS 用于任务或项目实施规划4.2 编写安全体系文档按照风险评估或安全体系规划结果，编写信息安全管理体系文档，包括1、2、3、4 级文档、技术方案等。主要工作任务及内容（活动）1)确定 ISMS文件清单根据风险评估及规划结果确定需要的ISMS文件清单。2)制定 ISMS文件编写计划3)编写 ISMS文件按计划编写1、2、3、4 级文档、技术方案等。4)ISMS文件评审讨论评审 ISMS文件或技术方案。主要工作方式/方法（工作方式、职责划分、工作方法）ISMS 文档包括与安全相关的管理制度/流程/标准/指南/操作手册/模板以及相关技术方案等。一般分为四级文件，分别是：一级文件：ISMS总体文件，包括：总体安全方针政策安全管理手册适用性声明（SOA）二级文件：ISMS通用程序，主要包括：文件控制程序名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页，共 29 页 -记录控制程序内部审核管理程序管理评审管理程序预防及不符合纠正控制程序信息安全风险评估与管理程序三级文件：专项安全处理程序、操作指南、操作手册等。各种专项信息安全策略（含管理规定、办法、制度等）各种信息安全处理流程/程序各种信息安全标准/指南/操作手册四级文件：运行ISMS所用到的记录、模板等。本任务过程如下：各方参与情况见下表：岗位主要任务或活动备注确定ISMS 文件清单制定 ISMS文件编写计划编 写ISMS文件ISMS文件评审甲方参与人员IT 管理人员协助安全管理人员协助IT 运维人员协助IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注DOC 差距分析报告来自前面任务输出DOC/XLS 资产风险处置表来自前面任务输出DOC 信息安全建设规划报告来自前面任务输出主要输出类型名称备注DOC ISMS文件清单制定 ISMS 文件编写计划确定 ISMS 文件清单差距分析报告信息安全建设规划报告ISMS 文件（系列）ISMS 文件评审ISMS 文件清单编写 ISMS 文件ISMS 文件编写计划资产风险处置表文件评审记录（系列）名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 29 页 -DOC ISMS文件编写计划DOC/XLS ISMS文件系列DOC/XLS 文件评审记录系列主要工具/模板名称类型用途备注ISMS文件模板（包括手册、策略、程序、记录等格式模板）DOC/XLS 统一文档格式5安全体系实施、调整、评审5.1 体系实施按照 ISMS文件，落实安全管理组织，部署安全控制措施，运行安全控制程序。主要工作任务及内容（活动）1)体系批准2)制定实施计划3)建立安全管理组织4)体系培训5)体系实施6)实施总结主要工作方式/方法（工作方式、职责划分、工作方法）在实施和运行ISMS前，需要获得最高管理者批准授权。最高管理者需要任命ISMS管理者代表、签署ISMS文档。此外还必须按照ISMS体系要求建立安全管理组织，进行ISMS培训。对于大型组织，ISMS实施可以采用先试点、后推广分阶段进行。实施过程如下：ISMS 文档体系培训建立安全管理组织培训记录及材料（系列）体系实施实施记录（系列）实施报告体系批准ISMS 实施工作计划实施总结制定实施计划ISMS 批准及授权书名师资料总结-精品资料欢迎下载-名师精心整理-第 22 页，共 29 页 -各方参与情况见下表：岗位主要任务或活动备注体 系 批准制 定 体 系实施计划建 立 安 全管理组织体 系培训体系实施实施总结甲方参与人员IT 管理人员安全管理人员IT 运维人员IT 开发人员咨询方参与人员咨询顾问协助与指导主要输入类型名称备注DOC ISMS文档来自前一任务输出主要输出类型名称备注DOC 授权及批准书DOC ISMS实施工作计划DOC 安全管理组织结构图可以放在 ISMS总体方针中DOC 培训日程安排（或计划）PPT ISMS体系培训DOC 培训签到表DOC ISMS实施进度跟踪表系列DOC ISMS实施问题汇总表系列DOC ISMS实施报告主要工具/模板名称类型用途备注5.2 体系调整根据 ISMS的实施、运行及评审情况，调整ISMS的设计与部署。主要工作任务及内容（活动）1)制定调整计划2)实施体系调整名师资料总结-精品资料欢迎下载-名师精心整理-第 23 页，共 29 页 -主要工作方式/方法（工作方式、职责划分、工作方法）在 ISMS实施或者评审完成后，可以根据实施情况或者评审报告，对实施及运行过程中发现的 ISMS设计与部署问题进行整改。体系调整过程如下：各方参与情况见下表：岗位主要任务或活动备注制定调整计划体系调整甲方参与人员IT 管理人员安全管理人员IT 运维人员IT 开发人员咨询方参与人员咨询顾问协助与指导主要输入类型名称备注DOC 体系实施报告来自前面任务输出DOC 体系评审报告来自前面任务输出主要输出类型名称备注DOC ISMS调整计划DOC ISMS体系文档（改进稿）系列主要工具/模板名称类型用途备注5.3 体系评审对 ISMS的实施及运行情况进行评审，包括ISMS内部审核和ISMS管理评审。主要工作任务及内容（活动）1)内部审核2)管理层评审体系调整制定调整计划ISMS 调整计划调整结果及记录体系实施报告体系评审报告名师资料总结-精品资料欢迎下载-名师精心整理-第 24 页，共 29 页 -主要工作方式/方法（工作方式、职责划分、工作方法）在 ISMS实施并运行一段时间后应该按照ISO27001 要求，对ISMS进行内部审核和管理评审，为ISMS的外部认证审核做好准备。ISMS内部审核的目的是确定已经实施并运行的ISMS的控制目标、控制措施、过程和程序是否：符合 ISO27001 的要求和相关法律法规的要求；符合已识别的信息安全要求；得到有效地实施和维护；按预期执行。内部审核一般有六个主要步骤，即确定任务、审核准备、审核的实施、编写不符合报告、纠正措施的跟踪、全面审核报告的编写和纠正措施完成情况的汇总分析（具体过程参见ISMS内部审核服务）。管理评审的目的是确保ISMS的适宜性、充分性和有效性。评审应包括评价ISMS改进的机会和变更的需要，包括安全方针和安全目标，评审的结果应清晰地形成文件，记录应加以保持。内部审核需要将ISMS文件、体系实施报告及体系运行记录作为输入。管理评审则以内部审核报告结果作为主要输入。体系评审过程如下：各方参与情况见下表：岗位主要任务或活动备注制定调整计划体系调整甲方参与人员IT 管理人员安全管理人员IT 运维人员IT 开发人员咨询方参与人员咨询顾问协助与指导主要输入类型名称备注DOC ISMS实施报告来自前面任务输出DOC/XLS ISMS文档来自前面任务输出DOC/XLS ISMS运行记录主要输出类型名称备注管理评审内部审核内部审核工作底稿管理评审工作底稿体系实施报告体系运行记录ISMS 体系文件名师资料总结-精品资料欢迎下载-名师精心整理-第 25 页，共 29 页 -DOC ISMS内部审核计划DOC ISMS内部审核工作底稿系列DOC ISMS内部审核报告DOC ISMS管理评审核划（或日程安排）DOC ISMS管理评审报告主要工具/模板名称类型用途备注附件 1：项目主要任务及活动列表阶段过程主要任务主要活动必选可选备注准备确定 ISMS范围业务战略及规划一致性分析法规制度符合性分析业务运营影响分析确定 ISMS范围确定信息安全总体方针政策业务及系统初步安全需求分析确定 ISMS总体方针政策定义风险评估与管理方法确定风险评估模型及相关指标准则制定风险评估与管理程序项目准备制定实施计划组建项目组整理开发工具/模板项目启动会培训风险评估现状分析问卷调查现场访谈手工检测安全扫描渗透测试综合分析撰写报告风险评价资产评价威胁评价弱点评价风险评价名师资料总结-精品资料欢迎下载-名师精心整理-第 26 页，共 29 页 -撰写风险评估报告风险处置选择风险处置方式选择安全控制措施制定风险处置计划残余风险分析安全 体系规划与设计安全体系规划任务或项目分解任务或项目实施规划撰写规划报告编写安全体系文档确定 ISMS文件清单制定 ISMS文件编写计划编写 ISMS文件ISMS文件评审安全 体系实施、调整、评审体系实施体系批准制定实施工作计划建立安全管理组织体系培训体系实施实施