信息安全管理标准理解教材.pdf

长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司信息安全管理体系要求信息安全管理体系要求ISO/IEC 27001:2005标准培训标准培训内部审核员教材内部审核员教材信息安全管理体系审核培训教材北京联合智业认证有限公司信息安全管理体系要求信息安全管理体系要求ISO/IEC 27001:2005标准解读ISO/IEC 27001:2005标准解读主讲：刘士海主讲：刘士海信息安全管理体系审核培训教材北京联合智业认证有限公司主要内容 一、信息安全 二、ISO/IEC 27001:2005 由来 三、实施ISMS的收益 四、标准解读 五、控制目标与措施信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 1 范围1 范围 1.1总则1.1总则 信息安全管理体系要求信息安全管理体系要求 本标准适用于所有类型的组织（如商业企业、政府机构和非盈利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。本标准适用于所有类型的组织（如商业企业、政府机构和非盈利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并使相关方充满信心。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并使相关方充满信心。注1：本标准中提及的“业务”是指关系一个组织生存的核心活动。注1：本标准中提及的“业务”是指关系一个组织生存的核心活动。注2：ISO/IEC 17799 为策划控制措施提供了实施指南。注2：ISO/IEC 17799 为策划控制措施提供了实施指南。理解要点：理解要点：1）从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的）从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了详细的要求；规定了详细的要求；2）为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。）为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。体系设计目标：体系设计目标：确保适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。确保适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。需要注意的是：需要注意的是：ISMS是基于组织的整体业务风险角度建立的，风险评估在体系的建立过程中起到至关重要的作用。是基于组织的整体业务风险角度建立的，风险评估在体系的建立过程中起到至关重要的作用。组织存在的目的举例：企业盈利组织存在的目的举例：企业盈利信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 1.2应用应用 本标准所规定的要求是通用的，适用于各种类型、不同规模和业务性质的组织。组织若对第本标准所规定的要求是通用的，适用于各种类型、不同规模和业务性质的组织。组织若对第4、5、6、7 和和8 条款的内容进行了删减，则不得宣称符合本标准。条款的内容进行了删减，则不得宣称符合本标准。标准适用范围：各种类型、规模和特性的组织。标准适用范围：各种类型、规模和特性的组织。控制措施删减的限制：控制措施删减的限制：删减仅限于对附录删减仅限于对附录A中的控制目标和控制措施，对于第中的控制目标和控制措施，对于第4，5，6，7，8章的要求不能删减；章的要求不能删减；信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 必须证明任何控制措施的删减满足风险接受准则，且需要提供证据证明相关风险已被负责人接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和必须证明任何控制措施的删减满足风险接受准则，且需要提供证据证明相关风险已被负责人接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。或责任，否则不能声称符合本标准。删减必须被证明是合理的；删减必须被证明是合理的；需要提供证据证明相关风险已被负责人员接受需要提供证据证明相关风险已被负责人员接受 删减不影响组织提供由风险评估和适用法律法规要求所确定的安全需求的能力和删减不影响组织提供由风险评估和适用法律法规要求所确定的安全需求的能力和/或责任；控制措施删减的原因：或责任；控制措施删减的原因：1）组织的业务需求和目标不同；）组织的业务需求和目标不同；2）所采用的过程以及规模结构设计不同；）所采用的过程以及规模结构设计不同；3）满足风险接受准则）满足风险接受准则长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 注：如果组织已经存在一个操作性业务过程管理体系（如注：如果组织已经存在一个操作性业务过程管理体系（如ISO90001或或ISO14001），那么在大多数情况下，更可取的是在现有管理体系的范围内更好的满足本标准的要求。），那么在大多数情况下，更可取的是在现有管理体系的范围内更好的满足本标准的要求。需要注意的是：需要注意的是：ISO/IEC 27001 对需要采用标准的组织而言，是最基本的要求。组织所建立的对需要采用标准的组织而言，是最基本的要求。组织所建立的ISMS可超出标准要求，但不能低于标准要求。如果要把标准作为审核的依据，那么组织的可超出标准要求，但不能低于标准要求。如果要把标准作为审核的依据，那么组织的ISMS必须满足标准的所有要求，删减要满足规定的前提。必须满足标准的所有要求，删减要满足规定的前提。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 2.引用标准引用标准 下列文件中的条款通过本标准的引用而成为本标准的条款。对标注日期的条文只有引用的版本适用于本标准。凡事未标注日期的引用条文，其最新版本适用于本标准。下列文件中的条款通过本标准的引用而成为本标准的条款。对标注日期的条文只有引用的版本适用于本标准。凡事未标注日期的引用条文，其最新版本适用于本标准。ISO/IEC 17799:2005 信息技术安全技术信息安全管理实施指南信息技术安全技术信息安全管理实施指南 理解要点：理解要点：ISO/IEC 27001明确了明确了ISO/IEC17799:2005为其引用标准，为其引用标准，ISO/IEC 27001附录附录A 的控制目标和控制措施便是直接引自的控制目标和控制措施便是直接引自ISO/IEC 17799:2005，并与其保持一致。，并与其保持一致。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.术语定义术语定义 本标准采用以下术语和定义本标准采用以下术语和定义 3.1资产资产 对组织有价值的任何东西。对组织有价值的任何东西。ISO/IEC13335-1:2004 3.2可用性可用性 需要时，授权实体可以访问和使用的特性。需要时，授权实体可以访问和使用的特性。ISO/IEC13335-1:2004 ISO/IEC17799:2005 理解要点：理解要点：在所列术语中，除在所列术语中，除“信息安全管理体系信息安全管理体系”和和“适用性声明适用性声明”外，其余皆引自其他信息安全相关标准。外，其余皆引自其他信息安全相关标准。其中其中“保密性保密性”、“完整性完整性”、“可用性可用性”的解释有助于理解的解释有助于理解“信息安全信息安全”概念，另外在信息安全概念中，还涉及其他属性：真实性，可稽查性，不可否认性和可靠性。概念，另外在信息安全概念中，还涉及其他属性：真实性，可稽查性，不可否认性和可靠性。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.术语定义术语定义 本标准采用以下术语和定义本标准采用以下术语和定义 3.3保密性保密性 信息不能被未授权的个人、实体或者过程利用或知悉的特性。信息不能被未授权的个人、实体或者过程利用或知悉的特性。ISO/IEC13335-1:2004 3.4信息安全信息安全 保护信息的保密性、完整性、可用性；及其他属性例如：真实性、可核查性、可靠性、不可否认性。保护信息的保密性、完整性、可用性；及其他属性例如：真实性、可核查性、可靠性、不可否认性。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.5信息安全事态（信息安全事态（Event）信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施失效，或是和安全关联的一个先前未知的状态。信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施失效，或是和安全关联的一个先前未知的状态。3.6信息安全事件（信息安全事件（Incident）一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大可能性。一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大可能性。信息安全事件信息安全事件”和和“信息安全事故信息安全事故”两者关系为：信息安全事件可能预示着一个风险的发生，也可能仅仅是一个错误警报。只有当信息安全事件具有损害业务运作和威胁信息安全的重大的可能性时，才称其为两者关系为：信息安全事件可能预示着一个风险的发生，也可能仅仅是一个错误警报。只有当信息安全事件具有损害业务运作和威胁信息安全的重大的可能性时，才称其为“信息安全事故信息安全事故”。信息安全管理体系信息安全管理体系”是是27001提出的术语。管理体系除提出的术语。管理体系除ISMS之外，还有大家熟悉的之外，还有大家熟悉的QMS、EMS等，因此等，因此ISMS是整个管理体系的一部分。按照是整个管理体系的一部分。按照QMS也可以解释为：也可以解释为：“在信息安全方面指挥和控制组织的管理体系在信息安全方面指挥和控制组织的管理体系”信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.7信息安全管理体系（信息安全管理体系（ISMS）基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个体系的一部分。基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个体系的一部分。注：管理体系包括组织结构、注：管理体系包括组织结构、方针策略、策划活动、职责、方针策略、策划活动、职责、实践、规程、过程和资源。实践、规程、过程和资源。3.8完整性完整性 保护资产的正确和完整的特性。保护资产的正确和完整的特性。长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.9残余风险残余风险 经过风险处臵后仍遗留的风险。经过风险处臵后仍遗留的风险。ISO/IEC Guide 73:2002 3.10风险接受风险接受 接受风险的决策。接受风险的决策。ISO/IEC Guide 73:2002 3.11风险分析风险分析 系统地使用信息以识别来源和估计风险。系统地使用信息以识别来源和估计风险。ISO Guide 73:2002 3.12风险评估风险评估 风险分析和风险评价的整个过程。风险分析和风险评价的整个过程。ISO Guide 73:2002信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.13风险评价风险评价 将估计的风险与既定的风险准将估计的风险与既定的风险准 则进行比较以确定风险严重性则进行比较以确定风险严重性 的过程。的过程。ISO Guide 73:2002 3.14风险管理风险管理 指导和控制一个组织相关风险指导和控制一个组织相关风险 的协调活动。的协调活动。ISO Guide 73:2002 注：典型风险管理包括风险评估、风险处臵、风险接受和风险沟通。注：典型风险管理包括风险评估、风险处臵、风险接受和风险沟通。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3.15风险处臵风险处臵 选择并且执行措施来更改风险选择并且执行措施来更改风险 的过程。的过程。ISO Guide 73:2002 注：本标准中的术语注：本标准中的术语“控制措施控制措施”等同于等同于“措施措施”。3.16适用性声明适用性声明 描述与组织描述与组织ISMS相关的适用的相关的适用的 控制目标和控制措施的文件。控制目标和控制措施的文件。注注:控制目标和控制措施是基于风控制目标和控制措施是基于风 险评估和风险处臵过程的结果险评估和风险处臵过程的结果 和结论、法律法规要求、合同和结论、法律法规要求、合同 义务和组织对信息安全的业务义务和组织对信息安全的业务 要求。要求。“适用性声明适用性声明”是描述组织控制目是描述组织控制目 标和控制措施的文件，这些控制目标和控制措施的文件，这些控制目 标和控制措施与组织的标和控制措施与组织的ISMS相关，相关，并适用于组织的并适用于组织的ISMS。组织在实施。组织在实施 ISMS时，可根据其实际情况选择合时，可根据其实际情况选择合 适的控制目标和控制措施适的控制目标和控制措施。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读4.信息安全管理体系信息安全管理体系4.1总要求总要求组织应根据其整体业务活动和面临的风险环境，建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。所使用的过程基于图组织应根据其整体业务活动和面临的风险环境，建立、实施、运行、监视、评审、保持并改进文件化的信息安全管理体系。所使用的过程基于图1所示的所示的PDCA模型。模型。本条款给出了建立本条款给出了建立ISMS的总要求和思路，一个组织要建立的总要求和思路，一个组织要建立ISMS,必须遵循一下必须遵循一下3个原则：个原则：建立的建立的ISMS要基于组织的业务、风险评估结果及相关要求。要基于组织的业务、风险评估结果及相关要求。ISMS是基于一个组织的整体风险角度建立的，它为业务服务，可以在一定程度上保证业务的正常运行，避免风险的发生，风险评估体系的建立过程中起到至关重要的作用。是基于一个组织的整体风险角度建立的，它为业务服务，可以在一定程度上保证业务的正常运行，避免风险的发生，风险评估体系的建立过程中起到至关重要的作用。ISMS应形成文件。应该意识到，应形成文件。应该意识到，ISMS应适当地文件化，但标准的目的并不在于统一应适当地文件化，但标准的目的并不在于统一ISMS的结构或文件，而只是通过文件化这样一种方式来更好地实施管理体系。的结构或文件，而只是通过文件化这样一种方式来更好地实施管理体系。体系中的过程基于体系中的过程基于PDCA模型。过程方法和模型。过程方法和PDCA循环模型是循环模型是ISMS建立和实施过程中的重要原则，在体系的所有过程中均应体现这两个原则。建立和实施过程中的重要原则，在体系的所有过程中均应体现这两个原则。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 4.2建立并管理建立并管理ISMS 4.2.1 建立建立ISMS a)根据业务、组织、位置、资产、技术等方面的特性，确定根据业务、组织、位置、资产、技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由的范围和边界，包括对范围任何删减的详细说明和正当性理由见见1.2。理解要点：理解要点：a)要建立要建立ISMS,必须首先确定必须首先确定ISMS所覆盖的业务范围及边界，即所覆盖的业务范围及边界，即ISMS的范围。可以根据组织的实际情况，将组织的一部分定义为的范围。可以根据组织的实际情况，将组织的一部分定义为ISMS范围，也可以将组织整体定义为范围，也可以将组织整体定义为ISMS范围。范围。ISMS范围必须用正式的文件加以记录。范围必须用正式的文件加以记录。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读b)根据业务、组织、位臵、资产、技术等方面的特性，确定根据业务、组织、位臵、资产、技术等方面的特性，确定ISMS方针，方针应：方针，方针应：1)包括建立目标的框架，并建立信息安全活动的总方向和总原则；包括建立目标的框架，并建立信息安全活动的总方向和总原则；2)考虑业务和法律法规要求，以及合同安全义务；考虑业务和法律法规要求，以及合同安全义务；3)根据组织战略性的风险管理框架，建立和保持根据组织战略性的风险管理框架，建立和保持ISMS；4)建立风险评价的准则和定义风险评估的结构建立风险评价的准则和定义风险评估的结构见见4.2.1c；5)经过了管理层的批准。经过了管理层的批准。注：本文件中将注：本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。b)ISMS方针是组织用于评价方针是组织用于评价ISMS运行有效性的一个判定依据，运行有效性的一个判定依据，ISMS方针一般由组织的管理者批准发布，以体现管理者对信息安全的承诺和支持。方针一般由组织的管理者批准发布，以体现管理者对信息安全的承诺和支持。制定制定ISMS方针的目的可以归纳为以下方针的目的可以归纳为以下5个方面：个方面：为组织提供信息安全关注的焦点，指明方向，确定目标。为组织提供信息安全关注的焦点，指明方向，确定目标。确保确保ISMS被充分理解和贯彻实施。被充分理解和贯彻实施。统领整个统领整个ISMS。传达到组织控制下的人员。传达到组织控制下的人员。公开状态。公开状态。长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读b)根据业务、组织、位臵、资产、技术等方面的特性，确定根据业务、组织、位臵、资产、技术等方面的特性，确定ISMS方针，方针应：方针，方针应：1)包括建立目标的框架，并建立信息安全活动的总方向和总原则；包括建立目标的框架，并建立信息安全活动的总方向和总原则；2)考虑业务和法律法规要求，以及合同安全义务；考虑业务和法律法规要求，以及合同安全义务；3)根据组织战略性的风险管理框架，建立和保持根据组织战略性的风险管理框架，建立和保持ISMS；4)建立风险评价的准则和定义风险评估的结构建立风险评价的准则和定义风险评估的结构见见4.2.1c；5)经过了管理层的批准。经过了管理层的批准。注：本文件中将注：本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。一个组织在确定其一个组织在确定其ISMS方针时，可考虑下列内容：方针时，可考虑下列内容：组织对信息安全的定义。组织对信息安全的定义。信息安全总体的目标和范围。信息安全总体的目标和范围。管理者对信息安全的承诺与支持的声明。管理者对信息安全的承诺与支持的声明。符合相关标准、法律法规和其他要求的声明。符合相关标准、法律法规和其他要求的声明。对信息安全管理的总体责任和具体责任的定义。对信息安全管理的总体责任和具体责任的定义。相关支持文件。应注意的是，相关支持文件。应注意的是，ISMS方针是信息安全方针的一个扩展集。方针是信息安全方针的一个扩展集。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读c)确定组织的风险评估方法：确定组织的风险评估方法：1)识别适用于识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；、已识别的业务信息安全和法律法规要求的风险评估方法；2)制定接受风险的准则，识别可接受的风险等级制定接受风险的准则，识别可接受的风险等级见见5.1f。选择的风险评估方法应确保可以产生可比较的和可重复的结果。选择的风险评估方法应确保可以产生可比较的和可重复的结果。注：存在多种风险评估方法。如，在注：存在多种风险评估方法。如，在ISO/IEC TR13335-IT安全管理指南安全管理指南IT安全管理技术中讨论的风险评估方法。安全管理技术中讨论的风险评估方法。c)风险评估作为建立风险评估作为建立ISMS，必须选择合适的方法。，必须选择合适的方法。1)选择的方法要适用于组织的安全要求、商业环境、商业规模和该组织所面临的风险，而且所采用的方法还要能够瞄准主要的安全工作和资源。风险评估方法在很多文献中都有所描述，例如选择的方法要适用于组织的安全要求、商业环境、商业规模和该组织所面临的风险，而且所采用的方法还要能够瞄准主要的安全工作和资源。风险评估方法在很多文献中都有所描述，例如ISO 13335-3 NIST SP 800-30等，另外还有很多风险评估工具，像等，另外还有很多风险评估工具，像OCTAVE、CRAMM等。无论组织采用哪种风险评估方法，都必须满足一个要求：选择的风险评估方法应确保风险评估产生等。无论组织采用哪种风险评估方法，都必须满足一个要求：选择的风险评估方法应确保风险评估产生可比较的和可再现可比较的和可再现的结果。的结果。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读c)确定组织的风险评估方法：确定组织的风险评估方法：1)识别适用于识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；、已识别的业务信息安全和法律法规要求的风险评估方法；2)制定接受风险的准则，识别可接受的风险等级制定接受风险的准则，识别可接受的风险等级见见5.1f。选择的风险评估方法应确保可以产生可比较的和可重复的结果。选择的风险评估方法应确保可以产生可比较的和可重复的结果。注：存在多种风险评估方法。如，在注：存在多种风险评估方法。如，在ISO/IEC TR13335-IT安全管理指南安全管理指南IT安全管理技术中讨论的风险评估方法安全管理技术中讨论的风险评估方法2)在确定风险评估方法的同时，还要确定接受风险的准则，标识可以接受的风险的级别，以便于风险评估后对风险的有效处理。接受风险的准则也要参照组织的安全要求、商业环境及相关的法律法规的要求，例如组织只能接受对信息系统可用性和安全性没有影响或影响极小的风险，而对系统完整性有中度或中度以下的风险可以接受。风险的级别根据所采用的风险评估方法确定，有的风险评估方法采用数字方式显示级别，例如在确定风险评估方法的同时，还要确定接受风险的准则，标识可以接受的风险的级别，以便于风险评估后对风险的有效处理。接受风险的准则也要参照组织的安全要求、商业环境及相关的法律法规的要求，例如组织只能接受对信息系统可用性和安全性没有影响或影响极小的风险，而对系统完整性有中度或中度以下的风险可以接受。风险的级别根据所采用的风险评估方法确定，有的风险评估方法采用数字方式显示级别，例如110，1级风险最低，级风险最低，10级风险最高；而有的风险评估方法直接采用文字描述的方式，例如采用级风险最高；而有的风险评估方法直接采用文字描述的方式，例如采用“高高”、“中中”、“低低”的描述方式。的描述方式。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读c)确定组织的风险评估方法：确定组织的风险评估方法：1)识别适用于识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；、已识别的业务信息安全和法律法规要求的风险评估方法；2)制定接受风险的准则，识别可接受的风险等级制定接受风险的准则，识别可接受的风险等级见见5.1f。选择的风险评估方法应确保可以产生可比较的和可重复的结果。选择的风险评估方法应确保可以产生可比较的和可重复的结果。注：存在多种风险评估方法。如，在注：存在多种风险评估方法。如，在ISO/IEC TR13335-IT安全管理指南安全管理指南IT安全管理技术中讨论的风险评估方法安全管理技术中讨论的风险评估方法 在可接受的成本范围内，将风险降低到可以接受级别有时候是无法实现的，因此应做出决定是否要增加更多的控制或者接受更高的风险。在建立风险的可接受级别时控制的强度和需要费用应与事件的费用进行比较。在可接受的成本范围内，将风险降低到可以接受级别有时候是无法实现的，因此应做出决定是否要增加更多的控制或者接受更高的风险。在建立风险的可接受级别时控制的强度和需要费用应与事件的费用进行比较。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读d)识别风险：识别风险：1)识别识别ISMS范围内的资产及资产责任人；（术语范围内的资产及资产责任人；（术语“责任人责任人”标识了已经获得管理者的批准，负责生产、开发、维护、使用和保证资产的安全的个人或实体。术语标识了已经获得管理者的批准，负责生产、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人责任人”不是指该人员实际上对资产拥有所有权。）不是指该人员实际上对资产拥有所有权。）2)识别资产所面临的威胁；识别资产所面临的威胁；3)识别可能被威胁利用的脆弱性；识别可能被威胁利用的脆弱性；4)识别丧失保密性、完整性和可用性可能对资产造成的影响识别丧失保密性、完整性和可用性可能对资产造成的影响。d)风险评估过程一般包括风险识别、风险分析和风险评价。在风险识别过程，首先要识别组织的重要资产，并评价其价值，即该资产对组织的重要程度，可以参考资产本身的财务价值，但不能完全依赖财务价值，还需要考虑资产所承担的业务及其重要性等其他因素；然后要识别出这些资产所面临的威胁以及资产存在的脆弱性，并对威胁利用脆弱性导致资产保密性、完整性或可用性丧失后对资产造成的影响进行识别。风险评估过程一般包括风险识别、风险分析和风险评价。在风险识别过程，首先要识别组织的重要资产，并评价其价值，即该资产对组织的重要程度，可以参考资产本身的财务价值，但不能完全依赖财务价值，还需要考虑资产所承担的业务及其重要性等其他因素；然后要识别出这些资产所面临的威胁以及资产存在的脆弱性，并对威胁利用脆弱性导致资产保密性、完整性或可用性丧失后对资产造成的影响进行识别。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 e)分析并评价风险：分析并评价风险：1)在考虑资产的保密性、完整性和可用性丧失所造成的后果的情况下，评估安全失误可能造成的对组织的影响在考虑资产的保密性、完整性和可用性丧失所造成的后果的情况下，评估安全失误可能造成的对组织的影响 2)根据主要的威胁和脆弱性、对资产的影响以及已经实施的控制措施，评估安全失效发生的现实可能性；根据主要的威胁和脆弱性、对资产的影响以及已经实施的控制措施，评估安全失效发生的现实可能性；风险分析主要分析两方面的内容：风险分析主要分析两方面的内容：威胁利用脆弱性导致安全失误的影响（即风险造成的后果）和安全失误发生的现实可能性。威胁利用脆弱性导致安全失误的影响（即风险造成的后果）和安全失误发生的现实可能性。分析安全失误所造成的影响，要考虑安全失误所针对的资产的价值以及资产在保密性、完整性或可用性丧失时可能造成的对组织的影响；分析安全失误所造成的影响，要考虑安全失误所针对的资产的价值以及资产在保密性、完整性或可用性丧失时可能造成的对组织的影响；安全失误发生可能性的分析主要考虑威胁利用脆弱性导致安全失误的容易程度以及针对此方面已采取的控制措施。安全失误发生可能性的分析主要考虑威胁利用脆弱性导致安全失误的容易程度以及针对此方面已采取的控制措施。长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 3)估计风险的级别；估计风险的级别；4)确定风险是否可接受，或者是否需要根据确定风险是否可接受，或者是否需要根据4.2.1c)2)中所建立的接受风险的准则进行处理。中所建立的接受风险的准则进行处理。风险评价则是综合考虑安全失误的影响和发生可能性而得出的风险的级别。风险评价则是综合考虑安全失误的影响和发生可能性而得出的风险的级别。风险级别的得出一般通过两种方法：一是采用矩阵的方式得出风险级别，另外一种是采用影响和可能性相乘的方法得到风险的级别大小。在确定风险级别后，根据前面已确定的风险接受准则标识的风险接受级别，判断风险是否可以被组织接受。风险级别的得出一般通过两种方法：一是采用矩阵的方式得出风险级别，另外一种是采用影响和可能性相乘的方法得到风险的级别大小。在确定风险级别后，根据前面已确定的风险接受准则标识的风险接受级别，判断风险是否可以被组织接受。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 f)识别和评价风险处理的可选措施，可行的措施包括：识别和评价风险处理的可选措施，可行的措施包括：1)实施适当的控制措施；实施适当的控制措施；2)在明显满足组织方针策略和风险接受准则的前提下，有意识地、客观地接受风险在明显满足组织方针策略和风险接受准则的前提下，有意识地、客观地接受风险见见4.2.1c)2)；f)识别和评价风险处理的可选措施，可行的措施包括：识别和评价风险处理的可选措施，可行的措施包括：1)实施适当的控制措施；实施适当的控制措施；2)在明显满足组织方针策略和风险接受准则的前提下，有意识地、客观地接受风险在明显满足组织方针策略和风险接受准则的前提下，有意识地、客观地接受风险见见4.2.1c)2)；信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读3)规避风险；规避风险；4)将相关业务风险转嫁给他方，如保险公司、供应商等。将相关业务风险转嫁给他方，如保险公司、供应商等。3)如果对于组织来说有必要完全避免某些风险的发生，则需要采取措施来避免风险，如屏蔽某资产或某业务。如果对于组织来说有必要完全避免某些风险的发生，则需要采取措施来避免风险，如屏蔽某资产或某业务。4)也可以采取将风险转移到其他方的方法来降低风险，例如利用合同、保险协议和组织的结构（如合伙企业和联合企业）等把风险转移给其他相关方，在这种情况下，必须确保风险被转移到的组织了解这些风险的性质，并有能力对其进行有效的管理。也可以采取将风险转移到其他方的方法来降低风险，例如利用合同、保险协议和组织的结构（如合伙企业和联合企业）等把风险转移给其他相关方，在这种情况下，必须确保风险被转移到的组织了解这些风险的性质，并有能力对其进行有效的管理。如果已做出接受高于可接受级别的风险的决定，那么要获得管理者对接受此风险的批准。如果已做出接受高于可接受级别的风险的决定，那么要获得管理者对接受此风险的批准。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读g)选择风险处理的控制目标和控制方式。选择风险处理的控制目标和控制方式。控制目标和控制措施应加以选择和实施，以满足风险评估和风险处臵过程所识别的要求。这种选择应考虑接受风险的准则控制目标和控制措施应加以选择和实施，以满足风险评估和风险处臵过程所识别的要求。这种选择应考虑接受风险的准则见见4.2.1c)以及法律法规和合同要求。以及法律法规和合同要求。从附录从附录A中选择的控制目标和控制方式应作为这一过程的一部分，并满足这些要求。中选择的控制目标和控制方式应作为这一过程的一部分，并满足这些要求。附录附录A的控制目标和控制方式并不详尽，可以选择其他的控制目标和控制方式。的控制目标和控制方式并不详尽，可以选择其他的控制目标和控制方式。注：附录注：附录A包含了组织内一般要用到的全面的控制目标和控制措施列表。本标准用户可将附录包含了组织内一般要用到的全面的控制目标和控制措施列表。本标准用户可将附录A作为选择控制措施的出发点，以避免遗漏作为选择控制措施的出发点，以避免遗漏重要的控制措施重要的控制措施。如果需要对风险采取措施进行控制，则需要为其选择适当的控制目标和控制措施，进行选择的过程要充分考虑可接受风险的准则以及法律法规、合同要求等。如果需要对风险采取措施进行控制，则需要为其选择适当的控制目标和控制措施，进行选择的过程要充分考虑可接受风险的准则以及法律法规、合同要求等。ISO/IEC 27001附录附录A提供了控制目标和控制措施的列表，这些都是一个组织一般会用到的控制目标和控制措施。提供了控制目标和控制措施的列表，这些都是一个组织一般会用到的控制目标和控制措施。风险评估的结果可以给组织提供指导，从而组织能够管理信息安全风险，尽量避免风险的发生。评估风险和选择控制措施的过程可能需要执行多次以覆盖组织的不同部门或各个信息系统。风险评估也应按周期重复进行，以解决当有重大变化发生时安全要求和风险状态会随之发生变化的问题风险评估的结果可以给组织提供指导，从而组织能够管理信息安全风险，尽量避免风险的发生。评估风险和选择控制措施的过程可能需要执行多次以覆盖组织的不同部门或各个信息系统。风险评估也应按周期重复进行，以解决当有重大变化发生时安全要求和风险状态会随之发生变化的问题。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 h)获得管理层对建议的残余风险的批准。获得管理层对建议的残余风险的批准。i)获得管理层对实施和运行获得管理层对实施和运行ISMS的授权的授权 在不可接受的风险被降低或转移之后，仍可能保留残余风险，因此必须取得管理者对建议的残余风险的批准，已经对实施和运行在不可接受的风险被降低或转移之后，仍可能保留残余风险，因此必须取得管理者对建议的残余风险的批准，已经对实施和运行ISMS的授权。另外，对实施某项控制目标、措施，不实施某项控制目标、措施应记入的授权。另外，对实施某项控制目标、措施，不实施某项控制目标、措施应记入“适用性声明适用性声明”中，中，“适用性声明适用性声明”是说明控制目标和控制措施的工作文件，这个文件也是是说明控制目标和控制措施的工作文件，这个文件也是ISMS认证所需要的工作文件之一。认证所需要的工作文件之一。信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读j)准备适用性声明准备适用性声明应起草适用性声明，该声明应包括以下方面内容：应起草适用性声明，该声明应包括以下方面内容：1)4.2.1g)中选择的控制目标和控制措施，以及选择的原因；中选择的控制目标和控制措施，以及选择的原因；2)对当前实施的控制目标和控制措施对当前实施的控制目标和控制措施见见4.2.2e)2)；3)附录附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。中任何控制目标和控制措施的删减，以及删减的合理性说明。注：适用性声明提供了一个风险处臵决策的总结。通过判断删减的合理性说明，再次确认控制措施没有因疏忽而遗漏。注：适用性声明提供了一个风险处臵决策的总结。通过判断删减的合理性说明，再次确认控制措施没有因疏忽而遗漏。j)应从下列几个方面准备适用性声明：应从下列几个方面准备适用性声明：1)选择的控制目标和控制措施，以及选择的理由，即说明为什么要选择此项控制措施。选择的控制目标和控制措施，以及选择的理由，即说明为什么要选择此项控制措施。2)当前实施的控制目标好控制措施。当前实施的控制目标好控制措施。3)对对ISO/IEC 27001 附录附录A 中任何控制目标和控制措施的删减，以及删减的合理性说明，对于中任何控制目标和控制措施的删减，以及删减的合理性说明，对于ISO/IEC 27001附录附录A 中的那些没有选择的控制目标和控制措施，要说明理由，即合理性说明，此过程可防止因疏忽而遗漏重要的控制措施。中的那些没有选择的控制目标和控制措施，要说明理由，即合理性说明，此过程可防止因疏忽而遗漏重要的控制措施。长天思源ISMS培训教材英达思咨询信息安全管理体系审核培训教材北京联合智业认证有限公司四、标准解读 4.2.2实施和运行实施和运行ISMS 组织应组织应:a)制定风险处臵计划制定风险处臵计划见第见第5章章，即为管理信息安全风险识别适当的管理措施、资源、职责和优先级；，即为管理信息安全风险识别适当的管理措施、资源、职责和优先级；b)实施风险处臵计划以达到已识别的控制目标，包括资金安排以、角色和职责的分配；实施风险处臵计划以达到已识别的控制目标，包括资金安排以、角色和职责的分配；c)实施实施4.2.1g)中所选择的控制措施，以满足控制目标；中所选择的控制措施，以满足控制目标；根据风险评估的结果，组织对控制措施的采取过程制定详细的时间表，或称为根据风险评估的结果，组织对控制措施的采取过程制定详细的时间表，或称为“风险处理计划风险处理计划”，为每一个已识别的风险展示：，为每一个已识别的风