ISMS信息安全管理体系建立方法（DOC57页）4272.docx

《ISMS信息安全管理体系建立方法（DOC57页）4272.docx》由会员分享，可在线阅读，更多相关《ISMS信息安全管理体系建立方法（DOC57页）4272.docx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全全管理体体系建立立方法以BS777999的管理理思想介介绍通用用安全管管理体系系建立的的方法；信息安安全管理理包括诸诸多方面面，如风风险管理理、工程程管理、业业务连续续性管理理等，每每项管理理的要点点均有不不同。后后续将详详细介绍绍不同部部分的管管理。1 信息安全全管理体体系概述述1.1 什么是信信息安全全管理体体系 信息息安全管管理体系系，即IInfoormaatioon SSecuuritty MManaagemmentt Syysteem(简简称ISSMS)，是组组织在整整体或特特定范围围内建立立的信息息安全方方针和目目标，以以及完成成这些目目标所用用的方法法和体系系。它是是直接

2、管管理活动动的结果果，表示示为方针针、原则则、目标标、方法法、计划划、活动动、程序序、过程程和资源源的集合合。BS777992是建建立和维维持信息息安全管管理体系系的标准准，标准准要求组组织通过过确定信信息安全全管理体体系范围围，制定定信息安安全方针针，明确确管理职职责，以以风险评评估为基基础选择择控制目目标与控控制措施施等一系系列活动动来建立立信息安安全管理理体系；体系一一旦建立立，组织织应按体体系的规规定要求求进行运运作，保保持体系系运行的的有效性性；信息息安全管管理体系系应形成成一定的的文件，即即组织应应建立并并保持一一个文件件化的信信息安全全管理体体系，其其中应阐阐述被保保护的资资产、

3、组组织风险险管理方方法、控控制目标标与控制制措施、信信息资产产需要保保护的程程度等内内容。1. IISMSS的范围围ISMSS的范围围可以根根据整个个组织或或者组织织的一部部分进行行定义，包包括相关关资产、系系统、应应用、服服务、网网络和用用于过程程中的技技术、存存储以及及通信的的信息等等，ISSMS的的范围可可以包括括：l 组织所有有的信息息系统；l 组织的部部分信息息系统；l 特定的信信息系统统。此外，为为了保证证不同的的业务利利益，组组织需要要为业务务的不同同方面定定义不同同的ISSMS。例例如，可可以为组组织和其其他公司司之间特特定的贸贸易关系系定义IISMSS，也可可以为组组织结构构

4、定义IISMSS，不同同的情境境可以由由一个或或者多个个ISMMS表述述。2. 组织内部部成功实实施信息息安全管管理的关关键因素素l 反映业务务目标的的安全方方针、目目标和活活动；l 与组织文文化一致致的实施施安全的的方法；l 来自管理理层的有有形支持持与承诺诺；l 对安全要要求、风风险评估估和风险险管理的的良好理理解；l 向所有管管理者及及雇员推推行安全全意思；l 向所有雇雇员和承承包商分分发有关关信息安安全方针针和准则则的导则则；l 提供适当当的培训训与教育育；l 用于评价价信息安安全管理理绩效及及反馈改改进建议议，并有有利于综综合平衡衡的测量量系统。3. 建立ISSMS的的步骤不同的组组

5、织在建建立与完完善信息息安全管管理体系系时，可可根据自自己的特特点和具具体的情情况，采采取不同同的步骤骤和方法法。但总总体来说说，建立立信息安安全管理理体系一一般要经经过下列列四个基基本步骤骤：a) 信息安全全管理体体系的策策划与准准备；b) 信息安全全体系文文件的编编制；c) 信息安全全管理体体系的运运行；d) 信息安全全管理体体系的审审核与评评审。1.2 信息安全全管理体体系的作作用1. IISMSS的特点点 信息安安全管理理管理体体系是一一个系统统化、程程序化和和文件化化的管理理体系。该该体系具具有以下下特点：l 体系的建建立基于于系统、全全面、科科学的安安全风险险评估，体体现以预预防控

6、制制为主的的思想，强强调遵守守国家有有关信息息安全的的法律法法规及其其他合同同方要求求；l 强调全过过程和动动态控制制，本着着控制费费用与风风险平衡衡的原则则合理选选择安全全控制方方式；l 强调保护护组织所所拥有的的关键性性信息资资产，而而不是全全部信息息资产，确确保信息息的机密密性、完完整性和和可用性性，保持持组织的的竞争优优势和商商务运作作的持续续性。2. 实实施ISSMS的的作用 组织建建立、实实施与保保持信息息安全管管理体系系将会产产生如下下作用：l 强化员工工的信息息安全意意识，规规范组织织信息安安全行为为；l 对组织的的关键信信息资产产进行全全面体统统的保护护，维持持竞争优优势；l

7、 在信息系系统受到到侵袭时时，确保保业务持持续开展展并将损损失降到到最低程程度；l 使组织的的生意伙伙伴和客客户对组组织充满满信心；l 如果通过过体系认认证，表表明体系系符合标标准，证证明组织织有能力力保证重重要信息息，提高高组织的的知名度度与信任任度；l 促使管理理层贯彻彻信息安安全保障障体系；l 组织可以以参照信信息安全全管理模模型，按按照先进进的信息息安全管管理标准准BS777999建立组组织完整整的信息息安全管管理体系系并实施施与保持持，达到到动态的的、系统统的、全全员参与与、制度度化的、以以预防为为主的信信息安全全管理方方式，用用最低的的成本，达达到可接接受的信信息安全全水平，从从根

8、本上上保证业业务的连连续性。1.3 信息安全全管理体体系的准准备 为为在组织织中顺利利建设信信息安全全管理体体系，需需要建立立有效信信息安全全机构，对对组织中中的各类类人员分分配角色色、明确确权限、落落实责任任并予以以沟通。1 成立信息息安全委委员会信息安全全委员会会由组织织的最高高管理层层与信息息安全管管理有关关的部门门负责人人、管理理人员、技技术人员员组成，定定期召开开会议，就就以下重重要信息息安全议议题进行行讨论并并做出决决策，为为组织信信息安全全管理提提供导向向与支持持。l 评审和审审批信息息安全方方针；l 分配信息息安全管管理职责责；l 确认风险险评估的的结果；l 对与信息息安全管管

9、理有关关的重大大事项，如如组织机机构调整整、关键键人事变变动、信信息安全全设施购购置等；l 评审与监监督信息息安全事事故；l 审批与信信息安全全管理有有关的其其他重要要事项。2 任命信息息安全管管理经理理组织最高高管理者者在管理理层中指指定一名名信息安安全管理理经理，分分管组织织的信息息安全管管理事宜宜，具体体由以下下责任：l 确定信息息安全管管理标准准建立、实实施和维维护信息息安全管管理体系系；l 负责组织织的信息息安全方方针与安安全策略略的贯彻彻与落实实；l 向最高管管理者提提交信息息安全管管理体系系绩效报报告，以以供评审审，并为为改进信信息安全全管理体体系提供供证据；l 就信息安安全管理

10、理的有关关问题与与外部各各方面进进行联络络。3 组建信息息安全管管理推进进小组在信息安安全委员员会的批批准下，由由信息安安全管理理经理组组建信息息安全管管理推进进小组，并并对其进进行管理理。小组组成员要要懂信息息安全技技术知识识，有一一定的信信息安全全管理技技能，并并且有较较强的分分析能力力及文字字能力，小小组成员员一般是是企业各各部门的的骨干人人员。4 保证有关关人员的的作用、职职责和权权限得到到有效沟沟通用适当的的方式，如如通过培培训、制制定文件件等方式式，让每每位员工工明白自自己的作作用、职职责与权权限，以以及与其其他部分分的关系系，以保保证全体体员工各各司其职职，相互互配合，有有效地开

11、开展活动动，为信信息安全全管理体体系的建建立做出出贡献。5 组织机构构的设立立原则l 合适的控控制范围围一般情况况下，一一个经理理直接控控制的下下属管理理人员不不少于66人，但但不应超超过100人。在在作业复复杂的部部门或车车间，一一个组长长对155人保持持控制。在在作业简简单的部部门或车车间，一一个组长长能控制制50个个人或更更多的人人。l 合适的管管理层次次公司负责责人与基基层管理理部门之之间的管管理层数数应保护护最少程程度，最最影响利利润的部部门经理理应该直直接向公公司负责责人报告告。l 一个上级级的原则则l 责、权、利利一致的的原则l 既无重叠叠，又无无空白的的原则l 执行部门门与监督

12、督部门分分离的原原则l 信息安全全部门有有一定的的独立性性，不应应成为生生产部门门的下属属单位。6 信息安全全管理体体系组织织结构建建立及职职责划分分的注意意事项l 如果现有有的组织织结构合合理，则则只需将将信息安安全标准准的要求求分配落落实到现现有的组组织结构构中即可可。如果果现有的的组织结结构不合合理，则则按上面面（5）中中所述规规则对组组织结构构进行调调整。l 应将组织织内的部部门设置置及各部部门的信信息安全全职责、权权限及相相互关系系以文件件的形式式加以规规定。l 应将部门门内岗位位设置及及各岗位位的职责责、权限限和相互互关系以以文件的的形式加加以规定定。l 日常的信信息安全全监督检检

13、查工作作应有专专门的部部门负责责l 对于大型型企业来来说，可可以设置置专门的的安全部部（可以以把信息息安全和和职业健健康与安安全的职职能划归归此部门门），安安全部设设立首席席安全执执行官，首首席安全全执行官官直接向向组织最最高管理理层负责责（有的的也向首首席信息息官负责责）。美美国“9111”恐怖袭袭击事件件以后，在在美国的的一些大大型企业业，这种种安全机机构的设设置方式式逐渐流流行，它它强调对对各种风风险的综综合管理理和对威威胁的快快速反应应。l 对于小型型企业来来说，可可以把信信息安全全管理工工作划归归到信息息部、人人事行政政部或其其他相关关部门。2 建立信息息安全管管理体系系原则2.1

14、PDCAA原则PDCAA循环的的概念最最早是由由美国质质量管理理专家戴戴明提出出来的，所所以又称称为“戴明环环”。在质质量管理理中应用用广泛，PPDCAA代表的的含义如如下：P(Pllan)：计划划，确定定方针和和目标，确确定活动动计划；D(Doo)：实实施，实实际去做做，实现现计划中中的内容容；C(Chheckk)：检检查，总总结执行行计划的的结果，注注意效果果，找出出问题；A(Acctioon)：行动，对对总结检检查的结结果进行行处理，成成功的经经验加以以肯定并并适当推推广、标标准化；失败的的教训加加以总结结，以免免重现；未解决决的问题题放到下下一个PPDCAA循环。PDCAA循环的的四个

15、阶阶段具体体内容如如下：(1) 计划阶阶段：制制定具体体工作计计划，提提出总的的目标。具具体来讲讲又分为为以下44个步骤骤。分析目前前现状，找找出存在在的问题题；分析产生生问题的的各种原原因以及及影响因因素；分析并找找出管理理中的主主要问题题；制定管理理计划，确确定管理理要点。根据管理理体制中中出现的的主要问问题，制制定管理理的措施施、方案案，明确确管理的的重点。制制定管理理方案时时要注意意整体的的详尽性性、多选选性、全全面性。(2) 实施阶阶段：就就是指按按照制定定的方案案去执行行。在管理工工作中全全面执行行制定的的方案。制制定的管管理方案案在管理理工作中中执行的的情况，直直接影响响全过程程

16、。所以以在实施施阶段要要坚持按按照制定定的方案案去执行行。(3) 检查阶阶段：即即检查实实施计划划的结果果。检查工作作这一阶阶段是比比较重要要的一个个阶段，它它是对实实施方案案是否合合理，是是否可行行有何不不妥的检检查。是是为下一一个阶段段工作提提供条件件，是检检验上一一阶段工工作好坏坏的检验验期。(4) 处理阶阶段：根根据调查查效果进进行处理理。对已解决决的问题题，加以以标准化化：即把把已成功功的可行行的条文文进行标标准化，将将这些纳纳入制度度、规定定中，防防止以后后再发生生类似问问题；找出尚未未解决的的问题，转转入下一一个循环环中去，以以便解决决。PDCAA循环实实际上是是有效进进行任何何

17、一项工工作的合合乎逻辑辑的工作作程序。在在质量管管理中，PPDCAA循环得得到了广广泛的应应用，并并取得了了很好的的效果，有有人也称称其为质质量管理理的基本本方法。之之所以叫叫PDCCA循环环，是因因为这四四个过程程不是运运行一次次就完结结，而是是周而复复始地进进行，其其特点是是“大环套套小环，一一环扣一一环，小小环保大大环，推推动大循循环”；每个个循环系系统包括括PDCCA四个个阶段曾曾螺旋式式上升和和发展，每每循环一一次要求求提高一一步。建立和管管理一个个信息安安全管理理体系需需要象其其他任何何管理体体系一样样的方法法。这里里描述的的过程模模型遵循循一个连连续的活活动循环环：计划划、实施施

18、、检查查、和处处置。之之所以可可以描述述为一个个有效的的循环因因为它的的目的是是为了保保证您的的组织的的最好实实践文件件化、加加强并随随时间改改进。信信息安全全管理体体系的PPDCAA过程如如下图112-11所示。图12-1 PPDCAA模型与与信息安安全管理理体系过过程ISMSS的PDDCA具具有以下下内容：1. 计计划和实实施一个持续续提高的的过程通通常要求求最初的的投资：文件化化实践，将将风险管管理的过过程正式式化，确确定评审审的方法法和配置置资源。这这些活动动通常作作为循环环的开始始。这个个阶段在在评审阶阶段开始始实施时时结束。计计划阶段段用来保保证为信信息安全全管理体体系建立立的内容

19、容和范围围正确地地建立，评评估信息息安全风风险和建建立适当当地处理理这些风风险的计计划。实实施阶段段用来实实施在计计划阶段段确定的的决定和和解决方方案。2. 检检查与行行动检查和处处置评审审阶段用用来加强强、修改改和改进进已识别别和实施施的安全全方案。评评审可以以在任何何时间、以以任何频频率实施施，取决决于怎样样做适合合于考虑虑的具体体情况。在在一些体体系中他他们可能能需要建建立在计计算机化化的过程程中以运运行和立立即回应应。其他他过程可可能只需需在有信信息安全全事故时时、被保保护的信信息资产产变化时时或需要要增加时时、威胁胁和脆弱弱性变化化时需要要回应。最最后，需需要每一一年或其其他周期期性

20、评审审或审核核以保证证整个管管理体系系达成其其目标。3. 控控制措施施总结(Summmarry oof CConttrolls)组织可能能发现制制作一份份相关和和应用于于组织的的信息安安全管理理体系的的控制措措施总结结（SooC）的的好处。提提供一份份控制措措施小结结可以使使处理业业务关系系变得容容易如供供电外包包等。SSoC可可能包含含敏感的的信息，因因此当SSoC在在外部和和内部同同时应用用时，应应考虑他他们对于于接收者者是否合合适。2.2 文件化信息安全全管理另另一个非非常重要要的原则则就是文文件化，即即所有计计划及操操作过的的事情都都要有文文件记录录，这样样可做到到有章可可循，有有据可

21、查查，文件的的类型通通常有手手册、规规范、指指南、记记录等，使使用这些些文件可可以使组组织内部部沟通意意图，统统一行动动，并为为事件提提客观证证据，同同时也可可用于学学习和培培训。如如果有些些组织曾曾参与过过90000或BBS77799的的认证，会会深刻体体会到文文件化的的重要性性。2.3 领导重视视组织建立立信息安安全管理理体系需需要投入入大量物物力和人人力，这这就需要要得到领领导的认认可，尤尤其是最最高领导导，这样样才能确确保这一一项目不不会因缺缺少资源源支持而而中途废废弃。最最高领导导层在具具体建立立信息安安全管理理体系时时应做到到如下几几点：(1) 管理层层应提供供其承诺诺建立、实实施

22、、运运行、监监控、评评审、维维护和改改进信息息安全管管理体系系的证据据，包括括：a) 建立信息息安全方方针；b) 确保建立立信息安安全目标标和计划划；c) 为信息安安全确立立职位和和责任；d) 向组织传传达达到到信息安安全目标标和符合合信息安安全方针针的重要要性、在在法律条条件下组组织的责责任及持持续改进进的需要要；e) 提供足够够的资源源以开发发、实施施，运行行和维护护信息安安全管理理体系；f) 确定可接接受风险险的水平平；g) 进行信息息安全管管理体系系的评审审。(2) 管理层层为组织织将确定定和提供供所需的的资源，以以：a) 建立、实实施、运运行和维维护信息息安全管管理体系系；b) 确保

23、信息息安全程程序支持持业务要要求；c) 识别和强强调法律律和法规规要求及及合同的的安全义义务；d) 正确地应应用所有有实施的的控制措措施维护护足够的的安全；e) 必要时，进进行评审审，并适适当回应应这些评评审的结结果；f) 需要时，改改进信息息安全管管理体系系的有效效性。2.4 全员参与与仅有领导导的支持持没有实实际操作作的人员员同样信信息安全全管理体体系不能能很好地地建立起起来，而而组织内内由于普普通人员员的误操操作和疏疏忽造成成严重损损失的不不止少数数，因此此我们必必须明确确安全管管理体系系不是组组织内IIT部门门的事情情，而是是需要全全体员工工参与的的。组织应确确保所有有被分配配信息安安

24、全管理理体系职职责的人人员具有有能力履履行指派派的任务务。组织织应：a) 确定从事事影响信信息安全全管理体体系的人人员所必必要的能能力；b) 提供能力力培训和和，必要要时，聘聘用有能能力的人人员满足足这些需需求；c) 评价提供供的培训训和所采采取行动动的有效效性；d) 保持教育育、培训训、技能能、经验验和资格格的纪录录。组织应确确保所有有相关的的人员知知道他们们信息安安全活动动的适当当性和重重要性以以及他们们的贡献献怎样达达成信息息安全管管理目标标。3 信息安全全管理体体系的建建立3.1 建立信息息安全管管理体系系下图是建建立信息息安全管管理体系系的流程程图,图图12-2，制订信息安全方针方针

25、文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范围评估报告文件文件文件文件文件文件文档化文档化声明文件图12-2ISSMS流流程图组织应在在整体业业务活动动和风险险的环境境下建立立、实施施、维护护和持续续改进文文件化的的信息安安全管理理体系。为为满足该该标准的的目的，使使用的过过程建立立在图一一所示的的PDCCA模型型基础上上。组织应做做到如下下几点：a) 应用业务务的性质质、组织织、其方方位、资资产和技技术确定定信息安安全管理理体系的的范围。b) 应用组织织的业务务性质、组组织、方方位、资资产和技技术确定定信息

26、安安全管理理体系的的方针，方方针应：1)包括括为其目目标建立立一个框框架并为为信息安安全活动动建立整整体的方方向和原原则。2)考虑虑业务及及法律或或法规的的要求，及及合同的的安全义义务。3)建立立组织战战略和风风险管理理的环境境，在这这种环境境下，建建立和维维护信息息安全管管理体系系。 4)建立立风险评评价的标标准和风风险评估估定义的的结构。5)经管管理层批批准。c) 确定风险险评估的的系统化化的方法法识别适用用于信息息安全管管理体系系及已识识别的信信息安全全、法律律和法规规的要求求的风险险评估的的方法。为为信息安安全管理理体系建建立方针针和目标标以降低低风险至至可接受受的水平平。确定定接受风

27、风险的标标准和识识别可接接受风险险的水平平。d) 确定风险险1)在信信息安全全管理体体系的范范围内，识识别资产产及其责责任人。2)识别别对这些些资产的的威胁。3)识别别可能被被威胁利利用的脆脆弱性。4)别资资产失去去保密性性、完整整性和可可用性的的影响。e) 评价风险险1)评估估由于安安全故障障带来的的业务损损害，要要考虑资资产失去去保密性性、完整整性和可可用性的的潜在后后果；2)评估估与这些些资产相相关的主主要威胁胁、脆弱弱点和影影响造成成此类事事故发生生的现实实的可能能性和现现存的控控制措施施；3)估计计风险的的等级；4)确定定介绍风风险或使使用在cc中建立立的标准准进行衡衡量确定定需要处

28、处理。f) 识别和评评价供处处理风险险的可选选措施：可能的行行动包括括：1)应用用合适的的控制措措施；2)知道道并有目目的地接接受风险险，同时时这些措措施能清清楚地满满足组织织方针和和接受风风险的标标准；3)避免免风险；4)转移移相关业业务风险险到其他他方面如如：保险险业，供供应商等等。 g) 选择控制制目标和和控制措措施处理理风险：应从2.6章节节中控制制措施中中选择合合适的控控制目标标和控制制措施，应应该根据据风险评评估和风风险处理理过程的的结果调调整。 h) 准备一份份适用性性声明。从上面选选择的控控制目标标和控制制措施以以及被选选择的原原因应在在适用性性声明中中文件化化。从22.6章章

29、节中剪剪裁的控控制措施施也应加加以记录录；i) 提议的残残余风险险应获得得管理层层批准并并授权实实施和运运作信息息安全管管理体系系。3.2 文件要求求信息安全全管理体体系文件件应包括括：a) 文件化的的安全方方针文件件和控制制目标；b) 信息安全全管理体体系范围围和程序序及支持持信息安安全管理理体系的的控制措措施；c) 风险评估估报告；d) 风险处理理计划；e) 组织需要要的文件件化的程程序以确确保有效效地计划划运营和和对信息息安全过过程的控控制；f) 本标准要要求的记记录；g) 适用性声声明。3.3 文件控制制信息安全全管理体体系所要要求的文文件应予予以保护护和控制制。应编编制文件件化的程程

30、序，以以规定以以下方面面所需的的控制：a) 文件发布布前得到到批准，以以确保文文件的充充分性；b) 必要时对对文件进进行评审审与更新新，并再再次批准准；c) 确保文件件的更改改和现行行修订状状态得到到识别；d) 确保在使使用处可可获得适适用文件件的有关关版本；e) 确保文件件保持清清晰、易易于识别别； f) 确保外来来文件得得到识别别，并控控制其分分发；g) 确保文件件的发放放在控制制状态下下；h) 防止作废废文件的的非预期期使用；i) 若因任何何原因而而保留作作废文件件时，对对这些文文件进行行适当的的标识。3.4 记录控制制应建立并并保持纪纪录，以以提供符符合要求求和信息息安全管管理体系系的

31、有效效运行的的证据。记记录应当当被控制制。信息息安全管管理体系系应考虑虑任何有有关的法法律要求求。记录录应保持持清晰、易易于识别别和检索索。应编编制形成成文件的的程序，以以规定记记录的标标识、储储存、保保护、检检索、保保存期限限和处置置所需的的控制。需需要一个个管理过过程确定定记录的的程度。应保留上上述过程程绩效记记录和所所有与信信息安全全管理体体系有关关的安全全事故发发生的纪纪录。例例如：访访问者的的签名簿簿，审核核记录和和授权访访问记录录。4 实施和运运作信息息安全管管理体系系组织应按按如下步步聚实施施：a) 识别合适适的管理理行动和和确定管管理信息息安全风风险的优优先顺序序（即：风险处处

32、理计划划；b) 实施风险险处理计计划以达达到识别别的控制制目标，包包括对资资金的考考虑和落落实安全全角色和和责任；c) 实施在上上述章节节里选择择的控制制目标和和控制措措施；d) 培训和意意识；e) 管理运作作过程；f) 管理资源源；g) 实施程序序和其他他有能力力随时探探测和回回应安全全事故的的控制措措施。5 监控和评评审信息息安全管管理体系系5.1 监控信息息安全管管理体系系组织应：a) 执行监控控程序和和其他控控制措施施，以：1)实时时探测处处理结果果中的错错误；2)及时时识别失失败和成成功的安安全破坏坏和事故故；3)能够够使管理理层确定定分派给给员工的的或通过过信息技技术实施施的安全全

33、活动是是否达到到了预期期的目标标；4)确定定解决安安全破坏坏的行动动是否反反映了运运营的优优先级。b) 进行常规规的信息息安全管管理体系系有效性性的评审审（包括括符合安安全方针针和目标标，及安安全控制制措施的的评审）考考虑安全全评审的的结果、事事故、来来自所有有利益相相关方的的建议和和反馈；c) 评审残余余风险和和可接受受风险的的水平，考考虑以下下方面的的变化：1)组织织2)技术术3)业务务目标和和过程4)识别别威胁，及及5)外部部事件，如如：法律律、法规规的环境境发生变变化或社社会环境境发生变变化。 d) 在计划的的时间段段内实施施内部信信息安全全管理体体系审核核。e) 经常进行行信息安安全

34、管理理体系管管理评审审（至少少每年评评审一次次）以保保证信息息安全管管理体系系的范围围仍然足足够，在在信息安安全管理理体系过过程中的的改进措措施已被被识别（见见信息安安全管理理体系的的管理评评审）；f) 记录所采采取的行行动和能能够影响响信息安安全管理理体系的的有效性性或绩效效的事件件。5.2 维护和改改进信息息安全管管理体系系组织应经经常：a) 实施已识识别的对对于信息息安全管管理体系系的改进进措施b) 采取合适适的纠正正和预防防措施见7.2和77.3. 应应用从其其他组织织的安全全经验和和组织内内学到的的知识。c) 沟通结果果和行动动并得到到所有参参与的相相关方的的同意。d) 确保改进进行

35、动达达到了预预期的目目标。 5.3 信息安全全管理体体系的管管理评审审管理层应应按策划划的时间间间隔评评审组织织的信息息安全管管理体系系，以确确保其持持续的适适宜性、充充分性和和有效性性。 评评审应包包括评价价信息安安全管理理体系改改进的机机会和变变更的需需要， 包括安安全方针针和安全全目标。 评审的的结果应应清楚地地文件化化，应保保持管理理评审的的纪录。5.3.1 评审输入入管理评审审的输入入应包括括以下方方面的信信息：a) 信息安全全管理体体系审核核和评审审的结果果；b) 相关方的的反馈；c) 可以用于于组织改改进其信信息安全全管理体体系绩效效和有效效性的技技术，产产品或程程序；d) 预防

36、和纠纠正措施施的状况况；e) 以前风险险评估没没有足够够强调的的脆弱性性或威胁胁；f) 以往管理理评审的的跟踪措措施；g) 任何可能能影响信信息安全全管理体体系的变变更；h) 改进的建建议。5.3.2 评审输出出管理评审审的输出出应包括括以下方方面有关关的任何何决定和和措施：a) 对信息安安全管理理体系有有效性的的改进；b) 修改影响响信息安安全的程程序，必必要时，回回应内部部或外部部可能影影响信息息安全管管理体系系的事件件，包括括以下的的变更：1） 业务要求求；2） 安全要求求；3） 业务过程程影响现现存的业业务要求求；4） 法规或法法律环境境；5） 风险的等等级和/或可接接受风险险的水平平

37、；c) 资源需求求。5.3.3 内部信息息安全管管理体系系审核组织应按按策化的的时间间间隔进行行内部信信息安全全管理体体系审核核，以确确定信息息安全管管理体系系的控制制目标、控控制措施施、过程程和程序序是否：a) 符合本标标准和相相关法律律法规的的要求；b) 符合识别别的信息息安全的的要求；c) 被有效地地实施和和维护；d) 达到预想想的绩效效。任何审核核活动应应策划， 策划应应考虑过过程的状状况和重重要性，审审核的范范围以及及前次审审核的结结果。应应确定审审核的标标准，范范围，频频次和方方法。选选择审核核员及进进行审核核应确保保审核过过程的客客观和公公正。审审核员不不应审核核他们自自己的工工

38、作。应在一个个文件化化的程序序中确定定策划和和实施审审核，报报告结果果和维护护记录见4.3.33的责责任及要要求。负责被审审核区域域的管理理者应确确保没有有延迟地地采取措措施减少少被发现现的不符符合及引引起不合合格的原原因。改改进措施施应包括括验证采采取的措措施和报报告验证证的结果果见条条款7。6 信息安全全管理体体系改进进6.1 持续改进进组织应通通过使用用安全方方针、安安全目标标、审核核结果、对对监控事事件的分分析、纠纠正和预预防措施施和管理理评审的的信息持持续改进进信息安安全管理理体系的的有效性性。6.2 纠正措施施组织应确确定措施施，以消消除与实实施和运运行信息息安全管管理体系系有关的

39、的不合格格的原因因，防止止不合格格的再发发生。应应为纠正正措施编编制形成成文件的的程序，确确定以下下的要求求：a) 识别实施施和/或或运行信信息安全全管理体体系中的的不合格格；b) 确定不合合格的原原因；c) 评价确保保不合格格不再发发生的措措施的需需求；d) 确定和实实施所需需的纠正正措施；e) 记录所采采取措施施的结果果；f) 评审所采采取的纠纠正措施施。6.3 预防措施施组织应针针对潜在在的不合合格确定定措施以以防止其其发生。预预防措施施应于潜潜在问题题的影响响程度相相适应。应应为预防防措施编编制形成成文件的的程序，以以规定以以下方面面的要求求：a) 识别潜在在的不合合格及引引起不合合格

40、的原原因；b) 确定和实实施所需需的预防防措施；c) 记录所采采取措施施的结果果；d) 评价所采采取的预预防措施施；e) 识别已变变更的风风险和确确保注意意力关注注在重大大的已变变更的风风险。纠正措施施的优先先权应以以风险评评估的结结果为基基础确定定。注：预防防不合格格的措施施总是比比纠正措措施更节节约成本本。7 控制措施施的选择择通常控制制措施是是在BSS77999的十十大领域域中进行行选择，当当然针对对不同组组织的实实际情况况选择控控制目标标不同，上上述曾介介绍过的的需进行行适用性性声明。以以下将详详细介绍绍十大领领域的控控制措施施。7.1 安全方针针7.1.1 信息安全全方针目标：为为信

41、息安安全提供供管理指指导和支支持。管理者应应该制定定一套清清晰的指指导方针针，并通通过在组组织内对对信息安安全方针针的发布布和保持持来证明明对信息息安全的的支持与与承诺。1. 信信息安全全方针文文件方针文件件应得到到管理者者批准，并并以适当当的方式式发布、传传达到所所有员工工。该文文件应该该阐明管管理者对对实行信信息安全全的承诺诺，并陈陈述组织织管理信信息安全全的方法法，它至至少应该该包括以以下几个个部分：信息安全全的定义义，其总总体目标标和范围围，以及及其作为为信息共共享的安安全机制制的重要要性（见见引言）；申明支持持信息安安全目标标和原则则的管理理意向；对组织有有重大意意义的安安全方针针、

42、原则则、标准准和符合合性要求求的简要要说明，例例如：符符合法规规和合同同的要求求；安全教育育的要求求；对计算机机病毒和和其他恶恶意软件件的防范范和检测测；可持续运运营的管管理；违反安全全方针的的后果；对信息安安全管理理的总体体和具体体责任的的定义，包包括汇报报安全事事故；提及支持持安全方方针的文文件，如如：特定定信息系系统的更更加详细细的安全全方针和和程序，或或用户应应该遵守守的安全全规定。本方针应应以恰当当、易得得、易懂懂的方式式向单位位的预期期使用者者进行传传达。7.1.2 评审与鉴鉴定方针应有有专人按按照既定定的评审审程序负负责它的的保持和和评审。该该程序应应确保任任何影响响原始风风险评

43、估估根据的的变化都都会得到到相应的的评审，如如：重大大的安全全事故、新新的脆弱弱性、组组织基础础结构或或技术基基础设施施的变化化。同样样应对以以下各项项进行有有计划的的、定期期的评审审：a） 方针的有有效性，可可通过记记录在案案的安全全事故的的性质、数数量和所所造成的的影响来来论证；b） 对运营效效率进行行控制的的成本和和效果；c） 技术变化化所造成成的影响响；7.2 安全组织织7.2.1 信息安全全基础结结构目标：在在组织内内部管理理信息安安全。应建立管管理框架架，在组组织内部部开展和和控制信信息安全全的实施施。应该建立立具有管管理权的的适当的的信息安安全管理理委员会会来批准准信息安安全方针

44、针、分配配安全职职责并协协调组织织内部信信息安全全的实施施。如有有必要，应应在组织织内建立立提供信信息安全全建议的的专家小小组并使使其有效效。应建建立和组组织外部部安全专专家的联联系，以以跟踪行行业趋势势，监督督安全标标准和评评估方法法，并在在处理安安全事故故时提供供适当的的联络渠渠道。另另外应鼓鼓励多学学科的信信息安全全方法的的发展，如如：经理理人、用用户、行行政人员员、应用用软件设设计者、审审核人员员和保安安人员以以及行业业专家（如如保险和和风险管管理领域域）之间间的协作作。1. 信信息安全全管理委委员会信息安全全是管理理团队中中所有成成员共同同的职务务责任。因因此应考考虑建立立信息安安全

45、委员员会以确确保为信信息安全全的启动动工作提提供明确确的指导导和明显显的管理理支持。该该委员会会应该在在组织内内部通过过适当的的承诺和和提供充充足的资资源来促促进安全全工作。信信息安全全管理委委员会可可以作为为现有管管理团体体的一部部分，所所承担的的职责主主要有：评审和批批准信息息安全方方针和总总体职责责；监督信息息资产面面临重大大威胁时时所暴露露出的重重大变化化；评审和监监督信息息安全事事故；批准加强强信息安安全的主主动行为为。应有一名名经理负负责和安安全有关关的所有有行为。2. 信信息安全全的协作作问题在较大的的组织内内部，有有必要成成立由各各相关部部门的管管理代表表组成的的跨部门门的信息

46、息安全委委员会，以以合作实实施信息息安全的的控制措措施。它它的主要要功能有有： 批准组织织内关于于信息安安全的具具体任务务和责任任； 批准信息息安全方方面的具具体方法法和程序序，如风风险评估估、安全全分类系系统； 批准和支支持全组组织范围围的信息息安全问问题的提提议，如如安全意意识培训训； 确保安全全问题是是信息设设计过程程的一部部分； 评估新系系统或服服务在信信息安全全控制实实施方面面的充分分程度和和协作情情况； 评审信息息安全事事故； 提高全组组织对信信息安全全的支持持程度。3. 信信息安全全责任分分配保护单独独的资产产和实施施具体的的安全过过程的职职责应该该给予明明确定义义。信息安全全方

47、针（见见上述条条款）应应该为组组织内部部信息安安全任务务和责任任的分配配提供总总体的指指导。必必要时，针针对具体体的地点点、系统统和服务务，应对对此方针针作更详详细的补补充。对对由各项项有形资资产和信信息资产产以及安安全程序序所在方方承担的的责任，如如可持续续运营计计划，应应清晰定定义。在许多组组织中，会会任命一一名信息息安全经经理来负负责信息息安全工工作的开开展和实实施，并并支持控控制措施施的鉴别别工作。然而，分分配资源源和实施施控制措措施的责责任一般般由各部部门经理理承担。通通常的做做法是为为每项信信息资产产指定专专人来负负责日常常的安全全工作。信息资产产的负责责人可以以把安全全职责委委托给各各部门的的经理或或服务提提供商。然然而，信信息资产产负责人人对资产产的安全全负有最最终的责责任，并并应有权权确定责责任人是