ISMS信息安全管理体系建立方法精编版[99页].docx

《ISMS信息安全管理体系建立方法精编版[99页].docx》由会员分享，可在线阅读，更多相关《ISMS信息安全管理体系建立方法精编版[99页].docx（101页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 信息安全管理体系建立方法 以BS7799的管理思想介绍通用安全管理体系建立的方法信息安全管理包括诸多方面如风险管理、工程管理、业务连续性管理等每项管理的要点均有不同。后续将详细介绍不同部分的管理。 1 信息安全管理体系概述1.1 什么是信息安全管理体系 信息安全管理体系即Information Security Management System(简称ISMS)是组织在整体或特定范围内建立的信息安全方针和目标以及完成这些目标所用的方法和体系。它是直接管理活动的结果表示为方针、原则、目标、方法、计划、活动、程序、过程

2、和资源的集合。BS77992是建立和维持信息安全管理体系的标准标准要求组织通过确定信息安全管理体系范围制定信息安全方针明确管理职责以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系体系一旦建立组织应按体系的规定要求进行运作保持体系运行的有效性信息安全管理体系应形成一定的文件即组织应建立并保持一个文件化的信息安全管理体系其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等ISMS的范围可

3、以包括 组织所有的信息系统 组织的部分信息系统 特定的信息系统。此外为了保证不同的业务利益组织需要为业务的不同方面定义不同的ISMS。例如可以为组织和其他公司之间特定的贸易关系定义ISMS也可以为组织结构定义ISMS不同的情境可以由一个或者多个ISMS表述。2. 组织内部成功实施信息安全管理的关键因素 反映业务目标的安全方针、目标和活动 与组织文化一致的实施安全的方法 来自管理层的有形支持与承诺 对安全要求、风险评估和风险管理的良好理解 向所有管理者及雇员推行安全意思 向所有雇员和承包商分发有关信息安全方针和准则的导则 提供适当的培训与教育 用于评价信息安全管理绩效及反馈改进建议并有利于综合平

4、衡的测量系统。3. 建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时可根据自己的特点和具体的情况采取不同的步骤和方法。但总体来说建立信息安全管理体系一般要经过下列四个基本步骤a) 信息安全管理体系的策划与准备 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 b) 信息安全体系文件的编制c) 信息安全管理体系的运行d) 信息安全管理体系的审核与评审。 1.2 信息安全管理体系的作用 1. ISMS的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点 体系的建立基于系统、全面、科学的安全风险评估体现以预防控制为主的思想强调遵守国家有关信

5、息安全的法律法规及其他合同方要求 强调全过程和动态控制本着控制费用与风险平衡的原则合理选择安全控制方式 强调保护组织所拥有的关键性信息资产而不是全部信息资产确保信息的机密性、完整性和可用性保持组织的竞争优势和商务运作的持续性。2. 实施ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用 强化员工的信息安全意识规范组织信息安全行为 对组织的关键信息资产进行全面体统的保护维持竞争优势 在信息系统受到侵袭时确保业务持续开展并将损失降到最低程度 使组织的生意伙伴和客户对组织充满信心 如果通过体系认证表明体系符合标准证明组织有能力保证重要信息提高组织的知名度与信任度 促使管理层贯彻信息安

6、全保障体系 组织可以参照信息安全管理模型按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式用最低的成本达到可接受的信息安全水平从根本上保证业务的连续性。 1.3 信息安全管理体系的准备 为在组织中顺利建设信息安全管理体系需要建立有效信息安全机构对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。1 成立信息安全委员会信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成定期召开会议就以下重要信息安全议题进行讨论并做出决策为组织信息安全管理提供导向与支持。 评审

7、和审批信息安全方针 分配信息安全管理职责 确认风险评估的结果 对与信息安全管理有关的重大事项如组织机构调整、关键人事变动、信息安全设施购置等 评审与监督信息安全事故 审批与信息安全管理有关的其他重要事项。2 任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理分管组织的信息安全管理事宜具体由以下责任 确定信息安全管理标准建立、实施和维护信息安全管理体系 负责组织的信息安全方针与安全策略的贯彻与落实 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 向最高管理者提交信息安全管理体系绩效报告以供评审并为改进信息安全管理体系提供证据 就信息安全管理的有关问题与外部各

8、方面进行联络。3 组建信息安全管理推进小组在信息安全委员会的批准下由信息安全管理经理组建信息安全管理推进小组并对其进行管理。小组成员要懂信息安全技术知识有一定的信息安全管理技能并且有较强的分析能力及文字能力小组成员一般是企业各部门的骨干人员。4 保证有关人员的作用、职责和权限得到有效沟通用适当的方式如通过培训、制定文件等方式让每位员工明白自己的作用、职责与权限以及与其他部分的关系以保证全体员工各司其职相互配合有效地开展活动为信息安全管理体系的建立做出贡献。5 组织机构的设立原则 合适的控制范围一般情况下一个经理直接控制的下属管理人员不少于6人但不应超过10人。在作业复杂的部门或车间一个组长对1

9、5人保持控制。在作业简单的部门或车间一个组长能控制50个人或更多的人。 合适的管理层次公司负责人与基层管理部门之间的管理层数应保护最少程度最影响利润的部门经理应该直接向公司负责人报告。 一个上级的原则 责、权、利一致的原则 既无重叠又无空白的原则 执行部门与监督部门分离的原则 信息安全部门有一定的独立性不应成为生产部门的下属单位。6 信息安全管理体系组织结构建立及职责划分的注意事项 如果现有的组织结构合理则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理则按上面5中所述规则对组织结构进行调整。 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形

10、式加以规定。 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。 日常的信息安全监督检查工作应有专门的部门负责 对于大型企业来说可以设置专门的安全部可以把信息安全和职业健康与安全的职能划归此部门安全部设立首席安全执行官首席安全执行官直接向组织最高管理层负责有的也向首席信息官负责。美国“911”恐怖袭击事件以后在美国的一些大型企业这种安全机构的设置方式逐渐流行它强调对各种风险的综合管理和对威胁的快速反应。 对于小型企业来说可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 ISO27001信息安全

11、管理标准理解及内审员培训培训热线0755-25936263、25936264 李小姐 客服QQ1484093445、675978375ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求指导如何管理信息安全风险并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行

12、程序和标准并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。【课程帮助】如果你想对本课程有更深入的了解请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员欲将ISO27001导入组织的人员在ISO27001实施过程中承担内部审核工作的人员有志于从事IT信息安全管理工作的人员。【课程大纲】第一部分ISO270012005信息安全概述、标准条款讲解 信息安全概述信息及信息安全CIA目标信息安全需求来源信息安全管理。 风险评估与管理风险管理要素过程定量与定性风险评估方法风险消减。 ISO/IEC 27001简介ISO27001标准发展历史、现状和主要内容ISO2700

13、1标准认证。 信息安全管理实施细则从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范ISO/IEC27001-2005标准要求内容PDCA管理模型ISMS建设方法和过程。第二部分ISO270012005信息安全管理体系文件建立ISO27001与ISO9001、ISO14001管理体系如何整合 ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分信息安全管理体系内部

14、审核技巧和认证应对案例分析 ISO270012005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书” 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 2 建立信息安全管理体系原则2.1 PDCA原则 PDCA循环的概念最早是由美国质量管理专家戴明提出来的所以又称为“戴明环”。在质量管理中应用广泛PDCA代表的含义如下P(Plan)计划确定方针和目标确定活动计划D(Do)实施实际去做实现计划中的内容C(Check)检查总结执行

15、计划的结果注意效果找出问题A(Action)行动对总结检查的结果进行处理成功的经验加以肯定并适当推广、标准化失败的教训加以总结以免重现未解决的问题放到下一个PDCA循环。PDCA循环的四个阶段具体内容如下(1) 计划阶段制定具体工作计划提出总的目标。具体来讲又分为以下4个步骤。分析目前现状找出存在的问题分析产生问题的各种原因以及影响因素分析并找出管理中的主要问题制定管理计划确定管理要点。根据管理体制中出现的主要问题制定管理的措施、方案明确管理的重点。制定管理方案时要注意整体的详尽性、多选性、全面性。(2) 实施阶段就是指按照制定的方案去执行。在管理工作中全面执行制定的方案。制定的管理方案在管理

16、工作中执行的情况直接影响全过程。所以在实施阶段要坚持按照制定的方案去执行。(3) 检查阶段即检查实施计划的结果。检查工作这一阶段是比较重要的一个阶段它是对实施方案是否合理是否可行有何不妥的检查。是为下一个阶段工作提供条件是检验上一阶段工作好坏的检验期。(4) 处理阶段根据调查效果进行处理。对已解决的问题加以标准化即把已成功的可行的条文进行标准化将这些纳入制度、规定中防止以后再发生类似问题找出尚未解决的问题转入下一个循环中去以便解决。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中PDCA循环得到了广泛的应用并取得了很好的效果有人也称其为质量管理的基本方法。之所以叫PD

17、CA循环是因为这四个过程不是运行一次就完结而是周而复始地进行其特点是“大环套小环一环扣一环小环保大环推动大循环”每个循环系统包括PDCA四个阶段曾螺旋式上升和发展每循环一次要求提高一步。建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12- 1所示。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区图12-1 PDCA模型与信息安全管理体系过程ISMS的PDCA具有

18、以下内容1. 计划和实施一个持续提高的过程通常要求最初的投资文件化实践将风险管理的过程正式化确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。2. 检查与行动检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变

19、化时或需要增加时、威胁和脆弱性变化时需要回应。最后需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。3. 控制措施总结(Summary of Controls)组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结SoC的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息因此当SoC在外部和内部同时应用时应考虑他们对于接收者是否合适。 2.2 文件化 信息安全管理另一个非常重要的原则就是文件化即所有计划及操作过的事情都要有文件记录 这样可做到有章可循有据可查文件的类型通常有手册、规范、指南、记录等使用这些文件可以使组织内部沟通意

20、图统一行动并为事件提客观证据同时也可用于学习和培训。如果有些组织曾参与过9000或BS7799的认证会深刻体会到文件化的重要性。 2.3 领导重视 组织建立信息安全管理体系需要投入大量物力和人力这就需要得到领导的认可尤其是最高领导这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 (1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据包括a) 建立信息安全方针b) 确保建立信息安全目标和计划c) 为信息安全确立职位和责任d) 向组织传达达到信

21、息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要e) 提供足够的资源以开发、实施运行和维护信息安全管理体系f) 确定可接受风险的水平g) 进行信息安全管理体系的评审。(2) 管理层为组织将确定和提供所需的资源以a) 建立、实施、运行和维护信息安全管理体系b) 确保信息安全程序支持业务要求c) 识别和强调法律和法规要求及合同的安全义务d) 正确地应用所有实施的控制措施维护足够的安全e) 必要时进行评审并适当回应这些评审的结果f) 需要时改进信息安全管理体系的有效性。 2.4 全员参与 仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来而组织内由于普

22、通人员的误操作和疏忽造成严重损失的不止少数因此我们必须明确安全管理体系不是组织内IT部门的事情而是需要全体员工参与的。组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应a) 确定从事影响信息安全管理体系的人员所必要的能力b) 提供能力培训和必要时聘用有能力的人员满足这些需求c) 评价提供的培训和所采取行动的有效性d) 保持教育、培训、技能、经验和资格的纪录。组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标。 3 信息安全管理体系的建立3.1 建立信息安全管理体系 下图是建立信息安全管理体系的流程图,图12-2 中国30

23、00万经理人首选培训网站更多免费资料下载请进 好好学习社区图12-2ISMS流程图组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的使用的过程建立在图一所示的PDCA模型基础上。组织应做到如下几点a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针方针应1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。2) 考虑业务及法律或法规的要求及合同的安全义务。3) 建立组织战略和风险管理的环境在这种环境下建立和维护信息安全管理体系。4)

24、建立风险评价的标准和风险评估定义的结构。5) 经管理层批准。c) 确定风险评估的系统化的方法识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平。d) 确定风险1) 在信息安全管理体系的范围内识别资产及其责任人。2) 识别对这些资产的威胁。3) 识别可能被威胁利用的脆弱性。4) 别资产失去保密性、完整性和可用性的影响。e) 评价风险 制订信息安全方针方针文档定义ISMS范围进行风险评估实施风险管理选择控制目标措施准备适用声明 第一步第二步第三步第四步第五步第六步 ISM

25、S范围评估报告 文件文件文件文件文件文件 文档化文档化声明文件 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 1)评估由于安全故障带来的业务损害要考虑资产失去保密性、完整性和可用性的潜在后果5) 评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施6) 估计风险的等级7) 确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。f) 识别和评价供处理风险的可选措施可能的行动包括1) 应用合适的控制措施2) 知道并有目的地接受风险同时这些措施能清楚地满足组织方针和接受风险的标准3) 避免风险4) 转移相关业务风险到其他方面如保险业供应商等

26、。g) 选择控制目标和控制措施处理风险应从2.6章节中控制措施中选择合适的控制目标和控制措施应该根据风险评估和风险处理过程的结果调整。h) 准备一份适用性声明。从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从2.6章节中剪裁的控制措施也应加以记录i) 提议的残余风险应获得管理层批准并授权实施和运作信息安全管理体系。 3.2 文件要求 信息安全管理体系文件应包括a) 文件化的安全方针文件和控制目标b) 信息安全管理体系范围和程序及支持信息安全管理体系的控制措施c) 风险评估报告d) 风险处理计划e) 组织需要的文件化的程序以确保有效地计划运营和对信息安全过程的控制f) 本

27、标准要求的记录g) 适用性声明。 3.3 文件控制 信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序以规定以下方面所需的控制a) 文件发布前得到批准以确保文件的充分性b) 必要时对文件进行评审与更新并再次批准c) 确保文件的更改和现行修订状态得到识别d) 确保在使用处可获得适用文件的有关版本e) 确保文件保持清晰、易于识别f) 确保外来文件得到识别并控制其分发g) 确保文件的发放在控制状态下h) 防止作废文件的非预期使用i) 若因任何原因而保留作废文件时对这些文件进行适当的标识。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 3.4 记录控制 应建立并保持

28、纪录以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如访问者的签名簿审核记录和授权访问记录。 4 实施和运作信息安全管理体系 组织应按如下步聚实施a) 识别合适的管理行动和确定管理信息安全风险的优先顺序即风险处理计划b) 实施风险处理计划以达到识别的控制目标包括对资金的考虑和落实安全角色和责任c) 实施在上述章节里选择

29、的控制目标和控制措施d) 培训和意识e) 管理运作过程f) 管理资源g) 实施程序和其他有能力随时探测和回应安全事故的控制措施。 5 监控和评审信息安全管理体系5.1 监控信息安全管理体系 组织应a) 执行监控程序和其他控制措施以1) 实时探测处理结果中的错误2) 及时识别失败和成功的安全破坏和事故3) 能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标4) 确定解决安全破坏的行动是否反映了运营的优先级。b) 进行常规的信息安全管理体系有效性的评审包括符合安全方针和目标及安全控制措施的评审考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈c) 评审残余风险和可接

30、受风险的水平考虑以下方面的变化1) 组织2) 技术3) 业务目标和过程4) 识别威胁及5) 外部事件如法律、法规的环境发生变化或社会环境发生变化。d) 在计划的时间段内实施内部信息安全管理体系审核。e) 经常进行信息安全管理体系管理评审至少每年评审一次以保证信息安全管理体系的范围仍然足够在信息安全管理体系过程中的改进措施已被识别见信息安全管理体系的管理评审f) 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 5.2 维护和改进信息安全管理体系 组织应经常a) 实施已识别的对于信息安全管理体系的改进措施b) 采

31、取合适的纠正和预防措施见7.2和7.3. 应用从其他组织的安全经验和组织内学到的知识。c) 沟通结果和行动并得到所有参与的相关方的同意。d) 确保改进行动达到了预期的目标。 5.3 信息安全管理体系的管理评审 管理层应按策划的时间间隔评审组织的信息安全管理体系以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要 包括安全方针和安全目标。 评审的结果应清楚地文件化应保持管理评审的纪录。 5.3.1 评审输入 管理评审的输入应包括以下方面的信息a) 信息安全管理体系审核和评审的结果b) 相关方的反馈c) 可以用于组织改进其信息安全管理体系绩效和有效性的技术产

32、品或程序d) 预防和纠正措施的状况e) 以前风险评估没有足够强调的脆弱性或威胁f) 以往管理评审的跟踪措施g) 任何可能影响信息安全管理体系的变更h) 改进的建议。 5.3.2 评审输出 管理评审的输出应包括以下方面有关的任何决定和措施a) 对信息安全管理体系有效性的改进b) 修改影响信息安全的程序必要时回应内部或外部可能影响信息安全管理体系的事件包括以下的变更1 业务要求2 安全要求3 业务过程影响现存的业务要求4 法规或法律环境5 风险的等级和/或可接受风险的水平c) 资源需求。 5.3.3 内部信息安全管理体系审核 组织应按策化的时间间隔进行内部信息安全管理体系审核以确定信息安全管理体系

33、的控制目标、控制措施、过程和程序是否a) 符合本标准和相关法律法规的要求 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 b) 符合识别的信息安全的要求c) 被有效地实施和维护d) 达到预想的绩效。任何审核活动应策划 策划应考虑过程的状况和重要性审核的范围以及前次审核的结果。应确定审核的标准范围频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。应在一个文件化的程序中确定策划和实施审核报告结果和维护记录见4.3.3的责任及要求。负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措

34、施和报告验证的结果见条款7。 6 信息安全管理体系改进6.1 持续改进 组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性。 6.2 纠正措施 组织应确定措施以消除与实施和运行信息安全管理体系有关的不合格的原因防止不合格的再发生。应为纠正措施编制形成文件的程序确定以下的要求a) 识别实施和/或运行信息安全管理体系中的不合格b) 确定不合格的原因c) 评价确保不合格不再发生的措施的需求d) 确定和实施所需的纠正措施e) 记录所采取措施的结果f) 评审所采取的纠正措施。 6.3 预防措施 组织应针对潜在的不合格确定措施以防止

35、其发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序以规定以下方面的要求a) 识别潜在的不合格及引起不合格的原因b) 确定和实施所需的预防措施c) 记录所采取措施的结果d) 评价所采取的预防措施e) 识别已变更的风险和确保注意力关注在重大的已变更的风险。纠正措施的优先权应以风险评估的结果为基础确定。注预防不合格的措施总是比纠正措施更节约成本。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 7 控制措施的选择 通常控制措施是在BS7799的十大领域中进行选择当然针对不同组织的实际情况选择控制目标不同上述曾介绍过的需进行适用性声明。以下将详细介绍十大领

36、域的控制措施。 7.1 安全方针 7.1.1 信息安全方针 1. 信息安全方针文件 方针文件应得到管理者批准并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺并陈述组织管理信息安全的方法它至少应该包括以下几个部分信息安全的定义其总体目标和范围以及其作为信息共享的安全机制的重要性见引言申明支持信息安全目标和原则的管理意向对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明例如符合法规和合同的要求安全教育的要求对计算机病毒和其他恶意软件的防范和检测可持续运营的管理违反安全方针的后果对信息安全管理的总体和具体责任的定义包括汇报安全事故提及支持安全方针的文件如特定信息

37、系统的更加详细的安全方针和程序或用户应该遵守的安全规定。本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达。 7.1.2 评审与鉴定 方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审如重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化。同样应对以下各项进行有计划的、定期的评审a 方针的有效性可通过记录在案的安全事故的性质、数量和所造成的影响来论证b 对运营效率进行控制的成本和效果c 技术变化所造成的影响目标为信息安全提供管理指导和支持。管理者应该制定一套清晰的指导方针并通过在组织内对信息安全方针的发布和保持来证明对

38、信息安全的支持与承诺。 中国3000万经理人首选培训网站更多免费资料下载请进 好好学习社区 7.2 安全组织 7.2.1 信息安全基础结构目标在组织内部管理信息安全。应建立管理框架在组织内部开展和控制信息安全的实施。应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系以跟踪行业趋势监督安全标准和评估方法并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展如经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家如保险

39、和风险管理领域之间的协作。1. 信息安全管理委员会信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分所承担的职责主要有评审和批准信息安全方针和总体职责监督信息资产面临重大威胁时所暴露出的重大变化评审和监督信息安全事故批准加强信息安全的主动行为。应有一名经理负责和安全有关的所有行为。2. 信息安全的协作问题在较大的组织内部有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会以合作实施信息安全的控制

40、措施。它的主要功能有 批准组织内关于信息安全的具体任务和责任 批准信息安全方面的具体方法和程序如风险评估、安全分类系统 批准和支持全组织范围的信息安全问题的提议如安全意识培训 确保安全问题是信息设计过程的一部分 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况 评审信息安全事故 提高全组织对信息安全的支持程度。3. 信息安全责任分配保护单独的资产和实施具体的安全过程的职责应该给予明确定义。信息安全方针见上述条款应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时针对具体的地点、系统和服务应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任如可持续运营计划应清晰定义。在许多组织中会任命一名信息安全经理来负责信息安全工作的开展和实