信息安全管理體系

Information Security Management Systems哥這信息安全管理體系是組織在整體或特定範圍内建立信息安全方針和目标，以及完成(ch飛媽éng)這(zhè)些目标所用新那方法的體系。它是直接管理活動的結果，表示成(ché紅少ng)方針、原則、目标、方法、過(g的家uò)程、核查表（Checklists）等要愛生素的集合。

概述

信息安全管理體系（Information 她公Security Manageme微舊nt System，簡稱爲ISMS）是1998年前後(hòu)從英國(guó要問)發(fā)展起(qǐ)來的信息安全領域中的一個新概念，是管理體系（Mana不麗gement System，MS）思想和方法在信息安全領路區域的應用。近年來，伴随著(zhe)ISMS國(guó)冷她際标準的制修訂，ISMS迅速被(bèi)全球接受和認可，成(chéng)爲世界市到各國(guó)、各種(zhǒng他明)類型、各種(zhǒng)規模的組織解決信息安全問題的一醫生個有效方法。ISMS認證随之成(chéng)爲組織向那你(xiàng)社會(huì)及其相關方證明其信息安全水平和熱下能(néng)力的一種(zhǒn水家g)有效途徑。

信息安全管理體系是組織機構單位按照信息安全管理體系相關标準的要求，制定信息安全很新管理方針和策略，采用風險管理的方法進(jìn)行信息安全管理東窗計劃、實施、評審檢查、改進(jìn)的信息安全管理執行的工能訊作體系。信息安全管理體系是按照ISO/IEC 27001标準《信息技術 理農安全技術 信息安全管理體系要求》的要花會求進(jìn)行建立的，ISO/IEC 2700一讀1标準是由BS7799-2标準發(fā)愛玩展而來。

信息安全管理體系ISMS是建立和維持微那信息安全管理體系的标準，标準要求組織通過(guò)确定信息安全個書管理體系範圍、制定信息安全方針、明确管理職責、以風險評估是女爲基礎選擇控制目标與控制方式等活動建立信喝木息安全管理體系；體系一旦建立組織應按體系規定的要求進(jìn裡放)行運作，保持體系運作的有效性；信息安全管理體系應形成(chéng中也)一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中中上應闡述被(bèi)保護的資産、組織風險管理風吧的方法、控制目标及控制方式和需要的保證程度。

編寫依據

簡述

組織對(duì)信息安全管理體系月下的采用是一個戰略決定。因爲按照BS 技好7799-2:2002建立的信息安全管理體系需要在藍錯組織内形成(chéng)良好(hǎ相也o)的信息安全文化氛圍，它涉及到組織全體從飛成(chéng)員和全部過(guò)程，需要取得管是花理者的足夠的重視和有力的支持。

1)體系标準

要求：BS 7799-2:2002《林少信息安全管理體系規範》 控制方式指南：ISO/IEC17799:200這文0《信息技術-信息安全管理實施細則》

2)要求

相關法律、法規及其他要求。

3)慣例、規章、制度

包括信息安全管理手冊、适用性說(shuō)明、管理制度說中與規範、業務流程和記錄表單等；

4)其他的文件

[編輯]

遵循原則

在編寫程序文件時(shí)應遵循下長海列原則：

程序文件一般不涉及純技術性的細節，細節通常在工作指令或作業指導書中規定；程序文但近件是針對(duì)影響信息安全的各項活動的目标和執行做出的規定，它應闡做們明影響信息安全的管理人員、執行人員裡弟、驗證或評審人員的職責、權力和相互關系，說(shuō外技)明實施各種(zhǒng)不同活動的方式、將(jiāng)采用光男的文件及將(jiāng)采用的控制方式；程序文件的範圍和詳細程度人長應取決于安全工作的複雜程度、所用的方法以及這(zh秒為è)項活動涉及人員所需的技能(néng)、素質和培訓程度；程序文件女來應簡練、明确和易懂，使其具有可操作性和可檢查性；程序文件應保持統一的結構與友關編排格式，便于文件的理解與使用。[編輯]

注意事(shì)項

編寫信息安全管理體系程序文件時(shí我金)應注意：

程序文件要符合組織業務運作的實際，并具有可操作性；

可檢查性。實施信息安全管理體系的一個姐和重要标志就(jiù)是有效性的驗證。程序文件主要體現可檢查性，必要時(shí)著河附相應的控制标準；在正式編寫程序文件了吧之前，組織應根據标準的要求、風舞舊險評估的結果及組織的實際對(duì)程序文件的數火子量及其控制要點進(jìn)行策劃，确保每個程序之間要有必要房鐘的銜接，避免相同的内容在不同的程序之間有較大的重複；另外，在能務車(néng)夠實現安全控制的前提下，程序朋志文件數量和每個程序的篇幅越少越好(hǎo)；程序文件應得到本活動相關部門負責道海人同意和接受，必須經(jīng)過(guò)審批，注明修訂情況和子黃有效期。

模式應用

PDCA簡介

計劃（Plan）——根據風險評估結果、法律法規要求、組織業務運作自身科短需要來确定控制目标與控制措施；

實施（Do）——實施所選的安全控制措施；

檢查（Check）——依據策略計商、程序、标準和法律法規，對(duì)安全措施的實施情況進(jì國拍n)行符合性檢查。[2]

改進(jìn)（Action）——根據IS黑站MS審核、管理評審的結果及其他相關信息，采取糾正和暗是預防措施，實現ISMS
的持繼改進(jìn)。

PDCA過(guò)程模式

策劃：

依照組織整個方針和目标，建立與控制風險、提高信息安全有關的安全方針、目标、相會指标、過(guò)程和程序。

實施：

實施和運作方針（過(guò)程和程序）。

檢查：

依據方針、目标和實際經(jīng)驗測量，評估過(guò)聽服程業績，并向(xiàng)決策者報告結果。

措施：

采取糾正和預防措施進(jìn)一步提高過(guò)程業績。

四個步驟成(chéng)爲一個閉新藍環，通過(guò)這(zhè)個環的不斷運轉，使子不信息安全管理體系得到持續改進(jìn)，使信息安全績效(performa玩內nce)螺旋上升。

PDCA的應用

P—建立信息安全管理體系環境&風險評估

要啓動PDCA循環，必須有“啓動器”：技鐵提供必須的資源、選擇風險管理方事吧法、确定評審方法、文件化實踐。設計策劃階段就(jiù)是爲了友分确保正确建立信息安全管理體系的範圍和詳略程度，識别并評估所有的信就玩息安全風險，爲這(zhè)些風險制定适當的處理計動黃劃。策劃階段的所有重要活動都(dōu)要被(bèi)文件化，以備將(jiān用內g)來追溯和控制更改情況。

1．确定範圍和方針

信息安全管理體系可以覆蓋組織的全部或者部分。無論影做是全部還(hái)是部分，組織都(dōu森唱)必須明确界定體系的範圍，如果體系僅涵蓋志放組織的一部分這(zhè)就(jiù)變得更重要了。組織需要文件化頻相信息安全管理體系的範圍，信息安事做全管理體系範圍文件應該涵蓋：

确立信息安全管理體系範圍和體系環境所媽窗需的過(guò)程；戰略性和組織化的信息安全管理環境；組織的信息安全風愛好險管理方法；信息安全風險評價标準以及所要求的保證程度；信息資産識别的範生綠圍。信息安全管理體系也可能(néng)在其他信子雪息安全管理體系的控制範圍内。在這(zhè)得煙種(zhǒng)情況下，上下級控制的關系有下列兩(liǎng)種(zhǒng)是船可能(néng)：

下級信息安全管理體系不使用上級信家照息安全管理體系的控制：在這(zhè)種(zhǒng)情況下，人個上級信息安全管理體系的控制不影響下級信息安全管理體系的PD跳音CA活動； 下級信息安全管理體系使用上級信請我息安全管理體系的控制：在這(z動山hè)種(zhǒng)情況下，上級信息安全管理體系的控制可以被(bèi理路)認爲是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并好靜不影響下級信息安全管理體系的實施、檢查、措施就技活動，但是下級信息安全管理體系仍窗中然有責任确認這(zhè)些外部控制提供了充分的保護。 　安全方針是關吃美于在一個組織内，指導如何對(duì)信息資産進(j東遠ìn)行管理、保護和分配的規則、草劇指示，是組織信息安全管理體系的基本答們法。組織的信息安全方針，描述信請農息安全在組織内的重要性，表明管理層的承諾，提出組織管理信息安全的有影方法，爲組織的信息安全管理提供方向暗司(xiàng)和支持。

2、定義風險評估的系統性方法

确定信息安全風險評估方法，并确定風險等級準則。評估方法應該拍秒和組織既定的信息安全管理體系範圍、信息匠河安全需求、法律法規要求相适應，兼少亮顧效果和效率。組織需要建立風險評估文件，解釋所選擇的風好哥險評估方法、說(shuō)明爲什麼(me)該方老房法适合組織的安全要求和業務環境，介紹所采用的技術和工具，以厭北及使用這(zhè)些技術和工具的原因。評估文件還(hái)應該規範下列評估關黑細節：a.信息安全管理體系内資産的估價，包括所用的價值尺度信息鐘風；b.威脅及薄弱點的識别；c.可能(néng)新開利用薄弱點的威脅的評估，以及此類事(shì)故可能(né亮白ng)造成(chéng)的影響；d.以風險評估結果爲基礎的風險計算，以及剩餘湖錯風險的識别。

3、識别風險

識别信息安全管理體系控制範圍内的信息資産；識别對(duì)這(zhè)些資産的書答威脅；識别可能(néng)被(bèi)威脅利用的下冷薄弱點；識别保密性、完整性和可用性丢失對(duì)這(zhè)些視制資産的潛在影響。

4、評估風險

根據資産保密性、完整性或可用性丢失遠通的潛在影響，評估由于安全失敗（failure）可能(né船子ng)引起(qǐ)的商業影響；根據與資産相關的主要又術威脅、薄弱點及其影響，以及目前實施的控制，評估此類失敗發(fā)生的現實可能去化(néng)性；根據既定的風險等級準則，确定風險等級。

5、識别并評價風險處理的方法

對(duì)于所識别的信息安全風險門房，組織需要加以分析，區别對(duì)待。如果風險滿足組織的綠鐘風險接受方針和準則，那麼(me)就(jiù)有意的、客觀的接受風險；對(男近duì)于不可接受的風險組織可以考慮避免風險或者將(jiāng)轉移風西我險；對(duì)于不可避免也不可轉移的風險應該采取适當的安間些全控制，將(jiāng)其降低他暗到可接受的水平。

6、爲風險的處理選擇控制目标與控制方式

選擇并文件化控制目标和控制方式，慢我以將(jiāng)風險降低到可著錯接受的等級。BS 7799-2:2002附錄費美A提供了可供選擇的控制目标與控理劇制方式。不可能(néng)總是以答友可接受的費用將(jiāng)風險低購降低到可接受的等級，那麼(me)需要确定是增加額外的控問還制，還(hái)是接受高風險。在設定可接受的風險等級時(sh朋票í)，控制的強度和費用應該與事(shì)故的計頻潛在費用相比較。這(zhè)個階段還(hái)應該策劃安全破壞或者錯她違背的探測機制，進(jìn)而安排預防、制止、限制和恢複控制請笑。在形式上，組織可以通過(guò)設計日離風險處理計劃來完成(chéng)步驟5和6分妹。風險處理計劃是組織針對(duì)所識别的每一項不可接受風險河長建立的詳細處理方案和實施時(shí)間表，是組織安全風險和控制措施的接口性文檔看玩。風險處理計劃不僅可以指導後(hòu)續的信息安全管理活動笑間，還(hái)可以作爲與高層管理者、上級領導機構、合作夥伴議煙或者員工進(jìn)行信息安全事(shì)宜溝通的橋梁。拿玩這(zhè)個計劃至少應該爲每一個信息安全風險闡明以下内容：組織所選擇的處理農遠方法；已經(jīng)到位的控制；建議采取的額外措施；建議的控制的實施會師時(shí)間框架。

7、獲得最高管理者的授權批準

剩餘風險(residual risks)的建議應該獲得批準，開(kāi)始習日實施和運作信息安全管理體系需要獲得最頻的高管理者的授權。

D—實施并運行

PDCA循環中這(zhè)個階段的任務是以适當的優先權進(jìn)行章我管理運作，執行所選擇的控制，以管理策劃階段所識别的信息安全風險。對(du秒機ì)于那些被(bèi)評估認爲是可接受的風險， 不需要采取進(房信jìn)一步的措施。對(duì)于不可接受風險，需要實施所選擇的控男關制，這(zhè)應該與策劃活動中準備的歌也風險處理計劃同步進(jìn)行。窗從計劃的成(chéng)功實施需要有一個有唱男效的管理系統，其中要規定所選擇方法、分配職責和職責分用訊離，并且要依據規定的方式方法監控這(笑學zhè)些活動。

在不可接受的風險被(bèi)降低或轉移之議煙後(hòu)，還(hái)會(huì)有一部學制分剩餘風險。應對(duì)這(zhè)部分風險遠跳進(jìn)行控制，确保不期望的影響和破壞被(bèi)快速識還舞别并得到适當管理。本階段還(hái)需要分配适當的資源（人員、時(sh微劇í)間和資金）運行信息安全管理體系以及所有的安全控制。這(zhè)包括將(ji低化āng)所有已實施控制的文件化，以及信息安全管友在理體系文件的積極維護。

提高信息安全意識的目的就(jiù)是産生們靜适當的風險和安全文化，保證意識和控制活動的同步，還(há制司i)必須安排針對(duì)信息安全意識的培訓，并檢查意識培訓的效果，以确保其月花持續有效和實時(shí)性。如有必要應對(du門村ì)相關方事(shì)實有針對(duì)性的安全培訓，以支持知亮組織的意識程序，保證所有相關方能(né藍要ng)按照要求完成(chéng)安全任務。本階段還(這歌hái)應該實施并保持策劃了的探測和響應機制學愛。

C—監視并評審

檢查階段

又叫(jiào)學(xué)習階段，聽頻是PDCA循環的關鍵階段，是信息安全管理體系要分析運行效果，尋求改進(照街jìn)機會(huì)的階段。如果發(fā)現一個控制措施不合理、不充分，錯靜就(jiù)要采取糾正措施，以防止信息系統處于不可接受風險狀态可愛。組織應該通過(guò)多種(醫相zhǒng)方式檢查信息安全管理體系是否運行良好(hǎo)，并對(duì)其器湖業績進(jìn)行監視，可能(néng)包括下列管理過(guò)程：

1、執行程序和其他控制以快速檢測處理結果中的錯誤；快速識别安全冷人體系中失敗的和成(chéng)功的破壞；能(néng)使管理者确影鄉認人工或自動執行的安全活動達到預期的結果；按照商業優先權确定解子媽決安全破壞所要采取的措施；接受其他組織和組織自身的安全經(jīng)驗。

2、常規評審信息安全管理體系的有效性；收集安全近熱審核的結果、事(shì)故、以及來自所有股東和其他相關方的建議和反饋，內放定期對(duì)信息安全管理體系有效性進(jìn)行評審。

3、評審剩餘風險和可接受風險的等級；注意組南年織、技術、商業目标和過(guò)程的内部變湖醫化，以及已識别的威脅和社會(huì)風尚的外部變化，定期評審剩餘風險和可接受木吧風險等級的合理性。

4、審核是執行管理程序、以确定規定的安全程序是否适從了當、是否符合标準、以及是否按照預期的目的進(jì河土n)行工作。審核的就(jiù)是按照規定的理為周期（最多不超過(guò)一年）檢查信息安全管理體系的所有方面(m冷睡iàn)是否行之有效。審核的依據包括BS 7799-2:20山舊02标準和組織所發(fā)布的信息安全管理程序暗跳。應該進(jìn)行充分的審核校些策劃，以便審核任務能(néng)在審核期間内按部就(ji司森ù)班的展開(kāi)。

評審

信息安全方針仍然是業務要求的正确反映；正在劇城遵循文件化的程序（信息安全管理體系範圍内），并且能(男校néng)夠滿足其期望的目标；有适當著我的技術控制（例如防火牆、實物訪問控廠綠制），被(bèi)正确的配置，且行之有效；剩餘風險已被(bè師雪i)正确評估，并且是組織管理可以接受的；前線員期審核和評審所認同的措施已經(jīng)廠懂被(bèi)實施；審核會(huì開生)包括對(duì)文件和記錄的抽樣(劇能yàng)檢查，以及口頭審核管理者和員工。正式評審：爲确保範圍保持充不店分性，以及信息安全管理體系過(guò)程的持續改進(jìn)謝很得到識别和實施，組織應定期對(duì)信息安全管理體系進(jìn)行自看正式的評審（最少一年評審一次）。記錄并報告能(néng)影響費務信息安全管理體系有效性或業績的所有活動、事(sh笑離ì)件。

A—改進(jìn)

經(jīng)過(guò)了策劃、實施、檢查之後拍家(hòu)，組織在措施階段必須對(duì)所策劃的方案給以結論鐘唱，是應該繼續執行，還(hái)是應該放棄重新進習信(jìn)行新的策劃？當然該循環給管理體系帶來明顯的業績提升，組員校織可以考慮是否將(jiāng)麗算成(chéng)果擴大到其他的部門或領域，這(zhè)就(jiù)開(k紅術āi)始了新一輪的PDCA循環。在少男這(zhè)個過(guò)程中組織可能(néng)持續的進(jìn)放多行一下操作：

測量信息安全管理體系滿足安全方針和目标方面(miàn)的空如業績。識别信息安全管理體系的改進(jìn)，并有效實施。采取适當的糾正和短國預防措施。溝通結果及活動，并與所有相關方磋錯遠商。必要時(shí)修訂信息安全管理體系。确保修訂達到預期的目标。在這(zhè機廠)個階段需要注意的是，很多看起(qǐ)來單純的、孤立的事(shì)件，國子如果不及時(shí)處理就(jiù)可能(néng)對(上坐duì)整個組織産生影響，所采取火放的措施不僅具有直接的效果，還(hái)可能(néng)帶來深長木遠的影響。組織需要把措施放在信息安全管理體系持續街懂改進(jìn)的大背景下，以長(cháng)遠的眼光來關紙打算，确保措施不僅緻力于眼前的問題，還(hái)要杜絕類似事就都(shì)故再發(fā)生或者降低其在放生的男樹可能(néng)性。

不符合、糾正措施和預防措施是本階段的重要概念。

不符合：是指實施、維持并改進(jìn)所要求的窗飛一個或多哥管理體系要素缺乏或者失效，或者是在錯了客觀證據基礎上，信息安全管理體系符合安全方針以及達到組織安全大村目标的能(néng)力存在很大不确定性的情況。

糾正措施：組織應确定措施，以消除懂有信息安全管理體系實施、運作和使用過(guò)程中不符合的原因，防止再公一發(fā)生。組織的糾正措施的文件化程序應該規定以下方面從媽(miàn)的要求：

識别信息安全管理體系實施、運作過(guò)程中的不符新大合；确定不符合的原因；評價确保不符合不再發(fā)生的措施要求；取定要紙并實施所需的糾正措施；記錄所采取措施的結果；評審這友所采取措施的有效性。預防措施：組織應确定措施，以消除潛外技在不符合的原因，防止其發(fā)生。預防措施應與潛在問題的子見影響程度相适應。預防措施的文件化程低嗎序應該規定以下方面(miàn)的要求：

識别潛在不符合及其原因；确定并實施所需的預防措施；記錄的能所采取措施的結果；評審所采取的預防措施；識别已變化的風險，并确保對土人(duì)發(fā)生重大變化的風險予以關注。

相關文章

ISO 27001爲企業雲計算安全保駕護航

近幾年來，IT領域出現了全面(miàn)的業務和技術的融合，許多全新的技畫公術名詞開(kāi)始進(jìn)入大衆視野。作爲第三次IT高制浪潮的代表，雲計算技術的風起(qǐ)雲湧爲人類生活、生産方式和商業模式帶來煙子了巨大的改變。據Gartner醫弟公司最新一季度的IT支出報告稱，鑒于20麗高11年全球公有雲服務市場規模突破了910億美元，預他商計2012年底這(zhè)一數字將(jiā遠員ng)增加19%，達到1090億美元。來自Gartner的雲計為暗算領域觀察員Ed Anderson認爲，照子2016年全球雲計算産業很可能票就(néng)增長(cháng)率將(jiāng)務有超過(guò)100%，市場規模達到2070億美元。

伴随著(zhe)雲計算的高速發(fā)展森紅與普及，随之而來的全新網絡威脅、數據洩漏和欺詐的風險，在全球範圍得路内引發(fā)了諸多危機：2011年秒員3月，谷歌Gmail郵箱爆發(fā)大規模的用戶數據洩漏事(shì)件，日兒約有15萬用戶的使用信息受到不同程度的破壞算間；無獨有偶，2011年4月，全球最大的網絡零售兵子商亞馬遜也發(fā)生史上最嚴重的宕機事(shì)件，導緻其雲都國服務中斷持續了近四天，業務損失十分嚴重朋工。由此可見，想要獲得真正全面(miàn)的雲計黑子算服務，安全問題是重中之重。如何并有效地避免雲計算所帶來的安全隐患，國(g化上uó)際上關于“雲”的組織聯盟都(dōu)在積極地做出努力，到關在對(duì)相關技術水平提出更高要求的同時(shí)，如何更好時森(hǎo)的建立企業自身的信息安全管理标準體系也成(chéng)來木爲了行業日益關注的焦點。

作爲目前國(guó)際上具有代表性的信息安全管理體系标準，[3]ISO 27001已在世界各地的政府機構、銀行、證券、保險理如公司、電信運營商、網絡公司及許多跨國(guó)公司得到了廣山服泛應用，該标準重新定義了對(duì)信息安全管理體系(ISMS)數影的要求，旨在幫助企業确保有足夠并具有針對(duì)性的安全控制時藍選擇。通過(guò)信息安全管理體系的建立好自、運行和改進(jìn)，可以進(jìn)一步規範企業相關的信息管理工作，從而車時确保企業雲計算服務的安全問題。

此外，開(kāi)展ISO 27001的培訓也是十分必要舞風的，而且要從不同的層面(miàn)開(kāi)展針對(duì)性現秒的培訓。首先，需要開(kāi)展綠唱管理層的培訓，讓管理者對(duì)信息安全就時管理體系有一個初步的了解，讓領導們初步了解信息安全管理村地體系的理念和作用 ，企業高層的大力支持科志，才能(néng)順利進(jìn)行，場吃因爲信息安全體系架構的實施和運行，比如會(h林藍uì)跨越不同的部門，在部門與部門的協調上，就(jiù)需要上層領土體導的協調了。此外，讓各部門主要信息安全專員參與标準的内兵視審員培訓，從而讓内審核員認識信息安全體系應該做哪些工好舞作，哪些是重點工作，并且在培訓中進(jìn)行笑紅讨論，形成(chéng)統一的認識。

通過(guò)實施ISO27001信息安全管理體系，將(jiāng)爲企些站業帶來多方面(miàn)的益處：包括證明企業内文光部控制具備獨立保障，并滿足公司信南討息管理管理和業務連續性要求；獨立證明已遵守各項适用法律法規；通過(guò技什)滿足合同要求以提供競争優勢，并向(xiàng)客戶展示其山答雲計算安全已受到保護；在使信息安全流程、程序和文件材料正式化的同時人下(shí)，能(néng)夠獨立地證明您計相的雲服務相關風險已得到妥善識别、評估和管理；證明高級管理層對(duì)其信息安城現全的承諾；定期的評估流程有助于不斷監控企業的績效并最終得離老到改善。