ISO27000信息安全管理体系建设咨询服务.pdf-道客多多

资源描述

1、 ISO27000 信息安全管理体系建设咨询服务目录 1 概述 . 3 2 准备 . 5 2.1 确定 ISMS 范围 . 5 2.2 确定信息安全总体方针政策 . 6 2.3 定义风险评估与管理方法 . 8 2.4 项目准备 . 9 3 风险评估 . 13 3.1 现状分析 . 13 3.2 风险评价 . 15 3.3 风险处置 . 17 4 安全体系规划与设计 . 19 4.1 安全体系规划 . 19 4.2 编写安全体系文档 . 20 5 安全体系实施、调整、评审 . 22 5.1 体系实施 . 22 5.2 体系调整 . 23 5.3 体系评审 . 24 附件 1：项目主要任务及活

2、动列表 26 附件 2：项目主要文档列表 27 1 概述 ISO27000 信息安全管理体系建设咨询服务阶段流程如下图：体系实施体系调整体系评审安全体系实施调整评审与调整与设计风险评估第一阶段第二阶段准备确定 ISMS 范围确定信息安全总体方针政策定义风险评估与管理方法安全体系规划编写安全体系文档控制体系规划与设计第三阶段第四阶段 ISMS 范围 ISMS 总体方针风险评估程序 ISMS 建设实施计划各种表格、工具、模板 ISMS 项目培训材料访谈 /检查 /测试工作底稿 ISMS 差距分析报告信息安全现状分析报告资产风险评估表（

3、系列）风险评估报告风险处置计划适用性声明（ SOA） ISMS 授权及批准书 ISMS 体系培训材料 ISMS 实施工作底稿（系列） ISMS 实施总结 ISMS 调整计划 ISMS 内部审核工作底稿（系列） ISMS 内部审核报告 ISMS 管理评审报告信息安全建设规划报告 ISMS 各级文件（系列）项目准备组建项目组整理开发工具模板启动会培训制定实施计划现状分析风险分析威胁评价弱点评价风险评价资产评价风险处置控制选择残余风险分析确定风险处置方式风险处置计划现场访谈人工检测安全扫描渗透测试问卷调查综合分析实践证明，按照 BS7799

4、/ISO27000 的要求在组织内部建立并运行信息安全管理体系（ ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的信息安全管理体系，是处理组织信息安全问题有效手段之一。根据 BS7799/ISO27000 要求，在建立、实施、运行、监控、评审、保持与改进组织 ISMS时采用 PDCA 的过程模型，即首先依据组织的信息安全总体方针政策，通过对 ISMS 涉及范围内的所有信息资产进行风险评估，选取合适的安全控制措施，建立包括安全策略、控制程序、操作指南 /手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行 ISMS 信息安

5、全策略、控制程序及措施，并通过 ISMS 运行监控、内部审计及管理评审，发现 ISMS 存在的问题及弱点，及时采取适当的纠正或预防措施，实现 ISMS 的持续改进。信息安全管理体系咨询服务的目的就是根据 ISO27001 标准的要求，采用 PDCA 的过程模型，通过基于资产的风险评估，帮助客户建立文件化的信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，最终促进客户业务的开展。如上图所示，信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设计、安全体系

6、实施 /调整 /评审四个阶段，各个阶段说明如下 : 第一阶段：准备准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是： 1) 确定 ISMS 范围根据组织业务需要确定 ISMS 涵盖的范围，包括地理位置、部门或信息系统等。 2) 确定信息安全总体方针政策分析 ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。 3) 定义风险评估与管理方法确定风险评估模型，确定风险评估指标，定义风险评估及管理程序。 4) 项目准备制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。第二阶

7、段：风险评估分析 ISMS 范围内的信息安全现状，针对 ISMS 范围内的所有信息资产，识别并评价其面临的安全风险，提出对应的控制措施。包括三大工作任务，分别为： 1) 现状分析通过访谈、检查及测试了解 ISMS 范围内的信息安全现状，形成现状报告，并将获取的安全现状与 ISO27002 中的安全控制措施进行差距分析。 2) 风险评价按照确定的风险评估模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。 3) 风险处置确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。第三阶段：安全体系规划与设计根据差距

8、分析和风险评估结果规划安全体系建设任务，落实本期建设规划。包括两大工作任务，分别为： 1) 安全体系规划规划信息安全体系建设项目、任务、计划等。 2) 编写安全体系文档设计信息安全体系管理文档或技术方案。第四阶段：安全体系实施、调整、评审落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安全管理体系不足，按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。包括三大工作任务，分别为： 1) 体系实施落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。 2) 体系调整针对实

9、施和运行中存在的问题，对信息安全管理体系进行调整改进。 3) 体系评审按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。 2 准备 2.1 确定 ISMS 范围根据组织的业务特征、组织结构、地理位置、资产和技术定义 ISMS 范围和边界。主要工作任务及内容（活动） 1) 信息安全与业务战略及规划一致性分析针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外部角度考虑 ISMS 需要涵盖的范围。 2) 信息安全与相关法规 /制度符合性分析针对组织内部安全状况与法律 /法规 /制度符合性的分析，主要从合规性方面考虑 ISMS

10、范围需要涵盖的范围。 3) 信息安全与业务运营影响分析针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑 ISMS 需要涵盖范围 4) 确定 ISMS 范围根据上述分析结果确定 ISMS 范围（包括涉及的物理位置、业务流程、部门、系统等）。主要工作方式 /方法（工作方式、职责划分、工作方法）组织要建立信息安全管理体系，首先需要划定其范围。确定 ISMS 的过程如下：业务战略及规划一致性分析法规制度业务战略及规划法规制度符合性分析业务运营影响分析 ISMS 范围描述确定 ISMS 范围信息安全管理体系是为保障组织信息系统而建立

11、的，而信息系统建设与运行的目标是确保组织业务目标的实现，因此信息安全管理体系建设的最终目的是确保组织业务目标的实现。所以确定 ISMS 范围时需要从内部业务需求和外部合规性要求出发，对信息安全与组织业务发展战略及规划的一致性、信息安全与与相关法规 /制度的符合性、信息安全对业务运营的影响进行综合分析形成与业务目标相一致的 ISMS 范围。应该对确定的 ISMS 范围进行书面说明（可以放在信息安全管理手册或总体方针文件中），对 ISMS 涉及的部门，位置、业务以及主要资产（主要信息系统或设备）进行描述。各方参与情况见下表：岗位主要任务或活动备注业务战略及

12、规划一致性分析法规制度符合性分析业务运营影响分析确定 ISMS范围甲方参与人员业务管理人员 IT 管理人员业务人员 IT 运维人员安全管理人员咨询方参与人员咨询顾问协助主要输入类型名称备注 DOC 业务战略及规划 DOC 法规制度要求主要输出类型名称备注 DOC ISMS 范围可以放在管理手册或总体方针政策中主要工具 /模板名称类型用途备注 2.2 确定信息安全总体方针政策分析 ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。主要工作任务及内容（活动） 1) 业务及系统初步安全需求分析根据组织业务及系统特点进行

13、初步安全需求分析，形成总体安全需求。 2) 确定 ISMS 总体方针政策在初步安全需求分析结果基础上，确定组织信息安全的总体方针政策，包括 ISMS 范围、总体目标、安全组织结构、安全管理框架、主要工作方式 /方法（工作方式、职责划分、工作方法）在进行信息安全管理体系建设前，应该制定组织的信息安全总体方针政策，设定信息安全的总体目标，明确信息安全管理职责，建立信息安全总体框架，为相关活动指明总的方向和原则。信息安全总体方针政策是建立、实施、运作、监视、评审、保持并持续信息安全管理体系的基础，需要获得最高管理者的批准。制定组织信息安全总体方针政策时可以首先针对组织业务

14、及系统特点进行初步的安全需求分析，考虑包括业务及法规制度合同要求在内的安全需求，形成安全需求框架。确定信息安全总体方针政策的过程如下：确定的信息安全总体方针政策应该文件化，并由最高管理者签发。信息安全总体方针政策文件需要包含如下内容：组织信息安全的定义、总体目标、范围等；组织信息安全的重要性（如何保障业务目标实现）；管理层承诺与支持；信息安全体系框架（如何实现组织信息安全）；对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明，如：法律法规要求、业务持续性管理、教育与培训以及违反策略的后果等；信息安全管理组织架构、职责、安全管理方法等；引用的支撑策略或

15、管理制度。各方参与情况见下表：岗位主要任务或活动备注初步安全需求分析确定信息安全总体方针政策甲方参与人员业务管理人员 IT 管理人员业务人员 IT 运维人员安全管理人员咨询方参与人员咨询顾问协助主要输入类型名称备注 DOC ISMS 范围来自前面任务输出 DOC 法规制度要求 DOC 业务要求法规制度要求业务要求初步安全需求分析 ISMS 总体方针政策确定信息安全总体方针政策 ISMS 范围主要输出类型名称备注 DOC ISMS 总体方针主要工具 /模板名称类型用途备注 2.3 定义风险评估与管理方法确定信息安全风险评估模型，

16、定义风险评估程序、建立风险评估指标及风险接受准则。主要工作任务及内容（活动） 1) 确定风险评估模型及相关指标准则定义组织风险评估方法及风险接受准则等。 2) 制定风险评估与管理程序按照确定的风险评估方法及风险接受准则，形成文件化的风险评估与管理程序。主要工作方式 /方法（工作方式、职责划分、工作方法）在确定了 ISMS 的范围和总体方针之后，需要确定一种适合组织的风险评估模型，建立风险评估指标及风险接受准则。并且需要按照确定的风险评估方法及风险接受准则，形成文件化的风险评估及管理程序。具体内容包括：定义风险评估模型；定义资产类别；

17、定义威胁类别；定义弱点类别；定义风险处置方式；确定风险接受准则；确定风险计算方式；各种指标值及描述。定义风险评估与管理方法过程如下：各方参与情况见下表：岗位主要任务或活动备注确定风险评估模型及相关指标准则风险评估与管理程序制定风险评估与管理程序 ISMS 总体方针确定风险评估模型及相关指标准则制定风险评估与管理程序甲方参与人员 IT 管理人员协助安全管理人员协助咨询方参与人员咨询顾问主要输入类型名称备注 DOC ISMS 总体方针来自前面任务输出主要输出类型名称备注 DOC 风险评估与管理程序主要工具 /模

18、板名称类型用途备注 2.4 项目准备按照 ISMS 建设范围及进度要求，制定有关实施计划，组建项目组，落实人员安排，整理或开发 ISMS 建设所需的表格 /工具 /模板，召开启动会，并按照实际需要对相关人员进行项目背景知识培训，完成 ISMS 建设项目的前期准备工作。主要工作任务及内容（活动） 1) 制定实施计划制定项目实施计划，主要是下一阶段的风险评估计划。 2) 组建项目组落实项目人员安排及其职责。 3) 整理开发工具 /模板开发或定制各种表格、工具及模板，包括各种问卷，表格，检查及测试程序与模板等。 4) 项目启动会正式启动项目。 5) 培训按照需要

19、进行项目背景知识培训，包括 BS7799/ISO27000 知识培训，项目实施过程 /方法 /工具培训等。主要工作方式 /方法（工作方式、职责划分、工作方法）项目准备主要包括制定项目（下一阶段）实施计划，组建项目组，整理开发工具模板，召开启动会，实施项目培训等。项目准备过程如下：开发整理工具 /模板是项目准备阶段最重要的工作任务之一， ISMS 建设的工具模板包括： 1) 调查问卷调查问卷是为了大范围收集了解情况（所谓全面撒网）而由甲方相关人员填写由咨询人员收集分析的问卷表，由于问卷调查可以在大范围并行开展，因此可以节约信息收集时间。但调查问卷获取信息的可靠性较差，因此问卷涉及

20、的调查内容应该包括在面对面访谈中。 ISMS 建设调查问卷包括：威胁调查问卷用于收集了解体系建设范围内信息安全威胁及事件的相关信息。信息安全管理调查问卷初步了解体系建设范围内信息安全管理的相关情况，同时了解调查被调查人员关于信息安全管理的意识以及关于 ISMS 体系建设迫切需要解决的问题。 2) 现场访谈表现场访谈表是由咨询人员使用的用于面对面访谈甲方相关人员的工作表格。现场访谈表主要用于收集体系建设范围内组织及 IT 系统的基本信息和安全状况。 ISMS 建设现场访谈表包括： IT 组织情况调查表主要调查体系建设范围内 IT 组织的基本情况。信息

21、系统调查表（系列）主要调查体系建设范围内信息系统的基本情况，包括物理、网络、主机、数据库以及应用系统的部署使用、安全措施等。安全管理访谈表按照 BS7799-1 或者 ISO27002 要求，进行安全管理措施及弱点访谈。物理安全访谈表进行物理安全控制措施及弱点访谈网络架构安全访谈表进行网络架构安全控制措施及弱点访谈网络设备安全访谈表（系列）对各种网络设备进行安全控制措施及弱点访谈操作系统安全访谈表（系列）对各种操作系统进行安全控制措施及弱点访谈风险评估与管理程序组建项目组召开启动会风险评估计划制定实施计划项目培训 ISMS 总体方针整理开发工具

22、 /模板表格、工具、模板（系列）会议材料、记录培训材料、记录系统软件安全访谈表（系列）对各种系统软件进行安全控制措施及弱点访谈数据库系统安全访谈表（系列）对各种数据库系统进行安全控制措施及弱点访谈应用系统安全访谈表对各种应用系统进行安全控制措施及弱点访谈 3) 人工检测表根据现场访谈结果，进行管理、网络、系统、应用手工检查或测试。人工检测表与访谈表可合并成一个安全评估表，包括：安全管理核查表检查安全管理措施落实情况。网络设备安全检测表（系列）检查或测试各种网络设备安全控制及弱点情况操作系统安全检测表（系列）检查或测试各种操

23、作系统安全控制及弱点情况系统软件安全检测表（系列）检查或测试各种系统软件安全控制及弱点情况数据库系统安全检测表（系列）检查或测试各种数据库系统安全控制及弱点情况应用系统安全检测表检查或测试各种应用系统安全控制及弱点情况 4) 文档模板文档模板用于统一文档风格，进行结果记录、统计与分析。 ISMS 建设文档模板包括： ISMS 各级文件模板资产风险评估表规划表其它文件模板 5) 知识库或指标库风险评估模型与指标（如：风险类别、风险分级等）规划方法模型与指标差距分析准则 6) 技术检测工具（主要进行安全扫描和渗透测试）弱点扫描工具嗅探

24、工具其它自动化工具项目准备阶段另外两项重要的工作任务是召开启动会和进行项目背景知识培训。启动会主要活动包括： 1) 领导讲话 2) 项目任务 /计划介绍 3) 任务分配与确认 4) 形成项目执行决议项目背景知识培训主要涉及 BS7799/ISO27000 知识培训，项目实施过程 /方法 /工具培训等。可以在培训后根据甲方的意愿进行培训考试。项目准备各方参与情况见下表：岗位主要任务或活动备注制定实施计划组建项目组整理开发工具 /模板召开启动会项目培训甲方参与人员 IT 管理人员协助安全管理人员协助 IT 运维人员协助 IT 开发人员协助咨询方参与人员咨

25、询顾问主要输入类型名称备注 DOC ISMS 总体方针政策 DOC 风险评估与管理程序主要输出类型名称备注 DOC ISMS 总体实施计划 DOC ISMS 风险评估计划 DOC/XLS 威胁调查问卷系列 DOC/XLS 信息安全管理调查问卷系列 DOC/XLS IT 组织情况调查表 DOC/XLS 信息系统调查表系列 DOC/XLS 安全管理评估表 DOC/XLS 物理安全评估表 DOC/XLS 网络架构安全评估表 DOC/XLS 网络设备安全评估表系列 DOC/XLS 操作系统安全评估表系列 DOC/XLS 系统软件安全评估表系列 DOC/XLS 数据库系统安

26、全评估表系列 DOC/XLS 应用系统安全评估表 DOC/XLS 风险评估模型与指标 DOC/XLS 资产风险评估表 DOC/XLS 差距分析准则 DOC/XLS 规划方法模型与指标 DOC/XLS 规划表 DOC/XLS ISMS 各级文件模板软硬件弱点扫描工具软硬件嗅探工具软硬件其它自动化工具 PPT 项目计划介绍 DOC 会议日程安排 DOC 会议签到表 DOC 会议记录系列 DOC 培训日程安排（或计划） PPT ISMS 项目背景知识培训 PPT ISMS 项目实施培训 DOC 培训考题 DOC 培训签到表 DOC 培训答卷主要工具 /模板名称类型用途备注

27、3 风险评估 3.1 现状分析通过问卷调查、访谈、检查及测试等多种方式尽可能多的收集信息系统及安全管理相关信息，对收集到的信息进行综合分析和整理，形成差距分析报告和现状报告。主要工作任务及内容（活动） 1) 问卷调查对 ISMS 范围内的相关人员进行问卷调查，了解组织人员的安全管理意识、组织面临的主要威胁情况以及发生的主要安全事件。 2) 现场访谈面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。 3) 手工检测人工检查或测试系统的安全管理落实情况。 4) 安全扫描使用自动化工具进行网络、操作系统、数据库或应用系统扫描。 5) 渗透测试对网络、操作系统、数据

28、库或应用系统实施渗透测试，可选。 6) 综合分析对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。 7) 撰写报告撰写差距分析报告和现状报告。主要工作方式 /方法（工作方式、职责划分、工作方法）现状分析的目的是收集信息系统及安全管理的相关信息，所采用的手段包括：问卷调查、现场访谈、检查与测试等，在进行现状分析前需要准备完成相关的现状调研及分析工具模板。具体包括：调查问卷现场访谈表人工检测表自动扫描工具等其中调查问卷需要根据 ISMS 范围内的人员岗位分别定制，现场访谈表、人工检测表需要根据网络及系统平台类别分别定制。各种

29、主要手段功用及工作底稿描述如下：问卷调查主要用于信息安全管理意识、安全威胁及相关安全事件了解。问卷调查的工作底稿主要是问卷答卷。现场访谈主要了解物理、网络、操作系统、数据库系统、应用系统的基本信息以及其安全管理设计情况。现场访谈工作底稿包括：访谈计划、访谈结果记录等。人工检测表主要用于核查安全管理的落实情况，检查或测试各类网络设备、操作系统、数据库系统、应用系统的安全实现情况。工作底稿主要是检测结果记录。自动扫描主要用于对网络设备、操作系统、数据库系统或应用系统的进行自动化扫描。工作底稿包括：扫描计划、扫描原始记录、扫描报告等。渗透测试主要对

30、网络设备、操作系统、数据库系统或应用系统的实施渗透。工作底稿包括：渗透测试计划、渗透测试记录、渗透测试报告等。现状分析的过程如下：各方参与情况见下表：岗位主要任务或活动备注问卷现场访手工检安全扫渗透测综合分撰写问卷调查工作底稿问卷调查手工检测现场访谈现场访谈工作底稿自动扫描渗透测试综合分析撰写报告手工检测工作底稿自动扫描工作底稿差距分析报告风险评估计划渗透检测工作底稿现状报告资产清单调查谈查描试析报告甲方参与人员 IT 管理人员协助安全管理人员协助 IT 运维人员协助 IT 开发人员协助咨询方参与人员

31、咨询顾问主要输入类型名称备注 DOC 风险评估计划来自前面任务输出主要输出类型名称备注 DOC/XLS 问卷调查工作底稿系列 DOC/XLS 现场访谈工作底稿系列 DOC/XLS 手工检测工作底稿系列 DOC/XLS 自动扫描工作底稿系列 DOC/XLS 渗透测试工作底稿系列 DOC/XLS 资产清单 DOC 差距分析报告 DOC 现状分析报告主要工具 /模板名称类型用途备注调查问卷 DOC/XLS 由甲方人员填写的问卷不同级别或类别人员可能需要不同的问卷访谈表 DOC/XLS 由咨询人员使用的面对面访谈提纲或问题不同类别对象需要不同的访谈表

32、检测表 DOC/XLS 由咨询人员使用的检测提纲或检查程序不同类别对象需要不同的检查表扫描工具软硬件由咨询人员使用的自动化安全扫描软件差距分析准则 DOC/XLS 咨询人员用于差距分析 3.2 风险评价依据确定的风险评估模型与方法，对现状分析阶段识别出的资产、威胁、弱点以及由此而形成的资产综合风险进行分析评价，形成风险评估报告。主要工作任务及内容（活动） 1) 资产评价评估资产价值。 2) 威胁评价评估威胁发生可能性。 3) 弱点评价评估弱点严重程度。 4) 风险评价综合资产评价、威胁评价、弱点评价结果评估资产面临的风险。 5) 风险评估报告形成风险评

33、估报告。主要工作方式 /方法（工作方式、职责划分、工作方法）风险评价充分利用了现状分析阶段收集的资产、威胁、弱点以及安全控制的相关信息，按照确定风险评估模型及方法，评估资产面临的风险。风险评价过程如下：各方参与情况见下表：岗位主要任务或活动备注资产评价威胁评价弱点评价风险评价撰写风险评估报告甲方参与人员 IT 管理人员安全管理人员 IT 运维人员 IT 开发人员咨询方参与人员咨询顾问协助主要输入类型名称备注 DOC/XLS 现状分析工作底稿（系列）来自前面任务输出 DOC 现状报告来自前面任务输出 DOC 差距分析报告来自前面任务输出

34、威胁评价资产评价弱点评价风险评价撰写风险评估报告风险评估报告现状分析工作底稿、报告资产清单资产风险评估表 DOC/XLS 资产清单来自前面任务输出主要输出类型名称备注 DOC/XLS 资产风险评估表 DOC 风险评估报告主要工具 /模板名称类型用途备注风险评估模型与指标 DOC/XLS 执行资产、威胁、弱点及风险评价资产风险评估表模板 DOC/XLS 记录资产风险评估结果 3.3 风险处置根据风险处置标准，确定风险处置方式。对于那些需要控制的风险，需要选择安全控制措施，制定风险处置计划，进行残余风险分析。主要工作任务及内容（活动） 1) 选择

35、风险处置方式根据确定的风险接受准则，选择风险处置方式，如：接受、控制、转移、规避等。 2) 选择安全控制措施对于确定为控制的风险，选择 ISO27002 中的或其它的安全控制措施。 3) 制定风险处置计划对确定为控制的风险，制定相应的风险处理计划，包括任务、人员、时间安排 4) 残余风险分析分析控制实施后的残余风险。主要工作方式 /方法（工作方式、职责划分、工作方法）风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。风险接受：包括低于一定的风险水平本身就可接受的风险，或者那些不可避免，而且技术上、资源上不可能采取对策来降低，或者降低对组织来说不经济的风险。风险

36、控制：采用适当的控制以降低风险：包括降低安全事件发生的可能性或者降低安全事件影响两个方面，这时风险处置的重点。风险转移：将风险和其他的利益方分担，避免自己承担全部损失。例如保险和其他的风险分担合同。风险规避：通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可能产生的风险，通常这些业务、活动不是组织的核心内容。对于选择为接受的风险，根据 ISO27001 要求，需要获得管理者的批准，并对这些风险进行监视，一旦风险状态或者控制条件发生变化需要重新评估风险并识别和评价风险处理的方法。对于选择为控制的风险，可以从 ISO27002 中选择降低风险的控制措施，包括信息安全方针

37、、安全组织、资产分类和控制、人员安全、物理和环境安全、通信和操作管理、访问控制、信息系统的获取及开发和维护、安全事件管理、业务连续性管理、符合性十一大方面。这些控制可以从降低安全事件发生的可能性或者降低安全事件影响两个方面来降低风险。在选取控制措施后，还需要针对这些风险制定风险处置计划，风险处置计划是针对风险评估所识别的不可接受风险而制定的风险处理办法和进度表 , 风险处置计划中应详细的列出： 1）所选择的处理方法； 2）当前已有控制； 3）建议实施的控制； 4）实施时间及人员安排等。最后针对实施处置计划后的资产残余风险进行分析，要么由管理层批准接受残余风险，要么继续选择控制措施，制定处

38、置计划，直到管理层批准接受残余风险。此外组织在采取“风险规避 ”或者“风险转移 ”的处理方法时，应该注意其局限性，而且可能因此而引入新的风险。风险处置过程如下：各方参与情况见下表：岗位主要任务或活动备注选择风险处置方式选择安全控制措施制定风险处置计划残余风险分析甲方参与人员 IT 管理人员安全管理人员 IT 运维人员 IT 开发人员咨询方参与人员咨询顾问协助主要输入类型名称备注 DOC/XLS 资产风险评估表来自前面任务输出主要输出类型名称备注 DOC/XLS 资产风险处置表主要工具 /模板选择安全控制措施选择风险处置方式制定

39、风险处置计划残余风险分析资产风险处置表资产风险评估表名称类型用途备注 DOC/XLS 风险接受准则用于确定风险处置方式 4 安全体系规划与设计 4.1 安全体系规划对于大型组织而言，由于 ISMS 涉及范围广，建立完善的信息安全管理体系将是一个长期的过程，因此需要规划信息安全管理体系建设的任务及过程，形成信息安全管理体系建设规划报告，分阶段分步骤建设信息安全管理体系。对于 ISMS 范围较小的组织，在风险评估后可以跳过本阶段而直接进入安全体系文档设计阶段。主要工作任务及内容（活动） 1) ISMS 建设任务或项目分解将资产风险处置结果转换为

40、任务或项目。 2) 安全任务或项目实施规划规划任务或项目的实施计划。 3) 撰写规划报告综合前面分析形成规划报告主要工作方式 /方法（工作方式、职责划分、工作方法）在进行信息安全管理体系建设规划时首先要分析上一阶段得出的资产风险处置结果，将需要增加或改进的措施分解成一项项任务或项目，明确每个任务或项目的目标、工作内容及实施优先级，然后根据任务或项目的实施优先级规划这些任务或项目的实施时间、实施范围及参与人员。在确定任务或项目的实施优先级时需要使用规划方法模型指标。安全体系规划流程如下：各方参与情况见下表：岗位主要任务或活动备注任务或项目分解任务或项目实施规

41、划撰写规划报告甲方参与人员 IT 管理人员协助安全管理人员协助任务或项目实施规划任务或项目分解撰写规划报告信息安全建设规划报告资产风险处置表规划工作底稿 IT 运维人员协助 IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注 DOC/XLS 资产风险处置表来自前面任务输出主要输出类型名称备注 DOC/XLS 信息安全建设规划底稿 DOC 信息安全建设规划报告主要工具 /模板名称类型用途备注规划方法模型指标 DOC/XLS 用于任务或项目实施规划 4.2 编写安全体系文档按照风险评估或安全体系规划结果，编写信息安全管

42、理体系文档，包括 1、 2、 3、 4 级文档、技术方案等。主要工作任务及内容（活动） 1) 确定 ISMS 文件清单根据风险评估及规划结果确定需要的 ISMS 文件清单。 2) 制定 ISMS 文件编写计划 3) 编写 ISMS 文件按计划编写 1、 2、 3、 4 级文档、技术方案等。 4) ISMS 文件评审讨论评审 ISMS 文件或技术方案。主要工作方式 /方法（工作方式、职责划分、工作方法） ISMS 文档包括与安全相关的管理制度 /流程 /标准 /指南 /操作手册 /模板以及相关技术方案等。一般分为四级文件，分别是：一级文件： ISMS 总体文件，包括：总体安

43、全方针政策安全管理手册适用性声明（ SOA）二级文件： ISMS 通用程序，主要包括：文件控制程序记录控制程序内部审核管理程序管理评审管理程序预防及不符合纠正控制程序信息安全风险评估与管理程序三级文件：专项安全处理程序、操作指南、操作手册等。各种专项信息安全策略（含管理规定、办法、制度等）各种信息安全处理流程 /程序各种信息安全标准 /指南 /操作手册四级文件：运行 ISMS 所用到的记录、模板等。本任务过程如下：各方参与情况见下表：岗位主要任务或活动备注确定 ISMS 文件清单制定 ISMS文件编写计划编写 ISMS文件 I

44、SMS 文件评审甲方参与人员 IT 管理人员协助安全管理人员协助 IT 运维人员协助 IT 开发人员协助咨询方参与人员咨询顾问主要输入类型名称备注 DOC 差距分析报告来自前面任务输出 DOC/XLS 资产风险处置表来自前面任务输出 DOC 信息安全建设规划报告来自前面任务输出主要输出类型名称备注 DOC ISMS 文件清单制定 ISMS 文件编写计划确定 ISMS 文件清单差距分析报告信息安全建设规划报告 ISMS 文件（系列） ISMS 文件评审 ISMS 文件清单编写 ISMS 文件 ISMS 文件编写计划资产风险处置表文件评

45、审记录（系列） DOC ISMS 文件编写计划 DOC/XLS ISMS 文件系列 DOC/XLS 文件评审记录系列主要工具 /模板名称类型用途备注 ISMS 文件模板（包括手册、策略、程序、记录等格式模板） DOC/XLS 统一文档格式 5 安全体系实施、调整、评审 5.1 体系实施按照 ISMS 文件，落实安全管理组织，部署安全控制措施，运行安全控制程序。主要工作任务及内容（活动） 1) 体系批准 2) 制定实施计划 3) 建立安全管理组织 4) 体系培训 5) 体系实施 6) 实施总结主要工作方式 /方法（工作方式、职责划分、工作方法）在实施和运行

46、ISMS 前，需要获得最高管理者批准授权。最高管理者需要任命 ISMS 管理者代表、签署 ISMS 文档。此外还必须按照 ISMS 体系要求建立安全管理组织，进行 ISMS 培训。对于大型组织， ISMS 实施可以采用先试点、后推广分阶段进行。实施过程如下： ISMS 文档体系培训建立安全管理组织培训记录及材料（系列）体系实施实施记录（系列）实施报告体系批准 ISMS 实施工作计划实施总结制定实施计划 ISMS 批准及授权书各方参与情况见下表：岗位主要任务或活动备注体系批准制定体系实施计划建立安全管理组织体系培训体系实施实施总

47、结甲方参与人员 IT 管理人员安全管理人员 IT 运维人员 IT 开发人员咨询方参与人员咨询顾问协助与指导主要输入类型名称备注 DOC ISMS 文档来自前一任务输出主要输出类型名称备注 DOC 授权及批准书 DOC ISMS 实施工作计划 DOC 安全管理组织结构图可以放在 ISMS 总体方针中 DOC 培训日程安排（或计划） PPT ISMS 体系培训 DOC 培训签到表 DOC ISMS 实施进度跟踪表系列 DOC ISMS 实施问题汇总表系列 DOC ISMS 实施报告主要工具 /模板名称类型用途备注 5.2 体系调整根据 ISMS 的实施、运行及评审情况，调整 ISMS 的设计与部署。主要工作任务及内容（活动） 1) 制定调整计划 2) 实施体系调整主要工作方式 /方法（工作方式、职责划分、工作方法）在 ISMS 实施或者评审完成后，可以根据实施情况或者评审报告，对实施及运行过程中发现的 ISMS 设计与部署问题进行整改。体系调整过程如下：各方参与情况见下表：岗位主要任务或活动备注制定调整

展开阅读全文