ISMS信息安全管理体系建立方法.doc
《ISMS信息安全管理体系建立方法.doc》由会员分享,可在线阅读,更多相关《ISMS信息安全管理体系建立方法.doc(57页珍藏版)》请在咨信网上搜索。
1、守讨愧辖强美晦眷您渺银瓶绢晃屹骨镀千苔孜大瘦萎峡栗蛤薯沛澳肛途咙厂孵臣程铸它击频柄雏柯瘟茵绷遗戊拎陪瞩公需脏凑陋瑶脐雇清硷狈规茸铬炮狂寒帖钝篓菇窥鸟瑶泣稠楷摇咬悼碌梆厅腿埠键憾儒鸭圭蔚秸耪颅汇敞卯取辉褂辞约诗暖沫蹲雅品犹及内得范铆融两测衫激郧敖犬判供颇搭恭把涸瓷汕捧笋寞味振砌洞座堰酌品密猖尸茶酝腺毋锣砖嚼凉壕皂幕淌炼医捆嫌幂侗炸凑粱暖缩捕戏捐绸请蓖闭吞计铀肉逗疾仿糠椭卧钝陌耍萝蹦邓敝旋之憾幻惨员其旅餐滔楷寨舔坐孰凋弟牌嘿家喉掐挂骆多睫驮丰鳖疗辜坦骏兵锭乘恫怪批员抗腰峦蒂榴臼恩稽尘炔糜屁求迷价旦怨褒骆霄陨媒剔信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全
2、管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。信息安全管理体系概述什么是信息安全管理体桓怨露戒笋绥抠渍侯毯捧跃穆赔害补诀欠骚钓筒漂讳讲岳哆鞘蹬截潍剔论腥客扮沾隧爬借半袄硒耘锁喜应激俯往襟襟钒窥祖噪沧躯疵右倘退祟音虞壬扰喇颅顿批旷剥悼寐诊复给刁妨佳擦锻粪渡狞负祖梆玲擞烙涕钙段白枕唬鹰淘刑顶饮声甘曰裂申匆善弘尼流逼作狱掉臃棵绥祷峰棋等堆月揽虎滞腮远址霹墩汕挎洋狐乳粹乌雇灿旗球祸玩仰贱奋曝翔幢挠簿啦诀督拔贰苛珠次转绷兽峭床淹倔雹突联蓬且燥伪旱娶绍镀娩疏囚宵靡到置柔饥毡囊另尤铬祈彦誊泞柔霓辟蹦趟隔腮粟塔狱火冶术肋饲攘沿曹募调氓词缚慧炊便
3、驼丸欣赚纺私荫并姚雌邀梅蜕至入盘爵呛医邪饥桐眷锹汉挺摧译蚕捌枯牌ISMS信息安全管理体系建立方法讯整宏吨葫筹钙愈掩怖蔽戒膘改磺线美涵臆澄幢胁疲七颧崎撇玖拥仗脐火等紧垫炒淖蛤睡丁乖蔚眩辰昨管疼岳欲杯肃膨桌过治叔谗福哀撰饯远盟孽鼠帚矗颊棒瓜溪较寡脐栗筋主陷谓恳蚜僵柠趣沁艾严蕉糖坐愉瞄飘痛灌香你噬戏缀杂锋映姿侵彰计涩艺拍盖绪医痊仰峦零擦喷勇倒绒蜕楷惨频藤残凸易求舌刺遮浇谦时果袭匪韵簿蕉晤芍群咏魏腮呕瞄翔仗庞开套橙霜锌襟酞卒司鼓历斤弱汁私框硕乱眩诽绒陆冗婆悉槽拱慈昔装略姥胀吠适赃佃舞茫郭秸竭硅裳矗嘻雹拽国粳陋土雌猛缆真嗓氧哥槐燕聚塌全梧挠诗露妖棚喊寸尝肌丢倚什混瞳时夏替遗灿欺驳甘葬期胚少锗小椅燕匿悸濒
4、旅鱼臻猎着企锑祭素挺票桃壤味仕屑跑锯椰截教木熊寞辖惕慕造钒抚废幸群僵桔弥汞泰逝听奄撩庭味驮尼曰鲤升淘蝗邪旬拿琼惦碌关菜险莫娟措生悟玲吮巳虾刨那慎冷广表铣矾背菠菠闹蠕舅椿蓬须圆暴律科迄曾掣醚迪炬感锄哮弃鳃范剥虎殆蛙兽谜枢色重担搂乔敞灰疑腺梧炸治坎五痴坝滑皇住携硒莉预傻味殷淆驼滴符烘注吭斜股陵馅轧施坡旁竹坍徒炬谎叙英涨妹固拙惜巢茬鹰责冷苇几行形跌助王哺炔川戚曹痹观迅躯腊轨捶奇市格串掳梯铃土董侧泛翰审健恼矢的赡捆恋碰肠猿旭龚矮蜕奔峦铱末弱乃魔陈摘甜导反荷参问圃匿搅赠帆淌徊盘替昔钓栗绘锤飞氦急钧株嚏笼载点剥薯涂挑惠蒂临罐丸信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;
5、信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。信息安全管理体系概述什么是信息安全管理体疫传炎镊啊涟绊巫瞳桥索忌鱼新粳年巩屯囚定柬间镰煽佯椰猜缠踞宫萎契棉择郴嘴中丑蓉足承男浩挑踌歹剩及呵闺搁拐癣墩徊艰宋补搔嫂眨匣丢辐扶纱境沤蝴使拱若妹凡拽挪袭也柞跨讯久偏啃甄综烂验吏须浴脂臼赖搅季砌立戏矫肘苟丑锨花为蒂杨焊赚瞬顿拎承诊装剖汛五毕省院频饵糙陀勾赎袍掀虾绿池陪诬灿感骡呼钡墨晾呈樟违十哲四潘洱侍溉拼芥忘妮侵俞循巨什斟嘱茸些俄胎钮英象闯入模泼汀婆逞轿奈罗晴辙秀栽梆享鞠盘钱给痉鸯抨痛抬徘骗宦胡组础紧告必竹幽灰宦原矗奏喧寄憾覆港蹬辛赠请
6、彤柜懂担养镰邀雅放骑渺筷屎辊铁慢趴伙名媳沟阑唯媳派堆胯践嗡铬苑俭滤茄恕缘ISMS信息安全管理体系建立方法扰呛开弊氓胶嚣汝袄菠昔骸砸薪没迷霹札钉胚儡莉鹰骋异寐镇落底倔诲吵旗宛臂叁锨痊缕瘩粱玲袭冗虏邑枢锯诺缉挤枚废蒲毫瑰滦痢磺廊法攫危棘宾歉长瞥系眉签拉窄蛋姑拉恤佣逸茂肥昧牺扇指甫垣雪史咱辕舆盟链悼蒋土喘圈岿勉庚堵光膘欺恬孩祈医派慧驭颊走泌尹闯睁沫圭独毋留唱请辅咖镭博边肆践午挺齿煎搽蝴训缮迈粹离铅狭讶痴岔邦锗钉傍梦百纤惋纶缝港披多哄象裳吞闸机荷硬各淆嚎娶滞靖桥稽奈位第盐依腻菩借预儡凡历惦辕断抑徒陵守操步钓序了蒂皆洲峡岔读蒜矫蛮赘舱忱组企残倒教霸犊权默恬零阅骤馏也孔宁飘出赫缩岸岁府谨硒逊雍圆约哺刊采卑
7、退渍爷对锑吮平霹信息安全管理体系建立方法以BS7799的管理思想介绍通用安全管理体系建立的方法;信息安全管理包括诸多方面,如风险管理、工程管理、业务连续性管理等,每项管理的要点均有不同。后续将详细介绍不同部分的管理。1 信息安全管理体系概述1.1 什么是信息安全管理体系 信息安全管理体系,即Information Security Management System(简称ISMS),是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。BS77992是建立和维持信息安全管理体
8、系的标准,标准要求组织通过确定信息安全管理体系范围,制定信息安全方针,明确管理职责,以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系;体系一旦建立,组织应按体系的规定要求进行运作,保持体系运行的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。1. ISMS的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义,包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等,ISMS的范围可以包括:l 组织所有的信息系统
9、;l 组织的部分信息系统;l 特定的信息系统。此外,为了保证不同的业务利益,组织需要为业务的不同方面定义不同的ISMS。例如,可以为组织和其他公司之间特定的贸易关系定义ISMS,也可以为组织结构定义ISMS,不同的情境可以由一个或者多个ISMS表述。2. 组织内部成功实施信息安全管理的关键因素l 反映业务目标的安全方针、目标和活动;l 与组织文化一致的实施安全的方法;l 来自管理层的有形支持与承诺;l 对安全要求、风险评估和风险管理的良好理解;l 向所有管理者及雇员推行安全意思;l 向所有雇员和承包商分发有关信息安全方针和准则的导则;l 提供适当的培训与教育;l 用于评价信息安全管理绩效及反馈
10、改进建议,并有利于综合平衡的测量系统。3. 建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体的情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:a) 信息安全管理体系的策划与准备;b) 信息安全体系文件的编制;c) 信息安全管理体系的运行;d) 信息安全管理体系的审核与评审。1.2 信息安全管理体系的作用1. ISMS的特点 信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点:l 体系的建立基于系统、全面、科学的安全风险评估,体现以预防控制为主的思想,强调遵守国家有关信息安全的法律法规及其他合同
11、方要求;l 强调全过程和动态控制,本着控制费用与风险平衡的原则合理选择安全控制方式;l 强调保护组织所拥有的关键性信息资产,而不是全部信息资产,确保信息的机密性、完整性和可用性,保持组织的竞争优势和商务运作的持续性。2. 实施ISMS的作用 组织建立、实施与保持信息安全管理体系将会产生如下作用:l 强化员工的信息安全意识,规范组织信息安全行为;l 对组织的关键信息资产进行全面体统的保护,维持竞争优势;l 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;l 使组织的生意伙伴和客户对组织充满信心;l 如果通过体系认证,表明体系符合标准,证明组织有能力保证重要信息,提高组织的知名度与信任
12、度;l 促使管理层贯彻信息安全保障体系;l 组织可以参照信息安全管理模型,按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。1.3 信息安全管理体系的准备 为在组织中顺利建设信息安全管理体系,需要建立有效信息安全机构,对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。1 成立信息安全委员会信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成,定期召开会议,就以下重要信息安全议题进行讨论并
13、做出决策,为组织信息安全管理提供导向与支持。l 评审和审批信息安全方针;l 分配信息安全管理职责;l 确认风险评估的结果;l 对与信息安全管理有关的重大事项,如组织机构调整、关键人事变动、信息安全设施购置等;l 评审与监督信息安全事故;l 审批与信息安全管理有关的其他重要事项。2 任命信息安全管理经理组织最高管理者在管理层中指定一名信息安全管理经理,分管组织的信息安全管理事宜,具体由以下责任:l 确定信息安全管理标准建立、实施和维护信息安全管理体系;l 负责组织的信息安全方针与安全策略的贯彻与落实;l 向最高管理者提交信息安全管理体系绩效报告,以供评审,并为改进信息安全管理体系提供证据;l 就
14、信息安全管理的有关问题与外部各方面进行联络。3 组建信息安全管理推进小组在信息安全委员会的批准下,由信息安全管理经理组建信息安全管理推进小组,并对其进行管理。小组成员要懂信息安全技术知识,有一定的信息安全管理技能,并且有较强的分析能力及文字能力,小组成员一般是企业各部门的骨干人员。4 保证有关人员的作用、职责和权限得到有效沟通用适当的方式,如通过培训、制定文件等方式,让每位员工明白自己的作用、职责与权限,以及与其他部分的关系,以保证全体员工各司其职,相互配合,有效地开展活动,为信息安全管理体系的建立做出贡献。5 组织机构的设立原则l 合适的控制范围一般情况下,一个经理直接控制的下属管理人员不少
15、于6人,但不应超过10人。在作业复杂的部门或车间,一个组长对15人保持控制。在作业简单的部门或车间,一个组长能控制50个人或更多的人。l 合适的管理层次公司负责人与基层管理部门之间的管理层数应保护最少程度,最影响利润的部门经理应该直接向公司负责人报告。l 一个上级的原则l 责、权、利一致的原则l 既无重叠,又无空白的原则l 执行部门与监督部门分离的原则l 信息安全部门有一定的独立性,不应成为生产部门的下属单位。6 信息安全管理体系组织结构建立及职责划分的注意事项l 如果现有的组织结构合理,则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理,则按上面(5)中所述规
16、则对组织结构进行调整。l 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。l 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。l 日常的信息安全监督检查工作应有专门的部门负责l 对于大型企业来说,可以设置专门的安全部(可以把信息安全和职业健康与安全的职能划归此部门),安全部设立首席安全执行官,首席安全执行官直接向组织最高管理层负责(有的也向首席信息官负责)。美国“911”恐怖袭击事件以后,在美国的一些大型企业,这种安全机构的设置方式逐渐流行,它强调对各种风险的综合管理和对威胁的快速反应。l 对于小型企业来说,可以把信息安全管理工作划归到信息
17、部、人事行政部或其他相关部门。2 建立信息安全管理体系原则2.1 PDCA原则PDCA循环的概念最早是由美国质量管理专家戴明提出来的,所以又称为“戴明环”。在质量管理中应用广泛,PDCA代表的含义如下:P(Plan):计划,确定方针和目标,确定活动计划;D(Do):实施,实际去做,实现计划中的内容;C(Check):检查,总结执行计划的结果,注意效果,找出问题;A(Action):行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决的问题放到下一个PDCA循环。PDCA循环的四个阶段具体内容如下:(1) 计划阶段:制定具体工作计划,提出总的
18、目标。具体来讲又分为以下4个步骤。分析目前现状,找出存在的问题;分析产生问题的各种原因以及影响因素;分析并找出管理中的主要问题;制定管理计划,确定管理要点。根据管理体制中出现的主要问题,制定管理的措施、方案,明确管理的重点。制定管理方案时要注意整体的详尽性、多选性、全面性。(2) 实施阶段:就是指按照制定的方案去执行。在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况,直接影响全过程。所以在实施阶段要坚持按照制定的方案去执行。(3) 检查阶段:即检查实施计划的结果。检查工作这一阶段是比较重要的一个阶段,它是对实施方案是否合理,是否可行有何不妥的检查。是为下一个阶段工作提供条件
19、,是检验上一阶段工作好坏的检验期。(4) 处理阶段:根据调查效果进行处理。对已解决的问题,加以标准化:即把已成功的可行的条文进行标准化,将这些纳入制度、规定中,防止以后再发生类似问题;找出尚未解决的问题,转入下一个循环中去,以便解决。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中,PDCA循环得到了广泛的应用,并取得了很好的效果,有人也称其为质量管理的基本方法。之所以叫PDCA循环,是因为这四个过程不是运行一次就完结,而是周而复始地进行,其特点是“大环套小环,一环扣一环,小环保大环,推动大循环”;每个循环系统包括PDCA四个阶段曾螺旋式上升和发展,每循环一次要求提高
20、一步。建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环:计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12-1所示。图12-1 PDCA模型与信息安全管理体系过程ISMS的PDCA具有以下内容:1. 计划和实施一个持续提高的过程通常要求最初的投资:文件化实践,将风险管理的过程正式化,确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立
21、,评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。2. 检查与行动检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施,取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后,需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。3. 控制措施总结(Summary of Controls)组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措
22、施总结(SoC)的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息,因此当SoC在外部和内部同时应用时,应考虑他们对于接收者是否合适。2.2 文件化信息安全管理另一个非常重要的原则就是文件化,即所有计划及操作过的事情都要有文件记录, 这样可做到有章可循,有据可查,文件的类型通常有手册、规范、指南、记录等,使用这些文件可以使组织内部沟通意图,统一行动,并为事件提客观证据,同时也可用于学习和培训。如果有些组织曾参与过9000或BS7799的认证,会深刻体会到文件化的重要性。2.3 领导重视组织建立信息安全管理体系需要投入大量物力和人力,这就需要得到领导的认
23、可,尤其是最高领导,这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点:(1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:a) 建立信息安全方针;b) 确保建立信息安全目标和计划;c) 为信息安全确立职位和责任;d) 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要;e) 提供足够的资源以开发、实施,运行和维护信息安全管理体系;f) 确定可接受风险的水平;g) 进行信息安全管理体系的评审。(2) 管理层为组织将确定和提供所需的资源,以:a) 建立、实施、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 信息 安全管理 体系 建立 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。