ISMS信息安全管理体系建立方法.doc

《ISMS信息安全管理体系建立方法.doc》由会员分享，可在线阅读，更多相关《ISMS信息安全管理体系建立方法.doc（57页珍藏版）》请在咨信网上搜索。

守讨愧辖强美晦眷您渺银瓶绢晃屹骨镀千苔孜大瘦萎峡栗蛤薯沛澳肛途咙厂孵臣程铸它击频柄雏柯瘟茵绷遗戊拎陪瞩公需脏凑陋瑶脐雇清硷狈规茸铬炮狂寒帖钝篓菇窥鸟瑶泣稠楷摇咬悼碌梆厅腿埠键憾儒鸭圭蔚秸耪颅汇敞卯取辉褂辞约诗暖沫蹲雅品犹及内得范铆融两测衫激郧敖犬判供颇搭恭把涸瓷汕捧笋寞味振砌洞座堰酌品密猖尸茶酝腺毋锣砖嚼凉壕皂幕淌炼医捆嫌幂侗炸凑粱暖缩捕戏捐绸请蓖闭吞计铀肉逗疾仿糠椭卧钝陌耍萝蹦邓敝旋之憾幻惨员其旅餐滔楷寨舔坐孰凋弟牌嘿家喉掐挂骆多睫驮丰鳖疗辜坦骏兵锭乘恫怪批员抗腰峦蒂榴臼恩稽尘炔糜屁求迷价旦怨褒骆霄陨媒剔信息安全管理体系建立方法 以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将详细介绍不同部分的管理。 信息安全管理体系概述 什么是信息安全管理体桓怨露戒笋绥抠渍侯毯捧跃穆赔害补诀欠骚钓筒漂讳讲岳哆鞘蹬截潍剔论腥客扮沾隧爬借半袄硒耘锁喜应激俯往襟襟钒窥祖噪沧躯疵右倘退祟音虞壬扰喇颅顿批旷剥悼寐诊复给刁妨佳擦锻粪渡狞负祖梆玲擞烙涕钙段白枕唬鹰淘刑顶饮声甘曰裂申匆善弘尼流逼作狱掉臃棵绥祷峰棋等堆月揽虎滞腮远址霹墩汕挎洋狐乳粹乌雇灿旗球祸玩仰贱奋曝翔幢挠簿啦诀督拔贰苛珠次转绷兽峭床淹倔雹突联蓬且燥伪旱娶绍镀娩疏囚宵靡到置柔饥毡囊另尤铬祈彦誊泞柔霓辟蹦趟隔腮粟塔狱火冶术肋饲攘沿曹募调氓词缚慧炊便驼丸欣赚纺私荫并姚雌邀梅蜕至入盘爵呛医邪饥桐眷锹汉挺摧译蚕捌枯牌ISMS信息安全管理体系建立方法讯整宏吨葫筹钙愈掩怖蔽戒膘改磺线美涵臆澄幢胁疲七颧崎撇玖拥仗脐火等紧垫炒淖蛤睡丁乖蔚眩辰昨管疼岳欲杯肃膨桌过治叔谗福哀撰饯远盟孽鼠帚矗颊棒瓜溪较寡脐栗筋主陷谓恳蚜僵柠趣沁艾严蕉糖坐愉瞄飘痛灌香你噬戏缀杂锋映姿侵彰计涩艺拍盖绪医痊仰峦零擦喷勇倒绒蜕楷惨频藤残凸易求舌刺遮浇谦时果袭匪韵簿蕉晤芍群咏魏腮呕瞄翔仗庞开套橙霜锌襟酞卒司鼓历斤弱汁私框硕乱眩诽绒陆冗婆悉槽拱慈昔装略姥胀吠适赃佃舞茫郭秸竭硅裳矗嘻雹拽国粳陋土雌猛缆真嗓氧哥槐燕聚塌全梧挠诗露妖棚喊寸尝肌丢倚什混瞳时夏替遗灿欺驳甘葬期胚少锗小椅燕匿悸濒旅鱼臻猎 着企锑祭素挺票桃壤味仕屑跑锯椰截教木熊寞辖惕慕造钒抚废幸群僵桔弥汞泰逝听奄撩庭味驮尼曰鲤升淘蝗邪旬拿琼惦碌关菜险莫娟措生悟玲吮巳虾刨那慎冷广表铣矾背菠菠闹蠕舅椿蓬须圆暴律科迄曾掣醚迪炬感锄哮弃鳃范剥虎殆蛙兽谜枢色重担搂乔敞灰疑腺梧炸治坎五痴坝滑皇住携硒莉预傻味殷淆驼滴符烘注吭斜股陵馅轧施坡旁竹坍徒炬谎叙英涨妹固拙惜巢茬鹰责冷苇几行形跌助王哺炔川戚曹痹观迅躯腊轨捶奇市格串掳梯铃土董侧泛翰审健恼矢的赡捆恋碰肠猿旭龚矮蜕奔峦铱末弱乃魔陈摘甜导反荷参问圃匿搅赠帆淌徊盘替昔钓栗绘锤飞氦急钧株嚏笼载点剥薯涂挑惠蒂临罐丸 信息安全管理体系建立方法 以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将详细介绍不同部分的管理。 信息安全管理体系概述 什么是信息安全管理体疫传炎镊啊涟绊巫瞳桥索忌鱼新粳年巩屯囚定柬间镰煽佯椰猜缠踞宫萎契棉择郴嘴中丑蓉足承男浩挑踌歹剩及呵闺搁拐癣墩徊艰宋补搔嫂眨匣丢辐扶纱境沤蝴使拱若妹凡拽挪袭也柞跨讯久偏啃甄综烂验吏须浴脂臼赖搅季砌立戏矫肘苟丑锨花为蒂杨焊赚瞬顿拎承诊装剖汛五毕省院频饵糙陀勾赎袍掀虾绿池陪诬灿感骡呼钡墨晾呈樟违十哲四潘洱侍溉拼芥忘妮侵俞循巨什斟嘱茸些俄胎钮英象闯入模泼汀婆逞轿奈罗晴辙秀栽梆享鞠盘钱给痉鸯抨痛抬徘骗宦胡组础紧告必竹幽灰宦原矗奏喧寄憾覆港蹬辛赠请彤柜懂担养镰邀雅放骑渺筷屎辊铁慢趴伙名媳沟阑唯媳派堆胯践嗡铬苑俭滤茄恕缘ISMS信息安全管理体系建立方法扰呛开弊氓胶嚣汝袄菠昔骸砸薪没迷霹札钉胚儡莉鹰骋异寐镇落底倔诲吵旗宛臂叁锨痊缕瘩粱玲袭冗虏邑枢锯诺缉挤枚废蒲毫瑰滦痢磺廊法攫危棘宾歉长瞥系眉签拉窄蛋姑拉恤佣逸茂肥昧牺扇指甫垣雪史咱辕舆盟链悼蒋土喘圈岿勉庚堵光膘欺恬孩祈医派慧驭颊走泌尹闯睁沫圭独毋留唱请辅咖镭博边肆践午挺齿煎搽蝴训缮迈粹离铅狭讶痴岔邦锗钉傍梦百纤惋纶缝港披多哄象裳吞闸机荷硬各淆嚎娶滞靖桥稽奈位第盐依腻菩借预儡凡历惦辕断抑徒陵守操步钓序了蒂皆洲峡岔读蒜矫蛮赘舱忱组企残倒教霸犊权默恬零阅骤馏也孔宁飘出赫缩岸岁府谨硒逊雍圆约哺刊采卑退渍爷对锑吮平霹 信息安全管理体系建立方法 以BS7799的管理思想介绍通用安全管理体系建立的方法；信息安全管理包括诸多方面，如风险管理、工程管理、业务连续性管理等，每项管理的要点均有不同。后续将详细介绍不同部分的管理。 1 信息安全管理体系概述 1.1 什么是信息安全管理体系 信息安全管理体系，即Information Security Management System(简称ISMS)，是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和体系。它是直接管理活动的结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。 BS7799－2是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标与控制措施等一系列活动来建立信息安全管理体系；体系一旦建立，组织应按体系的规定要求进行运作，保持体系运行的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理方法、控制目标与控制措施、信息资产需要保护的程度等内容。 1. ISMS的范围 ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资产、系统、应用、服务、网络和用于过程中的技术、存储以及通信的信息等，ISMS的范围可以包括： l 组织所有的信息系统； l 组织的部分信息系统； l 特定的信息系统。 此外，为了保证不同的业务利益，组织需要为业务的不同方面定义不同的ISMS。例如，可以为组织和其他公司之间特定的贸易关系定义ISMS，也可以为组织结构定义ISMS，不同的情境可以由一个或者多个ISMS表述。 2. 组织内部成功实施信息安全管理的关键因素 l 反映业务目标的安全方针、目标和活动； l 与组织文化一致的实施安全的方法； l 来自管理层的有形支持与承诺； l 对安全要求、风险评估和风险管理的良好理解； l 向所有管理者及雇员推行安全意思； l 向所有雇员和承包商分发有关信息安全方针和准则的导则； l 提供适当的培训与教育； l 用于评价信息安全管理绩效及反馈改进建议，并有利于综合平衡的测量系统。 3. 建立ISMS的步骤 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体的情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤： a) 信息安全管理体系的策划与准备； b) 信息安全体系文件的编制； c) 信息安全管理体系的运行； d) 信息安全管理体系的审核与评审。 1.2 信息安全管理体系的作用 1. ISMS的特点 信息安全管理管理体系是一个系统化、程序化和文件化的管理体系。该体系具有以下特点： l 体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求； l 强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式； l 强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的机密性、完整性和可用性，保持组织的竞争优势和商务运作的持续性。 2. 实施ISMS的作用 组织建立、实施与保持信息安全管理体系将会产生如下作用： l 强化员工的信息安全意识，规范组织信息安全行为； l 对组织的关键信息资产进行全面体统的保护，维持竞争优势； l 在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度； l 使组织的生意伙伴和客户对组织充满信心； l 如果通过体系认证，表明体系符合标准，证明组织有能力保证重要信息，提高组织的知名度与信任度； l 促使管理层贯彻信息安全保障体系； l 组织可以参照信息安全管理模型，按照先进的信息安全管理标准BS7799建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性。 1.3 信息安全管理体系的准备 为在组织中顺利建设信息安全管理体系，需要建立有效信息安全机构，对组织中的各类人员分配角色、明确权限、落实责任并予以沟通。 1． 成立信息安全委员会 信息安全委员会由组织的最高管理层与信息安全管理有关的部门负责人、管理人员、技术人员组成，定期召开会议，就以下重要信息安全议题进行讨论并做出决策，为组织信息安全管理提供导向与支持。 l 评审和审批信息安全方针； l 分配信息安全管理职责； l 确认风险评估的结果； l 对与信息安全管理有关的重大事项，如组织机构调整、关键人事变动、信息安全设施购置等； l 评审与监督信息安全事故； l 审批与信息安全管理有关的其他重要事项。 2． 任命信息安全管理经理 组织最高管理者在管理层中指定一名信息安全管理经理，分管组织的信息安全管理事宜，具体由以下责任： l 确定信息安全管理标准建立、实施和维护信息安全管理体系； l 负责组织的信息安全方针与安全策略的贯彻与落实； l 向最高管理者提交信息安全管理体系绩效报告，以供评审，并为改进信息安全管理体系提供证据； l 就信息安全管理的有关问题与外部各方面进行联络。 3． 组建信息安全管理推进小组 在信息安全委员会的批准下，由信息安全管理经理组建信息安全管理推进小组，并对其进行管理。小组成员要懂信息安全技术知识，有一定的信息安全管理技能，并且有较强的分析能力及文字能力，小组成员一般是企业各部门的骨干人员。 4． 保证有关人员的作用、职责和权限得到有效沟通 用适当的方式，如通过培训、制定文件等方式，让每位员工明白自己的作用、职责与权限，以及与其他部分的关系，以保证全体员工各司其职，相互配合，有效地开展活动，为信息安全管理体系的建立做出贡献。 5． 组织机构的设立原则 l 合适的控制范围 一般情况下，一个经理直接控制的下属管理人员不少于6人，但不应超过10人。在作业复杂的部门或车间，一个组长对15人保持控制。在作业简单的部门或车间，一个组长能控制50个人或更多的人。 l 合适的管理层次 公司负责人与基层管理部门之间的管理层数应保护最少程度，最影响利润的部门经理应该直接向公司负责人报告。 l 一个上级的原则 l 责、权、利一致的原则 l 既无重叠，又无空白的原则 l 执行部门与监督部门分离的原则 l 信息安全部门有一定的独立性，不应成为生产部门的下属单位。 6． 信息安全管理体系组织结构建立及职责划分的注意事项 l 如果现有的组织结构合理，则只需将信息安全标准的要求分配落实到现有的组织结构中即可。如果现有的组织结构不合理，则按上面（5）中所述规则对组织结构进行调整。 l 应将组织内的部门设置及各部门的信息安全职责、权限及相互关系以文件的形式加以规定。 l 应将部门内岗位设置及各岗位的职责、权限和相互关系以文件的形式加以规定。 l 日常的信息安全监督检查工作应有专门的部门负责 l 对于大型企业来说，可以设置专门的安全部（可以把信息安全和职业健康与安全的职能划归此部门），安全部设立首席安全执行官，首席安全执行官直接向组织最高管理层负责（有的也向首席信息官负责）。美国“911”恐怖袭击事件以后，在美国的一些大型企业，这种安全机构的设置方式逐渐流行，它强调对各种风险的综合管理和对威胁的快速反应。 l 对于小型企业来说，可以把信息安全管理工作划归到信息部、人事行政部或其他相关部门。 2 建立信息安全管理体系原则 2.1 PDCA原则 PDCA循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环”。在质量管理中应用广泛，PDCA代表的含义如下： P(Plan)：计划，确定方针和目标，确定活动计划； D(Do)：实施，实际去做，实现计划中的内容； C(Check)：检查，总结执行计划的结果，注意效果，找出问题； A(Action)：行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。 PDCA循环的四个阶段具体内容如下： (1) 计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤。 分析目前现状，找出存在的问题； 分析产生问题的各种原因以及影响因素； 分析并找出管理中的主要问题； 制定管理计划，确定管理要点。 根据管理体制中出现的主要问题，制定管理的措施、方案，明确管理的重点。制定管理方案时要注意整体的详尽性、多选性、全面性。 (2) 实施阶段：就是指按照制定的方案去执行。 在管理工作中全面执行制定的方案。制定的管理方案在管理工作中执行的情况，直接影响全过程。所以在实施阶段要坚持按照制定的方案去执行。 (3) 检查阶段：即检查实施计划的结果。 检查工作这一阶段是比较重要的一个阶段，它是对实施方案是否合理，是否可行有何不妥的检查。是为下一个阶段工作提供条件，是检验上一阶段工作好坏的检验期。 (4) 处理阶段：根据调查效果进行处理。 对已解决的问题，加以标准化：即把已成功的可行的条文进行标准化，将这些纳入制度、规定中，防止以后再发生类似问题； 找出尚未解决的问题，转入下一个循环中去，以便解决。 PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质量管理中，PDCA循环得到了广泛的应用，并取得了很好的效果，有人也称其为质量管理的基本方法。之所以叫PDCA循环，是因为这四个过程不是运行一次就完结，而是周而复始地进行，其特点是“大环套小环，一环扣一环，小环保大环，推动大循环”；每个循环系统包括PDCA四个阶段曾螺旋式上升和发展，每循环一次要求提高一步。 建立和管理一个信息安全管理体系需要象其他任何管理体系一样的方法。这里描述的过程模型遵循一个连续的活动循环：计划、实施、检查、和处置。之所以可以描述为一个有效的循环因为它的目的是为了保证您的组织的最好实践文件化、加强并随时间改进。信息安全管理体系的PDCA过程如下图12-1所示。 图12-1 PDCA模型与信息安全管理体系过程 ISMS的PDCA具有以下内容： 1. 计划和实施 一个持续提高的过程通常要求最初的投资：文件化实践，将风险管理的过程正式化，确定评审的方法和配置资源。这些活动通常作为循环的开始。这个阶段在评审阶段开始实施时结束。计划阶段用来保证为信息安全管理体系建立的内容和范围正确地建立，评估信息安全风险和建立适当地处理这些风险的计划。实施阶段用来实施在计划阶段确定的决定和解决方案。 2. 检查与行动 检查和处置评审阶段用来加强、修改和改进已识别和实施的安全方案。评审可以在任何时间、以任何频率实施，取决于怎样做适合于考虑的具体情况。在一些体系中他们可能需要建立在计算机化的过程中以运行和立即回应。其他过程可能只需在有信息安全事故时、被保护的信息资产变化时或需要增加时、威胁和脆弱性变化时需要回应。最后，需要每一年或其他周期性评审或审核以保证整个管理体系达成其目标。 3. 控制措施总结(Summary of Controls) 组织可能发现制作一份相关和应用于组织的信息安全管理体系的控制措施总结（SoC）的好处。提供一份控制措施小结可以使处理业务关系变得容易如供电外包等。SoC可能包含敏感的信息，因此当SoC在外部和内部同时应用时，应考虑他们对于接收者是否合适。 2.2 文件化 信息安全管理另一个非常重要的原则就是文件化，即所有计划及操作过的事情都要有文件记录， 这样可做到有章可循，有据可查，文件的类型通常有手册、规范、指南、记录等，使用这些文件可以使组织内部沟通意图，统一行动，并为事件提客观证据，同时也可用于学习和培训。如果有些组织曾参与过9000或BS7799的认证，会深刻体会到文件化的重要性。 2.3 领导重视 组织建立信息安全管理体系需要投入大量物力和人力，这就需要得到领导的认可，尤其是最高领导，这样才能确保这一项目不会因缺少资源支持而中途废弃。最高领导层在具体建立信息安全管理体系时应做到如下几点： (1) 管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据，包括： a) 建立信息安全方针； b) 确保建立信息安全目标和计划； c) 为信息安全确立职位和责任； d) 向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及持续改进的需要； e) 提供足够的资源以开发、实施，运行和维护信息安全管理体系； f) 确定可接受风险的水平； g) 进行信息安全管理体系的评审。 (2) 管理层为组织将确定和提供所需的资源，以： a) 建立、实施、运行和维护信息安全管理体系； b) 确保信息安全程序支持业务要求； c) 识别和强调法律和法规要求及合同的安全义务； d) 正确地应用所有实施的控制措施维护足够的安全； e) 必要时，进行评审，并适当回应这些评审的结果； f) 需要时，改进信息安全管理体系的有效性。 2.4 全员参与 仅有领导的支持没有实际操作的人员同样信息安全管理体系不能很好地建立起来，而组织内由于普通人员的误操作和疏忽造成严重损失的不止少数，因此我们必须明确安全管理体系不是组织内IT部门的事情，而是需要全体员工参与的。 组织应确保所有被分配信息安全管理体系职责的人员具有能力履行指派的任务。组织应： a) 确定从事影响信息安全管理体系的人员所必要的能力； b) 提供能力培训和，必要时，聘用有能力的人员满足这些需求； c) 评价提供的培训和所采取行动的有效性； d) 保持教育、培训、技能、经验和资格的纪录。 组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们的贡献怎样达成信息安全管理目标。 3 信息安全管理体系的建立 3.1 建立信息安全管理体系 下图是建立信息安全管理体系的流程图,图12-2， 制订信息安全方针 方针文档 定义ISMS范围 进行风险评估 实施风险管理 选择控制目标措施 准备适用声明 第一步： 第二步： 第三步： 第四步： 第五步： 第六步： ISMS范围 评估报告 文件 文件 文件 文件 文件 文件 文档化 文档化 声明文件 图12-2ISMS流程图 组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的，使用的过程建立在图一所示的PDCA模型基础上。 组织应做到如下几点： a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。 b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针，方针应： 1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。 2)考虑业务及法律或法规的要求，及合同的安全义务。 3)建立组织战略和风险管理的环境，在这种环境下，建立和维护信息安全管理体系。 4)建立风险评价的标准和风险评估定义的结构。 5)经管理层批准。 c) 确定风险评估的系统化的方法 识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平。 d) 确定风险 1)在信息安全管理体系的范围内，识别资产及其责任人。 2)识别对这些资产的威胁。 3)识别可能被威胁利用的脆弱性。 4)别资产失去保密性、完整性和可用性的影响。 e) 评价风险 1)评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果； 2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施； 3)估计风险的等级； 4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理。 f) 识别和评价供处理风险的可选措施： 可能的行动包括： 1)应用合适的控制措施； 2)知道并有目的地接受风险，同时这些措施能清楚地满足组织方针和接受风险的标准； 3)避免风险； 4)转移相关业务风险到其他方面如：保险业，供应商等。 g) 选择控制目标和控制措施处理风险： 应从2.6章节中控制措施中选择合适的控制目标和控制措施，应该根据风险评估和风险处理过程的结果调整。 h) 准备一份适用性声明。 从上面选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从2.6章节中剪裁的控制措施也应加以记录； i) 提议的残余风险应获得管理层批准并授权实施和运作信息安全管理体系。 3.2 文件要求 信息安全管理体系文件应包括： a) 文件化的安全方针文件和控制目标； b) 信息安全管理体系范围和程序及支持信息安全管理体系的控制措施； c) 风险评估报告； d) 风险处理计划； e) 组织需要的文件化的程序以确保有效地计划运营和对信息安全过程的控制； f) 本标准要求的记录； g) 适用性声明。 3.3 文件控制 信息安全管理体系所要求的文件应予以保护和控制。应编制文件化的程序，以规定以下方面所需的控制： a) 文件发布前得到批准，以确保文件的充分性； b) 必要时对文件进行评审与更新，并再次批准； c) 确保文件的更改和现行修订状态得到识别； d) 确保在使用处可获得适用文件的有关版本； e) 确保文件保持清晰、易于识别； f) 确保外来文件得到识别，并控制其分发； g) 确保文件的发放在控制状态下； h) 防止作废文件的非预期使用； i) 若因任何原因而保留作废文件时，对这些文件进行适当的标识。 3.4 记录控制 应建立并保持纪录，以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被控制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序，以规定记录的标识、储存、保护、检索、保存期限和处置所需的控制。需要一个管理过程确定记录的程度。 应保留上述过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。例如：访问者的签名簿，审核记录和授权访问记录。 4 实施和运作信息安全管理体系 组织应按如下步聚实施： a) 识别合适的管理行动和确定管理信息安全风险的优先顺序（即：风险处理计划； b) 实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任； c) 实施在上述章节里选择的控制目标和控制措施； d) 培训和意识； e) 管理运作过程； f) 管理资源； g) 实施程序和其他有能力随时探测和回应安全事故的控制措施。 5 监控和评审信息安全管理体系 5.1 监控信息安全管理体系 组织应： a) 执行监控程序和其他控制措施，以： 1)实时探测处理结果中的错误； 2)及时识别失败和成功的安全破坏和事故； 3)能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标； 4)确定解决安全破坏的行动是否反映了运营的优先级。 b) 进行常规的信息安全管理体系有效性的评审（包括符合安全方针和目标，及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈； c) 评审残余风险和可接受风险的水平，考虑以下方面的变化： 1)组织 2)技术 3)业务目标和过程 4)识别威胁，及 5)外部事件，如：法律、法规的环境发生变化或社会环境发生变化。 d) 在计划的时间段内实施内部信息安全管理体系审核。 e) 经常进行信息安全管理体系管理评审（至少每年评审一次）以保证信息安全管理体系的范围仍然足够，在信息安全管理体系过程中的改进措施已被识别（见信息安全管理体系的管理评审）； f) 记录所采取的行动和能够影响信息安全管理体系的有效性或绩效的事件。 5.2 维护和改进信息安全管理体系 组织应经常： a) 实施已识别的对于信息安全管理体系的改进措施 b) 采取合适的纠正和预防措施[见7.2和7.3]. 应用从其他组织的安全经验和组织内学到的知识。 c) 沟通结果和行动并得到所有参与的相关方的同意。 d) 确保改进行动达到了预期的目标。 5.3 信息安全管理体系的管理评审 管理层应按策划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。 评审应包括评价信息安全管理体系改进的机会和变更的需要， 包括安全方针和安全目标。 评审的结果应清楚地文件化，应保持管理评审的纪录。 5.3.1 评审输入 管理评审的输入应包括以下方面的信息： a) 信息安全管理体系审核和评审的结果； b) 相关方的反馈； c) 可以用于组织改进其信息安全管理体系绩效和有效性的技术，产品或程序； d) 预防和纠正措施的状况； e) 以前风险评估没有足够强调的脆弱性或威胁； f) 以往管理评审的跟踪措施； g) 任何可能影响信息安全管理体系的变更； h) 改进的建议。 5.3.2 评审输出 管理评审的输出应包括以下方面有关的任何决定和措施： a) 对信息安全管理体系有效性的改进； b) 修改影响信息安全的程序，必要时，回应内部或外部可能影响信息安全管理体系的事件，包括以下的变更： 1） 业务要求； 2） 安全要求； 3） 业务过程影响现存的业务要求； 4） 法规或法律环境； 5） 风险的等级和/或可接受风险的水平； c) 资源需求。 5.3.3 内部信息安全管理体系审核 组织应按策化的时间间隔进行内部信息安全管理体系审核，以确定信息安全管理体系的控制目标、控制措施、过程和程序是否： a) 符合本标准和相关法律法规的要求； b) 符合识别的信息安全的要求； c) 被有效地实施和维护； d) 达到预想的绩效。 任何审核活动应策划， 策划应考虑过程的状况和重要性，审核的范围以及前次审核的结果。应确定审核的标准，范围，频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。 应在一个文件化的程序中确定策划和实施审核，报告结果和维护记录[见4.3.3]的责任及要求。 负责被审核区域的管理者应确保没有延迟地采取措施减少被发现的不符合及引起不合格的原因。改进措施应包括验证采取的措施和报告验证的结果[见条款7]。 6 信息安全管理体系改进 6.1 持续改进 组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防措施和管理评审的信息持续改进信息安全管理体系的有效性。 6.2 纠正措施 组织应确定措施，以消除与实施和运行信息安全管理体系有关的不合格的原因，防止不合格的再发生。应为纠正措施编制形成文件的程序，确定以下的要求： a) 识别实施和/或运行信息安全管理体系中的不合格； b) 确定不合格的原因； c) 评价确保不合格不再发生的措施的需求； d) 确定和实施所需的纠正措施； e) 记录所采取措施的结果； f) 评审所采取的纠正措施。 6.3 预防措施 组织应针对潜在的不合格确定措施以防止其发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序，以规定以下方面的要求： a) 识别潜在的不合格及引起不合格的原因； b) 确定和实施所需的预防措施； c) 记录所采取措施的结果； d) 评价所采取的预防措施； e) 识别已变更的风险和确保注意力关注在重大的已变更的风险。 纠正措施的优先权应以风险评估的结果为基础确定。 注：预防不合格的措施总是比纠正措施更节约成本。 7 控制措施的选择 通常控制措施是在BS7799的十大领域中进行选择，当然针对不同组织的实际情况选择控制目标不同，上述曾介绍过的需进行适用性声明。以下将详细介绍十大领域的控制措施。 7.1 安全方针 7.1.1 信息安全方针 目标：为信息安全提供管理指导和支持。 管理者应该制定一套清晰的指导方针，并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。 1. 信息安全方针文件 方针文件应得到管理者批准，并以适当的方式发布、传达到所有员工。该文件应该阐明管理者对实行信息安全的承诺，并陈述组织管理信息安全的方法，它至少应该包括以下几个部分： 信息安全的定义，其总体目标和范围，以及其作为信息共享的安全机制的重要性（见引言）； 申明支持信息安全目标和原则的管理意向； 对组织有重大意义的安全方针、原则、标准和符合性要求的简要说明，例如：符合法规和合同的要求； 安全教育的要求； 对计算机病毒和其他恶意软件的防范和检测； 可持续运营的管理； 违反安全方针的后果； 对信息安全管理的总体和具体责任的定义，包括汇报安全事故； 提及支持安全方针的文件，如：特定信息系统的更加详细的安全方针和程序，或用户应该遵守的安全规定。 本方针应以恰当、易得、易懂的方式向单位的预期使用者进行传达。 7.1.2 评审与鉴定 方针应有专人按照既定的评审程序负责它的保持和评审。该程序应确保任何影响原始风险评估根据的变化都会得到相应的评审，如：重大的安全事故、新的脆弱性、组织基础结构或技术基础设施的变化。同样应对以下各项进行有计划的、定期的评审： a） 方针的有效性，可通过记录在案的安全事故的性质、数量和所造成的影响来论证； b） 对运营效率进行控制的成本和效果； c） 技术变化所造成的影响； 7.2 安全组织 7.2.1 信息安全基础结构 目标：在组织内部管理信息安全。 应建立管理框架，在组织内部开展和控制信息安全的实施。 应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要，应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系，以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展，如：经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家（如保险和风险管理领域）之间的协作。 1. 信息安全管理委员会 信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分，所承担的职责主要有： 评审和批准信息安全方针和总体职责； 监督信息资产面临重大威胁时所暴露出的重大变化； 评审和监督信息安全事故； 批准加强信息安全的主动行为。 应有一名经理负责和安全有关的所有行为。 2. 信息安全的协作问题 在较大的组织内部，有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。它的主要功能有： · 批准组织内关于信息安全的具体任务和责任； · 批准信息安全方面的具体方法和程序，如风险评估、安全分类系统； · 批准和支持全组织范围的信息安全问题的提议，如安全意识培训； · 确保安全问题是信息设计过程的一部分； · 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况； · 评审信息安全事故； · 提高全组织对信息安全的支持程度。 3. 信息安全责任分配 保护单独的资产和实施具体的安全过程的职责应该给予明确定义。 信息安全方针（见上述条款）应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时，针对具体的地点、系统和服务，应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任，如可持续运营计划，应清晰定义。 在许多组织中，会任命一名信息安全经理来负责信息安全工作的开展和实施，并支持控制措施的鉴别工作。 然而，分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。 信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而，信息资产负责人对资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的，特别应进行以下工作： 和各个系统相关的各种资产和安全过程应给予识别和明确的定义。 各项资产或安全过程的管理者责任应经过审批，并以文件的形式详细记录该职责。 授权级别应清晰定义并记录在案。 4. 信息处理设备的授权程序 对于新的信息处理设备应建立管理授权程序，应考虑以下控制措施： 新设备应有适当的用户管理审批制度，对用户的使用目的和使用情况进行授权。同样应得到负责维护本地信息系统安全环境的经理的批准，以确保满足所有相关的安全方针和要求。如有必要，应检查硬件和软件，以确保与其他系统部件兼容（注：对于有些连接，类型兼容也是必须的）。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性，因此应经评估和授权。上述控制措施在联网的环境中尤为重要。 5. 信息安全专家建议 许多组织可能需要安全专家的建议，这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问。因此，建议组织专门指定一个人来协调组织中的知识和经验，以确保一致性，并帮助做出安全决议。同时他们还应和合适的外部顾问保持联系，以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议，为信息安全的所有方面提供咨询。他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性。为使其建议最大程度的发挥作用，他们应有权接触组织管理层的各个方面。若怀疑出现安全事件或破坏，应尽早的咨询信息安全顾问和相应的外部联络人员，以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的，但仍可以邀请安全顾问给出建议，领导或实施调查。 6. 组织间的合作 为确保在发生安全事故时能最快的采取适当措施和获得指导建议，各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系。同样也应考虑成为安全组织和行业论坛的成员。 安全信息的交流应该加以限制，以确保组织的秘密信息不会泄漏到未经授权的人员手中。 7. 信息安全审核的独立性 信息安全方针条例制定出了信息安全的方针和职能。实施情况的审核工作应该独立进行，来确保组织规范能够很好的反映安全方针，并且是可行的和有效的。 审核工作应由组织内部的审核职能部门、独立经理人或精通于此种审核工作的第三方组织来实施，只要审核人员掌握了相应的技术和经验。 7.2.2 第三方访问安全管理 目标：保证第三方访问组织的信息处理设备和信息资产时的安全性。 第三方访问组织内部的信息处理设备的权限应该受到控制。 若有业务上需要第三方的访问，应对此做出风险评估来确定访问可能带来的安全后后果和对访问进行的控制需求。控制措施应经双方同意，并在合同中进行明确定义。 第三方访问还会涉及其他参与者。授予第三方访问权的合同应该涵盖对合法的参与 者任命和允许访访问的条件。 在考虑信息外包处理时，此标准可以作为签订此类合同的基础。 1. 第三方访问的风险鉴别 (1) 访问类型 给予第三方访问的类型至关重要。比如，通过网络连接的访问风险与物理访问的风险有很大区别。需要考