企业信息安全管理体系建设

SOA是适合组织需要的控制目标和控制的评论， 需要提交给管理者、职员、具有访问权限的第三 方相关认证机构。
SOA的准备一方面是为了向组织内的员工声明对
信息安全面对的风险的态度，更大程度上则是为
了向外界表明组织的态度和作为，以表明组织已
经全面、系统的审视了组织的信息安全系统，并
将所有需要控制的风险控制在能被接受的范围内
15
（三）信息安全管理体系监视和评审
C1-执行ISMS监视程序 C2-执行ISMS评价程序 C3-定期执行ISMS评审 C4-测量控制措施的有效性 C5-验证安全要求是否被满足 C6-按计划进行风险评估 C7-评审可接受残余风险 C8-按计划进行内部审核 C9-按计划进行管理评审 C10-更新信息安全计划 C11-记录对ISMS有影响的行动和事件
企业信息安全管理体系建设
课程内容
信息安全 管理体系建设
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识域：信息安全管理体系建设
知识子域：过程方法与PDCA循环
理解ISMS过程和过程方法的含义 理解PDCA循环的特征和作用
知识子域：建立、运行、评审与改进ISMS
了解建立ISMS的主要工作内容 了解实施和运行ISMS的主要工作内容 了解监视和评审ISMS的主要工作内容 了解保持和改进ISMS的主要工作内容
9
P5-识别和评价风险处理的可选措施
根据风险评估的结果，在已有措施基础上从安全 控制最佳集合中选择安全控制措施。
10
P6-为处理风险选择控制目标和控制措施
在选择控制目标和控制措施时，并没有一套标准 与通用的办法，选择的过程往往不是很直接，可 能要涉及一系列的决策步骤、咨询过程，要和不 同的业务部门和大量的关键人员进行讨论，对业 务目标进行广泛的分析，最后产生的结果要很好 的满足组织对业务目标、资产保护、投资预算的 要求。
组织采用什么样的方法来评估安全需求和选择控 制，完全由组织自己来决定。但无论采用什么样 的方法、工具，都需要靠来自风险、来自法规和 合同的遵从以及来自业务这三种安全需求来驱动 。
11
P7-准备详细的适用性声明SoA
在风险评估之后，组织应该选用符合组织自身需 要的控制措施与控制目标。所选择的控制目标和 措施以及被选择的原因应在适用性声明（SOA： Statement of Application）SOA中进行说明。
8
P4-分析和评估信息安全风险
风险评估主要对ISMS范围内的信息资产进行鉴定 和估价，然后对信息资产面对的各种威胁和脆弱 性进行评估，同时对已存在的或规划的安全控制 措施进行鉴定。
确定风险数值的大小不是评估的最终目的，重要 的是明确不同威胁对资产所产生的风险的相对值 ，即要确定不同风险的优先次序或等级，对于风 险级别高的资产应被优先分配资源进行保护。组 织可以采用按照风险数值排序的方法，也可以采 用区间划分的方法将风险划分为不同的优先等级 ，这包括将可接受风险与不可接受风险进行划分 。
14
信息安全管理体系试运行
体系运行初期处于体系的磨合期，一般称为试运 行期，在此期间运行的目的是要在实践中体验体 系的充分性、适用性和有效性。在体系运行初期 ，组织应加强运作力度，通过实施ISMS手册、程 序和各种作业指导性文件等一系列体系文件，充 分发挥体系本身的各项工程，及时发现体系本身 存在的问题，找出问题的根据，采取纠正措施， 纠正各种不符合，并按照更改控制程序要求对体 系予以更改，以达到进一步完善信息安全管理体 系的目的。
7
P3-确定风险评估方法
组织可采取不同风险评估法方法，一个方法是否 适合于特定组织，有很多影响因素，包括：
业务环境 业务性质与业务重要性； 对支持组织业务活动的信息系统的依赖程度； 业务内容、支持系统、应用软件和服务的复杂性； 贸易伙伴、外部业务关系、合同数量的大小。
这些因素对风险评估方法的选择都很重要，不仅 风险评估要考虑成本与效益的权衡，不出现过度 安全；风险评估自身也要考虑成本与效益的权衡 ，不出现过度复杂。
6
P2-定义ISMS方针
信息安全方针是组织的信息安全委员会或管理当 局制定的一个高层文件，用于指导组织如何对资 产，包括敏感信息进行管理、保护和分配的规则 和指示。
信息安全方针应当阐明管理层的承诺，提出组织 管理信息安全的方法，并由管理层批准，采用适 当的方法将方针传达给每一个员工。
信息安全方针应当简明、扼要，便于理解，至少 包括目标、范围、意图、法规的遵从性和管理的 责任等内容。
。
12
（二）信息安全管理体系实施和运行
D1-开发风险处置计划 D2-实施风险处置计划 D3-实施安全控制措施 D4-实施安全教育培训
D5-管理ISMS的运行 D6-管理ISMS 的资源
D7-执行检测安全事件程序 D8-执行响应安全事故程序
13
信息安全风险处置的分类
根据风险评估的结果进行相关的风险处置： 降低风险：在考虑转移风险前，应首先考虑采取
5
P1-定义ISMS范围
ISMS的范围就是需要重点进行信息安全管理的领 域，组织需要根据自己的实际情况，在整个组织 范围内、个别部门或领域构建ISMS。
在本阶段，应将组织划分成不同的信息安全控制 领域，以易于组织对有不同需求的领域进行适当 的信息安全管理。
在定义ISMS范围时，应重点考虑组织现有的部门 、信息资产的分布状况、核心业务的流程区域以 及信息技术的应用区域。
措施降低风险； 避免风险：有些风险容易避免，例如采用不同的
技术、更改操作流程、采用简单的技术措施等； 转移风险：通常只有当风险不能被降低风险和避
免、且被第三方接受时才采用； 接受风险：用于那些在采取了降Biblioteka Baidu风险和避免风
险措施后，出于实际和经济方面的原因，只要组 织进行运营，就必然存在并必须接受的风险。
3
三、信息安全管理体系建设
（一）信息安全管理体系的规划和建立 （二）信息安全管理体系的实施和运行 （三）信息安全管理体系的监视和评审 （四）信息安全管理体系的保持和改进
4
（一）信息安全管理体系规划和建立
P1-定义ISMS范围 P2-定义ISMS方针 P3-确定风险评估方法 P4-分析和评估信息安全风险 P5-识别和评价风险处理的可选措施 P6-为处理风险选择控制目标和控制措施 P7-准备详细的适用性声明SoA