第四部分：體系文件編寫課件

ISMS內(nèi)審員培訓(xùn)課程SGS-CSTC通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司SGS-CSTCStandardsTechnicalServicesCo.,Ltd.

ISMS內(nèi)審員培訓(xùn)課程SGS-CSTC通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公第一部分信息安全基礎(chǔ)知識及案例介紹第二部分ISO27001標(biāo)準(zhǔn)正文部分詳解

ISO27001標(biāo)準(zhǔn)附錄A詳解第三部分信息安全風(fēng)險評估與管理第四部分體系文件編寫第五部分

信息安全管理體系內(nèi)部審核課程內(nèi)容第一部分信息安全基礎(chǔ)知識及案例介紹課程內(nèi)容那我們該從哪里開始呢?

建立信息安全管理體系：要收集問題要評估風(fēng)險要學(xué)習(xí)標(biāo)準(zhǔn)要改進技術(shù)要增加投資要增加人員首先要了解體系建立的需求

——體系標(biāo)準(zhǔn)要求那我們該從哪里開始呢?建立信息安全管理體系：首先要了解體ISO27001正文條款4

信息安全管理體系

（ISMS）4.1總要求4.2建立和管理

ISMS4.2.1建立

ISMS4.2.2

實施和動作ISMS4.2.3監(jiān)視和評審ISMS4.2.4

保持和改進

ISMS4.3

文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制5

管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識和能力8ISMS改進8.1

持續(xù)改進8.2糾正措施8.3預(yù)防措施

6內(nèi)部ISMS審核7ISMS管理評審7.1總則7.2評審輸入7.3評審輸出ISO27001正文條款4信息安全管理體系（ISMS4.2.1

建立ISMS組織應(yīng)做以下方面的工作：根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細說明和正當(dāng)性理由。（見1.2）根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針。ISMS方針應(yīng)：包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則；考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS；建立風(fēng)險評價的準(zhǔn)則（見4.2.1c）；獲得管理者批準(zhǔn)。注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認為是信息安全方針的一個擴展集。這些方針可以在一個文件中進行描述。4.2.1建立ISMS組織應(yīng)做以下方面的工作：4.2.1

建立ISMS確定組織的風(fēng)險評估方法：識別適合ISMS、已識別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險評估方法；制定接受風(fēng)險的準(zhǔn)則，識別可接受的風(fēng)險級別（見5.1f）。選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。識別風(fēng)險識別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；識別資產(chǎn)所面臨的威脅；識別可能被威脅利用的脆弱性；識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。4.2.1建立ISMS確定組織的風(fēng)險評估方法：4.2.1

建立ISMS…4.2.1建立ISMS…4.2.1

建立ISMS準(zhǔn)備『適用性聲明（SoA）

』應(yīng)從以下幾方面準(zhǔn)備『適用性聲明』：從4.2.1g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；當(dāng)前實施的控制目標(biāo)和控制措施（見4.2.1e）2））；對附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。4.2.1建立ISMS準(zhǔn)備『適用性聲明（SoA）』4.2.2

實施和運作ISMS…4.2.2實施和運作ISMS…4.3.1一般文件要求文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處理過程的結(jié)果、并進而回溯到ISMS方針和目標(biāo)之間的關(guān)系。4.3.1一般文件要求文件應(yīng)包括管理決定的記錄，以確保所采取4.3.1一般文件要求ISMS文件應(yīng)包括：形成文件的ISMS方針[見4.2.1b）]和目標(biāo)；ISMS的范圍[見4.2.la）]；支持ISMS的規(guī)程和控制措施；風(fēng)險評估方法的描述[見4.2.1c）]；風(fēng)險評估報告[見4.2.1c）到4.2.1g）]；風(fēng)險處理計劃[見4.2.2b）]；組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規(guī)程（見4.2.3c））；本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）；適用性聲明。4.3.1一般文件要求ISMS文件應(yīng)包括：4.3.2文件控制ISMS所要求的文件應(yīng)予以保護和控制。應(yīng)編制形成文件的規(guī)程，以規(guī)定以下方面所需的管理措施：在文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)?；必要時對文件進行評審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；確保在使用處可獲得適用文件的有關(guān)版本；確保文件保持清晰且易于識別；確保文件對需要的人員可用，并依照文件適用的類別規(guī)程進行傳輸、貯存和最終銷毀；確保外來文件得到識別；確保文件分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護和控制。應(yīng)編4.3.3記錄控制應(yīng)建立記錄并加以保持，以提供符合ISMS要求和有效運行的證據(jù)。應(yīng)對記錄加以保護和控制。ISMS的記錄應(yīng)考慮相關(guān)的法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰，易于識別及檢索。記錄的標(biāo)識、貯存、保護、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實施。應(yīng)保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的重大安全事件的記錄。4.3.3記錄控制應(yīng)建立記錄并加以保持，以提供符合ISMS5.1管理層承諾管理者應(yīng)通過以下活動，對建立、實施、運行、監(jiān)視、評審、保持和改進ISMS的承諾提供證據(jù)：制定ISMS方針；確保ISMS目標(biāo)和計劃得以制定；建立信息安全的角色和職責(zé)；向組織傳達滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性；提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS（見5.2.1）；決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別；確保ISMS內(nèi)部審核的執(zhí)行（見第6章）；實施ISMS的管理評審（見第7章）。5.1管理層承諾管理者應(yīng)通過以下活動，對建立、實施、運行、5.2.1

提供資源組織應(yīng)確定和提供所需資源，以：建立、實施、運行、監(jiān)視、評審、保持和改進ISMS；確保信息安全規(guī)程支持業(yè)務(wù)要求；識別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；通過正確實施所有的控制措施保持適當(dāng)?shù)陌踩槐匾獣r，進行評審，并適當(dāng)響應(yīng)評審的結(jié)果；在需要時，改進ISMS的有效性。5.2.1提供資源組織應(yīng)確定和提供所需資源，以：5.2.2

培訓(xùn)、意識和能力組織應(yīng)通過以下方式，確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：確定從事影響ISMS工作的人員所必要的能力；提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿足這些需求；評價采取的措施的有效性；保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。組織也要確保所有相關(guān)人員意識到他們信息安全活動的相關(guān)性和重要性，以及如何為達到ISMS目標(biāo)做出貢獻。5.2.2培訓(xùn)、意識和能力組織應(yīng)通過以下方式，確保所有分配6.0

內(nèi)部ISMS審核組織應(yīng)按照計劃的時間間隔進行ISMS內(nèi)部審核，以確定其ISMS的控制目標(biāo)、控制措施、過程和規(guī)程是否：符合此標(biāo)準(zhǔn)和有關(guān)法律法規(guī)的要求；符合已確定的信息安全要求；得到有效地實施和保持；按預(yù)期執(zhí)行。應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。6.0內(nèi)部ISMS審核組織應(yīng)按照計劃的時間間隔進行ISMS6.0

內(nèi)部ISMS審核審核員的選擇和審核的實施應(yīng)確保審核的客觀性和公正性。審核員不應(yīng)審核自己的工作。策劃和實施審核、報告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的規(guī)程中做出規(guī)定。負責(zé)受審區(qū)域的管理者應(yīng)確保及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動應(yīng)包括對所采取措施的驗證和驗證結(jié)果的報告（見第8章）。6.0內(nèi)部ISMS審核審核員的選擇和審核的實施應(yīng)確保審核的7.1

管理評審—總則管理者應(yīng)按計劃的時間間隔（至少每年1次）評審組織的ISMS以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標(biāo)。評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。7.1管理評審—總則管理者應(yīng)按計劃的時間間隔（至少每年1次7.2

評審的輸入評審的輸入應(yīng)包括：ISMS審核和評審的結(jié)果；相關(guān)方的反饋；組織用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或規(guī)程；預(yù)防和糾正措施的狀況；以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅；有效性測量的結(jié)果；以往管理評審的跟蹤措施；可能影響ISMS的任何變更；改進的建議。7.2評審的輸入評審的輸入應(yīng)包括：7.3

評審的輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：ISMS有效性的改進。風(fēng)險評估和風(fēng)險管理計劃的更新。必要時修改影響信息安全的規(guī)程和控制措施，以響應(yīng)內(nèi)部或外部可能影響ISMS的事態(tài)，包括以下的變更：業(yè)務(wù)要求；安全要求；影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；法律法規(guī)要求；合同要求；風(fēng)險級別和/或接受風(fēng)險的準(zhǔn)則。資源需求。控制措施有效性測量方法的改進。7.3評審的輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決8.1

持續(xù)改善組織應(yīng)利用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評審（見第7章），持續(xù)改進ISMS的有效性。8.1持續(xù)改善組織應(yīng)利用信息安全方針、安全目標(biāo)、審核結(jié)果、8.2

糾正措施組織應(yīng)采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施規(guī)程，應(yīng)規(guī)定以下方面的要求：識別不符合；確定不符合的原因；評價確保不符合不再發(fā)生的措施需求；確定和實施所需要的糾正措施；記錄所采取措施的結(jié)果（見4.3.3）；評審所采取的糾正措施。8.2糾正措施組織應(yīng)采取措施，以消除與ISMS要求不符合的8.3

預(yù)防措施組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。形成文件的預(yù)防措施規(guī)程，應(yīng)規(guī)定以下方面的要求：識別潛在的不符合及其原因；評價防止不符合發(fā)生的措施需求；確定和實施所需要的預(yù)防措施；記錄所采取措施的結(jié)果（見4.3.3）；評審所采取的預(yù)防措施。組織應(yīng)識別變化的風(fēng)險，并識別針對重大變化的風(fēng)險的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級要根據(jù)風(fēng)險評估的結(jié)果確定。第四章——第八章不允許刪減8.3預(yù)防措施組織應(yīng)確定措施，以消除潛在不符合的原因，防止本標(biāo)準(zhǔn)必需的文件化的規(guī)程文件控制

4.3.2

記錄控制

4.3.3

內(nèi)審

6.0糾正措施

8.2預(yù)防措施

8.3「組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的規(guī)程（見4.2.3c））；」4.3.1g

（

程序）本標(biāo)準(zhǔn)必需的文件化的規(guī)程文件控制4.3.2（程序）本標(biāo)準(zhǔn)必需的記錄影響ISMS有效性或執(zhí)行情況的措施和事態(tài)的記錄4.2.3

h培訓(xùn)記錄

5.2.2

d內(nèi)審記錄

6.0管理評審記錄7.1糾正措施

8.2

e預(yù)防措施

8.3

d4.3.1h：「本標(biāo)準(zhǔn)所要求的記錄」本標(biāo)準(zhǔn)必需的記錄影響ISMS有效性或執(zhí)行情況的措施和事態(tài)的記認證標(biāo)準(zhǔn)-要求附錄條款A(yù).5安全方針A.8人力資源安全A.7資產(chǎn)管理A.11訪問控制A.12信息系統(tǒng)

獲取、開發(fā)和維護A.13信息安全事件管理A.14業(yè)務(wù)連續(xù)性管理A.6信息安全組織A.9物理和環(huán)境安全A.10通信和操作管理A.15符合性認證標(biāo)準(zhǔn)-要求附錄條款A(yù).5A.8A.7A.11A.12A認證標(biāo)準(zhǔn)-要求附錄條款5.0安全方針信息安全方針信息安全方針文件信息安全策略評審6.0信息安全組織內(nèi)部組織信息安全的管理承諾信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議與政府部門的聯(lián)系與特定利益集團的聯(lián)系信息安全的獨立評審?fù)獠扛鞣脚c外部各方相關(guān)風(fēng)險的識別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題認證標(biāo)準(zhǔn)-要求附錄條款5.0安全方針6.0信息安全組織認證標(biāo)準(zhǔn)-要求附錄條款7.0資產(chǎn)管理資產(chǎn)的責(zé)任資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的可接受使用信息分類分類指南信息的標(biāo)記和處理8.0人力資源安全任用之前角色和職責(zé)審查任用條款和條件任用中管理職責(zé)信息安全意識、教育和培訓(xùn)紀(jì)律處過程任用的終止或變化終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)認證標(biāo)準(zhǔn)-要求附錄條款7.0資產(chǎn)管理8.0人力資源安全認證標(biāo)準(zhǔn)-要求附錄條款9.0

物理和環(huán)境安全安全區(qū)域物理安全周邊物理入口控制辦公室、房間和設(shè)施的安全保護外部和環(huán)境威脅的安全防護在安全區(qū)域工作公共訪問、交接區(qū)安全設(shè)備安全設(shè)備安置和保護支持性設(shè)施布纜安全設(shè)備維護組織場所外的設(shè)備安全安全的安全處置和再利用資產(chǎn)的移動認證標(biāo)準(zhǔn)-要求附錄條款9.0物理和環(huán)境安全認證標(biāo)準(zhǔn)-要求附錄條款10.0

通信和操作管理操作規(guī)程和職責(zé)文件化的操作規(guī)程變更管理責(zé)任分割開發(fā)、測試及運行設(shè)施分離第三方服務(wù)交付管理服務(wù)交付第三方服務(wù)的監(jiān)視和評審第三方服務(wù)的變更管理系統(tǒng)規(guī)劃和驗收容量管理系統(tǒng)驗收防范惡意和移動代碼控制惡意代碼控制移動代碼備份信息備份網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全介質(zhì)處置可移動介質(zhì)的管理介質(zhì)的處置信息處理規(guī)程系統(tǒng)文件安全認證標(biāo)準(zhǔn)-要求附錄條款10.0通信和操作管理認證標(biāo)準(zhǔn)-要求附錄條款信息交換信息交換策略和規(guī)程交換協(xié)議運輸中的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)電子商務(wù)服務(wù)電子商務(wù)在線交易公共可用信息監(jiān)視審計記錄

監(jiān)視系統(tǒng)的使用日志信息的保護管理員和操作員日志故障日志時鐘同步

認證標(biāo)準(zhǔn)-要求附錄條款信息交換監(jiān)視認證標(biāo)準(zhǔn)-要求附錄條款11.0

訪問控制訪問控制的業(yè)務(wù)需求訪問控制策略用戶訪問管理用戶注冊特殊權(quán)限管理用戶口令管理用戶訪問權(quán)復(fù)查用戶職責(zé)口令使用無人值守的用戶設(shè)備清空桌面和屏幕策略網(wǎng)絡(luò)訪問控制使用網(wǎng)絡(luò)服務(wù)的策略

外部連接的用戶鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識遠程診斷和配置端口的保護網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制

操作系統(tǒng)訪問控制安全的登錄規(guī)程

用戶標(biāo)識和鑒別口令管理系統(tǒng)系統(tǒng)系統(tǒng)工具的使用會話超時聯(lián)機時間的限定認證標(biāo)準(zhǔn)-要求附錄條款11.0訪問控制認證標(biāo)準(zhǔn)-要求附錄條款應(yīng)用和信息訪問控制信息訪問限制敏感系統(tǒng)隔離移動計算及過程工作移動計算和通信遠程工作認證標(biāo)準(zhǔn)-要求附錄條款應(yīng)用和信息訪問控制認證標(biāo)準(zhǔn)-要求附錄條款12.0信息系統(tǒng)獲取、開發(fā)及維護信息系統(tǒng)的安全要求安全要求分析和說明應(yīng)用中正確的處理輸入數(shù)據(jù)確認內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)確認密碼控制使用密碼控制的策略密鑰管理系統(tǒng)文件的安全運行軟件的控制系統(tǒng)測試數(shù)據(jù)的保護對程序源代碼的訪問控制開發(fā)和支持過程的安全變更控制規(guī)程操作系統(tǒng)變更后應(yīng)用的技術(shù)評審軟件包變更的限制信息泄漏外包軟件開發(fā)技術(shù)脆弱性管理技術(shù)脆弱性的控制認證標(biāo)準(zhǔn)-要求附錄條款12.0信息系統(tǒng)獲取、開發(fā)及維護認證標(biāo)準(zhǔn)-要求附錄條款13.0信息安全事件和改進的管理報告信息安全事態(tài)及弱點報告信息安全事態(tài)報告信息安全弱點報告安全事件及改善職責(zé)與規(guī)程對信息安全事件的總結(jié)證據(jù)的收集14.0業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理的信息安全方面在業(yè)務(wù)連續(xù)性管理過程中包含信息安全業(yè)務(wù)連續(xù)性和風(fēng)險評估制定和實施包含信息安全的連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃框架測試、維護和再評估業(yè)務(wù)連續(xù)性計劃認證標(biāo)準(zhǔn)-要求附錄條款13.0信息安全事件和改進的管理14認證標(biāo)準(zhǔn)-要求附錄條款15.0符合性符合法律要求可用法律的識別知識產(chǎn)權(quán)(IPR)保護組織的記錄數(shù)據(jù)保護和個人信息的隱私防止濫用信息處理設(shè)施密碼控制措施的規(guī)則符合安全策略和標(biāo)準(zhǔn)以及技術(shù)符合性符合安全策略和標(biāo)準(zhǔn)技術(shù)符合性核查信息系統(tǒng)審計考慮信息系統(tǒng)審計控制措施信息系統(tǒng)審計工具的保護認證標(biāo)準(zhǔn)-要求附錄條款15.0符合性可做為主要良好的起點從法律的觀點看，對某個組織重要的控制措施包括，根據(jù)適用的法律：數(shù)據(jù)保護和個人信息的隱私（見A.15.1.4）；保護組織的記錄（見A.15.1.3）；知識產(chǎn)權(quán)（見A.15.1.2）。被認為是信息安全的常用慣例的控制措施包括：信息安全方針文件（見A.5.1.1）；信息安全職責(zé)的分配（見A.6.1.3）；信息安全意識、教育和培訓(xùn)（見A.8.2.2）；應(yīng)用中的正確處理（見A.12.2）；技術(shù)脆弱性管理（見A.12.6）；業(yè)務(wù)連續(xù)性管理（見A.14）；信息安全事件和改進的管理（見A.13.2）?？勺鰹橹饕己玫钠瘘c從法律的觀點看，對某個組織重要的控制措施與ISO9001/ISO14001的相似之處PDCA方法

—“策劃

控制

監(jiān)控

改善”方法其它要求相似：文件控制記錄控制內(nèi)審糾正措施預(yù)防措施ISMS與EMS可以作為全面質(zhì)量管理系統(tǒng)的一部分進行實施與ISO9001/ISO14001的相似之處PDCA方法標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（1）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（1）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（2）本標(biāo)準(zhǔn)ISO9001:2000ISO14001:20044信息安全管理體4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實施和運行ISMS4.2.3監(jiān)視和評審ISMS4.2.4保持和改進ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制4質(zhì)量管理體系4.1總要求8.2.3過程的監(jiān)視和測量8.2.4產(chǎn)品的監(jiān)視和測量4.2文件要求4.2.1總則4.2.2質(zhì)量手冊4.2.3文件控制4.2.4記錄控制4EMS要求4.1總要求4.4實施和運行4.5.1監(jiān)視和測量4.5.2不合格和糾正與預(yù)防措施4.4.5文件控制4.5.4記錄控制標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（2）本標(biāo)準(zhǔn)IS標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（3）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（3）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（4）標(biāo)準(zhǔn)與ISO9001、ISO14001的關(guān)系（4）IntegratedAssessmentService(IAS)IntegratedManagementRegistration(IMR)CombinedAuditService(CAS)9001140012700190011400127001IMR組合的管理體系vs.整合管理體系理體系IntegratedAssessmentService(法規(guī)及其他要求客戶需求環(huán)境因素及影響信息安全風(fēng)險識別評估方針目標(biāo)計劃程序/WI實施檢查/檢驗/審核糾正與預(yù)防措施管理評審改進計劃計劃實施檢查改進整合管理體系的思維模式法規(guī)及其他要求客戶需求環(huán)境因素及影響信息安全風(fēng)險識別評估方針技術(shù)要求：ISO9001——顧客的需求（產(chǎn)品質(zhì)量標(biāo)準(zhǔn)）ISO14001——法律、法規(guī)及其他要求是組織管理體系的組成部分具有相同的管理思想——過程控制——文件化15ISO27001——信息安全風(fēng)險ISO14001、ISO27001與ISO9001關(guān)系技術(shù)要求：ISO9001——顧客的需求（產(chǎn)品質(zhì)量標(biāo)準(zhǔn)）ISO都是自愿性的國際標(biāo)準(zhǔn)遵循相同的管理系統(tǒng)原理，要求文件化體系通過體系建立、運行和改進實現(xiàn)方針和目標(biāo)體系結(jié)構(gòu)和模式接近，PDCA循環(huán)實現(xiàn)改進部分要素相同都可能成為貿(mào)易的條件，消除貿(mào)易壁壘16ISO14001、ISO27001與ISO9001的聯(lián)系都是自愿性的國際標(biāo)準(zhǔn)遵循相同的管理系統(tǒng)原理，要求文件化體系通必要性一體化減少工作量，重復(fù)和矛盾，提高管理效能同時審核降低審核成本，提高企業(yè)申請積極性為新的管理體系提供兼容經(jīng)驗，實現(xiàn)一體化管理可行性符合企業(yè)愿望和要求符合技術(shù)委員會制定標(biāo)準(zhǔn)的指導(dǎo)思想ISO正在制定共同的審核標(biāo)準(zhǔn)具有相似的結(jié)構(gòu)17EMS、ISMS與QMS的兼容必要性一體化減少工作量，重復(fù)和矛盾，提高管理效能同時審核降低角色權(quán)責(zé)明確劃分單一系統(tǒng)較易被員工接受使用共通程序，簡化作業(yè)共用系統(tǒng)資源，提高效率整合驗證，節(jié)省認證時間與經(jīng)費19系統(tǒng)整合的優(yōu)點角色權(quán)責(zé)明確劃分單一系統(tǒng)較易被員工接受使用共通程序，簡化作業(yè)文件編寫步驟1.風(fēng)險評估相關(guān)文件風(fēng)險評估程序范圍、方針、目標(biāo)、處理計劃2.適用性聲明3.哪些文件可直接使用4.哪些文件可修改后使用(如與其它管理體系共用)5.哪些文件需要編寫，結(jié)構(gòu)是怎么樣的？6.編寫計劃是怎么樣的？7.檢查是否符合SOA和風(fēng)險處理計劃編寫前準(zhǔn)備---確定編寫人員及總協(xié)調(diào)人員

---分配職能權(quán)限，確定部門關(guān)系

組織編寫----擬定文件清單

----確定文件格式，統(tǒng)一風(fēng)格

----制定編寫進度表

----原有資料的收集和分析

----現(xiàn)狀的了解和分析編寫審查批準(zhǔn)----格式審查

----內(nèi)容審查

----會議評審文件編寫步驟1.風(fēng)險評估相關(guān)文件編寫前準(zhǔn)備---確定編寫人文件編寫步驟編寫前準(zhǔn)備---確定編寫人員及總協(xié)調(diào)人員

---分配職能權(quán)限，確定部門關(guān)系

組織編寫----擬定文件清單

----確定文件格式，統(tǒng)一風(fēng)格

----制定編寫進度表

----原有資料的收集和分析

----現(xiàn)狀的了解和分析編寫審查批準(zhǔn)----格式審查

----內(nèi)容審查

----會議評審文件編寫步驟編寫前準(zhǔn)備---確定編寫人員及總協(xié)調(diào)人員練習(xí)對我們公司，文件編寫的順序應(yīng)該是怎么樣的？請舉例說明各步驟的內(nèi)容。設(shè)施維護管理程序編寫步驟2.信息安全事件管理程序練習(xí)對我們公司，文件編寫的順序應(yīng)該是怎么樣的？ISMS文件方針范圍風(fēng)險評價適用性聲明描述過程：5W1H描述任務(wù)及具體的活動如何完成提供符合ISMS條款4.3.3要求的客觀證據(jù)第一層次第二層次第三層次第四層次安全手冊程序作業(yè)指導(dǎo)書檢查表、表格記錄ISMS文件方針范圍描述過程：5W1H描述任務(wù)及具體的活I(lǐng)SMS文件第一層次（安全手冊）：管理框架概要，包括信息安全方針、控制目標(biāo)以及在適用性聲明上給出的實施的控制方法。應(yīng)引用下一層次的文件第二層次（程序）：采用的程序，規(guī)定實施要求的控制方法。描述安全過程的“WHO、WHY、WHAT、WHEN、WHERE、HOW”以及部門間的控制方法；可以按照ISO27001順序，也可按照過程順序；引用下一層次文件ISMS文件第一層次（安全手冊）：管理框架概要，包括信息ISMS文件第三層次：解釋具體任務(wù)或活動的細節(jié)—如何執(zhí)行具體的任務(wù)。包括詳細的作業(yè)指導(dǎo)書、表格、流程圖、服務(wù)標(biāo)準(zhǔn)、系統(tǒng)手冊，等等。第四層次（記錄）：按照第一、二、三層次文件開展的活動的客觀證據(jù)。可能是強制性的，或者是各個ISO27001條款隱含的要求。例如：訪問者登記簿、審核記錄、訪問的授權(quán)。ISMS文件第三層次：解釋具體任務(wù)或活動的細節(jié)—如何執(zhí)行形成文件的ISMS的益處對外增強顧客信心和滿意改善對安全方針及要求的符合性提高競爭優(yōu)勢對內(nèi)改善總體安全管理并減少安全事件的影響便利持續(xù)改進提高員工動力與參與提高盈利能力形成文件的ISMS的益處對外中國的信息安全法律、法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例計算機病毒防治管理辦法互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法/n11293472/n11293832/n11294402/index.html

/n11293472/n11293832/n11294042/index.html

中國的信息安全法律、法規(guī)中華人民共和國計算機信息系統(tǒng)安全保護信息安全有關(guān)的標(biāo)準(zhǔn)計算機信息安全保護等級劃分準(zhǔn)則(GB17859-1999)計算站場地安全要求(GB9361-1988)信息系統(tǒng)安全等級保護定級指南計算機信息系統(tǒng)安全等級保護通用技術(shù)要求(GA/T390-2002)計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求(GA/T388-2002)計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求(GA/T389-2002)計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求(GA/T387-2002)信息安全有關(guān)的標(biāo)準(zhǔn)計算機信息安全保護等級劃分準(zhǔn)則(GB17最新發(fā)布的15項信息安全國家標(biāo)準(zhǔn)GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T20274.1-2006信息安全技術(shù)信息系統(tǒng)安全保障評估框架GB/T20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20276-2006信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強級）GB/T20277-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20279-2006信息安全技術(shù)網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求GB/Z20283-2006信息安全技術(shù)保護輪廓和安全目標(biāo)的產(chǎn)生指南最新發(fā)布的15項信息安全國家標(biāo)準(zhǔn)GB/T20269-200練習(xí)如何在信息安全體系建設(shè)時體現(xiàn)：上兵伐謀，其次伐交，其次伐兵，其下攻城知彼知己；因敵制勝以逸待勞；無中生有拋磚引玉；借刀殺人練習(xí)如何在信息安全體系建設(shè)時體現(xiàn)：方針示例目標(biāo)：為保護本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、數(shù)據(jù)、信息的安全，免于因外在的威脅或內(nèi)部人員不當(dāng)?shù)墓芾碓馐苄姑?、破壞或遺失等風(fēng)險，特制訂本政策，以供全體員工共同遵循。宣傳口號：“信息安全是贏得客戶的基礎(chǔ)，無破壞零損失是我們的終極目標(biāo)”“信息安全，人人有責(zé)”信息安全要求：信息安全管理委員會是公司信息安全管理的最高機構(gòu)信息資產(chǎn)應(yīng)受適當(dāng)?shù)谋Ｗo，以防止未經(jīng)授權(quán)的不當(dāng)存?。粦?yīng)適當(dāng)保護信息的機密性；確保信息不會在傳遞的過程中，或因無意間的行為透露給未經(jīng)授權(quán)的第三者；應(yīng)適當(dāng)確保信息的完整性，以防止未經(jīng)授權(quán)的竄改；應(yīng)適當(dāng)確保信息的可用性，以確保使用者需求可以得到滿足；相關(guān)的信息安全措施或規(guī)范應(yīng)符合現(xiàn)行法令的要求；盡可能維護、測試企業(yè)的災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)性計劃的可行性；應(yīng)依其職務(wù)、責(zé)任對全體員工進行信息安全適當(dāng)?shù)慕逃c培訓(xùn)；所有信息安全意外事故或可疑的安全弱點，都應(yīng)依循適當(dāng)回報系統(tǒng)向上反應(yīng)，予以適當(dāng)調(diào)查、處理。方針示例目標(biāo)：為保護本公司的相關(guān)信息資產(chǎn)，包括軟硬件設(shè)施、文件舉例（第一層）1．信息資產(chǎn)與風(fēng)險評估管理要點2．信息作業(yè)人員安全管理要點3．安全區(qū)域管理要點4．信息設(shè)備授權(quán)及保護管理要點5．資料備份與媒體管理要點6．網(wǎng)絡(luò)與通訊安全管理要點7．信息安全文件及記錄管理要點8．系統(tǒng)開發(fā)與維護管理要點9．信息安全事件管理要點10．信息中心業(yè)務(wù)持續(xù)運營管理要點11．第三方信息作業(yè)管理要點12．辦公室信息作業(yè)環(huán)境管理要點13．信息安全自行檢查作業(yè)實施要點14．變更管理要點15．信息交換作業(yè)管理要點16．信息安全組織設(shè)置要點17．信息策略委員會設(shè)置要點18．部門電腦作業(yè)管理要點19．帶出/遠程電腦作業(yè)管理要點20．個人資料檔案安全維護計劃信息安全管理手冊文件舉例（第一層）1．信息資產(chǎn)與風(fēng)險評估管理要點11．第三方文件舉例（第二層）業(yè)務(wù)持續(xù)性管理程序事故、薄弱點與故障管理程序企業(yè)商業(yè)技術(shù)秘密管理程序信息處理設(shè)施引進實施管理程序信息處理設(shè)施維護管理程序信息安全人員考察與保密管理程序信息安全獎勵、懲戒管理規(guī)定信息安全適用性聲明信息安全風(fēng)險評估管理程序內(nèi)部審核管理程序惡意軟件控制程序信息安全管理體系程序文件更改控制程序物理訪問程序用戶訪問控制程序管理評審控制程序系統(tǒng)開發(fā)與維護控制程序系統(tǒng)訪問與使用監(jiān)控管理程序計算機應(yīng)用管理崗位工作標(biāo)準(zhǔn)計算機管理程序記錄控制程序重要信息備份管理程序預(yù)防措施程序文件舉例（第二層）業(yè)務(wù)持續(xù)性管理程序信息安全管理體系程序文件文件舉例（第三層）令牌(Token)管理規(guī)定產(chǎn)品運輸保密方法管理規(guī)定介質(zhì)銷毀辦法保安業(yè)務(wù)管理規(guī)定信息中心主機房管理制度信息中心信息安全處罰規(guī)定信息中心密碼管理規(guī)定信息安全人員考察與保密管理程序信息開發(fā)崗位工作標(biāo)準(zhǔn)信息系統(tǒng)訪問權(quán)限說明信息安全管理體系作業(yè)文件

信息銷毀制度(檔案室）可移動媒體使用與處置管理規(guī)定各部門微機專責(zé)人工作標(biāo)準(zhǔn)復(fù)印室管理規(guī)定工程師室和電子間管理規(guī)定數(shù)據(jù)加密管理規(guī)定文件審批表機房安全管理規(guī)定檔案室信息安全職責(zé)法律法規(guī)與符合性評估程序文件舉例（第三層）令牌(Token)管理規(guī)定信息安全管理體系文件舉例（第三層）生產(chǎn)經(jīng)營持續(xù)性管理戰(zhàn)略計劃監(jiān)視系統(tǒng)管理規(guī)定系統(tǒng)分析員崗位工作標(biāo)準(zhǔn)經(jīng)營部信息事故處理規(guī)定經(jīng)營部信息安全崗位職責(zé)規(guī)定經(jīng)營部計算機機房管理規(guī)定經(jīng)營部訪問權(quán)限說明網(wǎng)站信息發(fā)布管理程序網(wǎng)絡(luò)中間設(shè)備安全配置管理規(guī)定網(wǎng)絡(luò)通信崗位工作標(biāo)準(zhǔn)信息安全管理體系作業(yè)文件

計算機硬件管理維護規(guī)定財務(wù)管理系統(tǒng)訪問權(quán)限說明遠程工作控制程序文件舉例（第三層）生產(chǎn)經(jīng)營持續(xù)性管理戰(zhàn)略計劃信息安全管理體系文件舉例（第四層）上級單位領(lǐng)導(dǎo)來訪登記表事故調(diào)查分析及處理報告信息發(fā)布審查表信息處理設(shè)施使用情況檢查表信息安全內(nèi)部顧問名單信息安全外部專家名單信息安全故障處理記錄信息安全法律、法規(guī)清單信息安全法律、