《信息安全工程與管理(第二版)》 課件 第7章-信息安全管理體系

信息安全工程與管理第7章、信息安全管理體系目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.1信息安全管理體系概述信息安全管理體系（ISMS），是組織在一定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及為實(shí)現(xiàn)這些方針和目標(biāo)所采用的方法和文件體系。ISMS的實(shí)施依據(jù):BS7799-2ISO/IEC27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》GB/T22080《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》信息安全管理體系的相關(guān)概念7.1信息安全管理體系概述ISMS實(shí)施過(guò)程，采用“規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”（PDCA戴明環(huán)）循環(huán)模型。信息安全管理體系的相關(guān)概念7.1信息安全管理體系概述ISMS的特點(diǎn)：強(qiáng)調(diào)基于系統(tǒng)、全面和科學(xué)的風(fēng)險(xiǎn)評(píng)估，體現(xiàn)以預(yù)防控制為主的思想。強(qiáng)調(diào)全過(guò)程的動(dòng)態(tài)控制，達(dá)到控制成本與風(fēng)險(xiǎn)的平衡。強(qiáng)調(diào)關(guān)鍵資產(chǎn)的信息安全保護(hù)，保持組織的競(jìng)爭(zhēng)優(yōu)勢(shì)和運(yùn)作持續(xù)性。信息安全管理體系的相關(guān)概念7.1信息安全管理體系概述ISMS的建設(shè)過(guò)程：ISMS的準(zhǔn)備。ISMS的建立。ISMS的實(shí)施和運(yùn)行。ISMS的監(jiān)視和評(píng)審。ISMS的保持和改進(jìn)。ISMS的認(rèn)證。信息安全管理體系的相關(guān)概念目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.2信息安全管理體系的準(zhǔn)備7.2.1

組織與環(huán)境了解組織及其背景、需求和期望將實(shí)施ISO/IEC27001項(xiàng)目的決定、目的、意義、要求在組織內(nèi)傳達(dá)，體現(xiàn)內(nèi)部溝通，提高全體員工意識(shí)的必要手段，同時(shí)，了解組織的現(xiàn)狀，尋找與ISO/IEC27001標(biāo)準(zhǔn)的差距，確定與其目的相關(guān)，且影響其實(shí)現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項(xiàng)。。確定與信息安全管理體系相關(guān)的相關(guān)方的相關(guān)要求（可以包括法律、法規(guī)要求和合同義務(wù)），其中哪些要求將通過(guò)信息安全管理體系解決。信息安全管理體系的準(zhǔn)備，包含了GB/T22080—2016或ISO/IEC27001:2022標(biāo)準(zhǔn)中的關(guān)于組織環(huán)境、組織領(lǐng)導(dǎo)與人員、支持準(zhǔn)備等要求的內(nèi)容

。

7.2信息安全管理體系的準(zhǔn)備7.2.1

組織與環(huán)境制定工作計(jì)劃應(yīng)該統(tǒng)籌安排，制定一個(gè)切實(shí)可行的工作計(jì)劃，明確準(zhǔn)備、初審、體系設(shè)計(jì)、實(shí)施運(yùn)行和審核認(rèn)證等不同階段的工作任務(wù)和目標(biāo)，以及責(zé)任分工，用以控制工作進(jìn)度，并突出工作重點(diǎn)。制定計(jì)劃時(shí),要求：要充分考慮資源需求?？紤]認(rèn)證的費(fèi)用。7.2信息安全管理體系的準(zhǔn)備7.2.1

組織與環(huán)境確定ISMS的范圍和邊界根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界。范圍確定的標(biāo)準(zhǔn)主要看組織的業(yè)務(wù)需求，而不是組織的范圍有多大，ISMS范圍就有多大?？紤]：組織現(xiàn)有部門(mén)。辦公場(chǎng)所。資產(chǎn)狀況。所采用的技術(shù)。7.2信息安全管理體系的準(zhǔn)備7.2.2

組織領(lǐng)導(dǎo)與人員領(lǐng)導(dǎo)力和承諾最高管理層應(yīng)通過(guò)不同方式展示對(duì)信息安全管理體系的領(lǐng)導(dǎo)和承諾。7.2信息安全管理體系的準(zhǔn)備7.2.2

組織領(lǐng)導(dǎo)與人員制定ISMS的信息安全政策與方針I(yè)SMS信息安全方針,是統(tǒng)領(lǐng)整個(gè)體系的目的、意圖和方向。應(yīng)語(yǔ)言精煉、簡(jiǎn)明扼要、易理解和記憶。要求：包括目標(biāo)框架和工作的總方向與原則?？紤]法律法規(guī)、業(yè)務(wù)和合同中的安全要求。在戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS。建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則，定義風(fēng)險(xiǎn)評(píng)估的結(jié)構(gòu)。得到了管理層的批準(zhǔn)。7.2信息安全管理體系的準(zhǔn)備7.2.2

組織領(lǐng)導(dǎo)與人員制定ISMS的信息安全政策與方針－某公司信息安全方針文件名稱(chēng)：XXX公司信息安全方針編號(hào)：XXX-001版本：Version1.0密級(jí)：中密文件審定：姓名部門(mén)復(fù)核計(jì)劃：復(fù)核時(shí)間復(fù)核結(jié)果目標(biāo)：提高XXX全體員工的信息安全意識(shí)，積極做好預(yù)防工作，貫徹落實(shí)安全方針和各項(xiàng)安全措施，保護(hù)客戶(hù)信息和提交的各種資料，保護(hù)包括業(yè)務(wù)支撐網(wǎng)、業(yè)務(wù)網(wǎng)、XXX范圍內(nèi)的信息資產(chǎn)免受內(nèi)外威脅，防止安全事故的發(fā)生，最小化安全事故的影響，增強(qiáng)客戶(hù)信心，提高XXX競(jìng)爭(zhēng)力，保持XXX業(yè)務(wù)可持續(xù)發(fā)展。適用范圍：本信息安全管理方針適用于XXX所有與業(yè)務(wù)支撐網(wǎng)、業(yè)務(wù)崗和XXX網(wǎng)絡(luò)相關(guān)的業(yè)務(wù)活動(dòng)，以及所有用于保護(hù)XXX的信息資產(chǎn)。相關(guān)內(nèi)容：·XXX成立信息安全委員會(huì)來(lái)領(lǐng)導(dǎo)信息安全工作?！XX所有員工都必須接受信息安全的教育培訓(xùn)，提高信息安全意義。·XXX應(yīng)遵守各項(xiàng)法律法規(guī)的要求，同時(shí)還要利用法律法規(guī)保護(hù)計(jì)費(fèi)信息系統(tǒng)的利益?！そ⒁惶淄暾氖鹿侍幚沓绦?，明確所有員工的安全責(zé)任，確定報(bào)告可疑和發(fā)生的信息事故的流程，對(duì)違反安全制度的人員進(jìn)行懲罰?！ひ獙?duì)Internet的訪問(wèn)進(jìn)行嚴(yán)格的控制，以確保信息的機(jī)密性?！けＷo(hù)XXX軟件和信息的完整性，防止病毒與各種惡意軟件的入侵?！と魏稳嗽谖唇?jīng)審批的情況下，不得將信息資產(chǎn)帶離XXX。·所有XXX員工都要嚴(yán)格遵守XXX的安全方針、程序和制度?！た刂茖?duì)內(nèi)外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)，保護(hù)網(wǎng)絡(luò)化服務(wù)的安全性與可用性?！?duì)用戶(hù)權(quán)限和口令進(jìn)行嚴(yán)格管理，防止對(duì)信息系統(tǒng)的未授權(quán)訪問(wèn)?！?duì)重要信息備份保護(hù)，以保證信息的可用性。·實(shí)施業(yè)務(wù)持續(xù)性計(jì)劃，對(duì)重要的機(jī)房和設(shè)備購(gòu)買(mǎi)保險(xiǎn)和進(jìn)行容災(zāi)備份，以保證XXX主要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響。·定期對(duì)本方針進(jìn)行回顧和評(píng)審。實(shí)施時(shí)間：本方針自簽發(fā)之日起，正式實(shí)施。簽署人：王XX

職務(wù)：XXX公司總經(jīng)理日期：2024年2月20日7.2信息安全管理體系的準(zhǔn)備7.2.2

組織領(lǐng)導(dǎo)與人員角色、責(zé)任和權(quán)限為了順利建立信息安全管理體系，首先需要建設(shè)有效的信息安全組織機(jī)構(gòu)，對(duì)相關(guān)的各類(lèi)人員進(jìn)行角色分配、明確權(quán)限并落實(shí)責(zé)任。成立信息安全委員會(huì)。組建信息安全管理推進(jìn)小組。保證有關(guān)人員的職責(zé)和權(quán)限得到有效地溝通。7.2信息安全管理體系的準(zhǔn)備7.2.3

支持準(zhǔn)備能力要求與教育培訓(xùn)人員能力的要求：適當(dāng)?shù)慕逃?。適當(dāng)?shù)呐嘤?xùn)。適當(dāng)?shù)慕?jīng)歷。教育培訓(xùn)的要求：確定教育與培訓(xùn)的需求。編制教育與培訓(xùn)的計(jì)劃。確定教育與培訓(xùn)的內(nèi)容和方式。7.2信息安全管理體系的準(zhǔn)備7.2.3

支持準(zhǔn)備文件化信息信息安全管理體系文件，是按照信息安全管理標(biāo)準(zhǔn)的要求建立管理模型的依據(jù)，也是伴隨ISMS建設(shè)過(guò)程產(chǎn)生的一系列的體系文件，即作為管理的證據(jù)。編寫(xiě)各種層次的ISMS文件，是建立信息安全管理體系的重要基礎(chǔ)性工作，也是ISO/IEC27001等標(biāo)準(zhǔn)的明確要求。ISMS文件的作用：闡述聲明的作用。規(guī)定和指導(dǎo)的作用。記錄和證實(shí)的作用。7.2信息安全管理體系的準(zhǔn)備7.2.3

支持準(zhǔn)備文件化信息信息安全管理體系文件，無(wú)刻意的描述形式，但根據(jù)ISO9000的成功經(jīng)驗(yàn)，在具體實(shí)施中，為便于運(yùn)作并具有操作性，可把ISMS文件分成以下層次(類(lèi)型)：適用性聲明(SoA)。ISMS管理手冊(cè)。程序文件。作業(yè)指導(dǎo)書(shū)。記錄。目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.3信息安全管理體系的建立實(shí)施ISMS風(fēng)險(xiǎn)評(píng)估。進(jìn)行ISMS風(fēng)險(xiǎn)處置。為處理風(fēng)險(xiǎn)選擇控制目標(biāo)與措施。準(zhǔn)備適用性聲明。7.3信息安全管理體系的建立7.3.1

實(shí)施ISMS風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估為控制目標(biāo)與控制措施的選擇提供依據(jù)，也是對(duì)安全控制的效果進(jìn)行測(cè)量和評(píng)價(jià)的主要方法。選擇合適的風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估是對(duì)信息和信息處理設(shè)施的威脅、影響和脆弱點(diǎn)及三者發(fā)生的可能性評(píng)估，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具，包括定性和定量的方法，確定資產(chǎn)風(fēng)險(xiǎn)等級(jí)和優(yōu)先控制順序等。風(fēng)險(xiǎn)評(píng)估的過(guò)程：風(fēng)險(xiǎn)識(shí)別。風(fēng)險(xiǎn)評(píng)估。7.3信息安全管理體系的建立7.3.1

實(shí)施ISMS風(fēng)險(xiǎn)評(píng)估1——風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)識(shí)別的范圍：ISMS范圍內(nèi)的信息資產(chǎn)及其估價(jià)，以及資產(chǎn)負(fù)責(zé)人。信息資產(chǎn)面臨的威脅，以及威脅發(fā)生的可能性與潛在影響?？杀煌{利用的脆弱性，以及被利用的難易程度。7.3信息安全管理體系的建立7.3.1

實(shí)施ISMS風(fēng)險(xiǎn)評(píng)估2——風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估的內(nèi)容：評(píng)估因安全故障或失效而可能導(dǎo)致的業(yè)務(wù)損害，考慮因資產(chǎn)的機(jī)密性、完整性、可用性等的損失而導(dǎo)致的潛在后果。評(píng)估與這些資產(chǎn)相關(guān)的主要威脅、脆弱性和影響造成此類(lèi)事故發(fā)生的現(xiàn)實(shí)可能性，以及已經(jīng)實(shí)施的安全控制措施。測(cè)量風(fēng)險(xiǎn)的大小，并確定優(yōu)先控制等級(jí)。根據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行評(píng)審，判斷風(fēng)險(xiǎn)是否可接受或需要處理。7.3信息安全管理體系的建立7.3.2

進(jìn)行ISMS風(fēng)險(xiǎn)處置接受風(fēng)險(xiǎn)。避免風(fēng)險(xiǎn)。降低風(fēng)險(xiǎn)。轉(zhuǎn)移風(fēng)險(xiǎn)。7.3信息安全管理體系的建立7.3.3

為處理風(fēng)險(xiǎn)選擇控制目標(biāo)與措施組織應(yīng)根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，針對(duì)具體風(fēng)險(xiǎn)，制定相應(yīng)的控制目標(biāo)，并實(shí)施相應(yīng)的控制措施。選擇應(yīng)當(dāng)由安全需求來(lái)驅(qū)動(dòng)，并基于最好的滿足安全需求，同時(shí)要考慮風(fēng)險(xiǎn)平衡與成本效益的原則，并具有可實(shí)施性，對(duì)所選擇的控制目標(biāo)和控制措施要及時(shí)加以校驗(yàn)和調(diào)整，以適應(yīng)不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟(jì)的、合理的保護(hù)。7.3信息安全管理體系的建立7.3.4

準(zhǔn)備適用性聲明(SoA文件)SoA文件記錄了風(fēng)險(xiǎn)控制目標(biāo)和針對(duì)各風(fēng)險(xiǎn)所采取的控制措施，并包括這些控制措施是否被選擇的原因。SoA文件向內(nèi)部員工和外界均聲明了對(duì)風(fēng)險(xiǎn)的態(tài)度。應(yīng)簡(jiǎn)明扼要，不泄露組織的保密信息?？刂疲↖SO/IEC27001附錄A）是否選擇說(shuō)明A.5.1.1信息安全方針文件是參見(jiàn)《XXX公司信息安全方針》，編號(hào)：XXX-001A.10.10.3日志信息的保護(hù)是在系統(tǒng)出現(xiàn)異常或故障時(shí)，利用日志信息追溯原因時(shí)非常重要。使用適當(dāng)?shù)姆椒ūＷo(hù)記錄日志的設(shè)施和日志信息，是實(shí)施的基本控制手段之一A.11.4.2外部連接的用戶(hù)鑒別是外部用戶(hù)通過(guò)Internet訪問(wèn)公司內(nèi)部網(wǎng)自主辦理業(yè)務(wù)，具有高風(fēng)險(xiǎn)性。使用適當(dāng)?shù)蔫b別方法控制遠(yuǎn)程用戶(hù)的訪問(wèn)，這是實(shí)施的基本控制手段之一………………A.15.3.2信息系統(tǒng)審計(jì)工具的保護(hù)否公司沒(méi)有這類(lèi)保護(hù)要求，這項(xiàng)控制不適用目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.4信息安全管理體系的實(shí)施和運(yùn)行運(yùn)行ISMS，要在實(shí)踐中體驗(yàn)其充分性、適用性和有效性，并不斷完善ISMS。實(shí)施ISMS，必須充分考慮各種因素，如宣傳貫徹、實(shí)施監(jiān)督、考核評(píng)審、信息反饋與及時(shí)改進(jìn)等，還要考慮實(shí)施的培訓(xùn)費(fèi)、報(bào)告費(fèi)等各項(xiàng)費(fèi)用，以及解決員工工作習(xí)慣的沖突、不同機(jī)構(gòu)/部門(mén)之間的協(xié)調(diào)等問(wèn)題。7.4信息安全管理體系的實(shí)施和運(yùn)行應(yīng)做好以下工作：做好動(dòng)員與宣傳。實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃。制定與實(shí)施風(fēng)險(xiǎn)處置計(jì)劃。實(shí)施所選擇的控制措施，并評(píng)價(jià)其有效性。管理ISMS的運(yùn)行。保持ISMS的持續(xù)有效。目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.1

監(jiān)視、測(cè)量與分析執(zhí)行監(jiān)視、評(píng)審規(guī)程和其他控制措施。定期評(píng)審ISMS的有效性。測(cè)量控制措施的有效性，驗(yàn)證安全要求是否被滿足。定期進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審。定期進(jìn)行ISMS內(nèi)部審核和管理評(píng)審。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.2ISMS內(nèi)部審核內(nèi)部審核，要確定ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否達(dá)到如下要求：符合標(biāo)準(zhǔn)，以及相關(guān)法律法規(guī)的要求。符合已識(shí)別的信息安全要求，例如安全目標(biāo)、安全漏洞、風(fēng)險(xiǎn)控制等。得到有效地實(shí)施和保持。按期望運(yùn)行。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.2ISMS內(nèi)部審核——某公司內(nèi)部審核報(bào)告1最終的內(nèi)部審核報(bào)告，應(yīng)是正式的，內(nèi)容包括審核的目的及范圍、審核準(zhǔn)則、審核部門(mén)及負(fù)責(zé)人、審核組成員、審核時(shí)間、審核情況、審核結(jié)論、分發(fā)范圍等。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.2ISMS內(nèi)部審核——某公司內(nèi)部審核報(bào)告27.5信息安全管理體系的監(jiān)視和評(píng)審7.5.3ISMS管理評(píng)審組織的最高管理者應(yīng)該按照計(jì)劃的時(shí)間間隔（至少每年一次）評(píng)審信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審過(guò)程，應(yīng)確保收集到必要的信息，以供管理者對(duì)包括ISMS改進(jìn)的機(jī)會(huì)和變更的需要，以及安全方針和安全目標(biāo)等在內(nèi)進(jìn)行評(píng)價(jià)，評(píng)審結(jié)果應(yīng)清楚地寫(xiě)入文件，并保持記錄。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.3ISMS管理評(píng)審管理評(píng)審的時(shí)機(jī)：一般每年做一次管理評(píng)審，有的認(rèn)證機(jī)構(gòu)每半年有一次監(jiān)督審核，因此企業(yè)每六個(gè)月做一次管理評(píng)審。但若發(fā)生以下任一情況，應(yīng)適時(shí)進(jìn)行管理評(píng)審：在進(jìn)行第三方認(rèn)證之前。企業(yè)內(nèi)、外部環(huán)境發(fā)生較大變化時(shí)。新的ISMS進(jìn)行正式運(yùn)行時(shí)。其他必要的時(shí)候，如發(fā)生重大信息安全事故時(shí)。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.3ISMS管理評(píng)審管理評(píng)審的輸入：ISMS審核和評(píng)審的結(jié)果。ISM方針、風(fēng)險(xiǎn)控制目標(biāo)和控制措施的實(shí)施情況。事故、事件的調(diào)查處理情況。糾正和預(yù)防措施的實(shí)施情況。相關(guān)方的投訴、建議等反饋。用于改進(jìn)ISMS業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序。對(duì)于法律法規(guī)及其他要求的符合性報(bào)告。關(guān)于ISMS運(yùn)行的有效性測(cè)量報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告，以及已采取措施的跟蹤報(bào)告。任何可能影響ISMS變更的因素。改進(jìn)的建議。7.5信息安全管理體系的監(jiān)視和評(píng)審7.5.3ISMS管理評(píng)審管理評(píng)審的輸出：ISMS的適宜性、充分性和有效性的測(cè)量結(jié)論。組織機(jī)構(gòu)是否需要調(diào)整。信息安全方針、控制目標(biāo)、控制措施、風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)接受準(zhǔn)則是否需要修改。更新風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃。資源配置是否充足，是否需要調(diào)整。改進(jìn)測(cè)量控制措施有效性的方式。目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.6信息安全管理體系的保持和改進(jìn)針對(duì)與ISMS要求不符合的項(xiàng)目，應(yīng)實(shí)施糾正措施、改進(jìn)措施和預(yù)防措施等。其中改進(jìn)措施主要通過(guò)糾正與預(yù)防性控制措施來(lái)實(shí)現(xiàn)，同時(shí)對(duì)潛在的不符合采取預(yù)防性控制措施。7.6信息安全管理體系的保持和改進(jìn)7.6.1

糾正措施糾正措施,應(yīng)形成文件，并規(guī)定以下方面的要求：識(shí)別在實(shí)施和運(yùn)行ISMS過(guò)程中的不符合因素。確定這些不符合因素的原因。對(duì)確保這些不符合不再發(fā)生所需的措施進(jìn)行評(píng)價(jià)。確定和實(shí)施所需要的糾正措施，并記錄結(jié)果。評(píng)審所采取的糾正措施。7.6信息安全管理體系的保持和改進(jìn)7.6.2

預(yù)防措施預(yù)防措施,應(yīng)形成文件，并規(guī)定以下方面的要求：識(shí)別潛在的不符合因素的原因。對(duì)預(yù)防這些不符合因素發(fā)生所需的措施進(jìn)行評(píng)價(jià)。確定和實(shí)施所需要的預(yù)防措施，并記錄結(jié)果。評(píng)審所采取的預(yù)防措施。識(shí)別發(fā)生變化的風(fēng)險(xiǎn)，并通過(guò)關(guān)注變化顯著的風(fēng)險(xiǎn)來(lái)識(shí)別預(yù)防措施的要求。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果來(lái)確定預(yù)防措施的優(yōu)先級(jí)。7.6信息安全管理體系的保持和改進(jìn)7.6.3

控制不符合項(xiàng)對(duì)于輕微的不符合，可采取口頭糾正和輔導(dǎo)，不必采取更進(jìn)一步的糾正與預(yù)防措施。對(duì)于嚴(yán)重的不符合，應(yīng)積極采取補(bǔ)救措施，下達(dá)糾正與預(yù)防措施任務(wù)給相關(guān)責(zé)任部門(mén)，并要求在規(guī)定的時(shí)間內(nèi)完成相關(guān)原因分析和確定糾正與預(yù)防措施后回傳，以減少或消除其不利影響。7.6信息安全管理體系的保持和改進(jìn)7.6.3

控制不符合項(xiàng)——糾正與預(yù)防不符合的措施表

下達(dá)糾正與預(yù)防措施：（1）不符合項(xiàng)的來(lái)源：（2）不符合項(xiàng)事實(shí)的陳述：（3）不符合項(xiàng)信息嚴(yán)重性評(píng)價(jià)：（4）糾正與預(yù)防措施任務(wù)的下達(dá)：

·責(zé)任部門(mén)：

·時(shí)間要求：

·建議的糾正與預(yù)防措施：填寫(xiě)人/日期：審核人/日期：信息安全管理經(jīng)理/日期：制定糾正與預(yù)防措施：（1）不符合項(xiàng)的原因：（2）糾正與預(yù)防措施任務(wù)的制定：

·責(zé)任人：

·預(yù)定完成日期：

年

月

日

·制定的糾正與預(yù)防措施：編制人/日期：審核人/日期：信息安全管理經(jīng)理/日期：驗(yàn)證糾正與預(yù)防措施：□已按期在

年

月

日完成，效果簡(jiǎn)述：□未按期完成，推遲至

年

月

日完成，推遲原因：□其他：驗(yàn)證人/日期：核實(shí)人/日期：7.6信息安全管理體系的保持和改進(jìn)7.6.4

持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性：（1）審查和更新ISMS的信息安全政策與方針、流程和指南。（2）通過(guò)定期的ISMS風(fēng)險(xiǎn)評(píng)估和內(nèi)部審核，確定ISMS各方面的缺陷和改進(jìn)機(jī)會(huì)。（3）組織提供培訓(xùn)和教育，使員工了解ISMS的過(guò)程、策略和目標(biāo)。。（4）鼓勵(lì)對(duì)ISMS提出的問(wèn)題和建議進(jìn)行反饋，并進(jìn)行處理并采取適當(dāng)行動(dòng)。（5）參與行業(yè)和政府的信息安全管理體系相關(guān)標(biāo)準(zhǔn)和最佳實(shí)踐，以確保其標(biāo)準(zhǔn)符合業(yè)界水平。（6）管理人員需要向組織高層匯報(bào)有關(guān)ISMS及其效果的指標(biāo)，并定期討論如何改進(jìn)ISMS。（7）根據(jù)這些結(jié)果實(shí)施持續(xù)改進(jìn)計(jì)劃，并在給定時(shí)間內(nèi)監(jiān)控和測(cè)量計(jì)劃的執(zhí)行。目錄7.1信息安全管理體系概述7.2信息安全管理體系的準(zhǔn)備7.3信息安全管理體系的建立7.4信息安全管理體系的實(shí)施和運(yùn)行7.5信息安全管理體系的監(jiān)視和評(píng)審7.6信息安全管理體系的保持和改進(jìn)7.7信息安全管理體系的認(rèn)證7.7信息安全管理體系的認(rèn)證按照ISO和IEC的定義，認(rèn)證（Certification）是由國(guó)家認(rèn)可的認(rèn)證機(jī)構(gòu)證明一個(gè)組織的產(chǎn)品、服務(wù)、管理體系等符合相關(guān)標(biāo)準(zhǔn)、技術(shù)規(guī)范（TS）或其強(qiáng)制性要求的合格評(píng)定活動(dòng)。認(rèn)證的基礎(chǔ)是標(biāo)準(zhǔn)。認(rèn)證的方法包括對(duì)產(chǎn)品的特性抽樣檢驗(yàn)和對(duì)組織體系的審核與評(píng)定。認(rèn)證的證明方式是認(rèn)證證書(shū)與認(rèn)證標(biāo)志。7.7信息安全管理體系的認(rèn)證認(rèn)證標(biāo)準(zhǔn)：ISO/IEC27001《信息技術(shù)-安全技術(shù)-信息安全管理體系要求》。該標(biāo)準(zhǔn)適用于所有類(lèi)型的組織（例如商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。實(shí)施認(rèn)證：根據(jù)ISO/IEC27001標(biāo)準(zhǔn)，建立完整的信息安全管理體系，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，并從根本上保證業(yè)務(wù)的持續(xù)性。相關(guān)認(rèn)證的標(biāo)準(zhǔn)7.7信息安全管理體系的認(rèn)證幫助組織節(jié)約信息安全成本，增強(qiáng)客戶(hù)、合作伙伴等相關(guān)方的信心和信任，提高組織的公眾形象和競(jìng)爭(zhēng)力。使組織獲