信息安全管理體系建設(shè)

佛山市南海天富科技有限公司信息安全管理體系建設(shè)咨詢服務(wù)項目編寫人員：世榮編寫日期：2015年12月7日項目縮寫：文檔版本:V1、0修改記錄：日期編寫人員版本備注時間:２０15年12月一、信息化建設(shè)言隨著我國中小企業(yè)息化得普及，信化給我國中小企帶來積極影響得同時也帶來了信息全方面得消極影。一方面:信息在中小企業(yè)得發(fā)展過程中,對節(jié)約企業(yè)本與達(dá)到有效管得起到了積極得動作用.另一方面，伴隨著全球信息化網(wǎng)絡(luò)化進(jìn)程得發(fā)，與此相關(guān)得信安全問題也日趨嚴(yán)重由于我國中小企業(yè)模小、經(jīng)濟(jì)實力足以及中小企業(yè)領(lǐng)導(dǎo)者缺乏信息安全領(lǐng)域知識與意，導(dǎo)致中小企業(yè)信息安全面臨著大得風(fēng)險,我國中小企業(yè)信息化進(jìn)程已步入普及階段，決我國中小企業(yè)信息安全問題已經(jīng)刻不容緩。通過制定與實施企信息安全管理體能夠規(guī)范企業(yè)員得行為，保證各種技術(shù)手段得有效施,從整體上統(tǒng)安排各種軟硬件保證信息安全體系協(xié)同工作得高效、有與經(jīng)濟(jì)性。信息全管理體系不僅以在信息安全事故發(fā)生后能夠及時采取效得措施，防止息安全事故帶來大得損失，而更重要得就是信息安全管理系能夠預(yù)防與避大多數(shù)得信息安事件得發(fā)生。信息安全管理就就是信息安全風(fēng)險進(jìn)識別、分析、采措施將風(fēng)險降到可接受水平并維持水平得過程。企得信息安全管理就是一勞永逸得，由于新得威脅不斷出現(xiàn)信息安全管理就是個相對得、動態(tài)得過程，企業(yè)能做得就就是要不斷改進(jìn)自得信息安全狀態(tài)將信息安全風(fēng)險制在企業(yè)可接受得范圍之內(nèi),獲得企業(yè)有條件下與資源力范圍內(nèi)最大程得安全。在信息安全管理領(lǐng)分技術(shù)，七分理"得理念已經(jīng)被廣接受。結(jié)合IＳO／ＩEC2７０0１信息安全管理體，提出一個適合國中小企業(yè)得信安全管理得模型，用以指導(dǎo)國中小企業(yè)得信安全實踐并不斷高中小企業(yè)得安全管理能力。二、ISＯ270０1息安全管體系框架建ISO２7001信息安全理體系框架得搭建必按照適當(dāng)?shù)贸绦蜻M(jìn)行（如下圖所示先,各個組織應(yīng)該根據(jù)自身狀況來搭建適合身業(yè)務(wù)發(fā)展與信息安全需求得

ＩＳO27０01信息安全理體系框架，并在正得業(yè)務(wù)開展過程具體實施構(gòu)架得ＩSO27001信息安全管理體系。時在信息安全管理系得基礎(chǔ)上，建立各種與信息安管理框架相一致相關(guān)文檔、文件并對其進(jìn)行嚴(yán)格得管理。對在具體實施IＳO２700１信息安全管理體過程中出現(xiàn)得各種息安全事件與安全狀況進(jìn)行嚴(yán)得記錄,并建立格得反饋流程與度。(１）息安全略組織應(yīng)制定信息安策略（Inｆoｒｍａt(yī)iｏnSｅｃurｉｔyPolicy)對組織得信息安全提供管理方向與持。組織不僅要一個總體得安全略，而且，在總體策略得框架內(nèi)，根據(jù)險評估得結(jié)果，定更加具體得安方針，明確規(guī)定具體得控制規(guī)則,如“清桌面與清楚屏幕略”問控制策略”等。（2）圍組織要根據(jù)組織得性、地理位置、產(chǎn)與技術(shù)對信息全管理體系范圍(ｓcope)進(jìn)行界定組織信息安全管體系范圍包括以項目：

需保護(hù)得信息系統(tǒng)資產(chǎn)、技術(shù)。實物場所（地理位、部門（3)險評估組織需要選擇一個合其安全要求得險評估與管理方,然后進(jìn)行合乎規(guī)范得評估，識別前面臨得風(fēng)險及險等級;風(fēng)險評得對象就是組織得信息資產(chǎn),評估考慮得因素包括資產(chǎn)所得威脅、薄弱點及脅發(fā)生后對組織影響。無論采用何種險評估工具方法其最終評估結(jié)果就是一致得。(4)險管理組織應(yīng)根據(jù)信息安策略與所要求得全程度，識別所管理得風(fēng)險內(nèi)容.控制風(fēng)險包括識別需得安全措施,過降低、避免、移將風(fēng)險降至可接受得水平.風(fēng)險隨著程得更改、組織變化、技術(shù)得發(fā)及新出現(xiàn)得潛在威脅而變化。(5)制目標(biāo)控制方得選擇風(fēng)險評估之后,組應(yīng)從已有信息安技術(shù)中選擇適當(dāng)控制方法，包括額外得控制（組織增加得與法律法所要求得低已識別得風(fēng)險。（6)用性聲信息安全適用性聲記錄了組織內(nèi)相得風(fēng)險管制目標(biāo)針對每種風(fēng)險所采取得控制措施。得準(zhǔn)備，一方面為了向組織內(nèi)得工聲明對信息安全面對風(fēng)險得態(tài)度;另方面也就是為了向界表明組織得態(tài)與作為.三、IＳＯ27001息安全管體系實施方ＩSＯ2７0０1信息安全理體系（InｆorｍａｔｉonSecuritｙManaｇｅｍｅnｔＳystem）作為組織完整得管體系中得一個重環(huán)節(jié),構(gòu)成了信安全具有能動性得部分,就是指導(dǎo)與控制織得關(guān)于信息安風(fēng)險得相互協(xié)調(diào)活動,其針對對象就就是組織得信息資產(chǎn)了解信息安全管得方法，我們必先明確企業(yè)或組織得信息安全需求。一來說，企業(yè)得信安全需求主要有個來源，她們分別就是法律法規(guī)與合同約得要求；組織得原、目標(biāo)與規(guī)定;險評估得結(jié)果等。信息安全得成敗取于兩個因素:技與管理,人們常，三分技術(shù)，七分管理,可見管理信息安全得重要，我們可以把安技術(shù)比作信息安全得構(gòu)筑材料，那么安管理則就是真正得合劑與催化劑。實世界里，大多數(shù)安全事件得發(fā)生與安隱患得存在，與其說就是技術(shù)上得原，不如說就是管理善造成得,理解并重管理對于信息安得關(guān)鍵作用,對真正實現(xiàn)信息安全目標(biāo)來說尤其重要。息安全不就是產(chǎn)品簡單堆積,也不一次性得靜態(tài)過,它就是人員、技術(shù)、作這三種要素得密結(jié)合得系統(tǒng)工，就是不斷演進(jìn)、循環(huán)發(fā)展得動態(tài)過程。信息安全管理就是指與控制組織得關(guān)信息安全風(fēng)險得互協(xié)調(diào)得活動。首先應(yīng)該制定信息全得策略方針,就是信息安全管理導(dǎo)向與支持，在此基礎(chǔ)上選擇控制目標(biāo)控制方式,企業(yè)組織還需考慮控成本與風(fēng)險平衡得原則，將風(fēng)險降低到織可接受得水平整個管理過程需全員得參與,實施動態(tài)管理。實施安全理，還應(yīng)遵循管得一般模式——PDＣA模型。PDCA模型,即Plaｎ、Do、Cｈeck與Ａct,就是種持續(xù)改進(jìn)得管模式,見下圖所示.措施（）—-針對檢查結(jié)果取應(yīng)對措施，改安全狀況；計劃（）-—根據(jù)風(fēng)評估結(jié)果、法律規(guī)要求、組織業(yè)務(wù)運自身需要來確定控制目標(biāo)控制措施；實施（）——實施所選安全控制措施；檢查（Chｅck）—-依據(jù)略、程序、標(biāo)準(zhǔn)法律法規(guī)，對安措施得實施情況進(jìn)行符合性檢。PDＣＡ模型就是一種抽象得模型，把相關(guān)得資源與動抽象為過程進(jìn)管理,具有廣泛通用性.PDＣＡ就是順序依次進(jìn)行,依靠組織得力推動，周而復(fù)始不斷循環(huán),持續(xù)改,組織中得每個門與個人，在履相關(guān)職責(zé)時，都就是基于PDCA這個過程得,組織得內(nèi)部理,就構(gòu)成了大環(huán)套環(huán)層層遞進(jìn)得模，每一次循環(huán)結(jié)束，要對其進(jìn)行總結(jié)鞏固成績，改進(jìn)足，同時提出新得目標(biāo)，以便進(jìn)入下一更高級得循環(huán).IＳO2700０/ISＯ27001標(biāo)準(zhǔn)對于信息安全管理體系定義如下圖所示：ＩＳO２7001信息安全理可操作得一般過程相應(yīng)得活動包括確定組織得信息安目標(biāo)與戰(zhàn)略開發(fā)信息安全策略進(jìn)行風(fēng)險評估（RｉｓkAsｓessment確組織得信息安全需,具體活動包括：制定風(fēng)險評估計劃明確范圍與責(zé)任采集相關(guān)信息，述目標(biāo)系統(tǒng)識別并評價信息資，理解資產(chǎn)得價與敏感性；識別并評估威脅，解威脅發(fā)生得可性；識別并評價弱點,解弱點被利用得易程度；評估風(fēng)險，確定風(fēng)等級;評估并比較現(xiàn)有得全措施（控制出目標(biāo)與現(xiàn)狀之得差距；7）根據(jù)已經(jīng)明確得需求推薦安全措施。4、進(jìn)行風(fēng)險消減（RiskMiｔigaｔion體活動包括：確定風(fēng)險消減策略以便減少、規(guī)避轉(zhuǎn)嫁或接受風(fēng)險選擇安全措施（控制定安全計劃，明安全措施得構(gòu)建實施方案；實施安全計劃與策；對安全計劃與策略實施結(jié)果進(jìn)行測與檢查。5、進(jìn)行風(fēng)險控制(RｉskCoｎtrｏｌ體包括：信息系統(tǒng)得維護(hù)與作；安全意識、培訓(xùn)與育;對信息系統(tǒng)得運行安全措施得效力行監(jiān)視；事件響應(yīng);再評估與認(rèn)證。配置管理（ＣonfiguraｔionMaｎagement保系統(tǒng)發(fā)生得變化不會低安全措施得效力與織得整體安全。變更管理（ChａnｇeMａnaｇｅｍent信息系統(tǒng)發(fā)生化時，識別新得安全需求。應(yīng)急計劃(ContiｎgencyPｌaｎninｇ括業(yè)務(wù)連續(xù)性計劃、災(zāi)難復(fù)計劃等。對應(yīng)ＰCDA模型，信息安全目標(biāo)與略得確定、信息安全略開發(fā)以及風(fēng)險評估屬于計劃階（Ｐl(wèi)an險消減屬于實施段（Do險控制、配置管理、變更管理、急計劃以及安全識培訓(xùn)等活動都以歸入到檢查(Cｈecｋ）與施（Acｔｉon)段。我們所強調(diào)信息安全管理模式,由風(fēng)險驅(qū)動得信息安全管模式，就是對組織信息安全風(fēng)險進(jìn)控制與指導(dǎo)得相互協(xié)調(diào)得活動，風(fēng)險管理其中得核心。四、項目實施原本項目要求以安全詢?yōu)榛A(chǔ)，重點行安全規(guī)劃、安管理體系細(xì)化與周期性安全服務(wù)為。在服務(wù)過程中應(yīng)遵循以下原則標(biāo)準(zhǔn)性原則:方案得設(shè)計與實施依據(jù)國際標(biāo)準(zhǔn)ISＯ27001、數(shù)敏感、保密、國及行業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)行；規(guī)范性原則:服務(wù)提供商得工作程與所有文檔,具有很好得規(guī)范，以便于項目得跟蹤與控制;可控性原則:在保證項目質(zhì)量得提下，按計劃進(jìn)執(zhí)行，保證甲方于項目得可控性.信息安全調(diào)研得工、方法與過程要雙方認(rèn)可得范圍內(nèi)合法進(jìn)行;完整性原則：調(diào)研與規(guī)劃設(shè)計得圍與內(nèi)容應(yīng)完整覆蓋信息安全所及得技術(shù)與管理等各個層面，并對種完整性進(jìn)行說或論證，實施對也應(yīng)完整地覆蓋甲方信息系統(tǒng)得各個方；合理性原則:信息安全規(guī)劃設(shè)計須立足于甲方得實情況，設(shè)計方應(yīng)合乎邏輯，過程應(yīng)完備詳實,從確保結(jié)論就是可信得;可操作性原則：在信息安全架構(gòu)設(shè)中，應(yīng)根據(jù)信息全要求提出相應(yīng)解決方案,方案必須具體可行,易實際操作;最小影響原則:調(diào)研工作應(yīng)避免影系統(tǒng)與網(wǎng)絡(luò)得正運行,不能對現(xiàn)常運行得系統(tǒng)與網(wǎng)絡(luò)構(gòu)成破壞與造停產(chǎn)；保密性原則:調(diào)研得過程與結(jié)果嚴(yán)格保密，未經(jīng)方授權(quán),對項目及得任何信息不得泄露給第三方；經(jīng)濟(jì)性原則:方案得設(shè)計與實施在達(dá)到項目要求前提下,具有較得性價比與經(jīng)濟(jì)性；先進(jìn)性原則：方案得設(shè)計要具備進(jìn)性與前瞻性,統(tǒng)籌考慮甲方未五年得信息安全發(fā)展需求.五、項目階段及容服務(wù)項目階段過程主要任務(wù)主要內(nèi)容ISO２70０1咨詢服務(wù)準(zhǔn)備確定ISＭS范圍業(yè)務(wù)戰(zhàn)略及規(guī)劃一致性析ISO2７0０1咨詢服務(wù)準(zhǔn)備確定IＳMS范圍法規(guī)制度符合性分析ＩSO27001咨詢服務(wù)準(zhǔn)備確定ISMＳ范圍業(yè)務(wù)運營影響分析ISO2700１咨詢服務(wù)準(zhǔn)備確定ISMS范圍確定IＳＭS范圍ISO27０01咨詢服務(wù)準(zhǔn)備確定信息安全總體方針政策業(yè)務(wù)及系統(tǒng)初步安全需分析ISO2７00１咨詢服務(wù)準(zhǔn)備確定信息安全總體方針政策確定ISMS總體方針政策IＳO２7００１咨詢服務(wù)準(zhǔn)備定義風(fēng)險評估與管理方法確定風(fēng)險評估模型及相指標(biāo)準(zhǔn)則IＳＯ27001咨詢服務(wù)準(zhǔn)備定義風(fēng)險評估與管理方法制定風(fēng)險評估與管理程ＩSＯ270０1咨詢服務(wù)準(zhǔn)備項目準(zhǔn)備制定實施計劃ISO27001咨詢服務(wù)準(zhǔn)備項目準(zhǔn)備組建項目組ISO２7001咨詢服務(wù)準(zhǔn)備項目準(zhǔn)備整理開發(fā)工具/模板ISO27001咨詢服務(wù)準(zhǔn)備項目準(zhǔn)備項目啟動會IＳO2７001咨詢服務(wù)準(zhǔn)備項目準(zhǔn)備培訓(xùn)ISO27００1咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析問卷調(diào)查ISO２７0０1咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析現(xiàn)場訪談ISO2７001咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析手工檢測ISO2７001咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析安全掃描ＩSＯ270０１咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析滲透測試ISＯ２7０01咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析綜合分析ISＯ27001咨詢服務(wù)風(fēng)險評估現(xiàn)狀分析撰寫報告IＳO2700１咨詢服務(wù)風(fēng)險評估風(fēng)險評價資產(chǎn)評價IＳO2700１咨詢服務(wù)風(fēng)險評估風(fēng)險評價威脅評價ＩSO２7０01咨詢服務(wù)風(fēng)險評估風(fēng)險評價弱點評價ISO2７001咨詢服務(wù)風(fēng)險評估風(fēng)險評價風(fēng)險評價ISＯ2７001咨詢服務(wù)風(fēng)險評估風(fēng)險評價撰寫風(fēng)險評估報告IＳO２7001咨詢服務(wù)風(fēng)險評估風(fēng)險處置選擇風(fēng)險處置方式ISO2700１咨詢服務(wù)風(fēng)險評估風(fēng)險處置選擇安全控制措施ISO270０1咨詢服務(wù)風(fēng)險評估風(fēng)險處置制定風(fēng)險處置計劃IＳO27０01咨詢服務(wù)風(fēng)險評估風(fēng)險處置殘余風(fēng)險分析ISO２７00１咨詢服務(wù)安全體系規(guī)劃與設(shè)計安全體系規(guī)劃任務(wù)或項目分解ISＯ27０0１咨詢服務(wù)安全體系規(guī)劃與設(shè)計安全體系規(guī)劃任務(wù)或項目實施規(guī)劃IＳO２７001咨詢服務(wù)安全體系規(guī)劃與設(shè)計安全體系規(guī)劃撰寫規(guī)劃報告ISＯ２7０01咨詢服務(wù)安全體系規(guī)劃與設(shè)計編寫安全體系文檔確定ＩSMS文件清單制定ISMS文件編寫計劃編寫IＳMS文件ＩSMS文件評審安全體系實施、調(diào)整、評審體系實施體系批準(zhǔn)安全體系實施、調(diào)整、評審體系實施制定實施工作計劃安全體系實施、調(diào)整、評審體系實施建立安全管理組織安全體系實施、調(diào)整、評審體系實施體系培訓(xùn)安全體系實施、調(diào)整、評審體系實施體系實施安全體系實施、調(diào)整、評審體