發布時間：2017-10-09 23:39 分類：ISO27001信息安全管理體系

內容摘要：ISO27001信息安全管理體系認證咨詢（上）ISO27001信息安全管理體系概述：ISO27001信息安全管理體系認證咨詢服務階段流程如下圖（圖1）：      &nb ...

ISO27001信息安全管理體系認證咨詢（上）

ISO27001信息安全管理體系概述：

ISO27001信息安全管理體系認證咨詢服務階段流程如下圖（圖1）：

        實踐證明，按照 BS7799/ISO27001的要求在組織內部建立并運行信息安全管理體系（ISMS），強化信息安全管理體系的運行審核和管理評審，不斷改進優化組織的ISO27001信息安全管理體系，是處理組織信息安全問題有效手段之一。

        根據 BS7799/ISO27001要求，在建立、實施、運行、監控、評審、保持與改進組織 ISMS 時采用 PDCA 的過程模型，即首先依據組織的信息安全總體方針政策，通過對 ISMS 涉及范圍內的所有信息資產進行風險評估，選取合適的安全控制措施，建立包括安全策略、控制程序、 操作指南/手冊在內的文件化的信息安全管理體系，然后在組織內部實施并運行 ISMS 信息安全策略、控制程序及措施，并通過 ISMS 運行監控、內部審計及管理評審，發現 ISMS 存在的 問題及弱點，及時采取適當的糾正或預防措施，實現 ISMS 的持續改進。

        信息安全管理體系咨詢服務的目的就是根據 ISO27001 標準的要求，采用 PDCA 的過程模 型，通過基于資產的風險評估，幫助客戶建立文件化的ISO27001信息安全管理體系，輔導客戶在其組織范圍內實施、運行、評審信息安全管理體系，從而確?？蛻粜畔⑾到y的正常運行，提高服務競爭力，最終促進客戶業務的開展。

        如上圖所示，ISO27001信息安全管理體系建設咨詢服務包括準備、風險評估、安全體系規劃與設 計、安全體系實施/調整/評審四個階段，各個階段說明如下:

第一階段：準備

        準備階段主要完成信息安全管理體系建設項目的前期準備工作。包括四個工作任務，分別是：

1) 確定 ISMS 范圍

根據組織業務需要確定 ISMS 涵蓋的范圍，包括地理位置、部門或信息系統等。

2) 確定信息安全總體方針政策

分析 ISMS 范圍內的業務及系統安全需求，確定 ISMS 的總體方針政策。

3) 定義風險評估與管理方法

確定風險評估模型，確定風險評估指標，定義風險評估及管理程序。

4) 項目準備

制定實施計劃、成立項目組、整理開發相關工具模板、召開啟動會，進行項目背景知識培訓等。

第二階段：風險評估

        分析 ISMS 范圍內的信息安全現狀，針對 ISMS 范圍內的所有信息資產，識別并評價其面臨的安全風險，提出對應的控制措施。包括三大工作任務，分別為：

1) 現狀分析

通過訪談、檢查及測試了解 ISMS 范圍內的信息安全現狀，形成現狀報告，并將獲取的安全現狀與 ISO27002 中的安全控制措施進行差距分析。

2) 風險評價

按照確定的風險評估模型，評價現狀分析階段識別的資產、威脅及弱點，確定資產風險等級。

3) 風險處置

確定風險處置方式，選擇安全控制措施，制定風險處置計劃，進行殘余風險分析。

第三階段：安全體系規劃與設計

        根據差距分析和風險評估結果規劃安全體系建設任務，落實本期建設規劃。包括兩大工作任務，分別為：

1) 安全體系規劃

規劃信息安全體系建設項目、任務、計劃等。

2) 編寫安全體系文檔

設計信息安全體系管理文檔或技術方案。

第四階段：安全體系實施、調整、評審

        落實信息安全管理措施，部署信息安全技術措施，運行信息安全管理體系，改進信息安全管理體系不足，按照 ISO27001 要求進行信息安全管理體系內部審核和管理評審。包括三 大工作任務，分別為：

1) 體系實施

落實或部署信息安全管理體系的相關管理及技術措施，運行信息安全管理體系。

2) 體系調整

針對實施和運行中存在的問題，對信息安全管理體系進行調整改進。

3) 體系評審

按照 ISO27001 要求進行信息安全管理體系內部審核和管理評審。

2準備

確定 ISMS 范圍

        根據組織的業務特征、組織結構、地理位置、資產和技術定義 ISMS 范圍和邊界。

主要工作任務及內容（活動）          

1) 信息安全與業務戰略及規劃一致性分析

針對組織內部安全狀況與組織業務戰略及規劃一致性的分析，主要從客戶、合作方等外部角度考慮 ISMS 需要涵蓋的范圍。

2) 信息安全與相關法規/制度符合性分析 

針對組織內部安全狀況與法律/法規/制度符合性的分析，主要從合規性方面考慮 ISMS 范圍需要涵蓋的范圍。

3) 信息安全與業務運營影響分析

 針對組織內部安全狀況對業務運營影響的分析，主要從內部風險管理角度考慮 ISMS 需要涵蓋范圍。

4) 確定 ISMS 范圍

根據上述分析結果確定 ISMS 范圍（包括涉及的物理位置、業務[流程]、部門、系統等）。

主要工作方式/方法（工作方式、職責劃分、工作方法）

        組織要建立信息安全管理體系，首先需要劃定其范圍。確定 ISMS 的過程如下（圖2）：

        信息安全管理體系是為保障組織信息系統而建立的，而ISO27001信息系統建設與運行的目標是確保組織業務目標的實現，因此信息安全管理體系建設的最終目的是確保組織業務目標的實 現。所以確定 ISMS 范圍時需要從內部業務需求和外部合規性要求出發，對信息安全與組織業務發展戰略及規劃的一致性、信息安全與與相關法規/制度的符合性、信息安全對業務運營的影響進行綜合分析形成與業務目標相一致的 ISMS 范圍。

        應該對確定的 ISMS 范圍進行書面說明（可以放在信息安全管理手冊或總體方針文件 中），對 ISMS 涉及的部門，位置、業務以及主要資產（主要信息系統或設備）進行描述。

 各方參與情況見下表：

主要輸入

主要輸出

主要根據/模板

確定信息安全總體方針政策

       分析 ISMS 范圍內的業務及系統安全需求，確定 ISMS 的總體方針政策。

主要工作任務及內容（活動）   

1) 業務及系統初步安全需求分析

根據組織業務及系統特點進行初步安全需求分析，形成總體安全需求。 

2) 確定 ISMS 總體方針政策

在初步安全需求分析結果基礎上，確定組織信息安全的總體方針政策，包括 ISMS 范圍、 總體目標、安全組織結構、安全管理框架。

主要工作方式/方法（工作方式、職責劃分、工作方法）

        在進行信息安全管理體系建設前，應該制定組織的信息安全總體方針政策，設定信息安全的總體目標，明確信息安全管理職責，建立信息安全總體框架，為相關活動指明總的方向和原則。信息安全總體方針政策是建立、實施、運作、監視、評審、保持并持續信息安全管 理體系的基礎，需要獲得最高管理者的批準。

        制定組織信息安全總體方針政策時可以首先針對組織業務及系統特點進行初步的安全需求分析，考慮包括業務及法規制度合同要求在內的安全需求，形成安全需求框架。

確定信息安全總體方針政策的過程如下（圖3）：

        確定的信息安全總體方針政策應該文件化，并由最高管理者簽發。信息安全總體方針政策文件需要包含如下內容：

組織信息安全的定義、總體目標、范圍等；

組織信息安全的重要性（如何保障業務目標實現）；

管理層承諾與支持；

信息安全體系框架（如何實現組織信息安全）；

對組織尤其重要的特殊方針、原則、標準及符合性要求簡短說明，如：法律法規要求、業務持續性管理、教育與培訓以及違反策略的后果等；

信息安全管理組織架構、職責、安全管理方法等；

引用的支撐策略或管理制度。 

        各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

定義風險評估與管理方法

        確定信息安全風險評估模型，定義風險評估程序、建立風險評估指標及風險接受準則。

主要工作任務及內容（活動）

1) 確定風險評估模型及相關指標準則 

定義組織風險評估方法及風險接受準則等。

2) 制定風險評估與管理程序

按照確定的風險評估方法及風險接受準則，形成文件化的風險評估與管理程序。

主要工作方式/方法（工作方式、職責劃分、工作方法）

        在確定了 ISMS 的范圍和總體方針之后，需要確定一種適合組織的風險評估模型，建立風險評估指標及風險接受準則。并且需要按照確定的風險評估方法及風險接受準則，形成文件化的風險評估及管理程序。具體內容包括：

定義風險評估模型；

定義資產類別；

定義威脅類別；

定義弱點類別；

定義風險處置方式；

確定風險接受準則；

確定風險計算方式；

各種指標值及描述。 定義風險評估與管理方法過程如下（圖4）：

       各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板 

項目準備

        按照 ISMS 建設范圍及進度要求，制定有關實施計劃，組建項目組，落實人員安排，整理或開發 ISMS 建設所需的表格/工具/模板，召開啟動會，并按照實際需要對相關人員進行項目背景知識培訓，完成 ISMS 建設項目的前期準備工作。

主要工作任務及內容（活動）

1) 制定實施計劃

制定項目實施計劃，主要是下一階段的風險評估計劃。 

2) 組建項目組

落實項目人員安排及其職責。

3) 整理開發工具/模板

開發或定制各種表格、工具及模板，包括各種問卷，表格，檢查及測試程序與模板等。

4) 項目啟動會

正式啟動項目。

5) 培訓

按照需要進行項目背景知識培訓，包括 BS7799/ISO27001知識培訓，項目實施過程/方 法/工具培訓等。

主要工作方式/方法（工作方式、職責劃分、工作方法） 

        項目準備主要包括制定項目（下一階段）實施計劃，組建項目組，整理開發工具模板，召開啟動會，實施項目培訓等。 項目準備過程如下（圖5）：

3風險評估

4安全體系規劃與設計

5安全體系實施、調整、評審

6項目主要任務及活動列表/文檔列表

ISO/IEC27000

ISO/IEC27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎和術語），屬于A類標準。ISO/IEC27000提供了ISMS標準族中所涉及的通用術語及基本原則，是ISMS標準族中最基礎的標準之一。ISMS標準族中的每個標準都有“術語和定義”部分，但不同標準的術語間往往缺乏協調性，而ISO/IEC27000則主要用于實現這種協調。

原標題：ISO27001信息安全管理體系認證咨詢（上）

分享：http://www.facetimeforwindowspc.com/a_230.html