發布時間：2017-10-09 23:48 分類：ISO27001信息安全管理體系

內容摘要：ISO27001信息安全管理體系認證咨詢（下）ISO27001信息安全管理體系風險評估：現狀分析        通過問卷調查、訪談、檢查及測試等多種方式盡可能多 ...

ISO27001信息安全管理體系認證咨詢（下）

ISO27001信息安全管理體系風險評估：

現狀分析

        通過問卷調查、訪談、檢查及測試等多種方式盡可能多的收集信息系統及安全管理相關 信息，對收集到的信息進行綜合分析和整理，形成差距分析報告和現狀報告。

主要工作任務及內容（活動） 

1) 問卷調查 對 ISMS 范圍內的相關人員進行問卷調查，了解組織人員的安全管理意識、組織面臨的 主要威脅情況以及發生的主要安全事件。

2) 現場訪談 面對面訪談信息系統架構、部署以及安全弱點、管理及技術措施等。 

3) 手工檢測 人工檢查或測試系統的安全管理落實情況。 

4) 安全掃描 使用自動化工具進行網絡、操作系統、數據庫或應用系統掃描。       

5) 滲透測試 對網絡、操作系統、數據庫或應用系統實施滲透測試，可選。         

6) 綜合分析 對問卷調查、現場訪談、手工檢測、安全掃描收集的信息進行綜合分析。 

7) 撰寫報告 撰寫差距分析報告和現狀報告。

主要工作方式/方法（工作方式、職責劃分、工作方法）

現狀分析的目的是收集信息系統及安全管理的相關信息，所采用的手段包括：問卷調查、 現場訪談、檢查與測試等，在進行現狀分析前需要準備完成相關的現狀調研及分析工具模板。 具體包括：

1) 調查問卷

2) 現場訪談表

3) 人工檢測表

4) 自動掃描工具等

其中調查問卷需要根據 ISMS 范圍內的人員崗位分別定制，現場訪談表、人工檢測表需 要根據網絡及系統平臺類別分別定制。

各種主要手段功用及工作底稿描述如下：

1) 問卷調查主要用于信息安全管理意識、安全威脅及相關安全事件了解。問卷調查的工作底稿主要是問卷答卷。

2) 現場訪談主要了解物理、網絡、操作系統、數據庫系統、應用系統的基本信息以及其安全管理設計情況?，F場訪談工作底稿包括：訪談計劃、訪談結果記錄等。

3) 人工檢測表主要用于核查安全管理的落實情況，檢查或測試各類網絡設備、操作系統、數據庫系統、應用系統的安全實現情況。工作底稿主要是檢測結果記錄。

4) 自動掃描主要用于對網絡設備、操作系統、數據庫系統或應用系統的進行自動化掃描。工作底稿包括：掃描計劃、掃描原始記錄、掃描報告等。

5) 滲透測試主要對網絡設備、操作系統、數據庫系統或應用系統的實施滲透。工作底稿包括：滲透測試計劃、滲透測試記錄、滲透測試報告等。

現狀分析的過程如下（圖6）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

風險評價

        依據確定的風險評估模型與方法，對現狀分析階段識別出的資產、威脅、弱點以及由此 而形成的資產綜合風險進行分析評價，形成風險評估報告。

主要工作任務及內容（活動） 

1) 資產評價 評估資產價值。 

2) 威脅評價 評估威脅發生可能性。 

3) 弱點評價 評估弱點嚴重程度。 

4) 風險評價 綜合資產評價、威脅評價、弱點評價結果評估資產面臨的風險。 

5) 風險評估報告 形成風險評估報告。

主要工作方式/方法（工作方式、職責劃分、工作方法）    

風險評價充分利用了現狀分析階段收集的資產、威脅、弱點以及安全控制的相關信息，按照確定風險評估模型及方法，評估資產面臨的風險。

 風險評價過程如下（圖7）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

風險處置

        根據風險處置標準，確定風險處置方式。對于那些需要控制的風險，需要選擇安全控制措施，制定風險處置計劃，進行殘余風險分析。

主要工作任務及內容（活動） 

1) 選擇風險處置方式

根據確定的風險接受準則，選擇風險處置方式，如：接受、控制、轉移、規避等。 

2) 選擇安全控制措施

對于確定為控制的風險，選擇   ISO27002   中的或其它的安全控制措施。      

3) 制定風險處置計劃

對確定為控制的風險，制定相應的風險處理計劃，包括任務、人員、時間安排 。

4) 殘余風險分析

分析控制實施后的殘余風險。

主要工作方式/方法（工作方式、職責劃分、工作方法） 

風險處置方法一般包括風險接受、風險控制、風險轉移、風險規避四種。

風險接受：包括低于一定的風險水平本身就可接受的風險，或者那些不可避免，而且技術上、資源上不可能采取對策來降低，或者降低對組織來說不經濟的風險。

風險控制：采用適當的控制以降低風險：包括降低安全事件發生的可能性或者降低安全事件影響兩個方面，這時風險處置的重點。

風險轉移：將風險和其他的利益方分擔，避免自己承擔全部損失。例如保險和其他的風險分擔合同。

風險規避：通過避免開展某項業務、活動或使用某項不成熟的產品技術等來回避可能產生的風險，通常這些業務、活動不是組織的核心內容。

        對于選擇為接受的風險，根據 ISO27001 要求，需要獲得管理者的批準，并對這些風險進行監視，一旦風險狀態或者控制條件發生變化需要重新評估風險并識別和評價風險處理的 方法。

        對于選擇為控制的風險，可以從 ISO27002 中選擇降低風險的控制措施，包括信息安全方針、安全組織、資產分類和控制、人員安全、物理和環境安全、通信和操作管理、訪問控制、信息系統的獲取及開發和維護、安全事件管理、業務連續性管理、符合性十一大方面。 這些控制可以從降低安全事件發生的可能性或者降低安全事件影響兩個方面來降低風險。

        在選取控制措施后，還需要針對這些風險制定風險處置計劃，風險處置計劃是針對風險評估所 識別的不可接受風險而制定的風險處理辦法和進度表, 風險處置計劃中應詳細的列出：

1） 所選擇的處理方法；

2） 當前已有控制；

3） 建議實施的控制；

4） 實施時間及人員安排等。 

        最后針對實施處置計劃后的資產殘余風險進行分析，要么由管理層批準接受殘余風險，要么 繼續選擇控制措施，制定處置計劃，直到管理層批準接受殘余風險。

        此外組織在采取“風險規避”或者“風險轉移”的處理方法時，應該注意其局限性，而 且可能因此而引入新的風險。

風險處置過程如下（圖8）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

4安全體系規劃與設計

安全體系規劃

        對于大型組織而言，由于 ISMS 涉及范圍廣，建立完善的信息安全管理體系將是一個長 期的過程，因此需要規劃信息安全管理體系建設的任務及過程，形成信息安全管理體系建設規劃報告，分階段分步驟建設信息安全管理體系。對于 ISMS 范圍較小的組織，在風險評估后可以跳過本階段而直接進入安全體系文檔設計階段。

主要工作任務及內容（活動） 

1) ISMS 建設任務或項目分解

將資產風險處置結果轉換為任務或項目。 

2) 安全任務或項目實施規劃

規劃任務或項目的實施計劃。

3) 撰寫規劃報告

綜合前面分析形成規劃報告

主要工作方式/方法（工作方式、職責劃分、工作方法）   

在進行信息安全管理體系建設規劃時首先要分析上一階段得出的資產風險處置結果，將需要增加或改進的措施分解成一項項任務或項目，明確每個任務或項目的目標、工作內容及實施優先級，然后根據任務或項目的實施優先級規劃這些任務或項目的實施時間、實施范圍 及參與人員。

在確定任務或項目的實施優先級時需要使用規劃方法模型指標。 

安全體系規劃流程如下（圖9）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

編寫安全體系文檔

        按照風險評估或安全體系規劃結果，編寫信息安全管理體系文檔，包括 1、2、3、4 級 文檔、技術方案等。

主要工作任務及內容（活動） 

1) 確定 ISMS 文件清單

根據風險評估及規劃結果確定需要的 ISMS 文件清單。 

2) 制定 ISMS 文件編寫計劃

3) 編寫 ISMS 文件

按計劃編寫 1、2、3、4 級文檔、技術方案等。

4)ISMS 文件評審

討論評審 ISMS 文件或技術方案。

主要工作方式/方法（工作方式、職責劃分、工作方法）

ISMS 文檔包括與安全相關的管理制度/流程/標準/指南/操作手冊/模板以及相關技術方案等。一般分為四級文件，分別是：

一級文件：ISMS 總體文件，包括：

 總體安全方針政策

 安全管理手冊

 適用性聲明（SOA）

二級文件：ISMS 通用程序，主要包括：

 文件控制程序

 記錄控制程序

 內部審核管理程序

 管理評審管理程序

 預防及不符合糾正控制程序

 信息安全風險評估與管理程序

三級文件：專項安全處理程序、操作指南、操作手冊等。

 各種專項信息安全策略（含管理規定、辦法、制度等）

 各種信息安全處理流程/程序

 各種信息安全標準/指南/操作手冊

四級文件：運行 ISMS 所用到的記錄、模板等。 

本任務過程如下（圖10）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

5安全體系實施、調整、評審

體系實施

        按照 ISMS 文件，落實安全管理組織，部署安全控制措施，運行安全控制程序。

主要工作任務及內容（活動） 

1) 體系批準

2) 制定實施計劃

3) 建立安全管理組織

4) 體系培訓

5) 體系實施

6) 實施總結

主要工作方式/方法（工作方式、職責劃分、工作方法）

在實施和運行 ISMS 前，需要獲得最高管理者批準授權。最高管理者需要任命 ISMS 管理者代表、簽署 ISMS 文檔。此外還必須按照ISMS 體系要求建立安全管理組織，進行 ISMS 培 訓。

對于大型組織，ISMS 實施可以采用先試點、后推廣分階段進行。 

實施過程如下（圖11）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

體系調整

        根據 ISMS 的實施、運行及評審情況，調整ISMS的設計與部署。

主要工作任務及內容（活動） 

1) 制定調整計劃

2) 實施體系調整

主要工作方式/方法（工作方式、職責劃分、工作方法）

在 ISMS 實施或者評審完成后，可以根據實施情況或者評審報告，對實施及運行過程中發現的ISMS 設計與部署問題進行整改。

體系調整過程如下（圖12）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

體系評審

        對 ISMS 的實施及運行情況進行評審，包括 ISMS 內部審核和ISMS管理評審。

主要工作任務及內容（活動） 

1) 內部審核

2) 管理層評審

主要工作方式/方法（工作方式、職責劃分、工作方法）    

在ISMS 實施并運行一段時間后應該按照 ISO27001 要求，對ISMS 進行內部審核和管理評審，為ISMS 的外部認證審核做好準備。

ISMS 內部審核的目的是確定已經實施并運行的 ISMS 的控制目標、控制措施、過程和程序是否：

符合 ISO27001 的要求和相關法律法規的要求；

符合已識別的信息安全要求；

得到有效地實施和維護；

按預期執行。

內部審核一般有六個主要步驟，即確定任務、審核準備、審核的實施、編寫不符合報告、糾正措施的跟蹤、全面審核報告的編寫和糾正措施完成情況的匯總分析（具體過程參見 ISMS 內部審核服務）。

管理評審的目的是確保ISMS 的適宜性、充分性和有效性。評審應包括評價ISMS 改進的機會和變更的需要，包括安全方針和安全目標，評審的結果應清晰地形成文件，記錄應加以 保持。

內部審核需要將 ISMS 文件、體系實施報告及體系運行記錄作為輸入。管理評審則以內部審核報告結果作為主要輸入。

體系評審過程如下（圖13）：

各方參與情況見下表：

主要輸入

主要輸出

主要工具/模板

6項目主要任務及活動列表/文檔列表

主要任務及活動列表

項目主要文檔列表

原標題：ISO27001信息安全管理體系認證咨詢（下）

分享：http://www.facetimeforwindowspc.com/a_231.html