信息安全管理体系实施指南-ISO 27003_2009_CN

文档正文


概要信息

本文档为 PDF 格式,共计 86 页,售价为 5.00 元(人民币),由本站用户 zhh 于 2019-03-31 日上传。


内容摘要

信息技术-安全技术 信息安全管理体系实施指南 (Information technology — Security techniqes — Information security management system implementation guidance) (ISO/IEC CD 27003) (2009-12-29 ) 作者 刘斌 版本 V2.1 备注:该文本为 ISO 27003 2008-06-12 英文版 翻译版,文档中还有一些不足之处(附录未认真 翻译)请提出宝贵意见,以便相互学习和进步。 刘斌: MSN:liubin_rocn@hotmail.com QQ:547051328 目录 1 范围....................................................................... 6 2 引用的标准文件............................................................. 6 3 术语和定义................................................................. 6 4 本标准的结构............................................................... 6 4.1 总则................................................................. 6 4.2 图表................................................................. 7 4.2.1 图形符号....................................................... 7 4.2.2 部署与图表..................................................... 9 4.3 ISMS 实施总图 ........................................................ 9 4.4 总说明.............................................................. 10 4.4.1 实施考虑事项.................................................. 10 4.4.2 中小企业(SME)的考虑事项....................................... 11 5 获得管理者对实施 ISMS 的正式批准........................................... 12 5.1 管理者对实施 ISMS 正式批准的概要 ..................................... 12 5.2 定义 ISMS 的目标、信息安全需要和业务要求 ............................. 14 5.3 定义最初的 ISMS 范围................................................. 16 5.3.1 ISMS 范围的概要 ............................................... 16 5.3.2 角色和责任的定义.............................................. 16 5.4 创建业务框架与项目启动计划.......................................... 18 5.5 获得管理者对实施 ISMS 的正式批准和承诺 ............................... 19 6 定义 ISMS 范围和 ISMS 方针.................................................. 22 6.1 定义 ISMS 范围和 ISMS 方针的概要 ...................................... 22 6.2 定义组织的边界...................................................... 24 6.3 定义信息通信技术边界................................................ 25 6.4 定义物理边界........................................................ 25 6.5 完成 ISMS 范围边界................................................... 26 6.6 开发 ISMS 方针....................................................... 27 7 进行业务分析 .............................................................. 29 7.1 业务分析的概要...................................... 错误!未定义书签。 7.2 定义支持 ISMS 的信息安全要求......................... 错误!未定义书签。 7.3 创建信息资产清单.................................... 错误!未定义书签。 7.4 产生信息安全评估.................................... 错误!未定义书签。 8 进行风险评估.............................................. 错误!未定义书签。 8.1 风险评估概要........................................ 错误!未定义书签。 8.2 风险评估描述........................................ 错误!未定义书签。 8.3 进行风险评估........................................ 错误!未定义书签。 8.4 计划风险处理和选择控制措施.......................... 错误!未定义书签。 8.4.1 风险处理和控制措施选择概要 .................... 错误!未定义书签。 8.4.2 识别风险处理选择方案.......................... 错误!未定义书签。 - 2 - 8.4.3 选择控制目标和控制措施........................ 错误!未定义书签。 9 设计 ISMS ................................................................. 43 9.1 设计 ISMS 概要 ....................................... 错误!未定义书签。 9.2 设计组织的安全...................................... 错误!未定义书签。 9.2.1 组织的安全概要................................ 错误!未定义书签。 9.2.2 角色和责任.................................... 错误!未定义书签。 9.2.3 方针开发框架.................................. 错误!未定义书签。 9.2.4 报告和管理评审................................ 错误!未定义书签。 9.2.5 规划审核...................................... 错误!未定义书签。 9.2.6 意识.......................................................... 55 9.3 设计 ICT 安全和物理安全 .............................. 错误!未定义书签。 9.4 设计监视和测量...................................................... 58 9.4.1 监视和测量的概要.............................. 错误!未定义书签。 9.4.2 设计监视...................................... 错误!未定义书签。 9.4.3 设计信息安全测量程序.......................... 错误!未定义书签。 9.4.4. 测量 ISMS 的有效性............................ 错误!未定义书签。 9.5 ISMS 记录的要求 ..................................... 错误!未定义书签。 9.5.1 ISMS 记录的概要 ............................... 错误!未定义书签。 9.5.2 文件要求的控制................................ 错误!未定义书签。 9.5.3 记录要求的控制................................ 错误!未定义书签。 9.6 产生 ISMS 实施计划................................... 错误!未定义书签。 10 实施 ISMS ................................................ 错误!未定义书签。 10.1 ISMS 实施概要 ...................................... 错误!未定义书签。 10.2 执行 ISMS 实施项目.................................. 错误!未定义书签。 10.2.1 执行 ISMS 实施项目概要........................ 错误!未定义书签。 10.2.2 角色和责任................................... 错误!未定义书签。 10.2.3 沟通......................................... 错误!未定义书签。 10.2.4 协调......................................... 错误!未定义书签。 10.2.5 变更......................................... 错误!未定义书签。 10.3 监视的实施......................................... 错误!未定义书签。 10.4 ISMS 程序和控制文件................................ 错误!未定义书签。 10.5 ISMS 测量程序文件 .................................. 错误!未定义书签。 参考书目.................................................................... 78 附录 A ...................................................................... 79 附录 B ...................................................................... 81 - 3 - 前言 ISO(国际标准化组织)和 IEC (国际电工委员会)是专业的世界性标准发布者。ISO 或 IEC 成员的国家,通过各自组织为处理特定技术活动领域所设立的技术委员会,参与开发 国际标准。ISO 和 IEC 技术委员会协调合作领域的共同利益。与 ISO 和 IEC 保持联系的其它 国际组织(官方的或非官方的)也可参加有关工作。在信息技术领域,ISO 和 IEC 已经设立 了一个联合技术委员会,ISO/IEC JTC 1。 国际标准遵照 ISO/IEC 导则第 2 部分的规则起草。 本文件的某些要素有可能涉及一些专利权问题,对此应引起注意。ISO 不负责识别任 何专利权的问题。 ISO/IEC 27003 是由信息技术-安全技术 SC 27 小组委员会 ISO/IEC JTC 1 技术委员会 制定的。 - 4 - 引言 本标准的目的是为基于 ISO/IEC 27001 的信息安全管理体系(ISMS)提供实用指导。 ISO/IEC 27001 在一个组织内为业务提供信息化管理。信息安全的目的在于: a) 保护信息免受各种不同的威胁(例如:故障、信息与服务的损失、盗窃和间谍); b) 支持符合法律、法规和合同的安全要求; c) 维护连续性; d) 最小化损害; e) 促进效率。 本标准旨在支持信息安全管理的过程,确保相关利益方的信息资产(包括信息过程)满 足该组织所定义的可接受的风险级别。 本标准所描述的实施过程已经进行了设计,以提供: a) 说明以一套基础方针、程序和控制措施所表示的组织的信息安全管理体系; b) 持续改进的基础; c) 基于业务目标、当前情况差距分析和风险分析的结果考虑时的协调框架。 本标准不包括 ISMS 的运行或监视。ISMS 的最终实施是一个有关技术层面和组织层面 上的实施项目,那里,需要应用项目管理原理和方法论(见“ISO 项目管理标准”)。 采用 ISMS 是商业与公共管理组织(包括公司、公营机构和慈善团体等)的一项战略性决 策。随着 IT 的使用和依赖性的增长,对实施 ISMS 的决定和承诺十分关键。 - 5 - 1 范围 信息技术-安全技术 信息安全管理体系实施指南 本国际标准依照 ISO/IEC 27001,为建立和实施信息安全管理体系提供实用指导。本文 件描述 ISMS 的实施,聚焦于从最初批准 ISMS 在组织内实施到 ISMS 运行的开始,相当于 ISMS PDCA 周期的“P”和“D”阶段。 本文件包括有关运行、监视、评审和改进设计活动的解释,虽然这些活动本身不在实施 的范围。 本标准适用于所有商业规模和类型的所有组织(例如,商业企业、政府机构、非赢利组 织)。本标准旨在为依照 ISO/IEC 27001 实施信息安全管理体系的组织使用,以及为安全专 业人员提供指导。 风险管理或测量等有关方面的主题覆盖于 ISMS 标准族的其它标准,并被适当引用。 2 引用的标准文件 下列引用文件对于本文件的应用是必不可少的。凡是注有日期的引用文件,只是引用的 版本。凡是不注有日期的引用文件,其最新版本(包括任何修改)适用于本标准。 (cid:122) ISO/IEC 27001, 信息安全管理体系 - 要求 3 术语和定义 为了本文件的目的,以下的术语和定义适用于本标准: (cid:122) ISO/IEC 27001, 信息安全管理体系 – 概述与词汇 (cid:122) ISO/IEC 27001, 信息安全管理体系 - 要求 4 本标准的结构 4.1 总则 本文件描述信息安全管理体系的实施。实施是一个时间性的活动,而本文件描述为项目 活动。实施项目分为多个不同阶段,而每一个阶段在本文中也是一个单独的条款。 每一个 ISMS 实施阶段包含: (cid:122) 一个要达到的目标; (cid:122) 一个或多个为达到该阶段目标所必需的活动。 活动描述按以下内容结构进行: - 6 - 活动 定义满足全部或部分该阶段目标所必需的特殊活动。 输入 描述每一个活动的开始点,例如现有形成文件的决定,或来自于其它ISMS实施活动的输 出。 实施指南 提供更加详细的信息,以支持该实施阶段的目的和达到该阶段的目标。虽然组织的规模 和ISMS范围的最终规模要影响活动的复杂性,但是每一个活动所必需的输出都是同样不依赖 这些因素。 输出 描述该活动的结果或可交付的完成产品,例如文件。 其它信息 提供可能有助于达到该阶段目标的补充信息,例如对其它标准的引用文件或另外的SMEs 指南。不是所有活动都有其它信息。 整个项目应使用一个图表,图示各个不同的阶段及其输出。而每一个阶段也要有图表, 以图示出该阶段内的各个不同工作块。ISMS的实施包括来自其它ISMS系列标准的支持。这些 标准在适当时也可作为引用文件,并作为有用的输入在图表中进行描述。 4.2 图表 4.2.1 图形符号 图 1 提供本文件后面的流程图所使用的图形符号。这些图形为实施 ISMS 提供很形象的 指导和过程。 - 7 - 图 1 流程图图形 在本国际标准中,流程图的图形排列是基于以下结构概念: (cid:122) 矩形框(无阴影的): 矩形框提供信息的说明。当执行任务需要超出本标准范围的信息时,以无填充的框 图表示,如在图4.1中描述为“必须的信息”。这种必须的信息可以是其它标准引用文件, 如ISO/IEC 27002。 (cid:122) 矩形框(有阴影的): 矩形框表示“形成文件的结果”。在矩形框,信息以灰色填充,并产生作为本标准的 一部分的一个文件。 (cid:122) 箭头框: 箭头框表示活动或要执行的工作。 (cid:122) 箭头框可先分成多个子任务/活动,然后以多个新的箭头框表示。所有箭头框的右底 部都有一个数字,表示本标准的章节(在图1中,以“x.x”表示)。 (cid:122) 项目流程是各种活动的顺序流动,并以多个箭头框表示。项目流程可并行地完成。 (cid:122) 图中的箭头表示时间,并以从左到右的方向。箭头也指出某些活动应在下一个活动 开始之前完成,或者可以并行地完成。 - 8 - 4.2.2 部署与图表 所有阶段都被指定为一个条款。首先,每一个条款都有说明该阶段及其主要活动的图表。 然后,一个阶段内的每一个主要活动是该条款的一个子节。如果在一个活动中有许多主题, 那么这些主题可作为多个子条款进行介绍,但不以图表说明。为了支持正文,也可以插入各 种其它的图形或图表, 但可不遵循如图 1 所述的图形符号。 每一个阶段和活动在开始时都有目标,而其内容应支持该目标。 另外的支持性信息,例如例子,应以附录提供。 4.3 ISMS 实施总图 图 2 图解 ISO/IEC 27003 的范围。 图 2 ISMS 项目概要与每一阶段的结果 在图2中,每一阶段的目标概要解释如下: (cid:122) 第5章“获得实施ISMS的正式批准”,其目标是: (cid:151) 定义实施ISMS的目标、信息安全需要和业务要求; (cid:151) 定义最初的ISMS范围; (cid:151) 创建业务框架与项目启动计划; (cid:151) 获得管理者对实施ISMS的正式批准和承诺。 (cid:122) 第6章“定义详细的ISMS范围和ISMS方针”,其目标是: (cid:151) 定义ISMS的范围边界; (cid:151) 获得对ISMS方针的赞同。 - 9 - (cid:122) 第7章“进行业务分析”,其目标是: (cid:151) 收集ISMS支持的相关要求; (cid:151) 收集当前ISMS范围内的信息安全状况; (cid:151) 创建信息资产清单。 (cid:122) 第8章“进行风险评估”,其目标是: (cid:151) 识别风险评估方法; (cid:151) 识别、分析和评价信息安全风险; (cid:151) 识别风险处理选择方案; (cid:151) 选择控制目标和控制措施。 (cid:122) 第9章“设计ISMS”,其目标是: (cid:151) 为基于风险处理选择方案的风险处理,而设计组织的安全; (cid:151) 为降低风险,结合ICT、物理安全和组织安全,而设计选择的控制目标与控制措 施; (cid:151) 为建立ISMS,设计ISMS特殊的要求,包括监视和测量; (cid:151) 制定ISMS实施计划。 (cid:122) 第10章“实施ISMS”,其目标是: (cid:151) 根据ISMS项目计划,实施已选择的控制措施和ISMS特殊的要求; (cid:151) 实施监视和测量; (cid:151) 创建ISMS程序和控制文件。 4.4 总说明 4.4.1 实施考虑事项 实施的目标是达到符合 ISO/IEC 27001 要求的持续改进的状态。 信息安全是持续动态性变化的,需要进行设计以适应变化。每一个组织都受支配于内部 变化和外部变化。由于业务过程、法规环境、任务、基础设施和组织可能发生变化,许多这 些变化也影响信息安全。某些主要条件的变化也可能出现,例如,法律约定或合同约定、可 用信息和通信技术都可能发生重大变化。为了达到组织的业务目标及其风险耐受度,管理和 维护信息安全是必须的。 不仅计划实施业务过程和引入具有商定的信息安全控制措施的新信息系统是重要的,而 且计划其应如何运行和有规律地进行检查以确保其如期的有效性和适用性也是重要的。如果 脆弱点或改进的机会被发现,则应采取控制措施,进行改进。过程应支持这些改进的计划和 实施。当业务过程被终止,或者组分和/或信息系统被更换或关闭,必须考虑相关的信息安 全问题,例如授权的取消或硬件的安全删除。 为了应对信息安全需要例如管理过程、支持实施和认可更新需要,一个组织内的相关角 色和责任识别于附录 A 中。附录 A 提供信息安全关键角色和责任的指导。 - 10 - 4.4.2 中小企业(SME)的考虑事项 本标准所述的实施项目可以是很复杂的,因为它或多或少涉及到整个组织。应该提出的 是,在实际中,大组织实施 ISMS 比小组织更复杂。小组织没有很多角色,而且 ISMS 的边界 十分清楚定义,信息资产的控制也更容易完成。 本标准描述实施 ISMS 所需要的活动,特别是中型到大型的企业。较小的组织会发现本 标准所提的活动可适用于他们,并可以进行简化。 不管企业的规模如何,对于一个特定组织来说,复杂性和风险都是独特的,而特定的要 求会驱动实施的指导。 - 11 - 5 获得管理者对实施 ISMS 的批准 5.1 管理者对实施 ISMS 批准的概要 目标: (cid:122) 定义实施信息安全管理体系的目标、信息安全的需求和业务要求; (cid:122) 定义初始的 ISMS 范围; (cid:122) 创建业务框架和启动项目; (cid:122) 获得管理者对实施 ISMS 的批准和承诺。 参见 ISO/IEC 27001:4.2.1 a), b) 在本阶段(即“获得管理者对实施 ISMS 的批准”)开始之前,最重要的是要明白什么是 ISMS、ISMS 的业务需求和当前与信息安全相关的组织内的角色与责任的列表。 本阶段的预期输出是管理者对实施 ISMS 的批准和承诺。因此从此条款可提交包括一个 业务框架和一个具有关键重要事件的建议草案。 - 12 - ISO 27000 ISO 27002 ISO 27001 ISO 27001 其它需求 ISO 27004 ISO 27004 ISO 27002 ISO 27002 ISO 27005 ISO 27001 ISO 27007 获 得 管 理 者 定义 ISMS 范 对实施 ISMS 围和 ISMS 方 的批准 5 针 6 业务分析 7 风险评估 8 设计 ISMS 9 实施 ISMS 10 管 理 者 批 准 实 施 ISMS 定义目标要求和 业务需求 5.2 定义初始的 ISMS 定义角色和责任 范围 5.2 5.3 创建业务框架与 面目启动 5.4 ISMS 业 务框架 获得管理者对实 施 ISMS 的正式批 准和承诺 5.5 图 3 管理者对实施 ISMS 正式批准的概要 时间 - 13 - 5.2 定义 ISMS 的目标、信息安全需求和业务要求 活动 定义实施ISMS的目标、信息安全需求和业务要求。 输入 按如下信息完成此项活动是很重要的: (cid:122) 达到企业的业务目标的途径; (cid:122) 了解现有管理体系。 实施指南 实施ISMS时,应考虑如下问题: (cid:122) 风险控制 –ISMS如何更好的控制信息安全风险? (cid:122) 效率 – ISMS如何提高处理信息安全的效率? (cid:122) 业务优势 - ISMS如何创造业务优势? 一些管理目标的实例包括: (cid:122) 促进业务连续性和灾难恢复 (cid:122) 促进对事故的恢复力 (cid:122) 法律/合同符合性/债务(例:SOX、DPA) (cid:122) 支持ISO 9001、14001、20000和27001认证 (cid:122) 有利于业务发展和定位 (cid:122) 使风险和安全能够进行测量与度量 (cid:122) 降低安全控制措施成本 (cid:122) 保护资产的战略价值 (cid:122) 促成“企业风险管理”(ERM)过程 (cid:122) 建立一个达到保证健康的“控制环境与有效控制组件” 上述目标带来的利益包括: (cid:122) 法律符合性 – 好的信息安全导致符合整个地区和地方法律; (cid:122) 合同符合性 – 好的信息安全改善符合合同的承诺; (cid:122) 行业标准符合性 – 将行业标准纳入信息安全流程和信息安全要求,以解决该标准的符 合性; (cid:122) 效率 – 信息安全设计导致有效使用多个安全流程; (cid:122) 业务优势 – 实施信息安全可帮助取得更多新订单,并能够把信息安全计算到该成本 中; (cid:122) 风险控制 – 信息安全获得适当解决,也就支持了管理风险; (cid:122) 信任 - 实施信息安全可使该组织获得更多业务环境方面的信任,如其能够更容易对其 它管理组织(外部审核)作出反应、提高反应质量(信任); (cid:122) 环境理解 – 关键的信息活动和保护该类型信息有助于处理继续发生的各种威胁。 - 14 - 因此,管理目标可能是上述的任何一个或多个,也可以是不同的。 ISMS的基本需要应包括该组织所面临的有关信息安全方面的列入清单的更多考虑事项。 组织需要解决的主题包括以下方面: 内部影响和外部影响: (cid:122) 要求信息安全的相关法律 (cid:190) 什么法律与该组织有关? (cid:190) 一个公众的全球性公司的组织部门需要财务外部报告吗? (cid:122) 有关由于缺乏信息安全而导致诉讼的合同协议或商业协议 (cid:190) 什么是存储要求? (cid:190) 是否有任何秘密的或质量(例如:服务级别协议- SLA) 合同要求? (cid:122) 有关需要信息安全的行业要求 (cid:190) 有什么特殊的行业要求适用于本组织? (cid:122) 有关需要信息安全的环境要求 (cid:190) 需要什么类型的保护并预防哪些威胁? (cid:190) 需要保护的信息群有哪些不同的类型? (cid:190) 需要保护的信息活动有哪些不同的类型? (cid:122) 敏感或有价值的信息需要信息安全 (cid:190) 什么信息属于组织的关键信息? (cid:190) 如果这类信息被泄露给未授权方会产生什么后果 (例如:失去竞争优势、损害 组织的品牌/名誉等) ? (cid:122) 竞争驱动 (cid:190) 要考虑信息安全市场最小的要求是什么? (cid:190) 如果实施,什么是创建商业优势的另外的信息安全市场要求? (cid:122) 业务连续性要求 (cid:190) 对于关键业务流程中断,组织可以忍受多长时间? 通过提出某些基本的设想,作为对上述问题的回答,就可以完成定义信息安全需求的活 动目标和高层业务要求。这让该组织了解到他们能从执行ISMS得到什么。 输出 这个活动的结果或成果是: (cid:122) 总结ISMS的目标、信息安全需求和业务要求的简短文件。 其它信息 如果ISMS正在一个需要满足某些关键规章的要求的行业中实施,需要特别考虑补充信 息,这包括符合标准、合同承诺和外部施加的政策或任何其它适用的参考文件。特别详细的 有关如何识别和使用满足行业特殊需求的扩展控制措施在实施ISMS的“Plan”和“Do”阶段 进行讨论。行业实施的例子也提供于附录中,以帮助本文件的用户更好地实施ISMS。 - 15 - 5.3 定义初始的 ISMS 范围 5.3.1 ISMS 范围的概要 活动 定义初始的ISMS范围。 输入 (cid:122) ISMS 实施目标、业务要求和信息安全要求的文件; (cid:122) 适用于本组织的规章、符合性和行业标准的概要。 实施指南 一个清晰的鉴于目标、业务要求和信息安全的文件为决定初始ISMS范围提供基本信息。 为了获得管理者批准,初始的范围是需要的。 当考虑范围和ISO/IEC 27001的实施时,组织应首先识别已经作为其它管理体系标准的 开发结果在整个组织实施了的共同要素。 一旦各个不同管理体系的共同要素被识别,该组织就应该认可这些已经实施的不同管理 体系的要素和ISO/IEC 27001要求的新要素之间的差别,通过采取改编现有的要素或增加新 的要素以符合ISO/IEC 27001。 如果组织已经实施其它遵照标准的管理体系,那么它应该考虑现有管理体系是否可以与 ISMS结合成一体。作出这个决定所要考虑的一些事宜包括: (cid:122) 这些体系的责任是否在各个不同管理团队的领导之下(例如在不同的附属机构或不 同的部门)? (cid:122) 产生和需要怎样的介绍材料(例如现有管理体系是以纸质文件形成的,而期望ISMS 建立为超文本文件)? (cid:122) 现有管理体系的功能是否完全按预期进行运行与维护,并支持该组织的需要? 现有管理体系和所提议的ISMS的共同要素应加以识别。 如果所有体系都要进行整合,那么现有体系应进行改编或增补,以使其符合ISO/IEC 27001。如果各个体系不进行结合,那么应考虑再使用公共要素。 输出 一个描述ISMS范围的高层观点,应考虑现有管理体系、规章、符合性和业务目标的文件。 其它信息 5.3.2条款角色和职责提供组织成功地实施ISMS所需要的角色和职责的细节。下一个条 款将对此进行详细描述。 5.3.2 角色和责任的定义 信息安全对整个组织具有特殊的重要性。这个ISMS的组织特性使指定组织内的特殊角色 十分必要。适当的任务应分配给每一个角色,而这些角色应由具有这些技能的职员担任。这 是确保所有重要方面都被考虑到和所有任务都得以有力地和有效地完成的唯一方法,。 促进和实施ISMS所需要的组织结构称作信息安全委员会。处理信息安全的人员的数量、 组织的结构和资源随组织的规模、类型和结构而变化。对于较小的组织,几个角色可能由同 - 16 - 一个人员担任。然而,首席信息安全官员总是被指定为负责信息安全的关键人。在信息安全 管理角色的定义上,最重要的考虑是: (cid:122) 规定适当安全任务 (因信息安全)的总责任保持在管理层。 (cid:122) 至少指定一个人(通常是首席信息安全官员)进行促进和协调信息安全过程。 (cid:122) 每一个员工都要在其工作场所和环境下,平等地负起其原任务的责任和维护信息安 全的责任。 以下是许多组织典型的主要角色,并在本文件中使用: 角色 高级管理者(如:COO、CEO、CSO 和 CFO) 首席信息安全官 信息安全委员会(成员) 信息安全规划小组(成员) 专家 外部顾问 雇员/职员/用户 首席审核员 流程负责人 ISMS范围所涉及的部门代表 其它相关方 负责 高级管理人员负责战略决策和协调活动,以指导 和控制组织 首席信息安全官全面负责实施 ISMS 委员会负责领导组织内实施 ISMS 规划小组负责实施 ISMS 活动。在实施 ISMS 期 间,规划小组的工作跨越部门边界解决冲突和支 持 CISO(首席信息安全官) 负责运营(执行)的专家们是一个组织的专业人 士.应该按照他们对ISMS 事件的想法访问这些专 家,因为这涉及到其使用在特定的领域。 这些专家应该按照他们对 ISMS 事件的专业知识 被访问,因为它关系到所在的具体领域。 外部顾问能根据其对组织的宏观观点和行业经验 提供实施ISMS活动的决定。但专家不可能有很深 的商业和该组织的运行知识。 在其工作场所和环境下,每一个员工都要平等地 负起维护信息安全的责任。 首席审核员负责设计如何评估和评价ISMS。 “流程负责人”是业务流程专家应用系统联系人。 此人负责委派任务和处理已经被分配到该业务流 程内的信息。 相关部门代表可以提供执行风险评估和实施控制 措施的决定。 所需要的其它相关方是风险评估和控制措施的实 施的负责人。例如过程负责人和应用系统专家。 这些相关方应要特别地进行定义,以支持管理者 对实施ISMS的批准过程。 培训师 培训师实施培训和宣传计划。 表1 主要的信息安全角色和责任 为了在建立规划小组时获得正确的经验,本阶段应解决外部或内部需要的专业知识。为 了获得一份合理的ISMS实施批准文件,通常的情况下需要与其它角色讨论。例如,为了准备 - 17 - ISMS批准文件,关键流程的“流程负责人”可能是一个需要进行商讨的角色。 此外,风险评估是在ISMS实施中执行。因此,为了识别、分析和评价风险,需要识别ISMS 范围所包括的部门和这些部门的代表应加入到ISMS实施成员。 因此,识别ISMS范围所包括的部门且这些部门的参与代表需要进行识别、分析和评价风 险。这些部门不仅是ISMS范围所包括的直接单位,而且也包括间接部门,诸如法法律部门和 行政部门。例如:为了实施包括一切的“管理”,需要人力资源部的代表。 5.4 创建业务框架与项目启动 活动 创建业务框架与初始项目计划。 输入 收集于管理批准文件中的作为一个以往活动结果的业务框架。 实施指南 业务框架与初始项目启动应包括已估算的时间计划和本标准第6章-第9章所述的主要活 动所需要的资源。在本阶段的业务框架中,不可能很详细说明,因为许多因素仍然是未知的, 所以应估计未来将执行的活动。这个文件作为项目基础,而且还确保管理者对ISMS实施所需 要的资源的承诺和批准。 实施ISMS的业务框架可以由以下主题组成: (cid:122) 高层目标; (cid:122) 特殊目标; (cid:122) 关键流程; (cid:122) 已经定义的角色和责任; (cid:122) 实施组织; (cid:122) 实施考虑事项; (cid:122) 假定的时间计划(可分开于各个阶段,如本标准所提出的); (cid:122) 假定的成本框架; (cid:122) 已经定义的关键的成功因素。 在管理者批准之后,应制定一个详细的项目计划,包括本标准第6章-9章所述的各个阶 段的相关活动。第10章包含控制措施的实施。 输出 此活动的输出产生一个有关业务框架与初始项目启动的文件。 其它信息 下一个条款提供更多管理所需要的关键成功因素的细节。 - 18 - 5.5 获得管理者对实施 ISMS 的正式批准和承诺 活动 获得管理者对实施ISMS的批准和承诺。 输入 此活动的输入为业务框架和项目启动,以及为获得管理者批准和在ISMS实施期间保持承 诺而需要理解的事情。 实施指南 重要的是定义ISMS成功实施的关键因素,因为这是重要的准则,以增加到业务计划作为 与管理者讨论的一部分。 对于实施ISMS的决定,重要的是使实施人员认可这些ISMS成功实施所需要的关键因素。 此章评审这些ISMS成功实施和了解ISMS的利益所需要的关键因素。在证明实施ISMS是正当决 定的过程中,会产生涉及利益的有关的几个问题,管理这些问题及其结果涉及到这些关键的 成功因素。 实施ISMS关键的成功因素是: a. 管理者承诺 管理者承诺起始于组织决定实施ISMS的需要并继续使用ISMS以帮助管理和发展业务。管 理者承诺常常取决于以业务术语所描述的ISMS目标,因此重要的是要能将信息安全目标转化 成业务目标。这对管理有很大关系。 成功的关键因素,表明管理层的承诺包括: (cid:122) 定期检查把ISMS成功实施与业务捆绑的行动计划; (cid:122) 管理者批准和监督ISMS实施; (cid:122) 为ISMS实施分配独立的预算; (cid:122) 创立该组织的关键相关方参加的“信息管理安全论坛”, 并由流程负责人和管理 者分担运作问题; (cid:122) 评审在可接受风险级别之下和管理者决定不采取任何措施时在可接受准则之上的 残余风险。 (cid:122) 充分的和具有技能的ISMS实施资源。 b. 管理方法 管理方法是一个实施ISMS重要的和关键的成功因素。特别是组织应清楚理解角色、责任、 相关方及其对法律要求的符合性、与ISMS实施的关系。此管理方法是指按照一套过程、方针、 法律和制度去指导、管理或控制组织。它包括定义组织的目标、了解相关方及其与ISMS的关 系。 信息安全的任务和职责可概括为以下几点: (cid:122) 负责信息安全 每一个组织的管理者都要负责与该组织目标保持一致的正确运转,他们也负责确保 对其组织的内部与外部的信息安全。根据国家和组织的类型,可能有需要理解的各种规 章和法律。管理者应明确地表明其负责任的承诺并解释信息安全对所有员工的重要性。 - 19 - 如果创建的ISMS是在整个组织的一部分,那么这个成功因素只适用于其所授权负责 的领域。 (cid:122) 结合信息安全 在组织的所有业务活动中,包括有信息处理和使用信息技术的第三方约定,都应考 虑信息安全和适当结合信息安全。这意味着,例如,当获得IT以及当设计业务流程和培 训员工时,应考虑信息安全。 (cid:122) 管理和维护信息安全 管理者应确保信息安全(IS)任务的责任和权力合理地分配给具有适当知识的人员, 并被所有IS相关工作的人员接受。这包括: (cid:190) 开发、实施和维护IS策略; (cid:190) 风险识别、风险评估和风险管理; (cid:190) 提供充分资源以支持和管理IS工作。 (cid:122) 建立可实现的目标 在ISMS范围内,活动的目标应做出很好的规定,并应有文件说明与组织的主要目标 的关系。重要的是应明确地描述这些安全目标如何支持完成主要目的和业务目标。这些 关系应是可信任的,而由此进行的活动应是现实的和可实现的。 (cid:122) 信息安全成本利益分析 了解业务流程、资产和任务对信息处理的依赖性是必要的,这样可以选择适当的信 息安全控制措施以及管理和维护ISMS的实施。 (cid:122) 模范角色的作用 在涉及到信息安全时,管理者应起模范带头作用。这要求管理者除其它事情外也要 执行所有指定的安全规章和参与培训事宜。 c. 财务方面的考虑 财务方面的考虑也被认为是实施ISMS关键的成功因素。特别是组织应有适当的机制以监 控: (cid:122) 对ISMS实施和管理的投资回报; (cid:122) 不符合业务的安全策略或维护ISMS失败的成本。 d. 行业/部门特殊考虑 实施ISMS关键的成功因素也应包括考虑特殊的行业(或部门)标准和与组织的业务相关 的指导方针。重要的是要认可规章的环境和需要如何实施ISMS以支持业务运行。对于与部门 特殊文件和ISMS标准族有关的另外信息可参考ISO/IEC 27000。 e. 风险方面的考虑 风险方面的考虑是一个关键的成功因素。ISMS范围内的风险信息和为把这些风险降低到 可接受级别的适当控制措施应获得管理者同意和批准。在这个阶段,应注意评价信息安全风 险如何与现有风险管理流程相比进行处理和可以达到的可能收获。 - 20 - f. 组织内合作和与其它组织合作 组织内合作和跨组织合作对ISMS实施是一个重要的关键成功因素。特别以下事宜被评审 和解决: (cid:122) 配合现有的安全方针、指南和指导书; (cid:122) 跨组织的联系和评估ISMS成功的方法; (cid:122) 满足相关方关注事宜所需要的安全要求。 g. 认可变更或更新的需要 另一个重要的成功因素是认可ISMS需要变更或更新时的能力。 h. 利益相关方牵涉事宜 如所定义的不同利益的相关方及其对成功的ISMS的观点应是要考虑的事宜。 这些观点可以是: (cid:122) 有关信息安全业绩的报告(包括实施项目的结果); (cid:122) 信息安全的成本; (cid:122) 得到的信息安全利益。 进一步的利益相关方牵涉事宜应加以解决,因为他们的牵涉事宜可能在以下方面支持了 实际的实施: (cid:122) 作为ISMS实施筹划指导委员会的一部分; (cid:122) 通过在其它运作活动提出信息安全的重要性,展示他们的兴趣。 输出 这个活动的输出和这个阶段的结果对其它文件是关键的。这是要接收形成文件的管理者 对实施ISMS的正式批准和承诺。本章所述的关键的成功因素为成功实施ISMS提供了有关如何 获得和保持管理者的支持以及需要考虑的事情方面的进一步细节。 其它信息 - 21 - 6 定义 ISMS 范围和 ISMS 方针 6.1 定义 ISMS 范围和 ISMS 方针的概要 目标: (cid:122) 定义 ISMS 的范围边界; (cid:122) 获得对 ISMS 方针的同意。 参见 ISO/IEC 27001:4.2.1 a), b) 假定管理者已经批准和支持实施 ISMS。图 4 展示 ISMS 范围和 ISMS 方针的定义概要。 - 22 - ISO 27000 ISO 27002 ISO 27001 ISO 27001 其它需求 ISO 27004 ISO 27004 ISO 27002 ISO 27002 ISO 27005 ISO 27001 ISO 27007 获 得 管 理 者 定义 ISMS 范 对实施 ISMS 围和 ISMS 方 业务分析 风险评估 设计 ISMS 实施 ISMS 的正式批准 针 管 理 者 批 准 实 施 ISMS ISMS 范围 ISMS 方针 定义组织的边 界 6.2 定义信息通信 技术边界 6.3 定义物理边界 6.4 完成 ISMS 范围 边界 6.5 ISMS 范围 开发 ISMS 方针 6.6 ISMS 方针 - 23 - 时间 图 4 ISMS 范围和 ISMS 方针的定义概要 为实现本阶段的目标,重要的是要获得可帮助设计该组织的信息安全管理体系及其边界 和相关流程的支持性信息。 1. 为建立 ISMS 收集信息 O 分析该组织的业务以定义 ISMS 的范围和边界及其方针。从业务的观点,建立 ISMS 的支持性信息应在本阶段全程进行收集。信息应包括: (cid:139) 关键业务流程; (cid:139) 物理环境; (cid:139) 组织结构。 2. 定义 ISMS 的范围和边界 O 根据管理者的决定和上述分析所收集的信息定义 ISMS 的范围和边界。 为了在组织内建立一个有效的管理体系,ISMS 的适当范围应通过考虑指标性业务的关 键信息资产而做出决定。为了确保关键业务领域被包含在这个范围之内,在识别信息资产和 评估可行的安全机制方面建立一个共同术语表和系统框架也是重要的。共同框架能容易沟通 并使一致的理解能够贯穿所有实施阶段。也可能定义整个企业作为 ISMS 的范围或业务部门 的一部分作为 ISMS 的范围。正如为客户提供“服务”的情况,跨职能的管理体系(整个部门 或部门的一部分)可以成为 ISMS 的范围,如同组织结构的一些部门的有关管理制度。 在定义 ISMS 的范围时,重要的是要有一个完全的管理体系且其边界要足够清楚以进行 逻辑解释。ISMS 的范围和边界应合理地进行定义。 实施 ISMS 的工作量取决于范围大小。这也可影响维护信息安全的所有活动,包括控制 措施、管理运行和任务,例如识别信息资产和风险评估。被排除出 ISMS 范围的任何事情应 加以解释。 6.2 定义组织的边界 活动 定义组织的业务的边界、组织和ISMS处理的资产事宜。 输入 (cid:122) 5.3 活动的输出 – 管理者关于高层 ISMS 范围 (例如整个组织、特殊区域、过程领 域) 的正式决定。 实施指南 定义组织的边界的一个方法是:识别在组织内不相重叠的责任范围,这些包含关键业务 资产或受关键业务流程影响的责任范围被选择作为在 ISMS 控制下的该组织的区域。当采用 这个方法时,需要考虑以下事宜: (cid:122) 参与 ISMS 管理论坛的各方都将受到影响; (cid:122) 负责 ISMS 的管理者应基本上是所有受责任影响范围的负责人(例如组织结构的上 层); (cid:122) 范围和边界需要进行定义,以确保所有相关的资产在风险评估中被考虑到并处理可能 - 24 - 通过这些边界产生的风险(见 ISO/IEC 27005); (cid:122) 对于组织,范围应进行定义,以能够在该范围内现实 ISMS PDCA 循环。例如,一部分 未管理的组织不适合这个范围。 输出 (cid:122) ISMS 组织边界的描述,包括部分组织被排除出 ISMS 范围的任何正当理由; (cid:122) 组织的功能和结构; (cid:122) 通过边界的信息资产和信息交换; (cid:122) 范围之内和范围之外的信息资产的业务流程和责任。 其它信息 6.3 定义信息通信技术边界 活动 定义ISMS所包含的信息与通信技术和其它技术的边界。 输入 (cid:122) 5.3 活动的输出 – 管理者关于高层 ISMS 范围 (例如:在组织的控制之下的所有 ICT,支持特殊业务或过程的部分 ICT) 的正式决定。 实施指南 ICT边界的定义可以通过信息系统(不是IT系统)方法进行识别。处理或传输关键业务信 息资产的所有信息系统或关键的信息系统都应归入ISMS范围。 以下事宜是应该考虑的: (cid:122) 信息系统可以跨越应进行结合与沟通的组织的边界; (cid:122) 当信息系统跨越该组织的边界或国家边界时,应考虑以下事宜: O 社会文化环境; O 适用于该组织的法律、法规和合同要求; O 关键责任的说明; O 技术约束(例如:可用的带宽和服务的可用性等)。 输出 (cid:122) ISMS 的 ICT 边界的描述,包括在该组织管理下的 ICT 被排除出 ISMS 范围的任何正当 性理由。 (cid:122) 范围之内的和范围之外的信息系统和电信网络的描述。 其它信息 6.4 定义物理边界 活动 定义ISMS所包含的场所方面的物理边界。 输入 - 25 - (cid:122) 5.3 活动的输出 – 管理者关于高层 ISMS 范围 (例如在组织的控制之下的所有场 所,支持特殊业务或过程的部分场所) 的正式决定。 实施指南 物理边界的定义包括识别应属于ISMS范围的组织内的建筑物、场所或设施。处理跨越 物理边界的信息系统是很复杂的,这需要: O 移动访问; O 远程设施; O 签署第三方服务; O 无线网路。 这些问题应通过定义适当的界面和服务层次加以解决。 输出 (cid:122) ISMS 物理边界的描述包括在该组织管理下的物理边界被排除出 ISMS 范围的任何正当 性理由。 (cid:122) 范围之内的和范围之外的组织及其地理特征的描述。 其它信息 6.5 完成 ISMS 范围边界 活动 编写ISMS范围和边界文件。 输入 (cid:122) 5.3 活动的输出 – 管理者关于高层 ISMS 范围的正式决定。 (cid:122) 6.2 活动的输出 - 组织边界的定义; (cid:122) 6.3 活动的输出 - ICT 边界的定义; (cid:122) 6.4 活动的输出 – 物理边界的定义。 实施指南 在定义ISMS范围的时候,这些范围和边界可以以许多方法合并在一起。例如:物理场 所(如建筑物、数据中心或办公室)和这个物理场所的关键流程应并入该范围内。信息系统 的移动访问就是一个例子。 输出 (cid:122) 描述 ISMS 范围和边界的文件,包括以下信息: O 组织的业务特性(业务、服务、资产和每一个资产的责任范围和边界等的说明书); O 关键业务流程列表; O 组织的功能和结构文件; - 26 - O 场所和楼层位置图; O 设备和网络的配置; O 资产列表; O 任何排除出ISMS范围的正当性理由的详细说明。 其它信息 6.6 开发 ISMS 方针 活动 开发初始的ISMS方针。 为了为组织提供信息安全管理的基本观念,ISMS方针是必须的。方针文件也提供一个意 图声明,指出组织承担信息安全要求的责任。 输入 (cid:122) 5.4 活动的输出 – 业务要求和信息安全需求; (cid:122) 5.4 活动的输出 – 实施 ISMS 的目标; (cid:122) 5.4 活动的输出 - ISMS 实施的项目计划(包括各个重要事件,如执行风险评估、实 施、内部审核和管理评审)。 实施指南 定义ISMS方针的过程如下: a. 建立基于组织的业务要求和信息安全需求的ISMS目标。 b. 建立为实现ISMS目标的一般焦点和指南; c. 考虑业务要求、法律法规要求和合同安全义务; d. 准备组织和风险管理的环境; e. 建立评价风险和定义风险评估结构的准则; f. 阐明高层管理者的责任,以确保信息安全管理的需要; g. 获得管理者支持。 从初始阶段到管理者批准所开发的ISMS方针应能反映ISMS流程(如风险评估)的结果。 输出 (cid:122) 管理核准的初始的 ISMS 方针包含以下内容: O ISMS目标和组织对ISMS的指示; O 有关信息安全的总方向和原则; O 风险评估考虑的组织的环境和项目; O 风险管理的风险结构评估准则; O 业务要求; - 27 - O 法律或法规要求; O 合同安全义务。 其它信息 - 28 - 7 进行业务分析 7.1 业务分析概要 目标: (cid:122) 收集 ISMS 支持的相关需求; (cid:122) 收集当前 ISMS 范围内的信息安全状况 (cid:122) 创建信息资产清单。 参考 ISO/IEC 27001 假定管理层批准实施 ISMS,并定义了 ISMS 的范围和 ISMS 的方针。 - 29 - ISO 27000 ISO 27002 ISO 27001 ISO 27001 其它需求 ISO 27004 ISO 27004 ISO 27002 ISO 27002 ISO 27005 ISO 27001 ISO 27007 获 得 管 理 者 定义 ISMS 范 对实施 ISMS 围和 ISMS 方 业务分析 风险评估 设计 ISMS 实施 ISMS 的正式批准 针 管 理 者 批 准 实 施 ISMS 实 施 ISMS 方 针 实 施 ISMS 范 围 信 息 安 全 评 估 结 果 信 息 资 产 清 单 定义支持 ISMS 的 信息安全要求 7.2 创建信息资产清 单 7.3 信 息 资 产 清 单 产生信息安全评 估 7.4 信 息 安 全 评 估 结 果 - 30 - 时间 图 5:业务分析阶段的概要 通过业务分析阶段所收集的信息应包括: a. 为管理者提供一个起(开始)点(即正确的基本数据); b. 识别并记录实施的条件; c. 提供一个清晰的并确认理解的组织设施。 d. 考虑组织的特殊环境及形势; e. 识别信息保护最适宜的级别; f. 在所定义的实施范围内,确定支持企业所需要的全部或部分信息。 业务分析可以在一个选定的部门范围内进行,但至少应在所提议的信息安全管理体系所 定义的范围内进行。 7.2 定义支持 ISMS 的信息安全要求 活动 建立ISMS信息安全要求。 输入 (cid:122) 6.5 活动的输出 –ISMS 的范围和边界; (cid:122) 6.6 活动的输出 – ISMS 方针; (cid:122) 5.4 活动的输出 - 业务要求和信息安全需要; (cid:122) 5.4 活动的输出 – 实施 ISMS 的目标; (cid:122) ISO/IEC27001; (cid:122) ISO/IEC27002。 实施指南 从建立ISMS的业务观点,分析组织的业务情况和收集支持信息。 ISMS的支持性信息应在业务分析阶段的第一步进行收集。对于每一个业务流程和特殊任 务,需要根据信息重要性(比如:需要保护的级别)而做出决定。许多内部因素都可能影响信 息安全,这些内部因素应加以识别。在此阶段的初,详细描述信息技术不是重要的。对于业 务流程和相关的IT应用及系统,应有一个所分析的信息的基本概要。 业务流程的分析阐述了信息安全事故对业务活动的影响。在许多情况下,描述一个很基 本的业务流程就足够了。 为了阐明ISMS信息安全要求,应回答以下问题: a. 识别组织的主要流程和功能; b. 识别重要的信息资产及其在保密性、完整性和可用性方面的保护; c. 确认组织的信息安全目标,并识别所确认的目标对未来信息处理要求的影响; d. 了解和发现当前信息处理、应用系统、通信网络、活动场所和IT资源等的形势; e. 识别所有基本要求(例如法律法规要求、合同义务、业务要求、行业标准、客户和 供应商协议,保险条件等)。 - 31 - 输出 本流程产生的一些中间材料应包括: (cid:122) 主要流程、功能、场所、信息系统和通信网络的鉴别; (cid:122) 组织的信息资产; (cid:122) 关键流程/资产分类; (cid:122) 组织对保密性、完整性和可用性的要求; (cid:122) 组织对法律法规、合同、业务的要求; (cid:122) 任何已知的组织脆弱点。 其它信息 7.3 创建信息资产清单 活动 建立信息安全管理体系所支持的资产清单。 输入 (cid:122) 6.5 活动的输出 –ISMS 的范围和边界; (cid:122) 6.6 活动的输出 – ISMS 方针; (cid:122) 7.2 活动的输出 - 信息安全要求。 实施指南 为了创建资产清单,有几种可供选择的方法。一种方法是遵循信息分类方案;如果使用 这种方法,处理、操作或传输具有某个类别的信息的资产,可以被插入到资产表中。 另一个供选择的方法是把相关的业务流程分解成组件和业务流程关键资产,并由相关 组件产生资产表。如果业务流程具有一定的复杂性,那么分解业务流程可能是一个很艰难的 任务。 应包括以下方面的信息: a. 流程的唯一名称; b. 流程描述; c. 流程的关键性(关键的、重要的和支持性的); d. 流程责任人(业务单位); e. 提供各个流程的输入和本流程的输出; f. IT 应用支持的流程; g. 流程内信息及其: (cid:122) 分类(保密性、完整性、可用性和/或其它重要特性,例如信息可以保存多长时 间等); (cid:122) 流程内处理活动(创建、存储、处理、传输和删除)与支持系统处理的信息。 输出 - 32 - (cid:122) 组织的主要流程的描述; (cid:122) 组织的主要流程的信息资产清单; (cid:122) 主要流程/资产分类。 其它信息 - 33 - 7.4 产生信息安全评估 活动 确立组织的信息安全状况,对比想达到的业务目标,从而导致信息安全评估。 输入 (cid:122) 6.5 活动的输出 –ISMS 的范围和边界; (cid:122) 6.6 活动的输出 – ISMS 方针; (cid:122) 7.2 活动的输出 - 信息安全要求; (cid:122) 7.3 活动的输出 - 信息资产清单; (cid:122) ISO/IEC27001; (cid:122) ISO/IEC27002。 实施指南 为了保护组织业务的连续性,本阶段的下一个步骤称为信息安全评估,识别现有的信息 安全等级(即:组织当前的信息保护程序)。 依据关键流程/信息 资 产 的 分 类 分 析 业 务的实际状况 信息安全评估的结果加之组织的目标,常常是激励未来信息安全工作的重要部分。信息 组 织 当 前 信 息 安 全 实 际 状 况 与 信 息 安 全目标的差距分析 图6 信息安全评估流程与结果概要 安全评估的基本目的是提供信息支持管理体系(以方针和指南的形式)所需要的描述。必须确 保确认出的脆弱点能通过一个优先行动计划进行处理。所有相关方都应熟悉业务分析的结 分析/讨论当前本组 织的信息安全状况 果、标准文件和访问适当的管理人员。 信息安全评估应由不受组织约束的内部资源或外部资源执行。 组 织 对 信 息 的 保 密 性、完整性和适用性 信息安全评估的参与者应具有丰富的了解当前环境、条件和信息安全相关知识的个人。 的需求 脆弱性文件(处理脆 弱性的优先级) 为了能广泛代表组织,这些参与人员应进行挑选,并包括: a) 生产线管理人员(以前面第5、6章定义为准)(例如业务单位的领导); b) 流程责任人(代表重要的业务领域); - 34 - c) 其它具有丰富的了解当前环境、条件和信息安全相关知识的个人。 为了成功地执行信息安全评估,重要的是: a) 识别和列出组织的相关标准和标准化文件(例如ISO/IEC 27002); b) 识别来自方针的已知控制要求、法律法规要求、合同义务、过去的审核发现或过去 执行的风险评估发现; c) 使用上述这些作为参考文件,可以粗略评估组织当前的有关信息安全等级。 应该考虑业务分析所做出的优先顺序组成安全预防和检查的基础。 执行信息安全评估的方法如下: a) 选择重要的流程和流程涉及需求类型(可用性、完整性和保密性)的步骤。 b) 创建一个综合流程图涵盖组织的主要流程,包括基础设施(逻辑的和技术的),如果 这在业务分析中尚未提出或执行。 c) 组织中合适的关键人物以小组讨论的方式分析。 d) 就要求的类型(可用性、完整性和保密性),讨论和分析组织当前的状况。哪些流程 是关键的,他们当前的工作对可用性、完整性和保密性起怎样作用?(其结果用于 后面的风险评估) e) 通过将现有的控制措施与前面确认的控制要求进行比较,确定控制脆弱点。 f) 完成以上流程,并编写成文件。 输出 (cid:122) 组织目前的信息安全状况和风险评价文件; (cid:122) 经过组织评估与评价的脆弱性文件。 其它信息 - 35 - 8 进行风险评估 8.1 风险评估概要 假定管理层已经批准实施 ISMS,并定义了 ISMS 的范围和方针,经过业务分析已获得信 息资产及信息安全评估结果。图 7 是风险评估阶段的概要。 - 36 - ISO 27000 ISO 27002 ISO 27001 ISO 27004 ISO 27004 ISO 27001 ISO 27002 ISO 27002 其它需求 ISO 27005 ISO 27001 ISO 27007 获得管理者对 定义 ISMS 范 实施 ISMS 的正 围和 ISMS 方 式批准 5 针 6 业务分析 7 风险评估 8 设计 ISMS 9 实施 ISMS 10 管 理 者 批 准 实 施 ISMS 实 施 ISMS 方 针 实 施 ISMS 范 围 信 息 安 全 评 估 结 果 信 息 资 产 清 单 风 险 处 理 计 划 和 选 择 风 险 控 制措施 风 险 评 估 描述报告 风 险 评 估 报告 风 险 评 估 描 进 行 风 险 评 风险处理计划和 述 估 选择控制措施 8.2 8.3 8.4 风 险 评 估 描 述 报告 风 险 评 估 报告 确认风险处理方 选择控制目标和 案 控制措施 8.4.2 8.4.3 风险处理计 划和选择风 险控制措施 时间 - 37 - 图 7 风险评估阶段的概要 8.2 风险评估描述 活动 通过识别适用于ISMS的风险评估方法和已确定的信息安全要求,确认组织的风险评估方 法。 输入 (cid:122) 6.5 活动的输出 –ISMS的范围和边界; (cid:122) 7.2 活动的输出 –信息安全要求; (cid:122) ISO/IEC27001; (cid:122) ISO/IEC27005。 实施指南 风险评估方法定义步骤。组织的ISMS范围之内所有操作的业务风险都要进行确认。风 险评估方法应通过以下考虑事项进行确认。 (cid:122) 组织的ISMS范围和边界; (cid:122) 法律法规要求、合同义务、组织的业务要求。 风险评估方法是每一个信息安全管理体系的主要部分,为了确定风险,关键威胁应根 据潜在影响、系统发生事件的可能性及其频率进行确认。 风险评估方法有很大变化,取决于应用、组织的边界条件、组织的类型和所期望的信 息安全级别。信息安全管理应选择适于组织的类型和规模的方法。有关更深一层的ISMS 风险评估指南可参考ISO/IEC 27005。 输出 (cid:122) 风险评估范围; (cid:122) 已批准的风险评估方法,包括: (cid:132) 风险评估方法的描述; (cid:132) 风险评估(风险识别和风险评价); (cid:132) 风险评价; (cid:132) 风险处理决定; (cid:132) 风险接受准则; (cid:132) 风险记录和报告。 其它信息 - 38 - 8.3 进行风险评估 活动 识别、分析和评价信息安全风险。 输入 (cid:122) 6.5 活动的输出 –ISMS的范围和边界; (cid:122) 6.6 活动的输出 –ISMS方针; (cid:122) 7.2 活动的输出 –信息安全要求; (cid:122) 7.3 活动的输出 –信息资产; (cid:122) 7.4 活动的输出 –信息安全评估结果; (cid:122) 8.2 活动的输出 –风险评估方法; (cid:122) ISO/IEC27001; (cid:122) ISO/IEC27005。 实施指南 本阶段的下一个步骤被称为风险评估。基于业务与信息安全评估结果,了解实施ISMS 的风险评估对成功实施ISMS十分关键。评估风险的详细方法在ISO/IEC 27005中描述。 在执行风险评估时,要考虑的关键问题包括: a. 什么是业务方面的关键脆弱点? b. 什么是信息安全评估结果? c. 什么是潜在的威胁? d. 这些威胁发生的可能性是什么? e. 这些威胁对资产有什么影响? f. 什么是管理者接受的最小级别? 全面分析可以以小组讨论的方式进行;参与讨论的代表来自组织的不同部门,讨论的 代表可以不具有非常丰富和专业的安全知识但应具有识别影响业务安全的能力;应指定一 个富有经验的内部或外部讨论代表主持和推动小组讨论。 风险评估的参与者应具有丰富的有关组织的目标知识和信息安全知识(例:如能识别 到当前对组织的目标产生的威胁)的人员。为了能广泛代表组织,这些参与人员应进行挑 选,并包括: a. 高级管理者(例如 COO, CEO, CSO 和 CFO); b. 生产线管理人员(例如业务单位领导); c. 业务过程责任人(代表重要的业务部门); d. 其它人员-具有丰富的有关组织的目标知识和安全知识(例如能识别当前组织的目 标面临的威胁)的人员。 深度风险评估由具有解决其部门问题的能力的代表执行;然而,具有业务和技术两方 面能力的表现也很重要。组织的基本目标和任务是所有业务流程、专业程序和活动(包括 信息安全)的基础。信息通信技术应对组织的目标和业务流程提供有积极的支持;因此, - 39 - 为了建立一个适用的信息安全管理体系,每个组织都应该考虑该组织最重要的业务流程和 专业任务以及其对信息的依赖性。通过一个综合风险评估为信息安全管理方针制定可接受 的风险级别,但其拥有可供指导的资源是很重要的。整个组织面临的威胁和风险应在风险 评估阶段进行识别。 深入的风险评估可以帮助识别可以接受的风险级别,包括了解一整套规章制度,这样 形成了工作目标的指导方针。如果发现综合风险评估不覆盖整个组织或一个或者多个业务 流程尚未被满意的突显出来,或者那些明显的风险没有记录,则管理者可能需要一次深度 风险评估。在开发ISMS时,应考虑相关风险和评审下列问题: a. 组织的业务目标; b. 组织的安全目标; c. 法律要求和规章制度; d. 客户要求和现有合同; e. 内部的主要条件(例如,组织范围内的风险管理或IT基础设施); f. (IT-支持的) 业务流程和任务; g. 由于信息安全风险而造成对商业活动的全球性威胁 (例如,损害形象、违反法律、 违反合同义务、盗窃研究成果) ; 当残余风险(或计划)低于可接受风险级别时,管理者应检查和批准业务保持适当的风 险。 依据风险评估的结果,评审ISMS的范围、边界定义和ISMS方针,并确定其适用性。 输出 (cid:122) 综合风险评估文档; (cid:122) 关键部门的深度风险评估要求; (cid:122) 深度风险评估文档; (cid:122) 管理者批准接受残余风险文档; (cid:122) 管理者批准实施和运行ISMS的文档; (cid:122) 已批准的ISMS方针; (cid:122) 已批准的ISMS范围和边界定义。 其它信息 有关ISMS风险评估的更多指导,请参考ISO/IEC 27005。 - 40 - 8.4 风险处理计划和选择控制措施 8.4.1 风险处理和控制措施选择概要 活动 为了降低风险,要确认并评估风险处理方案,然后选择适当控制目标和控制措施。 输入 (cid:122) 7.4 活动的输出 –信息安全评估结果; (cid:122) 8.3 活动的输出 –风险评估结果; (cid:122) ISO/IEC27001; (cid:122) ISO/IEC27005。 实施指南 在已确认的各种风险中,有些风险需要进行处理;按照ISO/IEC 27005,有4种处理风 险的方法;ISMS的焦点在于力图降低风险发生的可能性;在某些少见的情况下,致力降低 风险产生的影响也很重要;总之,焦点应放在减少事件发生的可能性;这些事宜应写成风 险处理计划,例如从ISO/IEC 27002选择适当的控制措施以控制某个风险。控制措施的选 择应形成文档并编写于适用性声明(SOA)中。 输出 a. 各种风险及其确认的风险处理方案; b. 为降低风险选择的控制目标和控制措施。 其它信息 8.4.2 确认风险处理方案 风险处理计划就是要确认风险处理方案和制定风险处理列表。 风险处理方案是: a. 降低风险,通过选择适当的控制目标和控制措施; b. 保持风险,通过接受风险,即风险明显地满足组织的安全方针和风险接受准则; c. 避免风险,通过避免某些特殊风险; d. 转移风险,通过把风险转移到其它方。 风险处理列表阐明各种风险与风险处理方案之间详细的的关系。在降低风险的方案中风 险处理列表应指定哪些控制目标与控制措施降低风险。(想得到进一步的指导,请参考 ISO/IEC 27005) 根据第8章的风险处理列表至第9章(设计选择风险处理控制目标和控制措施)的风险处 理计划,以下过程可以作为降低风险的方法。 a. 风险处理列表描述实现风险处理控制目标与控制措施的适当策略。 b. 实施正确的控制措施降低数个相关风险,这意味着这些控制措施是为了降低风险 而选择的,这被称为选择控制目标和控制措施。 c. 第8章风险处理计划完成确认风险处理方案和选择风险处理控制目标与控制措 - 41 - 施,第9章帮助设计选择控制目标与控制措施,第10章支持实施它们。 d. 其它的风险处理方案,如保持风险、避免风险和转移风险描述于第9章和第10章。 8.4.3 选择控制目标和控制措施 ISO/IEC 27001中的“附录A控制目标和控制措施”,可用于选择风险处理的控制目标和 控制措施,如果“附录A”中没有适当的控制目标和控制措施,可以创建另外的控制目标和 控制措施,重要的是根据风险评估和风险处

信息安全管理体系实施指南-ISO 27003_2009_CN 第1页 第1页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第2页 第2页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第3页 第3页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第4页 第4页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第5页 第5页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第6页 第6页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第7页 第7页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第8页 第8页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第9页 第9页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第10页 第10页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第11页 第11页 / 共86页


信息安全管理体系实施指南-ISO 27003_2009_CN 第12页 第12页 / 共86页


说明:e文库 网站作为信息服务提供商,积极倡导原创、高质量的文档分享及各方权益的保护。本站只允许浏览文档前12页的内容,下载后的文档将可以浏览全部内容并且会比当前页面所见更加清晰,请放心下载!
下载此文档