国产精品欧美一区二区三区-色播久久人人爽人人爽人人片av-狠狠88综合久久久久综合网-国产综合无码一区二区色蜜蜜

1.1 如何建立ISMS

組織的業(yè)務目標和信息安全要求緊密相關。實際上，任何組織成功經(jīng)營的能力在很大程度上取決于其有效地管理其信息安全風險的才干。因此，如何確保信息安全已是各種組織改進其競爭能力的一個新的挑戰(zhàn)任務。組織建立一個基于ISO/IEC 27001:2005 ISMS，已成為時代的需要。

從簡單分析ISO/IEC 27001:2005標準的要求入手，下面的內(nèi)容論述了建立一個符合標準要求的ISMS的要點。

1.1.1 正確理解ISMS的含義和要素

ISMS建設人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標準的要求之后，才有可能建立一個符合要求的完善的ISMS。

ISMS的含義

在ISO/IEC 27001標準中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務風險方法為基礎，其目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。

如果一個組織有多個管理體系，例如包括ISMS、QMS（質(zhì)量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組成部分，或一個子管理體系。各個子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實現(xiàn)該組織的總目標。

ISMS的要素

標準還指出，管理體系包括“組織的結(jié)構、方針、規(guī)劃活動、職責、實踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：

1) 信息安全管理機構

通過信息安全管理機構，可建立各級安全組織、確定相關人員職責、策劃信息安全活動和實踐等。

2) ISMS文件

包括ISMS方針、過程、程序和其它必須的文件等。

3) 資源

包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設備等。

ISMS的建立要確保這些ISMS要素得到滿足。

1.1.2 建立信息安全管理機構

1) 信息安全管理機構的名稱  

標準沒有規(guī)定信息安全管理機構的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機構合并于現(xiàn)有管理體系的管理機構，實行一元化領導。

2) 信息安全管理機構的級別  

信息安全管理機構的級別應根據(jù)組織的規(guī)模和復雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設立三個不同級別的信息安全管理機構：

a) 高層：以總經(jīng)理或管理者代表為領導，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。

b) 中層：負責該組織日常信息安全的管理與監(jiān)督活動。

c) 基層：基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。

1.1.3 執(zhí)行標準要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：

1) 定義ISMS的范圍和邊界，形成ISMS的范圍文件；

2) 定義ISMS方針（包括建立風險評價的準則等）,形成ISMS方針文件；

3) 定義組織的風險評估方法；

4) 識別要保護的信息資產(chǎn)的風險，包括識別：

a） 資產(chǎn)及其責任人；

b） 資產(chǎn)所面臨的威脅；

c） 組織的脆弱點；

d） 資產(chǎn)保密性、完整性和可用性的喪失造成的影響。

5) 分析和評價安全風險，形成《風險評估報告》文件，包括要保護的信息資產(chǎn)清單；

6) 識別和評價風險處理的可選措施，形成《風險處理計劃》文件；

7) 根據(jù)風險處理計劃，選擇風險處理控制目標和控制措施，形成相關的文件；

8) 管理者正式批準所有殘余風險；

9) 管理者授權ISMS的實施和運行；

10) 準備適用性聲明。

1.1.4 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準，是ISO/IEC 27001:2005的具體體現(xiàn)。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標準-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。

(1) ISMS文件的類型

根據(jù)ISO/IEC 27001:2005標準的要求，ISMS文件有三種類型。

1) 方針類文件（Policies）

方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：

a） ISMS方針（ISMS policy）；

b） 信息安全方針（information security policy）。

2) 程序類文件（Procedures）

3) 記錄（Records）

記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關程序文件運行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表格形式。

4) 適用性聲明文件（Statement of Applicability, 簡稱SOA）

ISO/IEC 27001:2005標準的附錄A提供許多控制目標和控制措施。這些控制目標和控制措施是最佳實踐。對于這些控制目標和控制措施，實施ISMS的組織只要有正當性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。

(2) 必須的文件  

“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件（mandatory documents）。“4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：

1) ISMS方針 

ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護其信息資產(chǎn)的原則和方向，以及各方面人員的職責等。

2) ISMS的范圍

3) 支持ISMS的程序和控制措施；

4) 風險評估方法的描述；

5) 風險評估報告；

6) 風險處理計劃；

7) 控制措施有效性的測量程序；

8) 本標準所要求的記錄；

9) 適用性聲明。

(3) 可選的文件  

除了上述必須的文件外，組織可以根據(jù)其實際的業(yè)務活動和風險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:

1) 組織的業(yè)務活動及風險；

2) 安全要求的嚴格程度；

3) 管理的體系的范圍和復雜程度。

這里，需要特別提出的是，ISMS的特點之一是風險評估和風險管理。組織需要哪些ISMS文件及其復雜程度如何，通?？筛鶕?jù)風險評估決定。如果風險評估的結(jié)果，發(fā)現(xiàn)有不可接受的風險，那么就應識別處理這些風險的可能方法，包括形成相關文件。

(4) 文件的符合性  

ISMS文件的符合性包括符合相關法律法規(guī)的要求、符合ISO/IEC 27001:2005標準4-8章的所有要求和符合本組織的實際要求。為此：

1) 參考相關法律法規(guī)要求和標準要求

在編寫ISMS文件時，編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j） 準備適用性聲明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。

2) 將本組織的最好實踐形成文件

為了易于操作，編寫者最好把本組織當前的最好實踐寫下來，補充標準的要求，形成統(tǒng)一格式的文件。

3) 保持一致性

a） 同一個文件中，上下文不能有不一致或矛盾的地方

b） 同一個體系的不同文件之間不能有矛盾的地方

c）  不同體系的文件之間不能有不一致的地方

如果組織同時運行多個管理體系，例如質(zhì)量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個體系的文件之間應相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達上，應準確，無二義