ISO27001信息安全管理體系

　　Information Security Management Systems信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表(Checklists)等要素的集合。

　　概述

　　信息安全管理體系(Information Security Management System，簡稱為ISMS)是1998年前后從英國發展起來的信息安全領域中的一個新概念，是管理體系(Management System，MS)思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。 [1]

　　信息安全管理體系是組織機構單位按照信息安全管理體系相關標準的要求，制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。 信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的，ISO/IEC 27001標準是由BS7799-2標準發展而來。

　　信息安全管理體系ISMS是建立和維持信息安全管理體系的標準，標準要求組織通過確定信息安全管理體系范圍、制定信息安全方針、明確管理職責、以風險評估為基礎選擇控制目標與控制方式等活動建立信息安全管理體系;體系一旦建立組織應按體系規定的要求進行運作，保持體系運作的有效性;信息安全管理體系應形成一定的文件，即組織應建立并保持一個文件化的信息安全管理體系，其中應闡述被保護的資產、組織風險管理的方法、控制目標及控制方式和需要的保證程度。

　　編寫依據

　　簡述

　　組織對信息安全管理體系的采用是一個戰略決定。因為按照BS 7799-2:2002建立的信息安全管理體系需要在組織內形成良好的信息安全文化氛圍，它涉及到組織全體成員和全部過程，需要取得管理者的足夠的重視和有力的支持。

　　1)體系標準

　　要求：BS 7799-2:2002 《信息安全管理體系規范》 控制方式指南：ISO/IEC17799:2000《信息技術-信息安全管理實施細則》

　　2)要求

　　相關法律、法規及其他要求。

　　3)慣例、規章、制度

　　包括信息安全管理手冊、適用性說明、管理制度與規范、業務流程和記錄表單等;

　　4) 其他的文件

　　遵循原則

　　在編寫程序文件時應遵循下列原則：

　　程序文件一般不涉及純技術性的細節，細節通常在工作指令或作業指導書中規定; 程序文件是針對影響信息安全的各項活動的目標和執行做出的規定，它應闡明影響信息安全的管理人員、執行人員、驗證或評審人員的職責、權力和相互關系，說明實施各種不同活動的方式、將采用的文件及將采用的控制方式; 程序文件的范圍和詳細程度應取決于安全工作的復雜程度、所用的方法以及這項活動涉及人員所需的技能、素質和培訓程度; 程序文件應簡練、明確和易懂，使其具有可操作性和可檢查性; 程序文件應保持統一的結構與編排格式，便于文件的理解與使用。

　　注意事項

　　編寫信息安全管理體系程序文件時應注意：

　　程序文件要符合組織業務運作的實際，并具有可操作性;

　　可檢查性。實施信息安全管理體系的一個重要標志就是有效性的驗證。程序文件主要體現可檢查性，必要時附相應的控制標準; 在正式編寫程序文件之前，組織應根據標準的要求、風險評估的結果及組織的實際對程序文件的數量及其控制要點進行策劃，確保每個程序之間要有必要的銜接，避免相同的內容在不同的程序之間有較大的重復;另外，在能夠實現安全控制的前提下，程序文件數量和每個程序的篇幅越少越好; 程序文件應得到本活動相關部門負責人同意和接受，必須經過審批，注明修訂情況和有效期。

　　模式應用

　　PDCA簡介

　　計劃(Plan)——根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施;

　　實施(Do)——實施所選的安全控制措施;

　　檢查(Check)——依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查。 [2]

　　改進(Action)——根據ISMS審核、管理評審的結果及其他相關信息，采取糾正和預防措施，實現ISMS

　　的持繼改進。

　　PDCA過程模式

　　策劃：

　　依照組織整個方針和目標，建立與控制風險、提高信息安全有關的安全方針、目標、指標、過程和程序。

　　實施：

　　實施和運作方針(過程和程序)。

　　檢查：

　　依據方針、目標和實際經驗測量，評估過程業績，并向決策者報告結果。

　　措施：

　　采取糾正和預防措施進一步提高過程業績。

　　四個步驟成為一個閉環，通過這個環的不斷運轉，使信息安全管理體系得到持續改進，使信息安全績效(performance)螺旋上升。

　　PDCA的應用

　　P—建立信息安全管理體系環境&風險評估

　　要啟動PDCA 循環，必須有“啟動器”：提供必須的資源、選擇風險管理方法、確定評審方法、文件化實踐。設計策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識別并評估所有的信息安全風險，為這些風險制定適當的處理計劃。策劃階段的所有重要活動都要被文件化，以備將來追溯和控制更改情況。

　　1.確定范圍和方針

　　信息安全管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍，信息安全管理體系范圍文件應該涵蓋：

　　確立信息安全管理體系范圍和體系環境所需的過程; 戰略性和組織化的信息安全管理環境; 組織的信息安全風險管理方法; 信息安全風險評價標準以及所要求的保證程度; 信息資產識別的范圍。 　信息安全管理體系也可能在其他信息安全管理體系的控制范圍內。在這種情況下，上下級控制的關系有下列兩種可能：

　　下級信息安全管理體系不使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制不影響下級信息安全管理體系的PDCA 活動; 下級信息安全管理體系使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制可以被認為是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息安全管理體系的實施、檢查、措施活動，但是下級信息安全管理體系仍然有責任確認這些外部控制提供了充分的保護。 　安全方針是關于在一個組織內，指導如何對信息資產進行管理、保護和分配的規則、指示，是組織信息安全管理體系的基本法。組織的信息安全方針，描述信息安全在組織內的重要性，表明管理層的承諾，提出組織管理信息安全的方法，為組織的信息安全管理提供方向和支持。

　　2、定義風險評估的系統性方法

　　確定信息安全風險評估方法，并確定風險等級準則。評估方法應該和組織既定的信息安全管理體系范圍、信息安全需求、法律法規要求相適應，兼顧效果和效率。組織需要建立風險評估文件，解釋所選擇的風險評估方法、說明為什么該方法適合組織的安全要求和業務環境，介紹所采用的技術和工具，以及使用這些技術和工具的原因。評估文件還應該規范下列評估細節：a.信息安全管理體系內資產的估價，包括所用的價值尺度信息;b. 威脅及薄弱點的識別;c.可能利用薄弱點的威脅的評估，以及此類事故可能造成的影響;d.以風險評估結果為基礎的風險計算，以及剩余風險的識別。

　　3、識別風險

　　識別信息安全管理體系控制范圍內的信息資產;識別對這些資產的威脅;識別可能被威脅利用的薄弱點;識別保密性、完整性和可用性丟失對這些資產的潛在影響。

　　4、評估風險

　　根據資產保密性、完整性或可用性丟失的潛在影響，評估由于安全失敗(failure)可能引起的商業影響;根據與資產相關的主要威脅、薄弱點及其影響，以及實施的控制，評估此類失敗發生的現實可能性;根據既定的風險等級準則，確定風險等級。

　　5、識別并評價風險處理的方法

　　對于所識別的信息安全風險，組織需要加以分析，區別對待。如果風險滿足組織的風險接受方針和準則，那么就有意的、客觀的接受風險;對于不可接受的風險組織可以考慮避免風險或者將轉移風險;對于不可避免也不可轉移的風險應該采取適當的安全控制，將其降低到可接受的水平。

　　6、為風險的處理選擇控制目標與控制方式

　　選擇并文件化控制目標和控制方式，以將風險降低到可接受的等級。BS 7799-2:2002 附錄A 提供了可供選擇的控制目標與控制方式。不可能總是以可接受的費用將風險降低到可接受的等級，那么需要確定是增加額外的控制，還是接受高風險。在設定可接受的風險等級時，控制的強度和費用應該與事故的潛在費用相比較。這個階段還應該策劃安全破壞或者違背的探測機制，進而安排預防、制止、限制和恢復控制。在形式上，組織可以通過設計風險處理計劃來完成步驟5 和6。風險處理計劃是組織針對所識別的每一項不可接受風險建立的詳細處理方案和實施時間表，是組織安全風險和控制措施的接口性文檔。風險處理計劃不僅可以指導后續的信息安全管理活動，還可以作為與高層管理者、上級領導機構、合作伙伴或者員工進行信息安全事宜溝通的橋梁。這個計劃至少應該為每一個信息安全風險闡明以下內容：組織所選擇的處理方法;已經到位的控制;建議采取的額外措施;建議的控制的實施時間框架。

　　7、獲得最高管理者的授權批準

　　剩余風險(residual risks)的建議應該獲得批準，開始實施和運作信息安全管理體系需要獲得最高管理者的授權。

　　D—實施并運行

　　PDCA 循環中這個階段的任務是以適當的優先權進行管理運作，執行所選擇的控制，以管理策劃階段所識別的信息安全風險。對于那些被評估認為是可接受的風險， 不需要采取進一步的措施。對于不可接受風險，需要實施所選擇的控制，這應該與策劃活動中準備的風險處理計劃同步進行。計劃的成功實施需要有一個有效的管理系統，其中要規定所選擇方法、分配職責和職責分離，并且要依據規定的方式方法監控這些活動。

　　在不可接受的風險被降低或轉移之后，還會有一部分剩余風險。應對這部分風險進行控制，確保不期望的影響和破壞被快速識別并得到適當管理。本階段還需要分配適當的資源(人員、時間和資金)運行信息安全管理體系以及所有的安全控制。這包括將所有已實施控制的文件化，以及信息安全管理體系文件的積極維護。

　　提高信息安全意識的目的就是產生適當的風險和安全文化，保證意識和控制活動的同步，還必須安排針對信息安全意識的培訓，并檢查意識培訓的效果，以確保其持續有效和實時性。如有必要應對相關方事實有針對性的安全培訓，以支持組織的意識程序，保證所有相關方能按照要求完成安全任務。本階段還應該實施并保持策劃了的探測和響應機制。

　　C—監視并評審

　　檢查階段

　　又叫學習階段，是PDCA 循環的關鍵階段，是信息安全管理體系要分析運行效果，尋求改進機會的階段。如果發現一個控制措施不合理、不充分，就要采取糾正措施，以防止信息系統處于不可接受風險狀態。組織應該通過多種方式檢查信息安全管理體系是否運行良好，并對其業績進行監視，可能包括下列管理過程：

　　1、執行程序和其他控制以快速檢測處理結果中的錯誤;快速識別安全體系中失敗的和成功的破壞;能使管理者確認人工或自動執行的安全活動達到預期的結果;按照商業優先權確定解決安全破壞所要采取的措施;接受其他組織和組織自身的安全經驗。

　　2、常規評審信息安全管理體系的有效性;收集安全審核的結果、事故、以及來自所有股東和其他相關方的建議和反饋，定期對信息安全管理體系有效性進行評審。

　　3、評審剩余風險和可接受風險的等級;注意組織、技術、商業目標和過程的內部變化，以及已識別的威脅和社會風尚的外部變化，定期評審剩余風險和可接受風險等級的合理性。

　　4、審核是執行管理程序、以確定規定的安全程序是否適當、是否符合標準、以及是否按照預期的目的進行工作。審核的就是按照規定的周期(最多不超過一年)檢查信息安全管理體系的所有方面是否行之有效。審核的依據包括BS 7799-2:2002標準和組織所發布的信息安全管理程序。應該進行充分的審核策劃，以便審核任務能在審核期間內按部就班的展開。

　　評審

　　信息安全方針仍然是業務要求的正確反映; 正在遵循文件化的程序(信息安全管理體系范圍內)，并且能夠滿足其期望的目標; 有適當的技術控制(例如防火墻、實物訪問控制)，被正確的配置，且行之有效; 剩余風險已被正確評估，并且是組織管理可以接受的; 前期審核和評審所認同的措施已經被實施;審核會包括對文件和記錄的抽樣檢查，以及口頭審核管理者和員工。 正式評審：為確保范圍保持充分性，以及信息安全管理體系過程的持續改進得到識別和實施，組織應定期對信息安全管理體系進行正式的評審(最少一年評審一次)。 記錄并報告能影響信息安全管理體系有效性或業績的所有活動、事件。

　　A—改進

　　經過了策劃、實施、檢查之后，組織在措施階段必須對所策劃的方案給以結論，是應該繼續執行，還是應該放棄重新進行新的策劃?當然該循環給管理體系帶來明顯的業績提升，組織可以考慮是否將成果擴大到其他的部門或領域，這就開始了新一輪的PDCA 循環。在這個過程中組織可能持續的進行一下操作：

　　測量信息安全管理體系滿足安全方針和目標方面的業績。 識別信息安全管理體系的改進，并有效實施。 采取適當的糾正和預防措施。 溝通結果及活動，并與所有相關方磋商。 必要時修訂信息安全管理體系。 確保修訂達到預期的目標。 　在這個階段需要注意的是，很多看起來單純的、孤立的事件，如果不及時處理就可能對整個組織產生影響，所采取的措施不僅具有直接的效果，還可能帶來深遠的影響。組織需要把措施放在信息安全管理體系持續改進的大背景下，以長遠的眼光來打算，確保措施不僅致力于眼前的問題，還要杜絕類似事故再發生或者降低其在放生的可能性。

　　不符合、糾正措施和預防措施是本階段的重要概念。

　　不符合：是指實施、維持并改進所要求的一個或多個管理體系要素缺乏或者失效，或者是在客觀證據基礎上，信息安全管理體系符合安全方針以及達到組織安全目標的能力存在很大不確定性的情況。

　　糾正措施：組織應確定措施，以消除信息安全管理體系實施、運作和使用過程中不符合的原因，防止再發生。組織的糾正措施的文件化程序應該規定以下方面的要求：

　　識別信息安全管理體系實施、運作過程中的不符合; 確定不符合的原因; 評價確保不符合不再發生的措施要求; 取定并實施所需的糾正措施; 記錄所采取措施的結果; 評審所采取措施的有效性。 　預防措施：組織應確定措施，以消除潛在不符合的原因，防止其發生。預防措施應與潛在問題的影響程度相適應。預防措施的文件化程序應該規定以下方面的要求：

　　識別潛在不符合及其原因; 確定并實施所需的預防措施; 記錄所采取措施的結果; 評審所采取的預防措施; 識別已變化的風險，并確保對發生重大變化的風險予以關注。