1.???? ISMS認(rèn)證

1.1?? 什么是ISMS認(rèn)證

所謂認(rèn)證，即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對(duì)受審核方實(shí)施審核，以證實(shí)某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動(dòng)。
針對(duì)ISO/IEC 27001的受認(rèn)可的認(rèn)證，是對(duì)組織ISMS符合ISO/IEC 27001 要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了ISMS，并且符合ISO/IEC 27001標(biāo)準(zhǔn)的要求。通過認(rèn)證的組織，將會(huì)被注冊(cè)登記。

1.2?? 為什么要進(jìn)行ISMS認(rèn)證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計(jì)， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報(bào)告中同時(shí)表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢?，我們的信息安全手段并不奏效，信息安全現(xiàn)狀不容樂觀。
實(shí)際上，只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國(guó)際上公認(rèn)的最佳實(shí)踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實(shí)現(xiàn)其恰當(dāng)?shù)淖饔?。采用ISMS標(biāo)準(zhǔn)并得到認(rèn)證無(wú)疑是組織應(yīng)該考慮的方案之一。
1)??????? 預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：
l? 依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別，安排安全控制措施的投資優(yōu)先級(jí)；
l? 對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn)，不投資安全控制；
3)??????? 保持組織良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)；
4)??????? 增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。

1.3?? ISMS認(rèn)證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無(wú)論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。
ISO/IEC 27001:2005可以作為評(píng)估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無(wú)論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。
就目前國(guó)內(nèi)發(fā)展來看，最先確定實(shí)施ISMS 并考慮接受ISO/IEC 27001:2005認(rèn)證的組織，其驅(qū)動(dòng)力都比較明顯，這種驅(qū)動(dòng)力可以是外部的，也可以是發(fā)自內(nèi)部的。這些組織主要集中在以下幾個(gè)行業(yè)：
u 半導(dǎo)體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國(guó)內(nèi)最近幾年IC 產(chǎn)業(yè)發(fā)展迅猛，大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都飛往國(guó)內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識(shí)產(chǎn)權(quán)）保護(hù)的重要性，來自國(guó)外客戶的明確要求，使得國(guó)內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔(dān)軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護(hù)的要求。
u 金融業(yè)和保險(xiǎn)業(yè)：一直以來，金融和保險(xiǎn)行業(yè)對(duì)信息安全的重視都是非常高的，保護(hù)客戶信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實(shí)施ISMS，并尋求認(rèn)證的驅(qū)動(dòng)力。
u 通訊行業(yè)：特別是一些大型的通信設(shè)備提供商，由于牽涉到對(duì)自身核心技術(shù)的保護(hù)，對(duì)信息安全加以重視并全面實(shí)施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務(wù)行業(yè)：對(duì)于電子商務(wù)交易平臺(tái)、電子商務(wù)支付平臺(tái)，由于客戶以及合作伙伴對(duì)交易過程的高度安全需求，導(dǎo)致這類組織都會(huì)在信息安全建設(shè)方面加大投入建設(shè)，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會(huì)逐漸在信息安全建設(shè)上加強(qiáng)力度，就拿美國(guó)Sarbanes-Oxley 法案（薩班斯法案，簡(jiǎn)稱SOX 法案）來說，由于對(duì)在SEC 注冊(cè)的上市公司提出了內(nèi)部控制審核的要求，相關(guān)組織必然會(huì)在信息安全方面投入關(guān)注，因?yàn)樾畔踩刂剖瞧髽I(yè)內(nèi)部控制必不可少的一個(gè)部分。

1.4?? 全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì)

1.4.1???? 全球ISMS證書統(tǒng)計(jì)

自2002年以來，全球許多組織開始建立和實(shí)施ISMS，并認(rèn)識(shí)到ISMS認(rèn)證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認(rèn)證的組織已達(dá)3274家，其中包括我國(guó)大陸的41家（在xisec網(wǎng)站上列出了39個(gè)證書的企業(yè)名稱），臺(tái)灣112家，香港26家和澳門3家。

1.4.2???? 中國(guó)ISMS證書統(tǒng)計(jì)

中國(guó)大陸地區(qū)目前已經(jīng)取得ISMS認(rèn)證的企業(yè)有44家（xisec網(wǎng)站上只統(tǒng)計(jì)了41個(gè)證書），大多數(shù)都是從去年下半年開始新出現(xiàn)的，詳見表二。
在這44個(gè)證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽(yáng) 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產(chǎn)業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務(wù)5家；咨詢業(yè)3家；電力行業(yè)2家；保險(xiǎn)業(yè) 2家；廣告、業(yè)務(wù)流程外包、數(shù)據(jù)恢復(fù)、互聯(lián)網(wǎng)各1家。

1.4.3???? 中國(guó)政府關(guān)注ISMS

u?? 2000年4月，北京知識(shí)安全中心把ISMS介紹給國(guó)信安辦（原）；
u?? 2002年4月，認(rèn)監(jiān)委與國(guó)信辦在中認(rèn)大廈召開國(guó)家ISMS認(rèn)證認(rèn)可高層研討會(huì)；
u?? 2002年11月，信安標(biāo)委WG7開始研究和制定ISMS國(guó)家標(biāo)準(zhǔn)；
u?? 2004年4月，認(rèn)監(jiān)委在其辦公大樓會(huì)議室召開ISMS認(rèn)證認(rèn)可工作會(huì)議；
u?? 2005年6月15日，我國(guó)發(fā)布第一個(gè)ISMS國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000；
u?? 2006年2月，國(guó)信辦在5個(gè)單位開展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作：國(guó)家稅務(wù)總局、證監(jiān)會(huì)、北京、上海、武鋼；
u?? 2006年3月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)：信產(chǎn)部4所、華夏認(rèn)證中心、上海認(rèn)證中心、賽寶認(rèn)證中心；

1.4.4???? ISMS認(rèn)證發(fā)展趨勢(shì)

自2002年以來，根據(jù)ISMS官方網(wǎng)站陸續(xù)公布的數(shù)字，全球ISMS證書數(shù)量每年都在成倍增長(zhǎng)，下圖體現(xiàn)了ISMS證書在全球范圍快速的趨勢(shì)。
 
從這些統(tǒng)計(jì)數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競(jìng)爭(zhēng)力的選擇。

1.5?? 如何建設(shè)ISMS并取得認(rèn)證

組織在確定實(shí)施ISMS建設(shè)及認(rèn)證項(xiàng)目后，通常有兩種途徑可以去操作以取得ISMS認(rèn)證，兩種途徑各有所長(zhǎng)，關(guān)鍵是看組織自身所具備的特點(diǎn)和看問題的角度。
一：組織內(nèi)部成立專人專項(xiàng)工作組，按照計(jì)劃自我實(shí)施。
u? 適合對(duì)象：組織規(guī)模不大、業(yè)務(wù)模式簡(jiǎn)單、信息系統(tǒng)也不復(fù)雜。
u? 優(yōu)??? 點(diǎn)：自我實(shí)施比較經(jīng)濟(jì)快捷。
u? 缺??? 點(diǎn)：要求組織有勝任的人員，且對(duì)信息安全的認(rèn)識(shí)和運(yùn)作已經(jīng)達(dá)到了一定高度。
二：選擇有實(shí)力的咨詢機(jī)構(gòu)，幫助組織完成項(xiàng)目。
u? 適合對(duì)象：組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對(duì)IT的依賴廣泛，更重要的是，組織本身對(duì)信息安全的意識(shí)和運(yùn)作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點(diǎn)：咨詢機(jī)構(gòu)會(huì)把一些成熟的經(jīng)驗(yàn)移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對(duì)癥下藥。此外，有經(jīng)驗(yàn)的咨詢機(jī)構(gòu)和顧問通常都能比較好地把握認(rèn)證機(jī)構(gòu)的“偏好“和習(xí)慣，這一點(diǎn)尤其對(duì)最終通過認(rèn)證尤其重要。一般來說，咨詢機(jī)構(gòu)可以在人員培訓(xùn)、全程輔導(dǎo)、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點(diǎn)：組織須承擔(dān)相關(guān)的咨詢費(fèi)用。
當(dāng)然，無(wú)論是選擇自我實(shí)施，還是請(qǐng)外部的咨詢機(jī)構(gòu)和顧問，組織都應(yīng)該知道，實(shí)施ISMS 認(rèn)證項(xiàng)目，必須要有一套行之有效的方法，事先要對(duì)整個(gè)過程做好計(jì)劃。
在建設(shè)ISMS的方法上，ISO/IEC 27001:2005標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議，即基于PDCA 的持續(xù)改進(jìn)的管理模式；另一方面，ISMS 實(shí)施及認(rèn)證項(xiàng)目可以借鑒很多成熟的管理體系實(shí)施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

The post ISMS ISO27001認(rèn)證介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.

1.???? ISMS概述

1.1?? 什么是ISMS

信息安全管理體系（Information Security Management System，簡(jiǎn)稱為ISMS）是1998年前后從英國(guó)發(fā)展起來的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（Management System，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國(guó)際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國(guó)、各種類型、各種規(guī)模的組織解決信息安全問題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005（信息安全管理體系 要求）的第3章術(shù)語(yǔ)和定義中，對(duì)ISMS的定義如下：
ISMS（信息安全管理體系）：是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。
這個(gè)定義看上去同其他管理體系的定義描述不盡相同，但我們也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針和目標(biāo)，并實(shí)現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、相互作用的要素。
ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結(jié)構(gòu)也基本一致。
單純從定義理解，可能無(wú)法立即掌握ISMS的實(shí)質(zhì)，我們可以把ISMS理解為一臺(tái)“機(jī)器”，這臺(tái)機(jī)器的功能就是制造“信息安全”，它由許多“部件”（要素）構(gòu)成，這些“部件”包括ISMS管理機(jī)構(gòu)、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實(shí)現(xiàn)其“保障信息安全”的功能。
 
 

1.2?? 為什么需要ISMS

今天，我們已經(jīng)身處信息時(shí)代，在這個(gè)時(shí)代，“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務(wù)越來越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)。
可是，計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí)，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢(shì)：
2005年6月19日，萬(wàn)事達(dá)公司宣布，儲(chǔ)存有大約4千萬(wàn)信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號(hào)的信息資料已經(jīng)在互聯(lián)網(wǎng)上公開出售，每條100美元，并可能被用于金融欺詐活動(dòng)。
2005年5月19日，深圳市中級(jí)人民法院對(duì)華為公司訴其前員工案作出終審判決，維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3名前華為公司員工，因辭職后帶走公司技術(shù)資料并以此贏利。這3名高學(xué)歷的IT界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過兩到三年光陰。
2005年7月12日下午2時(shí)35分，承載著超過200萬(wàn)用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時(shí)大面積中斷。北京網(wǎng)通隨即投入大量人力物力緊急搶修，至3時(shí)30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬(wàn)北京網(wǎng)民。
2006年5月8日上午8時(shí)左右，中國(guó)工程院院士，著名的傳染病學(xué)專家鐘南山在上班的路上，被劫匪很“柔和”地?fù)屪吡耸种械墓P記本電腦。事后鐘院士說“一個(gè)科技工作者的作品、心血都在電腦里面，電腦里還存著正在研制的新藥方案，要是這個(gè)研究方案變成一種新藥，那是幾個(gè)億的價(jià)值啊”。
（以上案例均來自互聯(lián)網(wǎng)）
這幾個(gè)案例僅僅是冰山一角，打開電視、翻翻報(bào)紙、瀏覽一下互聯(lián)網(wǎng)，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，將給組織帶來直接的經(jīng)濟(jì)損失、損害組織的聲譽(yù)和公眾形象，使組織喪失市場(chǎng)機(jī)會(huì)和競(jìng)爭(zhēng)力，更為甚者，會(huì)威脅到組織的生存。
因此，保護(hù)信息資產(chǎn)，解決信息安全問題，已經(jīng)成為組織必須考慮的問題。
信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購(gòu)和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測(cè)、隱患掃描等，仍然無(wú)法避免一些信息安全事件的發(fā)生，組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問題，信息安全成本和效益的平衡問題，信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題，依靠產(chǎn)品和技術(shù)是解決不了的。
人們開始逐漸意識(shí)到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月，國(guó)際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)－ISO/IEC 17799:2000“信息安全管理實(shí)用規(guī)則（Code of practice for information security management）”，2005年6月，國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”。
自此，ISMS在國(guó)際上確立并發(fā)展起來。今天，ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題。

1.3?? 如何建立ISMS

組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實(shí)際上，任何組織成功經(jīng)營(yíng)的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于ISO/IEC 27001:2005 ISMS，已成為時(shí)代的需要。
從簡(jiǎn)單分析ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求入手，下面的內(nèi)容論述了建立一個(gè)符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。

1.3.1???? 正確理解ISMS的含義和要素

ISMS建設(shè)人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求之后，才有可能建立一個(gè)符合要求的完善的ISMS。
ISMS的含義
在ISO/IEC 27001標(biāo)準(zhǔn)中，已對(duì)ISMS做出了明確的定義。通俗地說，組織有一個(gè)總管理體系，ISMS是這個(gè)總管理體系的一部分，或總管理體系的一個(gè)子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。
如果一個(gè)組織有多個(gè)管理體系，例如包括ISMS、QMS（質(zhì)量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個(gè)管理體系只是該組織總管理體系中的一個(gè)組成部分，或一個(gè)子管理體系。各個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。
ISMS的要素
標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：
1)??????? 信息安全管理機(jī)構(gòu)
通過信息安全管理機(jī)構(gòu)，可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動(dòng)和實(shí)踐等。
2)??????? ISMS文件
包括ISMS方針、過程、程序和其它必須的文件等。
3)??????? 資源
包括建立與實(shí)施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等。
ISMS的建立要確保這些ISMS要素得到滿足。

1.3.2???? 建立信息安全管理機(jī)構(gòu)

1)??????? 信息安全管理機(jī)構(gòu)的名稱
標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運(yùn)行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。
2)??????? 信息安全管理機(jī)構(gòu)的級(jí)別
信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對(duì)于中等以上規(guī)模的組織，最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu)：
a)????? 高層：以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個(gè)明確的方向和提供管理承諾和必要的資源。
b)????? 中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。
c)????? 基層：基層部門指定一位兼職的信息安全檢查員，實(shí)施對(duì)其本部門的日常信息安全監(jiān)視和檢查工作。

1.3.3???? 執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：
1)??????? 定義ISMS的范圍和邊界，形成ISMS的范圍文件；
2)??????? 定義ISMS方針（包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等）,形成ISMS方針文件；
3)??????? 定義組織的風(fēng)險(xiǎn)評(píng)估方法；
4)??????? 識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)，包括識(shí)別：
a） 資產(chǎn)及其責(zé)任人；
b）資產(chǎn)所面臨的威脅；
c） 組織的脆弱點(diǎn)；
d）? 資產(chǎn)保密性、完整性和可用性的喪失造成的影響。
5)??????? 分析和評(píng)價(jià)安全風(fēng)險(xiǎn)，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》文件，包括要保護(hù)的信息資產(chǎn)清單；
6)??????? 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施，形成《風(fēng)險(xiǎn)處理計(jì)劃》文件；
7)??????? 根據(jù)風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施，形成相關(guān)的文件；
8)??????? 管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)；
9)??????? 管理者授權(quán)ISMS的實(shí)施和運(yùn)行；
10)??? 準(zhǔn)備適用性聲明。

1.3.4???? 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實(shí)際上，ISMS文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn)，是ISO/IEC 27001:2005的具體體現(xiàn)。對(duì)一般員工來說，在其實(shí)際工作中，可以不過問國(guó)際信息安全管理標(biāo)準(zhǔn)-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。
(1) ISMS文件的類型
根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，ISMS文件有三種類型。
1)??????? 方針類文件（Policies）
方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：
a） ISMS方針（ISMS policy）；
b）信息安全方針（information security policy）。
2)??????? 程序類文件（Procedures）
3)??????? 記錄（Records）
記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表格形式。
4)??????? 適用性聲明文件（Statement of Applicability, 簡(jiǎn)稱SOA）
ISO/IEC 27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實(shí)踐。對(duì)于這些控制目標(biāo)和控制措施，實(shí)施ISMS的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。
(2) 必須的文件
“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強(qiáng)制性文件（mandatory documents）?！?.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：
1)??????? ISMS方針
ISMS方針是組織的頂級(jí)文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的職責(zé)等。
2)??????? ISMS的范圍
3)??????? 支持ISMS的程序和控制措施；
4)??????? 風(fēng)險(xiǎn)評(píng)估方法的描述；
5)??????? 風(fēng)險(xiǎn)評(píng)估報(bào)告；
6)??????? 風(fēng)險(xiǎn)處理計(jì)劃；
7)??????? 控制措施有效性的測(cè)量程序；
8)??????? 本標(biāo)準(zhǔn)所要求的記錄；
9)??????? 適用性聲明。
(3) 可選的文件
除了上述必須的文件外，組織可以根據(jù)其實(shí)際的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:
1)??????? 組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；
2)??????? 安全要求的嚴(yán)格程度；
3)??????? 管理的體系的范圍和復(fù)雜程度。
這里，需要特別提出的是，ISMS的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。組織需要哪些ISMS文件及其復(fù)雜程度如何，通常可根據(jù)風(fēng)險(xiǎn)評(píng)估決定。如果風(fēng)險(xiǎn)評(píng)估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險(xiǎn)，那么就應(yīng)識(shí)別處理這些風(fēng)險(xiǎn)的可能方法，包括形成相關(guān)文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求。為此：
1)??????? 參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求
在編寫ISMS文件時(shí)，編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如，在編寫ISMS方針時(shí)，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時(shí)，要參考ISO/IEC 27001 “4.2.1 j） 準(zhǔn)備適用性聲明”；編寫文件控制程序時(shí)，要參考ISO/IEC 27001 “4.3.2文件控制”等等。
2)??????? 將本組織的最好實(shí)踐形成文件
為了易于操作，編寫者最好把本組織當(dāng)前的最好實(shí)踐寫下來，補(bǔ)充標(biāo)準(zhǔn)的要求，形成統(tǒng)一格式的文件。
3)??????? 保持一致性
a） 同一個(gè)文件中，上下文不能有不一致或矛盾的地方
b） 同一個(gè)體系的不同文件之間不能有矛盾的地方
c） 不同體系的文件之間不能有不一致的地方
如果組織同時(shí)運(yùn)行多個(gè)管理體系，例如質(zhì)量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個(gè)體系的文件之間應(yīng)相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達(dá)上，應(yīng)準(zhǔn)確，無(wú)二義。

The post ISO/IEC27001知識(shí)體系 first appeared on 深圳市安信達(dá)咨詢有限公司.