一、??? 資產(chǎn)的分類

資產(chǎn)的分級標(biāo)準(zhǔn)

資產(chǎn)的等級通過資產(chǎn)的機(jī)密性（C）、完整性（I）和可用性(A)三個因素表現(xiàn)。計算公式為：機(jī)密性價值（C）＋完整性價值（I）＋可用性價值（A）
每個因素的判定標(biāo)準(zhǔn)如下：

二、

The post ISO27001資產(chǎn)和資產(chǎn)風(fēng)險等級劃分準(zhǔn)則 first appeared on 深圳市安信達(dá)咨詢有限公司.

The post ISO27001 信息安全基本方針（實例） first appeared on 深圳市安信達(dá)咨詢有限公司.

The post ISO27001信息安全管理體系認(rèn)證背景 first appeared on 深圳市安信達(dá)咨詢有限公司.

信息安全管理體系要求

Information technology- Security techniques

-Information security management systems-requirements

（ISO/IEC 27001:2005）

 
目次
前言………………………………………………………………….. II
引言…………………………………………………………………. III
1 范圍…………………………………………………………………….. 1
2 規(guī)范性引用文件……………………………………………………………. 1
3 術(shù)語和定義……………………………………………………………….. 1
4 信息安全管理體系（ISMS）…………………………………………………… 3
5 管理職責(zé)…………………………………………………………………. 6
6 內(nèi)部ISMS審核…………………………………………………………….. 7
7 ISMS的管理評審……………………………………………………………. 7
8 ISMS改進(jìn)…………………………………………………………………. 8
附錄A （規(guī)范性附錄） 控制目標(biāo)和控制措施……………………………………. 9
附錄B （資料性附錄） OECD原則和本標(biāo)準(zhǔn)……………………………………. 20
附錄C （資料性附錄） ISO 9001:2000, ISO 14001:2004 和本標(biāo)準(zhǔn)之間的對照…………… 21
 
引言
0.1 總則
本標(biāo)準(zhǔn)用于為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Information Security
Management System，簡稱ISMS）提供模型。采用ISMS 應(yīng)當(dāng)是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS 的設(shè)計和實施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS 解決方案。
本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估。
0.2 過程方法
本標(biāo)準(zhǔn)采用一種過程方法來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)一個組織的ISMS。
一個組織必須識別和管理眾多活動使之有效運(yùn)作。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意活動，可以視為一個過程。通常，一個過程的輸出可直接構(gòu)成下一過程的輸入。
一個組織內(nèi)諸過程的系統(tǒng)的運(yùn)用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵其用戶強(qiáng)調(diào)以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要；
b) 從組織整體業(yè)務(wù)風(fēng)險的角度，實施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險；
c) 監(jiān)視和評審ISMS 的執(zhí)行情況和有效性；
d) 基于客觀測量的持續(xù)改進(jìn)。
本標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型可應(yīng)用于所有的ISMS 過程。圖1 說明了ISMS 如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖1 也描述了4、5、6、7 和8 章所提出的過程間的聯(lián)系。
采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002 版）中所設(shè)置的原則。本標(biāo)準(zhǔn)為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則提供了一個強(qiáng)健的模型。
例1：某些信息安全缺陷不至于給組織造成嚴(yán)重的財務(wù)損失和/或使組織陷入困境，這可能是一種要求。
例2：如果發(fā)生了嚴(yán)重的事故——可能是組織的電子商務(wù)網(wǎng)站被黑客入侵——應(yīng)有經(jīng)充分培訓(xùn)的員工按照適當(dāng)?shù)某绦?，將事件的影響降至最小。這可能是一種期望。
備注：因文章編輯原因，該圖片不可顯示，PDCA模型與ISO9001模型一致，不到之處敬請原諒。沉默的王安石
圖1 應(yīng)用于ISMS 過程的PDCA 模型

 
0.3 與其它管理體系的兼容性
本標(biāo)準(zhǔn)與GB/T 19001-2000 及GB/T 24001-1996 相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實施和運(yùn)行。因此，一個設(shè)計恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1 說明了本標(biāo)準(zhǔn)、GB/T19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計能夠使一個組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。
信息技術(shù)安全技術(shù)信息安全管理體系要求
重點(diǎn)：本出版物不聲稱包括一個合同所有必要的規(guī)定。用戶負(fù)責(zé)對其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。
 
1 范圍

1.1 總則
本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的整體
業(yè)務(wù)風(fēng)險的角度，為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS 規(guī)定了要求。它規(guī)定
了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISMS的設(shè)計應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。
注1：本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個組織生存的核心活動。
注2：ISO/IEC 17799提供了設(shè)計控制措施時可使用的實施指南。
1.2 應(yīng)用
本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時，對于
4、5、6、7 和8 章的要求不能刪減。
為了滿足風(fēng)險接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證
明相關(guān)風(fēng)險已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險評估和適用法律法規(guī)要求所確定的安全
要求的能力和/或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。
注：如果一個組織已經(jīng)有一個運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO 9001 或者ISO 14001 相
關(guān)的），那么在大多數(shù)情況下，更可取的是在這個現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。
 
2 規(guī)范性引用文件
下列參考文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本
標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。
ISO/IEC 17799:2005，信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則。
 
3 術(shù)語和定義
本標(biāo)準(zhǔn)采用以下術(shù)語和定義。
3.1
資產(chǎn)asset
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。
3.2
可用性availability
根據(jù)授權(quán)實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4
信息安全information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認(rèn)性和可靠性
等特性[ISO/IEC 17799：2005]。
3.5
信息安全事件information security event
信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反
或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6
信息安全事故information security incident
一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威
脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7
信息安全管理體系（ISMS） information security management system（ISMS）
是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改
進(jìn)信息安全的。
注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源。
3.8
完整性integrity
保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風(fēng)險residual risk
經(jīng)過風(fēng)險處理后遺留的風(fēng)險[ISO/IEC Guide 73:2002]。
3.10
風(fēng)險接受risk acceptance
接受風(fēng)險的決定[ISO/IEC Guide 73：2002]。
3.11
風(fēng)險分析risk analysis
系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險[ISO/IEC Guide 73：2002]。
3.12
風(fēng)險評估risk assessment
風(fēng)險分析和風(fēng)險評價的整個過程[ISO/IEC Guide 73：2002]。
3.13
風(fēng)險評價risk evaluation
將估計的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程[ISO/IEC Guide 73：2002]。
3.14
風(fēng)險管理risk management
指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動[ISO/IEC Guide 73：2002]。
3.15
風(fēng)險處理risk treatment
選擇并且執(zhí)行措施來更改風(fēng)險的過程[ISO/IEC Guide 73：2002]。
注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作“措施”的同義詞。
3.16
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。
注：控制目標(biāo)和控制措施基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于信息安全的業(yè)務(wù)要求。
 
4 信息安全管理體系（ISMS）

4.1 總要求
一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)
文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。

4.2 建立和管理ISMS
4.2.1 建立ISMS
組織應(yīng)：
a) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 的范圍和邊界，包括對例外于此范
圍的對象作出詳情和合理性的說明（見1.2）。
b) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 方針，應(yīng)：
1) 為其目標(biāo)建立一個框架并為信息安全行動建立整體的方向和原則；
2) 考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；
3) 在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS；
4) 建立風(fēng)險評價的準(zhǔn)則[見4.2.1 c]]；
5) 獲得管理者批準(zhǔn)。
注：就本標(biāo)準(zhǔn)的目的而言，ISMS 方針被認(rèn)為是信息安全方針的一個擴(kuò)展集。這些方針可以在
一個文件中進(jìn)行描述。
c) 確定組織的風(fēng)險評估方法
1）識別適合ISMS、已識別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險評估方法。
2）制定接受風(fēng)險的準(zhǔn)則，識別可接受的風(fēng)險級別（見5.1f）。
選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。
注：風(fēng)險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù)IT 安全管理指南：IT 安全
管理技術(shù)》中描述了風(fēng)險評估方法的例子。
d) 識別風(fēng)險
1) 識別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識別資產(chǎn)所面臨的威脅；
3) 識別可能被威脅利用的脆弱點(diǎn)；
4) 識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。
術(shù)語“責(zé)任人”標(biāo)識了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個人或?qū)嶓w。術(shù)語“責(zé)任人”不是指該人員實際上對資產(chǎn)擁有所有權(quán)。
e) 分析和評價風(fēng)險
1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造
成的對組織的影響。
2) 評估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實可能性、對資產(chǎn)的影響以及當(dāng)前所實施的控
制措施。
3) 估計風(fēng)險的級別。
4) 確定風(fēng)險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險的準(zhǔn)則進(jìn)行處
理。
f) 識別和評價風(fēng)險處理的可選措施
可能的措施包括：
1) 采用適當(dāng)?shù)目刂拼胧?br /> 2) 在明顯滿足組織方針策略和接受風(fēng)險的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險[見4.2.1
c)2)]；
3) 避免風(fēng)險；
4) 將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其他方，如：保險，供應(yīng)商等。
g) 為處理風(fēng)險選擇控制目標(biāo)和控制措施
應(yīng)選擇和實施控制目標(biāo)和控制措施以滿足風(fēng)險評估和風(fēng)險處理過程中所識別的要求。這種選擇
應(yīng)考慮接受風(fēng)險的準(zhǔn)則（見4.2.1c）2））以及法律法規(guī)和合同要求。
從附錄A 中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識別的要求。
附錄A 所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。
注：附錄A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A 作為選擇
控制措施的出發(fā)點(diǎn)，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風(fēng)險的批準(zhǔn)
i) 獲得管理者對實施和運(yùn)行ISMS 的授權(quán)
j) 準(zhǔn)備適用性聲明（SoA）
應(yīng)從以下幾方面準(zhǔn)備適用性聲明：
1） 從4.2.1 g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；
2） 當(dāng)前實施的控制目標(biāo)和控制措施（見4.2.1e）2））；
3） 對附錄A 中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關(guān)于風(fēng)險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺
漏控制措施。
 
4.2.2 實施和運(yùn)行ISMS
組織應(yīng)：
a) 為管理信息安全風(fēng)險識別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險處理計劃（見
第5 章）。
b) 實施風(fēng)險處理計劃以達(dá)到已識別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。
c) 實施4.2.1 g）中所選擇的控制措施，以滿足控制目標(biāo)。
d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效
性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見4.2.3c)）。
注：測量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計劃的控制目標(biāo)的程度。
e) 實施培訓(xùn)和意識教育計劃（見5.2.2）。
f) 管理ISMS 的運(yùn)行。
g) 管理ISMS 的資源（見5.2）。
h) 實施能夠迅速檢測安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a））。
 
4.2.3 監(jiān)視和評審ISMS
組織應(yīng)：
a) 執(zhí)行監(jiān)視和評審程序和其它控制措施，以：
1) 迅速檢測過程運(yùn)行結(jié)果中的錯誤；
2) 迅速識別試圖的和得逞的安全違規(guī)和事故；
3) 使管理者確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否被如期執(zhí)行；
4) 通過使用指標(biāo)，幫助檢測安全事件并預(yù)防安全事故；
5) 確定解決安全違規(guī)的措施是否有效。
b) 在考慮安全審核結(jié)果、事故、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行ISMS
有效性的定期評審（包括滿足ISMS 方針和目標(biāo)，以及安全控制措施的評審）。
c) 測量控制措施的有效性以驗證安全要求是否被滿足。
d) 按照計劃的時間間隔進(jìn)行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進(jìn)行
評審，應(yīng)考慮以下方面的變化：
1) 組織結(jié)構(gòu)；
2) 技術(shù)；
3) 業(yè)務(wù)目標(biāo)和過程；
4) 已識別的威脅；
5) 已實施控制措施的有效性；
6) 外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。
e) 按計劃的時間間隔，對ISMS 進(jìn)行內(nèi)部審核（見第6 章）。
注：內(nèi)部審核，有時稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。
f) 定期對ISMS 進(jìn)行管理評審，以確保ISMS 范圍保持充分，ISMS 過程的改進(jìn)得到識別（見7.1）。
g) 考慮監(jiān)視和評審活動的結(jié)果，以更新安全計劃。
h) 記錄可能影響ISMS 的有效性或執(zhí)行情況的措施和事件（見4.3.3）。
 
4.2.4 保持和改進(jìn)ISMS
組織應(yīng)經(jīng)常：
a) 實施已識別的ISMS 改進(jìn)措施。
b) 依照8.2 和8.3 采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓(xùn)。
c) 向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時，商定如何進(jìn)行。
d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。
 
 
4.3 文件要求
4.3.1 總則
文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)
果是可重復(fù)產(chǎn)生的。
至關(guān)重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處理過程的結(jié)果、并進(jìn)而回溯
到ISMS 方針和目標(biāo)之間的關(guān)系。
ISMS 文件應(yīng)包括：
a) 形成文件的ISMS 方針[見4.2.1b）]和目標(biāo)；
b) ISMS 的范圍[見4.2.la）]；
c) 支持ISMS 的程序和控制措施；
d) 風(fēng)險評估方法的描述[見4.2.1c）]；
e) 風(fēng)險評估報告[見4.2.1c）到4.2.1g）]；
f) 風(fēng)險處理計劃[見4.2.2b）]；
g) 組織為確保其信息安全過程的有效規(guī)劃、運(yùn)行和控制以及描述如何測量控制措施的有效性所需
的形成文件的程序（見4.2.3c））；
h) 本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）；
i) 適用性聲明。
注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。
注2：不同組織的ISMS文件的詳略程度取決于：
. ???????組織的規(guī)模和活動的類型；
.?????? ?安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；
注3：文件和記錄可以采用任何形式或類型的介質(zhì)。
 
4.3.2 文件控制
ISMS 所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施：
a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?br /> b) 必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；
c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識；
d) 確保在使用處可獲得適用文件的相關(guān)版本；
e) 確保文件保持清晰、易于識別；
f) 確保文件對需要的人員可用，并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀；
g) 確保外來文件得到標(biāo)識；
h) 確保文件的分發(fā)得到控制；
i) 防止作廢文件的非預(yù)期使用；
j) 若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。
 
4.3.3 記錄控制
記錄應(yīng)建立并加以保持，以提供符合ISMS 要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS
的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識別和檢索。記錄的標(biāo)識、貯存、
保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實施。記錄的詳略程度應(yīng)通過管理過程確定。
應(yīng)保留4.2 中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS 有關(guān)的安全事故的記錄。
例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權(quán)單。
 
5 管理職責(zé)
5.1 管理承諾
管理者應(yīng)通過以下活動，對建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS 的承諾提供證據(jù)：
a) 制定ISMS 方針；
b) 確保ISMS 目標(biāo)和計劃得以制定；
c) 建立信息安全的角色和職責(zé)；
d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；
e) 提供足夠資源，以建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS （見5.2.1）；
f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別；
g) 確保ISMS 內(nèi)部審核的執(zhí)行（見第6 章）；
h) 實施ISMS 的管理評審（見第7 章）。
 
5.2 資源管理
5.2.1 資源提供
組織應(yīng)確定并提供所需的資源，以：
a) 建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS；
b) 確保信息安全程序支持業(yè)務(wù)要求；
c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；
d) 通過正確實施所有的控制措施保持適當(dāng)?shù)陌踩?br /> e) 必要時，進(jìn)行評審，并適當(dāng)響應(yīng)評審的結(jié)果；
f) 在需要時，改進(jìn)ISMS 的有效性。
 
5.2.2 培訓(xùn)、意識和能力
組織應(yīng)通過以下方式，確保所有分配有ISMS 職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：
a) 確定從事影響ISMS 工作的人員所必要的能力；
b) 提供能力培訓(xùn)，必要時，聘用有能力的人員以滿足這些需求；
c) 評價所提供的培訓(xùn)和所采取的措施的有效性；
d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。
組織也要確保所有相關(guān)人員意識到其信息安全活動的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)
做出貢獻(xiàn)。
 
6 內(nèi)部ISMS 審核
組織應(yīng)按照計劃的時間間隔進(jìn)行內(nèi)部ISMS 審核，以確定其ISMS 的控制目標(biāo)、控制措施、過程和
程序是否：
a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；
b) 符合已確定的信息安全要求；
c) 得到有效地實施和保持；
d) 按預(yù)期執(zhí)行。
應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案
應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。
審核員不應(yīng)審核自己的工作。
策劃和實施審核以及報告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)
定。
負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動應(yīng)
包括對所采取措施的驗證和驗證結(jié)果的報告（見第8 章）。
注：GB/T 19011：2003給出了管理體系審核的基本指南，也可作為認(rèn)證機(jī)構(gòu)的指南。
 
7 ISMS 的管理評審
7.1 總則
管理者應(yīng)按計劃的時間間隔（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和
有效性。評審應(yīng)包括評估ISMS改進(jìn)的機(jī)會和變更的需要，包括信息安全方針和信息安全目標(biāo)。評審的
結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。
 
7.2 評審輸入
管理評審的輸入應(yīng)包括：
a) ISMS 審核和評審的結(jié)果；
b) 相關(guān)方的反饋；
c) 組織用于改進(jìn)ISMS 執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；
d) 預(yù)防和糾正措施的狀況；
e) 以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；
f) 有效性測量的結(jié)果；
g) 以往管理評審的跟蹤措施；
h) 可能影響ISMS 的任何變更；
i) 改進(jìn)的建議。

7.3 評審輸出
管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：
a) ISMS 有效性的改進(jìn)；
b) 風(fēng)險評估和風(fēng)險處理計劃的更新；
c) 必要時修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS 的事件，包括以下的變更：
1) 業(yè)務(wù)要求；
2) 安全要求；
3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；
4) 法律法規(guī)環(huán)境；
5) 合同義務(wù)；
6) 風(fēng)險級別和/或接受風(fēng)險的準(zhǔn)則。
d) 資源需求；
e) 正在被測量的控制措施的有效性的改進(jìn)。
 
8 ISMS 改進(jìn)
8.1 持續(xù)改進(jìn)
組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理
評審（見第7章），持續(xù)改進(jìn)ISMS的有效性。
 
8.2 糾正措施
組織應(yīng)采取措施，以消除與ISMS 要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，
應(yīng)規(guī)定以下方面的要求：
a) 識別不符合；
b) 確定不符合的原因；
c) 評價確保不符合不再發(fā)生的措施需求；
d) 確定和實施所需要的糾正措施；
e) 記錄所采取措施的結(jié)果（見4.3.3）；
f) 評審所采取的糾正措施。

8.3 預(yù)防措施
組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適
應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求：
a) 識別潛在的不符合及其原因；
b) 評價防止不符合發(fā)生的措施需求；
c) 確定和實施所需要的預(yù)防措施；
d) 記錄所采取措施的結(jié)果（見4.3.3）；
e) 評審所采取的預(yù)防措施。
組織應(yīng)識別變化的風(fēng)險，并識別針對重大變化的風(fēng)險的預(yù)防措施的要求。
預(yù)防措施的優(yōu)先級要根據(jù)風(fēng)險評估的結(jié)果確定。
注：預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。
 

The post ISO27001信息安全管理體系標(biāo)準(zhǔn) first appeared on 深圳市安信達(dá)咨詢有限公司.

1.???? ISMS認(rèn)證

1.1?? 什么是ISMS認(rèn)證

所謂認(rèn)證，即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照規(guī)定的程序和方法對受審核方實施審核，以證實某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標(biāo)準(zhǔn)或規(guī)范性文件的活動。
針對ISO/IEC 27001的受認(rèn)可的認(rèn)證，是對組織ISMS符合ISO/IEC 27001 要求的一種認(rèn)證。這是一種通過權(quán)威的第三方審核之后提供的保證：受認(rèn)證的組織實施了ISMS，并且符合ISO/IEC 27001標(biāo)準(zhǔn)的要求。通過認(rèn)證的組織，將會被注冊登記。

1.2?? 為什么要進(jìn)行ISMS認(rèn)證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報告中同時表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢姡覀兊男畔踩侄尾⒉蛔嘈В畔踩F(xiàn)狀不容樂觀。
實際上，只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認(rèn)的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現(xiàn)其恰當(dāng)?shù)淖饔?。采用ISMS標(biāo)準(zhǔn)并得到認(rèn)證無疑是組織應(yīng)該考慮的方案之一。
1)??????? 預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價值相符的保護(hù)，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費(fèi)用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：
l? 依據(jù)信息資產(chǎn)的風(fēng)險級別，安排安全控制措施的投資優(yōu)先級；
l? 對于可接受的信息資產(chǎn)的風(fēng)險，不投資安全控制；
3)??????? 保持組織良好的競爭力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報和商業(yè)機(jī)會；
4)??????? 增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。

1.3?? ISMS認(rèn)證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。
ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無論是自我評估還是獨(dú)立第三方認(rèn)證。
就目前國內(nèi)發(fā)展來看，最先確定實施ISMS 并考慮接受ISO/IEC 27001:2005認(rèn)證的組織，其驅(qū)動力都比較明顯，這種驅(qū)動力可以是外部的，也可以是發(fā)自內(nèi)部的。這些組織主要集中在以下幾個行業(yè)：
u 半導(dǎo)體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國內(nèi)最近幾年IC 產(chǎn)業(yè)發(fā)展迅猛，大量國外設(shè)計企業(yè)的制造訂單都飛往國內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識產(chǎn)權(quán)）保護(hù)的重要性，來自國外客戶的明確要求，使得國內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔(dān)軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護(hù)的要求。
u 金融業(yè)和保險業(yè)：一直以來，金融和保險行業(yè)對信息安全的重視都是非常高的，保護(hù)客戶信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實施ISMS，并尋求認(rèn)證的驅(qū)動力。
u 通訊行業(yè)：特別是一些大型的通信設(shè)備提供商，由于牽涉到對自身核心技術(shù)的保護(hù)，對信息安全加以重視并全面實施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務(wù)行業(yè)：對于電子商務(wù)交易平臺、電子商務(wù)支付平臺，由于客戶以及合作伙伴對交易過程的高度安全需求，導(dǎo)致這類組織都會在信息安全建設(shè)方面加大投入建設(shè)，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會逐漸在信息安全建設(shè)上加強(qiáng)力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來說，由于對在SEC 注冊的上市公司提出了內(nèi)部控制審核的要求，相關(guān)組織必然會在信息安全方面投入關(guān)注，因為信息安全控制是企業(yè)內(nèi)部控制必不可少的一個部分。

1.4?? 全球ISMS認(rèn)證狀況及發(fā)展趨勢

1.4.1???? 全球ISMS證書統(tǒng)計

自2002年以來，全球許多組織開始建立和實施ISMS，并認(rèn)識到ISMS認(rèn)證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認(rèn)證的組織已達(dá)3274家，其中包括我國大陸的41家（在xisec網(wǎng)站上列出了39個證書的企業(yè)名稱），臺灣112家，香港26家和澳門3家。

1.4.2???? 中國ISMS證書統(tǒng)計

中國大陸地區(qū)目前已經(jīng)取得ISMS認(rèn)證的企業(yè)有44家（xisec網(wǎng)站上只統(tǒng)計了41個證書），大多數(shù)都是從去年下半年開始新出現(xiàn)的，詳見表二。
在這44個證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產(chǎn)業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務(wù)5家；咨詢業(yè)3家；電力行業(yè)2家；保險業(yè) 2家；廣告、業(yè)務(wù)流程外包、數(shù)據(jù)恢復(fù)、互聯(lián)網(wǎng)各1家。

1.4.3???? 中國政府關(guān)注ISMS

u?? 2000年4月，北京知識安全中心把ISMS介紹給國信安辦（原）；
u?? 2002年4月，認(rèn)監(jiān)委與國信辦在中認(rèn)大廈召開國家ISMS認(rèn)證認(rèn)可高層研討會；
u?? 2002年11月，信安標(biāo)委WG7開始研究和制定ISMS國家標(biāo)準(zhǔn)；
u?? 2004年4月，認(rèn)監(jiān)委在其辦公大樓會議室召開ISMS認(rèn)證認(rèn)可工作會議；
u?? 2005年6月15日，我國發(fā)布第一個ISMS國家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實用規(guī)則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000；
u?? 2006年2月，國信辦在5個單位開展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作：國家稅務(wù)總局、證監(jiān)會、北京、上海、武鋼；
u?? 2006年3月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)：信產(chǎn)部4所、華夏認(rèn)證中心、上海認(rèn)證中心、賽寶認(rèn)證中心；

1.4.4???? ISMS認(rèn)證發(fā)展趨勢

自2002年以來，根據(jù)ISMS官方網(wǎng)站陸續(xù)公布的數(shù)字，全球ISMS證書數(shù)量每年都在成倍增長，下圖體現(xiàn)了ISMS證書在全球范圍快速的趨勢。
 
從這些統(tǒng)計數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競爭力的選擇。

1.5?? 如何建設(shè)ISMS并取得認(rèn)證

組織在確定實施ISMS建設(shè)及認(rèn)證項目后，通常有兩種途徑可以去操作以取得ISMS認(rèn)證，兩種途徑各有所長，關(guān)鍵是看組織自身所具備的特點(diǎn)和看問題的角度。
一：組織內(nèi)部成立專人專項工作組，按照計劃自我實施。
u? 適合對象：組織規(guī)模不大、業(yè)務(wù)模式簡單、信息系統(tǒng)也不復(fù)雜。
u? 優(yōu)??? 點(diǎn)：自我實施比較經(jīng)濟(jì)快捷。
u? 缺??? 點(diǎn)：要求組織有勝任的人員，且對信息安全的認(rèn)識和運(yùn)作已經(jīng)達(dá)到了一定高度。
二：選擇有實力的咨詢機(jī)構(gòu)，幫助組織完成項目。
u? 適合對象：組織規(guī)模較大、組織結(jié)構(gòu)相互關(guān)聯(lián)、對IT的依賴廣泛，更重要的是，組織本身對信息安全的意識和運(yùn)作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點(diǎn)：咨詢機(jī)構(gòu)會把一些成熟的經(jīng)驗移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對癥下藥。此外，有經(jīng)驗的咨詢機(jī)構(gòu)和顧問通常都能比較好地把握認(rèn)證機(jī)構(gòu)的“偏好“和習(xí)慣，這一點(diǎn)尤其對最終通過認(rèn)證尤其重要。一般來說，咨詢機(jī)構(gòu)可以在人員培訓(xùn)、全程輔導(dǎo)、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點(diǎn)：組織須承擔(dān)相關(guān)的咨詢費(fèi)用。
當(dāng)然，無論是選擇自我實施，還是請外部的咨詢機(jī)構(gòu)和顧問，組織都應(yīng)該知道，實施ISMS 認(rèn)證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。
在建設(shè)ISMS的方法上，ISO/IEC 27001:2005標(biāo)準(zhǔn)為我們提供了指導(dǎo)性建議，即基于PDCA 的持續(xù)改進(jìn)的管理模式；另一方面，ISMS 實施及認(rèn)證項目可以借鑒很多成熟的管理體系實施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

The post ISMS ISO27001認(rèn)證介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.

1.???? ISMS標(biāo)準(zhǔn)

1.1?? ISMS標(biāo)準(zhǔn)體系－ISO/IEC27000族簡介

ISMS是近兩年來在管理體系和信息安全領(lǐng)域興起的一個熱門話題，按照ISO/IEC27001建立和實施ISMS并積極申請認(rèn)證成為許多組織解決其信息安全問題的選擇。
ISO/IEC27000族是國際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來的系列相關(guān)國際標(biāo)準(zhǔn)的總稱。根據(jù)國際標(biāo)準(zhǔn)化組織的最新計劃，該系列標(biāo)準(zhǔn)的序號已經(jīng)預(yù)留到27019，其中將27000～27009留給ISMS基本標(biāo)準(zhǔn)，27010～27019預(yù)留給ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔?？梢奍SMS標(biāo)準(zhǔn)將來會是一個龐大的家族。

1.1.1???? ISMS國際標(biāo)準(zhǔn)化組織

ISO/IEC JTC1/SC27/WG1（國際標(biāo)準(zhǔn)化組織/國際電工委員會 信息技術(shù)委員會/安全技術(shù)分委員會/第一工作組）是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織，我國是該組織的P成員國。ISO/IEC JTC1/SC27成立后設(shè)有三個工作組：
l? WG1：需求、安全服務(wù)及指南工作組
l? WG2：安全技術(shù)與機(jī)制工作組
l? WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評估準(zhǔn)則工作組
在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會議和第18屆全體會議上，通過了2005年11月在馬來西亞會議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案，將原來的三個工作組調(diào)整為現(xiàn)在五個工作組：
l? WG1：ISMS標(biāo)準(zhǔn)工作組
l? WG2：安全技術(shù)與機(jī)制工作組
l? WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評估準(zhǔn)則工作組
l? WG4：安全控制與服務(wù)工作組
l? WG5：身份管理與隱私保護(hù)技術(shù)工作組
SC27組織機(jī)構(gòu)的這次調(diào)整，專門將WG1做為ISMS標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。

1.1.2???? 已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)－ISO/IEC27001和ISO/IEC27002

目前國際標(biāo)準(zhǔn)化組織已經(jīng)正式發(fā)布的ISMS國際標(biāo)準(zhǔn)有兩個：ISO/IEC27001和ISO/IEC27002，它們是ISMS的核心標(biāo)準(zhǔn)。
l? ISO/IEC27001:2005：信息安全管理體系要求
Information technology-Security techniques-Information security management systems-Requirements
l? ISO/IEC27002:2005：信息安全管理實用規(guī)則
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣，是ISMS的要求標(biāo)準(zhǔn)，內(nèi)容共分8章和3個附錄，其中附錄A中的內(nèi)容直接引用并與ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005適用于所有類型的組織（如企事業(yè)單位、政府機(jī)關(guān)等）。它從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實施要求。ISO/IEC27001:2005是組織建立和實施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實施審核的依據(jù)。
ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005，原來版本同時廢止。ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。
根據(jù)今年召開的第18屆SC27全體會議決議，將于2007年4月將ISO/IEC17799的標(biāo)準(zhǔn)序號更改為ISO/IEC27002。
1.1.3???? ISMS標(biāo)準(zhǔn)的類型
根據(jù)ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）和ISO/IEC的相關(guān)導(dǎo)則，ISO/IEC JTC1/SC27/WG1將ISMS標(biāo)準(zhǔn)分為4類：
l? Type A – Vocabulary Standard?????? A類－詞匯標(biāo)準(zhǔn)
l? Type B – Requirements Standard???? B類－要求標(biāo)準(zhǔn)
l? Type C – Guidelines Standard?????? C類－指南標(biāo)準(zhǔn)
l? Type D – Related Standard????????? D類－相關(guān)標(biāo)準(zhǔn)
A類－詞匯標(biāo)準(zhǔn)：主要提供標(biāo)準(zhǔn)族中所有標(biāo)準(zhǔn)所涉及的基礎(chǔ)信息，包括通用術(shù)語、基本原則等內(nèi)容。ISO/IEC27000同ISO 9000（質(zhì)量管理體系 基礎(chǔ)和術(shù)語）類似，屬于此類標(biāo)準(zhǔn)。
B類－要求標(biāo)準(zhǔn)：主要提供管理體系的相關(guān)規(guī)范，它能夠使一個組織證明其滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO 9001（質(zhì)量管理體系 要求）、ISO 14001（環(huán)境管理體系 規(guī)范及使用指南）、OHSAS 18001（職業(yè)健康安全管理體系 規(guī)范）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。
C類－指南標(biāo)準(zhǔn)：此類標(biāo)準(zhǔn)目的是為一個組織實施要求標(biāo)準(zhǔn)提供相關(guān)的指南，ISO/IEC27002、ISO/IEC27003等同ISO 9004（質(zhì)量管理體系 業(yè)績改進(jìn)指南）、ISO 14004（環(huán)境管理體系 原則、體系和支持技術(shù)通用指南）、OHSMS 18002（職業(yè)健康安全管理體系 指南）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。
D類－相關(guān)標(biāo)準(zhǔn)：此類標(biāo)準(zhǔn)嚴(yán)格說不是管理體系標(biāo)準(zhǔn)族中的標(biāo)準(zhǔn)，他們主要提供關(guān)于特定方面或相關(guān)支持技術(shù)的進(jìn)一步的指導(dǎo)，此類標(biāo)準(zhǔn)一般獨(dú)立開發(fā)，與要求類標(biāo)準(zhǔn)和指南類標(biāo)準(zhǔn)無明顯的關(guān)聯(lián)。ISO/IEC27006同ISO19011（質(zhì)量和環(huán)境管理體系審核指南）等標(biāo)準(zhǔn)一樣屬于此類。
1.1.4???? 制訂中的ISO/IEC27000系列標(biāo)準(zhǔn)介紹
截至2006年5月18日，ISO/IEC JTC1/SC27/WG1正在制定中的標(biāo)準(zhǔn)包括5個，分別是：
ISO/IEC 27000
ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎(chǔ)和術(shù)語），屬于A類標(biāo)準(zhǔn)。ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISMS標(biāo)準(zhǔn)族中的每個標(biāo)準(zhǔn)都有“術(shù)語和定義”部分，但不同標(biāo)準(zhǔn)的術(shù)語間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實現(xiàn)這種協(xié)調(diào)。
ISO/IEC 27000目前處于WD（工作組草案）階段，正在SC27內(nèi)研究并征求意見。
ISO/IE 27003
ISO/IEC27003（Information security management system implementation guidance 信息安全管理體系實施指南），屬于C類標(biāo)準(zhǔn)。ISO/IEC27003為建立、實施、監(jiān)視、評審、保持和改進(jìn)符合ISO/IEC27001的ISMS提供了實施指南和進(jìn)一步的信息，使用者主要為組織內(nèi)負(fù)責(zé)實施ISMS的人員。
該標(biāo)準(zhǔn)給出了ISMS實施的關(guān)鍵成功因素，實施過程依照ISO/IEC27001要求的PDCA模型進(jìn)行，并進(jìn)一步介紹了各個階段的活動內(nèi)容及詳細(xì)實施指南。
ISO/IEC 27003目前也處在WD階段，正在SC27內(nèi)研究并征求意見。
ISO/IEC 27004
ISO/IEC27004（Information security management measurements 信息安全管理測量），屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)主要為組織測量信息安全控制措施和ISMS過程的有效性提供指南。
該標(biāo)準(zhǔn)將測量分為兩個類別：有效性測量和過程測量，列出了多種測量方法，例如調(diào)查問卷、觀察、知識評估、檢查、二次執(zhí)行、測試（包括設(shè)計測試和運(yùn)行測試）以及抽樣等。
該標(biāo)準(zhǔn)定義了ISMS的測量過程：首先要實施ISMS的測量，應(yīng)定義選擇測量措施，同時確定測量的對象和驗證準(zhǔn)則，形成測量計劃；實施ISMS測量的過程中，應(yīng)定義數(shù)據(jù)的收集、分析和報告程序并評審、批準(zhǔn)提供資源以支持測量活動的開展；在ISMS的檢查和處置階段，也應(yīng)對測量措施加以改進(jìn)，這就要求首先定義測量過程的評價準(zhǔn)則，對測量過程加以監(jiān)控，并定期實施評審。
目前該標(biāo)準(zhǔn)已經(jīng)處于CD（委員會草案）階段，預(yù)計將于2008年完成。
ISO/IEC 27005
ISO/IEC27005（Information security risk management 信息安全風(fēng)險管理），屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)給出了信息安全風(fēng)險管理的指南，其中所描述的技術(shù)遵循ISO/IEC27001中的通用概念、模型和過程。
該標(biāo)準(zhǔn)介紹了一般性的風(fēng)險管理過程，并重點(diǎn)闡述了風(fēng)險評估的幾個重要環(huán)節(jié)，包括風(fēng)險評估、風(fēng)險處理、風(fēng)險接受等。在標(biāo)準(zhǔn)的附錄中，給出了資產(chǎn)、影響、脆弱性以及風(fēng)險評估的方法，并列出了常見的威脅和脆弱性。最后還給出了根據(jù)不同通信系統(tǒng)以及不同安全問題和威脅選擇控制措施的方法。
目前該標(biāo)準(zhǔn)處于Final CD（最終委員會草案）階段。
ISO/IEC 27006
ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求），屬于D類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的主要內(nèi)容是對從事ISMS認(rèn)證的機(jī)構(gòu)提出了要求和規(guī)范，或者說它規(guī)定了一個機(jī)構(gòu)“具備怎樣的條件就可以從事ISMS認(rèn)證業(yè)務(wù)”。
目前該標(biāo)準(zhǔn)處于Final CD（最終委員會草案）階段。
 
 
 
 

1.2?? 信息安全管理實用規(guī)則－ISO/IEC27002:2005介紹

ISO/IEC27002是國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27最早發(fā)布的ISMS系列標(biāo)準(zhǔn)之一（當(dāng)時稱之為ISO/IEC17799，2007年4月正式更名為ISO/IEC 27002）。它從信息安全的諸多方面，總結(jié)了一百多項信息安全控制措施，并給出了詳細(xì)的實施指南，為組織采取控制措施、實現(xiàn)信息安全目標(biāo)提供了選擇，是信息安全的最佳實踐。

1.2.1???? ISO/IEC27002的由來

組織對信息安全的要求是隨著組織業(yè)務(wù)對信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用而來的。人們在解決信息安全問題以滿足信息安全要求的過程中，經(jīng)歷了由“重技術(shù)輕管理”到“技術(shù)和管理并重”的兩個不同階段。
當(dāng)信息安全問題開始出現(xiàn)的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產(chǎn)品，如加密機(jī)、防火墻、入侵檢測設(shè)備等。信息安全技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，仍然無法避免一些信息安全事件的發(fā)生。與組織中個人有關(guān)的信息安全問題、信息安全成本和效益的平衡、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等，這些問題與信息安全的要求都密切相關(guān)，而僅僅通過產(chǎn)品和技術(shù)是無法解決的。
上個世紀(jì)90年代末，人們開始意識到管理在解決信息安全問題中的作用。1993年9月，由英國貿(mào)工部（DTI）組織許多企業(yè)參與編寫了一個信息安全管理的文本－“信息安全管理實用規(guī)則（Code of practice for information security management）”，1995年2月，在該文本的基礎(chǔ)上，英國發(fā)布了國家標(biāo)準(zhǔn)BS7799-1:1995。1999年英國對該標(biāo)準(zhǔn)進(jìn)行了修訂后發(fā)布1999年版，2000年12月被采納成為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000。2005年6月15日，該標(biāo)準(zhǔn)被修訂發(fā)布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC 27002。
同時伴隨著ISO/IEC27002發(fā)展的還有另一個標(biāo)準(zhǔn)，即1998年2月英國發(fā)布的英國國家標(biāo)準(zhǔn)BS7799-2:1998，1999年修訂后發(fā)布1999版。2000年12月，當(dāng)BS7799-1:1999被采納成為國際標(biāo)準(zhǔn)時，BS7799-2:1999并沒有被國際標(biāo)準(zhǔn)化組織采納為國際標(biāo)準(zhǔn)。2002年英國又對BS7799-2:1999進(jìn)行了修訂發(fā)布2002版。2005年10月，這個標(biāo)準(zhǔn)被采納成為國際標(biāo)準(zhǔn)ISO/IEC27001:2005。

1.2.2???? ISO/IEC27002的范圍

ISOS/IEC27002為組織實施信息安全管理提供建議，供一個組織中負(fù)責(zé)信息安全工作的人員使用。該標(biāo)準(zhǔn)適用于各個領(lǐng)域、不同類型、不同規(guī)模的組織。對于標(biāo)準(zhǔn)中提出的任何一項具體的信息安全控制措施，組織應(yīng)考慮本國的法律法規(guī)以及組織的實際情況來選擇使用。參照本標(biāo)準(zhǔn)，組織可以開發(fā)自己的信息安全準(zhǔn)則和有效的安全管理方法，并提供不同組織間的信任。

1.2.3???? ISO/IEC27002的主要內(nèi)容

ISO/IEC27002:2005是一個通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實踐。
標(biāo)準(zhǔn)從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手，循序漸進(jìn)，從11個方面提出了39個信息安全控制目標(biāo)和133個控制措施。每一個具體控制措施，標(biāo)準(zhǔn)還給出了詳細(xì)的實施方面的信息，以方便標(biāo)準(zhǔn)的用戶使用。
值得注意的是，標(biāo)準(zhǔn)中推薦的這133個控制措施，并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標(biāo)準(zhǔn)以外的控制措施來實現(xiàn)組織的信息安全目標(biāo)。
從內(nèi)容和機(jī)構(gòu)上看，可以將標(biāo)準(zhǔn)分為四個部分：
一、引言部分。
主要介紹了信息安全的基礎(chǔ)知識，包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評估安全風(fēng)險等8個方面內(nèi)容。
二、標(biāo)準(zhǔn)的通用要素部分（1～3章）。
第1章是標(biāo)準(zhǔn)的范圍，給出了該標(biāo)準(zhǔn)的內(nèi)容概述、用途及目標(biāo)。第2章是術(shù)語和定義，介紹了資產(chǎn)、控制措施、指南、信息處理設(shè)施、信息安全等十七個術(shù)語。第3章則給出了該標(biāo)準(zhǔn)的結(jié)構(gòu)。
三、風(fēng)險評估和處理部分。
該章簡單介紹了評估安全風(fēng)險和處理安全風(fēng)險的原則、流程及要求。
四、控制措施部分（5～15章）。
這是標(biāo)準(zhǔn)的主體部分，包括11個控制措施章節(jié)，分別是：
5????????? 安全方針（控制目標(biāo)：1個，控制措施： 2個）
6????????? 信息安全組織（控制目標(biāo)：2個，控制措施：11個）
7????????? 資產(chǎn)管理（控制目標(biāo)：2個，控制措施： 5個）
8????????? 人力資源安全（控制目標(biāo)：3個，控制措施：9個）
9????????? 物理和環(huán)境安全（控制目標(biāo)：2個，控制措施：13個）
10????? 通信和操作管理（控制目標(biāo)：10個，控制措施：32個）
11????? 訪問控制（控制目標(biāo)：7個，控制措施：25個）
12????? 信息系統(tǒng)獲取、開發(fā)和維護(hù)（控制目標(biāo)：6個，控制措施：16個）
13????? 信息安全事件管理（控制目標(biāo)：2個，控制措施：5個）
14????? 業(yè)務(wù)連續(xù)性管理（控制目標(biāo)：1個，控制措施： 5個）
15符合性（控制目標(biāo)：3個，控制措施：10個）

1.2.4???? ISO/IEC27002的使用說明

ISO/IEC27002:2005作為信息安全管理的最佳實踐，它的應(yīng)用既有專用性的特點(diǎn)，也有通用性特點(diǎn)。
說它具有專用性，是因為作為信息安全管理體系標(biāo)準(zhǔn)族（ISMS標(biāo)準(zhǔn)）中的一員，目前它與ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005是組合使用的，ISO/IEC27001:2005中的規(guī)范性附錄A就是ISO/IEC27002:2005的控制目標(biāo)和控制措施集。對于期望建設(shè)和實施ISMS的組織，應(yīng)根據(jù)ISO/IEC27001:2005的要求，選擇ISMS范圍，制定信息安全方針和目標(biāo)， 實施風(fēng)險評估，根據(jù)風(fēng)險評估的結(jié)果，選擇控制目標(biāo)和控制措施，制定和實施風(fēng)險處理計劃，執(zhí)行內(nèi)部審核和管理評審，以持續(xù)改進(jìn)。
ISO/IEC27002:2005的通用性，體現(xiàn)在標(biāo)準(zhǔn)中提出的控制措施是從信息安全工作實踐中總結(jié)出來的，是最佳實踐。任何規(guī)模、任何性質(zhì)的有信息安全要求的組織，不管其是否建設(shè)ISMS，都可以從標(biāo)準(zhǔn)中找到適合自己使用的控制措施來滿足其信息安全要求。
另外，ISO/IEC27002:2005中提出的控制目標(biāo)和控制措施，對一個具體的組織并不一定全部適用，也不一定就是信息安全控制措施的全部。任何組織還可以根據(jù)具體情況選擇ISO/IEC27002:2005以外的控制目標(biāo)和控制措施。

1.2.5???? 我國采用ISO/IEC17799情況的說明

我國政府主管部門十分重視信息安全管理國家標(biāo)準(zhǔn)的制定。2002年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（www.tc260.org.cn）成立之初，其第七工作組（WG7）就開始了ISO/IEC17799的研究和制標(biāo)工作。2005年6月15日，我國發(fā)布了國家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實用規(guī)則”，修改采用ISO/IEC17799:2000。
2006年，根據(jù)ISMS國際標(biāo)準(zhǔn)的發(fā)展和我國的實際需要，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會又提出了GB/T19716-2005的修訂計劃和對應(yīng)ISO/IEC27001:2005等相關(guān)ISMS標(biāo)準(zhǔn)的制定和研究計劃。相信不久，對應(yīng)最新ISMS國際標(biāo)準(zhǔn)的國家標(biāo)準(zhǔn)就會發(fā)布，以供大家遵照使用。
 
 
 
 
 
 
 
 
 

1.3?? 信息安全管理體系要求－ISO/IEC27001:2005介紹

1.3.1???? 發(fā)展：一個重要的里程碑

ISO/IEC 27001:2005的名稱是 “Information technology- Security techniques-Information security management systems-requirements ”，可翻譯為“信息技術(shù)- 安全技術(shù)-信息安全管理體系 要求”。
在ISO/IEC 27001:2005標(biāo)準(zhǔn)出現(xiàn)之前，組織只能按照英國標(biāo)準(zhǔn)研究院（British Standard Institute，簡稱BSI）的BS 7799-2:2002標(biāo)準(zhǔn)，進(jìn)行認(rèn)證?，F(xiàn)在，組織可以獲得全球認(rèn)可的ISO/IEC 27001:2005標(biāo)準(zhǔn)的認(rèn)證。這標(biāo)志著ISMS的發(fā)展和認(rèn)證已向前邁進(jìn)了一大步：從英國認(rèn)證認(rèn)可邁進(jìn)國際認(rèn)證認(rèn)可。ISMS的發(fā)展和認(rèn)證進(jìn)入一個重要的里程碑。這個新ISMS標(biāo)準(zhǔn)正成為最新的全球信息安全武器。

1.3.2???? 目的：認(rèn)證

ISO/IEC 27001:2005標(biāo)準(zhǔn)設(shè)計用于認(rèn)證目的，它可幫助組織建立和維護(hù)ISMS。標(biāo)準(zhǔn)的4 – 8章定義了一組ISMS要求。如果組織認(rèn)為其ISMS滿足該標(biāo)準(zhǔn)4 – 8章的所有要求，那么該組織就可以向ISMS認(rèn)證機(jī)構(gòu)申請ISMS認(rèn)證。如果認(rèn)證機(jī)構(gòu)對組織的ISMS進(jìn)行審核（初審）后，其結(jié)果是符合ISO/IEC 27001:2005的要求，那么它就會頒發(fā)ISMS證書，聲明該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。
然而，ISO/IEC 27001:2005標(biāo)準(zhǔn)與ISO/IEC 9001:2002標(biāo)準(zhǔn)（質(zhì)量管理體系標(biāo)準(zhǔn)）不同。ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求十分“嚴(yán)格”。該標(biāo)準(zhǔn)4 – 8章有許多信息安全管理要求。這些要求是“強(qiáng)制性要求”。只要有任何一條要求得不到滿足，就不能聲稱該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。相比之下，ISO/IEC 9001:2002標(biāo)準(zhǔn)的第7章的某些要求（或條款），只要合理，可允許其質(zhì)量管理體系（QMS）作適當(dāng)刪減。
因此，不管是第一方審核、第二方審核，還是第三方審核，評估組織的ISMS對ISO/IEC 27001:2005標(biāo)準(zhǔn)的符合性是十分嚴(yán)格的。

1.3.3???? 特點(diǎn)：信息資產(chǎn)風(fēng)險評估

ISO/IEC 27001:2005標(biāo)準(zhǔn)適用于所有類型的組織，而不管組織的性質(zhì)和規(guī)模如何。該新標(biāo)準(zhǔn)的特點(diǎn)之一是基于組織的資產(chǎn)風(fēng)險評估。也就是說，該標(biāo)準(zhǔn)要求組織通過業(yè)務(wù)風(fēng)險評估的方法，來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)其ISMS，確保其信息資產(chǎn)的保密性、可用性和完整性。
(1) 信息資產(chǎn)
ISO/IEC 27001:2005所指“信息”可包括所有形式的數(shù)據(jù)、文件、通信件（如email和傳真等）、交談（如電話等）、消息、錄音帶和照片等。信息資產(chǎn)是被認(rèn)為對組織具有“價值”的，以任何方式存儲的信息。通常，系統(tǒng)（如信息系統(tǒng)和數(shù)據(jù)庫等）也可作為一類信息資產(chǎn)。
(2) 安全風(fēng)險
組織的信息資產(chǎn)可面臨許多威脅，包括人員（內(nèi)部人員和外人員）誤操作 （不管有意的，還是無意的）、盜竊、惡意代碼和自然災(zāi)害等。
另一方面，組織本身存在某些可被威脅者利用或進(jìn)行破壞的薄弱環(huán)節(jié)，包括員工缺乏安全意識、基礎(chǔ)設(shè)施中的弱點(diǎn)和控制中的弱點(diǎn)等。這就導(dǎo)致組織的密級信息資產(chǎn)和應(yīng)用系統(tǒng)可能遭受未授權(quán)訪問、修改、泄露或破壞，而使其造成損失，包括經(jīng)濟(jì)損失、公司形象損失和顧客信心損失等。
(3) 風(fēng)險評估與處理
ISO/IEC 27001:2005標(biāo)準(zhǔn)要求組織利用風(fēng)險評估的方法，確定每一個關(guān)鍵信息資產(chǎn)的風(fēng)險，并根據(jù)各類信息資產(chǎn)的重要度和價值，選擇適當(dāng)?shù)目刂拼胧?，減緩風(fēng)險。
風(fēng)險評估和風(fēng)險處理是ISO/IEC 27001:2005標(biāo)準(zhǔn)要求的兩個相互關(guān)聯(lián)的必須的活動。一個組織建立ISMS體系，要進(jìn)行信息資產(chǎn)風(fēng)險評估和風(fēng)險處理。其主要過程是：
1)??????? 制定組織的ISMS方針和風(fēng)險接受準(zhǔn)則；
2)??????? 定義組織的風(fēng)險評估方法；
3)??????? 識別要保護(hù)的信息資產(chǎn)，并進(jìn)行登記；
4)??????? 識別安全風(fēng)險，包括識別資產(chǎn)所面臨的威脅、組織的脆弱點(diǎn)和造成的影響等；
5)??????? 對照組織的風(fēng)險接受準(zhǔn)則，評價和確定已估算的風(fēng)險的嚴(yán)重性、可否接受；
6)??????? 形成風(fēng)險評估報告；
7)??????? 制定風(fēng)險處理計劃，選擇風(fēng)險控制措施；
標(biāo)準(zhǔn)明確規(guī)定，有4種風(fēng)險處理方法：采用適當(dāng)?shù)目刂拼胧?、接受風(fēng)險、避免風(fēng)險和轉(zhuǎn)移風(fēng)險；
8)??????? 執(zhí)行風(fēng)險處理計劃，將風(fēng)險降低到可接受的級別。
從理論上，風(fēng)險只能降低（或減少），而不能完全消除。選擇控制措施的原則是既能使本組織的資產(chǎn)受到與其價值和保密等級相符的保護(hù)，將其所受的風(fēng)險降低到可接受的水準(zhǔn)，又能使所需要的費(fèi)用在該組織的預(yù)算范圍之內(nèi)，使該組織能夠保持良好的競爭力和成功運(yùn)作的狀態(tài)。
另外，風(fēng)險是動態(tài)的。風(fēng)險評估活動應(yīng)定期進(jìn)行。特別是在出現(xiàn)新的信息資產(chǎn)、技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時，風(fēng)險評估應(yīng)重新進(jìn)行。

1.3.4???? 要求：基于過程

(1) “PDCA”過程
圖1 ISMS“PDCA”過程周期
國際標(biāo)準(zhǔn)化組織(ISO)使用Plan-Do-Check-Act (即計劃-實施-檢查-糾正)過程模型組織ISO/IEC 27001:2005標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)4 – 8章規(guī)定了ISMS的建立、實
施與運(yùn)行、監(jiān)督與評審、維護(hù)與改進(jìn)所要遵循的活動(過程)，并形成一個周期，稱“PDCA”周期，如圖1
(2) 過程方法
過程是指使用資源把輸入轉(zhuǎn)為輸出的一組活動。更通俗地說，過程就是將原料（輸入）加工成產(chǎn)品（輸出）的工作（活動）。輸入之所以能轉(zhuǎn)為輸出是因為開展了某些工作或活動。
ISO/IEC 27001:2005標(biāo)準(zhǔn)4 – 8章規(guī)定了一組ISMS過程。該標(biāo)準(zhǔn)也要求組織使用“過程方法”來管理和控制其ISMS過程。即：
1)??????? 組織必須對應(yīng)4 – 8章的相應(yīng)要求，建立其實際的ISMS過程；
2)??????? 組織的ISMS需按“過程方法”進(jìn)行管理和控制。
這意味著組織的ISMS要包含有許多符合該標(biāo)準(zhǔn)4 – 8章規(guī)定的、相互協(xié)調(diào)的過程。通常，一個過程的輸出便是另一個過程的輸入。通過這些輸出和輸入把各個ISMS過程“粘”在一起，而形成一個相互依賴的統(tǒng)一整體。
標(biāo)準(zhǔn)還規(guī)定，某些ISMS過程要用形成文件的程序加以控制。
(3) 過程要求
ISO/IEC 27001:2005標(biāo)準(zhǔn)4 – 8章規(guī)定了一組ISMS過程。因此，從另一個角度，ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求就是過程要求。組織的ISMS必要滿足這些過程要求。
注：與ISO/IEC 27001:2005正文內(nèi)容不同，ISO/IEC 27001:2005附錄A的內(nèi)容屬于控制要求。
 

The post ISO27001標(biāo)準(zhǔn)族介紹 first appeared on 深圳市安信達(dá)咨詢有限公司.

1.???? ISMS概述

1.1?? 什么是ISMS

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認(rèn)證隨之成為組織向社會及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005（信息安全管理體系 要求）的第3章術(shù)語和定義中，對ISMS的定義如下：
ISMS（信息安全管理體系）：是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源。
這個定義看上去同其他管理體系的定義描述不盡相同，但我們也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針和目標(biāo)，并實現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、相互作用的要素。
ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結(jié)構(gòu)也基本一致。
單純從定義理解，可能無法立即掌握ISMS的實質(zhì)，我們可以把ISMS理解為一臺“機(jī)器”，這臺機(jī)器的功能就是制造“信息安全”，它由許多“部件”（要素）構(gòu)成，這些“部件”包括ISMS管理機(jī)構(gòu)、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實現(xiàn)其“保障信息安全”的功能。
 
 

1.2?? 為什么需要ISMS

今天，我們已經(jīng)身處信息時代，在這個時代，“計算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務(wù)越來越依賴計算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)。
可是，計算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計算機(jī)網(wǎng)絡(luò)實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢：
2005年6月19日，萬事達(dá)公司宣布，儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料已經(jīng)在互聯(lián)網(wǎng)上公開出售，每條100美元，并可能被用于金融欺詐活動。
2005年5月19日，深圳市中級人民法院對華為公司訴其前員工案作出終審判決，維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3名前華為公司員工，因辭職后帶走公司技術(shù)資料并以此贏利。這3名高學(xué)歷的IT界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過兩到三年光陰。
2005年7月12日下午2時35分，承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時大面積中斷。北京網(wǎng)通隨即投入大量人力物力緊急搶修，至3時30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬北京網(wǎng)民。
2006年5月8日上午8時左右，中國工程院院士，著名的傳染病學(xué)專家鐘南山在上班的路上，被劫匪很“柔和”地?fù)屪吡耸种械墓P記本電腦。事后鐘院士說“一個科技工作者的作品、心血都在電腦里面，電腦里還存著正在研制的新藥方案，要是這個研究方案變成一種新藥，那是幾個億的價值啊”。
（以上案例均來自互聯(lián)網(wǎng)）
這幾個案例僅僅是冰山一角，打開電視、翻翻報紙、瀏覽一下互聯(lián)網(wǎng)，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，將給組織帶來直接的經(jīng)濟(jì)損失、損害組織的聲譽(yù)和公眾形象，使組織喪失市場機(jī)會和競爭力，更為甚者，會威脅到組織的生存。
因此，保護(hù)信息資產(chǎn)，解決信息安全問題，已經(jīng)成為組織必須考慮的問題。
信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生，組織安裝的許多安全產(chǎn)品成了“聾子的耳朵”。與組織中人員相關(guān)的信息安全問題，信息安全成本和效益的平衡問題，信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等問題，依靠產(chǎn)品和技術(shù)是解決不了的。
人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月，國際標(biāo)準(zhǔn)化組織發(fā)布一個信息安全管理的標(biāo)準(zhǔn)－ISO/IEC 17799:2000“信息安全管理實用規(guī)則（Code of practice for information security management）”，2005年6月，國際標(biāo)準(zhǔn)化組織對該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”。
自此，ISMS在國際上確立并發(fā)展起來。今天，ISMS已經(jīng)成為信息安全領(lǐng)域的一個熱門話題。

1.3?? 如何建立ISMS

組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。實際上，任何組織成功經(jīng)營的能力在很大程度上取決于其有效地管理其信息安全風(fēng)險的才干。因此，如何確保信息安全已是各種組織改進(jìn)其競爭能力的一個新的挑戰(zhàn)任務(wù)。組織建立一個基于ISO/IEC 27001:2005 ISMS，已成為時代的需要。
從簡單分析ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求入手，下面的內(nèi)容論述了建立一個符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。

1.3.1???? 正確理解ISMS的含義和要素

ISMS建設(shè)人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求之后，才有可能建立一個符合要求的完善的ISMS。
ISMS的含義
在ISO/IEC 27001標(biāo)準(zhǔn)中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險方法為基礎(chǔ)，其目的是建立、實施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全。
如果一個組織有多個管理體系，例如包括ISMS、QMS（質(zhì)量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組成部分，或一個子管理體系。各個子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實現(xiàn)該組織的總目標(biāo)。
ISMS的要素
標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動、職責(zé)、實踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構(gòu)成管理體系的相互依賴、協(xié)調(diào)一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：
1)??????? 信息安全管理機(jī)構(gòu)
通過信息安全管理機(jī)構(gòu)，可建立各級安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動和實踐等。
2)??????? ISMS文件
包括ISMS方針、過程、程序和其它必須的文件等。
3)??????? 資源
包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等。
ISMS的建立要確保這些ISMS要素得到滿足。

1.3.2???? 建立信息安全管理機(jī)構(gòu)

1)??????? 信息安全管理機(jī)構(gòu)的名稱
標(biāo)準(zhǔn)沒有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運(yùn)行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實行一元化領(lǐng)導(dǎo)。
2)??????? 信息安全管理機(jī)構(gòu)的級別
信息安全管理機(jī)構(gòu)的級別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設(shè)立三個不同級別的信息安全管理機(jī)構(gòu)：
a)????? 高層：以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。
b)????? 中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動。
c)????? 基層：基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。

1.3.3???? 執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：
1)??????? 定義ISMS的范圍和邊界，形成ISMS的范圍文件；
2)??????? 定義ISMS方針（包括建立風(fēng)險評價的準(zhǔn)則等）,形成ISMS方針文件；
3)??????? 定義組織的風(fēng)險評估方法；
4)??????? 識別要保護(hù)的信息資產(chǎn)的風(fēng)險，包括識別：
a） 資產(chǎn)及其責(zé)任人；
b）資產(chǎn)所面臨的威脅；
c） 組織的脆弱點(diǎn)；
d）? 資產(chǎn)保密性、完整性和可用性的喪失造成的影響。
5)??????? 分析和評價安全風(fēng)險，形成《風(fēng)險評估報告》文件，包括要保護(hù)的信息資產(chǎn)清單；
6)??????? 識別和評價風(fēng)險處理的可選措施，形成《風(fēng)險處理計劃》文件；
7)??????? 根據(jù)風(fēng)險處理計劃，選擇風(fēng)險處理控制目標(biāo)和控制措施，形成相關(guān)的文件；
8)??????? 管理者正式批準(zhǔn)所有殘余風(fēng)險；
9)??????? 管理者授權(quán)ISMS的實施和運(yùn)行；
10)??? 準(zhǔn)備適用性聲明。

1.3.4???? 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標(biāo)準(zhǔn)，是ISO/IEC 27001:2005的具體體現(xiàn)。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標(biāo)準(zhǔn)-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。
(1) ISMS文件的類型
根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求，ISMS文件有三種類型。
1)??????? 方針類文件（Policies）
方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：
a） ISMS方針（ISMS policy）；
b）信息安全方針（information security policy）。
2)??????? 程序類文件（Procedures）
3)??????? 記錄（Records）
記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關(guān)程序文件運(yùn)行產(chǎn)生的結(jié)果（或輸出）。記錄通常是表格形式。
4)??????? 適用性聲明文件（Statement of Applicability, 簡稱SOA）
ISO/IEC 27001:2005標(biāo)準(zhǔn)的附錄A提供許多控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是最佳實踐。對于這些控制目標(biāo)和控制措施，實施ISMS的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。
(2) 必須的文件
“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強(qiáng)制性文件（mandatory documents）?！?.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：
1)??????? ISMS方針
ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的職責(zé)等。
2)??????? ISMS的范圍
3)??????? 支持ISMS的程序和控制措施；
4)??????? 風(fēng)險評估方法的描述；
5)??????? 風(fēng)險評估報告；
6)??????? 風(fēng)險處理計劃；
7)??????? 控制措施有效性的測量程序；
8)??????? 本標(biāo)準(zhǔn)所要求的記錄；
9)??????? 適用性聲明。
(3) 可選的文件
除了上述必須的文件外，組織可以根據(jù)其實際的業(yè)務(wù)活動和風(fēng)險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:
1)??????? 組織的業(yè)務(wù)活動及風(fēng)險；
2)??????? 安全要求的嚴(yán)格程度；
3)??????? 管理的體系的范圍和復(fù)雜程度。
這里，需要特別提出的是，ISMS的特點(diǎn)之一是風(fēng)險評估和風(fēng)險管理。組織需要哪些ISMS文件及其復(fù)雜程度如何，通?？筛鶕?jù)風(fēng)險評估決定。如果風(fēng)險評估的結(jié)果，發(fā)現(xiàn)有不可接受的風(fēng)險，那么就應(yīng)識別處理這些風(fēng)險的可能方法，包括形成相關(guān)文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC 27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實際要求。為此：
1)??????? 參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求
在編寫ISMS文件時，編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j） 準(zhǔn)備適用性聲明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。
2)??????? 將本組織的最好實踐形成文件
為了易于操作，編寫者最好把本組織當(dāng)前的最好實踐寫下來，補(bǔ)充標(biāo)準(zhǔn)的要求，形成統(tǒng)一格式的文件。
3)??????? 保持一致性
a） 同一個文件中，上下文不能有不一致或矛盾的地方
b） 同一個體系的不同文件之間不能有矛盾的地方
c） 不同體系的文件之間不能有不一致的地方
如果組織同時運(yùn)行多個管理體系，例如質(zhì)量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個體系的文件之間應(yīng)相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達(dá)上，應(yīng)準(zhǔn)確，無二義。

The post ISO/IEC27001知識體系 first appeared on 深圳市安信達(dá)咨詢有限公司.