1、信息安全管理基礎與管理體系培訓機構名稱講師姓名版本：3.0發布日期：2014-12-1生效日期：2015-1-1課程內容2信息安全管理基礎知識體知識域信息安全管理方法與實施知識子域信息安全管理方法信息安全管理作用信息安全管理基本概念信息安全管理實施信息安全管理概述知識域：信息安全管理概述知識子域： 信息安全管理基本概念理解管理、信息安全管理的概念，理解信息安全管理的對象理解以建立體系的方式實施信息安全管理的必要性理解體系、管理體系、信息安全管理體系的概念3信息安全管理的定義信息信息安全管理信息安全管理4管理、信息安全管理管理指揮和控制組織的協調的活動。（- ISO9000:2005 質量管理體

2、系 基礎和術語）管理者為了達到特定目的而對管理對象進行的計劃、組織、指揮、協調和控制的一系列活動。信息安全管理管理者為實現信息安全目標（信息資產的CIA等特性，以及業務運作的持續）而進行的計劃、組織、指揮、協調和控制的一系列活動。5信息安全管理的對象6信息安全管理的對象：包括人員在內的各類信息相關資產。 規則 人員目標組織以建立體系的方式實施信息安全管理的必要性7信息安全的攻擊和防護嚴重不對稱，相對來說攻擊成功很容易，防護成功卻極為困難信息安全水平的高低遵循木桶原理：信息安全水平有多高，取決于防護最薄弱的環節信息安全水平被侵害的資產防護措施信息安全管理體系的定義體系管理體系信息安全管理體系8信

3、息安全管理體系的定義體系：相互關聯和相互作用的一組要素。 （- ISO9000:2005 質量管理體系 基礎和術語）管理體系：建立方針和目標并達到目標的體系。 （- ISO9000:2005 質量管理體系 基礎和術語）為達到組織目標的策略、程序、指南和相關資源的框架。 （- ISO/IEC 27000:2009 信息技術 安全技術 信息安全管理體系 概述和術語）信息安全管理體系 (ISMS：Information Security Management System) ：整體管理體系的一部分，基于業務風險的方法，來建立、實施、運作、監視、評審、保持和改進信息安全。 （- ISO/IEC 270

4、00:2009 信息技術 安全技術 信息安全管理體系 概述和術語）建立信息安全方針和目標并達到這些目標的體系。為達到組織信息安全目標的策略、程序、指南和相關資源的框架。910信息安全管理體系，包括的要素有：信息安全組織架構信息安全方針信息安全規劃活動信息安全職責信息安全相關的實踐、規程、過程和資源. .這些要素既相互關聯又相互作用信息安全管理體系的構成要素信息安全管理體系的特點多看熟悉信息安全管理體系要求組織通過確定信息安全管理體系范圍，制定信息安全方針，明確管理職責，以風險評估為基礎選擇控制目標和措施等一系列活動來建立信息安全管理體系體系的建立基于系統、全面、科學的信息安全風險評估，體現以預

5、防控制為主的思想，強調遵守國家有關信息安全的法律、法規及其他合同方面的要求強調全過程和動態控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；強調保護組織所擁有的關鍵性信息資產，而不是全部信息資產，確保信息的保密性、完整性和可用性，保持組織的競爭優勢和業務的持續性1112狹義的信息安全管理體系：指按照ISO27001標準定義的ISMS廣義的信息安全管理體系：泛指任何一種有關信息安全的管理體系狹義和廣義的信息安全管理體系知識域：信息安全管理概述知識子域： 信息安全管理作用理解信息安全管理的重要作用理解信息安全管理體系的作用理解實施信息安全管理的關鍵成功因素13信息安全管理的作用14（一）信息

6、安全管理是組織整體管理的重要、固有組成部分，是組織實現其業務目標的重要保障15信息系統是人機交互系統設備的有效利用是人為的管理過程信息安全管理的作用應對風險需要人為的管理過程信息安全管理的作用如今，信息安全問題已經成為組織業務正常運營和持續發展的最大威脅信息安全問題本質上是人的問題，單憑技術是無法實現從“最大威脅”到“最可靠防線”轉變的實現信息安全是一個多層面、多因素的過程，也取決于制定信息安全方針策略標準規范、建立有效的監督審計機制等多方面非技術性努力如果組織想當然地制定一些控制措施和引入某些技術產品，難免存在掛一漏萬、顧此失彼的問題，使信息安全這只“木桶”出現若干“短板”，從而無法提高信息

7、安全水平16信息安全管理的作用 信息安全管理，是組織完整的管理體系中一個重要的環節，它構成了信息安全具有能動性的部分理解并重視管理對于信息安全的關鍵作用，制定適宜的、易于理解、方便操作的安全策略對實現信息安全目標、進而實現業務目標至關重要組織建立一個管理框架，讓好的安全策略在這個框架內實施，并不斷得到修正，才可能為業務的正常持續運作提供可靠的信息安全保障17信息安全管理的作用18（二）信息安全管理是信息安全技術的融合劑，保障各項技術措施能夠發揮作用信息安全管理的作用19如果你把鑰匙落在鎖眼上會怎樣？技術措施需要配合正確的使用才能發揮作用保險柜就一定安全嗎？20WO!3G精心設計的網絡防御體系，

8、因違規外連形同虛設防火墻能解決這樣的問題嗎？信息安全管理的作用解決信息安全問題，成敗通常取決于兩個因素，一個是技術，另一個是管理安全技術是信息安全控制的重要手段，但光有安全技術還不行，要讓安全技術發揮應有的作用，必然要有適當的管理程序，否則，安全技術只能趨于僵化和失敗說安全技術是信息安全的構筑材料，信息安全管理就是粘合劑和催化劑技術和產品是基礎，管理才是關鍵產品和技術，要通過管理的組織職能才能發揮最佳作用信息安全管理的作用21技術不高但管理良好的系統遠比技術高超但管理混亂的系統安全只有將有效的安全管理從始至終貫徹落實于安全建設的方方面面，信息安全的長期性和穩定性才能有所保證根本上說，信息安全是

9、個管理過程，而不是技術過程信息安全管理的作用3分技術7分管理？人們常說，三分技術，七分管理，可見管理對信息安全的重要性 22信息安全“技管并重”的原則對于信息安全，到底是技術更重要，還是管理更重要？強調信息安全管理，并不是要削弱信息安全技術的作用，開展信息安全管理要處理好管理和技術的關系技管并重。“堅持管理與技術并重”是我國加強信息安全保障工作的主要原則之一23信息安全管理的作用24（三）信息安全管理能預防、阻止或減少信息安全事件的發生信息安全管理的作用統計結果顯示，在所有信息安全事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于內部員工的疏忽或有意泄密造成的統計結

10、果表明，現實世界里大多數安全事件的發生和安全隱患的存在，與其說是技術原因，不如說是管理不善造成的因此，防止發生信息安全事件不應僅從技術著手，同時更應加強信息安全管理25安全不是產品的簡單堆積，也不是一次性的靜態過程，它是人員、技術、操作三者緊密結合的系統工程，是不斷演進、循環發展的動態過程。對信息安全的正確理解26信息安全管理體系的作用對內：能夠保護關鍵信息資產和知識產權，維持競爭優勢在系統受侵襲時，確保業務持續開展并將損失降到最低程度建立起信息安全審計框架，實施監督檢查建立起文檔化的信息安全管理規范，實現有“法”可依，有章可循，有據可查強化員工的信息安全意識，建立良好的安全作業習慣，培育組織

11、的信息安全企業文化按照風險管理的思想建立起自我持續改進和發展的信息安全管理機制，用最低的成本，達到可接受的信息安全水平，從根本上保證業務的持續性27信息安全管理體系的作用對外：能夠使各利益相關方對組織充滿信心能夠幫助界定外包時雙方的信息安全責任可以使組織更好地滿足客戶或其他組織的審計要求可以使組織更好地符合法律法規的要求若通過了ISO27001認證，能夠提高組織的公信度可以明確要求供應商提高信息安全水平，保證數據交換中的信息安全28實施信息安全管理的關鍵成功因素(CSF) 組織的信息安全方針和活動能夠反映組織的業務目標 組織實施信息安全的方法和框架與組織的文化相一致 管理者能夠給予信息安全實質

12、性的、可見的支持和承諾 管理者對信息安全需求、信息安全風險、風險評估及風險管理有深入理解 向全員和其他相關方提供有效的信息安全宣傳以提升信息安全意識 向全員和其他相關方分發并宣貫信息安全方針、策略和標準 管理者為信息安全建設提供足夠的資金 向全員提供適當的信息安全培訓和教育 建立有效的信息安全事件管理過程 建立有效的信息安全測量體系29知識域：信息安全管理方法與實施知識子域： 信息安全管理方法理解風險管理是信息安全管理的基本方法，理解風險評估是信息安全管理的基礎，風險處理是信息安全管理的核心，理解控制措施是管理風險的具體手段理解過程方法是信息安全管理的基本方法，理解過程和過程方法的含義，理解P

13、DCA模型30風險評估是信息安全管理的基礎風險評估主要對ISMS范圍內的信息資產進行鑒定和估價，然后對信息資產面對的各種威脅和脆弱性進行評估，同時對已存在的或規劃的安全控制措施進行界定信息安全管理體系的建立需要確定信息安全需求信息安全需求獲取的主要手段就是安全風險評估信息安全風險評估是信息安全管理體系建立的基礎，沒有風險評估，信息安全管理體系的建立就沒有依據31風險處理是信息安全管理的核心風險處理是對風險評估活動識別出的風險進行決策，采取適當的控制措施處理不能接受的風險，將風險控制在可按受的范圍風險評估活動只能揭示組織面臨的風險，不能改變風險狀況只有通過風險處理活動，組織的信息安全能力才會提升

14、，信息安全需求才能被滿足，才能實現其信息安全目標信息安全管理的核心就是這些風險處理措施的集合32風險管理是信息安全管理的根本方法33應對風險評估的結果進行相應的風險處理。本質上，風險處理的最佳集合就是信息安全管理體系的控制措施集合梳理出這些風險控制措施集合的過程也就是信息安全管理體系的建立過程周期性的風險評估與風險處理活動即形成對風險的動態管理動態的風險管理是進行信息安全管理、實現信息安全目標、維持信息安全水平的根本方法控制措施是管理風險的具體手段34管理風險的具體手段是控制措施風險處理時，需要選擇并確定適當的控制目標和控制措施。只有落實適當的控制措施，那些不可接受的高風險才能降低到可以接受的

15、水平之內控制措施的類別35從手段來看，可以分為技術性、管理性、物理性、法律性等控制措施從功能來看，可以分為預防性、檢測性、糾正性、威懾性等控制措施從影響范圍來看，常被分為安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取開發和維護、信息安全事件管理、業務連續性管理和符合性11個類別/域過程 process 一組將輸入轉化為輸出的相互關聯或相互作用的活動。( - ISO/IEC 27000:2009、ISO 9000:2005 )過程方法 process approach一個組織內諸過程的系統的運用，連同這些過程的識別和相互作用及其管理，可稱之

16、為“過程方法”。( - ISO/IEC 27001:2005)系統地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為“過程方法” 。 ( - ISO 9000:2005) 過程、過程方法的概念36過程方法示意圖活動測量、改進責任人資 源記 錄輸入輸出過程方法37信息輸入信息輸出信息記錄資源 人 環境 設備 工具 通信 其他立法規定客戶集團 政治 標準 程序摘要收據客戶銷售發票 等等變化？關鍵活動測量擁有者資 源記錄標 準輸入輸出生 產經 營信息輸入信息輸出信息記錄資源 人 環境 設備 工具 通信 其他立法規定客戶集團 政治 標準 程序摘要收據客戶銷售發票 等等變化？關鍵活動測量擁

17、有者資 源記錄標 準輸入輸出生 產經 營信息輸入信息輸出信息記錄資源 人 環境 設備 工具 通信 其他立法規定客戶集團 政治 標準 程序摘要收據客戶銷售發票 等等變化？關鍵活動測量擁有者資 源記錄標 準輸入輸出生 產經 營信息輸入信息輸出信息記錄資源 人 環境 設備 工具 通信 其他立法規定客戶集團 政治 標準 程序摘要收據客戶銷售發票 等等變化？關鍵活動測量擁有者資 源記錄標 準輸入輸出生 產經 營活動測量、改進資源記錄過程的分解過程和子過程的每一個方面都是受控的，過程的輸出才是有保障的輸出責任人輸入38A規劃實施檢查處置PDCPDCA循環適用于所有管理體系39PDCA循環40PDCA也稱“

18、戴明環”，由美國質量管理專家戴明提出P（Plan）：計劃，確定方針和目標，確定活動計劃D（Do）：實施，實際去做，實現計劃中的內容C（Check）：檢查，總結執行計劃的結果，注意效果，找出問題A（Act）：行動，對總結檢查的結果進行處理，成功地經驗加以肯定并適當推廣、標準化；失敗的教訓加以總結，以免重現；未解決的問題放到下一個PDCA循環41特點一：按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環 9090處置實施規劃檢查CADP特點二： 組織中的每個部分，甚至個人，均可以PDCA循環，大環套小環，一層一層地解決問題特點三：每通過一次PDCA 循環，都要進行總結，提出新目

19、標，再進行第二次PDCA 循環90909090處置實施規劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090處置實施規劃檢查CADPPDCA循環的特征與作用-考點PDCA循環，能夠提供一種優秀的過程方法，以實現持續改進遵循PDCA循環，能使任何一項活動都有效地進行PDCA循環的作用42知識域：信息安全管理方法與實施知識子域： 信息安全管理實施理解建設信息安全管理體系是系統地實施信息安全管理的一種方法理解建設信息安全等級保護是系統地實施信息安全管理的一種方法了解基于NIST SP 800進行信息安全建設是實施信息安全管理的一種方法43ISMS是一種常見的對組織信息安全進行全面、

20、系統管理的方法ISMS是由ISO27001定義的一種有關信息安全的管理體系，是一種典型的基于風險管理和過程方法的管理體系考點周期性的風險評估、內部審核、有效性測量、管理評審，是ISMS規定的四個必要活動，能確保ISMS進入良性循環、持續自我改進信息安全管理體系44信息安全管理體系持續改進的PDCA循環過程45信息安全管理體系是PDCA動態持續改進的一個循環體規劃和建立實施和運行監視和評審保持和改進輸入相關方信息安全要求和期望相關方受控的信息安全輸出45ISMS的核心內容可以概括為4句話 規定你應該做什么并形成文件：Plan做文件已規定的事情：Do評審你所做的事情的符合性：Check采取糾正和預

21、防措施，持續改進：Act用PDCA來理解什么是信息安全管理體系4647ISO/IEC 27000標準族27000270032700427008 27000信息安全管理體系概述和術語 27001信息安全管理體系要求建立信息安全方法論，也是審計信息安全依據記住27002 信息安全控制措施實用規則27003信息安全管理體系實施指南27004 信息安全管理測量 27005 信息安全風險管理27006 提供信息安全管理體系審核和認證機構的要求27007 信息安全管理體系審核指南27008信息安全管理體系控制措施審核員指南27001270022700027006270052700327004信息安全管理體

22、系基本原理和詞匯 ISO27000標準族日益完善，已經開發和計劃開發的標準有60余項信息安全等級保護也是一種常見的對組織的信息安全進行全面、系統管理的實施方法依據計算機信息系統安全保護條例對信息安全進行全面管理的一套機制將信息系統按照重要性和受破壞危害程度分成五個安全保護等級，不同保護等級的系統分別給予不同級別的保護系統定級、安全建設/整改、自查、等級測評、系統備案和監督檢查是信息安全等級保護的六個規定活動信息安全等級保護48參照NIST SP 800進行建設也是一種常見的對組織的信息安全進行全面、系統管理的實施方法NIST SP 800是由美國國家標準與技術研究院發布的一系列特別出版物（Sp

23、ecial Publications，SP），是關于計算機安全的指南文檔美國聯邦信息安全管理法案（Federal Information Security Management Act，FISMA），專門指定NIST負責開展信息安全標準、指導方針的制定NIST SP 800規范49SP 800-37描述了此系列規范遵從的風險管理框架NIST SP 800規范50SP 800-37 給出了遞升的風險管理方法NIST SP 800規范51三種典型信息安全管理實施方法的區別和聯系52應用對象應用特點ISMS各種類型的組織（有體系建立需求）完全以市場化需求為主，不具備強制性。以風險管理方法為基礎，如果

24、實施體系認證，必須完全滿足27001標準要求等級保護國家基礎網絡和重要信息系統作為我國的一項基礎制度加以推行，有一定強制性。主要目標是有效地提高我國信息和信息系統安全建設的整體水平，重點保障基礎信息網絡和重要信息系統的安全NIST SP 800聯邦機構或非政府組織與FIPS不同，是非強制性的。但聯邦機構應采納FIPS中要求使用的NIST SP以及OMB要求的特定NIST SP。以風險管理方法為基礎，應用時有一定的靈活性課程內容53知識體知識域知識子域信息安全管理體系信息安全管理體系建設信息安全管理體系認證文檔控制管理職責規劃與建立ISMS信息安全管理體系基礎內部審核和管理評審信息安全控制措施實

25、施和運行ISMS監視和評審ISMS保持和改進ISMS知識域：信息安全管理體系基礎知識子域： 管理職責理解管理者履行管理職責對成功實施信息安全管理體系（ISMS）的重要推動作用掌握實施ISMS過程中管理者應承擔的管理職責的主要內容54管理者履行管理職責的重要作用管理層切實履行相應的管理職責是ISMS能夠成功實施的最關鍵因素，會對ISMS建設產生推動作用管理者提供足夠的資源是對ISMS建設實質性的支持55主要管理職責承擔并履行職責制定并頒布信息安全方針確保ISMS目標和相應的計劃得以制定建立信息安全的角色和職責向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性決定風險可接

26、受級別和風險可接受準則確保ISMS內部審核的執行實施ISMS的管理評審提供足夠資源資金能勝任相關工作的人員（通過提供培訓、教育）56知識域：信息安全管理體系基礎知識子域： 文檔控制理解文檔化對實施ISMS的重要性理解風險評估結果是編制ISMS文件的依據了解對ISMS文件和記錄進行保護和控制的常規措施57文檔化對實施ISMS的重要性文檔包括文件(如方針、策略、標準、指南等)和記錄文件是ISMS的一個關鍵要素，是組織內部的“法”，也是ISMS審核的依據記錄是文件執行情況的客觀證據，為各項控制措施是否有效實施、ISMS是否有效運行提供客觀證據層次化的文檔是ISMS建設的直接體現，也是ISMS建設的成

27、果之一應對文件和記錄進行控制58文件編制依據風險評估的結果是文件編制的直接依據有風險的地方才需要管理和控制依據風險評估結果編制的文件體系才是最適合的、最需要的59易于管理和維護的ISMS層次化文檔結構-考點方針、手冊等管理制度、程序、策略文件等操作規范、規程、作業指導書、模板文件等計劃、表格、報告、各種運行/檢查記錄、日志文件等一級文件二級文件三級文件四級文件一級文件：方針性文件二級文件：信息安全管控程序、管理規定性文件三級文件：操作指南、作業指導書類四級文件：體系運行的各種記錄下級文件應支持上級文件 60文件控制文件在發布以前，應得到相應級別管理層的批準定期評審、更新并再次得到批準，當發生重

28、大變化或重大信息安全事件時應及時評審和修訂對文件的修訂和修訂狀態、版本進行標識，確保員工使用文件的最新版本標明每份文件的密級和分發范圍61記錄控制明確記錄的保存環境要求明確保存期限要求明確訪問控制要求明確檢索要求（比如，支持按特定條件進行查詢和統計）62知識域：信息安全管理體系基礎知識子域： 內部審核和管理評審了解內部審核的概念，以及內部審核的目的、實施主體、實施方式、審核準則了解管理評審的概念，以及管理評審的目的、實施主體、實施對象、實施方式63內部審核是用于內部目的，由組織自己或以組織的名義所進行的審核也稱第一方審核是ISMS能夠持續改進的重要動力之一組織應按照既定的周期實施ISMS內部審

29、核64內部審核目的確定ISMS的控制目標、控制措施是否符合相關標準和法律法規以及合同條款的要求確定各項控制措施是否得到有效的實施和保持確定員工的業務行為是否符合組織ISMS文件所規定的要求實施主體ISMS內審小組實施方式文件審核、現場審核審核準則相關標準、法規法規、合同條款、ISMS文件65管理評審為實現已建立的目標，而進行的確定管理體系的適宜性、充分性和有效性的活動也是ISMS能夠持續改進的重要動力之一組織應按照既定的周期實施ISMS管理評審66管理評審目的確保組織的ISMS持續具備適宜性、充分性和有效性實施主體組織的高級管理層實施對象ISMS文件體系、各種管理評審輸入材料實施方式最常見的是

30、召開管理評審會議，由組織的高級管理層親自主導實施67知識域：信息安全管理體系基礎知識子域： 信息安全管理體系認證了解ISMS認證的概念理解ISMS認證是促進信息安全管理體系改進的一種外部驅動力68ISMS認證ISMS認證，是由ISMS認證機構依據ISO/IEC 27001對申請組織的ISMS進行審核，并向通過審核的申請組織頒發ISMS認證證書的活動認證機構是指那些從事對產品（服務）、過程、體系或人員是否符合規定要求實施認證活動的合格評定機構ISMS認證是證明一個組織的信息安全水平達到并滿足ISMS國際/國家標準要求的有效途徑ISMS認證活動，能從第三方客觀公正的角度，發現ISMS存在的不足和問

31、題，是促進ISMS持續改進的一種外部驅動力69ISMS認證ISMS認證通常包含一組審核，包括初次認證審核、年度監督審核和復審ISMS認證證書有效期一般為三年，頒發認證證書后的第一、第二年需要進行年度監督審核，第三年進行復審，復審通過后重新頒發認證證書70知識域：信息安全管理體系建設知識子域： 規劃與建立ISMS理解定義ISMS范圍和邊界、實施風險評估、獲得管理者對殘余風險的批準等規劃與建立ISMS的主要工作內容71采用過程方法來建立和管理ISMS72ISO27001要求采用過程方法來建立、實施和運行、監視和評審、保持和改進組織的ISMS按照PDCA循環理念運行的信息安全管理體系是從過程上嚴格保

32、證了ISMS的有效性，在過程上的這些要求是不可或缺的，也就是說不是可選的，是必須執行的ISMS應用過程方法的結構73規劃與建立ISMSP1-定義ISMS范圍和邊界P2-制定ISMS方針P3-確定風險評估方法P4-實施風險評估P5-選擇、評價和確定風險處理方式、處理目標和處理措施P6-獲得管理者對建議的殘余風險的批準P7-獲得管理者對實施和運行ISMS的授權P8-編制適用性聲明（SoA）74P1-定義ISMS范圍和邊界75ISMS的范圍就是需要重點進行信息安全管理的領域，組織需要根據自己的實際情況，在整個組織范圍內、個別部門或領域構建ISMS在定義ISMS范圍時，應重點考慮組織現有的部門、信息資

33、產的分布狀況、核心業務的流程區域以及信息技術的應用區域在本階段，應將組織劃分成不同的信息安全控制領域，以易于組織對有不同需求的領域進行適當的信息安全管理P2-制定ISMS方針76信息安全方針是組織的管理層制定的一個高層文件，用于指導組織如何對資產進行管理、保護和分配的規則和指示信息安全方針應當闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準，采用適當的方法將方針傳達給每一個員工信息安全方針應當簡明、扼要，便于理解，至少包括目標、范圍、意圖、法規的遵從性和管理的責任等內容P3-確定風險評估方法77識別并確定適合ISMS的風險評估方法，確保風險評估產生可比較的和可再現的結果組織可采取不

34、同風險評估法方法，一個方法是否適合于特定組織，有很多影響因素，包括：業務環境業務性質與業務重要性對支持組織業務活動的信息系統的依賴程度業務內容、支持系統、應用軟件和服務的復雜性貿易伙伴、外部業務關系、合同數量的大小這些因素對風險評估方法的選擇都很重要，不僅風險評估要考慮成本與效益的權衡，不出現過度安全；風險評估自身也要考慮成本與效益的權衡，不出現過度復雜制定接受風險的準則，識別可接受的風險級別P4-實施風險評估78風險評估準備風險要素識別識別ISMS范圍內的資產及其責任人1識別資產所面臨的威脅識別可能被威脅利用的脆弱點識別已有的控制措施風險分析分析事件發生的可能性分析事件造成的影響實施風險計算

35、風險結果判定評估風險的等級綜合評估風險狀況1 術語“責任人”標識了已經獲得批準，負有控制資產的產生、開發、維護、使用和保證資產的安全的管理職責的個人或實體。術語“責任人”不是指該人員實際上對資產擁有所有權P5-選擇、評價和確定風險處理方式、處理目標和處理措施79常用的處理方式包括：采用適當的控制措施（降低風險）在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險避免風險將相關業務風險轉移到其他方，如：保險，供應商等（轉移風險）風險處理方式及決策原則80降低風險：在考慮轉移風險前，應首先考慮采取措施降低風險避免風險：有些風險容易避免，例如采用不同的技術、更改操作流程、采用簡單

36、的技術措施等轉移風險：通常只有當風險不能被降低風險和避免、且被第三方接受時才采用接受風險：用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險為處理風險選擇控制目標和控制措施81選擇控制目標和控制措施應考慮接受風險的準則以及法律法規和合同要求將ISO27001附錄A作為選擇控制措施的出發點，以確保不會遺漏重要的可選控制措施 組織也可能需要制定ISO27001附錄A以外的控制目標和控制措施提示：在選擇控制目標和控制措施時，并沒有一套標準與通用的辦法，選擇的過程往往不是很直接，可能要涉及一系列的討論、咨詢和決策過程P6-獲得管理者對建議的

37、殘余風險的批準82獲得管理層接受風險評估團隊所建議的殘余風險的確認是風險評估活動中的一個重要過程管理層確認接受殘余風險，是對風險評估工作的一種肯定，表示管理層已經全面了解了組織所面臨的風險，并理解在風險一旦變為現實后，組織能夠且必須承擔引發的后果如果一個組織所建立的ISMS要尋求認證，認證機構將尋求管理層確認接受殘余風險的書面證據P7-獲得管理者對實施和運行ISMS的授權83必須獲得管理者對實施和運行ISMS的授權。沒有授權，實施和運行ISMS的相關活動就很難推進實施和運行ISMS，需要大量的資源（人力、資金等），沒有管理層的授權，就很難申請并獲得這些資源P8-編制適用性聲明（SoA）84所選

38、擇的控制目標和措施以及被選擇的原因應在適用性聲明（Statement of Applicability，SoA）中進行說明SoA是適合組織需要的控制目標和控制的評論，需要提交給管理者、職員、具有訪問權限的第三方相關認證機構編制SoA一方面是為了向組織內的員工聲明對在面臨的信息安全風險的態度，更大程度上則是為了向外界表明組織的態度和作為，以表明組織已經全面、系統地審視了組織的信息安全系統，并將所有需要控制的風險控制在能被接受的范圍內知識域：信息安全管理體系建設知識子域： 實施和運行ISMS理解實施風險處理計劃、開發有效性測量程序、管理ISMS的運行等實施和運行ISMS的主要工作內容85實施和運行

39、ISMSD1-制定風險處理計劃D2-實施風險處理計劃D3-開發有效性測量程序D4-實施培訓和意識教育計劃D5-管理ISMS的運行D6-管理ISMS的資源D7-執行檢測事態和響應事件的程序86D3-開發有效性測量程序ISMS運行及控制措施是否有效，要有測量方法和途徑，以便制定改進措施加以改進開發一份有效性測量程序，明確需要設立的測量項目，以及每一測量項目的度量標準、要求達到的指標、測量方式、測量周期、測量執行人有效性測量程序本身，應做為ISMS文件加以管理和控制87D5-管理ISMS的運行批準并發布ISMS文件宣貫和解釋ISMS文件要求ISMS試運行期間的管理宣布ISMS正式運行88ISMS試運行ISMS運行初期處于磨合期，一般稱為試運行期試運行期的目的是要在實踐中檢驗ISMS的充分性、適用性和有效性此期間，宜加強運作力度，通過實施ISMS文件，充分發揮ISMS本身的各項功能，及時發現ISMS本身存在的問題，找出問題的根源，采取糾正措施，并按照文件控制程序要求更改體系文件，以達到進一