信息安全管理体系（ISMS）

一、关于信息安全管理体系（ISMS）

Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。

信息安全管理体系ISMS是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。

ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。信息安全管理体系是按照ISO/IEC 27001标准《信息技术安全技术信息安全管理体系要求》的要求进行建立的，ISO/IEC 27001标准是由BS7799-2标准发展而来。

具体包括： 信息安全管理手册、适用性说明、管理制度与规范、业务流程和记录表单等；

遵循原则

程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；程序文件的范围和详细程度应取决于安全工作的复杂程度、所用的方法以及这项活动涉及人员所需的技能、素质和培训程度；程序文件应简练、明确和易懂，使其具有可操作性和可检查性；程序文件应保持统一的结构与编排格式，便于文件的理解与使用。

注意事项

编写信息安全管理体系程序文件时应注意：

程序文件要符合组织业务运作的实际，并具有可操作性；

可检查性。实施信息安全管理体系的一个重要标志就是有效性的验证。程序文件主要体现可检查性，必要时附相应的控制标准；在正式编写程序文件之前，组织应根据标准的要求、风险评估的结果及组织的实际对程序文件的数量及其控制要点进行策划，确保每个程序之间要有必要的衔接，避免相同的内容在不同的程序之间有较大的重复；另外，在能够实现安全控制的前提下，程序文件数量和每个程序的篇幅越少越好；程序文件应得到本活动相关部门负责人同意和接受，必须经过审批，注明修订情况和有效期。

二、信息安全管理体系应用方法

1.信息安全管理体系（ISMS）和企业安全架构的关系

ISMS指出了需要部署的风险管理，从战略层面出发

企业架构则细化了风险管理的组件，并阐明了如何从战略、战术和运营层面开展风险管理

ISMS是自上而下的开发方法，确保人们正在保护公司的资产，它由高级管理人员驱动。

2.涉及的几个术语

1）安全策略/方针

安全策略不应受技术和解决方案的约束
高级管理层制定的一份声明
明确安全战略和战术价值。明确可承受的风险
规定安全在组织内所扮演的角色
可以组织化策略为组织内部未来提供范围和方向，说明愿意接受多大的风险
可针对性设置
必须列出目标和任务，不得规定具体做法

方向性，战略性的，不具体怎么做

2）标准：一般指强制性的活动、动作或规则，为策略提供方向上的支持和实施，是战术目标

对于强制性要达到的标准

3）基线

定义所需要的最低保护要求
组织还应制定面向非技术的基线：例身份徽章、参观陪同
满足方针/策略要求的最低级别的安全要求

基本要求

4）指南

在没有应用特定标准时向用户、IT人员、运营人员及其他人员提供建议性动作和操作
类似于标准，加强系统安全的方法，建议性的

建议性的最佳实践方法

5）措施

为达到特定目标应执行的详细的、分步骤的任务
说明如何将策略、标准和指南应用到实际操作中

采取的技术和管理手段

3.ISMS的具体过程

采用PDCA进行管理：

计划（Plan）——根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；

实施（Do）——实施所选的安全控制措施；

检查（Check）——依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。

改进（Action）——根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS 的持继改进。

PDCA过程模式

策划：依照组织整个方针和目标，建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。

实施：实施和运作方针（过程和程序）。

检查：依据方针、目标和实际经验测量，评估过程业绩，并向决策者报告结果。

措施：采取纠正和预防措施进一步提高过程业绩。

四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效(performance)螺旋上升。

PDCA的应用

P—建立信息安全管理体系环境&风险评估

要启动PDCA 循环，必须有“启动器”：提供必须的资源、选择风险管理方法、确定评审方法、文件化实践。设计策划阶段就是为了确保正确建立信息安全管理体系的范围和详略程度，识别并评估所有的信息安全风险，为这些风险制定适当的处理计划。策划阶段的所有重要活动都要被文件化，以备将来追溯和控制更改情况。

1）确定范围和方针

信息安全管理体系可以覆盖组织的全部或者部分。无论是全部还是部分，组织都必须明确界定体系的范围，如果体系仅涵盖组织的一部分这就变得更重要了。组织需要文件化信息安全管理体系的范围，信息安全管理体系范围文件应该涵盖：

确立信息安全管理体系范围和体系环境所需的过程；战略性和组织化的信息安全管理环境；组织的信息安全风险管理方法；信息安全风险评价标准以及所要求的保证程度；信息资产识别的范围。

信息安全管理体系也可能在其他信息安全管理体系的控制范围内。在这种情况下，上下级控制的关系有下列两种可能：

下级信息安全管理体系不使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制不影响下级信息安全管理体系的PDCA 活动；下级信息安全管理体系使用上级信息安全管理体系的控制：在这种情况下，上级信息安全管理体系的控制可以被认为是下级信息安全管理体系策划活动的“外部控制”。尽管此类外部控制并不影响下级信息安全管理体系的实施、检查、措施活动，但是下级信息安全管理体系仍然有责任确认这些外部控制提供了充分的保护。　安全方针是关于在一个组织内，指导如何对信息资产进行管理、保护和分配的规则、指示，是组织信息安全管理体系的基本法。组织的信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，为组织的信息安全管理提供方向和支持。

2）定义风险评估的系统性方法

确定信息安全风险评估方法，并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应，兼顾效果和效率。组织需要建立风险评估文件，解释所选择的风险评估方法、说明为什么该方法适合组织的安全要求和业务环境，介绍所采用的技术和工具，以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节：

a.信息安全管理体系内资产的估价，包括所用的价值尺度信息；

b. 威胁及薄弱点的识别；

c.可能利用薄弱点的威胁的评估，以及此类事故可能造成的影响；

d.以风险评估结果为基础的风险计算，以及剩余风险的识别。

3）识别风险

识别信息安全管理体系控制范围内的信息资产；识别对这些资产的威胁；识别可能被威胁利用的薄弱点；识别保密性、完整性和可用性丢失对这些资产的潜在影响。

4）评估风险

根据资产保密性、完整性或可用性丢失的潜在影响，评估由于安全失败（failure）可能引起的商业影响；根据与资产相关的主要威胁、薄弱点及其影响，以及实施的控制，评估此类失败发生的现实可能性；根据既定的风险等级准则，确定风险等级。

5）识别并评价风险处理的方法

对于所识别的信息安全风险，组织需要加以分析，区别对待。如果风险满足组织的风险接受方针和准则，那么就有意的、客观的接受风险；对于不可接受的风险组织可以考虑避免风险或者将转移风险；对于不可避免也不可转移的风险应该采取适当的安全控制，将其降低到可接受的水平。

6）为风险的处理选择控制目标与控制方式

选择并文件化控制目标和控制方式，以将风险降低到可接受的等级。不可能总是以可接受的费用将风险降低到可接受的等级，那么需要确定是增加额外的控制，还是接受高风险。在设定可接受的风险等级时，控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制，进而安排预防、制止、限制和恢复控制。在形式上，组织可以通过设计风险处理计划来完成步骤5 和6。 风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表，是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动，还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容：组织所选择的处理方法；已经到位的控制；建议采取的额外措施；建议的控制的实施时间框架。

7）获得最高管理者的授权批准

剩余风险(residual risks)的建议应该获得批准，开始实施和运作信息安全管理体系需要获得最高管理者的授权。

D—实施并运行

PDCA 循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险，不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。

C—监视并评审

检查阶段，又叫学习阶段，是PDCA 循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

1）执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

2）常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

3）评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

4）审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

评审

信息安全方针仍然是业务要求的正确反映；正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标；有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效；剩余风险已被正确评估，并且是组织管理可以接受的；前期审核和评审所认同的措施已经被实施；审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

A—改进

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA 循环。在这个过程中组织可能持续的进行一下操作：

测量信息安全管理体系满足安全方针和目标方面的业绩。识别信息安全管理体系的改进，并有效实施。采取适当的纠正和预防措施。沟通结果及活动，并与所有相关方磋商。必要时修订信息安全管理体系。确保修订达到预期的目标。　在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

不符合、纠正措施和预防措施是本阶段的重要概念。

不符合：是指实施、维持并改进所要求的一个或多个管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：

识别信息安全管理体系实施、运作过程中的不符合；确定不符合的原因；评价确保不符合不再发生的措施要求；取定并实施所需的纠正措施；记录所采取措施的结果；评审所采取措施的有效性。　预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求：

识别潜在不符合及其原因；确定并实施所需的预防措施；记录所采取措施的结果；评审所采取的预防措施；识别已变化的风险，并确保对发生重大变化的风险予以关注。

三、安全的特性

机密性（C）:确保在数据处理的每一个交叉点上都实施了必要级别的安全防护并阻止未经授权的信息披露

加密静止数据；
加密传输；
访问控制；
数据分类；
数据保护措施培训。

相反的：泄漏(Disclosure),对应的C

完整性（I）：保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改,保持信息内部一致性和外部一致性

散列；
配置管理；
变更控制；
访问控制；
软件数字签名；
传输循环冗余校验。

相反的：篡改/变更(Alteration),对应的I

可用性（A):保护确保授权的用户能够对数据和资源进行及时和可靠的访问

群集；
负载均衡；
冗余数据和电源线；
软件和数据备份；
磁盘映像；
异地备用设施。

相反的： 破坏(Destruction),对应的A

常见的安全控制

从类型分：物理控制、技术控制、管理控制
从功能性划分：预防性、检测性、纠正性、威慑性、恢复性、补偿性

四、企业信息安全体系规划中涉及的标准

1.安全规划开发标准

ISO/IEC 27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成员标准有：

ISO/IEC 27000 ISMS概述和术语 IS

ISO/IEC 27001 信息安全管理体系要求 IS

ISO/IEC 27002 信息安全管理体系实用规则 IS

ISO/IEC 27003 信息安全管理体系实施指南 FDIS

ISO/IEC 27004 信息安全管理度量 FDIS

ISO/IEC 27005 信息安全风险管理 IS

ISO/IEC 27006 ISMS认证机构的认可要求 IS

ISO/IEC 27007 信息安全管理体系审核指南 CD

ISO/IEC 27008 ISMS控制措施审核员指南 WD

ISO/IEC 27010 部门间通信的信息安全管理 NP

ISO/IEC 27011 电信业信息安全管理指南 IS

ISO27031 ICT Readiness for Business Continuity

ISO27032 Cyber Security

ISO27033 - Network Security

ISO27034 Guidelines for application security

2.企业架构开发方法

TOGOF：业务架构、应用技术、数据架构、技术架构

DODAF：美国国防部编制的一个控制“EA”开发、维护和决策生成的组织机制，是统一组织团队资源、描述和控制EA活动的总体架构。

MODAF：美国国防部体系框架

SABSA

用于企业安全架构和服务管理的框架和方法论，与TOGOF、ITIL能无缝结合。

以下是SABSA的分层结构

Contextual Layer	Business driver development, business risk assessment, service management, relationship management, point-of-supply management and performance management.	上下文层	业务驱动开发、业务风险评估、服务管理、关系管理、供应点管理和绩效管理。
Conceptual Layer	Developing the Business Attributes Profile, developing operational risk management objectives through risk assessment, service delivery planning, defining service management roles, responsibilities, liabilities and cultural values, service portfolio management, planning and maintaining the service catalogue and managing service performance criteria and targets (service level definition).	概念层	开发业务属性概要，通过风险评估、服务交付规划、定义服务管理角色、职责、责任和文化价值、服务组合管理、规划和维护服务目录以及管理服务绩效来开发运营风险管理目标标准和目标（服务级别定义）。
Logical Layer	Asset management, policy management, service delivery management, service customer support, service catalogue management, and service evaluation management.	逻辑层	资产管理、政策管理、服务交付管理、服务客户支持、服务目录管理、服务评价管理。
Physical Layer	Asset security and protection, operational risk data collection, operations management, user support, service resources protection, and service performance data collection.	物理层	资产安全和保护、操作风险数据收集、操作管理、用户支持、服务资源保护和服务性能数据收集。
Component Layer	Tool protection, operational risk management tools, tool deployment, personnel deployment, security management tools and service monitoring tools.	组成部分层	工具保护、操作风险管理工具、工具部署、人员部署、安全管理工具和服务监控工具。扫描二维码关注公众号，回复： 10227074 查看本文章