目标:
范围: ISO27001 Foundation,不包含后续附录A控制点,等待整理完成后续放出;
本标准包括 14 个安全控制措施的章节,共含有 35 个主要安全类别和 113 项安全控制措施。
组织应明确与信息管理体系目的及影响其能力有关的内外部问题,以达到信息安全管理体系的预期效果。
目标 | 进行风险评估和设计并准备实施信息安全体系方针 |
---|---|
可能参照 | 组织的事业环境因素,内部环境和外部环境 |
外部环境 | 行业法规、国家宪法、业务驱动[需要进行BIA]、对外业务相关方影响 |
内部环境 | 战略、政策、组织架构模型、内部利益相关者、信息流处理、资源管理、知识管理 |
参照ISO/CD31000 5.3.1 框架设计之风险管理–理解组织内部环境和外部环境:
组织外部环境的关注点:
- 国际,国家或地区的文化,政治,法律,法规,金融,经济和竞争环境;
- 影响组织目标的主要驱动因素和趋势 以及外部利益相关者的看法和价值观。
组织内部环境的关注点:
- 以资源和知识(例如资本,人员,能力,流程,系统和技术)理解的能力;
- 信息流和决策过程;
- 内部利益相关者;
- 目标以及为实现这些目标而制定的战略;
- 观念,价值观和文化;
- 政策和程序;
- 组织采用的标准和参考模型和结构(例如治理,角色和问责制)。
组织应确定:
- 信息安全管理体系相关方;
- 这些相关方信息安全相关要求;
目标 | 确定组织内容信息安全管理体系受益群体,了解受益群体的期望和需求,方便后期实施安全措施 |
---|---|
可能参照 | 出现在供应商的协议、合同、相关信息安全法律法规、标准、规范 |
TodoList | 查看相关文件化内容、需求文件、访谈相关方、识别相关方业务、资产、管理颗粒细度 |
组织应确定信息安全管理体系的边界和适用性,以确定其范围心 在确定此范围时,组织应考虑 :
- <了解组织现状及背景> 提及的外部和内部的问題,
- <理解相关方的需求和期望> 提及的要求;
- 接口和执行组织之间活动的依赖关系, 以及其他组织的相关活动。 范围应可成为文档化信息力 ;
目标 | 确定ISMS 信息安全管理体系的影响位置、处置广度、确定范围核心,哪些内容需要考虑; |
---|---|
可能参照1 | 0x110 组织的事业环境因素,内部环境和外部环境 |
可能参照2 | 0x120 内部信息安全体系受影响相关方需求 |
可能参照3 | 组织架构信息、业务流程、最终输出结果、基于依赖范围基准、范围管理计划 |
组织应按照本国际标准的要求建立、实施、保持和持续改进信息安全管理体系;
PS:这句话的意思是,听我话就对了,否则不给你认证,不会增加你企业的竞争力和股东的信心,然后你还得跪下给爷哭;
最高管理者应表现出对信息安全管理体系的领导力和承诺:
1.确保信息安全策略和信息安全目标制定,并与组织战略方向兼容;
2. 确保信息安全管理体系的要求整合到组织过程中;
3. 确保信息安全管理所需要的资源;
4. 传达有效的信息安全管理体系的重要性,并符合信息安全管理体系要求;
5. 确保信息安全管理体系达到预期的效果;
6. 指导和支持员工对信息安全管理体系做出有效贡献;
7. 促进持续改进;
8. 支持其它相关管理角色展示他们的领导力,因为它适用于他们的职责范围;
目标 | 基于组织战略方向,制定信息安全策略和信息安全目标,形成信息安全管理体系并周期性监督执行 |
---|---|
执行人 | 高级管理者:首席信息安全官、首席运营官、其它相关高管领导 |
做什么 | 提供体系运行必要资源、提供信息安全策略和目标、监督策略和目标的践行情况、传达并激励执行策略的执行人,获取信息并改进策略 |
参与人 | 相关运营职能经理、安全专题专家、管理员、安全管理员 |
做什么 | 基于 标准、法规、组织策略 提供文档化基线、指南,并培训用户、IT运维人员、操作人员信息安全意识,审计执行过程并上报高管 |
参与人 | 用户、IT运维人员、操作人员 |
做什么 | 坚决执行基线、指南、过程、程序,坚决遵守对应信息安全策略和目标,维持组织资产的正常运作,发现问题响应并上报 |
总结 | 信息安全管理体系要自上而下的运行,宏观且有效 ,运行必须有监督。 |
最高管理者应建立一个信息安全方针:
- 与组织的宗旨相适应;
- 包括信息安全目标,或为信息安全目标提供框架;
- 包括满足与信息安全相关要求的承诺;
- 包括信息安全管理体系持续改进的承诺;
信息安全的方针应:
- 可成为文档化信息;
- 在组织内沟通;
- 视情况提供给相关方;
方针目标 | 依据业务要求和法律要求,管理者应根据业务目标提供清晰的方针指导,并在整个组织颁布来表明对信息安全的支持和承诺。 |
---|---|
归档方针 | 由管理者批准,并在组织内和组织外相关方传达并指导其遵守执行,同时也便于后续的审核改进。 |
评审方针 | 在重大变化时或者周期性进行评审,保证信息安全方针的充分性、有效性、适宜性 |
最高管理应确保与信息安全相关角色的职责和权限分配和沟通:
最高管理应指定职责和权限:
- 确保信息安全管理体系符合国际标准;
- 将ISMS的绩效报告给最高管理者。
目标 | 定义职责可以保证过程顺利进行,方便定义访问权限,达成知其所需的原则,专人专责出现问题方便定位到根本原因 |
---|---|
RACI | 遵循 一个负责、多个执行、多个知情,多个知识咨询的原则,对每个活动过程进行人员分配 |
绩效报告 | 反映资源、进度、成本的使用情况,进度是否满足预期,成本是否高于预期,进行偏差或者趋势等等的分析,报告管理者便于调控 |
当规划组织的信息安全管理体系时,应当考虑 <了解组织现状及背景>提到的问题 和<理解相关方的需求和期望> 中所提到的要求,并确定需要解决的风险和机遇:
- 确保信息安全管理体系可实现预期的结果;
- 防止或减少不良影响;
- 实现持续改进;
组织应该做:
- 规划解决这些风险和机遇的措施;
- 整合和实施措施,并纳入信息安全管理体系过程中;
- 评估这些措施的有效性;
目标 | 组织内外环境风险评估,优先处理对业务运营威胁较大的风险,优先预防性安全措施、其次考虑纠正性措施; |
---|---|
可接受风险 | 安全措施防护成本大于其产生效益的,对组织运营的威胁度较低等等 |
预防性措施 | 阻止资产脆弱性被发现,阻止威胁产生,属于未雨绸缪的类型,提前发现提前解决“已知可能-未知发生的风险” |
纠正性措施 | 安全事件已经发生后,出现信息泄露或者影响组织运营可用性,抑制威胁继续进行的手段,类似于亡羊补牢 |
组织应确定信息安全风险评估过程:
- 建立和组织信息安全风险的标准, 包括风险接受准则;
- 决定执行的信息安全风险评估的标准;
- 确保重复使用的信息安全风险过程能产生一致的,有效的和可比较的结果。
组织应该做:
- 识别信息安全的风险:
- 识别ISMS范围内的信息CIA的损失风险;
- 识别风险所有者;
- 分析信息安全风险:
- 评估安全措施融入信息安全管理体系实现后的潜在后果;
- 评估安全措施融入信息安全管理体系实现的可能性;
- 确定当前风险等级;
- 评估信息安全风险
- 使用风险标准来对比风险分析结果,并建立优先级;
组织应该保留信息安全风险评估过程中的文档化信息。
目标 | 建立风险评估标准,风险可接受标准,执行风险分析,最终输出需要处置风险,处置完成后检测安全措施有效性 |
---|---|
风险标准 | 风险类型、风险描述、风险严重程度、风险与业务相关度、风险优先级 |
风险评估 | 可以执行效益成本分析,发现效益高于成本的安全措施,也可以备选方案分析,发现最优安全措施,也可以进行标杆参照 |
风险可接受标准 | 什么样的风险可以不用处置且不会造成严重问题,或者业务价值与使用安全措施防护的成本相比不值一提 |
执行审计监督 | 必要监督,措施是否达到防护的目的,审计安全措施的配置是否恰当,审计安全防护流程是否存在漏洞 |
风险所有者 | 可能是资产所有者、可能数据所有者、可能是运营业务所有者、最终都是高管的责任。 |
来自于 ISO31000 6.4.4 风险评估,对以下翻译异议可以参照原文查看:
目标:基于风险分析的结果来协助做出决策。
风险评估应该执行:
1. 哪些风险需要处置,并进行处置优先级排序;
2. 将分析过程中发现的实际风险与考虑背景时建立的风险标准进行比较;
3. 应考虑组织的信息安全目标和可能产生的机会的范围。
执行风险决策取决于组织环境因素:
1. 决策应考虑到更大范围的风险,且受益组织以外的各方对风险承受力;
2. 决策需要考虑法律和其他要求施加的约束。
3. 决策将受组织的风险偏好和已建立的风险标准的影响
4. 如果风险水平不符合风险标准,则应处理风险。
风险评估可能会导致做出进一步分析的决定后改进当前措施,或者是维持现有处置方式;
组织应采用信息安全风险处置过程:
- 选择适当的信息安全风险处理方法,考虑风险评估的结果;
- 确定所有实施的信息安全风险处置措施是必要的;
- 本小节第2项中与附件A中的控制项进行对比裁剪需要忽略的控制项;
- 制作一个包含本小节第2和第3中描述的控制项的选择理由的适用性声明,还有删减附录A中的控制项的理由;
- 制定信息安全风险处置计划和风险处置方案;
- 残余风险的应达到风险负责人书面批准;
组织应保留信息安全风险的处理过程中的发生的文档化信息;
来自于 ISO31000 6.5.1 风险评估,对以下翻译异议可以参照原文查看:
风险处置可能涉及一种或者多种备选解决方案,我们需要优先完成以下选项:
1. 风险处置与风险评估是周期性交互的过程,用于确定残留的风险在当前环境下是否不能承受;
2. 如果不能承受,需要产生对应风险处置措施,并评估其的效果是否将风险减低到组织可以接受的程度;
3. 接受程度判断需要基于组织的风险标准;
风险处置选项不一定在所有环境下都是恰当的,存在如下选项:
1. 避免风险,决定不在持续进行能够引发风险的活动;
2. 保持风险,决定继续执行可以引发风险的活动,不予理会或者维持风险发生;
3. 改变风险发生可能性;
4. 改变风险产生后果;
5. 风险转移,与另一方或多方共同承担风险;
6. 保留风险,顺其自然。
来自于 ISO31000 6.5.2 风险评估,对以下翻译异议可以参照原文查看:
选择风险处置措施的影响因素:
1. 选择合适的风险处置选项涉及平衡实施成本耗费和所产生的效益之间平衡;
2. 组织可能会考虑独立或者多种联合处置方案,可能受益于多种联合处置方案;
3. 决策应该包括罕见但可产生严重影响的风险;
4. 处置风险需要基于 法律、法规、社会责任、也需要包含经济效益成本分析。
5. 需要考虑利益相关者的价值和看法,与其沟通来获得适当的方法;
6. 风险处置时,如果出现其他受到牵连的区域也需要参与风险处置决策,这样会更加容易被相关区域所接受;
7. 如果风险处理资源有限,应该清晰标识个别风险处理的优先顺序,并记录节省成本;
风险处置后的注意事项:
1. 风险处置可能带来风险,重大的风险可能会导致失败,或者风险处置措施失效;
2. 除了需要实施风险处理措施,还需要监控风险处置措施的有效性;
3. 风险处理可能还会引入需要评估,处理,监视和审查的次要风险;
4. 这些次要风险应与原始风险纳入同一处置计划中,而不应被视为新风险,并且应确定两者之间的联系;
剩余风险如何处理:
1. 决策者和其他利益相关者应了解风险处理后剩余风险的性质和程度;
2. 残余风险可以形成文件,并进行监控,审查,并在适当时进行进一步处理。
来自于 ISO31000 6.5.3 风险评估,对以下翻译异议可以参照原文查看:
目标:记录如何实施所选的风险处置方案。
风险处置计划应该整合进组织的管理流程,并与利益相关方进行讨论执行细节。
风险处置计划提供哪些信息:
1. 预期获得效益;
2. 绩效指标和限制;
3. 负责审批计划和执行计划的人员;
4. 推荐的实施方案
5. 报告和检测的要求;
6. 资源需求;
7. 处理时限;
组织应建立相关职能和层次的信息安全目标。
信息安全目标的特征:
- 信息安全方针一致;
- 可衡量的;
- 考虑适用的信息安全要求,以及风险评估和处置结果;
- 可沟通的;
- 适当进行更新的;
组织应该保存安全目标相关的文档化信息。
需要实现信息安全目标时,需要哪些前提条件:
- 做什么;
- 资源需求;
- 确定负责人;
- 完成时间范围;
- 评估输出结果的标准;
组织应确定并提供安全管理体系的建立,实施,维护和持续改进所需的资源;
组织应该做:
- 确定员工在ISMS管控下工作的必备能力,这会影响到组织的信息安全绩效;
- 确保这些人在适当的教育,培训或取得经验后是能胜任的;
- 在适当情况下,采取行动已获得必要的能力,并评估所采取行动有效性;
- 保留适当的文化信息作为证据。
目标 | 培训组织员工独立完成ISMS 的操作,保证ISMS的有效性,需要定期进行测量是否符合组织绩效标准 |
---|---|
归档作用 1 | 保证流程可以审查,可记录经验教训,可进行持续改进始终保持最优输出 |
归档作用 2 | 可以用于分发下达到基层员工执行,明确知晓自己在ISMS系统中工作职责 |
归档作用 3 | 审查监督员工是否按照活动流程,做到应尽职责 |
为组织工作的人员应了解:
- 信息安全方针;
- 她们对信息安全管理体系有效性的贡献,包括提高信息安全绩效的收益;
- 不符合信息安全管理体系所带来的影响;
目标 | 从上层获取信息安全方针=安全策略,最终落地教育员工需要做什么,意识、培训、教育 |
---|---|
意识 | 做什么 |
培训 | 怎么做 |
教育 | 为什么要这么做 |
组织应确定信息安全管理体系中内部和外部相关的沟通需求:
- 沟通什么;
- 何时沟通;
- 和谁沟通;
- 谁应该沟通;
- 如何沟通是有效的;
组织的信息安全管理体系应包括:
- 本国际标准所需要的文档化信息;
- 记录信息安全管理体系有效性必要的文档化信息。
不同组织的文档化信息的裁剪:
- 组织规模、活动类型、过程、产品和服务;
- 过程及其相互作用的复杂性;
- 人员能力
当创建更新文档化信息是,组织应确保适当的进行:
- 识别和描述(标题、日期、作者、或参考标识);
- 格式(如语言、软件版本、图形) 和媒体(如纸张、电子);
- 适当和足够的审查和标准;
信息安全管理体系与本国际标准要求的文档化信息应被管理,以确保:
- 当文档化信息被需要是可用且适用的;
- 得到充分保护(例如 保密性丧失、完整性丧失、使用不当)
对文档化信的控制,组织应制定以下活动:
- 分配,访问,检索和使用;
- 存储和保存,包括易读性的保存;
- 变更管理;
- 保留处置。
组织信息安全管理体系的规划和运作必要的外来信息,应被适当识别和管理。
目标 | 保护文档化信息中的敏感信息,组织内部私有信息, |
---|---|
保密性 | 对不需要知道该文档化信息的人员保密,防止进行推测攻击,保证知其所需原则的实施 |
完整性 | 保证文档化信息对于执行人员来说只能查看不能更改 |
适用性 | 组织进行重大变更时,需要重新审查并迭代更新文档内容,来保证其对组织过程指导作用 |
变更管理 | 执行整体变更控制,变更请求、变更审批、变更实施、变更记录、变更发布等流程 |
组织应策划,实施和控制过程需求以满足信息安全要求,并实施在<风险评估>中确定的措施。组织还应当实施计划,以实现信息安全目标。
- 组织应保存相关文档化信息,以保证过程已按照计划实施。
- 组织应控制计划变更,同时审计非计划变更,并采取适当措施以减轻任何不良影响;
- 组织应确保外包过程是被确定和受控。
组织应在技术时间间隔或发生重大变化时执行信息安全风险评估,发现新的风险时,纳入风险评估标准范围;
组织应保留信息安全风险评估结果的相关文档化信息;
组织应实施信息安全处置计划;
组织应保留信息安全风险处置结果的文档化信息。
组织应评估信息安全绩效和信息安全管理体系的有效性。
组织应确定:
- 需要进行监视和测量,包括信息安全过程和控制要求;
- 监测,测量, 分析和评估等方法,以确保结果有效;
- 监视和测量时间;
- 谁应监测和测量
- 何时对监视和测量的结果进行分析和评估;
- 谁应分析和评估这些结果。
组织应保留适当的监视和测量结果的文档化信息作为证据。
目标 | 审计基于信息安全目标和信息安全方针形成的信息安全过程和控制措施 是否需要改进或者持续有效 |
---|---|
监测时间 | 半年次 或者一年次 周期性,组织发生重大变化时进行审查 |
监测人 | 组织内部或者外部审计人员,政府监管人员,相关项目经理 |
何时分析 | 完成目标数据收集后 |
谁分析 | 安全专家 或者是审计员,分析完成后选哟出信息安全绩效报告 |
最终获取 | 信息安全绩效报告上报到高级管理,方便其更新整体的信息安全体系 |
组织应在计划的时间间隔进行内部审计,根据提供的信息判断是否符合安全体系;
- 符合组织自身信息安全管理体系的要求;
- 符合本国际标准的要求;
- 有效实施和保持。
组织应该:
- 计划,建立,实施并保持审计方案,其中包括频率,方法,职责,计划要求和报告。
- 审计程序应考虑相关过程和以往审计结果的重要性;
- 定义每次审计的章程和范围;
- 选择审计员和审计组长以确保审计过程的客观性和公正;
- 确保审计结果报告提交相关管理层;
- 保留审计程序和审计结果相关的文档化信息作为证据;
最高管理者应在计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性,充分性和有效性。
管理评审应考虑:
- 以往管理评审行动措施的状态;
- 与信息安全管理体系相关的内外部问题的变化;
- 反馈信息安全安全绩效和趋势:不符合的纠正措施、测量结果、审计结果、信息安全目标的实现;
- 相关方反馈;
- 风险评估的结果和风险处置的状态;
- 持续改进的机会;
管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相关决定;
组织应该保留评审结果的文档化信息作为证据。
目标 | 保证信息安全管理体系的适宜性,充分性和有效性 |
---|---|
关注点1 | 评审的历史信息,上一次评审与当前间隔、评审的范围、产生的问题、未解决的问题、已解决的问题等 |
关注点2 | 事业环境因素的变化 |
关注点3 | 措施有效性 、风险是否降低到可接受程度、审计结果是否符合安全目标 等 |
关注点4 | 是否存在变更记录,进行PDCA 持续改进 |
1.出现审计结果不符合时,组织应该做哪些事情:
- 响应不符合项,并处理不符合的事项;
- 采取行动控制和纠正措施;
2.评估采取措施必要性,消除不符合的根本原因,使不符合项不再反复发生;
- 识别不符合事项;
- 确定不符合根本原因;
- 确定是否存在发生可能性;
3.实施所需的任何纠正措施,应对不符合项目适当的影响;;
4.审查已经执行纠正措施有效性;
5.如果需要新增必要的安全措施,需要执行变更流程,修改信息安全管理体系;6.组织应保留以下文档作为证据:
- 不符合的性质和后续措施;
- 任何纠正措施的结果;
目标 | 针对不符合信息安全管理目标的审计结果,查找根本原因并使用纠正措施响应,记录纠正后结果 |
---|---|
识别不符合项目 | 审计结果与风险标准对比 |
确定不符合项目 | 与风险标准比对,严重性,优先级,可能性 |
响应不符合项目 | 找到发生不符合项目的根本原因 |
纠正不符合项目 | 安全措施、培训教育、抑制不符合项 |
审查不符合项目 | 周期性审查不符合项目发生可能性是否增加,纠正措施是否持续有效 |
上报不符合项目 | 报告不符合项的根本原因,查看是否需要修改信息安全体系 ,是否需要预防措施 |
更新不符合项目 | 如果需要变更记录,问题日志 ,形成经验教训登记册 |
组织应不断提高 信息安全管理体系的适宜性,充分性和有效性;