【文章內(nèi)容簡介】 準則和可接受水平。 1) 識別適用于 ISMS和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法。 2) 建立接受風險的準則并識別風險的可接受等級 。選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 注：風險評估具有不同的方法。具體參照 國家 《 信息安全風險評估規(guī)范 》 標準 。 3) 公司的風險評估的流程 公司制定《信息安全風險評估控制程序》，建立識別適用于信息安全管理體 系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風險評估方法，建立接受風險的準則并識別風險的可接受等級。所選擇的風險評估方法應(yīng)確保風險評估能產(chǎn)生可比較的和可重復的結(jié)果。 信息安全風險評估的流程見圖 。 輸 入 輸 出 相關(guān)方 信息安全的要求和期望 相關(guān)方 管理的信息安全 建立ISMS 實 施 和運行ISMS 保 持 和改進ISMS 監(jiān)視和評審ISMS Plan Do Check Action 圖 d) 識別風險： 1) 識別 ISMS 控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的 ISMS 范圍內(nèi)，對所有的信息資產(chǎn)進行列表識別。信息資產(chǎn)包括 業(yè)務(wù)過程 、 文檔 /數(shù)據(jù)、軟件 /系統(tǒng)、硬件 /設(shè)施、人力資源、服務(wù)、無形資產(chǎn)等。對每 一項信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《信息資產(chǎn)識別表》。 2) 識別對這些資產(chǎn)的威脅，一項資產(chǎn)可能面對若干個威脅； 3) 識別可能被威脅利用的脆弱性，一項脆弱性也可能面對若干個威脅； 4) 識別保密性、完整性和可用性損失可能對資產(chǎn)造成的影響。 e) 分析并評價風險： 1) 在資產(chǎn)識別的基礎(chǔ)上，針對每一項重要信息資產(chǎn)，依據(jù)《風險評估原則》中的信息資產(chǎn) CIAB 分級標準，進行 CIAB的資產(chǎn)賦值計算； 2) 針對每一項重要信息資產(chǎn)，參考《風險評估原則》中的《威脅參考表》及以往的安全事故 （事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識別出重要信息資產(chǎn)所面臨的所有威脅； 確定 ISMS范圍 事件發(fā)生的影響 事件發(fā)生的可能性 資產(chǎn)識別與重要資產(chǎn)確定 威脅識別 已有控制措施確認 薄弱點識別 保持已有的控制措施 施施施 選擇目標及控制措施 實 施 殘余風險評審 YES No 是否接受 確定風險等級 Yes 3) 按照《風險評估原則》中的《威脅分級標準》對每一個威脅發(fā)生的可能進行賦值； 4) 針對每一項威脅，考慮現(xiàn)有的控制措施，參考《風險評估原則》中的《脆弱性參考表》識別出被該威脅可能利用的所有薄弱點，并根據(jù)《風險評估原則》中的《脆弱性分級標準》對每一個脆弱性被威脅利用的難易程度進行賦值； 5) 按照風險評估模型結(jié)合威脅和脆弱性賦值對風險發(fā)生可能性進行評價。 6) 按照風險評估模型結(jié)合資產(chǎn)和脆弱性賦值對風險發(fā)生的損失進行評價。 7) 按照風險評估模型對風險發(fā)生可能性和風險發(fā)生的損失進行計算得出風險評估賦值，并按照《風險評估原則》中的《風險等級標準》評價出信息安全風險等級。 8) 對于信息安全風險，在考慮控制措施與費用平衡的原則下制定的信息安全風險接受準則，按照該準則確定何種等級的風險為不可接受風險。 f) 識別并評價風險處理的選擇： 對于信息安全風險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當?shù)拇胧? 1) 應(yīng)用適當?shù)目刂埔越档惋L險：這可能是降低事件發(fā)生的可能性，也可能是降低安全失敗 (保密性、完整性或可用性丟失 )的業(yè)務(wù)損害。 2) 如 果能證明風險滿足公司的方針和風險接受準則，有意的、客觀的接受風險；一般針對那些不可避免的風險，而且技術(shù)上、資源上不可能采取對策來降低，或者降低對公司來說不經(jīng)濟。 “接受風險”是針對判斷為不可接受的風險所采取的處理方法，而不是針對那些低于風險接受水平的本來就可接受的風險。 3) 避免風險；對于不是公司的核心工作內(nèi)容的活動，公司可以采取避免某項活動或者避免采用某項不成熟的產(chǎn)品技術(shù)等來回避可能產(chǎn)生的風險。 4) 將有關(guān)的業(yè)務(wù)風險轉(zhuǎn)移到其他方，例如保險公司、供方。 信息安全工作小組 應(yīng)組織有關(guān)部門根據(jù)風險評估的結(jié)果，形 成風險處理計劃，該計劃應(yīng)明確風險處理責任部門、方法及時間。 g) 為風險的處理選擇控制目標與控制措施。 應(yīng)選擇并實施控制目標和控制措施，以滿足風險評估和風險處理過程所識別的要求。選擇時，應(yīng)考慮接受風險的準則以及法律法規(guī)和合同要求。 信息安全工作小組 根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風險評估的結(jié)果，組織有關(guān)部門制定信息安全目標，并將目標分解到有關(guān)部門。信息安全目標應(yīng)獲得信息安全最高責任者的批準。 從附錄 A中選擇的控制目標和控制措施應(yīng)作為這一過程的一部分，并滿足上述要求。公司也可根據(jù)需要選擇另外的控制目標和控制措 施。 注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄 A作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的控制可選措施。 h) 獲得最高管理者對建議的剩余風險的批準，剩余風險接受批準應(yīng)該在《風險評估表》上留下記錄，并記錄殘余風險處置批示報告。 i) 獲得管理者對實施和運行 ISMS 的授權(quán)。 ISMS 管理者代表的任命和授權(quán)、 ISMS文檔的簽署可以作為實施和運作 ISMS的授權(quán)證據(jù)。 j) 準備適用性聲明，內(nèi)容應(yīng)包括： 1) 所選擇的控制目標和控制措施，以及選擇的原因； 2) 當前實施 的控制目標和控制措施； 3) 附錄 A中控制目標和控制措施的刪減，以及刪減的理由。 4) 信息安全工作小組 負責組織編制《 信息安全適用性聲明 (SOA)》。 注：適用性聲明提供了一個風險處理決策的總結(jié)。通過判斷刪減的理由，再次確認控制目標沒有被無意識的遺漏。 實施并運作 ISMS 為確保 ISMS有效實施，對已識別的風險進行有效處理，本公司開展以下活動： a) 制定風險處理計劃闡明為控制信息安全風險確定的適當?shù)墓芾砘顒印⒙氊熞约皟?yōu)先權(quán)。 b) 為了達到所確定的控制目標，實施風險處理計劃，包括考慮資金以及角 色和職責的分配，明確各崗位的信息安全職責； c) 實施所選的控制措施，以滿足控制目標。 d) 確定如何測量所選擇的一個 /組控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復的結(jié)果。 注：測量控制措施的有效性允許管理者和相關(guān)人員來確定這些控制措施實現(xiàn)策劃的控制目標的程度。 e) 實施培訓和意識計劃。 f) 對 ISMS的運作進行管理。 g) 對 ISMS的資源進行管理。 h) 實施能夠快速檢測安全事情、響應(yīng)安全事件的程序和其它控制。 監(jiān)控并評審 ISMS a) 本公司通過實施不定期安全檢查、內(nèi)部審核、事故報告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)： 1）快速檢測處理結(jié)果中的錯誤； 2）快速識別失敗的和成功的安全破壞和事件； 3）能使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果； 4) 幫助檢測安全事情，并利用指標預(yù)防安全事件； 5）確定解決安全破壞所采取的措施是否有效。 b) 定期評審 ISMS的有效性（包括安全方針和目標的符合性，對安全控制措施的評審），考慮安全審核、事件、有效性測量的結(jié)果，以及所有相關(guān)方的建議和反饋。 c) 測量控 制措施的有效性，以證實安全要求已得到滿足。 d) 按照計劃的時間間隔，評審風險評估，評審剩余風險以及可接受風險的等級，考慮到下列變化： 1) 組織機構(gòu)和職責； 2) 技術(shù)； 3) 業(yè)務(wù)目標和過程； 4) 已識別的威脅； 5) 實施控制的有效性； 6) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責任的變化以及社會環(huán)境的變化。 e) 按照計劃的時間間隔（不超過一年）進行 ISMS內(nèi)部審核。 注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司的名義進行的審核。 f) 定期對 ISMS進行管理評審，以確保 范圍的充分性，并識別 ISMS過程的改進。 g) 考慮監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。 h) 記錄可能對 ISMS有效性或業(yè)績有影響的活動和事情。 保持并持續(xù)改進 ISMS 本公司開展以下活動，以確保 ISMS的持續(xù)改進： a) 實施已識別的 ISMS改進措施。 b) 采取適當?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗以及組織自身安全實踐中得到的教訓。 c) 與所有相關(guān)方溝通措施和改進。溝通的詳細程度應(yīng)與環(huán)境相適宜，必要時，應(yīng)約定如何進行。 d) 確保改進達到其預(yù)期的目標。 文件要求 總則 本公司 信息安全管理體系文件包括： a)文件化的信息安全方針、控制目標； b)信息安全管理體系手冊（本手冊，包括信息安全適用范圍及引用的標準）； c)本手冊要求的《信息安全風險評估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《 糾正和預(yù)防措施程序 》、《管理評審程序》等支持性程序； d)ISMS引用質(zhì)量管理體系的支持性程序。如：《文件控制程序》、《記錄控制程序》、《內(nèi)部審核控制程序》等； e)為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序； f)《風險評估報告》、《風險處理計劃》以及 ISMS要求的記錄類； g)相關(guān)的法律、法規(guī)和信息安全標準； h)適應(yīng)性聲明。 信息安全管理手冊 a)編寫目的：向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息，用于對公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。 b)信息安全管理手冊的編寫：由管理者代表負責組織編寫，總經(jīng)理批準后發(fā)布實施。 c)信息安全管理手冊的管理： 信息安全工作小組 負責保管及發(fā)放管理。 d)信息安全管理手冊的發(fā)放：手冊分“受控”和 “非受控”兩種。受控手冊在封面上加蓋紅色“受控文件 ”章，僅限于公司內(nèi)部使用，當修訂或換版時進 行相應(yīng)控制，且人員調(diào)離時應(yīng)予歸還；非受控手 冊不蓋任何印章，發(fā)放對象為認證機構(gòu)、客戶等，在修訂和換版時不予控制。 文件控制 公司制定并實施《文件控制程序》，對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導書和為保證信息安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準、標識、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場所能夠及時獲得適用文件的有效版本。 文件控制應(yīng)保證： a) 文件在發(fā)放前應(yīng)按規(guī)定的審核和批準權(quán)限進行批準后才能 發(fā)布； b) 必要時對文件進行評審與更新，并按規(guī)定的權(quán)限重新批準； c) 由信息安全工作小組對文件的現(xiàn)行修訂狀態(tài)進行標識，文件更改由相應(yīng)更改部門進行標識，確保文件的更改狀態(tài)清晰明了； d) 信息安全工作小組應(yīng)確保所有使用文件的場所能夠獲得有關(guān)文件的有效的 最新版本； e) 確保文件保持清晰、易于識別； f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進