【文章內(nèi)容簡(jiǎn)介】 準(zhǔn)則和可接受水平。 1) 識(shí)別適用于 ISMS和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。 2) 建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí) 。選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。具體參照 國(guó)家 《 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 標(biāo)準(zhǔn) 。 3) 公司的風(fēng)險(xiǎn)評(píng)估的流程 公司制定《信息安全風(fēng)險(xiǎn)評(píng)估控制程序》，建立識(shí)別適用于信息安全管理體 系和已經(jīng)識(shí)別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法，建立接受風(fēng)險(xiǎn)的準(zhǔn)則并識(shí)別風(fēng)險(xiǎn)的可接受等級(jí)。所選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。 信息安全風(fēng)險(xiǎn)評(píng)估的流程見圖 。 輸 入 輸 出 相關(guān)方 信息安全的要求和期望 相關(guān)方 管理的信息安全 建立ISMS 實(shí) 施 和運(yùn)行ISMS 保 持 和改進(jìn)ISMS 監(jiān)視和評(píng)審ISMS Plan Do Check Action 圖 d) 識(shí)別風(fēng)險(xiǎn)： 1) 識(shí)別 ISMS 控制范圍內(nèi)的資產(chǎn)以及這些資產(chǎn)的所有者；在已確定的 ISMS 范圍內(nèi)，對(duì)所有的信息資產(chǎn)進(jìn)行列表識(shí)別。信息資產(chǎn)包括 業(yè)務(wù)過(guò)程 、 文檔 /數(shù)據(jù)、軟件 /系統(tǒng)、硬件 /設(shè)施、人力資源、服務(wù)、無(wú)形資產(chǎn)等。對(duì)每 一項(xiàng)信息資產(chǎn)，根據(jù)重要信息資產(chǎn)判斷依據(jù)確定是否為重要信息資產(chǎn)，形成《信息資產(chǎn)識(shí)別表》。 2) 識(shí)別對(duì)這些資產(chǎn)的威脅，一項(xiàng)資產(chǎn)可能面對(duì)若干個(gè)威脅； 3) 識(shí)別可能被威脅利用的脆弱性，一項(xiàng)脆弱性也可能面對(duì)若干個(gè)威脅； 4) 識(shí)別保密性、完整性和可用性損失可能對(duì)資產(chǎn)造成的影響。 e) 分析并評(píng)價(jià)風(fēng)險(xiǎn)： 1) 在資產(chǎn)識(shí)別的基礎(chǔ)上，針對(duì)每一項(xiàng)重要信息資產(chǎn)，依據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的信息資產(chǎn) CIAB 分級(jí)標(biāo)準(zhǔn)，進(jìn)行 CIAB的資產(chǎn)賦值計(jì)算； 2) 針對(duì)每一項(xiàng)重要信息資產(chǎn)，參考《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅參考表》及以往的安全事故 （事件）記錄、信息資產(chǎn)所處的環(huán)境等因素，識(shí)別出重要信息資產(chǎn)所面臨的所有威脅； 確定 ISMS范圍 事件發(fā)生的影響 事件發(fā)生的可能性 資產(chǎn)識(shí)別與重要資產(chǎn)確定 威脅識(shí)別 已有控制措施確認(rèn) 薄弱點(diǎn)識(shí)別 保持已有的控制措施 施施施 選擇目標(biāo)及控制措施 實(shí) 施 殘余風(fēng)險(xiǎn)評(píng)審 YES No 是否接受 確定風(fēng)險(xiǎn)等級(jí) Yes 3) 按照《風(fēng)險(xiǎn)評(píng)估原則》中的《威脅分級(jí)標(biāo)準(zhǔn)》對(duì)每一個(gè)威脅發(fā)生的可能進(jìn)行賦值； 4) 針對(duì)每一項(xiàng)威脅，考慮現(xiàn)有的控制措施，參考《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性參考表》識(shí)別出被該威脅可能利用的所有薄弱點(diǎn)，并根據(jù)《風(fēng)險(xiǎn)評(píng)估原則》中的《脆弱性分級(jí)標(biāo)準(zhǔn)》對(duì)每一個(gè)脆弱性被威脅利用的難易程度進(jìn)行賦值； 5) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合威脅和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生可能性進(jìn)行評(píng)價(jià)。 6) 按照風(fēng)險(xiǎn)評(píng)估模型結(jié)合資產(chǎn)和脆弱性賦值對(duì)風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行評(píng)價(jià)。 7) 按照風(fēng)險(xiǎn)評(píng)估模型對(duì)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)發(fā)生的損失進(jìn)行計(jì)算得出風(fēng)險(xiǎn)評(píng)估賦值，并按照《風(fēng)險(xiǎn)評(píng)估原則》中的《風(fēng)險(xiǎn)等級(jí)標(biāo)準(zhǔn)》評(píng)價(jià)出信息安全風(fēng)險(xiǎn)等級(jí)。 8) 對(duì)于信息安全風(fēng)險(xiǎn)，在考慮控制措施與費(fèi)用平衡的原則下制定的信息安全風(fēng)險(xiǎn)接受準(zhǔn)則，按照該準(zhǔn)則確定何種等級(jí)的風(fēng)險(xiǎn)為不可接受風(fēng)險(xiǎn)。 f) 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的選擇： 對(duì)于信息安全風(fēng)險(xiǎn)，應(yīng)考慮控制措施與費(fèi)用的平衡原則，選用以下適當(dāng)?shù)拇胧? 1) 應(yīng)用適當(dāng)?shù)目刂埔越档惋L(fēng)險(xiǎn)：這可能是降低事件發(fā)生的可能性，也可能是降低安全失敗 (保密性、完整性或可用性丟失 )的業(yè)務(wù)損害。 2) 如 果能證明風(fēng)險(xiǎn)滿足公司的方針和風(fēng)險(xiǎn)接受準(zhǔn)則，有意的、客觀的接受風(fēng)險(xiǎn)；一般針對(duì)那些不可避免的風(fēng)險(xiǎn)，而且技術(shù)上、資源上不可能采取對(duì)策來(lái)降低，或者降低對(duì)公司來(lái)說(shuō)不經(jīng)濟(jì)。 “接受風(fēng)險(xiǎn)”是針對(duì)判斷為不可接受的風(fēng)險(xiǎn)所采取的處理方法，而不是針對(duì)那些低于風(fēng)險(xiǎn)接受水平的本來(lái)就可接受的風(fēng)險(xiǎn)。 3) 避免風(fēng)險(xiǎn)；對(duì)于不是公司的核心工作內(nèi)容的活動(dòng)，公司可以采取避免某項(xiàng)活動(dòng)或者避免采用某項(xiàng)不成熟的產(chǎn)品技術(shù)等來(lái)回避可能產(chǎn)生的風(fēng)險(xiǎn)。 4) 將有關(guān)的業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，例如保險(xiǎn)公司、供方。 信息安全工作小組 應(yīng)組織有關(guān)部門根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，形 成風(fēng)險(xiǎn)處理計(jì)劃，該計(jì)劃應(yīng)明確風(fēng)險(xiǎn)處理責(zé)任部門、方法及時(shí)間。 g) 為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制措施。 應(yīng)選擇并實(shí)施控制目標(biāo)和控制措施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程所識(shí)別的要求。選擇時(shí)，應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則以及法律法規(guī)和合同要求。 信息安全工作小組 根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織有關(guān)部門制定信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門。信息安全目標(biāo)應(yīng)獲得信息安全最高責(zé)任者的批準(zhǔn)。 從附錄 A中選擇的控制目標(biāo)和控制措施應(yīng)作為這一過(guò)程的一部分，并滿足上述要求。公司也可根據(jù)需要選擇另外的控制目標(biāo)和控制措 施。 注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄 A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的控制可選措施。 h) 獲得最高管理者對(duì)建議的剩余風(fēng)險(xiǎn)的批準(zhǔn)，剩余風(fēng)險(xiǎn)接受批準(zhǔn)應(yīng)該在《風(fēng)險(xiǎn)評(píng)估表》上留下記錄，并記錄殘余風(fēng)險(xiǎn)處置批示報(bào)告。 i) 獲得管理者對(duì)實(shí)施和運(yùn)行 ISMS 的授權(quán)。 ISMS 管理者代表的任命和授權(quán)、 ISMS文檔的簽署可以作為實(shí)施和運(yùn)作 ISMS的授權(quán)證據(jù)。 j) 準(zhǔn)備適用性聲明，內(nèi)容應(yīng)包括： 1) 所選擇的控制目標(biāo)和控制措施，以及選擇的原因； 2) 當(dāng)前實(shí)施 的控制目標(biāo)和控制措施； 3) 附錄 A中控制目標(biāo)和控制措施的刪減，以及刪減的理由。 4) 信息安全工作小組 負(fù)責(zé)組織編制《 信息安全適用性聲明 (SOA)》。 注：適用性聲明提供了一個(gè)風(fēng)險(xiǎn)處理決策的總結(jié)。通過(guò)判斷刪減的理由，再次確認(rèn)控制目標(biāo)沒(méi)有被無(wú)意識(shí)的遺漏。 實(shí)施并運(yùn)作 ISMS 為確保 ISMS有效實(shí)施，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行有效處理，本公司開展以下活動(dòng)： a) 制定風(fēng)險(xiǎn)處理計(jì)劃闡明為控制信息安全風(fēng)險(xiǎn)確定的適當(dāng)?shù)墓芾砘顒?dòng)、職責(zé)以及優(yōu)先權(quán)。 b) 為了達(dá)到所確定的控制目標(biāo)，實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，包括考慮資金以及角 色和職責(zé)的分配，明確各崗位的信息安全職責(zé)； c) 實(shí)施所選的控制措施，以滿足控制目標(biāo)。 d) 確定如何測(cè)量所選擇的一個(gè) /組控制措施的有效性，并規(guī)定這些測(cè)量措施如何用于評(píng)估控制的有效性以得出可比較的、可重復(fù)的結(jié)果。 注：測(cè)量控制措施的有效性允許管理者和相關(guān)人員來(lái)確定這些控制措施實(shí)現(xiàn)策劃的控制目標(biāo)的程度。 e) 實(shí)施培訓(xùn)和意識(shí)計(jì)劃。 f) 對(duì) ISMS的運(yùn)作進(jìn)行管理。 g) 對(duì) ISMS的資源進(jìn)行管理。 h) 實(shí)施能夠快速檢測(cè)安全事情、響應(yīng)安全事件的程序和其它控制。 監(jiān)控并評(píng)審 ISMS a) 本公司通過(guò)實(shí)施不定期安全檢查、內(nèi)部審核、事故報(bào)告調(diào)查處理、電子監(jiān)控、 定期技術(shù)檢查等控制措施并報(bào)告結(jié)果以實(shí)現(xiàn)： 1）快速檢測(cè)處理結(jié)果中的錯(cuò)誤； 2）快速識(shí)別失敗的和成功的安全破壞和事件； 3）能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果； 4) 幫助檢測(cè)安全事情，并利用指標(biāo)預(yù)防安全事件； 5）確定解決安全破壞所采取的措施是否有效。 b) 定期評(píng)審 ISMS的有效性（包括安全方針和目標(biāo)的符合性，對(duì)安全控制措施的評(píng)審），考慮安全審核、事件、有效性測(cè)量的結(jié)果，以及所有相關(guān)方的建議和反饋。 c) 測(cè)量控 制措施的有效性，以證實(shí)安全要求已得到滿足。 d) 按照計(jì)劃的時(shí)間間隔，評(píng)審風(fēng)險(xiǎn)評(píng)估，評(píng)審剩余風(fēng)險(xiǎn)以及可接受風(fēng)險(xiǎn)的等級(jí)，考慮到下列變化： 1) 組織機(jī)構(gòu)和職責(zé)； 2) 技術(shù)； 3) 業(yè)務(wù)目標(biāo)和過(guò)程； 4) 已識(shí)別的威脅； 5) 實(shí)施控制的有效性； 6) 外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會(huì)環(huán)境的變化。 e) 按照計(jì)劃的時(shí)間間隔（不超過(guò)一年）進(jìn)行 ISMS內(nèi)部審核。 注：內(nèi)部審核，也稱為第一方審核，是為了內(nèi)部的目的，由公司或以公司的名義進(jìn)行的審核。 f) 定期對(duì) ISMS進(jìn)行管理評(píng)審，以確保 范圍的充分性，并識(shí)別 ISMS過(guò)程的改進(jìn)。 g) 考慮監(jiān)視和評(píng)審活動(dòng)的發(fā)現(xiàn)，更新安全計(jì)劃。 h) 記錄可能對(duì) ISMS有效性或業(yè)績(jī)有影響的活動(dòng)和事情。 保持并持續(xù)改進(jìn) ISMS 本公司開展以下活動(dòng)，以確保 ISMS的持續(xù)改進(jìn)： a) 實(shí)施已識(shí)別的 ISMS改進(jìn)措施。 b) 采取適當(dāng)?shù)募m正和預(yù)防措施。吸取從其他公司的安全經(jīng)驗(yàn)以及組織自身安全實(shí)踐中得到的教訓(xùn)。 c) 與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜，必要時(shí)，應(yīng)約定如何進(jìn)行。 d) 確保改進(jìn)達(dá)到其預(yù)期的目標(biāo)。 文件要求 總則 本公司 信息安全管理體系文件包括： a)文件化的信息安全方針、控制目標(biāo)； b)信息安全管理體系手冊(cè)（本手冊(cè)，包括信息安全適用范圍及引用的標(biāo)準(zhǔn)）； c)本手冊(cè)要求的《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》、《業(yè)務(wù)持續(xù)性管理程序》、《 糾正和預(yù)防措施程序 》、《管理評(píng)審程序》等支持性程序； d)ISMS引用質(zhì)量管理體系的支持性程序。如：《文件控制程序》、《記錄控制程序》、《內(nèi)部審核控制程序》等； e)為確保有效策劃、運(yùn)作和控制信息安全過(guò)程所制定的文件化操作程序； f)《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處理計(jì)劃》以及 ISMS要求的記錄類； g)相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)； h)適應(yīng)性聲明。 信息安全管理手冊(cè) a)編寫目的：向公司內(nèi)部或外部提供關(guān)于信息安全管理體系的基本信息，用于對(duì)公司的信息安全管理體系做綱領(lǐng)性和概括性的描述。 b)信息安全管理手冊(cè)的編寫：由管理者代表負(fù)責(zé)組織編寫，總經(jīng)理批準(zhǔn)后發(fā)布實(shí)施。 c)信息安全管理手冊(cè)的管理： 信息安全工作小組 負(fù)責(zé)保管及發(fā)放管理。 d)信息安全管理手冊(cè)的發(fā)放：手冊(cè)分“受控”和 “非受控”兩種。受控手冊(cè)在封面上加蓋紅色“受控文件 ”章，僅限于公司內(nèi)部使用，當(dāng)修訂或換版時(shí)進(jìn) 行相應(yīng)控制，且人員調(diào)離時(shí)應(yīng)予歸還；非受控手 冊(cè)不蓋任何印章，發(fā)放對(duì)象為認(rèn)證機(jī)構(gòu)、客戶等，在修訂和換版時(shí)不予控制。 文件控制 公司制定并實(shí)施《文件控制程序》，對(duì)信息安全管理體系所要求的文件進(jìn)行管理。對(duì)信息安全管理手冊(cè)、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息安全管理體系有效策劃、運(yùn)行和控制所需的受控文件的編制、評(píng)審、批準(zhǔn)、標(biāo)識(shí)、發(fā)放、使用、修訂、作廢、回收等管理工作作出規(guī)定，以確保在使用場(chǎng)所能夠及時(shí)獲得適用文件的有效版本。 文件控制應(yīng)保證： a) 文件在發(fā)放前應(yīng)按規(guī)定的審核和批準(zhǔn)權(quán)限進(jìn)行批準(zhǔn)后才能 發(fā)布； b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并按規(guī)定的權(quán)限重新批準(zhǔn)； c) 由信息安全工作小組對(duì)文件的現(xiàn)行修訂狀態(tài)進(jìn)行標(biāo)識(shí)，文件更改由相應(yīng)更改部門進(jìn)行標(biāo)識(shí)，確保文件的更改狀態(tài)清晰明了； d) 信息安全工作小組應(yīng)確保所有使用文件的場(chǎng)所能夠獲得有關(guān)文件的有效的 最新版本； e) 確保文件保持清晰、易于識(shí)別； f) 確保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進(jìn)