【正文】 知識以紙質文件的形式儲存， 20%的知識以電子文件存儲， 42%的知識儲存在員工的頭腦中， 12%以其他形式存在。從 2020 年的總共將近 90 億元市場情況看，防火墻、防病毒、入侵檢測系統(tǒng)、虛擬專用網(wǎng)設備等占了整個安全產(chǎn)品市值的絕大部分， 企業(yè) 花費在信息安全 管理 、咨詢、安全意識、 培訓 、教育方面的費用微乎其微。 第 11 頁 實施時間： 此方針自簽發(fā)之日起，正式實施。任何危及信息安全的行為，都應訴諸適當?shù)膽土P程序或法律行動。 ? 全體 員工、外聘人員及相關外部人員都有責任遵循此安全方針。 責任劃分： ? 本公司高層主管應適時復核、修訂此方針，以確保該信息安全方針符合現(xiàn)行需求。 宣傳口號： “信息安全是贏得客戶的基礎，無破壞零損失是我們的終極目標 ” “信息安全，人人有責 ” 信息安全要求： ? 信息安全管理委員會是公司信息安全管理的最高機構 ? 信息資產(chǎn)應受適當?shù)谋Ｗo，以防止未經(jīng)授權的不當存??； ? 應適當保護信息的機密性； ? 確保信息不會在傳遞的過程中，或因無意間的行為透露給未經(jīng)授權的第三者； ? 應適當確保信息的完整性，以防止未經(jīng)授權的竄改； ? 應適當確保信息的可用性，以確保使用者需求可以得到滿足； ? 相關的信息安全措施或規(guī)范 應符合現(xiàn)行法令的要求； ? 盡可能維護、測試企業(yè)的災難恢復與業(yè)務持續(xù)性計劃的可行性； ? 應依其職務、責任對全體員工進行信息安全適當?shù)慕逃c培訓； ? 所有信息安全意外事故或可疑的安全弱點，都應依循適當回報系統(tǒng)向上反應，予以適當調查、處理。 （ 10） 政策的持續(xù)改進 安全政策制定實施后，并不能 “高枕無憂 ”，組織要定期評審安全政 策，并進行持續(xù)改進，因為組織所處的內外環(huán)境是不斷變化的，組織的信息資產(chǎn)所面臨的風險也是一個變數(shù)，組織中的人的思想、觀念也在不斷的變化，在這個不斷變化的世界中，組織要想把風險控制在一個可以接受的范圍內，要對控制措施及信息安全政策持續(xù)的改進，使之在理論上、標準上及方法上與時俱進。 （ 9） 安全政策的實施 安全政策通過測試評估后，需要由管理層正式批準實施。 （ 7） 起草擬訂安全政策 根據(jù)前面風險評估與選擇安全控制的結果，起草 擬訂安全政策，安全政策要盡可能地涵蓋所有的風險和控制，沒有涉及的內容要說明原因。 （ 5） 確定信息管理體系的范圍 第 9 頁 確定信息管理體系的范圍后，組織需要根據(jù)自己的實際情況，可以在整個組織范圍內、或者在個別部門或領域制定信息安全方針，因為范圍不一樣，方針的制定可能不一樣。 （ 4） 確定信息安全整體目標 描述信息安全宏觀需求和要達到的目標。 （ 3） 組建一個安全政策制定小組 安全政策制定小 組應當由以下人員組成： ? 高級管理人員 ? 信息安全管理人員 ? 負責安全政策執(zhí)行的管理人員 ? 熟悉法律事務的人員 ? 用戶部門的人員 小組成員人數(shù)的多少視政策的規(guī)模與范圍的大小而定，通常制定一個小規(guī)模的安全政策只需 1－ 2人，要制定較大規(guī)模的安全政策可能需要 5－ 10 人。 四、信息安全政策的制定過程 （ 1） 理解組織業(yè)務特征和企業(yè)文化 充分了解組織業(yè)務特征是設計信息安全政策的前提，只有了解組織業(yè)務特征，才能發(fā)現(xiàn)并分析組織業(yè)務所處的風險環(huán)境，并在此基礎上提出合理的、與組織業(yè)務目標相一 致的安全保障措施，定義出技術與管理相結合的控制方法，從而制定有效的信息安全政策和程序。 第 8 頁 專業(yè)術語 對于信息安全策略中涉及的專業(yè)術語作必要的描述，使組織成員對策略的了解不會產(chǎn)生歧義。 還要考慮到有時員工違反安全策略并非是有意的，比如，由于缺乏必要的知識或訓練，員工可能會有違規(guī)行為；有 時也可能是對安全策略缺乏必要的了解造成的。信息安全策略中應當描述與安全策略損害行為的類型與程度相對應的懲戒辦法。如果可能的話，還應該由安全程序的負責人簽署授權書。 在某些情況下，信息安全策略中要理順組織中的各種個體與團體的關系，以避免在履行各自的責任與義務時發(fā)生沖突。 根據(jù)給定的環(huán)境，應當給員工明確描述與這些特性相關的信息安全要求，組織的信息安全策略應當以員工熟悉的活動、信息、術語等方式來反映特定環(huán)境下的安全目標， 例如，組織在維護大型但機密性要求并不高的數(shù)據(jù)庫 時，其安全目標主要是減少錯誤、數(shù)據(jù)丟失或數(shù)據(jù)破壞；如果組織對數(shù)據(jù)的機密性要求高時，安全目標的重點就會轉移到防止數(shù)據(jù)的非授權泄露。完整性就是保證信息必須是完整無缺的，信息不能被丟失、損壞，只能在授權方式下修改。 策略內容 根據(jù) ISO17799 中定義，對信息安全策略的描述應該集中在三個方面：機密性、完整性和 可用性，這三種特性是組織建立信息安全策略的出發(fā)點。在某些場合下，安全可以定義特殊的資產(chǎn)，比如：組織的主站點、各種重要裝置和大型系統(tǒng)。 信息安全策略要對所有員工強調 “信息安全，人人有責 ”的原則，使員工了解自己的安全責任與義務。 信息安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責，陳述組織的安全目標，為安全措施在組織的強制執(zhí)行建立相關輿論與規(guī)則的基礎，安全策略的格式如下表所示： 目標 建立信息系統(tǒng)安全的總體目標，定義信息安全的管理結構和提出對組織成員的安全要求 。 ? 信息安全控制的簡要說明，以及依從法律、法規(guī)要求對組織的重要性。 安全方針屬于高層管理文件，簡要陳述信息安全宏觀需求及管理承諾，應該篇幅短小，內容明確。安全政策應當目的明確、內容清楚，能廣泛地被組織成員接受與遵守，而且要有足夠的靈活性、適應性，能涵蓋較大范圍內的各種數(shù)據(jù)、活動和資源。下表列出一些常見的信息安全策略： ? 人員審查策略 ? 清除桌面和清除屏幕策略 ? 電子郵件使用策略 ? 電子辦公系統(tǒng)安全策略 ? 訪問控制策略 ? 網(wǎng)絡服務使用策略 ? 移動計算設施的安全策略 ? 遠程工作策略 ? 使用密碼控制技術策略 ? 安全政策的內容與格式 三、安全政策的內容與格式 信息安全政策通過為組織的每一個人提供基本的規(guī)則、指南、定義，從而在組織中建立一套信息資源保護標準，防止員工的不安全行為引入風險。信息安全方針應當闡明管理層的承諾，提出組織管理信息安全的方法，并由管理層批準，采用適當?shù)姆椒▽⒎结槀鬟_給每一個 員工。 ISO17799 標準中的英文 “Policy”一詞可以有兩種解釋：一個信息安全方針，另一個是具體的信息安全策略。 二、什么是信息安全政策？ 信息安全政策從本質上來說是描述組織具有哪些重要信息資產(chǎn)，并說明這些信息資產(chǎn)如何被保護的一個計劃，其 目的就是對組織中成員闡明如何使用組織中的信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術產(chǎn)品，用戶在使用信息時應當承擔什么樣的責任，詳細描述對員工的安全意識與技能要求，列出被組織禁止的行為 。 ISO/IEC 17799： 2020包含了 133 個安全控 制措施來幫助組織識別在運做過程中對信息安全有影響的元素。信息中心主任感慨地說 “要是早制定了即時更新的防病毒策略，并嚴格遵守，就不會吃這么大的苦頭了 !...” 這位信息中心主任所說的防病毒策略就是信息安全政策的一種。 ? 組織通過安全咨詢顧問，來實施建立組織的安全管理體系，以達到保證組織信息安全的目的，并且通過 ISO27001 體系認證。 ? 組織按照 ISO27001 標準的要求，自我實施建立組織的安全管理體系，以達到保證組織信息安全的目的，并且通過 ISO27001 體系認證。各單位 以此為參照建立自己的信息安全管理體系 ,可以在別人經(jīng)驗的基礎上根據(jù)自己的實際情況選擇自己引入 ISO27001的模式，以達到對信息進行良好管理的目的。例如可以為公司與貿易伙伴的特定的貿易關系定義一個信息安全管理系統(tǒng)。在 ISO27001 中信息安全管理體系可能包括： ? 組織的整個信息系統(tǒng)； ? 信息系統(tǒng)的某些部分； ? 一個特定的信息系統(tǒng)。 信息安全管理體系可以定義為整個組織或組織的一部分，包括處理、存貯和傳輸數(shù)據(jù)所用到的相 第 4 頁 應的資產(chǎn)、系統(tǒng)、應用程序、服務、網(wǎng)絡和技術等。組織在實施過程中一定要注意， ISO27001里描述的所有控制方式不可能適合組織中每一種情況和組織中的每個潛在用戶。例如新版本包括關于電子商務、遠程工作和外購 等領域的控制。 ISO27001可以作為大型、中型及小型組織的確定在大多數(shù)情況下所需的控制范圍的參考基準。 ? 獲得國際認可的機構的認證證書，可得到國際上的承認。 ? 通過認證能保證和證明組織所有的部門對信息安全的承諾。 ? 60%的組織在過去的兩年內信息及信息系統(tǒng)遭到過破壞，建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。 ? 定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù)。 組織按照 ISO27001 標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。 通過進行 ISO27001 信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網(wǎng)站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。ISO27001 是信息安全領域的管理體系標準，類似于質量管理體系認證的 ISO9000 標準。而引入信息安全管理體系就可以協(xié)調各個方面信息管理，從而使管理更為有效。 三、建立 ISMS 體系對組織有什么好處？ 保證信息安全不 是僅有一個防火墻，或找一個 24 小時提供信息安全服務的公司就可以達到的。這 133 個控制措施被分 第 2 頁 成 11 個方面，成為組織實施信息安全管理的實用指南，這十一個方面分別是： 一、安全方針（ Security Policy） 二、信息安全組織（ Security Organization） 三、資產(chǎn)管理（ Asset Management ） 四、人員安全（ Personnel Security） 五、物理與環(huán)境安全（ Physical and Environmental Security） 六、通信與運營管理 (Communications and Operations Management) 七、訪問控制（ Access Control） 八、系統(tǒng)開發(fā)與維護（ Systems Development and Maintenance） 九、信息安全事故管理（ Information Incident Management） 十、業(yè)務持續(xù)性管理（ Business Continuity Management） 十一、法律符合性（ Compliance） ISO27001： 2020 是根據(jù) ISO17799： 2020 制定的一個 ISMS 體系實施規(guī)范，并可使用該規(guī)范對組織的信息安全管理體系進行審核與認證。當您的組織要把保密的信息與另一組織分享的時候，您應當肯定對方是否能夠保證該信息的安全，同樣的您也應該保證對方的敏感信息的安全。企業(yè)的信息如產(chǎn)品定價、客戶信息、研究成果、市場開發(fā)計劃或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財富。該管理標準提供給組織信息安全管理的最佳實踐指導。 二、什么是 ISO 17799/ 27001 信息安全管理標準？ ISO17799 信息安全管理標準要求建立一個完整的信息安全管理體系。信息安全被破壞的報告正在與日俱增，這就是為什么 ISO17799 對于保護您的信息是如此重要。您的組織也許看似安全，但信息可以從不同的渠道泄露。不管您的組織是怎樣的性質，您的組織一定會有別的組織非常感性趣的信息。 在信息及其處理設備高度發(fā)達的今天，所有的組織，無論其性質、大小、國營或私營，都依賴于信息而存在。 信息安全管理體系（ ISMS） 基礎教程 第 II 頁 目 錄 第一講 ISO 17799/27001 標準簡介 .............................................................................................. 1 一、信息安全管理概況 ................................................................................................................ 1 二、什么是 ISO 17799/ 27001 信息安全管理標準？ ................................................................. 1 三、建立 ISMS 體系對組織有什么好處？ .................................................................................. 2 四、組織實施 ISO27001 的程序與模式 ..............................................................