【正文】 roach 一個(gè)組織內(nèi)過程的系統(tǒng)的運(yùn)用，連同這些過程的識(shí)別和相互作用及其管理，可稱之為 “ 過程方法 ” 。 LOGO ? 糾正措施 PDCA 8 ① 應(yīng)采取措施消除與 ISMS要求不符合的原因，以防止再發(fā)生 ② 糾正措施程序應(yīng)規(guī)定以下要求： a) 識(shí)別不符合； b) 確定不符合的原因； c) 評(píng)價(jià)確保不符合不再發(fā)生的措施需求； d) 確定和實(shí)施所需要的糾正措施； e) 記錄所采取措施的結(jié)果（見 ）； f) 評(píng)審所采取的糾正措施。 ④ 預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。 ② 預(yù)防措施程序應(yīng)規(guī)定以下要求： a) 識(shí)別潛在的不符合及其原因； b) 評(píng)價(jià)防止不符合發(fā)生的措施需求； c) 確定和實(shí)施所需要的預(yù)防措施； d) 記錄所采取措施的結(jié)果（見 ）； e) 評(píng)審所采取的預(yù)防措施。 LOGO ? 持續(xù)改進(jìn) PDCA 8 組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評(píng)審（見第 7章），持續(xù)改進(jìn) ISMS的有效性。 ? 預(yù)防措施 preventive action 為消除潛在不符合或其他潛在不期望情況的原因所采取的措施。 d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。 8 規(guī)定你應(yīng)該做什么 并形成文件 評(píng)審你所做的事情的符合性 做文件已規(guī)定的事情 采取糾正和預(yù)防措施， 持續(xù)改進(jìn) PLAN DO CHECK ACT LOGO ? 保持和改進(jìn) ISMS PDCA 組織應(yīng)經(jīng)常： a) 實(shí)施已識(shí)別的 ISMS改進(jìn)措施。 C檢查 監(jiān)視和評(píng)審ISMS 對(duì)照 ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。 LOGO PDCA與 48條款關(guān)系 PDCA各階段 內(nèi)容 對(duì)應(yīng)標(biāo)準(zhǔn)條款 P規(guī)劃 建立 ISMS 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。 LOGO ? 管理評(píng)審 – 評(píng)審輸入 PDCA 7 a) ISMS審核和評(píng)審的結(jié)果； b) 相關(guān)方的反饋； c) 組織用于改進(jìn) ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅； f) 有效性測(cè)量的結(jié)果； g) 以往管理評(píng)審的跟蹤措施； h) 可能影響 ISMS的任何變更； i) 改進(jìn)的建議。 ? 包括信息安全方針和信息安全目標(biāo)。 LOGO ? 管理評(píng)審 – 總則 PDCA 7 ? 按照計(jì)劃的時(shí)間間隔進(jìn)行管理評(píng)審，至少一年一次。 ? 受審核區(qū)域的管理者應(yīng)消除不符合及其原因，并跟蹤驗(yàn)證。 ? 審核的客觀和公正，審核員不應(yīng)審核自己的工作。 ? 審核方案 audit programme 針對(duì)特定時(shí)間段所策劃，并具有特定目的的一組 (一次或多次 )審核 ? 符合（合格） conformity 滿足要求 ? 不符合（不合格） nonconformity 未滿足要求 LOGO ? 6 內(nèi)部評(píng)審 – 條款 PDCA 6 ? 按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部 ISMS審核。 ? 內(nèi)部審核 internal audit 有時(shí) 稱為第一方審核，用于內(nèi)部目的的，由組織自己或以組織名義進(jìn)行，可作為組織自我合格聲明的基礎(chǔ)。 h) 記錄可能影響 ISMS的有效性或執(zhí)行情況的措施和事件（見）。 f) 定期對(duì) ISMS進(jìn)行管理評(píng)審（見條款 7）。 d) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審。 b) ISMS有效性的定期評(píng)審。 6 7 A處置 保持和改進(jìn)ISMS 基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMS。 5 D實(shí)施 實(shí)施和運(yùn)行ISMS 實(shí)施和運(yùn)行 ISMS方針、控制措施、過程和程序。 h) 事件和事故響應(yīng)（見條款 a）。 f) 管理 ISMS的運(yùn)行。 d) 測(cè)量所選擇的控制措施或控制措施集的有效性（見條款 )）。 b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃。 6 7 A處置 保持和改進(jìn)ISMS 基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMS。 5 D實(shí)施 實(shí)施和運(yùn)行ISMS 實(shí)施和運(yùn)行 ISMS方針、控制措施、過程和程序。 LOGO ? 資源管理 PDCA 5 資源提供 應(yīng)確定并提供信息安全工作所需的資源－人、財(cái)、物 培訓(xùn)、意識(shí)和能力 ① 確保所有分配有 ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力 ② 確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到 ISMS目標(biāo)做出貢獻(xiàn)。 f) 應(yīng)保留 ISMS有關(guān)的安全事故的記錄。 d) 記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。 LOGO ? 記錄控制 a) 建立并保持，以提供證據(jù)。 LOGO ? 包含文件 總則 序號(hào) 文件名稱 標(biāo)準(zhǔn)條款 1 ISMS策略和目標(biāo) a) 2 ISMS范圍 b) 3 風(fēng)險(xiǎn)評(píng)估方法的描述 b) 4 風(fēng)險(xiǎn)評(píng)估報(bào)告 e) 5 風(fēng)險(xiǎn)處理計(jì)劃 f) 6 適用性聲明 i) 7 標(biāo)準(zhǔn)要求的紀(jì)錄 h) 8 文件控制程序 9 記錄控制程序 10 內(nèi)部審核程序 6 11 管理評(píng)審程序 12 糾正措施程序 13 預(yù)防措施程序 注 1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處， 即要求建立該程序，形成文件，并加以實(shí)施和保持。 ? 提供適宜的內(nèi)部培訓(xùn)的依據(jù)。 ? 是控制措施（ controls）的重要部分。 ISMS文件是根據(jù) ISMS標(biāo)準(zhǔn)和組織需要“量身定做”的實(shí)際工作的標(biāo)準(zhǔn)。 ） 威脅（ Threat） 風(fēng)險(xiǎn) 安全措施 信息資產(chǎn) 威脅 漏洞 安全需求 降低 增加 增加 利用 暴露 價(jià)值 擁有 抗擊 增加 引出 被滿足 LOGO 風(fēng) 險(xiǎn) 評(píng) 估 準(zhǔn) 備保 持 已 有 的 安 全 措 施威 脅 識(shí) 別已 有 安 全 措 施 的 確 認(rèn)風(fēng) 險(xiǎn) 計(jì) 算制 定 風(fēng) 險(xiǎn) 處 理 計(jì) 劃并 評(píng) 估 殘 余 風(fēng) 險(xiǎn)風(fēng) 險(xiǎn) 是 否 接 受是 否 接 受 殘 余 風(fēng) 險(xiǎn)實(shí) 施 風(fēng) 險(xiǎn) 管 理資 產(chǎn) 識(shí) 別 脆 弱 性 識(shí) 別評(píng) 估 過 程 文 檔評(píng) 估 過 程 文 檔評(píng) 估 過 程 文 檔..................否否是是風(fēng) 險(xiǎn) 分 析風(fēng) 險(xiǎn) 評(píng) 估 文 檔 記 錄 風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖 LOGO ? 文件要求 文件要求 文件的作用 ? 是指導(dǎo)組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)” 使工作有章可循。 ? 威脅可以分為人為威脅 （ 故意 、 非故意 ） 和非人為威脅 （ 環(huán)境 、 故障 ）2種 。 ? 脆弱性包括物理環(huán)境 、 組織 、 過程 、 人員 、 管理 、 配置 、 硬件 、軟件和信息等各種資產(chǎn)的脆弱性 。 ? 信息資產(chǎn)是指組織的信息系統(tǒng) 、 其提供的服務(wù)以及處理的數(shù)據(jù) 。 拿證過外審須提交文件 《 ISMS范圍 》 ? b) ISMS Policy b) LOGO ? C)風(fēng)險(xiǎn)評(píng)估方法 ? D)識(shí)別風(fēng)險(xiǎn) (執(zhí)行 風(fēng)險(xiǎn)評(píng)估 ) ? E) 分析風(fēng)險(xiǎn) ? F) 識(shí)別和評(píng)價(jià) 風(fēng)險(xiǎn)處置 的可選措施 ? G)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 ? H) 獲得管理者對(duì)建議的 殘余風(fēng)險(xiǎn) 的批準(zhǔn) 拿證過外審須提交文件 《 風(fēng)險(xiǎn)評(píng)估方法描述 》 、 《 風(fēng)險(xiǎn)評(píng)估報(bào)告 》 、 《 風(fēng)險(xiǎn)處置計(jì)劃 》 ? c) ~ h) 風(fēng)險(xiǎn)管理 c) ~ h) 如何做風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置？ LOGO ISO27001 正式的標(biāo)準(zhǔn) 可認(rèn)證的標(biāo)準(zhǔn) 管理體系的要求 控制措施的要求 ISO TR 13335 風(fēng)險(xiǎn)管理方法論 提供如何識(shí)別風(fēng)險(xiǎn)到風(fēng)險(xiǎn)處置 對(duì) ISO27001的風(fēng)險(xiǎn)評(píng)估方法的細(xì)化和補(bǔ)充 ISO27001與 ISO13335 為風(fēng)險(xiǎn)管理提供方法 “ c) 注 ” ：風(fēng)險(xiǎn)評(píng)估具有不同的方法 。 LOGO ? 總要求 風(fēng)險(xiǎn) +PDCA+文件化的 ISMS ? 建立 ISMS a) 范圍 (Scope of the ISMS)