1.信息安全管理體系（ISMS）和企業(yè)安全架構(gòu)的關(guān)系

　　ISMS指出了需要部署的風(fēng)險管理,，從戰(zhàn)略層面出發(fā)

　　企業(yè)架構(gòu)則細(xì)化了風(fēng)險管理的組件，并闡明了如何從戰(zhàn)略,、戰(zhàn)術(shù)和運(yùn)營層面開展風(fēng)險管理

　　ISMS是自上而下的開發(fā)方法,，確保人們正在保護(hù)公司的資產(chǎn)，它由高級管理人員驅(qū)動,。

　　2.涉及的幾個術(shù)語

　　1）安全策略/方針

　　安全策略不應(yīng)受技術(shù)和解決方案的約束

　　高級管理層制定的一份聲明

　　明確安全戰(zhàn)略和戰(zhàn)術(shù)價值,。明確可承受的風(fēng)險

　　規(guī)定安全在組織內(nèi)所扮演的角色

　　可以組織化策略為組織內(nèi)部未來提供范圍和方向，說明愿意接受多大的風(fēng)險

　　可針對性設(shè)置

　　必須列出目標(biāo)和任務(wù),，不得規(guī)定具體做法

　　方向性,，戰(zhàn)略性的，不具體怎么做

　　2）標(biāo)準(zhǔn)：一般指強(qiáng)制性的活動,、動作或規(guī)則,，為策略提供方向上的支持和實(shí)施，是戰(zhàn)術(shù)目標(biāo)

　　對于強(qiáng)制性要達(dá)到的標(biāo)準(zhǔn)

　　3）基線

　　定義所需要的最低保護(hù)要求

　　組織還應(yīng)制定面向非技術(shù)的基線：例身份徽章、參觀陪同

　　滿足方針/策略要求的最低級別的安全要求

　　基本要求

　　4）指南

　　在沒有應(yīng)用特定標(biāo)準(zhǔn)時向用戶,、IT人員,、運(yùn)營人員及其他人員提供建議性動作和操作

　　類似于標(biāo)準(zhǔn)，加強(qiáng)系統(tǒng)安全的方法,，建議性的

　　建議性的最佳實(shí)踐方法

　　5）措施

　　為達(dá)到特定目標(biāo)應(yīng)執(zhí)行的詳細(xì)的,、分步驟的任務(wù)

　　說明如何將策略、標(biāo)準(zhǔn)和指南應(yīng)用到實(shí)際操作中

　　采取的技術(shù)和管理手段

　　3.ISMS的具體過程

　　采用PDCA進(jìn)行管理：

　　計(jì)劃（Plan）——根據(jù)風(fēng)險評估結(jié)果,、法律法規(guī)要求,、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施；

　　實(shí)施（Do）——實(shí)施所選的安全控制措施,；

　　檢查（Check）——依據(jù)策略,、程序、標(biāo)準(zhǔn)和法律法規(guī),，對安全措施的實(shí)施情況進(jìn)行符合性檢查,。

　　改進(jìn)（Action）——根據(jù)ISMS審核、管理評審的結(jié)果及其他相關(guān)信息,，采取糾正和預(yù)防措施,，實(shí)現(xiàn)ISMS的持繼改進(jìn)。

　　PDCA過程模式

　　策劃：依照組織整個方針和目標(biāo),，建立與控制風(fēng)險,、提高信息安全有關(guān)的安全方針、目標(biāo),、指標(biāo),、過程和程序。

　　實(shí)施：實(shí)施和運(yùn)作方針（過程和程序）,。

　　檢查：依據(jù)方針,、目標(biāo)和實(shí)際經(jīng)驗(yàn)測量，評估過程業(yè)績,，并向決策者報告結(jié)果,。

　　措施：采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績。

　　四個步驟成為一個閉環(huán),，通過這個環(huán)的不斷運(yùn)轉(zhuǎn),，使信息安全管理體系得到持續(xù)改進(jìn)，使信息安全績效(performance)螺旋上升,。

　　PDCA的應(yīng)用

　　P—建立信息安全管理體系環(huán)境&風(fēng)險評估

　　要啟動PDCA 循環(huán),，必須有“啟動器”：提供必須的資源、選擇風(fēng)險管理方法,、確定評審方法,、文件化實(shí)踐。設(shè)計(jì)策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度，識別并評估所有的信息安全風(fēng)險,，為這些風(fēng)險制定適當(dāng)?shù)奶幚碛?jì)劃,。策劃階段的所有重要活動都要被文件化,，以備將來追溯和控制更改情況,。

　　1）確定范圍和方針

　　信息安全管理體系可以覆蓋組織的全部或者部分。無論是全部還是部分,，組織都必須明確界定體系的范圍,，如果體系僅涵蓋組織的一部分這就變得更重要了。組織需要文件化信息安全管理體系的范圍,，信息安全管理體系范圍文件應(yīng)該涵蓋：

　　確立信息安全管理體系范圍和體系環(huán)境所需的過程,； 戰(zhàn)略性和組織化的信息安全管理環(huán)境； 組織的信息安全風(fēng)險管理方法,； 信息安全風(fēng)險評價標(biāo)準(zhǔn)以及所要求的保證程度,； 信息資產(chǎn)識別的范圍。

　　信息安全管理體系也可能在其他信息安全管理體系的控制范圍內(nèi),。在這種情況下,，上下級控制的關(guān)系有下列兩種可能：

　　下級信息安全管理體系不使用上級信息安全管理體系的控制：在這種情況下，上級信息安全管理體系的控制不影響下級信息安全管理體系的PDCA 活動,； 下級信息安全管理體系使用上級信息安全管理體系的控制：在這種情況下,，上級信息安全管理體系的控制可以被認(rèn)為是下級信息安全管理體系策劃活動的“外部控制”。盡管此類外部控制并不影響下級信息安全管理體系的實(shí)施,、檢查,、措施活動，但是下級信息安全管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù),。 　安全方針是關(guān)于在一個組織內(nèi),，指導(dǎo)如何對信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則,、指示,，是組織信息安全管理體系的基本法。組織的信息安全方針,，描述信息安全在組織內(nèi)的重要性,，表明管理層的承諾，提出組織管理信息安全的方法,，為組織的信息安全管理提供方向和支持,。

　　2）定義風(fēng)險評估的系統(tǒng)性方法

　　確定信息安全風(fēng)險評估方法，并確定風(fēng)險等級準(zhǔn)則,。評估方法應(yīng)該和組織既定的信息安全管理體系范圍,、信息安全需求、法律法規(guī)要求相適應(yīng)，兼顧效果和效率,。組織需要建立風(fēng)險評估文件,，解釋所選擇的風(fēng)險評估方法、說明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境,，介紹所采用的技術(shù)和工具,，以及使用這些技術(shù)和工具的原因。評估文件還應(yīng)該規(guī)范下列評估細(xì)節(jié)：

　　a.信息安全管理體系內(nèi)資產(chǎn)的估價,，包括所用的價值尺度信息,；

　　b. 威脅及薄弱點(diǎn)的識別；

　　c.可能利用薄弱點(diǎn)的威脅的評估,，以及此類事故可能造成的影響,；

　　d.以風(fēng)險評估結(jié)果為基礎(chǔ)的風(fēng)險計(jì)算，以及剩余風(fēng)險的識別,。

　　3）識別風(fēng)險

　　識別信息安全管理體系控制范圍內(nèi)的信息資產(chǎn),；識別對這些資產(chǎn)的威脅；識別可能被威脅利用的薄弱點(diǎn),；識別保密性,、完整性和可用性丟失對這些資產(chǎn)的潛在影響。

　　4）評估風(fēng)險

　　根據(jù)資產(chǎn)保密性,、完整性或可用性丟失的潛在影響,，評估由于安全失敗（failure）可能引起的商業(yè)影響,；根據(jù)與資產(chǎn)相關(guān)的主要威脅,、薄弱點(diǎn)及其影響，以及實(shí)施的控制,，評估此類失敗發(fā)生的現(xiàn)實(shí)可能性,；根據(jù)既定的風(fēng)險等級準(zhǔn)則，確定風(fēng)險等級,。

　　5）識別并評價風(fēng)險處理的方法

　　對于所識別的信息安全風(fēng)險,，組織需要加以分析，區(qū)別對待,。如果風(fēng)險滿足組織的風(fēng)險接受方針和準(zhǔn)則,，那么就有意的、客觀的接受風(fēng)險,；對于不可接受的風(fēng)險組織可以考慮避免風(fēng)險或者將轉(zhuǎn)移風(fēng)險,；對于不可避免也不可轉(zhuǎn)移的風(fēng)險應(yīng)該采取適當(dāng)?shù)陌踩刂疲瑢⑵浣档偷娇山邮艿乃健?/span>

　　6）為風(fēng)險的處理選擇控制目標(biāo)與控制方式

　　選擇并文件化控制目標(biāo)和控制方式,，以將風(fēng)險降低到可接受的等級,。不可能總是以可接受的費(fèi)用將風(fēng)險降低到可接受的等級,，那么需要確定是增加額外的控制，還是接受高風(fēng)險,。在設(shè)定可接受的風(fēng)險等級時,，控制的強(qiáng)度和費(fèi)用應(yīng)該與事故的潛在費(fèi)用相比較。這個階段還應(yīng)該策劃安全破壞或者違背的探測機(jī)制,，進(jìn)而安排預(yù)防,、制止、限制和恢復(fù)控制,。在形式上,，組織可以通過設(shè)計(jì)風(fēng)險處理計(jì)劃來完成步驟5 和6,。風(fēng)險處理計(jì)劃是組織針對所識別的每一項(xiàng)不可接受風(fēng)險建立的詳細(xì)處理方案和實(shí)施時間表,，是組織安全風(fēng)險和控制措施的接口性文檔。風(fēng)險處理計(jì)劃不僅可以指導(dǎo)后續(xù)的信息安全管理活動,，還可以作為與高層管理者,、上級領(lǐng)導(dǎo)機(jī)構(gòu)、合作伙伴或者員工進(jìn)行信息安全事宜溝通的橋梁,。這個計(jì)劃至少應(yīng)該為每一個信息安全風(fēng)險闡明以下內(nèi)容：組織所選擇的處理方法,；已經(jīng)到位的控制；建議采取的額外措施,；建議的控制的實(shí)施時間框架,。

　　7）獲得最高管理者的授權(quán)批準(zhǔn)

　　剩余風(fēng)險(residual risks)的建議應(yīng)該獲得批準(zhǔn)，開始實(shí)施和運(yùn)作信息安全管理體系需要獲得最高管理者的授權(quán),。

　　D—實(shí)施并運(yùn)行

　　PDCA 循環(huán)中這個階段的任務(wù)是以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作,，執(zhí)行所選擇的控制，以管理策劃階段所識別的信息安全風(fēng)險,。對于那些被評估認(rèn)為是可接受的風(fēng)險,， 不需要采取進(jìn)一步的措施。對于不可接受風(fēng)險,，需要實(shí)施所選擇的控制,，這應(yīng)該與策劃活動中準(zhǔn)備的風(fēng)險處理計(jì)劃同步進(jìn)行。計(jì)劃的成功實(shí)施需要有一個有效的管理系統(tǒng),，其中要規(guī)定所選擇方法,、分配職責(zé)和職責(zé)分離，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動,。

　　在不可接受的風(fēng)險被降低或轉(zhuǎn)移之后,，還會有一部分剩余風(fēng)險。應(yīng)對這部分風(fēng)險進(jìn)行控制,，確保不期望的影響和破壞被快速識別并得到適當(dāng)管理,。本階段還需要分配適當(dāng)?shù)馁Y源（人員,、時間和資金）運(yùn)行信息安全管理體系以及所有的安全控制。這包括將所有已實(shí)施控制的文件化,，以及信息安全管理體系文件的積極維護(hù),。

　　提高信息安全意識的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險和安全文化，保證意識和控制活動的同步,，還必須安排針對信息安全意識的培訓(xùn),，并檢查意識培訓(xùn)的效果，以確保其持續(xù)有效和實(shí)時性,。如有必要應(yīng)對相關(guān)方事實(shí)有針對性的安全培訓(xùn),，以支持組織的意識程序，保證所有相關(guān)方能按照要求完成安全任務(wù),。本階段還應(yīng)該實(shí)施并保持策劃了的探測和響應(yīng)機(jī)制,。

　　C—監(jiān)視并評審

　　檢查階段，又叫學(xué)習(xí)階段,，是PDCA 循環(huán)的關(guān)鍵階段,，是信息安全管理體系要分析運(yùn)行效果，尋求改進(jìn)機(jī)會的階段,。如果發(fā)現(xiàn)一個控制措施不合理,、不充分，就要采取糾正措施,，以防止信息系統(tǒng)處于不可接受風(fēng)險狀態(tài),。組織應(yīng)該通過多種方式檢查信息安全管理體系是否運(yùn)行良好，并對其業(yè)績進(jìn)行監(jiān)視,，可能包括下列管理過程：

　　1）執(zhí)行程序和其他控制以快速檢測處理結(jié)果中的錯誤,；快速識別安全體系中失敗的和成功的破壞；能使管理者確認(rèn)人工或自動執(zhí)行的安全活動達(dá)到預(yù)期的結(jié)果,；按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施,；接受其他組織和組織自身的安全經(jīng)驗(yàn)。

　　2）常規(guī)評審信息安全管理體系的有效性,；收集安全審核的結(jié)果,、事故、以及來自所有股東和其他相關(guān)方的建議和反饋,，定期對信息安全管理體系有效性進(jìn)行評審,。

　　3）評審剩余風(fēng)險和可接受風(fēng)險的等級；注意組織,、技術(shù),、商業(yè)目標(biāo)和過程的內(nèi)部變化，以及已識別的威脅和社會風(fēng)尚的外部變化,，定期評審剩余風(fēng)險和可接受風(fēng)險等級的合理性,。

　　4）審核是執(zhí)行管理程序,、以確定規(guī)定的安全程序是否適當(dāng)、是否符合標(biāo)準(zhǔn),、以及是否按照預(yù)期的目的進(jìn)行工作,。審核的就是按照規(guī)定的周期（最多不超過一年）檢查信息安全管理體系的所有方面是否行之有效。審核的依據(jù)包括BS 7799-2:2002標(biāo)準(zhǔn)和組織所發(fā)布的信息安全管理程序,。應(yīng)該進(jìn)行充分的審核策劃,，以便審核任務(wù)能在審核期間內(nèi)按部就班的展開。

　　評審

　　信息安全方針仍然是業(yè)務(wù)要求的正確反映,； 正在遵循文件化的程序（信息安全管理體系范圍內(nèi)）,，并且能夠滿足其期望的目標(biāo)； 有適當(dāng)?shù)募夹g(shù)控制（例如防火墻,、實(shí)物訪問控制）,，被正確的配置，且行之有效,； 剩余風(fēng)險已被正確評估,，并且是組織管理可以接受的,； 前期審核和評審所認(rèn)同的措施已經(jīng)被實(shí)施,；審核會包括對文件和記錄的抽樣檢查，以及口頭審核管理者和員工,。 正式評審：為確保范圍保持充分性,，以及信息安全管理體系過程的持續(xù)改進(jìn)得到識別和實(shí)施，組織應(yīng)定期對信息安全管理體系進(jìn)行正式的評審（最少一年評審一次）,。 記錄并報告能影響信息安全管理體系有效性或業(yè)績的所有活動,、事件。

　　A—改進(jìn)

　　經(jīng)過了策劃,、實(shí)施,、檢查之后，組織在措施階段必須對所策劃的方案給以結(jié)論,，是應(yīng)該繼續(xù)執(zhí)行,，還是應(yīng)該放棄重新進(jìn)行新的策劃？當(dāng)然該循環(huán)給管理體系帶來明顯的業(yè)績提升,，組織可以考慮是否將成果擴(kuò)大到其他的部門或領(lǐng)域,，這就開始了新一輪的PDCA 循環(huán)。在這個過程中組織可能持續(xù)的進(jìn)行一下操作：

　　測量信息安全管理體系滿足安全方針和目標(biāo)方面的業(yè)績,。 識別信息安全管理體系的改進(jìn),，并有效實(shí)施。 采取適當(dāng)?shù)募m正和預(yù)防措施,。 溝通結(jié)果及活動,，并與所有相關(guān)方磋商,。 必要時修訂信息安全管理體系。 確保修訂達(dá)到預(yù)期的目標(biāo),。 　在這個階段需要注意的是,，很多看起來單純的、孤立的事件,，如果不及時處理就可能對整個組織產(chǎn)生影響,，所采取的措施不僅具有直接的效果，還可能帶來深遠(yuǎn)的影響,。組織需要把措施放在信息安全管理體系持續(xù)改進(jìn)的大背景下,，以長遠(yuǎn)的眼光來打算，確保措施不僅致力于眼前的問題,，還要杜絕類似事故再發(fā)生或者降低其在放生的可能性,。

　　不符合、糾正措施和預(yù)防措施是本階段的重要概念,。

　　不符合：是指實(shí)施,、維持并改進(jìn)所要求的一個或多個管理體系要素缺乏或者失效，或者是在客觀證據(jù)基礎(chǔ)上,，信息安全管理體系符合安全方針以及達(dá)到組織安全目標(biāo)的能力存在很大不確定性的情況,。

　　糾正措施：組織應(yīng)確定措施，以消除信息安全管理體系實(shí)施,、運(yùn)作和使用過程中不符合的原因,，防止再發(fā)生。組織的糾正措施的文件化程序應(yīng)該規(guī)定以下方面的要求：

　　識別信息安全管理體系實(shí)施,、運(yùn)作過程中的不符合,； 確定不符合的原因； 評價確保不符合不再發(fā)生的措施要求,； 取定并實(shí)施所需的糾正措施,； 記錄所采取措施的結(jié)果； 評審所采取措施的有效性,。 　預(yù)防措施：組織應(yīng)確定措施,，以消除潛在不符合的原因，防止其發(fā)生,。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng),。預(yù)防措施的文件化程序應(yīng)該規(guī)定以下方面的要求：

　　識別潛在不符合及其原因； 確定并實(shí)施所需的預(yù)防措施,； 記錄所采取措施的結(jié)果,； 評審所采取的預(yù)防措施； 識別已變化的風(fēng)險,，并確保對發(fā)生重大變化的風(fēng)險予以關(guān)注,。