小师妹聊安全标准(二)

        2019-03-27 533597人围观 ,发现 17 个不明物体 企业安全

        *本文作者:xxx幸xxx,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

        上一篇聊的是关于风险评估实施的安全标准,看到有人留言怀疑我冒充小师妹,我觉得并没有冒充的必要,反倒我希望各位圈友把我当成兄弟,不吝赐教。

        身边一个朋友常?#20197;?#22068;边的一句话是?#30333;?#20154;嘛,开心最重要?#20445;?#25105;就是这个态度,能把自己?#34892;?#36259;的东西,一边学习一边有所输出,并能和大家一起交流,互相帮助,开心就好。聊标准的目的本身也就是想把标准通俗化,想要大家都能一看就明白,但由于本人水平有限,内容上难免有点差强人意。

        我今天想和大家聊的是关于信息安全管理体系的标准《GB/T 31496-2015 信息技术 安全技术信息安全管理体系实施指南》。

        一、该标准的简单描述

        这个标准其实就是国际标准ISO/IEC 27003:2010的中文翻译,并没有做多少改动,主要用来指导信息安全管理的过程,将信息资产的风险控制在组织可接受的安全范围内。

        该标准同另外8个标准共同组成了信息安全管理体系标准族(简称ISMS标准族),如下:

        ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和词汇  
        ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求  
        ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则  
        ISO/IEC 27003:2010(本标准) 信息技术 安全技术 信息安全管理体系实施指南  
        ISO/IEC 27004:2009 信息技术 安全技术 信息安全管理测量  
        ISO/IEC 27005:2008 信息技术 安全技术 信息安全风险管理  
        ISO/IEC 27006:2007 信息技术 安全技术 信息安全管理体系审核?#29616;?#26426;构的要求  
        ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南  
        ISO/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC 27002的电信?#24184;?#32452;织的信息安全管理指南  

        通常情况下,ISMS的实施被作为一个单独的项目来执?#23567;?#26082;然是项目我们应该都知道,一个项目的启动,前期都要经过详细的计划、统筹并要得到相关领导的批准,这是第一个阶段,其余几个阶段我们后面也要具体讲到。无论是大型组织还是小型企业,在做ISMS项目时都可以参考该标准来执行,参考本标准时建议配合ISMS标准族的其他几个标准一起使用。

        二、ISMS的实施阶段

        从项目实施的角度,包括五个阶段:

        当然,每个阶段都会涉及到相关文件的输出,这个不管做什么项目应该都是这样,下面将讲每个阶段具体需要做什么,需要输出什么样的文档(一个项目要输出的文档是真的多)。

        (一)获得领导对ISMS项目的批准

        当前阶段是要让领导了解ISMS项目实施的必要性以及能带来的利益,可通过创建业务案例、制定初步的项目计划来获得领导的批准。

        总的来说,?#23186;錐我?#20570;的事情分为三?#38454;擼?#22914;下图所示:

        1.阐明组织开发ISMS的优先级

        通俗点说,就是要让领导知道为什么要做这个ISMS项目,对公司能带来什么价值。在阐述的时候呢,最?#20882;?#36825;几个问题讲清楚就差不多了。

        a) 风险管理— ISMS如何产生更好地管理信息安全风险?

        b) 效率— ISMS如?#25991;芨慕?#20449;息安全的管理?

        c) 业务优势— ISMS如?#25991;?#20026;组织创造竞争优势?

        2.初步制定ISMS的范围以及角色职责

        (1)初步制定ISMS的范围

        ISMS的范围确定其实和前面提到的三个问题相关,一般从以下8个因素来考虑:

        a) 关键的业务域和组织域:

        1) 关键业务域和关键组织域是什么?

        2) 组织哪些域提供该业务以及关注什么?

        3) 有什么第三方关?#23548;?#20854;协议?

        4) 是否有外包服务?

        b) 敏感信息或有价值的信息:

        1) 什么信息对组织是至关重要的?

        2) 如果某些信息被泄露给未授权方,可能产生什么后果(例如,失去竞争优势、损害品牌或名誉、引起法律诉?#31995;齲?/p>

        c) 对信息安全测量?#24184;?#27714;的相关法律:

        1) 什么法律适用于组织的风险处?#27809;?#20449;息安全?

        2) 组织是否是必须对外进?#32961;?#21153;报告的公众性全球性组织的一部分?

        d) 与信息安全有关的合同协议或组织协议:

        1) 对数据存储的要求(包括保留期限)是什么?

        2) 是否有任何与隐?#20132;?#36136;量有关的合同要求(例如,服务级别协议 -SLA)?

        e) 规定特定信息安全控制措施的?#24184;?#35201;求:

        1) 有哪些?#24184;?#29305;定的要求适用于组织?

        f) 威?#19981;肪常?/p>

        1) 需要什么类型的保护,及需要应?#38405;?#20123;威胁?

        2) 需要保护的信息的特定类别是什么?

        3) 需要保护的信息活动的特定类型是什么?

        g) 竞争动力:

        1) 对信息安全的最小化市场要求是什么?

        2) 哪些另外的信息安全控制措施可为组织提供竞争优势?

        h) 业务?#20013;?#24615;要求:

        1) 关键业务过程是什么?

        2) 对每个关键业务过程而言,组织能够容忍其中断的时间是多长?

        如果这些问题有了答案,那么ISMS的范围也?#32479;?#27493;确定了。之后还需要输出一份初步的ISMS范围文档,内容包括:

        1 组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务  
        2 ISMS范围内的区域如何与其他管理体?#21040;?#20114;的描述  
        3 信息安全管理的业务目标清单(前面问题的回答)  
        4 ISMS将被应用的关键业务过程、系统、信息资产、组织结?#36141;?#22320;理位置的清单  
        5 现有管理体系、规章、符合?#38498;?#32452;织目标之间的关系  
        6 业务、组织、位置、资产?#22270;?#26415;等方面的特点  

        (2)初步制定ISMS范围内的角色和职责

        根据企业的大小,角色和职责的划分可能会不同,因为对于稍微小点的企业,并没?#24184;?#20154;一岗的条件,一般都是一个人担任多种角色,但是例如CISO、CIMO等负责整个信息安全管理的角色还是要设置的,然后其他岗位的设?#20882;?#29031;工作内容所需要的技能来分配员工的角色和责任。

        举个完善的ISMS项目中角色与职责的例子?#28023;ㄍ计?#26469;源于标准)

        角色 责任的简要描述
        高级管理者(例如首席运营官COO、首席执行官CEO、首席安全官CSO 和首席财务官CFO) 负责愿景、战略决策?#25176;?#35843;活动,以指导和控制组织。
        生产线管理人员 对组织的功能负有最高责任。
        首席信息安全官 全面负责和治理信息安全,以确保信息资产得到正?#21453;?#29702;。
        信息安全委员会(包括成员) 处理信息资产,在组织的ISMS中具有领导角色。
        信息安全规划团队(包括团队成员) 负责ISMS建立期间的运作。规划团队跨部门工作,解决各种冲突,直到ISMS被建成。
        利益相关方   在其他信息安全角色的描述中,这里的利益相关方主要被定义为正常运作之外的人员/机构,诸如董事会、责任人(如果组织属于一个集团或是政府组织,是指组织责任人,和/或直接责任人,诸如私人组织的利益相关方)。其他利益相关方的例子可以是有关联的公司、客户、供应商或更公开的组织,诸如政府?#26222;?#25511;制机构或相关的证券交易所,如果组织被列入的话。
        系统管理员 系统管理?#22791;?#36131;IT系统。
        IT 经理 所有IT资源的管理者 (例如,IT部门管理者)
        物理安全员 负责物理安全(例如建筑物等)的人员,通常称作“设施经理”。
        风险管理者 负责组织的风险管理框架(包括风险评价、风险处置和风险监视)的人员。
        法律顾问 很多信息安全风险都有法律方面的问题,法律顾问负责考虑这些问题。
        人力资源管理者 负责整个员工的人员。
        档案管理员 所有组织都有包含关键信息的档案。这些信息需要长期保存。信息可能存放在多种介质上,宜有专人对这?#25191;?#20648;介质的安全负责。
        个人数据管理员   如果国家法律?#24184;?#27714;,那么可能要?#24184;?#20010;人负责联系数据检查委员会或类似的官方组织来监管个人诚信和隐?#22870;?#25252;问题。
        系统开发者 如果组织开发自己的信息系统,那么就应有人对这种开发负责。
        专家/行家 当ISMS涉及到其在特定领域的使用时,宜就ISMS事宜的意图咨询负责组织?#24515;?#20123;运行工作的专家?#25176;?#23478;。
        外部顾问 外部顾问能根据其对组织的宏观观点?#25176;幸?#32463;验,给出建议。然而,顾问可能对组织和组织的运作了解不多。
        员工/?#27809;?/td> 每一个员工都对维?#21046;?#24037;作场所和环境中的信息安全负有同等责任。
        审核员 审核?#22791;?#36131;评估和评价ISMS。
        培训师 培训师实施培训和意识方案。
        局部IT或IS的负责人 在一个大型组织内,常常有局部组织的人负责局部的IT事宜,可能还有信息安全。
        拥护者(有影响力的人员) 拥护者本身不是一个承担责任的角色,但在大型组织中,实施阶段中有人对ISMS的实施有深刻的了解?#20197;?#23454;施的理解和真正的原因上能够给予支持,可能有很大帮助。他们可正面地影响组织的观点,也可称作“大使”。

        3.创建业务案例和项目计划书

        在前?#35762;?#23436;成后,就可以开始创建业务案例和项目计划了,这两份东西是领导同意执行项目的关键,所以一定要做好;项目计划书包含前面讲到的五个阶段的相关活动,就大体是我们今天讲的内容。

        实施ISMS的业务案例需涵盖以?#36718;?#39064;:

        a) 目的和特定目标;

        b) 组织的利益;

        c) 初步的ISMS范围,包括受影响的业务过程;

        d) 实现ISMS目标的关键过程&因素;

        e) 高层级项目概要;

        f) 初始的实施计划;

        g) ?#35759;?#20041;的角色和责任;

        h) 需要的资源(包括技术和人员两方面);

        i) 实施考虑事项,包括现有的信息安全;

        j) 带有关键里程碑的时间计划;

        k) 预期的成本(重要);

        l) 关键的成功因素;

        m) 组织利益的量化。

        4. 当前阶段需要输出的文档

        1 公司业务目标清单
        2 现有管理体系的描述
        3 ISMS的目标、信息安全需求和业务要求的概要
        4 适用于公司的规章、符合?#38498;托幸?#26631;准的概要
        5 ISMS初步范围的描述以及ISMS角色和职责的定义
        6 业务案例和建议的项目计划书
        7 管理者对启动实施ISMS项目的批准?#32479;信?/td>

        (二)制定ISMS范围和方针策略

        根据初步的ISMS范围和组织内关键的信息资产来确定详细的ISMS范围和边界,并制定ISMS方针策略。

        1. 制定ISMS范围和边界

        (1)定义组织的范围和边界

        范围前面已经差不多确定了,边界的话主要是便于赋予组织内的可核查性,标识出相互不重叠的责任域,需要考虑的因素有:

        a) ISMS管理论坛应由ISMS范围所直?#30001;?#21450;的管理人员组成;

        b) ISMS的管理成员,应是最终负责所有受影响的责任域的人员(即,他们的角色通常由其所跨越的控制措施和责任指定的);

        c) 在负责管理ISMS的角色不是高层管理者的情况下,高层发起人基本代表对信息安全的利益,并在组织的最高层起到ISMS倡导者的作用;

        d) 范围和边界需要予以定义,以确保考虑了风险评估?#20852;?#26377;相关的资产,确保强调了可能发生于这些边界上的风险。

        (2)定义信息通信技术(ICT)的范围和边界;

        ICT范围和边界的定义可通过一种信息系统的途径来获得(而不是基于IT技术),如果把信息系统的业务过程也归入ISMS范围,那么还要考虑所有相关的ICT元素,包括:存储、处理或传输关键信息、资产的组织的所有部分以及ISMS范围内对这些组织部分是至关重要的其它元素,需要考虑的因素有:

        a) 社会与文化的环?#24120;?/p>

        b) 适用于组织的法律法规、规章和合同的要求;

        c) 关键责任的可核查性;

        d) 技术?#38469;?#20363;如,可用的带宽?#22836;?#21153;的可用性等)。

        通过以上考虑,ICT边界应包括以下事宜的描述(在适用时):

        a) 组织负责管理的通信基础设施,其中包括采用各种不同的技术(例如无线网络、有线网络或数据/语音网络);

        b) 组织使用和控制的组织边界内的软件;

        c) 网络、应?#27809;?#29983;产系统所需要的ICT?#24067;?/p>

        d) 有关ICT?#24067;?#32593;络和软件的角色和责任。

        (3)定义物理范围和边界

        物理指的是属于ISMS的各部门内的建筑物、位?#27809;?#35774;施,这个应该不用多讲。

        (4)集成每一个范围和边界

        通过集成每一个范围和边界(前面讲了三个)来获得ISMS的范围和边界,例如,可以选择诸如数据?#34892;?#25110;办公室的物理位置,并列出一些关键过程(比如移动?#26790;?#19968;个?#34892;?#20449;息系统);其中每一个关键过程均涉及一些之外的域,而该数据?#34892;?#23601;可使这些之外的域成为范围之内的域。(通俗的说,这个集成就?#24125;?#25289;关系,你认识我,我又认识小二,通过我,你和小二就认?#35835;耍?#25105;们三个就在一个朋友圈里了。)

        2. 制定ISMS方针策?#38498;?#33719;得领导批准

        在定义ISMS方针策略时,应考虑以下方面:

        a) 基于组织的要求和信息安全优先级,建立ISMS目标;

        b) 为达到ISMS目标,建立一般性的关注和动作指?#24076;?/p>

        c) 考虑组织的信息安全要求、法律法规或规章,以及合同义务;

        d) 组织内风险管理语?#24120;?/p>

        e) 建立评价风险?#25237;?#20041;风险评估结构的准则;

        f) 阐明高层管理者对ISMS的责任;

        g) 获得管理者的批准。

        3.当前阶段需要输出的文档

        1 组织边界和功能结构的描述
        2 ISMS范围之内?#22836;?#22260;之外的信息资产的业务过程和责任
        3 ICT边界和ISMS 范围之内?#22836;?#22260;之外的信息系统和电信网络的描述
        4 ISMS物理边界和ISMS范围之内?#22836;?#22260;之外的组织及其地理特征的描述
        5 描述ISMS范围和边界的文件
        6 管理者批准的ISMS方针策略

        (三)信息安全要求分析

        对信息资产进行标识,了解在ISNS范围内这些信息资产的信息安全状况。我们在信息安全分析时,要先收集的信息包括:

        a) 正确的基本数据;

        b) 标识实施ISMS的条件并形成文件;

        c) 提供一份清晰并已很好理解的组织设施;

        d) 考虑组织的特殊情况和状态;

        e) 标?#31471;?#26399;望的信息保护水平;

        f) 在所提议的实施范围内,确定企业部分或企业全部所需的信息编辑。

        在这个阶段,我们需要分为三步?#36176;?#25104;,如下图:

        1.定义ISMS过程的信息安全要求

        在定义ISMS过程的信息安全要求时,要围绕信息的重要程度来定义,一般需要做的工作有:

        a) 初步标识重要的信息资产以及当前的信息安全保护;

        b) 标识组织的愿景,并确定所标识的愿景对未来信息处理要求的影响;

        c) 分析信息处理、系统应用、通信网络、活动场所和IT资源等的当前形式;

        d) 标?#31471;?#26377;的基本要求(例如,法律法规和规章的要求、合同义务、组织要求、?#24184;?#26631;准、客户和供应商协议和保险条件等);

        e) 标识信息安全了解的程度,并由此针对每一个运行和管理单位,导出相应的培训和教育要求。

        2.标识ISMS范围内的资产

        这个应该是最简单的一步了吧,有哪些资产梳理出来就好,记得做好分类。

        在ISMS项目中,?#24184;?#20123;关键的过程也需要写清楚,一般包括的内容有:

        a) 过程的唯一名称;

        b) 过程描述及其所关联的活动(创建、存储、传输和?#22659;?/p>

        c) 过程对组织的至关重要性(关键的、重要的和支?#20013;?#30340;);

        d) 过程责任人(组织部门);

        e) 提供输入的过程以及这一过程的输出;

        f) 支?#27490;?#31243;的IT应用;

        g) 信息分类(保密性、完整性、可用性、?#26790;?#25511;制、不可否认性,和/或对组织有用的其他重要特性,例如,信息可能保存的时间)。

        3.进行信息安全评估

        根据我们前面?#35762;?#24471;出的内容,将现有的信息安全水平与我们第一阶段制定的组织目标进行比?#24076;?#26469;执行信息安全评估。信息安全评估的基本目的是以策?#38498;?#25351;南形式,为管理体系提供支撑,参与信息安全评估的人员应该由了解当前环境、条件,并了解信息安全相关事物的人进行评估活动,(这一步主要就是对梳理出来的属于ISMS内的信息资产做脆弱性分析,关于脆弱性分析,可参考上一篇风险评估的文章)

        一个成功的信息安全评估,应采取以下措施:

        a) 标识和列出相关的组织标准;

        b) 标识已知的控制要求,这些控制要求一般出现在策略、法律法规和规章的要求、合同义务、过去审核的发现或过去执行的风险评估的发现;

        c) 针对组织信息安全水平,做出当前要求的粗略估算。

        4.当前阶段需要输出的文档

        1 主要过程、功能、位置、信息系统和通信网络的清单
        2 组织在保密性、可用?#38498;?#23436;整性方面的要求
        3 组织在法律法规、规章、合同和业务的信息安全要求方面的要求
        4 组织已知的脆弱性清单
        5 标识组织的主要过程的信息资产
        6 关键过程/资产类别
        7 记录组织实际的信息安全状况,并进行评价,包括现有的信息安全控制措施,形成文件
        8 记录已评估和评价的的组织缺陷形成的文件

        (四)风险评估和规划风险处置

        这一阶段相当于是一个风险管理的过程,具体可参考ISO/IEC 27005:2008 信息安全风险管理,在这里同样分为三步来执行:

        1.风险评估

        在这里风险评估的方法就不再讲了,这一步目的是要得出风险评估的结果。

        2.选择控制目标与控制措施

        这一步是根据风险评估的结果来进行风险处置,选择?#23454;?#30340;控制措施,制定风险处置计划。在风险?#26723;?#30340;情况下,管理每一个风险与已选择的控制目标和控制措施之间的关系,有利于设计ISMS的实施。可以添加到描述风险与所选择的风险处?#20040;?#26045;之间关系的列表?#23567;?#24403;控制措施中可能包含有部分敏感信息的时候,可将生成的信息作为在定义资产期间创建ISMS的一部分。

        3.获得领导授权

        相当于经过前面四个阶段的工作,把得出的数据?#25176;?#25104;的文件交给领导看,?#24471;?#22312;ISMS项目中可能会出现的风险,在领导接受残余风险后,签署授权决定文件。

        4.当前阶段需要输出的文档

        1 风险评估的范围
        2 已获批准的、与组织的战略风险管理环境保持一致的风险评估方法
        3 风险接受准则
        4 高层风险评估文件
        5 识别更多的深度风险评估的需求
        6 深度风险评估文件
        7 综合的风险评估结果
        8 风险和已识别的风险处置可选措施
        9 已选择的风险?#26723;?#25511;制目标和控制措施
        10 领导对所提议的残余风险的批准文件
        11 领导对实施和运行ISMS的授权书
        12 适用性声明

        (五)设计ISMS

        经过前面四个阶段的执行,最?#31449;?#26159;设计ISMS项目实施计划。在设计ISMS时,要从组织安全、ICT安全、物理安全以及ISMS特定事项(包括监视;测量;内部的ISMS审核;培训和意识;安全?#24405;?#31649;理;管理评审;ISMS?#24917;┑人?#26041;面考虑。

        1.设计组织的信息安全

        组织的信息安全:包括行政管理方面的信息安全,包括风险处置的组织运行责任。组织安全宜形成一个活动集,?#27809;?#21160;集为处理和改善与组织需求和风险有关的信息安全,产生相应的方针策略、目标、过程和规程。

        (1)设计信息安全的最终组织结构

        为ISMS所设计的组织结构,要反映ISMS实施和运行的活动,并强调活动实施方法,例如监视?#22270;?#24405;方法,作为ISMS运行的一部分。

        具体的组织结构在第一阶段中的制定角色和职责?#24184;?#32463;讲过,不再复述。

        (2)设计ISMS的文件框架

        ISMS的文件框架主要包含ISMS记录和文件。ISMS记录包括?#33322;?#31435;一个框架,描述ISMS的建档原则、ISMS文件结构、所涉及的角色、数据格式,以及向管理者报告的途径;设计文件要求;设计记录要求。

        ISMS文件应包括管理者决定的记录;确保相关措施可追踪到管理者的决定和策略,并且所记录的结果是可再现的,对ISMS文件还必须进行管理,管理手段是:

        a) 建立ISMS文件管理的行政管理规程;

        b) 文件发布前得到正式批准;

        c) 确保文件的更改和现行修订状态得到识别;

        d) 把文件作为组织的信息资产进行保护和控制。

        (3)设计信息安全方针策略

        信息安全方针策略记录了组织的战略定位,以及整个组织相关的信息安全目标,是基于信息和知识而拟定的。在方针策略中,还必须指出,如果不遵守该方针策略的后果,同时强调影响组织解决问题的法律和法规,拟定的方针策略要在组织有关人员之间进行沟通。

        方针策略应该简明扼要,以使有关人员能理解该方针策略的意图。另外,方针策略要充分地凸现需要什么目标,以便强调相关的一组规章和组织目标,对于大型和复杂的组织(例如,拥有大量不同的运行域),可能有必要拟定一个总方针策?#38498;?#19968;些运作上经改编的基础性方针策略。

        (4)制定信息安全标准和规程

        这个标准和规程是基于强调整个组织的信息安全,为的是给组织的信息安全工作提供合规性参考。制定信息安全标准和规程应成立一个小规模的编辑组,安排一些组织代表或专家加入,根据风险评估的结果对现有的信息安全标准和规程加以评审?#25176;?#35746;。

        2.设计ICT安全和物理信息安全

        ICT安全:不仅涉及信息系统和网络,还涉及运?#24184;?#27714;;

        物理信息安全:涉及?#26790;?#25511;制、不可否认性、信息资产的物理保护和存储或保管什么?#20154;?#26377;方面,也涉及本身保护手段的安全控制措施。

        设计ICT安全和物理信息安全作为ISMS项目计划的一部分,在执行前要建立如下文档:

        负责实施一个控制措施的责任人姓名
        要实施的那个控制措施的优先级
        实施控制措施的任务或活动
        实施完该控制措施的时间陈述
        控制措施一旦完成,要向谁报告
        实施资源(人力、资源要求、空间要求、费用)

        【解释一下控制措施:就是为了解决问题而采取的措施】

        首先,要进行ICT安全和物理安全的概念设计(考虑因素有:控制目标的规格?#24471;鰲?#24037;作量和资金的分配、时间进度、集成了ICT安全、物理安全和组织安全后的可选措施);

        其次,像系统开发一样进行ICT安全和物理安全的实际设计(考虑的因素有:针对各ICT域、物理域和组织域,设计所选择的每一个控制措施、实例化每一个控制措施、为促进安全意识的控制及其培训课程,供给相应的规程和信息、在工作场所上,供给该控制措施的援助和实施)。

        3.设计ISMS特定的信息安全

        (1)管理评审的计划

        ISMS活动的管理评审应该在ISMS规格?#24471;?#21644;业务案例开发的最早阶段开始,并?#20013;?#19981;?#31995;?#36827;行ISMS运行的定期评审。为了规划评审,必须对涉及的角色进行评估,并向领导提供有关评审过程的必要性及目的的充分数据。

        管理评审应?#27809;?#20110;ISMS测量的结果和在ISMS运行期间收集的其他信息。这些信息被ISMS的管理活动使用,以决定ISMS的成熟程度和有效性,同时管理评审也应包括对风险评估的方法和结果的评审,按计划的时间间隔进行,考虑到环境中的所有变化,诸如组织?#22270;?#26415;的变化。

        在执行管理评审之前,要规划好内部的ISMS审核。内部的ISMS审核包括:控制目标、控制措施以及ISMS的的过程和规程,看它们是否得到有效地实施和维护。

        (2)设计信息安全意识、培训和教育方案。

        对参与ISMS项目中有明?#26041;?#33394;和职责的每一个人员,根据不同的角色进行相关技能的教育和培?#25285;?#20197;确保他们有能力执行所需要的操作,为ISMS目的实现做出贡献。

        信息安全意识培训和教育方案要从安全培训和教育的记录得以产生。这些记录宜定期评审,以确保所有人员都接受过其所需要的培?#25285;?#24314;议安排专人负责。也可建立一个信息安全培训组,负责创建和管理培?#23548;?#24405;、培?#21040;?#26448;以及进?#20449;?#35757;事宜。

        培训的内容应包含:

        a) 有关信息安全的风险和威胁;

        b) 信息安全的基本术语;

        c) 安全?#24405;?#30340;清晰定义:关于可如何标识安全?#24405;?#23452;如?#26410;?#29702;和报告安全?#24405;?#30340;指?#24076;?/p>

        d) 组织的信息安全方针策略、标准和规程;

        e) 组织内与信息安全有关的责任和汇报渠道;

        f) 如何辅助信息安全?#24917;?#30340;指?#24076;?/p>

        g) 信息安全?#24405;?#21644;报告的指?#24076;?/p>

        h) 从?#26410;?#33719;得更多信息。

        4. 产生最终的ISMS项目计划

        将我们前面所讲的所有阶段,得出的文件、数据,正式的编入一份详细的实施计划中去,把每个阶段有可能用到的实施工具和方法,也一同编入项目计划?#23567;?#24403;ISMS项?#21487;婕白?#32455;内很多不同的角色时,要把这些活动清晰地指派给有关责任方,要在项目初期?#20197;?#25972;个组织内进行沟通。

        最后,最重要的是保证每个负责该项目的人员都能分配到足够的资源。

        5.当前阶段需要输出的文档

        1 组织结构及其信息安全相关的角色和责任
        2 ISMS相关文件的识别
        3 ISMS记录的模板及其使用和存储?#24471;?#20070;
        4 信息安全方针策略文件
        5 信息安全方针策?#38498;?#35268;程基线
        6 用于为ICT和物理信息安全所选的安全控制措施的实施过程的实施项目计划
        7 描述报告和管理评审过程的规程
        8 审核、监视和测量的描述
        9 培训和意识方案
        10 领导批准的实施过程项目计划
        11 一个ISMS的组织特定的实施项目计划, 涵盖了组织的、ICT和物理信息安全以及ISMS特定要求的活动的有计划的执行,为按照本标准中包含的活动的结果来实施ISMS

        总结

        这个安全管理的项目做起来应该算是一个比较大、比?#32454;?#26434;的项目了,想要项目做得好,首先要有优秀的顶层设计,还要做好统筹规划(包括完善的组织结构),当然,领导的全力支持也是特别重要的。

        *本文作者:xxx幸xxx,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

        发表评论

        已有 17 条评论

        取消
        Loading...

        特别推荐

        推荐关注

        填写个人信息

        姓名
        电话
        邮箱
        公司
        ?#24184;?/div>
        职位
        css.php 永利彩票是骗局吗

                    竞彩足球比分新浪直 湖南幸运赛车开奖公告 江西多乐彩单式票 天津十一选五前三走势 羽毛球总决赛 幸运五分彩官网 欢乐升级腾讯官方电脑版 广东彩票投注网址 时时彩玩法介绍 浙江11选5投注表格 高频彩票算投资吗 北京pk10开奖记录软件 广西快3兑奖 北京快乐8大注必死 宏牛牛肉粒香辣味108g