1、佛山市南海天富科技有限公司信息安全管理體系建設咨詢服務項目編寫人員：黃世榮編寫日期：2015年12月7日項目縮寫：文檔版本：V1.0修改記錄:日期編寫人員版本備注 時間：2015年12月一、 信息化建設引言隨著我國中小企業信息化的普及，信息化給我國中小企業帶來積極影響的同時也帶來了信息安全方面的消極影響。一方面：信息化在中小企業的發展過程中，對節約企業成本和達到有效管理的起到了積極的推動作用。另一方面，伴隨著全球信息化和網絡化進程的發展，與此相關的信息安全問題也日趨嚴重。由于我國中小企業規模小、經濟實力不足以及中小企業的領導者缺乏信息安全領域知識和意識，導致中小企業的信息安全面臨著較大的風險，

2、我國中小企業信息化進程已經步入普及階段，解決我國中小企業的信息安全問題已經刻不容緩。通過制定和實施企業信息安全管理體系能夠規范企業員工的行為，保證各種技術手段的有效實施，從整體上統籌安排各種軟硬件，保證信息安全體系協同工作的高效、有序和經濟性。信息安全管理體系不僅可以在信息安全事故發生后能夠及時采取有效的措施，防止信息安全事故帶來巨大的損失，而更重要的是信息安全管理體系能夠預防和避免大多數的信息安全事件的發生。信息安全管理就是對信息安全風險進行識別、分析、采取措施將風險降到可接受水平并維持該水平的過程。企業的信息安全管理不是一勞永逸的，由于新的威脅不斷出現，信息安全管理是一個相對的、 動態的過

3、程，企業能做到的就是要不斷改進自身的信息安全狀態，將信息安全風險控制在企業可接受的范圍之內，獲得企業現有條件下和資源能力范圍內最大程度的安全。在信息安全管理領域，“三分技術，七分管理”的理念已經被廣泛接受。結合ISO/IEC27001信息安全管理體系，提出一個適合我國中小企業的信息安全管理的模型，用以指導我國中小企業的信息安全實踐并不斷提高中小企業的安全管理能力。二、 ISO27001信息安全管理體系框架建立ISO27001信息安全管理體系框架的搭建必須按照適當的程序來進行（如下圖所示）。首先，各個組織應該根據自身的狀況來搭建適合自身業務發展和信息安全需求的 ISO27001信息安全管理體系框

4、架，并在正常的業務開展過程中具體實施構架的ISO27001信息安全管理體系。同時在信息安全管理體系的基礎上，建立各種與信息安全管理框架相一致的相關文檔、文件，并對其進行嚴格的管理。對在具體實施ISO27001信息安全管理體系過程中出現的各種信息安全事件和安全狀況進行嚴格的記錄，并建立嚴格的反饋流程和制度。（1）信息安全策略組織應制定信息安全策略（Information Security Policy）以對組織的信息安全提供管理方向與支持。組織不僅要有一個總體的安全策略，而且，在總體策略的框架內，根據風險評估的結果，制定更加具體的安全方針，明確規定具體的控制規則，如“清理桌面和清楚屏幕策略”、“

5、訪問控制策略”等。（2）范圍組織要根據組織的特性、地理位置、資產和技術對信息安全管理體系范圍（scope）進行界定。組織信息安全管理體系范圍包括以下項目：l 需保護的信息系統、資產、技術。l 實物場所（地理位置、部門）。（3）風險評估組織需要選擇一個適合其安全要求的風險評估和管理方案，然后進行合乎規范的評估，識別目前面臨的風險及風險等級；風險評估的對象是組織的信息資產，評估考慮 的因素包括資產所受的威脅、薄弱點及威脅發生后對組織的影響。無論采用何種風險評估工具方法，其最終評估結果應是一致的。（4）風險管理組織應根據信息安全策略和所要求的安全程度，識別所要管理的風險內容。控制風險包括識別所需的安

6、全措施，通過降低、避免、轉移將風險降至可接受的水平。風險隨著過程的更改、組織的變化、技術的發展及新出現的潛在威脅而變化。（5）控制目標與控制方式的選擇風險評估之后，組織應從已有信息安全技術中選擇適當的控制方法，包括額外的控制（組織新增加的和法律法規所要求的），降低已識別的風險。（6）適用性聲明信息安全適用性聲明記錄了組織內相關的風險管制目標和針對每種風險所采取的控制措施。它的準備，一方面是為了向組織內的員工聲明對信息安全面對風險的態度；另一方面也是為了向外界表明組織的態度和作為。三、 ISO27001信息安全管理體系實施方法ISO27001信息安全管理體系（Information Securi

7、ty Management System）作為組織完整的管理體系中的一個重要環節，構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協調的活動，其針對對象就是組織的信息資產。了解信息安全管理的方法，我們必須先明確企業或組織的信息安全需求。一般來說，企業的信息安全需求主要有三個來源，他們分別是法 律法規與合同條約的要求；組織的原則、目標和規定；風險評估的結果等。信息安全的成敗取決于兩個因素：技術和管理，人們常說，三分技術，七分管理，可見管理對信息安全的重要性，我們可以把安全技術比作信息安全的構筑材料，那么安全管理則是真正的粘合劑和催化劑。現實世界里，大多數安全事件的發生和安

8、全隱患的存在，與 其說是技術上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關鍵作用，對于真正實現信息安全目標來說尤其重要。信息安全不是產品的簡單堆 積，也不是一次性的靜態過程，它是人員、技術、操作這三種要素的緊密結合的系統工程，是不斷演進、循環發展的動態過程。信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動。首先應該制定信息安全的策略方針，它是信息安全管理的導向和支持，在此基礎上選擇控制目標與控制方式，企業和組織還需考慮控制成本與風險平衡的原則，將風險降低到組織可接受的水平，整個管理過程需要全員的參與，實施動態管理。實施安全管理，還應遵循管理的一般模式PDCA模型

9、。PDCA模型，即Plan、Do、Check和Act，是一種持續改進的管理模式，見下圖所示。措施（Action）針對檢查結果采取應對措施，改進安全狀況；計劃（Plan）根據風險評估結果、法律法規要求、組織業務運作自身需要來確定控制目標與控制措施；實施（Do）實施所選的安全控制措施；檢查（Check）依據策略、程序、標準和法律法規，對安全措施的實施情況進行符合性檢查。PDCA模型是一種抽象的模型，它把相關的資源和活動抽象為過程進行管理，具有廣泛通用性。 PDCA是順序依次進行的，依靠組織的力量推動，周而復始，不斷循環，持續改進，組織中的每個部門和個人，在履行相關職責時，都是基于PDCA這個過程的

10、，組織的內部管理，就構成了大環套小環層層遞進的模式，每一次循環結束，都要對其進行總結，鞏固成績，改進不足，同時提出新的目標，以便進入下一次更高 級的循環。ISO27000/ISO27001標準對于信息安全管理體系的定義如下圖所示：ISO27001信息安全管理可操作的一般過程和相應的活動包括：1. 確定組織的信息安全目標和戰略2. 開發信息安全策略3. 進行風險評估（Risk Assessment），明確組織的信息安全需求，具體活動包括：1) 制定風險評估計劃（明確范圍和責任，采集相關信息，描述目標系統）；2) 識別并評價信息資產，理解資產的價值和敏感性；3) 識別并評估威脅，理解威脅發生的可能

11、性；4) 識別并評價弱點，理解弱點被利用的容易程度；5) 評估風險，確定風險等級；6) 評估并比較現有的安全措施（控制），找出目標與現狀之間的差距；7) 根據已經明確的需求來推薦安全措施。4. 進行風險消減（Risk Mitigation），具體活動包括：1) 確定風險消減策略，以便減少、規避、轉嫁或接受風險；2) 選擇安全措施（控制）；3) 制定安全計劃，明確安全措施的構建和實施方案；4) 實施安全計劃和策略；5) 對安全計劃和策略的實施結果進行測試和檢查。5. 進行風險控制（Risk Control），具體包括：1) 信息系統的維護與操作；2) 安全意識、培訓與教育；3) 對信息系統的運行

12、和安全措施的效力進行監視；4) 事件響應；5) 再評估與認證。6. 配置管理（Configuration Management），確保系統發生的變化不會降低安全措施的效力和組織的整體安全。7. 變更管理（Change Management），當信息系統發生變化時，識別新的安全需求。8. 應急計劃（Contingency Planning），包括業務連續性計劃、災難恢復計劃等。對應PCDA模型，信息安全目標與戰略的確定、信息安全策略開發以及風險評估屬于計劃階段 （Plan），風險消減屬于實施階段（Do），風險控制、配置管理、變更管理、應急計劃以及安全意識培訓等活動都可以歸入到檢查（Check）和

13、措施 （Action）階段。我們所強調的信息安全管理模式，是由風險驅動的信息安全管理模式，是對組織的信息安全風險進行控制和指導的相互協調的活動，風險管 理是其中的核心。四、 項目實施原則本項目要求以安全咨詢為基礎，重點進行安全規劃、安全管理體系細化和周期性安全服務為主。在服務過程中，應遵循以下原則：Ø 標準性原則：方案的設計和實施應依據國際標準ISO27001、數據敏感、保密、國家及行業相關標準進行；Ø 規范性原則：服務提供商的工作過程和所有文檔，應具有很好的規范性，以便于項目的跟蹤和控制；Ø 可控性原則：在保證項目質量的前提下，按計劃進度執行，保證甲方對于項目的

14、可控性。信息安全調研的工具、方法和過程要在雙方認可的范圍之內合法進行；Ø 完整性原則：調研和規劃設計的范圍和內容應完整地覆蓋信息安全所涉及的技術和管理等各個層面，并對這種完整性進行說明或論證，實施對象也應完整地覆蓋甲方信息系統的各個方面；Ø 合理性原則：信息安全規劃設計必須立足于甲方的現實情況，設計方法應合乎邏輯，過程應完備詳實，從而確保結論是可信服的；Ø 可操作性原則：在信息安全架構設計中，應根據信息安全要求提出相應的解決方案，方案必須具體可行，易于實際操作；Ø 最小影響原則：調研工作應避免影響系統和網絡的正常運行，不能對現正常運行的系統和網絡構成破壞

15、和造成停產；Ø 保密性原則：調研的過程和結果應嚴格保密，未經甲方授權，對項目涉及的任何信息不得泄露給第三方；Ø 經濟性原則：方案的設計和實施應在達到項目要求的前提下，具有較高的性價比和經濟性；Ø 先進性原則：方案的設計要具備先進性和前瞻性，需統籌考慮甲方未來五年的信息安全發展需求。五、 項目階段及內容服務項目階段過程主要任務主要內容ISO27001咨詢服務準備確定ISMS范圍業務戰略及規劃一致性分析法規制度符合性分析業務運營影響分析確定ISMS范圍確定信息安全總體方針政策業務及系統初步安全需求分析確定ISMS總體方針政策定義風險評估與管理方法確定風險評估模型及相關指標準則制定風險評估與管理程序項目準備制定實施計劃組建項目組整理開發工具/模板項目啟動會培訓風險評估現狀分析問卷調查現場訪談手工檢測安全掃描滲透測試綜合分析撰寫報告風險評價資產評價威脅評價弱點評價風險評價撰寫風險評估報告風險處置選擇風險處置方式選擇安全控制措施制定風險處置計劃殘余風險分析安全體系規劃與設計安全體系規劃任務或項目分解任務或項目實施規劃撰寫規劃報告編寫安全體系文檔確定ISMS文件清單制定ISMS文件編寫計劃編寫ISMS文件ISMS文件評審安全體系實 施、調整、 評審體系實施體