ISO27001信息安全管理体系认证咨询上

ISO27001信息安全管理体系认证咨询（上）

内容摘要：ISO27001信息安全管理体系认证咨询（上）ISO27001信息安全管理体系概述：ISO27001信息安全管理体系认证咨询服务阶段流程：

ISO27001信息安全管理体系概述：

实践证明，按照BS7799/ISO27001的要求在组织内部建立并运行信息安全管理体系（ISMS），强化信息安全管理体系的运行审核和管理评审，不断改进优化组织的ISO27001信息安全管理体系，是处理组织信息安全问题有效手段之一。

根据 BS7799/ISO27001要求，在建立、实施、运行、监控、评审、保持与改进组织ISMS 时采用 PDCA 的过程模型，即首先依据组织的信息安全总体方针政策，通过对 ISMS 涉及范围内的所有信息资产进行风险，选取合适的安全控制措施，建立包括安全策略、控制程序、 操作指南/手册在内的文件化的信息安全管理体系，然后在组织内部实施并运行 ISMS 信息安全策略、控制程序及措施，并通过 ISMS 运行监控、内部审计及管理评审，发现 ISMS 存在的 问题及弱点，及时采取适当的纠正或预防措施，实现 ISMS 的持续改进。

信息安全管理体系咨询服务的目的就是根据 ISO27001 标准的要求，采用 PDCA 的过程模 型，通过基于资产的风险，帮助客户建立文件化的ISO27001信息安全管理体系，辅导客户在其组织范围内实施、运行、评审信息安全管理体系，从而确保客户信息系统的正常运行，提高服务竞争力，较终促进客户业务的开展。

ISO27001信息安全管理体系建设咨询服务包括准备、风险、安全体系规划与设 计、安全体系实施/调整/评审四个阶段，各个阶段说明如下:

阶段：准备

准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务，分别是：

1) 确定 ISMS 范围

根据组织业务需要确定ISMS 涵盖的范围，包括地理位置、部门或信息系统等。

2) 确定信息安全总体方针政策

分析ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。

3) 定义风险与管理方法

确定风险模型，确定风险指标，定义风险及管理程序。

4) 项目准备

制定实施计划、成立项目组、整理开发相关工具模板、召开启动会，进行项目背景知识培训等。

*二阶段：风险

分析 ISMS 范围内的信息安全现状，针对 ISMS 范围内的所有信息资产，识别并评价其面临的安全风险，提出对应的控制措施。包括三*作任务，分别为：

1) 现状分析

通过访谈、检查及测试了解ISMS 范围内的信息安全现状，形成现状报告，并将获取的安全现状与 ISO27002 中的安全控制措施进行差距分析。

2) 风险评价

按照确定的风险模型，评价现状分析阶段识别的资产、威胁及弱点，确定资产风险等级。

3) 风险处置

确定风险处置方式，选择安全控制措施，制定风险处置计划，进行残余风险分析。

*三阶段：安全体系规划与设计

根据差距分析和风险结果规划安全体系建设任务，落实本期建设规划。包括两*作任务，分别为：

1) 安全体系规划

规划信息安全体系建设项目、任务、计划等。

2) 编写安全体系文档

设计信息安全体系管理文档或技术方案。

*四阶段：安全体系实施、调整、评审

落实信息安全管理措施，部署信息安全技术措施，运行信息安全管理体系，改进信息安全管理体系不足，按照 ISO27001 要求进行信息安全管理体系内部审核和管理评审。包括三 *作任务，分别为：

1) 体系实施

落实或部署信息安全管理体系的相关管理及技术措施，运行信息安全管理体系。

2) 体系调整

针对实施和运行中存在的问题，对信息安全管理体系进行调整改进。

3) 体系评审

按照ISO27001 要求进行信息安全管理体系内部审核和管理评审。

2准备

确定ISMS 范围

根据组织的业务特征、组织结构、地理位置、资产和技术定义 ISMS 范围和边界。

主要工作任务及内容（活动）

1) 信息安全与业务战略及规划一致性分析

针对组织内部安全状况与组织业务战略及规划一致性的分析，主要从客户、合作方等外部角度考虑ISMS 需要涵盖的范围。

2) 信息安全与相关法规/制度符合性分析

针对组织内部安全状况与法律/法规/制度符合性的分析，主要从合规性方面考虑 ISMS 范围需要涵盖的范围。

3) 信息安全与业务运营影响分析

针对组织内部安全状况对业务运营影响的分析，主要从内部风险管理角度考虑 ISMS 需要涵盖范围。

4) 确定 ISMS 范围

根据上述分析结果确定ISMS 范围（包括涉及的物理位置、业务[流程]、部门、系统等）。

主要工作方式/方法（工作方式、职责划分、工作方法）

组织要建立信息安全管理体系，首先需要划定其范围。确定 ISMS 的过程：

信息安全管理体系是为**组织信息系统而建立的，而ISO27001信息系统建设与运行的目标是确保组织业务目标的实现，因此信息安全管理体系建设的较终目的是确保组织业务目标的实 现。所以确定 ISMS 范围时需要从内部业务需求和外部合规性要求出发，对信息安全与组织业务发展战略及规划的一致性、信息安全与与相关法规/制度的符合性、信息安全对业务运营的影响进行综合分析形成与业务目标相一致的 ISMS 范围。

应该对确定的 ISMS 范围进行书面说明（可以放在信息安全管理手册或总体方针文件 中），对 ISMS 涉及的部门，位置、业务以及主要资产（主要信息系统或设备）进行描述。

主要输入

主要输出

主要根据/模板

确定信息安全总体方针政策

分析 ISMS 范围内的业务及系统安全需求，确定 ISMS 的总体方针政策。

主要工作任务及内容（活动）

1) 业务及系统初步安全需求分析

根据组织业务及系统特点进行初步安全需求分析，形成总体安全需求。

2) 确定 ISMS 总体方针政策

在初步安全需求分析结果基础上，确定组织信息安全的总体方针政策，包括ISMS 范围、 总体目标、安全组织结构、安全管理框架。

主要工作方式/方法（工作方式、职责划分、工作方法）

在进行信息安全管理体系建设前，应该制定组织的信息安全总体方针政策，设定信息安全的总体目标，明确信息安全管理职责，建立信息安全总体框架，为相关活动指明总的方向和原则。信息安全总体方针政策是建立、实施、运作、监视、评审、保持并持续信息安全管 理体系的基础，需要获得管理者的批准。

制定组织信息安全总体方针政策时可以首先针对组织业务及系统特点进行初步的安全需求分析，考虑包括业务及法规制度合同要求在内的安全需求，形成安全需求框架。

确定信息安全总体方针政策的过程：

确定的信息安全总体方针政策应该文件化，并由管理者签发。信息安全总体方针政策文件需要包含如下内容：

组织信息安全的定义、总体目标、范围等；

组织信息安全的重要性（如何**业务目标实现）；

管理层承诺与支持；

信息安全体系框架（如何实现组织信息安全）；

对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明，如：法律法规要求、业务持续性管理、教育与培训以及违反策略的后果等；

信息安全管理组织架构、职责、安全管理方法等；

引用的支撑策略或管理制度。

主要输入

主要输出

主要工具/模板

定义风险与管理方法

确定信息安全风险模型，定义风险程序、建立风险指标及风险接受准则。

主要工作任务及内容（活动）

1) 确定风险模型及相关指标准则

定义组织风险方法及风险接受准则等。

2) 制定风险与管理程序

按照确定的风险方法及风险接受准则，形成文件化的风险与管理程序。

主要工作方式/方法（工作方式、职责划分、工作方法）

在确定了 ISMS 的范围和总体方针之后，需要确定一种适合组织的风险模型，建立风险指标及风险接受准则。并且需要按照确定的风险方法及风险接受准则，形成文件化的风险及管理程序。具体内容包括：

定义风险模型；

定义资产类别；

定义威胁类别；

定义弱点类别；

定义风险处置方式；

确定风险接受准则；

确定风险计算方式；

各种指标值及描述。定义风险与管理方法过程：

各方参与情况见下表：

主要输入

主要输出

主要工具/模板

项目准备

按照 ISMS 建设范围及进度要求，制定有关实施计划，组建项目组，落实人员安排，整理或开发 ISMS 建设所需的表格/工具/模板，召开启动会，并按照实际需要对相关人员进行项目背景知识培训，完成 ISMS 建设项目的前期准备工作。

主要工作任务及内容（活动）

1) 制定实施计划

制定项目实施计划，主要是下一阶段的风险计划。

2) 组建项目组

落实项目人员安排及其职责。

3) 整理开发工具/模板

开发或定制各种表格、工具及模板，包括各种问卷，表格，检查及测试程序与模板等。

4) 项目启动会

正式启动项目。

5) 培训

按照需要进行项目背景知识培训，包括BS7799/ISO27001知识培训，项目实施过程/方 法/工具培训等。

主要工作方式/方法（工作方式、职责划分、工作方法）

项目准备主要包括制定项目（下一阶段）实施计划，组建项目组，整理开发工具模板，召开启动会，实施项目培训等。 项目准备过程：

3风险

4安全体系规划与设计

5安全体系实施、调整、评审

6项目主要任务及活动列表/文档列表

ISO/IEC27000

ISO/IEC27000（Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语），属于A类标准。ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中较基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。