1.信息安全管理體系（ISMS）和企業(yè)安全架構(gòu)的關(guān)系

　　ISMS指出了需要部署的風(fēng)險(xiǎn)管理，從戰(zhàn)略層面出發(fā)

　　企業(yè)架構(gòu)則細(xì)化了風(fēng)險(xiǎn)管理的組件,，并闡明了如何從戰(zhàn)略,、戰(zhàn)術(shù)和運(yùn)營層面開展風(fēng)險(xiǎn)管理

　　ISMS是自上而下的開發(fā)方法，確保人們正在保護(hù)公司的資產(chǎn),，它由高級(jí)管理人員驅(qū)動(dòng),。

　　2.涉及的幾個(gè)術(shù)語

　　1）安全策略/方針

　　安全策略不應(yīng)受技術(shù)和解決方案的約束

　　高級(jí)管理層制定的一份聲明

　　明確安全戰(zhàn)略和戰(zhàn)術(shù)價(jià)值。明確可承受的風(fēng)險(xiǎn)

　　規(guī)定安全在組織內(nèi)所扮演的角色

　　可以組織化策略為組織內(nèi)部未來提供范圍和方向,，說明愿意接受多大的風(fēng)險(xiǎn)

　　可針對(duì)性設(shè)置

　　必須列出目標(biāo)和任務(wù),，不得規(guī)定具體做法

　　方向性，戰(zhàn)略性的,，不具體怎么做

　　2）標(biāo)準(zhǔn)：一般指強(qiáng)制性的活動(dòng),、動(dòng)作或規(guī)則，為策略提供方向上的支持和實(shí)施,，是戰(zhàn)術(shù)目標(biāo)

　　對(duì)于強(qiáng)制性要達(dá)到的標(biāo)準(zhǔn)

　　3）基線

　　定義所需要的最低保護(hù)要求

　　組織還應(yīng)制定面向非技術(shù)的基線：例身份徽章,、參觀陪同

　　滿足方針/策略要求的最低級(jí)別的安全要求

　　基本要求

　　4）指南

　　在沒有應(yīng)用特定標(biāo)準(zhǔn)時(shí)向用戶、IT人員,、運(yùn)營人員及其他人員提供建議性動(dòng)作和操作

　　類似于標(biāo)準(zhǔn),，加強(qiáng)系統(tǒng)安全的方法，建議性的

　　建議性的最佳實(shí)踐方法

　　5）措施

　　為達(dá)到特定目標(biāo)應(yīng)執(zhí)行的詳細(xì)的,、分步驟的任務(wù)

　　說明如何將策略,、標(biāo)準(zhǔn)和指南應(yīng)用到實(shí)際操作中

　　采取的技術(shù)和管理手段

　　3.ISMS的具體過程

　　采用PDCA進(jìn)行管理：

　　計(jì)劃（Plan）——根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求,、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施,；

　　實(shí)施（Do）——實(shí)施所選的安全控制措施,；

　　檢查（Check）——依據(jù)策略、程序,、標(biāo)準(zhǔn)和法律法規(guī),，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查。

　　改進(jìn)（Action）——根據(jù)ISMS審核,、管理評(píng)審的結(jié)果及其他相關(guān)信息,，采取糾正和預(yù)防措施，實(shí)現(xiàn)ISMS的持繼改進(jìn),。

　　PDCA過程模式

　　策劃：依照組織整個(gè)方針和目標(biāo),，建立與控制風(fēng)險(xiǎn)、提高信息安全有關(guān)的安全方針,、目標(biāo),、指標(biāo)、過程和程序,。

　　實(shí)施：實(shí)施和運(yùn)作方針（過程和程序）,。

　　檢查：依據(jù)方針、目標(biāo)和實(shí)際經(jīng)驗(yàn)測(cè)量,，評(píng)估過程業(yè)績,，并向決策者報(bào)告結(jié)果。

　　措施：采取糾正和預(yù)防措施進(jìn)一步提高過程業(yè)績,。

　　四個(gè)步驟成為一個(gè)閉環(huán),，通過這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn)，使信息安全管理體系得到持續(xù)改進(jìn),，使信息安全績效(performance)螺旋上升,。

　　PDCA的應(yīng)用

　　P—建立信息安全管理體系環(huán)境&風(fēng)險(xiǎn)評(píng)估

　　要啟動(dòng)PDCA 循環(huán)，必須有“啟動(dòng)器”：提供必須的資源,、選擇風(fēng)險(xiǎn)管理方法,、確定評(píng)審方法、文件化實(shí)踐,。設(shè)計(jì)策劃階段就是為了確保正確建立信息安全管理體系的范圍和詳略程度,，識(shí)別并評(píng)估所有的信息安全風(fēng)險(xiǎn)，為這些風(fēng)險(xiǎn)制定適當(dāng)?shù)奶幚碛?jì)劃,。策劃階段的所有重要活動(dòng)都要被文件化,，以備將來追溯和控制更改情況。

　　1）確定范圍和方針

　　信息安全管理體系可以覆蓋組織的全部或者部分,。無論是全部還是部分,，組織都必須明確界定體系的范圍，如果體系僅涵蓋組織的一部分這就變得更重要了,。組織需要文件化信息安全管理體系的范圍,，信息安全管理體系范圍文件應(yīng)該涵蓋：

　　確立信息安全管理體系范圍和體系環(huán)境所需的過程,； 戰(zhàn)略性和組織化的信息安全管理環(huán)境； 組織的信息安全風(fēng)險(xiǎn)管理方法,； 信息安全風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)以及所要求的保證程度； 信息資產(chǎn)識(shí)別的范圍,。

　　信息安全管理體系也可能在其他信息安全管理體系的控制范圍內(nèi),。在這種情況下，上下級(jí)控制的關(guān)系有下列兩種可能：

　　下級(jí)信息安全管理體系不使用上級(jí)信息安全管理體系的控制：在這種情況下,，上級(jí)信息安全管理體系的控制不影響下級(jí)信息安全管理體系的PDCA 活動(dòng),； 下級(jí)信息安全管理體系使用上級(jí)信息安全管理體系的控制：在這種情況下，上級(jí)信息安全管理體系的控制可以被認(rèn)為是下級(jí)信息安全管理體系策劃活動(dòng)的“外部控制”,。盡管此類外部控制并不影響下級(jí)信息安全管理體系的實(shí)施,、檢查、措施活動(dòng),，但是下級(jí)信息安全管理體系仍然有責(zé)任確認(rèn)這些外部控制提供了充分的保護(hù),。 　安全方針是關(guān)于在一個(gè)組織內(nèi)，指導(dǎo)如何對(duì)信息資產(chǎn)進(jìn)行管理,、保護(hù)和分配的規(guī)則,、指示，是組織信息安全管理體系的基本法,。組織的信息安全方針,，描述信息安全在組織內(nèi)的重要性，表明管理層的承諾,，提出組織管理信息安全的方法,，為組織的信息安全管理提供方向和支持。

　　2）定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法

　　確定信息安全風(fēng)險(xiǎn)評(píng)估方法,，并確定風(fēng)險(xiǎn)等級(jí)準(zhǔn)則,。評(píng)估方法應(yīng)該和組織既定的信息安全管理體系范圍、信息安全需求,、法律法規(guī)要求相適應(yīng),，兼顧效果和效率。組織需要建立風(fēng)險(xiǎn)評(píng)估文件,，解釋所選擇的風(fēng)險(xiǎn)評(píng)估方法,、說明為什么該方法適合組織的安全要求和業(yè)務(wù)環(huán)境，介紹所采用的技術(shù)和工具,，以及使用這些技術(shù)和工具的原因,。評(píng)估文件還應(yīng)該規(guī)范下列評(píng)估細(xì)節(jié)：

　　a.信息安全管理體系內(nèi)資產(chǎn)的估價(jià)，包括所用的價(jià)值尺度信息,；

　　b. 威脅及薄弱點(diǎn)的識(shí)別,；

　　c.可能利用薄弱點(diǎn)的威脅的評(píng)估,，以及此類事故可能造成的影響；

　　d.以風(fēng)險(xiǎn)評(píng)估結(jié)果為基礎(chǔ)的風(fēng)險(xiǎn)計(jì)算,，以及剩余風(fēng)險(xiǎn)的識(shí)別,。

　　3）識(shí)別風(fēng)險(xiǎn)

　　識(shí)別信息安全管理體系控制范圍內(nèi)的信息資產(chǎn)；識(shí)別對(duì)這些資產(chǎn)的威脅,；識(shí)別可能被威脅利用的薄弱點(diǎn),；識(shí)別保密性、完整性和可用性丟失對(duì)這些資產(chǎn)的潛在影響,。

　　4）評(píng)估風(fēng)險(xiǎn)

　　根據(jù)資產(chǎn)保密性,、完整性或可用性丟失的潛在影響，評(píng)估由于安全失?。╢ailure）可能引起的商業(yè)影響,；根據(jù)與資產(chǎn)相關(guān)的主要威脅、薄弱點(diǎn)及其影響,，以及實(shí)施的控制,，評(píng)估此類失敗發(fā)生的現(xiàn)實(shí)可能性；根據(jù)既定的風(fēng)險(xiǎn)等級(jí)準(zhǔn)則,，確定風(fēng)險(xiǎn)等級(jí),。

　　5）識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法

　　對(duì)于所識(shí)別的信息安全風(fēng)險(xiǎn)，組織需要加以分析,，區(qū)別對(duì)待,。如果風(fēng)險(xiǎn)滿足組織的風(fēng)險(xiǎn)接受方針和準(zhǔn)則，那么就有意的,、客觀的接受風(fēng)險(xiǎn),；對(duì)于不可接受的風(fēng)險(xiǎn)組織可以考慮避免風(fēng)險(xiǎn)或者將轉(zhuǎn)移風(fēng)險(xiǎn)；對(duì)于不可避免也不可轉(zhuǎn)移的風(fēng)險(xiǎn)應(yīng)該采取適當(dāng)?shù)陌踩刂?，將其降低到可接受的水平?/span>

　　6）為風(fēng)險(xiǎn)的處理選擇控制目標(biāo)與控制方式

　　選擇并文件化控制目標(biāo)和控制方式,，以將風(fēng)險(xiǎn)降低到可接受的等級(jí)。不可能總是以可接受的費(fèi)用將風(fēng)險(xiǎn)降低到可接受的等級(jí),，那么需要確定是增加額外的控制,，還是接受高風(fēng)險(xiǎn)。在設(shè)定可接受的風(fēng)險(xiǎn)等級(jí)時(shí),，控制的強(qiáng)度和費(fèi)用應(yīng)該與事故的潛在費(fèi)用相比較,。這個(gè)階段還應(yīng)該策劃安全破壞或者違背的探測(cè)機(jī)制，進(jìn)而安排預(yù)防,、制止,、限制和恢復(fù)控制。在形式上,，組織可以通過設(shè)計(jì)風(fēng)險(xiǎn)處理計(jì)劃來完成步驟5 和6,。風(fēng)險(xiǎn)處理計(jì)劃是組織針對(duì)所識(shí)別的每一項(xiàng)不可接受風(fēng)險(xiǎn)建立的詳細(xì)處理方案和實(shí)施時(shí)間表,，是組織安全風(fēng)險(xiǎn)和控制措施的接口性文檔。風(fēng)險(xiǎn)處理計(jì)劃不僅可以指導(dǎo)后續(xù)的信息安全管理活動(dòng),，還可以作為與高層管理者,、上級(jí)領(lǐng)導(dǎo)機(jī)構(gòu)、合作伙伴或者員工進(jìn)行信息安全事宜溝通的橋梁,。這個(gè)計(jì)劃至少應(yīng)該為每一個(gè)信息安全風(fēng)險(xiǎn)闡明以下內(nèi)容：組織所選擇的處理方法,；已經(jīng)到位的控制；建議采取的額外措施,；建議的控制的實(shí)施時(shí)間框架。

　　7）獲得最高管理者的授權(quán)批準(zhǔn)

　　剩余風(fēng)險(xiǎn)(residual risks)的建議應(yīng)該獲得批準(zhǔn),，開始實(shí)施和運(yùn)作信息安全管理體系需要獲得最高管理者的授權(quán),。

　　D—實(shí)施并運(yùn)行

　　PDCA 循環(huán)中這個(gè)階段的任務(wù)是以適當(dāng)?shù)膬?yōu)先權(quán)進(jìn)行管理運(yùn)作，執(zhí)行所選擇的控制,，以管理策劃階段所識(shí)別的信息安全風(fēng)險(xiǎn),。對(duì)于那些被評(píng)估認(rèn)為是可接受的風(fēng)險(xiǎn)， 不需要采取進(jìn)一步的措施,。對(duì)于不可接受風(fēng)險(xiǎn),，需要實(shí)施所選擇的控制，這應(yīng)該與策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃同步進(jìn)行,。計(jì)劃的成功實(shí)施需要有一個(gè)有效的管理系統(tǒng),，其中要規(guī)定所選擇方法、分配職責(zé)和職責(zé)分離,，并且要依據(jù)規(guī)定的方式方法監(jiān)控這些活動(dòng),。

　　在不可接受的風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會(huì)有一部分剩余風(fēng)險(xiǎn),。應(yīng)對(duì)這部分風(fēng)險(xiǎn)進(jìn)行控制,，確保不期望的影響和破壞被快速識(shí)別并得到適當(dāng)管理。本階段還需要分配適當(dāng)?shù)馁Y源（人員,、時(shí)間和資金）運(yùn)行信息安全管理體系以及所有的安全控制,。這包括將所有已實(shí)施控制的文件化，以及信息安全管理體系文件的積極維護(hù),。

　　提高信息安全意識(shí)的目的就是產(chǎn)生適當(dāng)?shù)娘L(fēng)險(xiǎn)和安全文化,，保證意識(shí)和控制活動(dòng)的同步，還必須安排針對(duì)信息安全意識(shí)的培訓(xùn),，并檢查意識(shí)培訓(xùn)的效果,，以確保其持續(xù)有效和實(shí)時(shí)性。如有必要應(yīng)對(duì)相關(guān)方事實(shí)有針對(duì)性的安全培訓(xùn),，以支持組織的意識(shí)程序,，保證所有相關(guān)方能按照要求完成安全任務(wù),。本階段還應(yīng)該實(shí)施并保持策劃了的探測(cè)和響應(yīng)機(jī)制。

　　C—監(jiān)視并評(píng)審

　　檢查階段,，又叫學(xué)習(xí)階段,，是PDCA 循環(huán)的關(guān)鍵階段，是信息安全管理體系要分析運(yùn)行效果,，尋求改進(jìn)機(jī)會(huì)的階段,。如果發(fā)現(xiàn)一個(gè)控制措施不合理、不充分,，就要采取糾正措施,，以防止信息系統(tǒng)處于不可接受風(fēng)險(xiǎn)狀態(tài)。組織應(yīng)該通過多種方式檢查信息安全管理體系是否運(yùn)行良好,，并對(duì)其業(yè)績進(jìn)行監(jiān)視,，可能包括下列管理過程：

　　1）執(zhí)行程序和其他控制以快速檢測(cè)處理結(jié)果中的錯(cuò)誤；快速識(shí)別安全體系中失敗的和成功的破壞,；能使管理者確認(rèn)人工或自動(dòng)執(zhí)行的安全活動(dòng)達(dá)到預(yù)期的結(jié)果,；按照商業(yè)優(yōu)先權(quán)確定解決安全破壞所要采取的措施；接受其他組織和組織自身的安全經(jīng)驗(yàn),。

　　2）常規(guī)評(píng)審信息安全管理體系的有效性,；收集安全審核的結(jié)果、事故,、以及來自所有股東和其他相關(guān)方的建議和反饋,，定期對(duì)信息安全管理體系有效性進(jìn)行評(píng)審。

　　3）評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí),；注意組織,、技術(shù)、商業(yè)目標(biāo)和過程的內(nèi)部變化,，以及已識(shí)別的威脅和社會(huì)風(fēng)尚的外部變化,，定期評(píng)審剩余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)等級(jí)的合理性。

　　4）審核是執(zhí)行管理程序,、以確定規(guī)定的安全程序是否適當(dāng),、是否符合標(biāo)準(zhǔn)、以及是否按照預(yù)期的目的進(jìn)行工作,。審核的就是按照規(guī)定的周期（最多不超過一年）檢查信息安全管理體系的所有方面是否行之有效,。審核的依據(jù)包括BS 7799-2:2002標(biāo)準(zhǔn)和組織所發(fā)布的信息安全管理程序。應(yīng)該進(jìn)行充分的審核策劃,，以便審核任務(wù)能在審核期間內(nèi)按部就班的展開,。

　　評(píng)審

　　信息安全方針仍然是業(yè)務(wù)要求的正確反映； 正在遵循文件化的程序（信息安全管理體系范圍內(nèi)），并且能夠滿足其期望的目標(biāo),； 有適當(dāng)?shù)募夹g(shù)控制（例如防火墻,、實(shí)物訪問控制），被正確的配置,，且行之有效,； 剩余風(fēng)險(xiǎn)已被正確評(píng)估，并且是組織管理可以接受的,； 前期審核和評(píng)審所認(rèn)同的措施已經(jīng)被實(shí)施,；審核會(huì)包括對(duì)文件和記錄的抽樣檢查，以及口頭審核管理者和員工,。 正式評(píng)審：為確保范圍保持充分性,，以及信息安全管理體系過程的持續(xù)改進(jìn)得到識(shí)別和實(shí)施，組織應(yīng)定期對(duì)信息安全管理體系進(jìn)行正式的評(píng)審（最少一年評(píng)審一次）,。 記錄并報(bào)告能影響信息安全管理體系有效性或業(yè)績的所有活動(dòng),、事件。

　　A—改進(jìn)

　　經(jīng)過了策劃,、實(shí)施、檢查之后,，組織在措施階段必須對(duì)所策劃的方案給以結(jié)論,，是應(yīng)該繼續(xù)執(zhí)行，還是應(yīng)該放棄重新進(jìn)行新的策劃,？當(dāng)然該循環(huán)給管理體系帶來明顯的業(yè)績提升,，組織可以考慮是否將成果擴(kuò)大到其他的部門或領(lǐng)域，這就開始了新一輪的PDCA 循環(huán),。在這個(gè)過程中組織可能持續(xù)的進(jìn)行一下操作：

　　測(cè)量信息安全管理體系滿足安全方針和目標(biāo)方面的業(yè)績,。 識(shí)別信息安全管理體系的改進(jìn)，并有效實(shí)施,。 采取適當(dāng)?shù)募m正和預(yù)防措施,。 溝通結(jié)果及活動(dòng)，并與所有相關(guān)方磋商,。 必要時(shí)修訂信息安全管理體系,。 確保修訂達(dá)到預(yù)期的目標(biāo)。 　在這個(gè)階段需要注意的是,，很多看起來單純的,、孤立的事件，如果不及時(shí)處理就可能對(duì)整個(gè)組織產(chǎn)生影響,，所采取的措施不僅具有直接的效果,，還可能帶來深遠(yuǎn)的影響。組織需要把措施放在信息安全管理體系持續(xù)改進(jìn)的大背景下,，以長遠(yuǎn)的眼光來打算,，確保措施不僅致力于眼前的問題,，還要杜絕類似事故再發(fā)生或者降低其在放生的可能性。

　　不符合,、糾正措施和預(yù)防措施是本階段的重要概念,。

　　不符合：是指實(shí)施、維持并改進(jìn)所要求的一個(gè)或多個(gè)管理體系要素缺乏或者失效,，或者是在客觀證據(jù)基礎(chǔ)上,，信息安全管理體系符合安全方針以及達(dá)到組織安全目標(biāo)的能力存在很大不確定性的情況。

　　糾正措施：組織應(yīng)確定措施,，以消除信息安全管理體系實(shí)施,、運(yùn)作和使用過程中不符合的原因，防止再發(fā)生,。組織的糾正措施的文件化程序應(yīng)該規(guī)定以下方面的要求：

　　識(shí)別信息安全管理體系實(shí)施,、運(yùn)作過程中的不符合； 確定不符合的原因,； 評(píng)價(jià)確保不符合不再發(fā)生的措施要求,； 取定并實(shí)施所需的糾正措施； 記錄所采取措施的結(jié)果,； 評(píng)審所采取措施的有效性,。 　預(yù)防措施：組織應(yīng)確定措施，以消除潛在不符合的原因,，防止其發(fā)生,。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。預(yù)防措施的文件化程序應(yīng)該規(guī)定以下方面的要求：

　　識(shí)別潛在不符合及其原因,； 確定并實(shí)施所需的預(yù)防措施,； 記錄所采取措施的結(jié)果； 評(píng)審所采取的預(yù)防措施,； 識(shí)別已變化的風(fēng)險(xiǎn),，并確保對(duì)發(fā)生重大變化的風(fēng)險(xiǎn)予以關(guān)注。