信息安全管理體系(ISMS)

信息安全管理體系是組織整體管理體系的一個部分，是基于風(fēng)險評估、建立、實施、運(yùn)行、監(jiān)視、評審、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動。企業(yè)建立實施信息安全管理體系能助力企業(yè)的信息安全管理科學(xué)化，有效地對信息資源形成保護(hù)，促使信息化進(jìn)程有序健康可持續(xù)地發(fā)展。

企業(yè)通過信息安全管理體系，可以幫助企業(yè)：

·加強(qiáng)信息資產(chǎn)的安全性、保障業(yè)務(wù)持續(xù)性與緊急恢復(fù)；

·強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；

·減少可能潛在的風(fēng)險隱患，減少信息系統(tǒng)故障、人員流失帶來的經(jīng)濟(jì)損失；

·維護(hù)企業(yè)聲譽(yù)、品牌和客戶信任，維持競爭優(yōu)勢；

·滿足客戶和法律法規(guī)要求。

建立實施信息安全管理體系路徑

企業(yè)根據(jù)GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求建立實施信息安全管理體系（以下簡稱ISMS），主要包括六個階段：

·項目啟動

·ISMS現(xiàn)狀評估

·信息安全風(fēng)險管理

·ISMS體系文件編寫

·ISMS體系運(yùn)行

·體系認(rèn)證審核

各階段的具體工作內(nèi)容和成果見下表：

工作階段

具體工作內(nèi)容

成果說明

項目啟動

訪談?wù){(diào)研及基本資料收集

明確調(diào)研內(nèi)容，組織訪談?wù){(diào)研；進(jìn)行基本資料收集

企業(yè)關(guān)于ISMS的基本資料收集

信息安全管理體系基本知識及標(biāo)準(zhǔn)培訓(xùn)

準(zhǔn)備培訓(xùn)內(nèi)容并進(jìn)行培訓(xùn)，培訓(xùn)內(nèi)容包括信息安全管理體系的基本知識及標(biāo)準(zhǔn)解讀

現(xiàn)狀評估

ISMS現(xiàn)有文件分析

分析企業(yè)現(xiàn)有文件哪些包含在ISMS內(nèi)

確定ISMS體系管理范圍

確定信息安全方面的基本管理目標(biāo)

確定ISMS體系初步框架

資料收集、整理，企業(yè)信息安全管理現(xiàn)狀分析

設(shè)計的管理范圍：分析企業(yè)的基本信息安全要求，包括企業(yè)內(nèi)外部環(huán)境、相關(guān)方需求和期望等；

分析企業(yè)現(xiàn)狀與ISMS的差距。

體系文件規(guī)劃

規(guī)劃ISMS體系文件的框架

信息安全風(fēng)險管理

確定風(fēng)險評估程序

明確風(fēng)險評估的方法和過程

資產(chǎn)清冊

企業(yè)各類資產(chǎn)，包括法人資產(chǎn)、物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)等；

風(fēng)險評估報告

通過風(fēng)險評估：識別資產(chǎn)的重要性、識別資產(chǎn)面臨的威脅、識別威脅的脆弱性、分析已有控制措施的有效性、分析信息資產(chǎn)的暴露等級、評估風(fēng)險的發(fā)生容易，依次確定風(fēng)險值及風(fēng)險等級，形成風(fēng)險評估報告。

風(fēng)險處置計劃

針對風(fēng)險等級的不同，采取不同的處置措施，并形成風(fēng)險處置計劃。

信息資產(chǎn)識別與統(tǒng)計

識別企業(yè)的各類信息資產(chǎn)

威脅脆弱性識別與評估

針對以識別的信息資產(chǎn)進(jìn)行威脅脆弱性識別與評估

完成風(fēng)險評估報告

根據(jù)風(fēng)險評估的過程和結(jié)果完成風(fēng)險評估報告。

風(fēng)險處置

確定風(fēng)險處置程序；

制定風(fēng)險處置計劃。

ISMS體系文件編寫

ISMS體系文件編寫

編寫ISMS體系文件，主要包括方針目標(biāo)、手冊、體系職責(zé)、實用性聲明、相關(guān)程序文件等。

本階段主要是完成體系文件，體系文件分三級，體系文件的樣本（僅作為參考，不同企業(yè)根據(jù)本企業(yè)的實際情況，二級、三級文件可能會有差別）

ISMS體系文件評審與定稿

組織體系文件的內(nèi)部評審；

根據(jù)評審意見進(jìn)行修改完善。

ISMS體系文件發(fā)布

組織體系文件的發(fā)布

ISMS體系運(yùn)行

ISMS內(nèi)部審核

制定內(nèi)審方案、計劃，組織內(nèi)審員培訓(xùn)；

開展內(nèi)審；

根據(jù)內(nèi)審情況進(jìn)行整改并編制內(nèi)審報告。

運(yùn)行過程的記錄表單

內(nèi)審文件資料

管理評審文件資料

ISMS管理評審

制定管理評審方案、計劃；

開展管理評審。

ISMS持續(xù)改進(jìn)

針對體系運(yùn)行過程中發(fā)現(xiàn)的問題制定相關(guān)改進(jìn)措施

體系認(rèn)證

審核準(zhǔn)備

提前準(zhǔn)備審核需要的相關(guān)資料。

通過ISMS認(rèn)證后能獲得證書

一階段審核

接受審核，并及時進(jìn)行不符合整改

二階段審核

不符合項應(yīng)答和糾正措施

信息安全管理體系的三級文件

一級文件

·信息安全方針與目標(biāo)；

·信息安全管理手冊；

·適用性聲明；

·信息安全組織與職責(zé)。

二級文件

·信息文件與記錄控制程序資產(chǎn)管理程序；

·風(fēng)險評估管理程序通訊與操作管理程序；

·網(wǎng)絡(luò)安全防護(hù)作業(yè)程序訪問控制管理程序；

·人力資源管理控制程序信息安全法律法規(guī)控制程序；

·信息安全事故管理程序信息交流與溝通控制程序；

·信息物理與環(huán)境安全管理程序信息系統(tǒng)獲取、開發(fā)與維護(hù)程序；

·內(nèi)部審核管理程序管理評審控制程序；

·糾正及預(yù)防措施處理程序監(jiān)視及測量控制程序；

·業(yè)務(wù)持續(xù)性管理程序。

三級文件

·開發(fā)安全作業(yè)辦法信息安全獎勵、懲戒管理規(guī)定；

·IT設(shè)備安全管理辦法災(zāi)害復(fù)原演練計劃；

·信息系統(tǒng)操作手冊保密管理辦法；

·備份介質(zhì)定期檢查和測試記錄計算機(jī)硬件管理維護(hù)表；

·文件發(fā)放登記表文件更改申請單；

·資產(chǎn)清冊風(fēng)險評估表；

·風(fēng)險處理計劃表服務(wù)器賬號/軟硬件異動申請單；

·信息系統(tǒng)角色訪問權(quán)限表信息安全薄弱點(diǎn)報告；

·信息安全獎勵、懲戒記錄保密承諾書；

·保密協(xié)議書對外交流與合作保密協(xié)議書；

·員工離職交接單員工離職申請；

·員工入職登記表信息安全糾正及預(yù)防措施處理表；

·信息安全糾正及預(yù)防措施執(zhí)行追蹤表內(nèi)部審核檢查清單；

·內(nèi)部審核報告內(nèi)部審核計劃；

·信息安全事件通報單災(zāi)害回復(fù)計劃表；

·緊急事故對應(yīng)生產(chǎn)持續(xù)性管理總體方案。

總結(jié)

組織建立和實施ISMS是一個相對的、動態(tài)的持續(xù)過程，組織應(yīng)不斷改進(jìn)自身的信息安全狀態(tài)，調(diào)整ISMS體系文件及控制措施，將信息安全風(fēng)險控制在組織可接受的范圍之內(nèi)，從而獲得組織現(xiàn)有條件下和資源能力范圍內(nèi)最大程度的安全。