ISO27003信息安全管理体系实施指南

信息技术-安全技术信息安全管理体系实施指南(Informationtechnology—Securitytechniqes—Informationsecuritymanagementsystemimplementationguidance)（ISO/IECCD27003）-2-目录1范围52引用的文件.........................................................................53术语和定义.............................................................................54本标准的结构...........................................................................54.1总则54.2图表64.2.1图形符号...................................................................64.2.2部署与图表.................................................................84.3ISMS实施总图....................................................................84.4总说明...........................................................................94.4.1实施考虑事项...............................................................94.4.2中小企业(SME)的考虑事项....................................................105.3.1ISMS范围的概要...........................................................155.3.2角色和责任的定义..........................................................155.5获得管理者对实施ISMS的正式批准和承诺...........................................186定义ISMS范围和ISMS方针...............................................................216.1定义ISMS范围和ISMS方针的概要...................................................216.2定义组织的边界..................................................................246.3定义信息通信技术边界............................................................256.4定义物理边界....................................................................256.5完成ISMS范围边界...............................................................266.6开发ISMS方针...................................................................277进行业务分析..........................................................................297.1业务分析概要....................................................................29-3-前言ISO（国际标准化组织）和IEC(国际电工委员会)是专业的世界性标准发布者。ISO或IEC成员的国家，通过各自组织为处理特定技术活动领域所设立的技术委员会，参与开发国际标准。ISO和IEC技术委员会协调合作领域的共同利益。与ISO和IEC保持联系的其它国际组织（官方的或非官方的）也可参加有关工作。在信息技术领域，ISO和IEC已经设立了一个联合技术委员会，ISO/IECJTC1。国际标准遵照ISO/IEC导则第2部分的规则起草。ISO/IEC27003是由信息技术-安全技术SC27小组委员会ISO/IECJTC1技术委员会制定的。-4-引言本标准的目的是为基于ISO/IEC27001的信息安全管理体系（ISMS）提供实用指导。ISO/IEC27001在一个组织内为业务提供信息化管理。信息安全的目的在于：a）保护信息免受各种不同的威胁(例如：故障、信息与服务的损失、盗窃和间谍)；b）支持符合法律、法规和的安全要求；c）维护连续性；d）最小化损害；e）促进效率。本标准旨在支持信息安全管理的过程，确保相关利益方的信息资产(包括信息过程)满足该组织所定义的可接受的风险级别。本标准所描述的实施过程已经进行了设计，以提供：a）说明以一套基础方针、程序和控制措施所表示的组织的信息安全管理体系；b）持续改进的基础；c）基于业务目标、当前情况差距分析和风险分析的结果考虑时的协调框架。本标准不包括ISMS的运行或监视。ISMS的最终实施是一个有关技术层面和组织层面上的实施项目，那里，需要应用项目管理原理和方法论(见“ISO项目管理标准”)。采用ISMS是商业与公共管理组织(包括公司、公营机构和慈善团体等)的一项战略性决策。随着IT的使用和依赖性的增长，对实施ISMS的决定和承诺十分关键。-5-信息技术-安全技术信息安全管理体系实施指南1范围本国际标准依照ISO/IEC27001，为建立和实施信息安全管理体系提供实用指导。本文件描述ISMS的实施，聚焦于从最初批准ISMS在组织内实施到ISMS运行的开始，相当于ISMSPDCA周期的“P”和“D”阶段。本文件包括有关运行、监视、评审和改进设计活动的解释，虽然这些活动本身不在实施的范围。本标准适用于所有商业规模和类型的所有组织（例如，商业企业、政府机构、非赢利组织）。本标准旨在为依照ISO/IEC27001实施信息安全管理体系的组织使用，以及为安全专业人员提供指导。风险管理或测量等有关方面的主题覆盖于ISMS标准族的其它标准，并被适当引用。2引用的标准文件下列引用文件对于本文件的应用是必不可少的。凡是注有日期的引用文件，只是引用的版本。凡是不注有日期的引用文件，其最新版本（包括任何修改）适用于本标准。•ISO/IEC27001,信息安全管理体系-要求3术语和定义为了本文件的目的，以下的术语和定义适用于本标准：•ISO/IEC27001,信息安全管理体系–概述与词汇•ISO/IEC27001,信息安全管理体系-要求4本标准的结构4.1总则本文件描述信息安全管理体系的实施。实施是一个时间性的活动，而本文件描述为项目活动。实施项目分为多个不同阶段，而每一个阶段在本文中也是一个单独的条款。每一个ISMS实施阶段包含：•一个要达到的目标；•一个或多个为达到该阶段目标所必需的活动。活动描述按以下内容结构进行：-6-活动定义满足全部或部分该阶段目标所必需的特殊活动。输入描述每一个活动的开始点，例如现有形成文件的决定，或来自于其它ISMS实施活动的输出。实施指南提供更加详细的信息，以支持该实施阶段的目的和达到该阶段的目标。虽然组织的规模和ISMS范围的最终规模要影响活动的复杂性，但是每一个活动所必需的输出都是同样不依赖这些因素。输出描述该活动的结果或可交付的完成产品，例如文件。其它信息提供可能有助于达到该阶段目标的补充信息，例如对其它标准的引用文件或另外的SMEs指南。不是所有活动都有其它信息。整个项目应使用一个图表，图示各个不同的阶段及其输出。而每一个阶段也要有图表，以图示出该阶段内的各个不同工作块。ISMS的实施包括来自其它ISMS系列标准的支持。这些标准在适当时也可作为引用文件，并作为有用的输入在图表中进行描述。4.2图表4.2.1图形符号图1提供本文件后面的流程图所使用的图形符号。这些图形为实施ISMS提供很形象的指导和过程。-7-图1流程图图形在本国际标准中，流程图的图形排列是基于以下结构概念：•矩形框(无阴影的)：矩形框提供信息的说明。当执行任务需要超出本标准范围的信息时，以无填充的框图表示，如在图4.1中描述为“必须的信息”。这种必须的信息可以是其它标准引用文件，如ISO/IEC27002。•矩形框(有阴影的)：矩形框表示“形成文件的结果”。在矩形框，信息以灰色填充，并产生作为本标准的一部分的一个文件。•箭头框：箭头框表示活动或要执行的工作。•箭头框可先分成多个子任务/活动，然后以多个新的箭头框表示。所有箭头框的右底部都有一个数字，表示本标准的章节(在图1中，以“x.x”表示)。•项目流程是各种活动的顺序流动，并以多个箭头框表示。项目流程可并行地完成。•图中的箭头表示时间，并以从左到右的方向。箭头也指出某些活动应在下一个活动开始之前完成，或者可以并行地完成。-8-4.2.2部署与图表所有阶段都被指定为一个条款。首先，每一个条款都有说明该阶段及其主要活动的图表。然后，一个阶段内的每一个主要活动是该条款的一个子节。如果在一个活动中有许多主题，那么这些主题可作为多个子条款进行介绍，但不以图表说明。为了支持正文，也可以插入各种其它的图形或图表，但可不遵循如图1所述的图形符号。每一个阶段和活动在开始时都有目标，而其内容应支持该目标。另外的支持性信息，例如例子，应以附录提供。4.3ISMS实施总图图2图解ISO/IEC27003的范围。图2ISMS项目概要与每一阶段的结果在图2中，每一阶段的目标概要解释如下：•第5章“获得实施ISMS的正式批准”，其目标是：令定义实施ISMS的目标、信息安全需要和业务要求；令定义最初的ISMS范围；令创建业务框架与项目启动计划；令获得管理者对实施ISMS的正式批准和承诺。•第6章“定义详细的ISMS范围和ISMS方针”，其目标是：令定义ISMS的范围边界；令获得对ISMS方针的赞同。-9-•第7章“进行业务分析”，其目标是：令收集ISMS支持的相关要求；令收集当前ISMS范围内的信息安全状况；令创建信息资产清单。•第8章“进行风险评估”，其目标是：令识别风险评估方法；令识别、分析和评价信息安全风险；令识别风险处理选择方案；令选择控制目标和控制措施。•第9章“设计ISMS”，其目标是：令为基于风险处理选择方案的风险处理，而设计组织的安全；令为降低风险，结合ICT、物理安全和组织安全，而设计选择的控制目标与控制措施；令为建立ISMS，设计ISMS特殊的要求，包括监视和测量；令制定ISMS实施计划。•第10章“实施ISMS”，其目标是：令根据ISMS项目计划，实施已选择的控制措施和ISMS特殊的要求；令实施监视和测量；令创建ISMS程序和控制文件。4.4总说明4.4.1实施考虑事项实施的目标是达到符合ISO/IEC27001要求的持续改进的状态。信息安全是持续动态性变化的，需要进行设计以适应变化。每一个组织都受支配于内部变化和外部变化。由于业务过程、法规环境、任务、基础设施和组织可能发生变化，许多这些变化也影响信息安全。某些主要条件的变化也可能出现，例如，法律约定或合同约定、可用信息和通信技术都可能发生重大变化。为了达到组织的业务目标及其风险耐受度，管理和维护信息安全是必须的。不仅计划实施业务过程和引入具有商定的信息安全控制措施的新信息系统是重要的，而且计划其应如何运行和有规律地进行检查以确保其如期的有效性和适用性也是重要的。如果脆弱点或改进的机会被发现，则应采取控制措施，进行改进。过程应支持这些改进的计划和实施。当业务过程被终止，或者组分和/或信息系统被更换或关闭，必须考虑相关的信息安全问题，例如授权的取消或硬件的安全删除。为了应对信息安全需要例如管理过程、支持实施和认可更新需要，一个组织内的相关角色和责任识别于附录A中。附录A提供信息安全关键角色和责任的指导。-10-4.4.2中小企业(SME)的考虑事项本标准所述的实施项目可以是很复杂的，因为它或多或少涉及到整个组织。应该提出的是，在实际中，大组织实施ISMS比小组织更复杂。小组织没有很多角色，而且ISMS的边界十分清楚定义，信息资产的控制也更容易完成。本标准描述实施ISMS所需要的活动，特别是中型到大型的企业。较小的组织会发现本标准所提的活动可适用于他们，并可以进行简化。不管企业的规模如何，对于一个特定组织来说，复杂性和风险都是独特的，而特定的要求会驱动实施的指导。-11-5获得管理者对实施ISMS的批准5.1管理者对实施ISMS批准的概要在本阶段(即“获得管理者对实施ISMS的批准”)开始之前，最重要的是要明白什么是ISMS、ISMS的业务需求和当前与信息安全相关的组织内的角色与责任的列表。本阶段的预期输出是管理者对实施ISMS的批准和承诺。因此从此条款可提交包括一个业务框架和一个具有关键重要事件的建议草案。目标：•定义实施信息安全管理体系的目标、信息安全的需求和业务要求；•定义初始的ISMS范围；•创建业务框架和启动项目；•获得管理者对实施ISMS的批准和承诺。参见ISO/IEC27001：4.2.1a),b)-12-获得管理者对实施ISMS的批准5定义ISMS范围和ISMS方针6业务分析7风险评估8设计ISMS9实施ISMS10管理者批准实施ISMS定义目标要求和业务需求5.2定义初始的ISMS范围定义角色和责任5.25.3创建业务框架与面目启动5.4ISMS业务框架获得管理者对实施ISMS的正式批准和承诺5.5时间图3管理者对实施ISMS正式批准的概要ISO27000ISO27001ISO27004ISO27004ISO27002其它需求ISO27002ISO27002ISO27007ISO27001ISO27001ISO27005-13-5.2定义ISMS的目标、信息安全需求和业务要求活动定义实施ISMS的目标、信息安全需求和业务要求。输入按如下信息完成此项活动是很重要的：•达到企业的业务目标的途径；•了解现有管理体系。实施指南实施ISMS时，应考虑如下问题：•风险控制–ISMS如何更好的控制信息安全风险？•效率–ISMS如何提高处理信息安全的效率？•业务优势-ISMS如何创造业务优势？一些管理目标的实例包括：•促进业务连续性和灾难恢复•促进对事故的恢复力•法律/合同符合性/债务(例：SOX、DPA)•支持ISO9001、14001、20000和27001认证•有利于业务发展和定位•使风险和安全能够进行测量与度量•降低安全控制措施成本•保护资产的战略价值•促成“企业风险管理”(ERM)过程•建立一个达到保证健康的“控制环境与有效控制组件”上述目标带来的利益包括：•法律符合性–好的信息安全导致符合整个地区和地方法律；•合同符合性–好的信息安全改善符合合同的承诺；•行业标准符合性–将行业标准纳入信息安全流程和信息安全要求，以解决该标准的符合性；•效率–信息安全设计导致有效使用多个安全流程；•业务优势–实施信息安全可帮助取得更多新订单，并能够把信息安全计算到该成本中；•风险控制–信息安全获得适当解决，也就支持了管理风险；•信任-实施信息安全可使该组织获得更多业务环境方面的信任，如其能够更容易对其它管理组织(外部审核)作出反应、提高反应质量(信任)；•环境理解–关键的信息活动和保护该类型信息有助于处理继续发生的各种威胁。-14-因此，管理目标可能是上述的任何一个或多个，也可以是不同的。ISMS的基本需要应包括该组织所面临的有关信息安全方面的列入清单的更多考虑事项。组织需要解决的主题包括以下方面：内部影响和外部影响：•要求信息安全的相关法律➢什么法律与该组织有关？➢一个公众的全球性公司的组织部门需要财务外部报告吗?•有关由于缺乏信息安全而导致诉讼的合同或商业协议➢什么是存储要求？➢是否有任何秘密的或质量(例如：服务级别协议-SLA)合同要求？•有关需要信息安全的行业要求➢有什么特殊的行业要求适用于本组织？•有关需要信息安全的环境要求➢需要什么类型的保护并预防哪些威胁？户需要保护的信息群有哪些不同的类型?户需要保护的信息活动有哪些不同的类型?•敏感或有价值的信息需要信息安全➢什么信息属于组织的关键信息？➢如果这类信息被泄露给未授权方会产生什么后果(例如：失去竞争优势、损害组织的品牌/名誉等)？•竞争驱动➢要考虑信息安全市场最小的要求是什么？➢如果实施，什么是创建商业优势的另外的信息安全市场要求？•业务连续性要求➢对于关键业务流程中断，组织可以忍受多长时间？通过提出某些基本的设想，作为对上述问题的回答，就可以完成定义信息安全需求的活动目标和高层业务要求。这让该组织了解到他们能从执行ISMS得到什么。输出这个活动的结果或成果是：•总结ISMS的目标、信息安全需求和业务要求的简短文件。其它信息如果ISMS正在一个需要满足某些关键规章的要求的行业中实施，需要特别考虑补充信息，这包括符合标准、合同承诺和外部施加的政策或任何其它适用的参考文件。特别详细的有关如何识别和使用满足行业特殊需求的扩展控制措施在实施ISMS的“Plan”和“Do”阶段进行讨论。行业实施的例子也提供于附录中，以帮助本文件的用户更好地实施ISMS。-15-5.3定义初始的ISMS范围5.3.1ISMS范围的概要活动定义初始的ISMS范围。输入•ISMS实施目标、业务要求和信息安全要求的文件；•适用于本组织的规章、符合性和行业标准的概要。实施指南一个清晰的鉴于目标、业务要求和信息安全的文件为决定初始ISMS范围提供基本信息。为了获得管理者批准，初始的范围是需要的。当考虑范围和ISO/IEC27001的实施时，组织应首先识别已经作为其它管理体系标准的开发结果在整个组织实施了的共同要素。一旦各个不同管理体系的共同要素被识别，该组织就应该认可这些已经实施的不同管理体系的要素和ISO/IEC27001要求的新要素之间的差别，通过采取改编现有的要素或增加新的要素以符合ISO/IEC27001。如果组织已经实施其它遵照标准的管理体系，那么它应该考虑现有管理体系是否可以与ISMS结合成一体。作出这个决定所要考虑的一些事宜包括：•这些体系的责任是否在各个不同管理团队的领导之下(例如在不同的附属机构或不同的部门)？•产生和需要怎样的介绍材料(例如现有管理体系是以纸质文件形成的，而期望ISMS建立为超文本文件)？•现有管理体系的功能是否完全按预期进行运行与维护，并支持该组织的需要？现有管理体系和所提议的ISMS的共同要素应加以识别。如果所有体系都要进行整合，那么现有体系应进行改编或增补，以使其符合ISO/IEC27001。如果各个体系不进行结合，那么应考虑再使用公共要素。输出一个描述ISMS范围的高层观点，应考虑现有管理体系、规章、符合性和业务目标的文件。其它信息5.3.2条款角色和职责提供组织成功地实施ISMS所需要的角色和职责的细节。下一个条款将对此进行详细描述。5.3.2角色和责任的定义信息安全对整个组织具有特殊的重要性。这个ISMS的组织特性使指定组织内的特殊角色十分必要。适当的任务应分配给每一个角色，而这些角色应由具有这些技能的职员担任。这是确保所有重要方面都被考虑到和所有任务都得以有力地和有效地完成的唯一方法，。促进和实施ISMS所需要的组织结构称作信息安全委员会。处理信息安全的人员的数量、组织的结构和资源随组织的规模、类型和结构而变化。对于较小的组织，几个角色可能由同-16-一个人员担任。然而，首席信息安全官员总是被指定为负责信息安全的关键人。在信息安全管理角色的定义上，最重要的考虑是：•规定适当安全任务(因信息安全)的总责任保持在管理层。•至少指定一个人(通常是首席信息安全官员)进行促进和协调信息安全过程。•每一个员工都要在其工作场所和环境下，平等地负起其原任务的责任和维护信息安全的责任。以下是许多组织典型的主要角色，并在本文件中使用：角色负责高级管理者（如：COO、CEO、CSO和CFO）高级管理人员负责战略决策和协调活动，以指导和控制组织首席信息安全官首席信息安全官全面负责实施ISMS信息安全委员会（成员）委员会负责领导组织内实施ISMS信息安全规划小组（成员）规划小组负责实施ISMS活动。在实施ISMS期间，规划小组的工作跨越部门边界解决冲突和支持CISO（首席信息安全官）专家负责运营(执行)的专家们是一个组织的专业人士.应该按照他们对ISMS事件的想法访问这些专家,因为这涉及到其使用在特定的领域。这些专家应该按照他们对ISMS事件的专业知识被访问,因为它关系到所在的具体领域。外部顾问外部顾问能根据其对组织的宏观观点和行业经验提供实施ISMS活动的决定。但专家不可能有很深的商业和该组织的运行知识。雇员/职员/用户在其工作场所和环境下，每一个员工都要平等地负起维护信息安全的责任。首席审核员首席审核员负责设计如何评估和评价ISMS。流程负责人“流程负责人”是业务流程专家应用系统联系人。此人负责委派任务和处理已经被分配到该业务流程内的信息。ISMS范围所涉及的部门代表相关部门代表可以提供执行风险评估和实施控制措施的决定。其它相关方所需要的其它相关方是风险评估和控制措施的实施的负责人。例如过程负责人和应用系统专家。这些相关方应要特别地进行定义，以支持管理者对实施ISMS的批准过程。培训师培训师实施培训和宣传计划。表1主要的信息安全角色和责任为了在建立规划小组时获得正确的经验，本阶段应解决外部或内部需要的专业知识。为了获得一份合理的ISMS实施批准文件，通常的情况下需要与其它角色讨论。例如，为了准备-17-ISMS批准文件，关键流程的“流程负责人”可能是一个需要进行商讨的角色。此外，风险评估是在ISMS实施中执行。因此，为了识别、分析和评价风险，需要识别ISMS范围所包括的部门和这些部门的代表应加入到ISMS实施成员。因此，识别ISMS范围所包括的部门且这些部门的参与代表需要进行识别、分析和评价风险。这些部门不仅是ISMS范围所包括的直接单位，而且也包括间接部门，诸如法法律部门和行政部门。例如：为了实施包括一切的“管理”，需要人力资源部的代表。5.4创建业务框架与项目启动活动创建业务框架与初始项目计划。输入收集于管理批准文件中的作为一个以往活动结果的业务框架。实施指南业务框架与初始项目启动应包括已估算的时间计划和本标准第6章-第9章所述的主要活动所需要的资源。在本阶段的业务框架中，不可能很详细说明，因为许多因素仍然是未知的，所以应估计未来将执行的活动。这个文件作为项目基础，而且还确保管理者对ISMS实施所需要的资源的承诺和批准。实施ISMS的业务框架可以由以下主题组成：•高层目标；•特殊目标；•关键流程；•已经定义的角色和责任；•实施组织；•实施考虑事项；•假定的时间计划(可分开于各个阶段，如本标准所提出的)；•假定的成本框架；•已经定义的关键的成功因素。在管理者批准之后，应制定一个详细的项目计划，包括本标准第6章-9章所述的各个阶段的相关活动。第10章包含控制措施的实施。输出此活动的输出产生一个有关业务框架与初始项目启动的文件。其它信息下一个条款提供更多管理所需要的关键成功因素的细节。-18-5.5获得管理者对实施ISMS的正式批准和承诺活动获得管理者对实施ISMS的批准和承诺。输入此活动的输入为业务框架和项目启动，以及为获得管理者批准和在ISMS实施期间保持承诺而需要理解的事情。实施指南重要的是定义ISMS成功实施的关键因素，因为这是重要的准则，以增加到业务计划作为与管理者讨论的一部分。对于实施ISMS的决定，重要的是使实施人员认可这些ISMS成功实施所需要的关键因素。此章评审这些ISMS成功实施和了解ISMS的利益所需要的关键因素。在证明实施ISMS是正当决定的过程中，会产生涉及利益的有关的几个问题，管理这些问题及其结果涉及到这些关键的成功因素。实施ISMS关键的成功因素是：a.管理者承诺管理者承诺起始于组织决定实施ISMS的需要并继续使用ISMS以帮助管理和发展业务。管理者承诺常常取决于以业务术语所描述的ISMS目标，因此重要的是要能将信息安全目标转化成业务目标。这对管理有很大关系。成功的关键因素，表明管理层的承诺包括：•定期检查把ISMS成功实施与业务捆绑的行动计划；•管理者批准和监督ISMS实施；•为ISMS实施分配独立的预算；•创立该组织的关键相关方参加的“信息管理安全论坛”，并由流程负责人和管理者分担运作问题；•评审在可接受风险级别之下和管理者决定不采取任何措施时在可接受准则之上的残余风险。•充分的和具有技能的ISMS实施资源。b.管理方法管理方法是一个实施ISMS重要的和关键的成功因素。特别是组织应清楚理解角色、责任、相关方及其对法律要求的符合性、与ISMS实施的关系。此管理方法是指按照一套过程、方针、法律和去指导、管理或控制组织。它包括定义组织的目标、了解相关方及其与ISMS的关系。信息安全的任务和职责可概括为以下几点：•负责信息安全每一个组织的管理者都要负责与该组织目标保持一致的正确运转，他们也负责确保对其组织的内部与外部的信息安全。根据国家和组织的类型，可能有需要理解的各种规章和法律。管理者应明确地表明其负责任的承诺并解释信息安全对所有员工的重要性。-19-如果创建的ISMS是在整个组织的一部分，那么这个成功因素只适用于其所授权负责的领域。•结合信息安全在组织的所有业务活动中，包括有信息处理和使用信息技术的第三方约定，都应考虑信息安全和适当结合信息安全。这意味着，例如，当获得IT以及当设计业务流程和培训员工时，应考虑信息安全。•管理和维护信息安全管理者应确保信息安全(IS)任务的责任和权力合理地分配给具有适当知识的人员，并被所有IS相关工作的人员接受。这包括：➢开发、实施和维护IS策略；➢风险识别、风险评估和风险管理；➢提供充分资源以支持和管理IS工作。•建立可实现的目标在ISMS范围内，活动的目标应做出很好的规定，并应有文件说明与组织的主要目标的关系。重要的是应明确地描述这些安全目标如何支持完成主要目的和业务目标。这些关系应是可信任的，而由此进行的活动应是现实的和可实现的。•信息安全成本利益分析了解业务流程、资产和任务对信息处理的依赖性是必要的，这样可以选择适当的信息安全控制措施以及管理和维护ISMS的实施。•模范角色的作用在涉及到信息安全时，管理者应起模范带头作用。这要求管理者除其它事情外也要执行所有指定的安全规章和参与培训事宜。c.财务方面的考虑财务方面的考虑也被认为是实施ISMS关键的成功因素。特别是组织应有适当的机制以监控：•对ISMS实施和管理的投资回报；•不符合业务的安全策略或维护ISMS失败的成本。d.行业/部门特殊考虑实施ISMS关键的成功因素也应包括考虑特殊的行业(或部门)标准和与组织的业务相关的指导方针。重要的是要认可规章的环境和需要如何实施ISMS以支持业务运行。对于与部门特殊文件和ISMS标准族有关的另外信息可参考ISO/IEC27000。e.风险方面的考虑风险方面的考虑是一个关键的成功因素。ISMS范围内的风险信息和为把这些风险降低到可接受级别的适当控制措施应获得管理者同意和批准。在这个阶段，应注意评价信息安全风险如何与现有风险管理流程相比进行处理和可以达到的可能收获。-20-f.组织内合作和与其它组织合作组织内合作和跨组织合作对ISMS实施是一个重要的关键成功因素。特别以下事宜被评审和解决：•配合现有的安全方针、指南和指导书；•跨组织的联系和评估ISMS成功的方法；•满足相关方关注事宜所需要的安全要求。g.认可变更或更新的需要另一个重要的成功因素是认可ISMS需要变更或更新时的能力。h.利益相关方牵涉事宜如所定义的不同利益的相关方及其对成功的ISMS的观点应是要考虑的事宜。这些观点可以是：•有关信息安全业绩的报告(包括实施项目的结果)；•信息安全的成本；•得到的信息安全利益。进一步的利益相关方牵涉事宜应加以解决，因为他们的牵涉事宜可能在以下方面支持了实际的实施：•作为ISMS实施筹划指导委员会的一部分；•通过在其它运作活动提出信息安全的重要性，展示他们的兴趣。输出这个活动的输出和这个阶段的结果对其它文件是关键的。这是要接收形成文件的管理者对实施ISMS的正式批准和承诺。本章所述的关键的成功因素为成功实施ISMS提供了有关如何获得和保持管理者的支持以及需要考虑的事情方面的进一步细节。其它信息-21-6定义ISMS范围和ISMS方针6.1定义ISMS范围和ISMS方针的概要假定管理者已经批准和支持实施ISMS。图4展示ISMS范围和ISMS方针的定义概要。目标：•定义ISMS的范围边界；•获得对ISMS方针的同意。参见ISO/IEC27001：4.2.1a),b)-22-ISO27000ISO27001ISO27004ISO27004ISO27002其它需求ISO27002ISO27002ISO27001ISO27005ISO27001ISO27007获得管理者对实施ISMS的正式批准定义ISMS范围和ISMS方针业务分析风险评估设计ISMS实施ISMS管理者批准实施ISMSISMS范围ISMS方针定义组织的边界6.2定义信息通信技术边界6.3定义物理边界6.4完成ISMS范围边界6.5ISMS范围开发ISMS方针6.6ISMS-23-方针时间-24-图4ISMS范围和ISMS方针的定义概要为实现本阶段的目标，重要的是要获得可帮助设计该组织的信息安全管理体系及其边界和相关流程的支持性信息。1.为建立ISMS收集信息O分析该组织的业务以定义ISMS的范围和边界及其方针。从业务的观点，建立ISMS的支持性信息应在本阶段全程进行收集。信息应包括：•关键业务流程；•物理环境；•组织结构。2.定义ISMS的范围和边界O根据管理者的决定和上述分析所收集的信息定义ISMS的范围和边界。为了在组织内建立一个有效的管理体系，ISMS的适当范围应通过考虑指标性业务的关键信息资产而做出决定。为了确保关键业务领域被包含在这个范围之内，在识别信息资产和评估可行的安全机制方面建立一个共同术语表和系统框架也是重要的。共同框架能容易沟通并使一致的理解能够贯穿所有实施阶段。也可能定义整个企业作为ISMS的范围或业务部门的一部分作为ISMS的范围。正如为客户提供“服务”的情况，跨职能的管理体系(整个部门或部门的一部分)可以成为ISMS的范围，如同组织结构的一些部门的有关。在定义ISMS的范围时，重要的是要有一个完全的管理体系且其边界要足够清楚以进行逻辑解释。ISMS的范围和边界应合理地进行定义。实施ISMS的工作量取决于范围大小。这也可影响维护信息安全的所有活动，包括控制措施、管理运行和任务，例如识别信息资产和风险评估。被排除出ISMS范围的任何事情应加以解释。6.2定义组织的边界活动定义组织的业务的边界、组织和ISMS处理的资产事宜。输入•5.3活动的输出–管理者关于高层ISMS范围(例如整个组织、特殊区域、过程领域)的正式决定。实施指南定义组织的边界的一个方法是：识别在组织内不相重叠的责任范围，这些包含关键业务资产或受关键业务流程影响的责任范围被选择作为在ISMS控制下的该组织的区域。当采用这个方法时，需要考虑以下事宜：•参与ISMS管理论坛的各方都将受到影响；•负责ISMS的管理者应基本上是所有受责任影响范围的负责人(例如组织结构的上层)；•范围和边界需要进行定义，以确保所有相关的资产在风险评估中被考虑到并处理可能-25-通过这些边界产生的风险(见ISO/IEC27005)；•对于组织，范围应进行定义，以能够在该范围内现实ISMSPDCA循环。例如，一部分未管理的组织不适合这个范围。输出•ISMS组织边界的描述，包括部分组织被排除出ISMS范围的任何正当理由；•组织的功能和结构；•通过边界的信息资产和信息交换；•范围之内和范围之外的信息资产的业务流程和责任。其它信息6.3定义信息通信技术边界活动定义ISMS所包含的信息与通信技术和其它技术的边界。输入•5.3活动的输出–管理者关于高层ISMS范围(例如：在组织的控制之下的所有ICT，支持特殊业务或过程的部分ICT)的正式决定。实施指南ICT边界的定义可以通过信息系统(不是IT系统)方法进行识别。处理或传输关键业务信息资产的所有信息系统或关键的信息系统都应归入ISMS范围。以下事宜是应该考虑的：•信息系统可以跨越应进行结合与沟通的组织的边界；•当信息系统跨越该组织的边界或国家边界时，应考虑以下事宜：O社会文化环境；O适用于该组织的法律、法规和合同要求；O关键责任的说明；O技术约束(例如：可用的带宽和服务的可用性等)。输出•ISMS的ICT边界的描述，包括在该组织管理下的ICT被排除出ISMS范围的任何正当性理由。•范围之内的和范围之外的信息系统和电信网络的描述。其它信息6.4定义物理边界活动定义ISMS所包含的场所方面的物理边界。输入-26-•5.3活动的输出–管理者关于高层ISMS范围(例如在组织的控制之下的所有场所，支持特殊业务或过程的部分场所)的正式决定。实施指南物理边界的定义包括识别应属于ISMS范围的组织内的建筑物、场所或设施。处理跨越物理边界的信息系统是很复杂的，这需要：O移动访问；O远程设施；O签署第三方服务；O无线网路。这些问题应通过定义适当的界面和服务层次加以解决。输出•ISMS物理边界的描述包括在该组织管理下的物理边界被排除出ISMS范围的任何正当性理由。•范围之内的和范围之外的组织及其地理特征的描述。其它信息6.5完成ISMS范围边界活动编写ISMS范围和边界文件。输入•5.3活动的输出–管理者关于高层ISMS范围的正式决定。•6.2活动的输出-组织边界的定义;•6.3活动的输出-ICT边界的定义;•6.4活动的输出–物理边界的定义。实施指南在定义ISMS范围的时候，这些范围和边界可以以许多方法合并在一起。例如：物理场所(如建筑物、数据中心或办公室)和这个物理场所的关键流程应并入该范围内。信息系统的移动访问就是一个例子。输出•描述ISMS范围和边界的文件，包括以下信息：O组织的业务特性(业务、服务、资产和每一个资产的责任范围和边界等的说明书)；O关键业务流程列表；O组织的功能和结构文件；-27-O场所和楼层位置图；O设备和网络的配置；O资产列表；O任何排除出ISMS范围的正当性理由的详细说明。其它信息6.6开发ISMS方针活动开发初始的ISMS方针。为了为组织提供信息安全管理的基本观念，ISMS方针是必须的。方针文件也提供一个意图声明，指出组织承担信息安全要求的责任。输入•5.4活动的输出–业务要求和信息安全需求；•5.4活动的输出–实施ISMS的目标；•5.4活动的输出-ISMS实施的项目计划(包括各个重要事件，如执行风险评估、实施、内部审核和管理评审)。实施指南定义ISMS方针的过程如下：a.建立基于组织的业务要求和信息安全需求的ISMS目标。b.建立为实现ISMS目标的一般焦点和指南；c.考虑业务要求、法律法规要求和合同安全义务；d.准备组织和风险管理的环境；e.建立评价风险和定义风险评估结构的准则；f.阐明高层管理者的责任，以确保信息安全管理的需要；g.获得管理者支持。从初始阶段到管理者批准所开发的ISMS方针应能反映ISMS流程(如风险评估)的结果。输出•管理核准的初始的ISMS方针包含以下内容：OISMS目标和组织对ISMS的指示；O有关信息安全的总方向和原则；O风险评估考虑的组织的环境和项目；O风险管理的风险结构评估准则；O业务要求；-28-O法律或法规要求；O合同安全义务。其它信息-29-7进行业务分析7.1业务分析概要假定管理层批准实施ISMS，并定义了ISMS的范围和ISMS的方针。目标：•收集ISMS支持的相关需求；•收集当前ISMS范围内的信息安全状况•创建信息资产清单。参考ISO/IEC27001-30-ISO27000ISO27001ISO27004ISO27004ISO27002其它需求ISO27002ISO27002ISO27001ISO27005ISO27001ISO27007获得管理者对实施ISMS的正式批准定义ISMS范围和ISMS方针业务分析风险评估设计ISMS实施ISMS管理者批准实施ISMS实施ISMS方针信息安全评估结果实施ISMS范围信息资产清单定义支持ISMS的信息安全要求7.2创建信息资产清单7.3信息资产清单产生信息安全评估7.4信息安全评估结果时间-31-图5：业务分析阶段的概要通过业务分析阶段所收集的信息应包括：a.为管理者提供一个起(开始)点(即正确的基本数据)；b.识别并记录实施的条件；c.提供一个清晰的并确认理解的组织设施。d.考虑组织的特殊环境及形势；e.识别信息保护最适宜的级别；f.在所定义的实施范围内，确定支持企业所需要的全部或部分信息。业务分析可以在一个选定的部门范围内进行，但至少应在所提议的信息安全管理体系所定义的范围内进行。7.2定义支持ISMS的信息安全要求活动建立ISMS信息安全要求。输入•6.5活动的输出–ISMS的范围和边界；•6.6活动的输出–ISMS方针；•5.4活动的输出-业务要求和信息安全需要；•5.4活动的输出–实施ISMS的目标；•ISO/IEC27001；•ISO/IEC27002。实施指南从建立ISMS的业务观点，分析组织的业务情况和收集支持信息。ISMS的支持性信息应在业务分析阶段的第一步进行收集。对于每一个业务流程和特殊任务，需要根据信息重要性(比如：需要保护的级别)而做出决定。许多内部因素都可能影响信息安全，这些内部因素应加以识别。在此阶段的初，详细描述信息技术不是重要的。对于业务流程和相关的IT应用及系统，应有一个所分析的信息的基本概要。业务流程的分析阐述了信息安全事故对业务活动的影响。在许多情况下，描述一个很基本的业务流程就足够了。为了阐明ISMS信息安全要求，应回答以下问题：a.识别组织的主要流程和功能；b.识别重要的信息资产及其在保密性、完整性和可用性方面的保护；c.确认组织的信息安全目标，并识别所确认的目标对未来信息处理要求的影响；d.了解和发现当前信息处理、应用系统、通信网络、活动场所和IT资源等的形势；e.识别所有基本要求(例如法律法规要求、合同义务、业务要求、行业标准、客户和供应商协议，保险条件等)。-32-输出本流程产生的一些中间材料应包括：•主要流程、功能、场所、信息系统和通信网络的鉴别；•组织的信息资产；•关键流程/资产分类；•组织对保密性、完整性和可用性的要求；•组织对法律法规、合同、业务的要求；•任何已知的组织脆弱点。其它信息7.3创建信息资产清单活动建立信息安全管理体系所支持的资产清单。输入•6.5活动的输出–ISMS的范围和边界；•6.6活动的输出–ISMS方针；•7.2活动的输出-信息安全要求。实施指南为了创建资产清单，有几种可供选择的方法。一种方法是遵循信息分类方案；如果使用这种方法，处理、操作或传输具有某个类别的信息的资产，可以被插入到资产表中。另一个供选择的方法是把相关的业务流程分解成组件和业务流程关键资产，并由相关组件产生资产表。如果业务流程具有一定的复杂性，那么分解业务流程可能是一个很艰难的任务。应包括以下方面的信息：a.流程的唯一名称；b.流程描述；c.流程的关键性(关键的、重要的和支持性的)；d.流程责任人(业务单位)；e.提供各个流程的输入和本流程的输出；f.IT应用支持的流程；g.流程内信息及其：•分类(保密性、完整性、可用性和/或其它重要特性，例如信息可以保存多长时间等)；•流程内处理活动(创建、存储、处理、传输和删除)与支持系统处理的信息。输出-33-•组织的主要流程的描述；•组织的主要流程的信息资产清单；•主要流程/资产分类。其它信息-34-信息安全评估的结果持管理体系(以方针和指行动计划进行处理。所有信息安全评估应由不信息安全评估的参与了能广泛代表组织，这概要安全工作的重要部分。信。信息安全相关知识的个7.4产生信息安全评估活动确立组织的信息安全状况，对比想达到的业务目标，从而导致信息安全评估。输入•6.5活动的输出–ISMS的范围和边界；•6.6活动的输出–ISMS方针；•7.2活动的输出-信息安全要求；•7.3活动的输出-信息资产清单；•ISO/IEC27001；•ISO/IEC27002。实施指南为了保护组织业务的连续性，本阶段的下一个步骤称为信息安全评估，识别现有的信息安全等级(即：组织当前的信息保护程序)。a)生产线管理人员（以前面第5、6章定义为准）(例如业务单位的领导)；b)流程责任人(代表重要的业务领域)；依据关键流程/信息资产的分类分析业务的实际状况图6信息安全评估流程与结果加之组织的目标，常常是激励未来信息息安全评估的基本目的是提供信息支保确认出的脆弱点能通过一个优先分析/讨论当前本组南的形式)所需要的描述。必须确织的信息安全状况相关方都应熟悉业务分析的结果、标准文件和访问适当的管理人员。组织对信息的保密受组织约束的内部资源或外部资源执行性、完整性和适用性者应具有丰富的了解当前环境、条件和脆弱性文件（处理脆弱性的优先级）人。为的需求些参与人员应进行挑选，并包括：组织当前信息安全实际状况与信息安全目标的差距分析-35-c)其它具有丰富的了解当前环境、条件和信息安全相关知识的个人。为了成功地执行信息安全评估，重要的是：a)识别和列出组织的相关标准和标准化文件(例如ISO/IEC27002)；b)识别来自方针的已知控制要求、法律法规要求、合同义务、过去的审核发现或过去执行的风险评估发现；c)使用上述这些作为参考文件，可以粗略评估组织当前的有关信息安全等级。应该考虑业务分析所做出的优先顺序组成安全预防和检查的基础。执行信息安全评估的方法如下：a）选择重要的流程和流程涉及需求类型(可用性、完整性和保密性)的步骤。b）创建一个综合流程图涵盖组织的主要流程，包括基础设施(逻辑的和技术的)，如果这在业务分析中尚未提出或执行。c）组织中合适的关键人物以小组讨论的方式分析。d）就要求的类型(可用性、完整性和保密性)，讨论和分析组织当前的状况。哪些流程是关键的，他们当前的工作对可用性、完整性和保密性起怎样作用？(其结果用于后面的风险评估)e）通过将现有的控制措施与前面确认的控制要求进行比较，确定控制脆弱点。f）完成以上流程，并编写成文件。输出•组织目前的信息安全状况和风险评价文件；•经过组织评估与评价的脆弱性文件。其它信息-36-8进行风险评估8.1风险评估概要假定管理层已经批准实施ISMS，并定义了ISMS的范围和方针，经过业务分析已获得信息资产及信息安全评估结果。图7是风险评估阶段的概要。-37-ISO27000ISO27004ISO27004ISO27002ISO27001ISO27002ISO27002ISO27001其它需求ISO27005ISO27001ISO27007获得管理者对实施ISMS的正式批准5定义ISMS范围和ISMS方针6业务分析7风险评估8设计ISMS9实施ISMS10管理者批准实施ISMS实施ISMS方针实施ISMS范围信息安全评估结果信息资产清单风险处理计划和选择风险控制措施风险评估描述报告风险评估报告风险评估描述8.2进行风险评估8.3风险处理计划和选择控制措施8.4风险评风险估描述评估报告报告确认风险处理方案8.4.2选择控制目标和控制措施8.4.3-38-风险处理计划和选择风险控制措施时间-39-8.2风险评估描述图7风险评估阶段的概要活动通过识别适用于ISMS的风险评估方法和已确定的信息安全要求，确认组织的风险评估方法。输入•6.5活动的输出–ISMS的范围和边界；•7.2活动的输出–信息安全要求；•ISO/IEC27001；•ISO/IEC27005。实施指南风险评估方法定义步骤。组织的ISMS范围之内所有操作的业务风险都要进行确认。风险评估方法应通过以下考虑事项进行确认。•组织的ISMS范围和边界；•法律法规要求、合同义务、组织的业务要求。风险评估方法是每一个信息安全管理体系的主要部分，为了确定风险，关键威胁应根据潜在影响、系统发生事件的可能性及其频率进行确认。风险评估方法有很大变化，取决于应用、组织的边界条件、组织的类型和所期望的信息安全级别。信息安全管理应选择适于组织的类型和规模的方法。有关更深一层的ISMS风险评估指南可参考ISO/IEC27005。输出•风险评估范围；•已批准的风险评估方法，包括：•风险评估方法的描述；•风险评估(风险识别和风险评价)；•风险评价；•风险处