了解信息安全管理体系的基本思路与控制措施

Q168

为便于信息安全管理体系的理解与应用，现结合ISO/IEC27001：2016、GB/T22080-2016/ISO/IEC27001：2013及GB/T22081-2016/ISO/IEC27002：2013的相关要求，进行管理基本思路的整理，并给出了标准附录的114项控制项导图，供参考。
1  信息也是资产，值得或需要保护以防范各种危害
所有类型的组织都会收集、处理、存储和传输各种形式的信息，如语音、文字等。信息的价值已经超越文字、数字和图像的本身。
在互联世界中，信息和相关过程、系统、网络及其操作、处理与保护活动中所涉及的人员都是资产，与其他重要的业务资产一样，对组织的业务至关重要。
资产易遭受故意和意外的威胁，且相关的过程、系统、网络和人员均有其固有的脆弱性（可以被一个或多个威胁利用的组织或资产的弱点）。业务过程和系统的变更或其他外部变更都有可能产生新的信息安全风险。
考虑到威胁利用脆弱性损害组织的途径多种多样，信息安全风险始终存在。
有效的信息安全通过防范威胁和脆弱性使组织得到保护来减少风险，从而降低对其资产的影响。

Q168

2  信息安全管理体系可以系统地管理信息安全
信息安全主要包括保持信息的保密性、完整性和可用性。
保密性即信息不能被未授权的个人、实体或者过程利用或知悉的特性；
完整性指准确和完备的特性；
可用性指根据授权实体的要求可访问和使用的特性。
信息安全单纯通过技术手段实现有一定的局限性，需要从系统全局的角度进行完善的管理，其中可通过GB/T22080-2016/ISO/IEC27001：2013实现信息安全的管理。
3  识别信息安全要求是第一步
确定信息安全要求是管理的出发点。安全要求一般有三个来源：
组织自身的风险点；
组织及其相关方的外部要求；
组织为支持自身运行，针对信息的操作、处理、存储、通信和归档而建立的原则、目的和业务要求等。

Q168

4  信息安全风险评估
结合组织的战略及内外部环境，发挥领导作用，通过建立的信息安全风险准则，进行系统的信息安全风险识别，并对识别出的风险进行分析评估，确定风险优先级别。
5  信息安全风险处置选项
在考虑风险评估结果的基础上，选择需要控制的适合的信息安全风险处置选项，确定所必需的所有控制。
6  选择和实施信息安全控制措施
将选择的所有控制与标准附录进行对照，并验证没有忽略必要的控制。控制措施可从标准给出的指标中选择，也可以特定设计。其中附录给出了14个安全控制、35个主要安全类别和114项控制措施。
制定适用性声明。
制定正式的信息安全风险处置计划，获得风险责任人对计划及对信息安全残余风险的接受的批准。
具体实施以上计划，包括对变更的管理、外包过程的管理等。

Q168

7  持续改进
利用风险管理过程、管理体系的方法进行监视、保持和改进与组织信息资产相关的安全控制措施的有效性，以实现持续改进。
8  适用性声明
应当制定一个适用性说明，包含必要的控制及其选择的合理性说明（无论该控制是否已实现），以及对GB/T22080-2016/ISO/IEC27001：2013标准附录A控制删减的合理性说明。
当然可以增加一些标准附录外的特定控制，此时可给出与标准可用条款的交叉应用，以支持业务伙伴或其他相关方查看。

Q168

9  信息的生命周期考虑
信息在不同的生命周期阶段，包括构思、规约、设计、开发、测试、实现、使用、维护，并最终退役和销毁中，其资产的价值和所面临的风险可能会发生变化，如上市公司的报表信息在发布前后面临的窃取或泄露所产生的危害是不同的。在每一阶段上应当考虑信息安全。
组织信息安全管理体系受到组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响，并随着时间的变化而发生变化。更重要的是信息安全管理体系是组织的过程和整体管理体系结构的一部分并集成在其中，并且在过程、信息系统和控制设计中需要考虑信息安全。即信息安全管理体系应于组织的需要相结合，以证实自己控制信息安全的能力，为组织和相关方提供信任。

Q168

billye18 发表于 2018-9-28 08:46
文件内容非常好，谢谢分享。

欢迎访问本版块，收集了不少资料吧