ISMS信息安全组织管理框架.doc

ISMS信息安全组织管理框架1.1 信息安全基础结构目标：在组织内部管理信息安全。应建立管理框架，在组织内部开展和控制信息安全的实施。应该建立具有管理权的适当的信息安全管理委员会来批准信息安全方针、分配安全职责并协调组织内部信息安全的实施。如有必要，应在组织内建立提供信息安全建议的专家小组并使其有效。应建立和组织外部安全专家的联系，以跟踪行业趋势，监督安全标准和评估方法，并在处理安全事故时提供适当的联络渠道。另外应鼓励多学科的信息安全方法的发展，如：经理人、用户、行政人员、应用软件设计者、审核人员和保安人员以及行业专家（如保险和风险管理领域）之间的协作。1. 信息安全管理委员会信息安全是管理团队中所有成员共同的职务责任。因此应考虑建立信息安全委员会以确保为信息安全的启动工作提供明确的指导和明显的管理支持。该委员会应该在组织内部通过适当的承诺和提供充足的资源来促进安全工作。信息安全管理委员会可以作为现有管理团体的一部分，所承担的职责主要有：评审和批准信息安全方针和总体职责；监督信息资产面临重大威胁时所暴露出的重大变化；评审和监督信息安全事故；批准加强信息安全的主动行为。应有一名经理负责和安全有关的所有行为。2. 信息安全的协作问题在较大的组织内部，有必要成立由各相关部门的管理代表组成的跨部门的信息安全委员会，以合作实施信息安全的控制措施。它的主要功能有： 批准组织内关于信息安全的具体任务和责任； 批准信息安全方面的具体方法和程序，如风险评估、安全分类系统； 批准和支持全组织范围的信息安全问题的提议，如安全意识培训； 确保安全问题是信息设计过程的一部分； 评估新系统或服务在信息安全控制实施方面的充分程度和协作情况； 评审信息安全事故； 提高全组织对信息安全的支持程度。3. 信息安全责任分配保护单独的资产和实施具体的安全过程的职责应该给予明确定义。信息安全方针（见上述条款）应该为组织内部信息安全任务和责任的分配提供总体的指导。必要时，针对具体的地点、系统和服务，应对此方针作更详细的补充。对由各项有形资产和信息资产以及安全程序所在方承担的责任，如可持续运营计划，应清晰定义。在许多组织中，会任命一名信息安全经理来负责信息安全工作的开展和实施，并支持控制措施的鉴别工作。然而，分配资源和实施控制措施的责任一般由各部门经理承担。通常的做法是为每项信息资产指定专人来负责日常的安全工作。信息资产的负责人可以把安全职责委托给各部门的经理或服务提供商。然而，信息资产负责人对资产的安全负有最终的责任，并应有权确定责任人是否恰当的履行了职责。对各个经理所负责的安全领域的清晰描述是很重要的，特别应进行以下工作：和各个系统相关的各种资产和安全过程应给予识别和明确的定义。各项资产或安全过程的管理者责任应经过审批，并以文件的形式详细记录该职责。授权级别应清晰定义并记录在案。4. 信息处理设备的授权程序对于新的信息处理设备应建立管理授权程序，应考虑以下控制措施：新设备应有适当的用户管理审批制度，对用户的使用目的和使用情况进行授权。同样应得到负责维护本地信息系统安全环境的经理的批准，以确保满足所有相关的安全方针和要求。如有必要，应检查硬件和软件，以确保与其他系统部件兼容（注：对于有些连接，类型兼容也是必须的）。使用个人信息处理设备来处理商业信息以及任何必要的控制措施应经授权。在工作场所使用个人信息处理设备可能导致新的脆弱性，因此应经评估和授权。上述控制措施在联网的环境中尤为重要。5. 信息安全专家建议许多组织可能需要安全专家的建议，这最好由组织内富有经验的信息安全顾问来提供。并非所有的组织都愿意雇用专家顾问。因此，建议组织专门指定一个人来协调组织中的知识和经验，以确保一致性，并帮助做出安全决议。同时他们还应和合适的外部顾问保持联系，以提供自身经验之外的专家建议。信息安全顾问或等同的联络人员的任务应该是使用他们自己的和外部的建议，为信息安全的所有方面提供咨询。他们对安全威胁的评估质量和对控制措施的建议水平决定了组织的信息安全的有效性。为使其建议最大程度的发挥作用，他们应有权接触组织管理层的各个方面。若怀疑出现安全事件或破坏，应尽早的咨询信息安全顾问和相应的外部联络人员，以获得专业指导和调查资源。尽管多数的内部安全调查通常是在管理层的控制下进行的，但仍可以邀请安全顾问给出建议，领导或实施调查。6. 组织间的合作为确保在发生安全事故时能最快的采取适当措施和获得指导建议，各个组织应和执法机关、管理机构、信息服务提供机构以及电信营运部门保持适当的联系。同样也应考虑成为安全组织和行业论坛的成员。安全信息的交流应该加以限制，以确保组织的秘密信息不会泄漏到未经授权的人员手中。7. 信息安全审核的独立性信息安全方针条例制定出了信息安全的方针和职能。实施情况的审核工作应该独立进行，来确保组织规范能够很好的反映安全方针，并且是可行的和有效的。审核工作应由组织内部的审核职能部门、独立经理人或精通于此种审核工作的第三方组织来实施，只要审核人员掌握了相应的技术和经验。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”1.2 第三方访问安全管理目标：保证第三方访问组织的信息处理设备和信息资产时的安全性。第三方访问组织内部的信息处理设备的权限应该受到控制。若有业务上需要第三方的访问，应对此做出风险评估来确定访问可能带来的安全后后果和对访问进行的控制需求。控制措施应经双方同意，并在合同中进行明确定义。第三方访问还会涉及其他参与者。授予第三方访问权的合同应该涵盖对合法的参与者任命和允许访访问的条件。在考虑信息外包处理时，此标准可以作为签订此类合同的基础。1. 第三方访问的风险鉴别(1) 访问类型给予第三方访问的类型至关重要。比如，通过网络连接的访问风险与物理访问的风险有很大区别。需要考虑的访问类型有：a） 物理访问，如访问办公室，计算机房，文件柜等b） 逻辑访问，如访问组织的数据库，信息系统等(2) 访问原因授权第三方访问有若干原因。例如，向组织提供服务却不在现场的第三方，就可以被授予物理和逻辑访问权，如：a） 硬件和软件支持人员，他们需要有权访问系统级或低级的应用程序功能。b） 贸易伙伴或合资伙伴，他们之间需要交流信息，访问信息系统或共享数据库。若没有充分的信息安全管理，允许第三方访问将给信息带来风险。因此，在业务上有与第三方接触的需求时，则需进行风险评估，以确定具体的控制措施的要求。还要考虑所要进行的访问类型、信息的价值、第三方使用的控制措施和访问给组织信息的安全可能带来的后果。(3) 现场承包方按照合同规定，可以在现场滞留一段时间的第三方也有可能带来安全隐患。现场第三方的例子有：- 硬件和软件维护和支持人员- 清洁人员、送餐人员、保安和其他的外包支持服务人员- 学生和其他的短期临时工作人员- 顾问了解采取哪些控制措施来管理第三方对信息处理设备的访问是至关重要的。总的来说，在与第三方所签的合同中应反映出所有的由第三方访问导致的安全需求或内部的控制措施。例如：若对信息的保密性有特殊要求的时候，就要采用保密协议。只有在实施了适当的控制措施并签订了涵盖连接和访问条件的合同之后，第三方方可访问信息和信息处理设备。2. 与第三方签约时的安全要求涉及到第三方访问本组织信息处理设备的安排应基于正式的合同。该合同应包括或提到安全要求，以保证遵守本组织安全方针和安全标准。合同应确保本组织和第三方之间没有误会。各个组织应确保供应商的可靠性。合同中应该考虑如下条款：a) 信息安全的总体方针；b) 资产保护方面，包括：1) 保护组织资产（包括信息和软件在内）的程序；2) 确定资产是否受到危害的程序，如数据的丢失或篡改； 3) 确保在合同截止时或合同执行期间某一双方同意的时间，归还或销毁信息的控制措施； 4) 完整性和可用性； 5) 对复制和泄漏信息的限制；c) 对可用服务的描述；d) 服务的目标级和服务的不可接受级；e) 人员调整的规定；f) 协约方各自的责任；g) 法律方面的责任，如数据保护法规，如果合同涉及到其他国家的组织，还应特别考虑不同国家法律体系的区别；h) 知识产权和版权转让（见控制措施遵从性）与合作成果保护；i) 访问控制协议，包括：1) 所允许的控制方法，对独特的标识符（如用户ID，密码）的控制和使用；2) 用户访问和特权的授权过程；3) 要求保有一份名单，用来记录被授权使用可用服务的用户，以及他们的使用权和特权；j) 可验证的行为标准的定义、监督和汇报；k) 监督和废除用户行为的权力；l) 审核合同的责任，或是委任第三方来执行审核工作；m) 建立解决问题的升级流程，在适当情况下，还要考虑应急安排；n) 软件和硬件安装和维护责任；o) 清晰的汇报结构和业经认同的汇报形式；p) 清晰、详细的变更管理流程；q) 确保控制措施得以实施所需的物理保护控制和机制；r) 对用户和管理者在方法、流程和安全方面的培训；s) 确保防范恶意软件的控制措施；t) 汇报、通知和调查安全事故和安全破坏的安排；u) 包括第三方和次承包商；1.3 委外资源管理目标：当把信息处理的责任委托给其他组织时，要确保委外信息的安全性委外安排时，应该在签约方的合同中表明信息系统、网络和或桌面环境方面的风险、安全控制和流程。1. 委外合同中的安全要求如果组织将其全部或部分信息系统、网络或桌面环境的管理和控制任务委托给其他组织，委外的安全要求应在合同中加以规定并要争得双方的同意。例如：合同中应规定：a） 如何满足法律方面的要求，如数据保护法规；b） 做出哪些安排来确保涉及委外的各方，包括次分包商，能意识到各自的责任；c） 如何维护和监测组织的商业资产的完整性和保密性；d） 要采取哪些物理和逻辑上的控制措施来约束和限制业经授权的用户对商业信息的访问；e） 在发生灾难的情况下，如何维持服务的可用性；f） 对委外设备需要提供何种程度的物理安全；g） 审核权。前面条款中的列表所给出的款项也应作为合同的一部分考虑进去。在双方同意的安全管理计划中，此合同应当详细论述安全要求与流程。尽管委外合同会引起一些复杂的安全问题，在本规范中提及的控制措施可以作为协商安全管理计划结构和内容的起始点。