信息安全管理體系(ISMS)

信息安全管理體系是組織整體管理體系的一個(gè)部分，是基于風(fēng)險評估、建立、實(shí)施、運行、監視、評審、保持和持續改進(jìn)信息安全等一系列的管理活動(dòng)。企業(yè)建立實(shí)施信息安全管理體系能助力企業(yè)的信息安全管理科學(xué)化，有效地對信息資源形成保護，促使信息化進(jìn)程有序健康可持續地發(fā)展。

企業(yè)通過(guò)信息安全管理體系，可以幫助企業(yè)：

·加強信息資產(chǎn)的安全性、保障業(yè)務(wù)持續性與緊急恢復；

·強化員工的信息安全意識，規范組織信息安全行為；

·減少可能潛在的風(fēng)險隱患，減少信息系統故障、人員流失帶來(lái)的經(jīng)濟損失；

·維護企業(yè)聲譽(yù)、品牌和客戶(hù)信任，維持競爭優(yōu)勢；

·滿(mǎn)足客戶(hù)和法律法規要求。

建立實(shí)施信息安全管理體系路徑

企業(yè)根據GB/T 22080-2016/ISO/IEC 27001:2013《信息技術(shù)安全技術(shù)信息安全管理體系要求》的要求建立實(shí)施信息安全管理體系（以下簡(jiǎn)稱(chēng)ISMS），主要包括六個(gè)階段：

·項目啟動(dòng)

·ISMS現狀評估

·信息安全風(fēng)險管理

·ISMS體系文件編寫(xiě)

·ISMS體系運行

·體系認證審核

各階段的具體工作內容和成果見(jiàn)下表：

工作階段

具體工作內容

成果說(shuō)明

項目啟動(dòng)

訪(fǎng)談?wù){研及基本資料收集

明確調研內容，組織訪(fǎng)談?wù){研；進(jìn)行基本資料收集

企業(yè)關(guān)于ISMS的基本資料收集

信息安全管理體系基本知識及標準培訓

準備培訓內容并進(jìn)行培訓，培訓內容包括信息安全管理體系的基本知識及標準解讀

現狀評估

ISMS現有文件分析

分析企業(yè)現有文件哪些包含在ISMS內

確定ISMS體系管理范圍

確定信息安全方面的基本管理目標

確定ISMS體系初步框架

資料收集、整理，企業(yè)信息安全管理現狀分析

設計的管理范圍：分析企業(yè)的基本信息安全要求，包括企業(yè)內外部環(huán)境、相關(guān)方需求和期望等；

分析企業(yè)現狀與ISMS的差距。

體系文件規劃

規劃ISMS體系文件的框架

信息安全風(fēng)險管理

確定風(fēng)險評估程序

明確風(fēng)險評估的方法和過(guò)程

資產(chǎn)清冊

企業(yè)各類(lèi)資產(chǎn)，包括法人資產(chǎn)、物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、服務(wù)資產(chǎn)等；

風(fēng)險評估報告

通過(guò)風(fēng)險評估：識別資產(chǎn)的重要性、識別資產(chǎn)面臨的威脅、識別威脅的脆弱性、分析已有控制措施的有效性、分析信息資產(chǎn)的暴露等級、評估風(fēng)險的發(fā)生容易，依次確定風(fēng)險值及風(fēng)險等級，形成風(fēng)險評估報告。

風(fēng)險處置計劃

針對風(fēng)險等級的不同，采取不同的處置措施，并形成風(fēng)險處置計劃。

信息資產(chǎn)識別與統計

識別企業(yè)的各類(lèi)信息資產(chǎn)

威脅脆弱性識別與評估

針對以識別的信息資產(chǎn)進(jìn)行威脅脆弱性識別與評估

完成風(fēng)險評估報告

根據風(fēng)險評估的過(guò)程和結果完成風(fēng)險評估報告。

風(fēng)險處置

確定風(fēng)險處置程序；

制定風(fēng)險處置計劃。

ISMS體系文件編寫(xiě)

ISMS體系文件編寫(xiě)

編寫(xiě)ISMS體系文件，主要包括方針目標、手冊、體系職責、實(shí)用性聲明、相關(guān)程序文件等。

本階段主要是完成體系文件，體系文件分三級，體系文件的樣本（僅作為參考，不同企業(yè)根據本企業(yè)的實(shí)際情況，二級、三級文件可能會(huì )有差別）

ISMS體系文件評審與定稿

組織體系文件的內部評審；

根據評審意見(jiàn)進(jìn)行修改完善。

ISMS體系文件發(fā)布

組織體系文件的發(fā)布

ISMS體系運行

ISMS內部審核

制定內審方案、計劃，組織內審員培訓；

開(kāi)展內審；

根據內審情況進(jìn)行整改并編制內審報告。

運行過(guò)程的記錄表單

內審文件資料

管理評審文件資料

ISMS管理評審

制定管理評審方案、計劃；

開(kāi)展管理評審。

ISMS持續改進(jìn)

針對體系運行過(guò)程中發(fā)現的問(wèn)題制定相關(guān)改進(jìn)措施

體系認證

審核準備

提前準備審核需要的相關(guān)資料。

通過(guò)ISMS認證后能獲得證書(shū)

一階段審核

接受審核，并及時(shí)進(jìn)行不符合整改

二階段審核

不符合項應答和糾正措施

信息安全管理體系的三級文件

一級文件

·信息安全方針與目標；

·信息安全管理手冊；

·適用性聲明；

·信息安全組織與職責。

二級文件

·信息文件與記錄控制程序資產(chǎn)管理程序；

·風(fēng)險評估管理程序通訊與操作管理程序；

·網(wǎng)絡(luò )安全防護作業(yè)程序訪(fǎng)問(wèn)控制管理程序；

·人力資源管理控制程序信息安全法律法規控制程序；

·信息安全事故管理程序信息交流與溝通控制程序；

·信息物理與環(huán)境安全管理程序信息系統獲取、開(kāi)發(fā)與維護程序；

·內部審核管理程序管理評審控制程序；

·糾正及預防措施處理程序監視及測量控制程序；

·業(yè)務(wù)持續性管理程序。

三級文件

·開(kāi)發(fā)安全作業(yè)辦法信息安全獎勵、懲戒管理規定；

·IT設備安全管理辦法災害復原演練計劃；

·信息系統操作手冊保密管理辦法；

·備份介質(zhì)定期檢查和測試記錄計算機硬件管理維護表；

·文件發(fā)放登記表文件更改申請單；

·資產(chǎn)清冊風(fēng)險評估表；

·風(fēng)險處理計劃表服務(wù)器賬號/軟硬件異動(dòng)申請單；

·信息系統角色訪(fǎng)問(wèn)權限表信息安全薄弱點(diǎn)報告；

·信息安全獎勵、懲戒記錄保密承諾書(shū)；

·保密協(xié)議書(shū)對外交流與合作保密協(xié)議書(shū)；

·員工離職交接單員工離職申請；

·員工入職登記表信息安全糾正及預防措施處理表；

·信息安全糾正及預防措施執行追蹤表內部審核檢查清單；

·內部審核報告內部審核計劃；

·信息安全事件通報單災害回復計劃表；

·緊急事故對應生產(chǎn)持續性管理總體方案。

總結

組織建立和實(shí)施ISMS是一個(gè)相對的、動(dòng)態(tài)的持續過(guò)程，組織應不斷改進(jìn)自身的信息安全狀態(tài)，調整ISMS體系文件及控制措施，將信息安全風(fēng)險控制在組織可接受的范圍之內，從而獲得組織現有條件下和資源能力范圍內最大程度的安全。