15
（三）信息安全管理体系监视和评审
❖ 组织采用什么样的方法来评估安全需求和选择控 制，完全由组织自己来决定。但无论采用什么样 的方法、工具，都需要靠来自风险、来自法规和 合同的遵从以及来自业务这三种安全需求来驱动 。
11
P7-准备详细的适用性声明SoA
❖ 在风险评估之后，组织应该选用符合组织自身需 要的控制措施与控制目标。所选择的控制目标和 措施以及被选择的原因应在适用性声明（SOA： Statement of Application）SOA中进行说明。
7
P3-确定风险评估方法
❖ 组织可采取不同风险评估法方法，一个方法是否 适合于特定组织，有很多影响因素，包括：
▪ 业务环境 ▪ 业务性质与业务重要性； ▪ 对支持组织业务活动的信息系统的依赖程度； ▪ 业务内容、支持系统、应用软件和服务的复杂性； ▪ 贸易伙伴、外部业务关系、合同数量的大小。
❖ 这些因素对风险评估方法的选择都很重要，不仅 风险评估要考虑成本与效益的权衡，不出现过度 安全；风险评估自身也要考虑成本与效益的权衡 ，不出现过度复杂。
9
P5-识别和评价风险处理的可选措施
❖ 根据风险评估的结果，在已有措施基础上从安全 控制最佳集合中选择安全控制措施。
10
P6-为处理风险选择控制目标和控制措施
❖ 在选择控制目标和控制措施时，并没有一套标准 与通用的办法，选择的过程往往不是很直接，可 能要涉及一系列的决策步骤、咨询过程，要和不 同的业务部门和大量的关键人员进行讨论，对业 务目标进行广泛的分析，最后产生的结果要很好 的满足组织对业务目标、资产保护、投资预算的 要求。
6
P2-定义ISMS方针
❖ 信息安全方针是组织的信息安全委员会或管理当 局制定的一个高层文件，用于指导组织如何对资 产，包括敏感信息进行管理、保护和分配的规则 和指示。
❖ 信息安全方针应当阐明管理层的承诺，提出组织 管理信息安全的方法，并由管理层批准，采用适 当的方法将方针传达给每一个员工。
❖ 信息安全方针应当简明、扼要，便于理解，至少 包括目标、范围、意图、法规的遵从性和管理的 责任等内容。
3
三、信息安全管理体系建设
❖ （一）信息安全管理体系的规划和建立 ❖ （二）信息安全管理体系的实施和运行 ❖ （三）信息安全管理体系的监视和评审 ❖ （四）信息安全管理体系的保持和改进
4
（一）信息安全管理体系规划和建立
❖ P1-定义ISMS范围 ❖ P2-定义ISMS方针 ❖ P3-确定风险评估方法 ❖ P4-分析和评估信息安全风险 ❖ P5-识别和评价风险处理的可选措施 ❖ P6-为处理风险选择控制目标和控制措施 ❖ P7-准备详细的适用性声明SoA8Biblioteka P4-分析和评估信息安全风险
❖ 风险评估主要对ISMS范围内的信息资产进行鉴定 和估价，然后对信息资产面对的各种威胁和脆弱 性进行评估，同时对已存在的或规划的安全控制 措施进行鉴定。
❖ 确定风险数值的大小不是评估的最终目的，重要 的是明确不同威胁对资产所产生的风险的相对值 ，即要确定不同风险的优先次序或等级，对于风 险级别高的资产应被优先分配资源进行保护。组 织可以采用按照风险数值排序的方法，也可以采 用区间划分的方法将风险划分为不同的优先等级 ，这包括将可接受风险与不可接受风险进行划分 。
措施降低风险； ❖ 避免风险：有些风险容易避免，例如采用不同的
技术、更改操作流程、采用简单的技术措施等； ❖ 转移风险：通常只有当风险不能被降低风险和避
免、且被第三方接受时才采用； ❖ 接受风险：用于那些在采取了降低风险和避免风
险措施后，出于实际和经济方面的原因，只要组 织进行运营，就必然存在并必须接受的风险。
❖ SOA是适合组织需要的控制目标和控制的评论， 需要提交给管理者、职员、具有访问权限的第三 方相关认证机构。
❖ SOA的准备一方面是为了向组织内的员工声明对
信息安全面对的风险的态度，更大程度上则是为
了向外界表明组织的态度和作为，以表明组织已
经全面、系统的审视了组织的信息安全系统，并
将所有需要控制的风险控制在能被接受的范围内
14
信息安全管理体系试运行
❖ 体系运行初期处于体系的磨合期，一般称为试运 行期，在此期间运行的目的是要在实践中体验体 系的充分性、适用性和有效性。在体系运行初期 ，组织应加强运作力度，通过实施ISMS手册、程 序和各种作业指导性文件等一系列体系文件，充 分发挥体系本身的各项工程，及时发现体系本身 存在的问题，找出问题的根据，采取纠正措施， 纠正各种不符合，并按照更改控制程序要求对体 系予以更改，以达到进一步完善信息安全管理体 系的目的。
企业信息安全管理体系建设
课程内容
信息安全 管理体系建设
过程方法与PDCA循环 建立、运行、评审与改进ISMS
知识域：信息安全管理体系建设
❖ 知识子域：过程方法与PDCA循环
▪ 理解ISMS过程和过程方法的含义 ▪ 理解PDCA循环的特征和作用
❖ 知识子域：建立、运行、评审与改进ISMS
▪ 了解建立ISMS的主要工作内容 ▪ 了解实施和运行ISMS的主要工作内容 ▪ 了解监视和评审ISMS的主要工作内容 ▪ 了解保持和改进ISMS的主要工作内容
5
P1-定义ISMS范围
❖ ISMS的范围就是需要重点进行信息安全管理的领 域，组织需要根据自己的实际情况，在整个组织 范围内、个别部门或领域构建ISMS。
❖ 在本阶段，应将组织划分成不同的信息安全控制 领域，以易于组织对有不同需求的领域进行适当 的信息安全管理。
❖ 在定义ISMS范围时，应重点考虑组织现有的部门 、信息资产的分布状况、核心业务的流程区域以 及信息技术的应用区域。
。
12
（二）信息安全管理体系实施和运行
❖ D1-开发风险处置计划 ❖ D2-实施风险处置计划 ❖ D3-实施安全控制措施 ❖ D4-实施安全教育培训
❖ D5-管理ISMS的运行 ❖D6-管理ISMS 的资源
❖ D7-执行检测安全事件程序 ❖ D8-执行响应安全事故程序
13
信息安全风险处置的分类
❖ 根据风险评估的结果进行相关的风险处置： ❖ 降低风险：在考虑转移风险前，应首先考虑采取