信息安全管理第十二章 信息安全管理实施案例第 2 页目 录Contents Page12.1 案例一基于ISO 27001的信息安全管理体系构建12.2 案例二基于等级保护的信息安全管理测评12.1 案例一 基于ISO 27001的信息安全管理体系构建e-BOOKSTORE是网上中文图书城，每天通过互联网向全球读者提供超过100万种中文图书和音像制品。

该公司建立了庞大的物流支持系统，每天把大量的图书和音像制品通过航空、铁路等快捷运输手段送往全球各地。

下面是该公司遵照ISO/IEC 27001:2005建设信息安全管理体系的过程。

信息安全管理实施案例采用ISMS是e-BOOKSTORE的一项战略性决策，这不仅能提升信息安全管理水平，对组织的整个管理水平也会有很大的提升。

ISMS的目标直接影响着ISMS的设计和实施，这些目标可能包括如下内容。

●保证e-BOOKSTORE网上售书主营业务的连续性。

●提高e-BOOKSTORE网上售书系统等重要业务系统的灾难恢复能力。

信息安全管理实施案例●提高信息安全事件的防范和处理能力。

●促进与法律、法规、标准和政策的符合性。

●保护信息资产。

●使信息安全能够进行测量与度量。

●降低信息安全控制措施的成本。

●提高信息安全风险管理水平。

信息安全管理实施案例管理者的支持是项目成败的最关键要素之一，这些支持可能包括如下内容。

●为ISMS实施分配独立的预算。

●批准和监督ISMS实施。

●安排充分的ISMS实施资源。

●把ISMS实施和业务进行充分的结合。

●促进各部门对信息安全问题的沟通。

●处理和评审残余风险。

信息安全管理实施案例在指定ISMS推进责任人时，最重要的考虑因素如下所示。

●保证ISMS的协调最终责任人在高层。

●指定ISMS推进的直接责任人为中层领导。

●由信息安全主管人员具体负责ISMS的推进过程。

●每个员工都要在其工作场所和环境下，承担相应的责任。

信息安全管理实施案例信息安全管理实施案例管理者的支持还应包括对员工思想上的动员。

思想上的动员可以采取召开项目启动会议的方式完成。

会议应清晰地向员工阐述以下内容。

●ISMS对本组织而言的重要性。

●项目所涉及的初始范围及相关部门。

信息安全管理实施案例信息安全管理实施案例信息安全方针是组织总体方针的一部分，是保护敏感、重要或有价值的信息所应该遵守的基本原则。

具体包括制定ISMS方针、准备ISMS方针文件等内容。

ISMS方针文件应该易于理解，并及时传达给ISMS范围内的所有用户。

在管理者已经批准，并定义了ISMS的范围和ISMS方针之后，需要进行业务分析，以确定组织的安全要求。

具体包括定义基本安全要求、建立信息资产清单等。

资产清单的建立，可以用不同的方法来完成，一种方法是按照资产分类识别并进行统计的方法，即遵循信息分类方案，然后统计ISMS范围的所有资产，插入到资产列表中；另一种方法是把业务流程分解成组件，并由此识别出与之联系的关键资产，按照这个过程产生资产列表。

信息安全管理实施案例风险评估是实施ISMS过程中重要的一部分，后续整个体系的设计和实施都把风险评估的结果作为依据之一。

风险评估方法应与风险接受准则和组织相关目标相一致，并能产生可再现的结果。

风险评估应包括估计风险大小的系统方法（风险分析），将估计的风险与风险准则加以比较以确定风险严重性的过程（风险评价）。

信息安全管理实施案例风险评估的具体步骤至少应该包含以下内容。

●识别ISMS范围内的资产。

●识别资产所面临的威胁。

●识别可能被威胁利用的脆弱性。

●识别目前的控制措施。

●评估由主要威胁和脆弱导致安全失误的可能性。

●评估丧失保密性、完整性和可用性可能对资产造成的影响。

信息安全管理实施案例信息安全管理实施案例按确定的风险评估方法进行风险评估时，应定义清晰的范围，该范围与ISMS的范围应保持一致。

风险评估的参与人员不但应包括信息安全方面的专家，也应该包括业务方面的专家。

为了更客观地实施风险评估，在允许的情况下，可以考虑聘请外部专家。

对于识别出的风险应予以处理，可采用以下方式。

●风险处理。

●风险转移。

●风险规避。

●风险接受。

信息安全管理实施案例应选择和实施控制措施以满足组织的安全要求，选择控制措施时应考虑以下因素：●组织的目标。

●法律、法规、政策和标准的要求和约束。

●信息系统运行要求和约束。

●成本效益分析。

信息安全管理实施案例在经过了上述各个阶段之后，就进入到体系的设计阶段。

（1）设计安全组织机构（2）设计文件和记录控制要求（3）设计信息安全培训（4）设计控制措施的实施（5）设计监视和测量（6）设计内部审核（7）设计管理评审（8）设计文件体系（9）制定详细的实施计划信息安全管理实施案例信息安全管理实施案例实施ISMS基本上涉及整个组织的范围，这个实施流程需要一段时间，而且很可能有变更。

成功实施ISMS就必须熟悉整个项目并具有处理变更的能力，而且能针对变更做出适当的调整，如果有很重大的影响应报告给管理者。

信息安全管理实施案例监视的目标是使目标和结果保持一致性。

当然，持续执行符合规则的监视工作应通过执行ISMS得到保持。

此外，所有员工都参与监视工作是很重要的。

内部审核的步骤及责任划分如下。

（1）审核策划●组织审核组。

●评审文件。

●制定审核计划。

●确定审核目标。

●规定审核准则。

●明确审核范围。

●编制检查表。

信息安全管理实施案例（2）现场审核●首次会议。

●现场审核活动。

（3）审核结果●体系评价。

●末次会议。

●审核报告。

（4）审核后续●纠正措施。

●跟踪验证。

●内审活动的监视。

信息安全管理实施案例管理评审是根据标准的规定、组织自身发展的需求、相关的期望而对组织所建立整合管理体系进行评审和评价的一项活动。

管理评审应按策划的时间间隔进行，通常每年至少进行一次。

管理评审由最高管理者主持，参加评审会议的人员一般为组织管理层成员和有关职能部门的负责人。

管理者代表授权进行策划，指定职能部门编制管理评审计划。

信息安全管理实施案例信息安全管理实施案例管理评审通常以会议的形式进行，有时也可以在现场举行。

管理评审会议由最高管理者主持，管理者代表协助，企业管理部具体组织，领导层成员以及有关部门负责人参加会议并签到。

最高管理者针对管理评审会议中提出的问题、建议，组织讨论，进行总结性发言和评价，对所采取的措施做出决定，作为管理评审会议的决议，据此，形成《管理评审报告》。

信息安全管理实施案例管理评审后，检查管理评审提出的整改措施的执行情况，相关部门负责人跟踪，企业管理部组织验证，发现问题即时纠正，其实施结果作为下次管理评审的输入。

管理评审后，管理者代表督促相关部门制定持续改进计划。

12.2 案例二 基于等级保护的信息安全管理测评 本案例将根据《信息安全等级保护管理方法》的相关要求，以对××集团的信息管理系统实施等级保护测评为目标，帮助该集团掌握其信息管理系统的安全状况，发现其安全管理中存在的问题。

在此过程中，首先通过定级要素分析，依照《信息系统安全等级保护定级指南》要求，对××集团的信息管理系统进行等级确定，然后根据《信息系统安全等级保护测评要求》相关等级的要求展开测评工作。

信息安全管理实施案例本次测评的具体对象范围确定为××集团的信息管理系统，该系统属于原有已建系统，故按照等级保护实施过程要求，将对其进行安全评估和改进安全建设。

在此过程中，将依据对定级要素分析，依照《信息系统安全等级保护定级指南》明确该系统的安全等级，然后根据《信息系统安全等级保护测评准则》相关等级的具体安全要求确定需要测评的指标层面后，展开具体测评工作。

信息安全管理实施案例根据《信息安全等级保护管理方法》进行等级测评。

本次测评范围主要是××集团的企业信息管理系统，该系统涵盖企业的内网办公、企业订单管理、企业情报资料等范畴。

该过程将依据《信息系统安全保护等级定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》《信息系统安全等级保护实施指南》和《计算机信息系统安全保护等级划分准则》开展实施。

信息安全管理实施案例信息系统安全保护等级定级指南信息系统安全等级保护基本要求计算机信息系统安全保护等级划分准则信息系统安全等级保护测评准则信息系统安全等级保护实施指南信息安全等级保护管理办法信息安全管理实施案例××集团的信息管理系统以推进该集团信息化建设，构建先进、安全的信息系统和建立健全的信息管理制度为目标，面向提高集团核心竞争力，全面提升集团的经营和管理水平而建设，其根本功能在于为集团提供全面、先进、高效、及时的信息技术服务与支持。

××集团信息管理系统服务范围包括有：物料管理、生产计划、销售、售后服务、产品数据管理、项目管理、成本管理、财务管理、质量管理、仓库管理等，覆盖公司从产品研发到售后服务的全部业务流程。

信息安全管理实施案例××集团信息管理系统结构如图12.1所示。

信息安全管理实施案例图12.1 ××集团信息管理系统结构拓扑图××集团的信息管理系统主要由如下类设备构成，具体设备清单如下。

（1）核心交换机：CISCO SW-6509 2台。

（2）防火墙：CISCO PIX525 2台。

（3）服务器：44台均为Windows2000系统。

（4）IBM小型机：10台均为Linux系统。

（5）二层交换机：100台。

（6）防火墙5台、入侵检测设备1台。

（7）其他各类专用服务器（部分）如表12.1所示。

信息安全管理实施案例序号服务器主要用途品牌型号1邮件网关HP ML3502网站数据库HP TC41003网站服务器HP TC41004安全过滤服务器HP ML3505文件服务器HP LH30006主域控制器HP TC41007防病毒控制中心HP TC41008VPN 认证服务器浪潮31009思科网络设备网管服务器DELL 285010中软防水墙DELL PE680011邮件服务器HP p731212传真系统服务器HP ML35013测试开发机IBM H85（7026-6H1）14Windows SAP 应用服务器DELLPE680015……信息安全管理实施案例表12.1专用服务器清单《信息安全等级保护管理办法》（以下简称《管理办法》）中明确指出：信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

信息安全管理实施案例信息系统的安全保护等级分为以下5级：第一级为自主保护级，适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益；第二级为指导保护级，适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全；第三级为监督保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害；第四级为强制保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害；第五级为专控保护级，适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。