解析ISO17799方法

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

BS7799/ISO17799目前是建立信息安全體系公認(rèn)的國(guó)際標(biāo)準(zhǔn)，內(nèi)容涉及信息安全技術(shù)、管理和法律問題。依據(jù)BS7799/ISO17799的實(shí)施原則，企業(yè)可以檢測(cè)、分析和降低信息安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)涉及內(nèi)容頗多，本文約請(qǐng)行業(yè)內(nèi)的專家，提綱挈領(lǐng)地闡述了該國(guó)際標(biāo)準(zhǔn)的具體實(shí)施步驟，以幫助企業(yè)信息安全管理人員建立有效的信息安全管理機(jī)制。

1 實(shí)施ISO17799前的準(zhǔn)備工作

這是成功建立信息安全管理體系的關(guān)鍵，主要包括以下的內(nèi)容。

（1）企業(yè)主要管理人員參與

項(xiàng)目實(shí)施的成功需要企業(yè)主要管理人員對(duì)信息安全管理體系框架及功能的確認(rèn)、審批，沒有主要管理人員的參與，項(xiàng)目的運(yùn)作可能會(huì)遇到困難并可能被無限地延期，主要管理人員包括企業(yè)的各個(gè)層面：運(yùn)營(yíng)、技術(shù)、預(yù)算等人員。

（2）成立項(xiàng)目管理委員會(huì)

委員會(huì)中必須有企業(yè)的主要管理人員，實(shí)施的項(xiàng)目經(jīng)理必須來自企業(yè)的不同管理部門。

項(xiàng)目經(jīng)理通常是企業(yè)負(fù)責(zé)運(yùn)營(yíng)的人并且能把項(xiàng)目放在優(yōu)先位置上；他必須熟悉實(shí)施流程并能把握實(shí)施的有效性。在一些大型企業(yè)里，首席信息安全官應(yīng)該擔(dān)當(dāng)這個(gè)職位。

與項(xiàng)目有關(guān)的其他委員會(huì)和小組在圖1中說明。

在大多數(shù)情況下，ISO17799標(biāo)準(zhǔn)在一個(gè)企業(yè)內(nèi)部的實(shí)施需要企業(yè)內(nèi)各個(gè)管理部門的介入，表1列出了ISO17799在實(shí)施過程中涉及的企業(yè)管理部門。

2 定義信息安全管理體系（ISMS）

當(dāng)項(xiàng)目管理委員會(huì)成立后，必須立足企業(yè)基本情況定義信息安全管理體系框架。安全的范圍擴(kuò)展到整個(gè)企業(yè)，信息安全管理體系必須在企業(yè)管理的控制之下。如果企業(yè)不能控制信息安全管理體系，信息安全管理體系就不能有效發(fā)揮作用。

（1）定義ISMS

為了能更好更準(zhǔn)確地定義企業(yè)的ISMS，首先要清晰地定義以下內(nèi)容。

● 目標(biāo)：建立ISMS是為了考核企業(yè)符合ISO17799標(biāo)準(zhǔn)或企業(yè)希望獲得BS7799-2審核認(rèn)證；

● 范圍：定義建立ISMS涉及的管理部門、需要采取的措施、措施的優(yōu)先級(jí)別及對(duì)部門的重要性；

● 限制條件：ISMS范圍限制的定義依據(jù)是：企業(yè)的特點(diǎn)、企業(yè)的地理位置、資產(chǎn)（關(guān)鍵數(shù)據(jù)的庫存）、技術(shù)等；

● 界面：企業(yè)在建立ISMS時(shí)必須考慮企業(yè)信息系統(tǒng)同其他系統(tǒng)、其他組織和外部供應(yīng)者的界面。注意: 在ISMS定義限制中不可能完全包括所有外界提供服務(wù)和活動(dòng)的界面,但在ISMS認(rèn)證時(shí)必須考慮，并應(yīng)該是企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估的一部分，例如，向合作方共享計(jì)算機(jī)、通信系統(tǒng)等設(shè)備;

● 依賴關(guān)系：ISMS必須遵循特定的安全需求，這些需求可能是法律方面的或是商業(yè)方面的，例如：國(guó)際醫(yī)療組織必須遵循HIPPA；中國(guó)必須遵循公安部等級(jí)保護(hù)制度；

● 例外情況：任何被SGSI定義的要素或域（網(wǎng)絡(luò)的一部分或管理單元），如果沒有進(jìn)行過安全測(cè)試或被安全策略覆蓋，必須作出例外說明；

● 組織內(nèi)容：為滿足特定目標(biāo)在企業(yè)環(huán)境中實(shí)施的加強(qiáng)措施，例如：從企業(yè)外部訪問內(nèi)部資源需要采用特殊的安全措施。

（2）獲得企業(yè)內(nèi)已經(jīng)存在的文檔資料

為了評(píng)估已經(jīng)實(shí)施的安全措施，檢查已經(jīng)存在的文檔資料是非常必要的。例如：ISO9000質(zhì)量管理手冊(cè)、ISO14001環(huán)境管理手冊(cè)和信息安全策略手冊(cè)等。涉及到ISMS定義的每個(gè)部門的管理人員必須列出在他們部門內(nèi)與數(shù)據(jù)安全相關(guān)的文檔資料庫清單。

可能涉及的資料有：

● 安全策略文檔資料；

● 策略制定相關(guān)的標(biāo)準(zhǔn)和審批手續(xù)（管理和技術(shù)方面）；

● 風(fēng)險(xiǎn)評(píng)估報(bào)告；

● 風(fēng)險(xiǎn)處置計(jì)劃；

● 目前ISMS中存在的信息安全控制和管理方面的說明文檔，例如：審計(jì)日志、審計(jì)跟蹤記錄、計(jì)算機(jī)安全事件報(bào)告等等。

3 風(fēng)險(xiǎn)評(píng)估

（1） 為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估？

無論企業(yè)的大小和類型，對(duì)所有企業(yè)來說，脆弱點(diǎn)的存在都將威脅企業(yè)信息的保密性、完整性和可用性。保護(hù)措施采取得越及時(shí)，安全就變得越有效和廉價(jià)。為了更容易定義和選擇安全控制措施，以便更好地管理企業(yè)人力和財(cái)務(wù)資源，必須識(shí)別目前企業(yè)存在的威脅。

（2）初期檢測(cè)

首先應(yīng)該根據(jù)ISO17799需求的控制點(diǎn)、過程和程序?qū)ζ髽I(yè)信息安全管理框架狀態(tài)做一次評(píng)估。另外必須提高企業(yè)對(duì)安全標(biāo)準(zhǔn)和實(shí)踐（如從每個(gè)安全問題的分析中學(xué)習(xí)）的認(rèn)識(shí)。在ISMS實(shí)施前要做調(diào)查，而且在實(shí)施后也要做調(diào)查，目的在于檢查原來的漏洞是否彌補(bǔ)，檢查改進(jìn)的程度。需要產(chǎn)生一個(gè)ISO17799符合情況報(bào)告。

（3）資產(chǎn)定義和評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估的初期過程是對(duì)企業(yè)敏感和關(guān)鍵數(shù)據(jù)的定義。企業(yè)必須對(duì)指導(dǎo)業(yè)務(wù)運(yùn)營(yíng)、財(cái)務(wù)運(yùn)營(yíng)和相關(guān)市場(chǎng)戰(zhàn)略的信息等建立信息庫，根據(jù)信息和其重要等級(jí)做相應(yīng)的處理（保密、內(nèi)部使用、公開等等）。

（4）定義和評(píng)估環(huán)境資產(chǎn)

因?yàn)閿?shù)據(jù)是一個(gè)無形資產(chǎn)，它必須以有形的形式來掌握、處理、存儲(chǔ)、打印、披露和通信。因此，企業(yè)的無形資產(chǎn)需要針對(duì)CIAL（保密性、完整性、可用性、合法性）進(jìn)行定義和價(jià)值說明。例如：在硬盤中存儲(chǔ)的財(cái)務(wù)數(shù)據(jù)具有高保密性要求、中等完整性要求和中等可用性要求。

可根據(jù)以下內(nèi)容進(jìn)行分類：建筑和設(shè)備、文檔資料、軟件、計(jì)算機(jī)設(shè)備、人力資源和服務(wù)。

（5）定義和評(píng)估威脅和脆弱性

脆弱性可能被威脅利用對(duì)數(shù)據(jù)產(chǎn)生負(fù)面影響（如數(shù)據(jù)信息披露、腐蝕、毀壞、法律糾紛等）。對(duì)企業(yè)面臨的商業(yè)約束、地域的法律約束、環(huán)境約束都必須作出明確定義。

4 處置風(fēng)險(xiǎn)

當(dāng)風(fēng)險(xiǎn)已經(jīng)定義后，必須決定如何管理這些風(fēng)險(xiǎn)。下面的內(nèi)容可以描述如何管理風(fēng)險(xiǎn)：初始的安全策略；保障需求的等級(jí)；風(fēng)險(xiǎn)評(píng)估結(jié)果；存在的商業(yè)、法律和管理規(guī)定約束。

（1）通常有四種風(fēng)險(xiǎn)處置的方法

● 降低風(fēng)險(xiǎn)：實(shí)施控制措施將風(fēng)險(xiǎn)降低到可接受的等級(jí)；

● 接受風(fēng)險(xiǎn)：計(jì)算出風(fēng)險(xiǎn)值并知道如何承擔(dān)風(fēng)險(xiǎn)的后果；

● 回避風(fēng)險(xiǎn)：忽略風(fēng)險(xiǎn)不是正確的解決辦法.然而風(fēng)險(xiǎn)可以通過將資產(chǎn)移出風(fēng)險(xiǎn)區(qū)域而避免風(fēng)險(xiǎn)發(fā)生或完全放棄可能產(chǎn)生安全弱點(diǎn)的商業(yè)活動(dòng)來回避風(fēng)險(xiǎn)；

● 轉(zhuǎn)移風(fēng)險(xiǎn)：通過購買、保險(xiǎn)或外包來轉(zhuǎn)移風(fēng)險(xiǎn)。

（2）選擇控制項(xiàng)

在大多數(shù)情況下，必須選擇控制項(xiàng)降低風(fēng)險(xiǎn)。

在完成風(fēng)險(xiǎn)評(píng)估之后，企業(yè)需要在每一個(gè)目標(biāo)信息環(huán)境中，對(duì)選擇的控制項(xiàng)進(jìn)行實(shí)施，以便遵從ISO17799標(biāo)準(zhǔn)。企業(yè)選擇能夠承受（經(jīng)濟(jì)上）防護(hù)措施來防護(hù)面臨的威脅。在最終風(fēng)險(xiǎn)處置計(jì)劃出來前，企業(yè)可以接受或拒絕建議的保護(hù)方案。

（3）風(fēng)險(xiǎn)處置計(jì)劃

風(fēng)險(xiǎn)處置計(jì)劃包含所有相關(guān)信息：管理任務(wù)和職責(zé)、管理責(zé)任人、風(fēng)險(xiǎn)管理的優(yōu)先等級(jí)等等。

對(duì)企業(yè)來講，有一些附加控制在標(biāo)準(zhǔn)中沒有描述，但也是需要的。一個(gè)由外部咨詢顧問協(xié)助的風(fēng)險(xiǎn)評(píng)估會(huì)很有幫助。

（4）控制項(xiàng)的實(shí)施

現(xiàn)在可以開始實(shí)施風(fēng)險(xiǎn)處置計(jì)劃了。企業(yè)應(yīng)該盡其所能在管理、技術(shù)、邏輯、物理和環(huán)境控制方面進(jìn)行勸止、防護(hù)、檢測(cè)、糾正、恢復(fù)和補(bǔ)償工作。如表2所示。

（5）控制措施及其定義的原則

● 勸止：降低威脅的可能性；

● 防止：保護(hù)或降低資產(chǎn)的脆弱性；

● 糾正：降低風(fēng)險(xiǎn)和影響的損失；

● 檢測(cè)：檢測(cè)攻擊和安全的脆弱性，針對(duì)攻擊建立防護(hù)和糾正措施；

● 恢復(fù)：恢復(fù)資源和能力；

● 補(bǔ)償：對(duì)控制措施的替代方案。

應(yīng)該咨詢信息安全專家和法律專家，確?？刂拼胧┑倪x擇和實(shí)施是正確的。

5 培訓(xùn)和提高意識(shí)

確信在ISMS中的企業(yè)員工有能力并能保證質(zhì)量地完成他們的任務(wù)。在這種情況下企業(yè)要：

● 明確在企業(yè)中涉及信息安全工作的人員需要掌握的技術(shù)；

● 提供適當(dāng)?shù)呐嘤?xùn)，如果必要可以雇傭有經(jīng)驗(yàn)?zāi)軌騽偃喂ぷ鞯膯T工；

● 評(píng)估培訓(xùn)和培訓(xùn)后工作的有效性；

● 維護(hù)每個(gè)員工的教育、培訓(xùn)情況，掌握他們的能力、經(jīng)驗(yàn)和資格。

企業(yè)必須確信在ISMS中的相關(guān)人員知道達(dá)到ISMS目標(biāo)的方法并知道他們所做的相關(guān)信息安全活動(dòng)的重要性。

開發(fā)一個(gè)企業(yè)內(nèi)部的信息安全培訓(xùn)計(jì)劃，教育企業(yè)內(nèi)部員工是很重要的。

企業(yè)員工是抵制信息安全侵害的最廉價(jià)的代表。通常，他們首先受到信息安全事件影響，能夠防止和降低安全事件發(fā)生時(shí)產(chǎn)生的影響。安全控制中人員因素是非常重要的，其中可以說員工對(duì)安全意識(shí)的理解尤其重要。認(rèn)識(shí)和報(bào)告可能產(chǎn)生安全事故的事件應(yīng)該成為員工的本能，這也必須成為安全意識(shí)培訓(xùn)的目標(biāo)。員工每時(shí)每刻的信息安全意識(shí)必將是企業(yè)信息資產(chǎn)的最好保護(hù)傘。

（1） 在開始信息安全意識(shí)培訓(xùn)前

要理解提高信息安全意識(shí)、培訓(xùn)和教育三者之間的不同，如表3所示。

（2）在提高信息安全意識(shí)中的一些關(guān)鍵因素

● 建立企業(yè)文化，員工在企業(yè)環(huán)境和文化中得到洗禮；

● 明確企業(yè)主管的參與；

● 理解員工在安全方面的重要性；

● 利用企業(yè)內(nèi)部的共同媒介充分利用內(nèi)部人員的力量：傳統(tǒng)的方法有企業(yè)網(wǎng)站、內(nèi)部郵件；

● 挖掘現(xiàn)有的資源；

● 建立策略、流程、表格和相關(guān)檢查表；

● 定義希望的最終結(jié)果：需要撰寫的文檔、需要編寫的手冊(cè)、編寫Email、組織網(wǎng)站內(nèi)容、定義外部網(wǎng)絡(luò)資源、確認(rèn)新老員工能夠遵循規(guī)則。

（3）在提高意識(shí)培訓(xùn)期間

● 定義意識(shí)培訓(xùn)計(jì)劃的目標(biāo)，目標(biāo)必須符合企業(yè)發(fā)展戰(zhàn)略。例如：讓員工理解安全威脅，使員工能在行動(dòng)中盡能力保護(hù)企業(yè)的信息系統(tǒng)。

● 定義企業(yè)的目標(biāo)組（主要的、次要的），例如：普通員工、技術(shù)和管理;

● 根據(jù)組定義信息的使用；

● 了解企業(yè)組織的現(xiàn)狀；

● 詳細(xì)描述計(jì)劃中要采取的行動(dòng)；

● 文檔資料的分發(fā);

● 策略、標(biāo)準(zhǔn)和流程必須電子化;

● 如果可能為信息安全部門設(shè)計(jì)一個(gè)LOGO（這樣可以很快地確定部門的性質(zhì)）；

● 培訓(xùn)通常內(nèi)容為：風(fēng)險(xiǎn)、基本原則（介紹、CIA概念、好習(xí)慣等）、開發(fā)、特殊信息、演示、處理威脅、風(fēng)險(xiǎn)和脆弱性的解決方案、職責(zé)，讓員工簽署保密協(xié)議，按年度執(zhí)行。

（4）意識(shí)培訓(xùn)實(shí)施以后

● 評(píng)估培訓(xùn)的滿意度；

● 評(píng)估培訓(xùn)的貢獻(xiàn)；

● 確認(rèn)知識(shí)得到傳遞；

● 記錄和更新培訓(xùn)后工作中發(fā)生的變化和新的措施。

6 審計(jì)準(zhǔn)備

（1）ISMS符合情況診斷

BS7799-2認(rèn)證需要對(duì)信息安全管理體系實(shí)施詳細(xì)情況的符合性進(jìn)行證實(shí)。完成調(diào)查表將有利于搞清企業(yè)管理中針對(duì)ISMS的開發(fā)、控制、檢查、維護(hù)和改進(jìn)是不是確實(shí)在進(jìn)行。同時(shí)也驗(yàn)證企業(yè)管理BS7799-2認(rèn)證需要文檔的能力和履行安全需求要求的能力。

（2）應(yīng)用狀態(tài)

在審計(jì)前必須總結(jié)目前的應(yīng)用狀態(tài)。這個(gè)文檔提供每個(gè)ISO1779控制點(diǎn)的應(yīng)用和不應(yīng)用的情況，包括在哪里應(yīng)用及每個(gè)控制點(diǎn)的實(shí)施狀態(tài)。

針對(duì)控制目標(biāo)選擇、控制點(diǎn)選擇和控制地點(diǎn)的選擇理由作出簡(jiǎn)短的解釋，包括在ISO17799標(biāo)準(zhǔn)中列出的但被企業(yè)拒絕實(shí)施的控制措施的理由。

7 審計(jì)——BS7799-2認(rèn)證

BS7799-2的認(rèn)證目前是完全自愿的。企業(yè)如果成功完成BS7799-2認(rèn)證說明它們具備管理信息安全的能力，能夠確保企業(yè)的信息安全；而且，這個(gè)企業(yè)更容易找到合作伙伴和投資人。BS7799-2認(rèn)證的信譽(yù)已經(jīng)是一個(gè)公認(rèn)的事實(shí)，通過認(rèn)證的企業(yè)能夠通過信息安全控制措施確保企業(yè)信息的安全和保密。

認(rèn)證機(jī)構(gòu)對(duì)企業(yè)的ISMS認(rèn)證不少于兩個(gè)階段，除非有可以理解的特殊說明（如對(duì)一個(gè)很小的組織的認(rèn)證），認(rèn)證審計(jì)有兩個(gè)部分。

(1) 文檔資料審計(jì)

文檔資料審計(jì)的一個(gè)目標(biāo)是能夠讓認(rèn)證機(jī)構(gòu)認(rèn)識(shí)到組織在建立ISMS內(nèi)容方面的情況包括安全策略、安全目標(biāo)、風(fēng)險(xiǎn)管理的方法。同時(shí)也可以作為下一次審計(jì)的參照點(diǎn)并說明企業(yè)針對(duì)審計(jì)所開展準(zhǔn)備的情況。

文檔資料審計(jì)包括文檔資料檢查，這些工作必須在控制實(shí)施審計(jì)前完成。審計(jì)認(rèn)證機(jī)構(gòu)必須對(duì)ISMS設(shè)計(jì)和實(shí)施相關(guān)文檔資料做全面的檢查，包括：安全策略狀態(tài)、ISMS的范圍定義、ISMS的所有流程和控制支持、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、有關(guān)信息安全處理的計(jì)劃運(yùn)營(yíng)和有效控制的流程、ISMS一致和有效運(yùn)營(yíng)的確認(rèn)記錄、應(yīng)用的狀態(tài)。

文檔資料審計(jì)結(jié)果必須形成報(bào)告。報(bào)告可以幫助確定什么時(shí)候進(jìn)行下一階段審計(jì)。同時(shí)也被用于選擇下一步審計(jì)小組的成員，這些人掌握技術(shù)，能處理ISMS中的特殊情況。在進(jìn)入到審計(jì)的下一個(gè)階段時(shí)，認(rèn)證機(jī)構(gòu)需要通知在控制實(shí)施審計(jì)階段需要的特殊文檔資料、信息和報(bào)告。

（2）控制實(shí)施審計(jì)

控制實(shí)施審計(jì)依據(jù)文檔資料審計(jì)報(bào)告的結(jié)論進(jìn)行。認(rèn)證機(jī)構(gòu)根據(jù)文檔資料審計(jì)結(jié)論制定審計(jì)計(jì)劃，然后方能開始控制實(shí)施審計(jì)。審計(jì)的地點(diǎn)是企業(yè)ISMS實(shí)施的地點(diǎn)。

審計(jì)包括：

● 確認(rèn)企業(yè)對(duì)自己制定安全策略、目標(biāo)和流程的遵循情況；

● 確認(rèn)企業(yè)ISMS針對(duì)BS7799-2要求的符合情況和企業(yè)自己制定策略目標(biāo)的達(dá)到情況（檢查企業(yè)有一個(gè)處理系統(tǒng)能滿足BS7799 clauses4-7的要求），ISMS的符合性診斷可以利用Callio 17799工具來完成；

● 信息安全相關(guān)風(fēng)險(xiǎn)的評(píng)估和ISMS的設(shè)計(jì)結(jié)果，包括：風(fēng)險(xiǎn)評(píng)估方法、風(fēng)險(xiǎn)定義、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、控制目標(biāo)和風(fēng)險(xiǎn)處置控制的選擇、應(yīng)用狀態(tài)的準(zhǔn)備；

● 檢查目標(biāo)和目標(biāo)處理的結(jié)果；

● 根據(jù)目標(biāo)和預(yù)定的結(jié)果進(jìn)行監(jiān)控、測(cè)試、報(bào)告和檢查。

（3）審計(jì)者的報(bào)告

認(rèn)證機(jī)構(gòu)希望公布審計(jì)結(jié)果的報(bào)告和流程可以多樣化。包括可以在審計(jì)會(huì)議上以書面的或口頭的形式，在最后審計(jì)結(jié)束時(shí)給出正式的書面報(bào)告，報(bào)告描述企業(yè)是否符合BS7799-2需求。

企業(yè)被邀請(qǐng)參與審計(jì)報(bào)告注釋的編寫，需要描述他們將要采取的糾正計(jì)劃，列出在審計(jì)期間需要遵循的標(biāo)準(zhǔn)。如果需要重新評(píng)估;認(rèn)證機(jī)構(gòu)必須正式通知企業(yè)。

（4）認(rèn)證決策

認(rèn)證決策必須由認(rèn)證機(jī)構(gòu)最后給出。決策的依據(jù)是審計(jì)過程中收集到的信息和其他相關(guān)的信息。參與者的意見不能作為認(rèn)證決策的意見。

認(rèn)證企業(yè)最終從認(rèn)證機(jī)構(gòu)那里獲得BS7799-2證書。證書中的信息包括認(rèn)證的范圍、認(rèn)證的有效日期、應(yīng)用狀態(tài)的版本說明和認(rèn)證機(jī)構(gòu)名稱、LOGO和認(rèn)證標(biāo)志。

（5）再評(píng)估和監(jiān)控流程

認(rèn)證機(jī)構(gòu)必須對(duì)ISMS認(rèn)證企業(yè)進(jìn)行周期性的監(jiān)控審計(jì)，頻率由認(rèn)證機(jī)構(gòu)把握，通常情況下每六個(gè)月做一次，這樣的監(jiān)控和審計(jì)的目的是驗(yàn)證企業(yè)能夠持續(xù)地符合認(rèn)證要求和BS7799-2標(biāo)準(zhǔn)。

ISMS本身的再評(píng)估每三年執(zhí)行一次。因此，企業(yè)至少三年要做一次BS7799-2認(rèn)證。

8 控制持續(xù)改善

無論你是否獲得BS7799-2認(rèn)證，最重要的是正式通過ISMS的實(shí)施管理體系改善信息安全。檢查更新需要定期執(zhí)行，因?yàn)榘踩窃陔S時(shí)發(fā)生變化的。例如：過期的防病毒軟件是沒有什么用處的。

（1）PDCA管理模式

BS7799-2標(biāo)準(zhǔn)適合Plan-do-Check-Act模式，這樣便能同其他ISO標(biāo)準(zhǔn)一致，如ISO9001和ISO14001。

這種模式強(qiáng)調(diào)循環(huán)的風(fēng)險(xiǎn)管理和持續(xù)改善所帶來的成就。如圖2所示。

表4是PDCA模型四個(gè)階段的陳述。

（2）持續(xù)的改進(jìn)

在這一點(diǎn)上，啟動(dòng)兩個(gè)循環(huán)步驟：監(jiān)控和改進(jìn)ISMS。

● 實(shí)施監(jiān)控程序和其他控制，允許：快速檢測(cè)處理結(jié)果中的錯(cuò)誤；根據(jù)安全規(guī)則快速定義不符合情況，并能及時(shí)報(bào)告安全事件；確認(rèn)所有的安全任務(wù)無論是個(gè)人承擔(dān)的還是有信息技術(shù)部門實(shí)施的都在按照計(jì)劃進(jìn)行；根據(jù)企業(yè)確定優(yōu)先級(jí)別和安全規(guī)則，定義不符合情況需要采取的行動(dòng)。

● 基于審計(jì)結(jié)果、安全事件、關(guān)注方提出的建議和意見指導(dǎo)周期性的有效ISMS檢查（包括安全目標(biāo)、安全策略和安全措施）。

● 檢查剩余風(fēng)險(xiǎn)和接受風(fēng)險(xiǎn)的等級(jí)，并考慮它們發(fā)生的變化：組織機(jī)構(gòu)的變化；技術(shù)的變化；業(yè)務(wù)目標(biāo)和流程的變化；外部事件變化，例如法律、法規(guī)和公共觀念等。

● 考核ISMS管理規(guī)則（至少一年一次），確認(rèn)ISMS的范圍是合適的并有改進(jìn)意見。ISMS管理檢查的更多信息。

● 對(duì)可能影響ISMS有效性和執(zhí)行的活動(dòng)和事件的關(guān)注。

維護(hù)和改進(jìn)ISMS，確定ISMS運(yùn)營(yíng)是持續(xù)不斷的，企業(yè)必須：

● 實(shí)施定義的改進(jìn)；

● 采取必要的糾正和防護(hù)措施，從企業(yè)過去的安全經(jīng)驗(yàn)或其他經(jīng)驗(yàn)中學(xué)習(xí)，收集更多的ISMS改進(jìn)信息；

● 在協(xié)議范圍內(nèi)分享結(jié)果；

● 確保針對(duì)目標(biāo)的改進(jìn)在計(jì)劃中。

（3）ISMS管理檢查

通則：從管理的角度講必須定期檢查ISMS以便確保充分、能力和有效。檢查必須為目標(biāo)和策略變化的改進(jìn)和評(píng)估創(chuàng)造機(jī)會(huì)。檢查的結(jié)果必須是文檔化的，有記錄并妥善保管。

檢查的輸入：

● ISMS審計(jì)和檢查結(jié)果；

● 關(guān)注方提供的共享信息；

● 改善ISMS執(zhí)行和效率的技術(shù)、產(chǎn)品和流程信息；

● 防護(hù)和糾正措施的狀態(tài)；

● 前期風(fēng)險(xiǎn)評(píng)估沒有關(guān)注的威脅和漏洞；

● 前期管理檢查的后續(xù)活動(dòng)；

● 影響ISMS的修改；

● 改進(jìn)建議。

檢查的輸出：

● ISMS的有效改進(jìn)工作

● 影響ISMS的內(nèi)部和外部事件，如：業(yè)務(wù)需求的變化、安全需求變化、影響目前業(yè)務(wù)需求的業(yè)務(wù)流程變化、法律和管理環(huán)境變化、風(fēng)險(xiǎn)級(jí)別和/或風(fēng)險(xiǎn)接受級(jí)別的變化；

● 資源的需求變化。

（4）內(nèi)部ISMS審計(jì)

企業(yè)必須定期實(shí)施ISMS內(nèi)部審計(jì)，時(shí)間應(yīng)該根據(jù)控制目標(biāo)、控制項(xiàng)、流程和手續(xù)來確定。

（5）持續(xù)改進(jìn)

企業(yè)通過信息安全策略的落實(shí)、安全目標(biāo)實(shí)現(xiàn)、審計(jì)結(jié)果利用、監(jiān)控事件的分析、管理檢查的安全防范和糾正活動(dòng)，確保持續(xù)改進(jìn)ISMS的有效性。

（6）糾正活動(dòng)

企業(yè)要采取行動(dòng)消除實(shí)施和運(yùn)營(yíng)過程中的不符合結(jié)果，防止再次發(fā)生錯(cuò)誤。糾正措施必須包括下面信息：

● 定義實(shí)施和運(yùn)營(yíng)中的不符合部分；

● 定義不符合的原因；

● 確定消除重新發(fā)生需要采取的行動(dòng)；

● 定義和實(shí)施需要采取的糾正措施。

（7）防護(hù)措施

企業(yè)必須對(duì)未來可能發(fā)生的不符合情況采取措施并防止再次發(fā)生。防護(hù)措施對(duì)潛在的不符合影響是合適的。防護(hù)措施的流程應(yīng)該包括如下信息：

● 定義潛在的不符合情況及原因；

● 定義和實(shí)施需要的防護(hù)措施；

● 獲得糾正措施的結(jié)果；

● 檢查防護(hù)措施；

● 風(fēng)險(xiǎn)發(fā)展的定義和描述控制風(fēng)險(xiǎn)的步驟。

（8）記錄控制

記錄的創(chuàng)建和保存是企業(yè)符合ISMS需求和有效運(yùn)營(yíng)的證據(jù)。記錄需要控制，必須考慮相關(guān)的法律。記錄必須是合法的、可辨別的和可訪問的?？刂菩枰鞔_定義，存儲(chǔ)、保護(hù)、訪問、保存時(shí)間和記錄放置必須文檔化。必須對(duì)記錄的范圍和需求做管理規(guī)定。

流程處理和相關(guān)安全事件需要記錄，如：訪問者的簽名記錄、審計(jì)報(bào)告、訪問授權(quán)請(qǐng)求，等等。

（本文作者為北京思源新創(chuàng)信息安全資訊有限公司信息安全高級(jí)咨詢專家）