信息安全风险评估下.pptx

LOGOISO/IEC27001:2005是什么？是什么？ISO/IEC27001:2005内容内容ISO/IEC27001:2005建立练习建立练习ISO/IEC27001:2005介绍介绍第1页/共84页LOGOpISO 27001的标准全称的标准全称（ISO27001标准题目）标准题目）Information technology-Security techniques-Information security management systems-Requirements 信息技术信息技术-安全技术安全技术-信息安全管理体系信息安全管理体系-要求要求nISMS 信息安全管理体系信息安全管理体系 -管理体系管理体系 -信息安全相关信息安全相关 -ISO 27001 的的3 术语和定义术语和定义-3.7nRequirements 要求要求1.0ISO/IEC27001:2005是什么是什么第2页/共84页LOGOp建立方针和目标并实现这些目建立方针和目标并实现这些目标的相互关联或相互作用的一标的相互关联或相互作用的一组要素。组要素。p管理体系包括组织结构，策略，管理体系包括组织结构，策略，规划，角色，职责，流程，程规划，角色，职责，流程，程序和资源等。序和资源等。(ISO 270013 术术语和定义语和定义-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇员，均囊括在管理体系范有雇员，均囊括在管理体系范围内。围内。1.1什么是管理体系？什么是管理体系？Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)第3页/共84页LOGO1.1什么是信息安全？什么是信息安全？AlterationDestructionDisclosureInformationIntegrityAvailabilityConfidentialityInformation保护信息的保密性、完整性和可用性保护信息的保密性、完整性和可用性(CIA);另外也可另外也可包括诸如真实性，可核查性，不可否认性和可靠性包括诸如真实性，可核查性，不可否认性和可靠性等特性等特性(ISO270013术语和定义术语和定义-3.4)p 机密性（机密性（Confidentiality）信息不能被未授权的个人，实体或者过程利用或信息不能被未授权的个人，实体或者过程利用或知悉的特性知悉的特性(ISO270013术语和定义术语和定义-3.3)p完整性（完整性（Integrity）保护资产的准确和完整的特性保护资产的准确和完整的特性(ISO270013术术语和定义语和定义-3.8).确保信息在存储、使用、传输过确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。内、外部表示的一致性。p可用性（可用性（Availability）根据授权实体的要求可访问和利用的特性根据授权实体的要求可访问和利用的特性(ISO270013术语和定义术语和定义-3.2).确保授权用户或实体确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源其可靠而及时地访问信息及资源第4页/共84页LOGO信息安全管理体系信息安全管理体系(ISMS):是整个管理体系的一部是整个管理体系的一部分，建立在业务风险的分，建立在业务风险的方法上，以：方法上，以：p建立建立p实施实施p运作运作p监控监控p评审评审p维护维护p改进改进信息安全。信息安全。1.2ISO27001的第的第3章章“术语和定义术语和定义-3.7职业健康安全职业健康安全IT服务服务信息安全信息安全环境环境管理体系管理体系食品安全食品安全质量质量建设了建设了ISMS，尤其是获取了，尤其是获取了ISO27001认认证后，组织将在信息安全方面进入一个强证后，组织将在信息安全方面进入一个强制的良性循环。制的良性循环。第5页/共84页LOGO1.327001的总要求的总要求(ISO270014.1)相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期要求和期望望相关方相关方检查检查CheckCheck建立建立ISMSISMS实施和实施和运行运行ISMSISMS保持和保持和改进改进ISMSISMS监视和监视和评审评审ISMSISMS规划规划PlanPlan实施实施DoDo处置处置ActAct图图1 应用于应用于ISMS过程的过程的PDCA模型模型一个组织应在其整体业务活动和所面临风风险险的环境下建立、实施、运行、监视、评审、保持和改进文文件件化化的的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型模型。第6页/共84页LOGO0.Introduction1.Scope2.Normative references3.Terms and definitions4.Information security management system4.1 General requirements4.2 Establishing and managing the ISMS4.2.1 Establish the ISMS4.2.2 Implement and operate the ISMS4.2.3 Monitor and review the ISMS4.2.4 Maintain and improve the ISMS4.3 Documentation requirements5.Management responsibility6.Internal ISMS audits7.Management review of the ISMS8.ISMS improvementAnnex AISO27001:2005,AnnexA11Clauses39Objectives133Controls1.4ISO27001的结构的结构第7页/共84页LOGO1.5ISO27001所关注的领域所关注的领域(ISO27001附录附录A)合规性（Compliance）业务连续性管理（Business Continuity Management）信息安全事故管理（Information Security Incident Management）访问控制（Access Control）人力资源安全（Human Resource Security）物理和环境安全（Physical and Environmental Security）通信和操作管理（Communications and Operations Management）信息系统的获取、开发和维护（Information System Acquisition,Development and Maintenance）资产管理（Asset Management）组织信息安全（Organization of Information Security）安全策略（Information Security Policy）第8页/共84页LOGO十大管理要项（BS7799）：信息安全策略：为信息安全提供管理指导和支持机构安全基础设施，目标包括：内部信息安全管理；保障机构的信息处理设施以及信息资产的安全；当信息处理的责任外包时，维护信息的安全性资产分类和控制：对资产进行分类和控制，确保机构资产和信息资产得到适当水平的保护。人员安全，其目标是：减少由于人为错误、盗窃、欺诈和设施误用等造成的风险；确保用户了解信息安全威胁，确保其支持机构的安全策略；减少安全事故和故障造成的损失，并从事故中吸取教训。物理和环境安全，其目标包括：防止对业务场所和信息的非法访问、破坏以及干扰；防止资产的丢失、破坏、威胁对业务活动的中断；防止信息或信息处理设施的损坏或失窃。第9页/共84页LOGO通信和操作的管理，其目标是确保信息设施处理的正确、安全操作；把系统错误的风险降到最低；保护软件和信息的完整性；维护信息处理和通信的完整性和有效性；加强对网络中信息和支持设施的保护；防止资产损坏和活动的中断；在机构间交换信息时，防止信息的丢失、篡改以及误用等情况。系统访问控制，其目标是：控制对信息的访问；防止对信息系统的非授权访问；确保对网络服务的保护；防止未授权的计算机访问；检测未授权的活动；确保便携式计算机和无线网络的信息安全。第10页/共84页LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理体系的要求控制措施的要求控制措施的要求ISO 17799实施细则（一整套最佳实实施细则（一整套最佳实践）践）控制措施的实施建议和实控制措施的实施建议和实施指导施指导ISO27001的附录的附录A的细的细化与补充化与补充1.6ISO27001与与ISO17799（27002）*为设计控制措施提供实施指南为设计控制措施提供实施指南*“ISO270011范围-注 2”：ISO/IEC 17799为设计控制措施提供实施指南第11页/共84页LOGOISO17799:2000国际标准国际标准BS7799-1:1999BS7799-2:1999英国标准英国标准BS7799-2:2002BS7799-1:2000ISO27002:2005ISO27001:2005BS7799:1996BS7799-3:20051.7安全管理体系标准的发展历史安全管理体系标准的发展历史第12页/共84页LOGOISO/IEC27001:2005是什么？是什么？ISO/IEC27001:2005内容内容ISO/IEC27001:2005建立练习建立练习ISO/IEC27001:2005介绍介绍第13页/共84页LOGO0.引言1.范围2.规范性应用文件3.术语和定义4.信息安全管理体系(ISMS)4.1 总要求4.2 建立和管理ISMS4.2.1 建立 ISMS4.2.2 实施和运维 ISMS4.2.3 监控和评审 ISMS4.2.4 维护和改进 ISMS4.3 文件要求5.管理职责6.ISMS的内部审核7.ISMS的管理评审8.ISMS 改进附录A 控制目标和控制措施附录B OECD原则与本标准附录C ISO9001:2000和ISO14001:2004对照参考书目2ISO/IEC27001:2005的结构的结构27001核心部分核心部分（条款（条款4-8)27001核心部分核心部分27001辅助部分辅助部分27001辅助部分辅助部分第14页/共84页LOGO2.127001核心内容（核心内容（4-8条款）条款）相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相关方相关方检查检查CheckCheck建立建立ISMSISMS实施和实施和运行运行ISMSISMS保持和保持和改进改进ISMSISMS监视和监视和评审评审ISMSISMS规划规划PlanPlan实施实施DoDo处置处置ActAct图图1 应用于应用于ISMS过程的过程的PDCA模型模型一个组织应在其整体业务活动和所面临风风险险的环境下建立、实施、运行、监视、评审、保持和改进文文件件化化的的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型模型。(ISO27001 4.1 总要求)第15页/共84页LOGO2.2PDCA与与4-8条款关系条款关系PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方针、方针、目标、过程和程序，以提供与组织整体方针和目目标、过程和程序，以提供与组织整体方针和目标相一致的结果。标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和程序。方针、控制措施、过程和程序。4.2.2C-检查监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并在适当方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者时，测量过程的执行情况，并将结果报告管理者以供评审。以供评审。4.2.367A-处置保持和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者其他相内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进关信息，采取纠正和预防措施，以持续改进ISMSISMS。4.2.48规定你应该做什么规定你应该做什么并形成文件并形成文件评审你所做的事情的符合性评审你所做的事情的符合性做文件已规定的事情做文件已规定的事情采取纠正和预防措施，采取纠正和预防措施，持续改进持续改进PLANDOCHECKACT第16页/共84页LOGO条款的重要性条款的重要性本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。为了满足风险接受准则所必须进行的任何控制措施的删减（附录A），必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织提供由风险评估和适用法律法规要求所确定的安全需求的能力和/或责任，否则不能声称符合本标准。第17页/共84页LOGOn4.1 总要求总要求 风险风险+PDCA+文件化的文件化的ISMSn4.2.1 建立建立ISMS a)范围范围(Scope of the ISMS)b)策略策略(ISMS Policy)c)h)风险评估和管理风险评估和管理(Risk Management)i)管理者授权实施和运行管理者授权实施和运行ISMS j)适用声明适用声明(SOA)n4.3 文件要求文件要求n5 管理职责管理职责pP：建立建立ISMS2.2PDCA第18页/共84页LOGO根据组织及其业务特点、位置、资产、技术，确定ISMS的范围和边界，包括对例外于此范围的对象作出详情和合理性的说明。n组织：所有部门？还是某个业务部？n业务：所有业务系统还是部门相关系统？n位置：一个大楼？还是全北京，全省，全国？n资产：软件、硬件、数据、服务、人员？拿证过外审须提交文件ISMS范围p4.2.1a)ISMS范围范围2.2.1PDCA-4.2.1a)第19页/共84页LOGO根据组织及其业务特点、位置、资产和技术，确定ISMS方针，应：n1)为其目标建立一个框架并为信息安全行动建立整体的方向和原则；n2)考虑业务和法律法规的要求，及合同中的安全义务；n3)在组织的战略性风险管理环境下，建立和保持ISMS；n4)建立风险评价的准则见4.2.1 c；n5)获得管理者批准。拿证过外审须提交文件ISMS范围p4.2.1b)ISMSPolicy2.2.2PDCA-4.2.1b)第20页/共84页LOGO nC)风险评估方法nD)识别风险(执行风险评估)nE)分析风险nF)识别和评价风险处置的可选措施nG)为处理风险选择控制目标和控制措施nH)获得管理者对建议的残余风险的批准拿证过外审须提交文件风险评估方法描述、风险评估报告、风险处置计划p4.2.1c)h)风险管理风险管理2.2.2PDCA-4.2.1c)h)如何做风险评估和如何做风险评估和风险处置？风险处置？第21页/共84页LOGOISO27001正式的标准正式的标准可认证的标准可认证的标准管理体系的要求管理体系的要求控制措施的要求控制措施的要求ISO TR 13335风险管理方法论风险管理方法论提供如何识别风险到风险提供如何识别风险到风险处置处置对对ISO27001的风险评估的风险评估方法的细化和补充方法的细化和补充2.2.4ISO27001与与ISO13335为风险管理提供方法为风险管理提供方法“ISO270014.2.1 c)注”：风险评估具有不同的方法。在ISO/IEC TR 13335-3（IT安全管理指南：IT安全管理技术）中描述了风险评估方法的例子 第22页/共84页LOGO2.2.5ISO13335：以风险为核心的安全模型：以风险为核心的安全模型风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足第23页/共84页LOGOq任何对组织有价值的东西任何对组织有价值的东西ISO/IEC27001:20053术语和定义术语和定义q资产是企业、机构直接赋予了价值因而需要保护的东西资产是企业、机构直接赋予了价值因而需要保护的东西。q信息资产是指组织的信息系统、其提供的服务以及处理的数据。信息资产是指组织的信息系统、其提供的服务以及处理的数据。资产的根本属性是：资产的根本属性是：价值价值（C C、I I、A A值）值）2.2.4.1资产（资产（Asset）风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足第24页/共84页LOGO q脆脆弱弱性性是是资资产产本本身身存存在在的的，它它可可以以被被威威胁胁利利用用、引引起起资资产产或或商商业业目目标的损害标的损害。q脆脆弱弱性性包包括括物物理理环环境境、组组织织、过过程程、人人员员、管管理理、配配置置、硬硬件件、软软件和信息等各种资产的脆弱性。件和信息等各种资产的脆弱性。q脆脆弱弱性性的的根根本本属属性性是是：严严重重程程度度（脆脆弱弱性性被被利利用用后后对对资产的损害程度、脆弱性被利用的难易程度）资产的损害程度、脆弱性被利用的难易程度）2.2.4.2（Vulnerability）风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足第25页/共84页LOGOq威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。q威威胁胁可可以以分分为为人人为为威威胁胁（故故意意、非非故故意意）和和非非人人为为威威胁胁（环环境境、故故障障）2种。种。q威威胁胁的的根根本本属属性性是是：出出现现的的频频率率（还还包包括括威威胁胁的的能能力力，威威胁的决心。）胁的决心。）2.2.4.3威胁（威胁（Threat）风险风险安全措施安全措施信息资产信息资产威胁威胁漏洞漏洞安全需求安全需求降低增加增加利用暴露价值价值拥有抗击增加引出被满足第26页/共84页LOGO2.2.5风险评估实施流程图风险评估实施流程图第27页/共84页LOGOp4.3文件要求文件要求2.3.1PDCA-4.3文件要求文件要求文件的作用文件的作用n是指导组织有关信息安全工作方面的内部是指导组织有关信息安全工作方面的内部“法规法规”-使工作有使工作有章可循。章可循。n是组织实际工作的标准。是组织实际工作的标准。ISMS文件是根据文件是根据ISMS标准和组织标准和组织需要需要“量身定做量身定做”的实际工作的标准。对一般员工来说，在的实际工作的标准。对一般员工来说，在其实际工作中，可以不过问其实际工作中，可以不过问ISMS标准标准(ISO/IEC 27001:2005)，但必须按照，但必须按照ISMS文件的要求执行工作。文件的要求执行工作。n是控制措施（是控制措施（controls）的重要部分。）的重要部分。n提供客观证据提供客观证据-为满足相关方要求，以及持续改进提供依据。为满足相关方要求，以及持续改进提供依据。n提供适宜的内部培训的依据。提供适宜的内部培训的依据。n提供提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核（包括内审和外审）的依据，文件审核、现场审核。审核。第28页/共84页LOGOp4.3.1包含文件包含文件2.3.2PDCA-4.3.1总则总则序号序号文件名称标准条款标准条款1 1ISMSISMS策略和目标策略和目标4.3.1 a)4.3.1 a)2 2ISMSISMS范围范围4.3.1 b)4.3.1 b)3 3风险评估方法的描述风险评估方法的描述4.3.1 b)4.3.1 b)4 4风险评估报告风险评估报告4.3.1 e)4.3.1 e)5 5风险处理计划风险处理计划4.3.1 f)4.3.1 f)6 6适用性声明适用性声明4.3.1 i)4.3.1 i)7 7标准要求的纪录标准要求的纪录4.3.1 h)4.3.1 h)8 8文件控制程序文件控制程序4.3.24.3.29 9记录控制程序记录控制程序4.3.34.3.31010内部审核程序内部审核程序6 61111管理评审程序管理评审程序7.17.11212纠正措施程序纠正措施程序8.28.21313预防措施程序预防措施程序8.38.3注1：本标准出现“形成文件的程序”之处，即要求建立该程序，形成文件，并加以实施和保持。第29页/共84页LOGOp4.3.2文件控制文件控制2.3.3PDCA-4.3.2a)批准批准b)评审、更新并再批准；评审、更新并再批准；c)修订状态得到标识；修订状态得到标识；d)在使用处可获得适用文件；在使用处可获得适用文件；e)清晰、易于识别；清晰、易于识别；f)对需要的人员可用，传输、贮存和最终销毁；对需要的人员可用，传输、贮存和最终销毁；g)外来文件标识；外来文件标识；h)分发控制；分发控制；i)防止作废文件的非预期使用；防止作废文件的非预期使用；j)作废文件的标识。作废文件的标识。第30页/共84页LOGOp4.3.3记录控制记录控制2.3.4PDCA-4.3.3a)建立并保持，以提供证据。建立并保持，以提供证据。b)保护和控制。应考虑相关法律法规要求和合同义务。保护和控制。应考虑相关法律法规要求和合同义务。c)清晰、易于识别和检索。清晰、易于识别和检索。d)记录的标识、贮存、保护、检索、保存期限和处置所记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。需的控制措施应形成文件并实施。e)记录的详略程度应通过管理过程确定。记录的详略程度应通过管理过程确定。f)应保留应保留4.2中列出的过程执行记录和所有发生的与中列出的过程执行记录和所有发生的与ISMS有关的安全事故的记录。有关的安全事故的记录。第31页/共84页LOGOp5.1管理承诺管理承诺2.3.5PDCA-5a)制定制定ISMS方针；方针；b)确保确保ISMS目标和计划得以制定；目标和计划得以制定；c)建立信息安全的角色和职责；建立信息安全的角色和职责；d)向组织传达满足信息安全目标、符合信息安全方针、向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；履行法律责任和持续改进的重要性；e)提供足够资源，以建立、实施、运行、监视、评审、提供足够资源，以建立、实施、运行、监视、评审、保持和改进保持和改进ISMS（见（见5.2.1）；）；f)决定接受风险的准则和风险的可接受级别；决定接受风险的准则和风险的可接受级别；g)确保确保ISMS内部审核的执行（见第内部审核的执行（见第6章）；章）；h)实施实施ISMS的管理评审（见第的管理评审（见第7章）。章）。第32页/共84页LOGOp5.2资源管理资源管理2.3.6PDCA-5 5.2.1 资源提供资源提供 应确定并提供信息安全工作所需的资源人、财、物应确定并提供信息安全工作所需的资源人、财、物 5.2.1 培训、意识和能力培训、意识和能力确保所有分配有确保所有分配有ISMSISMS职责的人员具有执行所要求任务的职责的人员具有执行所要求任务的能力能力确保所有相关人员意识到其信息安全活动的适当性和重确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到要性，以及如何为达到ISMSISMS目标做出贡献。目标做出贡献。第33页/共84页LOGO2.4PDCA与与4-8条款关系条款关系PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方针、目标、过程和程序，以提供与方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和方针、控制措施、过程和程序。程序。4.2.2C-检查监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结在适当时，测量过程的执行情况，并将结果报告管理者以供评审。果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以其他相关信息，采取纠正和预防措施，以持续改进持续改进ISMSISMS。4.2.48规定你应该做什么规定你应该做什么并形成文件并形成文件做文件已规定的事情做文件已规定的事情PLANDO第34页/共84页LOGOp4.2.2实施和运行实施和运行ISMS2.4.1PDCA-4.2.2a)制定风险处理计划（见条款制定风险处理计划（见条款5）。）。b)实施风险处理计划。实施风险处理计划。c)实施实施4.2.1(g）中所选择的控制措施。）中所选择的控制措施。d)测量所选择的控制措施或控制措施集的有效性（见条款测量所选择的控制措施或控制措施集的有效性（见条款4.2.3c)）。）。e)实施培训和意识教育计划（见条款实施培训和意识教育计划（见条款5.2.2）。）。f)管理管理ISMS的运行。的运行。g)管理管理ISMS的资源（见条款的资源（见条款5.2）。）。h)事件和事故响应（见条款事件和事故响应（见条款4.2.3 a）。）。第35页/共84页LOGO2.5PDCA与与4-8条款关系条款关系PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方针、目标、过程和程序，以提供与方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和方针、控制措施、过程和程序。程序。4.2.2C-检查监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结在适当时，测量过程的执行情况，并将结果报告管理者以供评审。果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以其他相关信息，采取纠正和预防措施，以持续改进持续改进ISMSISMS。4.2.48规定你应该做什么规定你应该做什么并形成文件并形成文件评审你所做的事情的符合性评审你所做的事情的符合性做文件已规定的事情做文件已规定的事情PLANDOCHECK第36页/共84页LOGOp4.2.3监视和评审监视和评审ISMS2.5.1PDCA-4.2.3a)执行监视和评审程序和其它控制措施。执行监视和评审程序和其它控制措施。b)ISMS有效性的定期评审。有效性的定期评审。c)测量控制措施的有效性以验证安全要求是否被满足。测量控制措施的有效性以验证安全要求是否被满足。d)按照计划的时间间隔进行风险评估的评审。按照计划的时间间隔进行风险评估的评审。e)按计划的时间间隔，对按计划的时间间隔，对ISMS进行内部审核（见条款进行内部审核（见条款6）。）。f)定期对定期对ISMS进行管理评审（见条款进行管理评审（见条款 7）。）。g)考虑监视和评审活动的结果，以更新安全计划。考虑监视和评审活动的结果，以更新安全计划。h)记录可能影响记录可能影响ISMS的有效性或执行情况的措施和事件（见的有效性或执行情况的措施和事件（见4.3.3）。）。第37页/共84页LOGOp6内部评审内部评审术语术语2.5.2PDCA-6n审核审核 auditaudit 为获得审核证据并对其进行客观的评价，以确定满足审核准则的为获得审核证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。程度所进行的系统的、独立的并形成文件的过程。n内部审核内部审核 internal auditinternal audit 有时有时称为第一方审核，用于内部目的的，由组织自己或以组织名称为第一方审核，用于内部目的的，由组织自己或以组织名义进行，可作为组织自我合格声明的基础。（条款义进行，可作为组织自我合格声明的基础。（条款4.2.3 注）注）n审核员审核员 auditorauditor 有能力实施审核的人员。有能力实施审核的人员。n审核方案审核方案 audit programmeaudit programme 针对特定时间段所策划，并具有特定目的的一组针对特定时间段所策划，并具有特定目的的一组(一次或多次一次或多次)审核审核n符合（合格）符合（合格）conformityconformity 满足要求满足要求n不符合（不合格）不符合（不合格）nonconformitynonconformity未满足要求未满足要求第38页/共84页LOGOp6内部评审内部评审条款条款2.5.3PDCA-6按照计划的时间间隔进行内部按照计划的时间间隔进行内部ISMS审核。审核。审核方案。审核方案。审核的客观和公正，审核员不应审核自己的工作。审核的客观和公正，审核员不应审核自己的工作。文件化内审程序并定义清晰的职责和要求。文件化内审程序并定义清晰的职责和要求。受审核区域的管理者应消除不符合及其原因，并跟踪受审核区域的管理者应消除不符合及其原因，并跟踪验证。验证。ISO19011:2002 给出了审核指南。给出了审核指南。第39页/共84页LOGOp7.1管理评审管理评审总则总则2.5.4PDCA-7按照计划的时间间隔进行管理评审，至少一按照计划的时间间隔进行管理评审，至少一年一次。年一次。包括评估包括评估ISMS改进的机会和变更的需要。改进的机会和变更的需要。包括信息安全方针和信息安全目标。包括信息安全方针和信息安全目标。评审报告和评审记录。评审报告和评审记录。第40页/共84页LOGOp7.2管理评审管理评审评审输入评审输入2.5.5PDCA-7a)ISMS审核和评审的结果；审核和评审的结果；b)相关方的反馈；相关方的反馈；c)组织用于改进组织用于改进ISMS执行情况和有效性的技术、产品或程序；执行情况和有效性的技术、产品或程序；d)预防和纠正措施的状况；预防和纠正措施的状况；e)以往风险评估没有充分强调的脆弱点或威胁；以往风险评估没有充分强调的脆弱点或威胁；f)有效性测量的结果；有效性测量的结果；g)以往管理评审的跟踪措施；以往管理评审的跟踪措施；h)可能影响可能影响ISMS的任何变更；的任何变更；i)改进的建议。改进的建议。第41页/共84页LOGOp7.3管理评审管理评审评审输出评审输出2.5.6PDCA-7a)ISMS有效性的改进；有效性的改进；b)风险评估和风险处理计划的更新；风险评估和风险处理计划的更新；c)必要时修改影响信息安全的程序，以响应内部或外部必要时修改影响信息安全的程序，以响应内部或外部可能影响可能影响ISMS的事件；的事件；d)资源需求；资源需求；e)正在被测量的控制措施的有效性的改进。正在被测量的控制措施的有效性的改进。第42页/共84页LOGO2.6PDCA与与4-8条款关系条款关系PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方针、目标、过程和程序，以提供与方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。组织整体方针和目标相一致的结果。4.14.2.14.35D-实施实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和方针、控制措施、过程和程序。程序。4.2.2C-检查监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结在适当时，测量过程的执行情况，并将结果报告管理者以供评审。果报告管理者以供评审。4.2.367A-处置保持和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以其他相关信息，采取纠正和预防措施，以持续改进持续改进ISMSISMS。4.2.48规定你应该做什么规定你应该做什么并形成文件并形成文件评审你所做的事情的符合性评审你所做的事情的符合性做文件已规定的事情做文件已规定的事情采取纠正和预防措施，采取纠正和预防措施，持续改进持续改进PLANDOCHECKACT第43页/共84页LOGOp4.2.4保持和改进保持和改进ISMS2.6.1PDCA-4.2.4组织应经常：组织应经常：a)实施已识别的实施已识别的ISMS改进措施。改进措施。b)依照依照8.2和和8.3采取合适的纠正和预防措施。从其它组织和组采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。织自身的安全经验中吸取教训。c)向所有相关方沟通措施和改进措施，其详细程度应与环境相向所有相关方沟通措施和改进措施，其详细程度应与环境相适应，需要时，商定如何进行。适应，需要时，商定如何进行。d)确保改进达到了预期目标。确保改进达到了预期目标。第44页/共84页LOGOp8ISMS改进改进2.6.2PDCA-8n持续改进持续改进 continual improvementcontinual improvement 增强满足要求的能力的循环活动增强满足要求的能力的循环活动。n预防措施预防措施 preventive actionpreventive action 为消除潜在不符合或其他潜在不期望情况的原因所为消除潜在不符合或其他潜在不期望情况的原因所采取的措施。采取的措施。n纠正措施纠正措施 corrective actioncorrective action 为消除已发现的不符合或其他不期望情况的原因所为消除已发现的不符合或其他不期望情况的原因所采取的措施。采取的措施。第45页/共84页LOGOp8.1持续改进持续改进2.6.3PDCA-8 组织应通过使用信息安全方针、安全目标、审核结组织应通过使用信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审果、监视事件的分析、纠正和预防措施以及管理评审（见第（见第7 7章），持续改进章），持续改进ISMSISMS的有效性。的有效性。第46页/共84页LOGOp8.2预防措施预防措施2.6.5PDCA-8应确定措施，以消除潜在不符合的原因，防止其发生。应确定措施，以消除潜在不符合的原因，防止其发生。预防措施程序应规定以下要求：预防措施程序应规定以下要求：a)a)识别潜在的不符合及其原因；识别潜在的不符合及其原因；b)b)评价防止不符合发生的措施需求；评价防止不符合发生的措施需求；c)c)确定和实施所需要的预防措施；确定和实施所需要的预防措施；d)d)记录所采取措施的结果（见记录所采取措施的结果（见4.3.34.3.3）；）；e)e)评审所采取的预防措施。评审所采取的预防措施。应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。应识别变化的风险，并识别针对重大变化的风险的预防措施的要求。预防措施的优先级要根据风险评估的结果确定。预防措施的优先级要根据风险评估的结果确定。预防不符合的措施通常比纠正