ISO27001信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)管理(li)體(ti)系(xi)框(kuang)架(jia)的(de)(de)搭建必須(xu)按照(zhao)適(shi)當的(de)(de)程(cheng)序來進行(如下圖(tu)所示)。首先(xian),各個(ge)組織應(ying)該根據(ju)自身(shen)的(de)(de)狀況來搭建適(shi)合自身(shen)業務發展和信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)需(xu)求(qiu)的(de)(de)ISO27001信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)管理(li)體(ti)系(xi)框(kuang)架(jia),并在(zai)正常的(de)(de)業務開展過程(cheng)中具體(ti)實施(shi)構架(jia)的(de)(de)ISO27001信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)管理(li)體(ti)系(xi)。同時(shi)在(zai)信(xin)(xin)(xin)息安(an)(an)全������(quan)(quan)(quan)管理(li)體(ti)系(xi)的(de)(de)基礎上,建立各種與信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)管理(li)框(kuan������g)架(jia)相一致(zhi)的(de)(de)相關文檔、文件,并 對其進行嚴(yan)格(ge)的(de)(de)管理(li)。對在(zai)具體(ti)實施(shi)ISO28001信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)管理(li)體(ti)系(xi)過程(cheng)中出現的(de)(de)各種信(xin)(xin)(xin)息安(an)(an)全(quan)(quan)(quan)事件和安(an)(an)全(quan)(quan)(quan)狀況進行嚴(yan)格(ge)的(de)(de)記錄,并建立嚴(yan)格(ge)的(de)(de)反饋(kui)流程(cheng)和制(zhi)度。
(1)信息安全策略
組(zu) 織(zhi)應制(zhi)定(ding)信息安全策(ce)略(lve)(Information Security Policy)以對組(zu)織(zhi)的信息安全提供管理(li)方(fang)向�������與支持。組(zu)織(zhi)不僅要有一個總(zong)體(ti)的安全策(ce)略(lve),而且,在總(zong)體(ti)策(ce)略(lve)的框架內,根據風(feng)險(xian)評估(gu)的結果,制(zhi)定(ding)更加(jia)具體(ti)的 安全方(fang)針,明確規定(ding)具體(ti)的控制(zhi)規則,如(ru)“清理(li)桌面和清楚屏幕策(ce)略(lve)”、“訪問控制(zhi)策(ce)略(lve)”等。
(2)范圍
組織(zhi)要根據組織(zhi)的特(te)性、地(di)理(li)位(wei)置、資(zi)產和技術對信息(xi)安全(quan)管(guan)理(li)體(ti)系(xi)范圍(scope)進(jin)行界定(ding)。組�����織(zhi)信息(xi)安全(quan)管(guan)理(li)體(ti)系(xi)范圍包括以下項目:
需保護的信息系統(tong)、資產(chan)、技(ji)術。
實物場所(地理位置(zhi)、部門)。
(3)風險評估
組(zu) 織(zhi)需(xu)要選擇一個適合其(qi)安全(quan)要求(qiu)的(de)(de)風(feng)險評(ping)(ping)(ping)������估(gu)(gu)(gu)和管理(li)方案(an),然后進行合乎規范(fan)的(de)(de)評(ping)(ping)(ping)估(gu)(gu)(gu),識別目前面臨的(de)(de)風(feng)險及風(feng)險等級(ji);風(feng)險評(ping)(ping)(ping)估(gu)(gu)(gu)的(de)(de)對(dui)象是(shi)組(zu)織(zhi)的(de)(de)信息(xi)資產(chan),評(ping)(ping)(ping)估(gu)(gu)(gu)考慮 的(de)(de)因素包(bao)括(kuo)資產(chan)所受的(de)(de)威脅(xie)、薄弱(ruo)點及威脅(xie)發生(sheng)后對(dui)組(zu)織(zhi)的(de)(de)影(ying)響。無論采用何(he)種(zhong)風(feng)險評(ping)(ping)(ping)估(gu)(gu)(gu)工具方法,其(qi)最(zui)終(zhong)評(ping)(ping)(ping)估(gu)(gu)(gu)結果應(ying)是(shi)一致的(de)(de)�����。
(4)風險管理
組(zu)織�����(zhi)應根據信息安全策略和所要求的(de������)(de)安全程(cheng)度(du),識別所要管理的(de)(de)風(feng)(feng)險(xian)內容。控制風(feng)(feng)險(xian)包括(kuo)識別所需(xu)的(de)(de)安全措施,通過降低、避免、轉移將風(feng)(feng)險(xian)降至可接受的(de)(de)水平。風(feng)(feng)險(xian)隨著過程(cheng)的(de)(de)更改(gai)、組(zu)織(zhi)的(de)(de)變化、技術(shu)的(de)(de)發展(zhan)及新出現的(de)(de)潛在威脅而變化。
(5)控制目標與控制方式的選擇
風險評估之(zhi����)后,組織應從已(yi)有信息安全技術中(zho��������ng)選擇適(shi)當(dang)的(de)控(kong)制(zhi)方法,包括額外的(de)控(kong)制(zhi)(組織新增加的(de)和法律法規所(suo)要求(qiu)的(de)),降(jiang)低已(yi)識別的(de)風險。
(6)適用性聲明
信息(xi������)安全(quan)適用性聲明(ming)記(ji)錄(lu)了組織(zhi)內(nei)相關的(de)風(feng)險管制目標和針對每種風(feng)險所采取的(de)控制措施。它的(de)準備,一方面是(shi)為(wei)了向(xiang)組織(zhi)內(nei)的(de)員工聲明(ming)對信息(xi)安全(quan)面對風(feng)險的(de)態度(d������u);另一方面也是(shi)為(wei)了向(xiang)外界(jie)表明(ming)組織(zhi)的(de)態度(du)和作為(wei)。
