信息安全管理体系建设 - 信息安全管理体系建设过程 - 《CISP笔记》

一、规划与建立
二、安全控制措施内部结构
下面开始ISO27001的结构展开
一、A5信息安全方针
二、信息安全组织

本章需掌握知识点：

信息安全管理体系建设过程
- 掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容
- 理解实施与运行、监视和评审、维护、改进阶段工作内容
文档化（信息安全管理体系务必文档流程化）
- 理解文档化的重要性并了解文件体系及文件控制的方式
  一、规划与建立

组织背景
1. 建立信息安全管理体系的基础
2. 了解组织有关信息安全的内部和外部问题
  1. 内部问题：人员、管理、流程等
  2. 外部问题：合作伙伴、供应商、外包商等
3. 确定ISMS管理范围
4. 建立、实施、运行、保持、持续改进符合国际标准要求的ISMS
领导力
1. 管理承诺是建立信息安全管理体系的关键成功因素之一
2. 建立在组织的整体管理基础，需要组织整体参与
3. 组织高层确定的信息安全方针并文档化，明确描述组织的角色、职责、权限
计划
1. 计划建立在风险评估基础上
2. 计划必须符合组织的安全目标
3. 层次改进
支持
1. 获得资源
2. 全员宣贯培训
实施与运行
1. 实施风险评估，确定所识别信息资产的信息安全风险以及处理信息安全风险的决策，形成信息安全要求
2. 控制措施适度安全
3. 控制在适用性声明中形成文件
监视与评审
1. 根据组织政策和目标，监控，评估绩效来维护和改进ISMS
维护与改进
1. 不符合性和纠正措施
2. 持续改进
文档化
1. 文档化结构参考ISO9000要求，从上到下分为
  1. 一级文件：方针、政策
  2. 二级文件：制度、流程、规范
  3. 三级文件：使用手册、操作指南、作业指导书
  4. 四级文件：日志、记录、检查表、模板、表单
2. 文档结构
  1. 建立
  2. 批准发布
  3. 评审与更新
  4. 文件保存
  5. 文件作废

二、安全控制措施内部结构

结构
1. 14个类别
2. 35个目标
3. 114个控制措施
描述方式
1. 控制类
2. 控制目标
3. 控制措施
4. 实施指南 | A5信息安全方针 | | | | | | —- | —- | —- | —- | —- | | A6信息安全组织 | | | | | | A7人力资源安全 | | | | | | A8资产管理 | | | | | | A9访问控制 | | | | A14系统的获取、开发及维护 | | A10加密技术 | A11物理和环境安全 | A12操作安全 | A13通信安全 | | | A15供应商关系 | | | | | | A16信息安全事件管理 | | | | | | A17业务连续性管理中的信息安全 | | | | | | A18符合性 | | | | |

——————————————————————-分割线———————————————————————————————————

下面开始ISO27001的结构展开

一、A5信息安全方针

控制目标：组织的安全方针能够依据业务要求和相关法律法规提供管理指导并支持信息安全
控制措施：
1. 信息安全方针
  1. 信息安全方针应由管理者批准、发布并传达给所有员工和外部相关方
2. 信息安全方针评审
  1. 宜按计划的时间间隔或重大变化发生时进行信息安全方针评审，以确保它持续的适宜性、充分性和有效性。
    二、信息安全组织
内部组织
1. 控制目标：建立一个管理框架，用以启动和控制的组织内信息安全的实施与运行
2. 控制措施
  1. 信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全
移动设备与远程办公
1. 控制目标：确保远程办公和使用移动设备时的安全性
2. 控制措施：
  1. 移动设备方针，管理移动带来的风险
  2. 保护远程工作地点的信息访问、处理和存储