该文档随时断更或更新,取决于我的经验与工作进展

    一般来说,ISMS体系是自上而下的,那么在自上而下建立体系时,我们应当遵循怎样的过程?

    1. 首先,信息安全专家应当理解公司的业务方向,盈利点,人力资源与财政管理情况
    2. 信息安全专家,应当根据了解到的公司经营情况,给出基本的企业信息安全组建框架,该框架应当按照如下先后顺序确定以下内容:
      1. 确立企业信息安全最高组织(一般需要董事会或总裁办高层下发政令)
        1. 该最高组织,应当确定内部运营情况影响信息安全管理体系的风险点,对于风险点的模型确立,可参考文档ISO31000:2009[5],5.3 中建立外部和内部环境的内容。
        2. 组织应确定,信息安全管理体系各个部门的第一责任人(一般由各部门最高领导担任),让各个部门均参与进信息安全管理体系的工作中,同时各部门应当出具信息安全代理人(代理人代行第一责任人负责本部门的信息安全管理职责)
        3. 组织应当告知信息安全管理体系中参与者的安全要求(根据安全管理体系划分职责,举例:组织应承担的责任,人力部门承担的责任,安全部门承担的责任,全体员工承担的责任),该要求包括法律法规和合法的合同义务。
      2. 确立信息安全管理体系承担的范围(如组织内的适用性,业务边界,比如本制度适用于)
        1. 确定范围时,应当首先考虑外部与内部的风险
        2. 管理体系中涉及到的信息安全各责任人,与各部门的职责与要求
        3. 组织如何传递安全管理活动的指令与有效的执行,同时该范围必须体现在公司的制度文件中。
      3. 组织应按照ISO27001文件的要求,建立、实施、保持和持续改进信息安全管理体系(空话,可放在制度文件中,组织的管理职责内,同时应对资质复核时需要体现到文件中)
      4. 对于组织,有领导力要求,以下贴上27001原文件要求,以及转换成组织的责任表格对比(右边职责可直接取舍引用到最高组织职责确定的文档中):

    最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺:

    序号 27001要求 最高组织职责
    1 确保信息安全方针和信息安全目标已建立,并与组织战略方向一致; 负责制定信息安全方针、信息安全管理目标
    2 确保将信息安全管理体系要求整合到组织过程中; 负责决策与信息安全管理相关的重大事项,包括信息安全组织机构调整、信息安全关键人事变动以及信息安全管理重大策略变更、确认可接受的风险和风险水平等
    3 确保信息安全管理体系所需资源可用; 为信息安全管理体系配备必要的资源。
    4 传达有效的信息安全管理及符合信息安全管理体系要求的重要性; 确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
    5 确保信息安全管理体系达到预期结果; 组织公司信息安全风险评估和风险管理,组织开展信息安全内部审核、安全检查工作,监控信息安全事件和确保安全控制措施得到执行。
    6 指导并支持相关人员为信息安全管理体系有效性做出贡献 确立信息安全管理体系中个人员职责与要求
    7 促进持续改进; 评审与监督重大信息安全事故的处理与改进;定期组织信息安全管理体系(ISMS)评审等
    8 支持其他相关管理者角色,在其职责范围内展现领导力。 负责公司整体信息安全管理工作,推动信息安全工作的实施

    备注:对于领导力,需根据组织业务发展制定适宜的信息安全方针,该方针必须同时满足改进信息安全体系的承诺,同时在企业内部形成可用的具体指导文件。

    1. 在确立完信息安全组织管理框架后,我们接下来需要考虑如何做信息安全体系的工作规划,那么对于一个企业,一个组织内部,对于安全的工作规划需要考虑哪些点呢?
      1. 首先我们需要考虑风险,如何应对风险
        1. 确保信息安全管理体系达到预期的效果(确保效果就要进行风险评估、管理,开展内部审核、检查,监控安全控制措施得到的落地执行结果)
        2. 预防或减少意外的影响(如果需要进行预防风险,那么就需要采取各种措施,同时定期去验证它是否是有效的,可持续性是否是保障的,如:为了不让外部人员进入公司,我们就要实行门禁卡管理,同时每年要验证我们的门禁系统是否是正常的)
        3. 实现持续改进(实际落地则是每年计划内的年度安全体系年审、以及定期的抽查等措施)
      2. 那么说完如何应对风险后,我们如何进行企业内风险的评估呢?我们可以考虑如下几点(具体识别风险,我会专门出一期ISO31000:2009风险识别的解读文章,因为在27001中并没有具体的指导我们该如何去识别风险)
        以下直接引用原文,后期再改
        1. 建立和维护信息安全风险准则,包括:
          1. 风险接受准则
          2. 信息安全风险评估实施准则
        2. 确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果
        3. 识别信息安全风险
          1. 应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密 性、完整性和可用性损失有关的风险
          2. 识别风险责任人
        4. 分析信息安全风险
          1. 评估 6.1.2 c) 1)中所识别的风险发生后,可能导致的潜在后果
          2. 评估 6.1.2 c) 1)中所识别的风险实际发生的可能性
          3. 确定风险级别
        5. 评价信息安全风险
          1. 将风险分析结果与 6.1.2 a)中建立的风险准则进行比较
          2. 排列已分析风险的优先顺序,以便于风险处置
        6. 组织应保留信息安全风险评估过程的文件化信息
    2. 违规处罚标准的建立与依据
    3. 场地安全建设与审计标准建立建设
    4. 供应商管理
    5. 资产管理