对内#

• 保护关键信息资产和知识产权
• 受攻击时确保业务不中断并将降低损失
• 建立信息安全审计框架，实施监督检查
• 建立起文档化的信息安全管理规范、实现有法可依、有章可循、有据可查

对外#

• 提高利益相关方对组织的信心
• 明确界定信息安全责任
• 更好满足外部的审计要求
• 更好符合法律法规的要求
• IOS27001认证，提高组织公信度
• 可明确要求供应商提高信息安全水平，保证数据交换中的信息安全

GB/Z 24364风险管理流程#

1. 背景建立：确定风险管理的对象和范围，确立实施风险管理的准备，进行相关信息的调查和分析

   • 风险管理准备：确定对象、组建团队、制定计划、获得支持
   • 信息系统调查：业务目标、技术和管理上的特点

2. 风险评估：

   • 准备：制定方案、选择方法（漏扫等等）
   • 风险要素识别：发现系统存在的威胁、脆弱性和控制措施
   • 风险分析
   • 结果判定

3. 风险处理：将风险控制在可接受的范围内

   • 心存风险判断：哪些风险可以接受，哪些不可以
   • 处理目标确认
   • 处理措施选择
   • 处理措施实施

4. 批准监督：

   • 批准：指机构的决策层根据风险评估和风险处理的结果是否满足信息系统的安全要求，做出是否认可风险管理活动的决定
   • 监督：指检查机构及其信息系统以及信息安全相关的环境有无变化，监督变化因素是否有可能引入新风险

5. 监控审查：发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当措施进行控制和纠正

6. 沟通咨询：通过充分的交流和沟通，保持行动的协调和一致；通过有效培训和方便的咨询，保证行动者具有足够的知识和技能

PLAN：计划（规划与建立ISMS）#

1. 组织背景：

   • 建立体系基础
   • 了解有关信息安全的内部和外部问题
   • 确定ISMS管理范围（从IT部门扩展到整个组织）
   • 建立、实施、运行、保持和持续改进

2. 领导力：

   • 管理承诺
   • 建立在组织的整体管理基础、需要组织整体参与
   • 组织高层确定的信息安全方针并文档化，明确描述组织的角色、职责和权限

3. 计划：

   • 建立在风险评估基础上
   • 符合组织的安全目标

4. 支持：

   • 获得资源
   • 全员宣传培训

DO：实施#

1. 实施运行：
   • 实施风险评估
   • 选择控制措施（适度安全）
   • 实施控制措施
   • 控制的选择和实施在适用性声明中形成文件

CHECK：检查#

1. 监视与评审：
   • 监测、测量、分析和评估
   • 内部审核
   • 管理评审

ACT（ADJUST）：行动（改进）#

1. 维护和改进：
   • 不符合和纠正措施
   • 持续改进ISMS的适宜性、充分性和有效性

结构（高到低）#

1. 方针政策
2. 制度流程规范
3. 使用手册、操作指南、作业指导书
4. 日志、记录、检查表、模版、表单

控制#

1. 建立
2. 批准发布
3. 评审与更新
4. 文件保存
5. 文件作废

结构#

• 14个类别
• 35个目标
• 114个控制措施

内容#

1. 信息安全方针

   • 控制目标：能够依据业务要求和相关法律法规提供管理指导并支持信息安全
   • 控制措施：信息安全方针、信息安全方针评审

2. 信息安全组织

   • 内部组织：信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全
   • 移动设备与远程办公：移动设备方针、保护远程工作地点的信息访问、处理和存储

3. 人力资源安全

   • 任用前：审查、任用条款及条件
   • 任用中：管理职责、意识教育和培训、纪律处理
   • 任用终止和变化：将聘用的变更或终止作为组织过程的一部分以保护组织的利益

4. 资产管理

   • 对资产负责：资产清单、资产责任人、资产的可接受使用、资产归还
   • 信息分类：分类指南、信息的标记、资产的处理
   • 介质处理：可移动介质的管理、介质的处置、物理介质传输

5. 访问控制

   • 访问控制的业务要求：访问控制方针、网络和网络服务的访问
   • 用户访问管理：用户注册和注销、用户访问配置、特殊权限管理、用户的秘密验证信息管理、用户访问权的复查、访问权限的移除或调整
   • 用户职责：秘密验证信息的使用
   • 系统和应用访问控制：信息访问限制、安全登录规程、口令管理系统、特权应用程序的使用、程序源代码的访问控制

6. 密码学

   • 通过加密方法保护信息的保密性、真实性和完整性
   • 措施：使用加密控制的策略、密钥管理

7. 物理与环境安全

   • 安全区域：物理安全边界、物理入口控制、办公室/房间和设施的安全保护、外部和环境威胁的安全防护、在安全区域的工作规范、送货和装卸区（缓冲区）
   • 设备安全：设备安置和保护、支持性设施、线缆安全、设备维护、资产的移动、组织场所外的设备安全、设备的安全处置或再利用、无人值守的用户设备、清空桌面和屏幕方针（及时锁屏）

8. 操作安全

   • 操作规程和职责：文件化的操作流程、变更管理、容量管理、开发/测试和运行设施分离
   • 恶意代码防范：控制恶意代码
   • 备份：信息备份
   • 日志记录：事件日志、日志信息的保护、管理员和操作员日志、时钟同步
   • 操作软件控制：操作系统软件的安装（确保来源安全）
   • 技术漏洞管理：技术脆弱性管理、软件安装限制（确保软件来源安全）
   • 信息系统审计的考虑：信息系统审计控制

9. 通信安全

   • 网络安全管理：网络控制、网络服务安全（服务控制、端口控制）、网络隔离
   • 信息的交换：信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议

10. 信息系统获取、开发和维护

    • 信息系统的安全要求：安全需求分析和说明（规划时就要考虑）、公共网络上的安全应用服务、应用服务交换的保护（API安全）
    • 开发和支持过程中的安全：安全开发策略、系统变更控制规程、操作系统变更后应用的技术评审、软件包变更的限制、安全系统工程原理、开发环境的安全、外包软件开发、系统安全测试、系统验收测试
    • 测试数据：测试数据的保护（数据脱敏、使用单独的测试数据、控制测试环境的安全控制与生产环境一致）

11. 供应商关系

    • 供应商关系中的信息安全：供应商关系的信息安全方针、供应商协议中解决安全问题、信息和通信技术的供应链
    • 供应商服务交付管理：监控和审查供应商服务、供应商服务变更管理

12. 信息安全事件管理

    • 信息安全事件的管理和改进：职责和规程、信息安全事态报告、信息安全弱点报告、信息安全事态的评估和决策、信息安全事态的响应、从信息安全事件中学习、证据的收集

13. 业务连续性管理

    • 信息安全的连续性：信息安全连续性的计划、实施、确认、审查和评估
    • 冗余：信息处理设施的可用性

14. 符合性

    • 符合法律和合同规定：识别可用法律和合同要求、知识产权、记录的保护、个人身份信息和隐私保护、加密控制的监管
    • 信息安全审核：信息安全的独立审核（独立的审查部门）、符合安全策略和标准、技术符合性核查