小師妹聊安全標準(二)
*本文作者:xxx幸xxx,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。
上一篇聊的是關於風險評估實施的安全標準,看到有人留言懷疑我冒充小師妹,我覺得並沒有冒充的必要,反倒我希望各位圈友把我當成兄弟,不吝賜教。
身邊一個朋友常掛在嘴邊的一句話是“做人嘛,開心最重要”,我就是這個態度,能把自己感興趣的東西,一邊學習一邊有所輸出,並能和大家一起交流,互相幫助,開心就好。聊標準的目的本身也就是想把標準通俗化,想要大家都能一看就明白,但由於本人水平有限,內容上難免有點差強人意。
我今天想和大家聊的是關於資訊保安管理體系的標準《GB/T 31496-2015 資訊科技 安全技術資訊保安管理體系實施指南》。
一、該標準的簡單描述
這個標準其實就是國際標準ISO/IEC 27003:2010的中文翻譯,並沒有做多少改動,主要用來指導資訊保安管理的過程,將資訊資產的風險控制在組織可接受的安全範圍內。
該標準同另外8個標準共同組成了資訊保安管理體系標準族(簡稱ISMS標準族),如下:
| ISO/IEC 27000:2009 | 資訊科技 安全技術 資訊保安管理體系 概述和詞彙 |
|---|---|
| ISO/IEC 27001:2005 | 資訊科技 安全技術 資訊保安管理體系 要求 |
| ISO/IEC 27002:2005 | 資訊科技 安全技術 資訊保安管理實用規則 |
| ISO/IEC 27003:2010(本標準) | 資訊科技 安全技術 資訊保安管理體系實施指南 |
| ISO/IEC 27004:2009 | 資訊科技 安全技術 資訊保安管理測量 |
| ISO/IEC 27005:2008 | 資訊科技 安全技術 資訊保安風險管理 |
| ISO/IEC 27006:2007 | 資訊科技 安全技術 資訊保安管理體系稽核認證機構的要求 |
| ISO/IEC 27007 | 資訊科技 安全技術 資訊保安管理體系稽核指南 |
| ISO/IEC 27011:2008 | 資訊科技 安全技術 基於ISO/IEC 27002的電信行業組織的資訊保安管理指南 |
通常情況下,ISMS的實施被作為一個單獨的專案來執行。既然是專案我們應該都知道,一個專案的啟動,前期都要經過詳細的計劃、統籌並要得到相關領導的批准,這是第一個階段,其餘幾個階段我們後面也要具體講到。無論是大型組織還是小型企業,在做ISMS專案時都可以參考該標準來執行,參考本標準時建議配合ISMS標準族的其他幾個標準一起使用。
二、ISMS的實施階段
從專案實施的角度,包括五個階段:
當然,每個階段都會涉及到相關檔案的輸出,這個不管做什麼專案應該都是這樣,下面將講每個階段具體需要做什麼,需要輸出什麼樣的文件(一個專案要輸出的文件是真的多)。
(一)獲得領導對ISMS專案的批准
當前階段是要讓領導瞭解ISMS專案實施的必要性以及能帶來的利益,可通過建立業務案例、制定初步的專案計劃來獲得領導的批准。
總的來說,該階段要做的事情分為三步走,如下圖所示:
1.闡明組織開發ISMS的優先順序
通俗點說,就是要讓領導知道為什麼要做這個ISMS專案,對公司能帶來什麼價值。在闡述的時候呢,最好把這幾個問題講清楚就差不多了。
a) 風險管理— ISMS如何產生更好地管理資訊保安風險?
b) 效率— ISMS如何能改進資訊保安的管理?
c) 業務優勢— ISMS如何能為組織創造競爭優勢?
2.初步制定ISMS的範圍以及角色職責
(1)初步制定ISMS的範圍
ISMS的範圍確定其實和前面提到的三個問題相關,一般從以下8個因素來考慮:
a) 關鍵的業務域和組織域:
1) 關鍵業務域和關鍵組織域是什麼? 2) 組織哪些域提供該業務以及關注什麼? 3) 有什麼第三方關係及其協議? 4) 是否有外包服務?
b) 敏感資訊或有價值的資訊:
1) 什麼資訊對組織是至關重要的? 2) 如果某些資訊被洩露給未授權方,可能產生什麼後果(例如,失去競爭優勢、損害品牌或名譽、引起法律訴訟等)?
c) 對資訊保安測量有要求的相關法律:
1) 什麼法律適用於組織的風險處置或資訊保安? 2) 組織是否是必須對外進行財務報告的公眾性全球性組織的一部分?
d) 與資訊保安有關的合同協議或組織協議:
1) 對資料儲存的要求(包括保留期限)是什麼? 2) 是否有任何與隱私或質量有關的合同要求(例如,服務級別協議 -SLA)?
e) 規定特定資訊保安控制措施的行業要求:
1) 有哪些行業特定的要求適用於組織?
f) 威脅環境:
1) 需要什麼型別的保護,及需要應對哪些威脅? 2) 需要保護的資訊的特定類別是什麼? 3) 需要保護的資訊活動的特定型別是什麼?
g) 競爭動力:
1) 對資訊保安的最小化市場要求是什麼? 2) 哪些另外的資訊保安控制措施可為組織提供競爭優勢?
h) 業務持續性要求:
1) 關鍵業務過程是什麼? 2) 對每個關鍵業務過程而言,組織能夠容忍其中斷的時間是多長?
如果這些問題有了答案,那麼ISMS的範圍也就初步確定了。之後還需要輸出一份初步的ISMS範圍文件,內容包括:
| 1 | 組織的管理者對資訊保安管理的指示概述,以及外部施加於組織的義務 |
|---|---|
| 2 | ISMS範圍內的區域如何與其他管理體系互動的描述 |
| 3 | 資訊保安管理的業務目標清單(前面問題的回答) |
| 4 | ISMS將被應用的關鍵業務過程、系統、資訊資產、組織結構和地理位置的清單 |
| 5 | 現有管理體系、規章、符合性和組織目標之間的關係 |
| 6 | 業務、組織、位置、資產和技術等方面的特點 |
(2)初步制定ISMS範圍內的角色和職責
根據企業的大小,角色和職責的劃分可能會不同,因為對於稍微小點的企業,並沒有一人一崗的條件,一般都是一個人擔任多種角色,但是例如CISO、CIMO等負責整個資訊保安管理的角色還是要設定的,然後其他崗位的設定按照工作內容所需要的技能來分配員工的角色和責任。
舉個完善的ISMS專案中角色與職責的例子:(圖片來源於標準)
| 角色 | 責任的簡要描述 |
| 高階管理者(例如營運長COO、執行長CEO、首席安全官CSO 和首席財務官CFO) | 負責願景、戰略決策和協調活動,以指導和控制組織。 |
| 生產線管理人員 | 對組織的功能負有最高責任。 |
| 首席資訊保安官 | 全面負責和治理資訊保安,以確保資訊資產得到正確處理。 |
| 資訊保安委員會(包括成員) | 處理資訊資產,在組織的ISMS中具有領導角色。 |
| 資訊保安規劃團隊(包括團隊成員) | 負責ISMS建立期間的運作。規劃團隊跨部門工作,解決各種衝突,直到ISMS被建成。 |
| 利益相關方 | 在其他資訊保安角色的描述中,這裡的利益相關方主要被定義為正常運作之外的人員/機構,諸如董事會、責任人(如果組織屬於一個集團或是政府組織,是指組織責任人,和/或直接責任人,諸如私人組織的利益相關方)。其他利益相關方的例子可以是有關聯的公司、客戶、供應商或更公開的組織,諸如政府財政控制機構或相關的證券交易所,如果組織被列入的話。 |
| 系統管理員 | 系統管理員負責IT系統。 |
| IT 經理 | 所有IT資源的管理者 (例如,IT部門管理者) |
| 物理安全員 | 負責物理安全(例如建築物等)的人員,通常稱作“設施經理”。 |
| 風險管理者 | 負責組織的風險管理框架(包括風險評價、風險處置和風險監視)的人員。 |
| 法律顧問 | 很多資訊保安風險都有法律方面的問題,法律顧問負責考慮這些問題。 |
| 人力資源管理者 | 負責整個員工的人員。 |
| 檔案管理員 | 所有組織都有包含關鍵資訊的檔案。這些資訊需要長期儲存。資訊可能存放在多種介質上,宜有專人對這種儲存介質的安全負責。 |
| 個人資料管理員 | 如果國家法律有要求,那麼可能要有一個人負責聯絡資料檢查委員會或類似的官方組織來監管個人誠信和隱私保護問題。 |
| 系統開發者 | 如果組織開發自己的資訊系統,那麼就應有人對這種開發負責。 |
| 專家/行家 | 當ISMS涉及到其在特定領域的使用時,宜就ISMS事宜的意圖諮詢負責組織中某些執行工作的專家和行家。 |
| 外部顧問 | 外部顧問能根據其對組織的巨集觀觀點和行業經驗,給出建議。然而,顧問可能對組織和組織的運作了解不多。 |
| 員工/使用者 | 每一個員工都對維持其工作場所和環境中的資訊保安負有同等責任。 |
| 稽核員 | 稽核員負責評估和評價ISMS。 |
| 培訓師 | 培訓師實施培訓和意識方案。 |
| 區域性IT或IS的負責人 | 在一個大型組織內,常常有區域性組織的人負責區域性的IT事宜,可能還有資訊保安。 |
| 擁護者(有影響力的人員) | 擁護者本身不是一個承擔責任的角色,但在大型組織中,實施階段中有人對ISMS的實施有深刻的瞭解且在實施的理解和真正的原因上能夠給予支援,可能有很大幫助。他們可正面地影響組織的觀點,也可稱作“大使”。 |
3.建立業務案例和專案計劃書
在前兩步完成後,就可以開始建立業務案例和專案計劃了,這兩份東西是領導同意執行專案的關鍵,所以一定要做好;專案計劃書包含前面講到的五個階段的相關活動,就大體是我們今天講的內容。
實施ISMS的業務案例需涵蓋以下主題:
a) 目的和特定目標; b) 組織的利益; c) 初步的ISMS範圍,包括受影響的業務過程; d) 實現ISMS目標的關鍵過程&因素; e) 高層級專案概要; f) 初始的實施計劃; g) 已定義的角色和責任; h) 需要的資源(包括技術和人員兩方面); i) 實施考慮事項,包括現有的資訊保安; j) 帶有關鍵里程碑的時間計劃; k) 預期的成本(重要); l) 關鍵的成功因素; m) 組織利益的量化。
4. 當前階段需要輸出的文件
| 1 | 公司業務目標清單 |
|---|---|
| 2 | 現有管理體系的描述 |
| 3 | ISMS的目標、資訊保安需求和業務要求的概要 |
| 4 | 適用於公司的規章、符合性和行業標準的概要 |
| 5 | ISMS 初步範圍的描述以及 ISMS 角色和職責的定義 |
| 6 | 業務案例和建議的專案計劃書 |
| 7 | 管理者對啟動實施ISMS專案的批准和承諾 |
(二)制定ISMS範圍和方針策略
根據初步的ISMS範圍和組織內關鍵的資訊資產來確定詳細的ISMS範圍和邊界,並制定ISMS方針策略。
1. 制定ISMS範圍和邊界
(1)定義組織的範圍和邊界
範圍前面已經差不多確定了,邊界的話主要是便於賦予組織內的可核查性,標識出相互不重疊的責任域,需要考慮的因素有:
a) ISMS管理論壇應由ISMS範圍所直接涉及的管理人員組成; b) ISMS的管理成員,應是最終負責所有受影響的責任域的人員(即,他們的角色通常由其所跨越的控制措施和責任指定的); c) 在負責管理ISMS的角色不是高層管理者的情況下,高層發起人基本代表對資訊保安的利益,並在組織的最高層起到ISMS倡導者的作用; d) 範圍和邊界需要予以定義,以確保考慮了風險評估中所有相關的資產,確保強調了可能發生於這些邊界上的風險。
(2)定義資訊通訊技術(ICT)的範圍和邊界;
ICT範圍和邊界的定義可通過一種資訊系統的途徑來獲得(而不是基於IT技術),如果把資訊系統的業務過程也歸入ISMS範圍,那麼還要考慮所有相關的ICT元素,包括:儲存、處理或傳輸關鍵資訊、資產的組織的所有部分以及ISMS範圍內對這些組織部分是至關重要的其它元素,需要考慮的因素有:
a) 社會與文化的環境; b) 適用於組織的法律法規、規章和合同的要求; c) 關鍵責任的可核查性; d) 技術約束(例如,可用的頻寬和服務的可用性等)。
通過以上考慮,ICT邊界應包括以下事宜的描述(在適用時):
a) 組織負責管理的通訊基礎設施,其中包括採用各種不同的技術(例如無線網路、有線網路或資料/語音網路); b) 組織使用和控制的組織邊界內的軟體; c) 網路、應用或生產系統所需要的ICT硬體; d) 有關ICT硬體、網路和軟體的角色和責任。
(3)定義物理範圍和邊界
物理指的是屬於ISMS的各部門內的建築物、位置或設施,這個應該不用多講。
(4)整合每一個範圍和邊界
通過整合每一個範圍和邊界(前面講了三個)來獲得ISMS的範圍和邊界,例如,可以選擇諸如資料中心或辦公室的物理位置,並列出一些關鍵過程(比如移動訪問一箇中心資訊系統);其中每一個關鍵過程均涉及一些之外的域,而該資料中心就可使這些之外的域成為範圍之內的域。(通俗的說,這個整合就好比拉關係,你認識我,我又認識小二,通過我,你和小二就認識了,我們三個就在一個朋友圈裡了。)
2. 制定ISMS方針策略和獲得領導批准
在定義ISMS方針策略時,應考慮以下方面:
a) 基於組織的要求和資訊保安優先順序,建立ISMS目標; b) 為達到ISMS目標,建立一般性的關注和動作指南; c) 考慮組織的資訊保安要求、法律法規或規章,以及合同義務; d) 組織內風險管理語境; e) 建立評價風險和定義風險評估結構的準則; f) 闡明高層管理者對ISMS的責任; g) 獲得管理者的批准。
3.當前階段需要輸出的文件
| 1 | 組織邊界和功能結構的描述 |
|---|---|
| 2 | ISMS範圍之內和範圍之外的資訊資產的業務過程和責任 |
| 3 | ICT邊界和ISMS 範圍之內和範圍之外的資訊系統和電信網路的描述 |
| 4 | ISMS物理邊界和ISMS範圍之內和範圍之外的組織及其地理特徵的描述 |
| 5 | 描述ISMS範圍和邊界的檔案 |
| 6 | 管理者批准的ISMS方針策略 |
(三)資訊保安要求分析
對資訊資產進行標識,瞭解在ISNS範圍內這些資訊資產的資訊保安狀況。我們在資訊保安分析時,要先收集的資訊包括:
a) 正確的基本資料; b) 標識實施ISMS的條件並形成檔案; c) 提供一份清晰並已很好理解的組織設施; d) 考慮組織的特殊情況和狀態; e) 標識所期望的資訊保護水平; f) 在所提議的實施範圍內,確定企業部分或企業全部所需的資訊編輯。
在這個階段,我們需要分為三步來完成,如下圖:
1.定義ISMS過程的資訊保安要求
在定義ISMS過程的資訊保安要求時,要圍繞資訊的重要程度來定義,一般需要做的工作有:
a) 初步標識重要的資訊資產以及當前的資訊保安保護; b) 標識組織的願景,並確定所標識的願景對未來資訊處理要求的影響; c) 分析資訊處理、系統應用、通訊網路、活動場所和IT資源等的當前形式; d) 標識所有的基本要求(例如,法律法規和規章的要求、合同義務、組織要求、行業標準、客戶和供應商協議和保險條件等); e) 標識資訊保安瞭解的程度,並由此針對每一個執行和管理單位,匯出相應的培訓和教育要求。
2.標識ISMS範圍內的資產
這個應該是最簡單的一步了吧,有哪些資產梳理出來就好,記得做好分類。
在ISMS專案中,有一些關鍵的過程也需要寫清楚,一般包括的內容有:
a) 過程的唯一名稱; b) 過程描述及其所關聯的活動(建立、儲存、傳輸和刪除); c) 過程對組織的至關重要性(關鍵的、重要的和支援性的); d) 過程責任人(組織部門); e) 提供輸入的過程以及這一過程的輸出; f) 支援過程的IT應用; g) 資訊分類(保密性、完整性、可用性、訪問控制、不可否認性,和/或對組織有用的其他重要特性,例如,資訊可能儲存的時間)。
3.進行資訊保安評估
根據我們前面兩步得出的內容,將現有的資訊保安水平與我們第一階段制定的組織目標進行比較,來執行資訊保安評估。資訊保安評估的基本目的是以策略和指南形式,為管理體系提供支撐,參與資訊保安評估的人員應該由瞭解當前環境、條件,並瞭解資訊保安相關事物的人進行評估活動,(這一步主要就是對梳理出來的屬於ISMS內的資訊資產做脆弱性分析,關於脆弱性分析,可參考上一篇風險評估的文章)
一個成功的資訊保安評估,應採取以下措施:
a) 標識和列出相關的組織標準; b) 標識已知的控制要求,這些控制要求一般出現在策略、法律法規和規章的要求、合同義務、過去稽核的發現或過去執行的風險評估的發現; c) 針對組織資訊保安水平,做出當前要求的粗略估算。
4.當前階段需要輸出的文件
| 1 | 主要過程、功能、位置、資訊系統和通訊網路的清單 |
|---|---|
| 2 | 組織在保密性、可用性和完整性方面的要求 |
| 3 | 組織在法律法規、規章、合同和業務的資訊保安要求方面的要求 |
| 4 | 組織已知的脆弱性清單 |
| 5 | 標識組織的主要過程的資訊資產 |
| 6 | 關鍵過程/資產類別 |
| 7 | 記錄組織實際的資訊保安狀況,並進行評價,包括現有的資訊保安控制措施,形成檔案 |
| 8 | 記錄已評估和評價的的組織缺陷形成的檔案 |
(四)風險評估和規劃風險處置
這一階段相當於是一個風險管理的過程,具體可參考ISO/IEC 27005:2008 資訊保安風險管理,在這裡同樣分為三步來執行:
1.風險評估
在這裡風險評估的方法就不再講了,這一步目的是要得出風險評估的結果。
2.選擇控制目標與控制措施
這一步是根據風險評估的結果來進行風險處置,選擇適當的控制措施,制定風險處置計劃。在風險降低的情況下,管理每一個風險與已選擇的控制目標和控制措施之間的關係,有利於設計ISMS的實施。可以新增到描述風險與所選擇的風險處置措施之間關係的列表中。當控制措施中可能包含有部分敏感資訊的時候,可將生成的資訊作為在定義資產期間建立ISMS的一部分。
3.獲得領導授權
相當於經過前面四個階段的工作,把得出的資料和形成的檔案交給領導看,說明在ISMS專案中可能會出現的風險,在領導接受殘餘風險後,簽署授權決定檔案。
4.當前階段需要輸出的文件
| 1 | 風險評估的範圍 |
|---|---|
| 2 | 已獲批准的、與組織的戰略風險管理環境保持一致的風險評估方法 |
| 3 | 風險接受準則 |
| 4 | 高層風險評估檔案 |
| 5 | 識別更多的深度風險評估的需求 |
| 6 | 深度風險評估檔案 |
| 7 | 綜合的風險評估結果 |
| 8 | 風險和已識別的風險處置可選措施 |
| 9 | 已選擇的風險降低控制目標和控制措施 |
| 10 | 領導對所提議的殘餘風險的批准檔案 |
| 11 | 領導對實施和執行ISMS的授權書 |
| 12 | 適用性宣告 |
(五)設計ISMS
經過前面四個階段的執行,最終就是設計ISMS專案實施計劃。在設計ISMS時,要從組織安全、ICT安全、物理安全以及ISMS特定事項(包括監視;測量;內部的ISMS稽核;培訓和意識;安全事件管理;管理評審;ISMS改進)等四方面考慮。
1.設計組織的資訊保安
組織的資訊保安:包括行政管理方面的資訊保安,包括風險處置的組織執行責任。組織安全宜形成一個活動集,該活動集為處理和改善與組織需求和風險有關的資訊保安,產生相應的方針策略、目標、過程和規程。
(1)設計資訊保安的最終組織結構
為ISMS所設計的組織結構,要反映ISMS實施和執行的活動,並強調活動實施方法,例如監視和記錄方法,作為ISMS執行的一部分。
具體的組織結構在第一階段中的制定角色和職責中已經講過,不再複述。
(2)設計ISMS的檔案框架
ISMS的檔案框架主要包含ISMS記錄和檔案。ISMS記錄包括:建立一個框架,描述ISMS的建檔原則、ISMS檔案結構、所涉及的角色、資料格式,以及向管理者報告的途徑;設計檔案要求;設計記錄要求。
ISMS檔案應包括管理者決定的記錄;確保相關措施可追蹤到管理者的決定和策略,並且所記錄的結果是可再現的,對ISMS檔案還必須進行管理,管理手段是:
a) 建立ISMS檔案管理的行政管理規程; b) 檔案釋出前得到正式批准; c) 確保檔案的更改和現行修訂狀態得到識別; d) 把檔案作為組織的資訊資產進行保護和控制。
(3)設計資訊保安方針策略
資訊保安方針策略記錄了組織的戰略定位,以及整個組織相關的資訊保安目標,是基於資訊和知識而擬定的。在方針策略中,還必須指出,如果不遵守該方針策略的後果,同時強調影響組織解決問題的法律和法規,擬定的方針策略要在組織有關人員之間進行溝通。
方針策略應該簡明扼要,以使有關人員能理解該方針策略的意圖。另外,方針策略要充分地凸現需要什麼目標,以便強調相關的一組規章和組織目標,對於大型和複雜的組織(例如,擁有大量不同的執行域),可能有必要擬定一個總方針策略和一些運作上經改編的基礎性方針策略。
(4)制定資訊保安標準和規程
這個標準和規程是基於強調整個組織的資訊保安,為的是給組織的資訊保安工作提供合規性參考。制定資訊保安標準和規程應成立一個小規模的編輯組,安排一些組織代表或專家加入,根據風險評估的結果對現有的資訊保安標準和規程加以評審和修訂。
2.設計ICT安全和物理資訊保安
ICT安全:不僅涉及資訊系統和網路,還涉及執行要求;
物理資訊保安:涉及訪問控制、不可否認性、資訊資產的物理保護和儲存或保管什麼等所有方面,也涉及本身保護手段的安全控制措施。
設計ICT安全和物理資訊保安作為ISMS專案計劃的一部分,在執行前要建立如下文件:
| 負責實施一個控制措施的責任人姓名 |
|---|
| 要實施的那個控制措施的優先順序 |
| 實施控制措施的任務或活動 |
| 實施完該控制措施的時間陳述 |
| 控制措施一旦完成,要向誰報告 |
| 實施資源(人力、資源要求、空間要求、費用) |
【解釋一下控制措施:就是為了解決問題而採取的措施】
首先,要進行ICT安全和物理安全的概念設計(考慮因素有:控制目標的規格說明、工作量和資金的分配、時間進度、集成了ICT安全、物理安全和組織安全後的可選措施);
其次,像系統開發一樣進行ICT安全和物理安全的實際設計(考慮的因素有:針對各ICT域、物理域和組織域,設計所選擇的每一個控制措施、例項化每一個控制措施、為促進安全意識的控制及其培訓課程,供給相應的規程和資訊、在工作場所上,供給該控制措施的援助和實施)。
3.設計ISMS特定的資訊保安
(1)管理評審的計劃
ISMS活動的管理評審應該在ISMS規格說明和業務案例開發的最早階段開始,並持續不斷地進行ISMS執行的定期評審。為了規劃評審,必須對涉及的角色進行評估,並向領導提供有關評審過程的必要性及目的的充分資料。
管理評審應該基於ISMS測量的結果和在ISMS執行期間收集的其他資訊。這些資訊被ISMS的管理活動使用,以決定ISMS的成熟程度和有效性,同時管理評審也應包括對風險評估的方法和結果的評審,按計劃的時間間隔進行,考慮到環境中的所有變化,諸如組織和技術的變化。
在執行管理評審之前,要規劃好內部的ISMS稽核。內部的ISMS稽核包括:控制目標、控制措施以及ISMS的的過程和規程,看它們是否得到有效地實施和維護。
(2)設計資訊保安意識、培訓和教育方案。
對參與ISMS專案中有明確角色和職責的每一個人員,根據不同的角色進行相關技能的教育和培訓,以確保他們有能力執行所需要的操作,為ISMS目的實現做出貢獻。
資訊保安意識培訓和教育方案要從安全培訓和教育的記錄得以產生。這些記錄宜定期評審,以確保所有人員都接受過其所需要的培訓,建議安排專人負責。也可建立一個資訊保安培訓組,負責建立和管理培訓記錄、培訓教材以及進行培訓事宜。
培訓的內容應包含:
a) 有關資訊保安的風險和威脅; b) 資訊保安的基本術語; c) 安全事件的清晰定義:關於可如何標識安全事件、宜如何處理和報告安全事件的指南; d) 組織的資訊保安方針策略、標準和規程; e) 組織內與資訊保安有關的責任和彙報渠道; f) 如何輔助資訊保安改進的指南; g) 資訊保安事件和報告的指南; h) 從何處獲得更多資訊。
4. 產生最終的ISMS專案計劃
將我們前面所講的所有階段,得出的檔案、資料,正式的編入一份詳細的實施計劃中去,把每個階段有可能用到的實施工具和方法,也一同編入專案計劃中。當ISMS專案涉及組織內很多不同的角色時,要把這些活動清晰地指派給有關責任方,要在專案初期且在整個組織內進行溝通。
最後,最重要的是保證每個負責該專案的人員都能分配到足夠的資源。
5.當前階段需要輸出的文件
| 1 | 組織結構及其資訊保安相關的角色和責任 |
|---|---|
| 2 | ISMS 相關檔案的識別 |
| 3 | ISMS 記錄的模板及其使用和儲存說明書 |
| 4 | 資訊保安方針策略檔案 |
| 5 | 資訊保安方針策略和規程基線 |
| 6 | 用於為ICT和物理資訊保安所選的安全控制措施的實施過程的實施專案計劃 |
| 7 | 描述報告和管理評審過程的規程 |
| 8 | 稽核、監視和測量的描述 |
| 9 | 培訓和意識方案 |
| 10 | 領導批准的實施過程專案計劃 |
| 11 | 一個ISMS的組織特定的實施專案計劃, 涵蓋了組織的、ICT和物理資訊保安以及ISMS特定要求的活動的有計劃的執行,為按照本標準中包含的活動的結果來實施ISMS |
總結
這個安全管理的專案做起來應該算是一個比較大、比較複雜的專案了,想要專案做得好,首先要有優秀的頂層設計,還要做好統籌規劃(包括完善的組織結構),當然,領導的全力支援也是特別重要的。
*本文作者:xxx幸xxx,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載。