如何建立信息安全管理体系(ISMS)
照标准要求的ISMS建立步骤
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括:
1) 定义ISMS的范围和边界,形成ISMS的范围文件;
2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;
3) 定义组织的风险评估方法;
4) 识别要保护的信息资产的风险,包括识别:
a) 资产及其责任人;
b) 资产所面临的威胁;
c) 组织的脆弱点;
d) 资产保密性、完整性和可用性的丧失造成的影响。
5) 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;
6) 识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7) 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;
8) 管理者正式批准所有残余风险;
9) 管理者授权ISMS的实施和运行;
10) 准备适用性声明。
4. 完成所需要的ISMS文件
ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。
(1) ISMS文件的类型
根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。
1) 方针类文件(Policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括:
a) ISMS方针(ISMS policy);
b) 信息安全方针(information security policy)。
其中,ISMS方针是信息安全方针的父集。即在ISMS方针的框架下,组织可根据实际需要,制定其它重要领域的具体的信息安全方针。例如,可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。
2) 程