陪你一起去看iSO27001Foundation学习手册【初生】
陪你⼀起去看iSO27001Foundation学习⼿册【初⽣】0x000 本⽂⽬的与范围
⽬标:
1. 学习相关原⽂条⽬,基于认知范围,格式化后输出的⽂档化信息,【ISO27001 的PDCA中 Do理念】;
2. 便于各位安全⼤神的叠加相关理解,持续改进相关内容;
3. 基于互相学习的⽬的出发,如有错误请在评论区指证 。
范围: ISO27001 Foundation,不包含后续附录A控制点,等待整理完成后续放出;
本标准包括 14 个安全控制措施的章节,共含有 35 个主要安全类别和 113 项安全控制措施。
0x100组织背景
0x110 [原⽂]了解组织现状及背景
组织应明确与信息管理体系⽬的及影响其能⼒有关的内外部问题,以达到信息安全管理体系的预期效果。
0x111 格式化解析
⽬标进⾏风险评估和设计并准备实施信息安全体系⽅针
军号声声阅读答案可能参照组织的事业环境因素,内部环境和外部环境
外部环境⾏业法规、国家宪法、业务驱动[需要进⾏BIA]、对外业务相关⽅影响
内部环境战略、政策、组织架构模型、内部利益相关者、信息流处理、资源管理、知识管理
0x112 [原⽂]相关内容参照
参照ISO/CD31000 5.3.1 框架设计之风险管理–理解组织内部环境和外部环境:
组织外部环境的关注点:
国际,国家或地区的⽂化,政治,法律,法规,⾦融,经济和竞争环境;
影响组织⽬标的主要驱动因素和趋势 以及外部利益相关者的看法和价值观。
组织内部环境的关注点:
以资源和知识(例如资本,⼈员,能⼒,流程,系统和技术)理解的能⼒;
信息流和决策过程;
内部利益相关者;
⽬标以及为实现这些⽬标⽽制定的战略;
观念,价值观和⽂化;
政策和程序;
组织采⽤的标准和参考模型和结构(例如治理,⾓⾊和问责制)。
0x120 [原⽂]理解相关⽅的需求和期望
组织应确定:
1. 信息安全管理体系相关⽅;
2. 这些相关⽅信息安全相关要求;
0x121 格式化输出
⽬标确定组织内容信息安全管理体系受益体,了解受益体的期望和需求,⽅便后期实施安全措施
可能参照出现在供应商的协议、合同、相关信息安全法律法规、标准、规范
TodoList查看相关⽂件化内容、需求⽂件、访谈相关⽅、识别相关⽅业务、资产、管理颗粒细度
0x130 [原⽂]确定ISMS的范围
组织应确定信息安全管理体系的边界和适⽤性,以确定其范围⼼ 在确定此范围时,组织应考虑 :
1. <;了解组织现状及背景> 提及的外部和内部的问題,
2. <;理解相关⽅的需求和期望> 提及的要求;
3. 接⼝和执⾏组织之间活动的依赖关系, 以及其他组织的相关活动。 范围应可成为⽂档化信息⼒ ;
0x131 格式化输出
⽬标确定ISMS 信息安全管理体系的影响位置、处置⼴度、确定范围核⼼,哪些内容需要考虑;
可能参照10x110 组织的事业环境因素,内部环境和外部环境
可能参照20x120 内部信息安全体系受影响相关⽅需求
可能参照3组织架构信息、业务流程、最终输出结果、基于依赖范围基准、范围管理计划
0x140 [原⽂]ISMS
组织应按照本国际标准的要求建⽴、实施、保持和持续改进信息安全管理体系;
PS:这句话的意思是,听我话就对了,否则不给你认证,不会增加你企业的竞争⼒和股东的信⼼,然后你还得跪下给爷哭;
0x200 领导⼒
0x210 [原⽂]领导⼒和承诺
最⾼管理者应表现出对信息安全管理体系的领导⼒和承诺:
1.确保信息安全策略和信息安全⽬标制定,并与组织战略⽅向兼容;
2. 确保信息安全管理体系的要求整合到组织过程中;
3. 确保信息安全管理所需要的资源;
4. 传达有效的信息安全管理体系的重要性,并符合信息安全管理体系要求;
5. 确保信息安全管理体系达到预期的效果;
6. 指导和⽀持员⼯对信息安全管理体系做出有效贡献;
7. 促进持续改进;
8. ⽀持其它相关管理⾓⾊展⽰他们的领导⼒,因为它适⽤于他们的职责范围;
0x211 格式化输出
⽬标基于组织战略⽅向,制定信息安全策略和信息安全⽬标,形成信息安全管理体系并周期性监督执⾏
执⾏⼈⾼级管理者:⾸席信息安全官、⾸席运营官、其它相关⾼管领导
做什么提供体系运⾏必要资源、提供信息安全策略和⽬标、监督策略和⽬标的践⾏情况、传达并激励执⾏策略的执⾏⼈,获取信息并改进策略参与⼈相关运营职能经理、安全专题专家、管理员、安全管婚前财产协议
理员
做什么基于 标准、法规、组织策略 提供⽂档化基线、指南,并培训⽤户、IT运维⼈员、操作⼈员信息安全意识,审计执⾏过程并上报⾼管参与⼈⽤户、IT运维⼈员、操作⼈员
做什么坚决执⾏基线、指南、过程、程序,坚决遵守对应信息安全策略和⽬标,维持组织资产的正常运作,发现问题响应并上报
总结信息安全管理体系要⾃上⽽下的运⾏,宏观且有效 ,运⾏必须有监督。
⽬标基于组织战略⽅向,制定信息安全策略和信息安全⽬标,形成信息安全管理体系并周期性监督执⾏
0x220 [原⽂]⽅针
最⾼管理者应建⽴⼀个信息安全⽅针:
1. 与组织的宗旨相适应;
2. 包括信息安全⽬标,或为信息安全⽬标提供框架;
3. 包括满⾜与信息安全相关要求的承诺;
4. 包括信息安全管理体系持续改进的承诺;
信息安全的⽅针应:
1. 可成为⽂档化信息;
2. 在组织内沟通;
3. 视情况提供给相关⽅;
0x221 格式化输出
⽅针⽬标依据业务要求和法律要求,管理者应根据业务⽬标提供清晰的⽅针指导,并在整个组织颁布来表明对信息安全的⽀持和承诺。归档⽅针由管理者批准,并在组织内和组织外相关⽅传达并指导其遵守执⾏,同时也便于后续的审核改进。
评审⽅针在重⼤变化时或者周期性进⾏评审,保证信息安全⽅针的充分性、有效性、适宜性
0x230 [原⽂]⾓⾊、责任和承诺
最⾼管理应确保与信息安全相关⾓⾊的职责和权限分配和沟通:
最⾼管理应指定职责和权限:
1. 确保信息安全管理体系符合国际标准;
2. 将ISMS的绩效报告给最⾼管理者。
0x221 格式化输出
⽬标定义职责可以保证过程顺利进⾏,⽅便定义访问权限,达成知其所需的原则,专⼈专责出现问题⽅便定位到根本原因RACI遵循 ⼀个负责、多个执⾏、多个知情,多个知识咨询的原则,对每个活动过程进⾏⼈员分配
绩效报告反映资源、进度、成本的使⽤情况,进度是否满⾜预期,成本是否⾼于预期,进⾏偏差或者趋势等等的分析,报告管理者便于调控0x300 计划
0x310 处理风险和机遇的⾏动
0x311 总则
当规划组织的信息安全管理体系时,应当考虑 <;了解组织现状及背景>提到的问题 和<;理解相关⽅的需求和期望> 中所提到的要求,并确定需要解决的风险和机遇:
1. 确保信息安全管理体系可实现预期的结果;
2. 防⽌或减少不良影响;
3. 实现持续改进;
组织应该做:
1. 规划解决这些风险和机遇的措施;
2. 整合和实施措施,并纳⼊信息安全管理体系过程中;
3. 评估这些措施的有效性;
0x311.1 格式化理解
⽬标组织内外环境风险评估,优先处理对业务运营威胁较⼤的风险,优先预防性安全措施、其次考虑纠正性措施;天窗江南月
可接受风险安全措施防护成本⼤于其产⽣效益的,对组织运营的威胁度较低等等
预防性措施阻⽌资产脆弱性被发现,阻⽌威胁产⽣,属于未⾬绸缪的类型,提前发现提前解决“已知可能-未知发⽣的风险”
纠正性措施安全事件已经发⽣后,出现信息泄露或者影响组织运营可⽤性,抑制威胁继续进⾏的⼿段,类似于亡⽺补牢
0x312 [原⽂]信息安全风险评估
组织应确定信息安全风险评估过程:
1. 建⽴和组织信息安全风险的标准, 包括风险接受准则;
2. 决定执⾏的信息安全风险评估的标准;
3. 确保重复使⽤的信息安全风险过程能产⽣⼀致的,有效的和可⽐较的结果。新农村建设总结
组织应该做:
1. 识别信息安全的风险:
1. 识别ISMS范围内的信息CIA的损失风险;
2. 识别风险所有者;
拖欠工资打12345管用吗2. 分析信息安全风险:
1. 评估安全措施融⼊信息安全管理体系实现后的潜在后果;
2. 评估安全措施融⼊信息安全管理体系实现的可能性;
3. 确定当前风险等级;
3. 评估信息安全风险
1. 使⽤风险标准来对⽐风险分析结果,并建⽴优先级;
组织应该保留信息安全风险评估过程中的⽂档化信息。
0x312.1 格式化理解
⽬标建⽴风险评估标准,风险可接受标准,执⾏风险分析,最终输出需要处置风险,处置完成后检测安全措施有效性风险标准风险类型、风险描述、风险严重程度、风险与业务相关度、风险优先级
风险评估可以执⾏效益成本分析,发现效益⾼于成本的安全措施,也可以备选⽅案分析,发现最优安全措施,也可以进⾏标杆参照风险可接受标准什么样的风险可以不⽤处置且不会造成严重问题,或者业务价值与使⽤安全措施防护的成本相⽐不值⼀提执⾏审计监督必要监督,措施是否达到防护的⽬的,审计安全措施的配置是否恰当,审计安全防护流程是否存在漏洞风险所有者可能是资产所有者、可能数据所有者、可能是运营业务所有者、最终都是⾼管的责任。
0x312.2 [翻译参照]信息安全风险评估
来⾃于 ISO31000 6.4.4 风险评估,对以下翻译异议可以参照原⽂查看:
⽬标:基于风险分析的结果来协助做出决策。
风险评估应该执⾏:
1. 哪些风险需要处置,并进⾏处置优先级排序;
2. 将分析过程中发现的实际风险与考虑背景时建⽴的风险标准进⾏⽐较;
3. 应考虑组织的信息安全⽬标和可能产⽣的机会的范围。
执⾏风险决策取决于组织环境因素:
1. 决策应考虑到更⼤范围的风险,且受益组织以外的各⽅对风险承受⼒;
2. 决策需要考虑法律和其他要求施加的约束。
3. 决策将受组织的风险偏好和已建⽴的风险标准的影响
4. 如果风险⽔平不符合风险标准,则应处理风险。
风险评估可能会导致做出进⼀步分析的决定后改进当前措施,或者是维持现有处置⽅式;
0x313 信息安全风险处置
组织应采⽤信息安全风险处置过程:
1. 选择适当的信息安全风险处理⽅法,考虑风险评估的结果;
2. 确定所有实施的信息安全风险处置措施是必要的;
3. 本⼩节第2项中与附件A中的控制项进⾏对⽐裁剪需要忽略的控制项;
4. 制作⼀个包含本⼩节第2和第3中描述的控制项的选择理由的适⽤性声明,还有删减附录A中的控制项的理由;
5. 制定信息安全风险处置计划和风险处置⽅案;
6. 残余风险的应达到风险负责⼈书⾯批准;
组织应保留信息安全风险的处理过程中的发⽣的⽂档化信息;
0x313.1 [翻译参照]信息安全处置过程–通⽤
过去式的句子
来⾃于 ISO31000 6.5.1 风险评估,对以下翻译异议可以参照原⽂查看:
风险处置可能涉及⼀种或者多种备选解决⽅案,我们需要优先完成以下选项:
1. 风险处置与风险评估是周期性交互的过程,⽤于确定残留的风险在当前环境下是否不能承受;
2. 如果不能承受,需要产⽣对应风险处置措施,并评估其的效果是否将风险减低到组织可以接受的程度;
3. 接受程度判断需要基于组织的风险标准;
风险处置选项不⼀定在所有环境下都是恰当的,存在如下选项:
1. 避免风险,决定不在持续进⾏能够引发风险的活动;
2. 保持风险,决定继续执⾏可以引发风险的活动,不予理会或者维持风险发⽣;
3. 改变风险发⽣可能性;
4. 改变风险产⽣后果;
5. 风险转移,与另⼀⽅或多⽅共同承担风险;
6. 保留风险,顺其⾃然。
0x313.2 [翻译参照]选择风险处置选项
来⾃于 ISO31000 6.5.2 风险评估,对以下翻译异议可以参照原⽂查看:
选择风险处置措施的影响因素:
1. 选择合适的风险处置选项涉及平衡实施成本耗费和所产⽣的效益之间平衡;
2. 组织可能会考虑独⽴或者多种联合处置⽅案,可能受益于多种联合处置⽅案;
3. 决策应该包括罕见但可产⽣严重影响的风险;
4. 处置风险需要基于法律、法规、社会责任、也需要包含经济效益成本分析。
5. 需要考虑利益相关者的价值和看法,与其沟通来获得适当的⽅法;
6. 风险处置时,如果出现其他受到牵连的区域也需要参与风险处置决策,这样会更加容易被相关区域所接受;
7. 如果风险处理资源有限,应该清晰标识个别风险处理的优先顺序,并记录节省成本;
风险处置后的注意事项:
1. 风险处置可能带来风险,重⼤的风险可能会导致失败,或者风险处置措施失效;
2. 除了需要实施风险处理措施,还需要监控风险处置措施的有效性;
3. 风险处理可能还会引⼊需要评估,处理,监视和审查的次要风险;
4. 这些次要风险应与原始风险纳⼊同⼀处置计划中,⽽不应被视为新风险,并且应确定两者之间的联系;

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。