发布时间:2017-10-09 23:48 分类:ISO27001信息安全管理体系
内容摘要:ISO27001信息安全管理体系认证咨询(下)ISO27001信息安全管理体系风险评估:现状分析 通过问卷调查、访谈、检查及测试等多种方式尽可能多 ...
ISO27001信息安全管理体系风险评估:
现状分析
通过问卷调查、访谈、检查及测试等多种方式尽可能多的收集信息系统及安全管理相关 信息,对收集到的信息进行综合分析和整理,形成差距分析报告和现状报告。
主要工作任务及内容(活动)
1) 问卷调查 对 ISMS 范围内的相关人员进行问卷调查,了解组织人员的安全管理意识、组织面临的 主要威胁情况以及发生的主要安全事件。
2) 现场访谈 面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。
3) 手工检测 人工检查或测试系统的安全管理落实情况。
4) 安全扫描 使用自动化工具进行网络、操作系统、数据库或应用系统扫描。
5) 渗透测试 对网络、操作系统、数据库或应用系统实施渗透测试,可选。
6) 综合分析 对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。
7) 撰写报告 撰写差距分析报告和现状报告。
主要工作方式/方法(工作方式、职责划分、工作方法)
现状分析的目的是收集信息系统及安全管理的相关信息,所采用的手段包括:问卷调查、 现场访谈、检查与测试等,在进行现状分析前需要准备完成相关的现状调研及分析工具模板。 具体包括:
1) 调查问卷
2) 现场访谈表
3) 人工检测表
4) 自动扫描工具等
其中调查问卷需要根据 ISMS 范围内的人员岗位分别定制,现场访谈表、人工检测表需 要根据网络及系统平台类别分别定制。
各种主要手段功用及工作底稿描述如下:
1) 问卷调查主要用于信息安全管理意识、安全威胁及相关安全事件了解。问卷调查的工作底稿主要是问卷答卷。
2) 现场访谈主要了解物理、网络、操作系统、数据库系统、应用系统的基本信息以及其安全管理设计情况。现场访谈工作底稿包括:访谈计划、访谈结果记录等。
3) 人工检测表主要用于核查安全管理的落实情况,检查或测试各类网络设备、操作系统、数据库系统、应用系统的安全实现情况。工作底稿主要是检测结果记录。
4) 自动扫描主要用于对网络设备、操作系统、数据库系统或应用系统的进行自动化扫描。工作底稿包括:扫描计划、扫描原始记录、扫描报告等。
5) 渗透测试主要对网络设备、操作系统、数据库系统或应用系统的实施渗透。工作底稿包括:渗透测试计划、渗透测试记录、渗透测试报告等。
现状分析的过程如下(图6):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | ||||||
问卷 | 现 场 访 | 手工检 | 安全扫 | 渗透测 | 综合分 | 撰写 |
调查 | 谈 | 查 | 描 | 试 | 析 | 报告 | ||
甲方参与人员 | ||||||||
IT 管理人员 | √ | √ | 协助 | |||||
安全管理人员 | √ | √ | 协助 | |||||
IT 运维人员 | √ | √ | 协助 | |||||
IT 开发人员 | √ | √ | 协助 | |||||
咨询方参与人员 | ||||||||
咨询顾问 | √ | √ | √ | √ | √ | √ | √ |
主要输入
类型 | 名称 | 备注 |
DOC | 风险评估计划 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC/XLS | 问卷调查工作底稿 | 系列 |
DOC/XLS | 现场访谈工作底稿 | 系列 |
DOC/XLS | 手工检测工作底稿 | 系列 |
DOC/XLS | 自动扫描工作底稿 | 系列 |
DOC/XLS | 渗透测试工作底稿 | 系列 |
DOC/XLS | 资产清单 | |
DOC | 差距分析报告 | |
DOC | 现状分析报告 |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
调查问卷 | DOC/XLS | 由甲方人员填写的问卷 | 不同级别或类别人员可能需要不 同的问卷 |
访谈表 | DOC/XLS | 由咨询人员使用的面对面访谈提 纲或问题 | 不同类别对象需要不同的访谈表 |
检测表 | DOC/XLS | 由咨询人员使用的检测提纲或检 查程序 | 不同类别对象需要不同的检查表 |
扫描工具 | 软硬件 | 由咨询人员使用的自动化安全扫 描软件 | |
差 距 分 析 准则 | DOC/XLS | 咨询人员用于差距分析 |
风险评价
依据确定的风险评估模型与方法,对现状分析阶段识别出的资产、威胁、弱点以及由此 而形成的资产综合风险进行分析评价,形成风险评估报告。
主要工作任务及内容(活动)
1) 资产评价 评估资产价值。
2) 威胁评价 评估威胁发生可能性。
3) 弱点评价 评估弱点严重程度。
4) 风险评价 综合资产评价、威胁评价、弱点评价结果评估资产面临的风险。
5) 风险评估报告 形成风险评估报告。
主要工作方式/方法(工作方式、职责划分、工作方法)
风险评价充分利用了现状分析阶段收集的资产、威胁、弱点以及安全控制的相关信息,按照确定风险评估模型及方法,评估资产面临的风险。
风险评价过程如下(图7):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | ||||
资产评价 | 威 胁 评 价 | 弱点评 价 | 风险评 价 | 撰写风险评估报告 | ||
甲方参与人员 | ||||||
IT 管理人员 | ||||||
安全管理人员 | √ | √ | √ | √ | ||
IT 运维人员 | √ | √ | √ | √ | ||
IT 开发人员 | √ | √ | √ | √ | ||
咨询方参与人员 | ||||||
咨询顾问 | √ | √ | √ | √ | √ | 协助 |
主要输入
类型 | 名称 | 备注 |
DOC/XLS | 现状分析工作底稿(系列) | 来自前面任务输出 |
DOC | 现状报告 | 来自前面任务输出 |
DOC | 差距分析报告 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC/XLS | 资产风险评估表 | |
DOC | 风险评估报告 | |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
风险评估模型与指标 | DOC/XLS | 执行资产、威胁、弱点及风险评价 | |
资产风险评估表模板 | DOC/XLS | 记录资产风险评估结果 |
风险处置
根据风险处置标准,确定风险处置方式。对于那些需要控制的风险,需要选择安全控制措施,制定风险处置计划,进行残余风险分析。
主要工作任务及内容(活动)
1) 选择风险处置方式
根据确定的风险接受准则,选择风险处置方式,如:接受、控制、转移、规避等。
2) 选择安全控制措施
对于确定为控制的风险,选择 ISO27002 中的或其它的安全控制措施。
3) 制定风险处置计划
对确定为控制的风险,制定相应的风险处理计划,包括任务、人员、时间安排 。
4) 残余风险分析
分析控制实施后的残余风险。
主要工作方式/方法(工作方式、职责划分、工作方法)
风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。
风险接受:包括低于一定的风险水平本身就可接受的风险,或者那些不可避免,而且技术上、资源上不可能采取对策来降低,或者降低对组织来说不经济的风险。
风险控制:采用适当的控制以降低风险:包括降低安全事件发生的可能性或者降低安全事件影响两个方面,这时风险处置的重点。
风险转移:将风险和其他的利益方分担,避免自己承担全部损失。例如保险和其他的风险分担合同。
风险规避:通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可能产生的风险,通常这些业务、活动不是组织的核心内容。
对于选择为接受的风险,根据 ISO27001 要求,需要获得管理者的批准,并对这些风险进行监视,一旦风险状态或者控制条件发生变化需要重新评估风险并识别和评价风险处理的 方法。
对于选择为控制的风险,可以从 ISO27002 中选择降低风险的控制措施,包括信息安全方针、安全组织、资产分类和控制、人员安全、物理和环境安全、通信和操作管理、访问控制、信息系统的获取及开发和维护、安全事件管理、业务连续性管理、符合性十一大方面。 这些控制可以从降低安全事件发生的可能性或者降低安全事件影响两个方面来降低风险。
在选取控制措施后,还需要针对这些风险制定风险处置计划,风险处置计划是针对风险评估所 识别的不可接受风险而制定的风险处理办法和进度表, 风险处置计划中应详细的列出:
1) 所选择的处理方法;
2) 当前已有控制;
3) 建议实施的控制;
4) 实施时间及人员安排等。
最后针对实施处置计划后的资产残余风险进行分析,要么由管理层批准接受残余风险,要么 继续选择控制措施,制定处置计划,直到管理层批准接受残余风险。
此外组织在采取“风险规避”或者“风险转移”的处理方法时,应该注意其局限性,而 且可能因此而引入新的风险。
风险处置过程如下(图8):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | |||
选择风险处置方 式 | 选择安全控 制措施 | 制 定 风 险 处 置计划 | 残余风险分析 | ||
甲方参与人员 | |||||
IT 管理人员 | √ | √ | |||
安全管理人员 | √ | √ | √ | √ | |
IT 运维人员 | √ | √ | |||
IT 开发人员 | √ | √ | |||
咨询方参与人员 | |||||
咨询顾问 | √ | √ | √ | √ | 协助 |
主要输入
类型 | 名称 | 备注 |
DOC/XLS | 资产风险评估表 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC/XLS | 资产风险处置表 | |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
DOC/XLS | 风险接受准则 | 用于确定风险处置方式 | |
4安全体系规划与设计
安全体系规划
对于大型组织而言,由于 ISMS 涉及范围广,建立完善的信息安全管理体系将是一个长 期的过程,因此需要规划信息安全管理体系建设的任务及过程,形成信息安全管理体系建设规划报告,分阶段分步骤建设信息安全管理体系。对于 ISMS 范围较小的组织,在风险评估后可以跳过本阶段而直接进入安全体系文档设计阶段。
主要工作任务及内容(活动)
1) ISMS 建设任务或项目分解
将资产风险处置结果转换为任务或项目。
2) 安全任务或项目实施规划
规划任务或项目的实施计划。
3) 撰写规划报告
综合前面分析形成规划报告
主要工作方式/方法(工作方式、职责划分、工作方法)
在进行信息安全管理体系建设规划时首先要分析上一阶段得出的资产风险处置结果,将需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标、工作内容及实施优先级,然后根据任务或项目的实施优先级规划这些任务或项目的实施时间、实施范围 及参与人员。
在确定任务或项目的实施优先级时需要使用规划方法模型指标。
安全体系规划流程如下(图9):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | ||
任务或项目分解 | 任务或项目实施规划 | 撰写规划报告 | ||
甲方参与人员 | ||||
IT 管理人员 | √ | √ | 协助 | |
安全管理人员 | √ | √ | 协助 |
IT 运维人员 | 协助 | |||
IT 开发人员 | 协助 | |||
咨询方参与人员 | ||||
咨询顾问 | √ | √ | √ |
主要输入
类型 | 名称 | 备注 |
DOC/XLS | 资产风险处置表 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC/XLS | 信息安全建设规划底稿 | |
DOC | 信息安全建设规划报告 | |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
规划方法模型指标 | DOC/XLS | 用于任务或项目实施规划 | |
编写安全体系文档
按照风险评估或安全体系规划结果,编写信息安全管理体系文档,包括 1、2、3、4 级 文档、技术方案等。
主要工作任务及内容(活动)
1) 确定 ISMS 文件清单
根据风险评估及规划结果确定需要的 ISMS 文件清单。
2) 制定 ISMS 文件编写计划
3) 编写 ISMS 文件
按计划编写 1、2、3、4 级文档、技术方案等。
4)ISMS 文件评审
讨论评审 ISMS 文件或技术方案。
主要工作方式/方法(工作方式、职责划分、工作方法)
ISMS 文档包括与安全相关的管理制度/流程/标准/指南/操作手册/模板以及相关技术方案等。一般分为四级文件,分别是:
一级文件:ISMS 总体文件,包括:
总体安全方针政策
安全管理手册
适用性声明(SOA)
二级文件:ISMS 通用程序,主要包括:
文件控制程序
记录控制程序
内部审核管理程序
管理评审管理程序
预防及不符合纠正控制程序
信息安全风险评估与管理程序
三级文件:专项安全处理程序、操作指南、操作手册等。
各种专项信息安全策略(含管理规定、办法、制度等)
各种信息安全处理流程/程序
各种信息安全标准/指南/操作手册
四级文件:运行 ISMS 所用到的记录、模板等。
本任务过程如下(图10):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | |||
确定 ISMS 文 件清单 | 制定 ISMS 文件 编写计划 | 编写 ISMS 文件 | ISMS 文件 评审 | ||
甲方参与人员 | |||||
IT 管理人员 | √ | √ | √ | 协助 | |
安全管理人员 | √ | √ | √ | √ | 协助 |
IT 运维人员 | √ | 协助 | |||
IT 开发人员 | √ | 协助 | |||
咨询方参与人员 | |||||
咨询顾问 | √ | √ | √ | √ |
主要输入
类型 | 名称 | 备注 |
DOC | 差距分析报告 | 来自前面任务输出 |
DOC/XLS | 资产风险处置表 | 来自前面任务输出 |
DOC | 信息安全建设规划报告 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC | ISMS 文件清单 |
DOC | ISMS 文件编写计划 | |
DOC/XLS | ISMS 文件 | 系列 |
DOC/XLS | 文件评审记录 | 系列 |
主要工具/模板
名称 | 类型 | 用途 | 备 注 |
ISMS 文件模板(包括手册、策略、程序、记录等格式模板) | DOC/XLS | 统一文档格式 | |
5安全体系实施、调整、评审
体系实施
按照 ISMS 文件,落实安全管理组织,部署安全控制措施,运行安全控制程序。
主要工作任务及内容(活动)
1) 体系批准
2) 制定实施计划
3) 建立安全管理组织
4) 体系培训
5) 体系实施
6) 实施总结
主要工作方式/方法(工作方式、职责划分、工作方法)
在实施和运行 ISMS 前,需要获得最高管理者批准授权。最高管理者需要任命 ISMS 管理者代表、签署 ISMS 文档。此外还必须按照ISMS 体系要求建立安全管理组织,进行 ISMS 培 训。
对于大型组织,ISMS 实施可以采用先试点、后推广分阶段进行。
实施过程如下(图11):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | |||||
体系批 准 | 制 定 体 系 实施计划 | 建 立 安 全 管理组织 | 体 系 培训 | 体系 实施 | 实施 总结 | ||
甲方参与人员 | |||||||
IT 管理人员 | √ | √ | √ | √ | |||
安全管理人员 | √ | √ | √ | √ | √ | ||
IT 运维人员 | √ | √ | √ | ||||
IT 开发人员 | √ | √ | √ | ||||
咨询方参与人员 | |||||||
咨询顾问 | √ | √ | √ | √ | √ | 协助与指导 |
主要输入
类型 | 名称 | 备注 |
DOC | ISMS 文档 | 来自前一任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC | 授权及批准书 | |
DOC | ISMS 实施工作计划 | |
DOC | 安全管理组织结构图 | 可以放在 ISMS 总体方针中 |
DOC | 培训日程安排(或计划) | |
PPT | ISMS 体系培训 | |
DOC | 培训签到表 | |
DOC | ISMS 实施进度跟踪表 | 系列 |
DOC | ISMS 实施问题汇总表 | 系列 |
DOC | ISMS 实施报告 |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
体系调整
根据 ISMS 的实施、运行及评审情况,调整ISMS的设计与部署。
主要工作任务及内容(活动)
1) 制定调整计划
2) 实施体系调整
主要工作方式/方法(工作方式、职责划分、工作方法)
在 ISMS 实施或者评审完成后,可以根据实施情况或者评审报告,对实施及运行过程中发现的ISMS 设计与部署问题进行整改。
体系调整过程如下(图12):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | |
制定调整计划 | 体系调整 | ||
甲方参与人员 | |||
IT 管理人员 | √ | √ | |
安全管理人员 | √ | √ | |
IT 运维人员 | √ | ||
IT 开发人员 | √ | ||
咨询方参与人员 | |||
咨询顾问 | √ | √ | 协助与指导 |
主要输入
类型 | 名称 | 备注 |
DOC | 体系实施报告 | 来自前面任务输出 |
DOC | 体系评审报告 | 来自前面任务输出 |
主要输出
类型 | 名称 | 备注 |
DOC | ISMS 调整计划 | |
DOC | ISMS 体系文档(改进稿) | 系列 |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
体系评审
对 ISMS 的实施及运行情况进行评审,包括 ISMS 内部审核和ISMS管理评审。
主要工作任务及内容(活动)
1) 内部审核
2) 管理层评审
主要工作方式/方法(工作方式、职责划分、工作方法)
在ISMS 实施并运行一段时间后应该按照 ISO27001 要求,对ISMS 进行内部审核和管理评审,为ISMS 的外部认证审核做好准备。
ISMS 内部审核的目的是确定已经实施并运行的 ISMS 的控制目标、控制措施、过程和程序是否:
符合 ISO27001 的要求和相关法律法规的要求;
符合已识别的信息安全要求;
得到有效地实施和维护;
按预期执行。
内部审核一般有六个主要步骤,即确定任务、审核准备、审核的实施、编写不符合报告、纠正措施的跟踪、全面审核报告的编写和纠正措施完成情况的汇总分析(具体过程参见 ISMS 内部审核服务)。
管理评审的目的是确保ISMS 的适宜性、充分性和有效性。评审应包括评价ISMS 改进的机会和变更的需要,包括安全方针和安全目标,评审的结果应清晰地形成文件,记录应加以 保持。
内部审核需要将 ISMS 文件、体系实施报告及体系运行记录作为输入。管理评审则以内部审核报告结果作为主要输入。
体系评审过程如下(图13):
各方参与情况见下表:
岗位 | 主要任务或活动 | 备注 | |
制定调整计划 | 体系调整 | ||
甲方参与人员 | |||
IT 管理人员 | √ | √ | |
安全管理人员 | √ | √ | |
IT 运维人员 | √ | ||
IT 开发人员 | √ | ||
咨询方参与人员 | |||
咨询顾问 | √ | √ | 协助与指导 |
主要输入
类型 | 名称 | 备注 |
DOC | ISMS 实施报告 | 来自前面任务输出 |
DOC/XLS | ISMS 文档 | 来自前面任务输出 |
DOC/XLS | ISMS 运行记录 |
主要输出
类型 | 名称 | 备注 |
DOC | ISMS 内部审核计划 | |
DOC | ISMS 内部审核工作底稿 | 系列 |
DOC | ISMS 内部审核报告 | |
DOC | ISMS 管理评审核划(或日程安排) | |
DOC | ISMS 管理评审报告 |
主要工具/模板
名称 | 类型 | 用途 | 备注 |
6项目主要任务及活动列表/文档列表
主要任务及活动列表
阶段过程 | 主要任务 | 主要活动 | 必选 | 可选 | 备注 |
准备 | 确定 ISMS 范围 | 业务战略及规划一致性 分析 | √ | ||
法规制度符合性分析 | √ | ||||
业务运营影响分析 | √ | ||||
确定 ISMS 范围 | √ | ||||
确定信息安全总体 方针政策 | 业务及系统初步安全需 求分析 | √ | |||
确定 ISMS 总体方针政策 | √ | ||||
定义风险评估与管 理方法 | 确定风险评估模型及相 关指标准则 | √ | |||
制定风险评估与管理程 序 | √ | ||||
项目准备 | 制定实施计划 | √ | |||
组建项目组 | √ | ||||
整理开发工具/模板 | √ | ||||
项目启动会 | √ | ||||
培训 | √ | ||||
风险评估 | 现状分析 | 问卷调查 | √ | ||
现场访谈 | √ | ||||
手工检测 | √ | ||||
安全扫描 | √ | ||||
渗透测试 | √ | ||||
综合分析 | √ | ||||
撰写报告 | √ | ||||
风险评价 | 资产评价 | √ | |||
威胁评价 | √ | ||||
弱点评价 | √ | ||||
风险评价 | √ |
项目主要文档列表
阶段过程 | 主要任务 | 主要文档 | 文档类型 | 文档 内容 | 备注 |
准备 | 确定 ISMS 范围 | ISMS 范围 | DOC | ||
确定信息安全总体 方针政策 | ISMS 总体方针 | DOC | |||
定义风险评估与管 理方法 | 风险评估与管理程序 | DOC | |||
项目准备 | ISMS 总体实施计划 | DOC | |||
ISMS 风险评估计划 | DOC | ||||
威胁调查问卷(系列) | DOC/XLS | ||||
信息安全管理调查问卷 (系列) | DOC/XLS | ||||
IT 组织情况调查表 | DOC/XLS | ||||
信息系统调查表(系列) | DOC/XLS | ||||
安全管理评估表 | DOC/XLS | ||||
物理安全评估表 | DOC/XLS | ||||
网络架构安全评估表 | DOC/XLS |
原标题:ISO27001信息安全管理体系认证咨询(下)
分享:http://www.cniso.cn/a_231.html