ISMS信息安全ISO27001认证体系内部组织规范一,ISMS信息安全风险评估

ISMS信息安全ISO27001认证体系内部组织规范一

ISMS信息安全ISO27001认证体系内部组织规范一

ISMS信息安全ISO27001认证体系标准5.3要求明确实施ISO27001认证体系企业的与信息安全相关的角色、责任和权限，其目的是什么？什么角色和职责必须定义呢？本文予以简要说明供参考。

实施ISMS信息安全ISO27001认证体系时首先要建立内部组织，其目标是建立管理框架，以启动和控制组织范围内的信息安全的实施和运行。

1.在明确ISO27001认证体系信息安全角色和职责时要函盖所有的信息安全职责宜予以定义和分配。

a) 宜识别和定义资产和信息安全过程； 实施指南信息安全职责的分配宜与信息安全策略相一致。宜识别各个资产的保护和执行特定信息安全过程的职责。宜定义信息安全风险管理活动，特别是残余风险接受的职责。这些职责宜在必要时加以补充，来为特定地点和信息处理设施提供更详细的指导。资产保护和执行特定安全过程的局部职责宜予以定义。分配有信息安全职责的人员能够将安全任务委托给其别人员。尽管如此，他们仍然负有责任，并且他们宜能够明确任何被委托的任务是否已被正确地执行。个人负责的领域宜予以规定；特别是，宜进行下列工作：

b) 宜分配每一资产或信息安全过程的实体职责，并且该职责的细节宜形成文件；

c) 宜定义授权级别，并形成文件；

d) 能够履行信息安全领域的职责，领域内被任命的人员宜有能力，并给予他们机会，使其能够紧跟发展的潮流；

e) 宜识别供应商关系信息安全方面的协调和监督措施，并形成文件。

在许多组织中，将任命一名信息安全管理人员全面负责信息安全的开发和实施，并支持控制措施的识别。然而，提供控制措施资源并实施这些控制措施的职责通常归于各个管理人员。一种通常的做法是为每一项资产指定一名责任人负责该项资产的日常保护。

2.ISMS信息安全ISO27001认证体系内部组织职责分析控制措施是分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会。实施指导如下：

宜注意，在无授权或监测时，个人不能访问、修改或使用资产。事件的启动宜与其授权分离。勾结的可能性宜在设计控制措施时予以考虑。小型组织可能感到难以实现这种职责分离，但只要具有可能性和可行性，宜尽量应用该原则。假如难以分离，宜考虑其他控制措施，例如对活动、审核踪迹和管理监督的监视等。

在明确ISMS信息安全ISO27001认证体系内部织组时除了上述两点，还可能会与保持与政府相关部门、利益集团联络，还要考虑项目管理中信息安全职责，本站将另文介绍。本站所有内容仅供参考。

ISMS信息安全风险评估

ISMS建设过程中，信息安全风险评估是其最主要的技术路线和ISMS建设效果评估的依据。在信息安全领域，信息安全风险评估也形成了诸多国际标准和国内标准。本文所涉及的内容主要是《信息安全风险评估规范》等国家标准。以下就相关内容做1个简要描述。

信息安全风险评估包含4个主要方面的内容，即资产识别、威胁识别、脆弱性识别和风险评估。它们之间的关系如图2.3所示：

在图2.3中，风险评估的最主要环节是资产识别、威胁识别和脆弱性识别。下面就其含义作1个简介：

①资产识别

安全的目的始终都是保障组织业务的正常运行。因此，资产识别的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够科学的把握组织的业务安全需求以及转变。资产识别包含资产分类和资产赋值两个环节。

②威胁识别

与资产识别相类似，威胁识别分为威胁分类和威胁赋值两个环节。威胁识别的方法形象地讲就是“植树、剪枝、统计，见图2.4：

③脆弱性识别

与资产识别和威胁识别略有不同，脆弱性识别分为脆弱性发现、脆弱性分类、脆弱性验证和脆弱性赋值等4个环节。表2.1是脆弱性分类表

类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理防护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、申请注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别

在对1个信息系统进行了资产识别、威胁识别和脆弱性识别的基础上，人们能够对信息系统的综合风险等级进行赋值，见表2.2：

等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣4高一但发生会产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害3中等一但发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大2低一旦发生造成的影响程度较低，通常仅限于组织内部，通过一定手段很快能解决1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补