【原】如何建立ISMS_ISO27001

組織的業(yè)務目標和信息安全要求緊密相關。實際上，任何組織成功經營的能力在很大程度上取決于其有效地管理其信息安全風險的才干。因此，如何確保信息安全已是各種組織改進其競爭能力的一個新的挑戰(zhàn)任務。組織建立一個基于ISO/IEC 27001:2005 ISMS，已成為時代的需要。

從簡單分析ISO/IEC 27001:2005標準的要求入手，下面的內容論述了建立一個符合標準要求的ISMS的要點。

1.1.1 正確理解ISMS的含義和要素

ISMS建設人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標準的要求之后，才有可能建立一個符合要求的完善的ISMS。

ISMS的含義

在ISO/IEC 27001標準中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務風險方法為基礎，其目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。

如果一個組織有多個管理體系，例如包括ISMS、QMS（質量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組成部分，或一個子管理體系。各個子管理體系必須相互配合、協調一致地工作，才能實現該組織的總目標。

ISMS的要素

標準還指出，管理體系包括“組織的結構、方針、規(guī)劃活動、職責、實踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構成管理體系的相互依賴、協調一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：

1) 信息安全管理機構

通過信息安全管理機構，可建立各級安全組織、確定相關人員職責、策劃信息安全活動和實踐等。

2) ISMS文件

包括ISMS方針、過程、程序和其它必須的文件等。

3) 資源

包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設備等。

ISMS的建立要確保這些ISMS要素得到滿足。

1.1.2 建立信息安全管理機構

1) 信息安全管理機構的名稱  

標準沒有規(guī)定信息安全管理機構的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經運行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機構合并于現有管理體系的管理機構，實行一元化領導。

2) 信息安全管理機構的級別  

信息安全管理機構的級別應根據組織的規(guī)模和復雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設立三個不同級別的信息安全管理機構：

a) 高層：以總經理或管理者代表為領導，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。

b) 中層：負責該組織日常信息安全的管理與監(jiān)督活動。

c) 基層：基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。

1.1.3 執(zhí)行標準要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：

1) 定義ISMS的范圍和邊界，形成ISMS的范圍文件；

2) 定義ISMS方針（包括建立風險評價的準則等）,形成ISMS方針文件；

3) 定義組織的風險評估方法；

4) 識別要保護的信息資產的風險，包括識別：

a） 資產及其責任人；

b） 資產所面臨的威脅；

c） 組織的脆弱點；

d） 資產保密性、完整性和可用性的喪失造成的影響。

5) 分析和評價安全風險，形成《風險評估報告》文件，包括要保護的信息資產清單；

6) 識別和評價風險處理的可選措施，形成《風險處理計劃》文件；

7) 根據風險處理計劃，選擇風險處理控制目標和控制措施，形成相關的文件；

8) 管理者正式批準所有殘余風險；

9) 管理者授權ISMS的實施和運行；

10) 準備適用性聲明。

1.1.4 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準，是ISO/IEC 27001:2005的具體體現。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標準-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。

(1) ISMS文件的類型

根據ISO/IEC 27001:2005標準的要求，ISMS文件有三種類型。

1) 方針類文件（Policies）

方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：

a） ISMS方針（ISMS policy）；

b） 信息安全方針（information security policy）。

2) 程序類文件（Procedures）

3) 記錄（Records）

記錄是提供客觀證據的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關程序文件運行產生的結果（或輸出）。記錄通常是表格形式。

4) 適用性聲明文件（Statement of Applicability, 簡稱SOA）

ISO/IEC 27001:2005標準的附錄A提供許多控制目標和控制措施。這些控制目標和控制措施是最佳實踐。對于這些控制目標和控制措施，實施ISMS的組織只要有正當性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。

(2) 必須的文件  

“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件（mandatory documents）。“4.3.1總則”要求ISMS文件必須包括9方面的內容：

1) ISMS方針 

ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護其信息資產的原則和方向，以及各方面人員的職責等。

2) ISMS的范圍

3) 支持ISMS的程序和控制措施；

4) 風險評估方法的描述；

5) 風險評估報告；

6) 風險處理計劃；

7) 控制措施有效性的測量程序；

8) 本標準所要求的記錄；

9) 適用性聲明。

(3) 可選的文件  

除了上述必須的文件外，組織可以根據其實際的業(yè)務活動和風險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內容可隨組織的不同而有所不同，主要取決于:

1) 組織的業(yè)務活動及風險；

2) 安全要求的嚴格程度；

3) 管理的體系的范圍和復雜程度。

這里，需要特別提出的是，ISMS的特點之一是風險評估和風險管理。組織需要哪些ISMS文件及其復雜程度如何，通常可根據風險評估決定。如果風險評估的結果，發(fā)現有不可接受的風險，那么就應識別處理這些風險的可能方法，包括形成相關文件。

(4) 文件的符合性  

ISMS文件的符合性包括符合相關法律法規(guī)的要求、符合ISO/IEC 27001:2005標準4-8章的所有要求和符合本組織的實際要求。為此：

1) 參考相關法律法規(guī)要求和標準要求

在編寫ISMS文件時，編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j） 準備適用性聲明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。

2) 將本組織的最好實踐形成文件

為了易于操作，編寫者最好把本組織當前的最好實踐寫下來，補充標準的要求，形成統(tǒng)一格式的文件。

3) 保持一致性

a） 同一個文件中，上下文不能有不一致或矛盾的地方

b） 同一個體系的不同文件之間不能有矛盾的地方

c）  不同體系的文件之間不能有不一致的地方

如果組織同時運行多個管理體系，例如質量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個體系的文件之間應相互協調，避免產生不一致的地方。此外，在文字的表達上，應準確，無二義