信息安全管理体系课件1.pptx

1、培训机构名称讲师名字1.信息安全管理信息安全管理体系体系知识体知识体知识域知识域信息安全管理信息安全管理基本概念基本概念信息信息安全安全管理体系建设管理体系建设知识子域知识子域信息安全管理的作用信息安全管理的作用风险管理的概念和作用风险管理的概念和作用过程方法与过程方法与PDCA循环循环安全管理控制措施的概念和作用安全管理控制措施的概念和作用建立、运行、评审与改进建立、运行、评审与改进ISMS2.知识子域：信息平安管理的作用理解信息平安“技管并重原那么的意义理解成功实施信息平安管理工作的关键因素知识子域：风险管理的概念和作用理解信息平安风险的概念：资产价值、威胁、脆弱性、防护措施、影响、可能性

2、理解风险评估是信息平安管理工作的根底理解风险处置是信息平安管理工作的核心知识子域：信息平安管理控制措施的概念和作用理解平安管理控制措施是管理风险的具体手段了解11个根本平安管理控制措施的根本内容33.一、信息平安管理概述二、信息平安管理体系三、信息平安管理体系建立四、信息平安管理控制标准44.一信息平安管理根本概念1、信息平安2、信息平安管理3、基于风险的信息平安二信息平安管理的状况1、信息平安管理的作用2、信息平安管理的开展3、信息平安管理的标准4、成功实施信息平安管理的关键55.v1、信息平安v2、信息平安管理v3、基于风险的信息平安66.信息：信息是一种资产，像其他重要的业务信息：信息是

3、一种资产，像其他重要的业务资产一样，对组织具有价值，因此需要妥善资产一样，对组织具有价值，因此需要妥善保护。保护。信息平安：信息平安主要指信息的保密性、信息平安：信息平安主要指信息的保密性、完整性和可用性的保持。即指通过采用计算完整性和可用性的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等平安机软硬件技术、网络技术、密钥技术等平安技术和各种组织管理措施，来保护信息在其技术和各种组织管理措施，来保护信息在其生命周期内的产生、传输、交换、处理和存生命周期内的产生、传输、交换、处理和存储的各个环节中，信息的保密性、完整性和储的各个环节中，信息的保密性、完整性和可用性不被破坏。可用性不被破坏

4、。77.信息安全保密性可用性完整性88.保密性保密性确保只有那些被授予特定权限的人才能够访问到信息。信息的保密性依据信息被允许访问对象的多少而不同，所有人员都可以访问的信息为公开信息，需要限制访问的信息为敏感信息或秘密信息，根据信息的重要程度和保密要求将信息分为不同密级。99.完整性完整性保证信息和处理方法的正确性和完整性。信保证信息和处理方法的正确性和完整性。信息完整性一方面指在使用、传输、存储信息息完整性一方面指在使用、传输、存储信息的过程中不发生篡改信息、丧失信息、错误的过程中不发生篡改信息、丧失信息、错误信息等现象；另一方面指信息处理的方法的信息等现象；另一方面指信息处理的方法的正确性

5、，执行不正当的操作，有可能造成重正确性，执行不正当的操作，有可能造成重要文件的丧失，甚至整个系统的瘫痪。要文件的丧失，甚至整个系统的瘫痪。1010.可用性可用性确保那些已被授权的用户在他们需要的时候，确实可以访问到所需信息。即信息及相关的信息资产在授权人需要的时候，可以立即获得。例如，通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用，影响正常的业务运营，这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。1111.统计结果说明，在所有信息平安事故中，只有20%30%是由于黑客入侵或其他外部原因造成的，70%80%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上

6、来看信息和网络平安的全貌就会发现平安问题实际上都是人的问题，单凭技术是无法实现从“最大威胁到“最可靠防线转变的。信息平安是一个多层面、多因素的过程，如果组织凭着一时的需要，想当然去制定一些控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息平安这只“木桶出现假设干“短板，从而无法提高信息平安水平。1212.正确的做法是参考国内外相关信息平安标准与最正确实践过程，根据组织对信息平安的各个层面的实际需求，在风险分析的根底上引入恰当控制，建立合理平安管理体系，从而保证组织赖以生存的信息资产的保密性、完整性和可用性。1313.14n组织中为了完成信息平安目标，针对信息系统，遵循平安

7、策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动n信息平安管理工作的对象规则人员目标组织信息输入立法摘要变化？关键活动关键活动测量拥有者资 源记录标 准输入输出生 产经 营过程14.信息平安管理是通过维护信息的保密性、完整性和可用性，来管理和保护组织所有的信息资产的一项体制；是组织中用于指导和管理各种控制信息平安风险的一组相互协调的活动，有效的信息平安管理要尽量做到在有限的本钱下，保证平安风险控制在可接受的范围。1515.1平安风险的根本概念2信息平安的风险模型2基于风险的信息平安1616.资产资产资产是任何对组织有价值的东西资产是任何对组织有价值的东西信息也是

8、一种资产，对组织具有价值信息也是一种资产，对组织具有价值资产的分类资产的分类 电子信息资产电子信息资产 纸介资产纸介资产 软件资产软件资产 物理资产物理资产 人员人员 效劳性资产效劳性资产 公司形象和名誉公司形象和名誉17.威胁威胁资威胁是可能导致信息平安事故和组织信息资威胁是可能导致信息平安事故和组织信息资产损失的环境或事件资产损失的环境或事件威胁是利用脆弱性来造成后果威胁是利用脆弱性来造成后果威胁举例威胁举例黑客入侵和攻击黑客入侵和攻击病毒和其他恶意程序病毒和其他恶意程序软硬件故障软硬件故障人为误操作人为误操作盗窃盗窃网络监听网络监听供电故障供电故障后门后门未授权访问未授权访问自然灾害如：

9、地震、火灾自然灾害如：地震、火灾18.脆弱性脆弱性是与信息资产有关的弱点或平安隐患。是与信息资产有关的弱点或平安隐患。脆弱性本身并不对资产构成危害，但是在一脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。用来对信息资产造成危害。脆弱性举例脆弱性举例系统漏洞系统漏洞程序程序Bug专业人员缺乏专业人员缺乏不良习惯不良习惯缺少审计缺少审计缺乏平安意识缺乏平安意识后门后门物理环境访问控制措施不当物理环境访问控制措施不当19.平安控制措施平安控制措施根据平安需求部署的，用来防范威胁，降低根据平安需求部署的，用来防范

10、威胁，降低风险的措施风险的措施平安控制措施举例平安控制措施举例技术措施技术措施防火墙防病毒入侵检测灾备系统管理措施管理措施平安规章平安规章平安组织平安组织人员培训人员培训运行维护运行维护20.21没有绝对的平安，只有相对的平安信息平安建设的宗旨之一，就是在综合考虑本钱与效益的前提下，通过恰当、足够、综合的平安措施来控制风险，使剩余风险降低到可接受的程度。21.信息平安追求目标信息平安追求目标v确保业务连续性v业务风险最小化v保护信息免受各种威胁的损害v投资回报和商业机遇最大化获得信息平安方式获得信息平安方式v实施一组适宜的控制措施，包括策略、过程、规程、组织结构以及软件和硬件功能。2222.风

11、险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的平安控制措施进行界定。信息平安管理体系的建立需要确定信息平安需求信息平安需求获取的主要手段就是平安风险评估信息平安风险评估是信息平安管理体系建立的根底，没有风险评估，信息平安管理体系的建立就没有依据。2323.风险评估的结果应进行相应的风险处置，本质上，风险处置的最正确集合就是信息平安管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息平安建立体系的建立过程。信息平安管理体系的核心就是这些最正确控制措施集合的。2424.1、信息

12、平安管理的作用2、信息平安管理的开展3、信息平安管理有关标准4、成功实施信息平安管理的关键2525.26v如果你把钥匙落在锁眼上会怎样？v技术措施需要配合正确的使用才能发挥作用保险柜就一定平安吗？保险柜就一定平安吗？26.精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？1、信息平安管理的作用、信息平安管理的作用27.信息系统是人机交互系统应对风险需要人为的管理过程设备的有效利用是人为的管理过程“坚持管理与技术并重是我国加坚持管理与技术并重是我国加强信息平安保障工作的主要原那么强信息平安保障工作的主要原那么1、信息平安管理的作用、信息平安管理的作用28.ISO/IEC TR

13、13335国际标准化组织在信息平安管理方面，早在1996年就开始制定?信息技术信息平安管理指南?ISO/IEC TR 13335，它分成五个局部：?信息平安的概念和模型?信息平安管理和规划?信息平安管理技术?基线方法?网络平安管理指南?2929.BS 7799英国标准化协会BSI1995年公布了?信息平安管理指南?BS 7799，BS 7799分为两个局部：BS 7799-1?信息平安管理实施规那么?和BS 7799-2?信息平安管理体系标准?。2002年又公布了?信息平安管理系统标准说明?BS 7799-2:2002。BS 7799将信息平安管理的有关问题划分成了10个控制要项、36 个控制

14、目标和127 个控制措施。目前，在BS77992中，提出了如何了建立信息平安管理体系的步骤。3030.3131.3232.1国际信息平安管理标准国际信息平安标准化组织国际信息平安管理标准2国内信息平安管理标准国内信息平安标准化组织国内信息平安管理标准3333.3434.3535.3636.3737.3838.39WG7组已有的标准组已有的标准39.40WG7组研究中的标准组研究中的标准40.4141.理解组织文化得到高层承诺做好风险评估整合管理体系积极有效宣贯纳入奖惩机制持续改进体系4242.一什么是信息平安管理体系二信息平安管理体系的框架三信息平安管理过程方法要求四信息平安管理控制措施要求4

15、343.v1、信息平安管理体系的定义v2、信息平安管理体系的特点v3、信息平安管理体系的作用v4、信息平安管理体系的文件4444.信息平安管理体系ISMS：Information Security Management System是组织在整体或特定范围内建立的信息平安方针和目标，以及完成这些目标所用的方法和体系。它是直接 管理活动的结果，表示为方针、原那么、目标、方法、方案、活动、程序、过程和资源的集合。4545.信息平安管理体系要求组织通过确定信息平安管理体系范围，制定信息平安方针，明确管理职责，以风险评估为根底选择控制目标和措施等一系列活动来建立信息平安管理体系；体系的建立基于系统、全面

16、、科学的平安风险评估，表达以预防控制为主的思想，强调遵守国家有关信息平安的法律、法规及其他合同方面的要求；强调全过程和动态控制，本着控制费用与风险平衡的原那么合理选择平安控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。4646.对组织的关键信息资产进行全面系统的保护，维持竞争优势；在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；促使管理层贯彻信息平安管理体系，强化员工的信息平安意识，标准组织信息平安行为；使组织的生意伙伴和客户对组织充满信心；组织可以按照平安管理，到达动态的、系统地、全员参与、制度

17、化的、以预防为主的信息平安管理方式，用最低的本钱，到达可接受的信息平安水平，从根本上保证业务的持续性。4747.各厂商、各标准化组织都基于各自的角度提出了各种信息平安管理的体系标准，这些基于产品、技术与管理层面的标准在某些领域得到了很好的应用，但从组织信息平安的各个角度和整个生命周期来考察，如果忽略了组织中最活泼的因素人的作用，那么信息平安管理体系是不完备的，考察国内外的各种信息平安事件，不难发现，在信息平安时间表象后面其实都是人的因素在起决定作用。4848.技术因素人的因素管理因素49在信息平安问题上，要综合考虑人员与管理、技术与产品、流程与体系。信息平安管理体系是人员、管理与技术三者的互动

18、。49.50完善信息平安治理结构风险评估平安规划信息平安管理框架管理措施技术手段信息系统平安审计监控业务与平安环境符合平安控制标准？持续改进调整50.1、信息平安管理体系循环框架2、信息平安管理体系内容框架3、信息平安管理体系文件框架4、信息平安管理体系系列标准5151.52信息平安管理体系是PDCA动态持续改进的一个循环体。相关方信息平安要求和期望相关方受控的信息平安52.PDCA也称“戴明环，由美国质量管理专家戴明提出。PPlan：方案，确定方针和目标，确定活动方案；DDo：实施，实际去做，实现方案中的内容；CCheck：检查，总结执行方案的结果，注意效果，找出问题；AAction：行动，

19、对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。5353.54pPDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。9090处置处置实施实施规划规划检查检查C CA AD DP PpPDCA特点二：组织中的每个局部，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。90909090C CA AD DP P90909090C CA AD DP P90909090C CA AD DP PpPDCA特点三：每通过一次PDCA 循环，都要进行总结，提出新目标，再进行第二次P

20、DCA 循环。90909090处置处置实施实施规划规划检查检查C CA AD DP P达到新的水平达到新的水平改进改进(修订标准修订标准)维持原有水平维持原有水平90909090处置处置实施实施规划规划检查检查C CA AD DP P54.5555.56其他最正确实践标准与各平安控制域之间的对应其他最正确实践标准与各平安控制域之间的对应ISO27000系列不是信息平安管理体系的全部系列不是信息平安管理体系的全部56.5757.58平安策略平安策略操作手册操作手册操作手册操作手册操作手册操作手册操作手册操作手册考核指标考核指标考核指标考核指标58.1ISO 27000系列2NIST SP800系

21、列3ISO/IEC13335系列5959.ISO 27000系列6027000270032700427007 27000信息平安管理体系原那信息平安管理体系原那么和术语么和术语 27001信息平安管理体系要求信息平安管理体系要求27002 信息平安管理实践准那信息平安管理实践准那么么27003信息平安管理实施指南信息平安管理实施指南27004 信息平安管理的度量指标信息平安管理的度量指标和衡量和衡量 27005 信息平安风险管理指南信息平安风险管理指南27006 信息和通信技术灾难恢复信息和通信技术灾难恢复效劳指南效劳指南27007 XXX270012700227000270062700527

22、00327004信息平安管理体系根本原理和词汇信息平安管理体系根本原理和词汇 60.27001ISMS要求27004 ISMS度量指标和衡量27002 ISMS实践准则6127001的附录A将两者联系起来，作为ISMS过程的一局部测量ISMS控制措施的性能和有效性的要求将两者联系起来61.正在启动的新标准工程；它将主要以ISO/IEC 13335-1:2004?信息和通信技术平安管理第1局部：信息和通信技术平安管理的概念和模型?为根底进行研究；该标准将规定27000系列标准所共用的根本原那么、概念和词汇。6262.2005年10月15日发布；规定了一个组织建立、实施、运行、监视、评审、保持、改

23、进信息平安管理体系的要求；基于风险管理的思想，旨在通过持续改进的过程PDCA模型使组织到达有效的信息平安；使用了和ISO 9001、ISO 14001相同的管理体系过程模型；是一个用于认证和审核的标准；6363.即17799，2005年6月15日发布第二版；包含有11个平安类别、39个控制目标、138个控制措施；实施27001的支撑标准，给出了组织建立ISMS时应选择实施的控制目标和控制措施集；是一个行业最正确惯例的汇总集，而不是一个认证和审核标准；6464.目前处于工作草案阶段；它主要以BS 7799-2:2002附录B的内容为根底进行制定；提供了27001具体实施的指南。6565.旨在为组

24、织提供一个如何通过使用度量、测量项以及适宜的测量技术来评估其平安管理状态的指南。6666.目前处于委员会草案阶段；它将主要以ISO/IEC 13335-2为根底进行制定；描述了信息平安风险管理的过程及每个过程的详细内容。6767.68NIST SP800系列68.ISO/IEC1335-1:1996IT安全概念和模型ISO/IEC1335-2:1997IT安全管理和计划ISO/IEC1335-3:1998IT安全管理技术ISO/IEC1335-4:2000IT安全措施的选择ISO/IEC1335-5:2001网络安全管理指南69ISO/IEC13335系列系列69.v1、信息平安管理过程方法的

25、作用v2、信息平安管理过程方法的结构7070.过程方法要求Methodological requirements：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息平安管理体系规定了要求。按照PDCA循环理念运行的信息平安管理体系是从过程上严格保证了信息平安管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。7171.7272.v1、信息平安管理控制措施的作用v2、信息平安管理控制措施的结构7373.平安控制要求Security control requirements：为组织选择满足自身信息平安环境要求的控制措施提供了一个最正确实践集。组织

26、应根据法律法规的约束、自身的业务和风险特征选择适用的控制措施。当然组织也可以根据自身的特定要求对平安控制措施进行补充。7474.75v共有11个控制条款方面v每个条款包括许多主要的平安类。v每个平安类包括：v一个控制目标，声明要实现什么v一个或多个控制措施，可被用于实现该控制目标v每个控制措施v控制：是对该控制措施的定义v实施指南：是对实施该控制措施的指导性说明v其它信息：其它需要说明的补充信息75.2、信息平安管理控制措施的结构例如、信息平安管理控制措施的结构例如v8、人员平安平安控制条款v8.1雇佣前平安类v确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用

27、或设施误用的风险。平安类控制目标v8.1.1角色和职责平安控制措施v控制：是对该控制措施的定义v实施指南：是对实施该控制措施的指导性说明v其它信息：其它需要说明的补充信息76.v知识子域：过程方法与PDCA循环v理解ISMS过程和过程方法的含义v理解PDCA循环的特征和作用v知识子域：建立、运行、评审与改进ISMSv了解建立ISMS的主要工作内容v了解实施和运行ISMS的主要工作内容v了解监视和评审ISMS的主要工作内容v了解保持和改进ISMS的主要工作内容77.一信息平安管理体系的规划和建立二信息平安管理体系的实施和运行三信息平安管理体系的监视和评审四信息平安管理体系的保持和改进7878.P

28、1-定义ISMS范围P2-定义ISMS方针P3-确定风险评估方法P4-分析和评估信息平安风险P5-识别和评价风险处理的可选措施P6-为处理风险选择控制目标和控制措施P7-准备详细的适用性声明SoA7979.ISMS的范围就是需要重点进行信息平安管理的领域，组织需要根据自己的实际情况，在整个组织范围内、个别部门或领域构建ISMS。在本阶段，应将组织划分成不同的信息平安控制领域，以易于组织对有不同需求的领域进行适当的信息平安管理。在定义ISMS范围时，应重点考虑组织现有的部门、信息资产的分布状况、核心业务的流程区域以及信息技术的应用区域。8080.信息平安方针是组织的信息平安委员会或管理当局制定的

29、一个高层文件，用于指导组织如何对资产，包括敏感信息进行管理、保护和分配的规那么和指示。信息平安方针应当说明管理层的承诺，提出组织管理信息平安的方法，并由管理层批准，采用适当的方法将方针传达给每一个员工。信息平安方针应当简明、扼要，便于理解，至少包括目标、范围、意图、法规的遵从性和管理的责任等内容。8181.组织可采取不同风险评估法方法，一个方法是否适合于特定组织，有很多影响因素，包括：业务环境业务性质与业务重要性；对支持组织业务活动的信息系统的依赖程度；业务内容、支持系统、应用软件和效劳的复杂性；贸易伙伴、外部业务关系、合同数量的大小。这些因素对风险评估方法的选择都很重要，不仅风险评估要考虑本

30、钱与效益的权衡，不出现过度平安；风险评估自身也要考虑本钱与效益的权衡，不出现过度复杂。8282.风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的平安控制措施进行鉴定。确定风险数值的大小不是评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。组织可以采用按照风险数值排序的方法，也可以采用区间划分的方法将风险划分为不同的优先等级，这包括将可接受风险与不可接受风险进行划分。8383.根据风险评估的结果，在已有措施根底上从平安控制最正确集

31、合中选择平安控制措施。8484.在选择控制目标和控制措施时，并没有一套标准与通用的方法，选择的过程往往不是很直接，可能要涉及一系列的决策步骤、咨询过程，要和不同的业务部门和大量的关键人员进行讨论，对业务目标进行广泛的分析，最后产生的结果要很好的满足组织对业务目标、资产保护、投资预算的要求。组织采用什么样的方法来评估平安需求和选择控制，完全由组织自己来决定。但无论采用什么样的方法、工具，都需要靠来自风险、来自法规和合同的遵从以及来自业务这三种平安需求来驱动。8585.在风险评估之后，组织应该选用符合组织自身需要的控制措施与控制目标。所选择的控制目标和措施以及被选择的原因应在适用性声明SOA：St

32、atement of ApplicationSOA中进行说明。SOA是适合组织需要的控制目标和控制的评论，需要提交给管理者、职员、具有访问权限的第三方相关认证机构。SOA的准备一方面是为了向组织内的员工声明对信息平安面对的风险的态度，更大程度上那么是为了向外界说明组织的态度和作为，以说明组织已经全面、系统的审视了组织的信息平安系统，并将所有需要控制的风险控制在能被接受的范围内。8686.D1-开发风险处置方案D2-实施风险处置方案D3-实施平安控制措施D4-实施平安教育培训D5-管理ISMS的运行D6-管理ISMS 的资源D7-执行检测平安事件程序D8-执行响应平安事故程序8787.根据风险评

33、估的结果进行相关的风险处置：降低风险：在考虑转移风险前，应首先考虑采取措施降低风险；防止风险：有些风险容易防止，例如采用不同的技术、更改操作流程、采用简单的技术措施等；转移风险：通常只有当风险不能被降低风险和防止、且被第三方接受时才采用；接受风险：用于那些在采取了降低风险和防止风险措施后，出于实际和经济方面的原因，只要组织进行运营，就必然存在并必须接受的风险。8888.体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中体验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施ISMS手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身

34、的各项工程，及时发现体系本身存在的问题，找出问题的根据，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以到达进一步完善信息平安管理体系的目的。8989.C1-执行ISMS监视程序C2-执行ISMS评价程序C3-定期执行ISMS评审C4-测量控制措施的有效性C5-验证平安要求是否被满足C6-按方案进行风险评估C7-评审可接受剩余风险C8-按方案进行内部审核C9-按方案进行管理评审C10-更新信息平安方案C11-记录对ISMS有影响的行动和事件9090.在检查阶段采集的信息应该可以用来测量信息平安管理体系，判断是否符合组织的平安方针和控制目标的有效性。常用的检查措施有：日常检

35、查：作为正式的业务过程经常进行，并设计用来侦测处理结果的错误。自治程序：为了保证任何错误或失败在发生时能被及时发现而建立的措施。如监控程序报警等。从其他处学习：一种识别组织不够好的方法是看其他组织在处理此类问题是否有更好的方法。9191.内部 在一个特定的常规审核时间内检查所有方面是否到达预想的效果。管理评审：管理评审的目的是检查信息平安管理体系的有效性，以识别需要的改进和采取的行动。管理评审指导每年进行一次趋势分析：经常进行趋势分析有助于组织识别需要改进的领域，并建立一个持续改进和循环提高的根底。9292.A1-实施已识别的ISMS改进措施A2-执行纠正性和预防性措施A3-通知相关人员ISM

36、S的变更A4-从平安经验和教训中学习9393.为使信息平安管理体系持续有效，应以检查阶段采集的不符合项信息为根底，经常进行调整与改进。不符合项指：缺少或缺乏有效地实施和维护一个或多个信息平安管理体系的要求；在有可观证据的根底上，引起对信息平安管理体系平安方针和组织平安目标能力的重大疑心。9494.通过各种检查措施，发现了组织ISMS体系运行中出现了不符合规定要求的事项后，就需要采取改进措施。改进措施主要通过纠正与预防性控制措施来实现，同时对潜在的不符合项采取预防性措施。纠正性措施：组织应采取措施，以消除不合格的、与实施和运行信息平安管理体系有关的原因、防止问题的再发生。预防性措施：组织应对未来

37、的不适宜事件确定预防措施已防止其发生，预防措施应与潜在问题的影响程度相适应。9595.按照内部审计和管理评审的输出结果对信息平安管理体系作持续性的改善，每次的改善会涉及到信息平安管理体系文件的变更，变更的结果应该及时通知信息平安管理体系的相关人员，并提供相应培训。9696.从信息平安的最正确实践经验和平安事故教训中学习，持续提高信息平安管理的水平。9797.十一项条款一信息平安策略二信息平安组织三人力资源平安四信息资产分类与控制五信息平安访问控制六物理与环境平安七系统开发与维护八通信与运营平安九信息平安事故管理十业务持续性管理十一符合性9898.信息平安策略是陈述管理者的管理意图，说明信息平安

38、工作目标和原那么的文件；从本质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个方案。9999.在一个机构中，平安角色与责任的不明确是实施信息平安过程中的最大障碍，信息平安组织的作用就是明确组织信息平安责任和职责，形成组织的平安管理架构。100100.人力资源平安是保证组织中的员工在雇佣前、雇佣中、离职后各关键环节人力资源上的平安要求事项和控制措施。101101.信息资产分类与控制是确保组织中的信息资产按照不同等级受到适当保护的控制措施，资产的分类原那么、分类清单、所有权人都是关键核心要素。102102.信息平安访问控制是通过标识identification、鉴别auth

39、entication、授权authorization这三种机制实现对业务、网络、操作系统、应用程序等平安访问控制策略的最正确实践。103103.物理与环境平安是防止未经授权的进入、访问、破坏及干扰企业运行场所及信息，确保信息处理设施、关键核心设备和数据的平安。104104.系统开发与维护是通过科学严谨的软件开发方法，减少自开发软件的漏洞，定期保养维护、及时发现系统的平安脆弱点。105105.通信和运营平安是确保正确、平安地操作信息处理设备，包括系统规划及验收、对恶意软件的防范、日常事务处理、网络管理、存储媒体的处理与平安、信息及软件的交换等。106106.对发生在计算机系统或网络上的威胁平安的事件进行响应，通过对策、检测和响应等手段最快速度恢复系统的保密性、完整性和可用性，阻止和减小平安事件带来的影响。107107.业务连续性管理是通过制定和实施一系列事先的策略和规划，确保单位在面临突发的灾难事件时，关键业务功能能持续运作、有效的发挥作用，以保证业务的正常和连续。108108.符合性管理就是要防止违反法律、法规、规章、合同的要求，以及本单位平安策略和制度标准的规定109109.标准不是罗列文档不是摆设劣法胜于无法细节决定成败110110.111.