上一篇聊的是關(guān)于風(fēng)險評估實(shí)施的安全標(biāo)準(zhǔn)，看到有人留言懷疑我冒充小師妹，我覺得并沒有冒充的必要，反倒我希望各位圈友把我當(dāng)成兄弟，不吝賜教。

身邊一個朋友常掛在嘴邊的一句話是“做人嘛，開心最重要”，我就是這個態(tài)度，能把自己感興趣的東西，一邊學(xué)習(xí)一邊有所輸出，并能和大家一起交流，互相幫助，開心就好。聊標(biāo)準(zhǔn)的目的本身也就是想把標(biāo)準(zhǔn)通俗化，想要大家都能一看就明白，但由于本人水平有限，內(nèi)容上難免有點(diǎn)差強(qiáng)人意。

我今天想和大家聊的是關(guān)于信息安全管理體系的標(biāo)準(zhǔn)《GB/T 31496-2015 信息技術(shù) 安全技術(shù)信息安全管理體系實(shí)施指南》。

一、該標(biāo)準(zhǔn)的簡單描述

這個標(biāo)準(zhǔn)其實(shí)就是國際標(biāo)準(zhǔn)ISO/IEC 27003:2010的中文翻譯，并沒有做多少改動，主要用來指導(dǎo)信息安全管理的過程，將信息資產(chǎn)的風(fēng)險控制在組織可接受的安全范圍內(nèi)。

該標(biāo)準(zhǔn)同另外8個標(biāo)準(zhǔn)共同組成了信息安全管理體系標(biāo)準(zhǔn)族(簡稱ISMS標(biāo)準(zhǔn)族)，如下：

通常情況下，ISMS的實(shí)施被作為一個單獨(dú)的項(xiàng)目來執(zhí)行。既然是項(xiàng)目我們應(yīng)該都知道，一個項(xiàng)目的啟動，前期都要經(jīng)過詳細(xì)的計(jì)劃、統(tǒng)籌并要得到相關(guān)領(lǐng)導(dǎo)的批準(zhǔn)，這是***個階段，其余幾個階段我們后面也要具體講到。無論是大型組織還是小型企業(yè)，在做ISMS項(xiàng)目時都可以參考該標(biāo)準(zhǔn)來執(zhí)行，參考本標(biāo)準(zhǔn)時建議配合ISMS標(biāo)準(zhǔn)族的其他幾個標(biāo)準(zhǔn)一起使用。

二、ISMS的實(shí)施階段

從項(xiàng)目實(shí)施的角度，包括五個階段：

當(dāng)然，每個階段都會涉及到相關(guān)文件的輸出，這個不管做什么項(xiàng)目應(yīng)該都是這樣，下面將講每個階段具體需要做什么，需要輸出什么樣的文檔(一個項(xiàng)目要輸出的文檔是真的多)。

(一) 獲得領(lǐng)導(dǎo)對ISMS項(xiàng)目的批準(zhǔn)

當(dāng)前階段是要讓領(lǐng)導(dǎo)了解ISMS項(xiàng)目實(shí)施的必要性以及能帶來的利益，可通過創(chuàng)建業(yè)務(wù)案例、制定初步的項(xiàng)目計(jì)劃來獲得領(lǐng)導(dǎo)的批準(zhǔn)。

總的來說，該階段要做的事情分為三步走，如下圖所示：

1. 闡明組織開發(fā)ISMS的優(yōu)先級

通俗點(diǎn)說，就是要讓領(lǐng)導(dǎo)知道為什么要做這個ISMS項(xiàng)目，對公司能帶來什么價值。在闡述的時候呢，***把這幾個問題講清楚就差不多了。

• 風(fēng)險管理— ISMS如何產(chǎn)生更好地管理信息安全風(fēng)險?
• 效率— ISMS如何能改進(jìn)信息安全的管理?
• 業(yè)務(wù)優(yōu)勢— ISMS如何能為組織創(chuàng)造競爭優(yōu)勢?

2. 初步制定ISMS的范圍以及角色職責(zé)

(1) 初步制定ISMS的范圍

ISMS的范圍確定其實(shí)和前面提到的三個問題相關(guān)，一般從以下8個因素來考慮：

a) 關(guān)鍵的業(yè)務(wù)域和組織域：

• 關(guān)鍵業(yè)務(wù)域和關(guān)鍵組織域是什么?
• 組織哪些域提供該業(yè)務(wù)以及關(guān)注什么?
• 有什么第三方關(guān)系及其協(xié)議?
• 是否有外包服務(wù)?

b) 敏感信息或有價值的信息：

• 什么信息對組織是至關(guān)重要的?
• 如果某些信息被泄露給未授權(quán)方，可能產(chǎn)生什么后果(例如，失去競爭優(yōu)勢、損害品牌或名譽(yù)、引起法律訴訟等)?

c) 對信息安全測量有要求的相關(guān)法律：

• 什么法律適用于組織的風(fēng)險處置或信息安全?
• 組織是否是必須對外進(jìn)行財(cái)務(wù)報(bào)告的公眾性全球性組織的一部分?

d) 與信息安全有關(guān)的合同協(xié)議或組織協(xié)議：

• 對數(shù)據(jù)存儲的要求(包括保留期限)是什么?
• 是否有任何與隱私或質(zhì)量有關(guān)的合同要求(例如，服務(wù)級別協(xié)議 -SLA)?

e) 規(guī)定特定信息安全控制措施的行業(yè)要求：

• 有哪些行業(yè)特定的要求適用于組織?

f) 威脅環(huán)境：

• 需要什么類型的保護(hù)，及需要應(yīng)對哪些威脅?
• 需要保護(hù)的信息的特定類別是什么?
• 需要保護(hù)的信息活動的特定類型是什么?

g) 競爭動力：

• 對信息安全的最小化市場要求是什么?
• 哪些另外的信息安全控制措施可為組織提供競爭優(yōu)勢?

h) 業(yè)務(wù)持續(xù)性要求：

• 關(guān)鍵業(yè)務(wù)過程是什么?
• 對每個關(guān)鍵業(yè)務(wù)過程而言，組織能夠容忍其中斷的時間是多長?

如果這些問題有了答案，那么ISMS的范圍也就初步確定了。之后還需要輸出一份初步的ISMS范圍文檔，內(nèi)容包括：

• 組織的管理者對信息安全管理的指示概述，以及外部施加于組織的義務(wù)
• ISMS范圍內(nèi)的區(qū)域如何與其他管理體系交互的描述
• 信息安全管理的業(yè)務(wù)目標(biāo)清單(前面問題的回答)
• ISMS將被應(yīng)用的關(guān)鍵業(yè)務(wù)過程、系統(tǒng)、信息資產(chǎn)、組織結(jié)構(gòu)和地理位置的清單
• 現(xiàn)有管理體系、規(guī)章、符合性和組織目標(biāo)之間的關(guān)系
• 業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特點(diǎn)

(2) 初步制定ISMS范圍內(nèi)的角色和職責(zé)

根據(jù)企業(yè)的大小，角色和職責(zé)的劃分可能會不同，因?yàn)閷τ谏晕⑿↑c(diǎn)的企業(yè)，并沒有一人一崗的條件，一般都是一個人擔(dān)任多種角色，但是例如CISO、CIMO等負(fù)責(zé)整個信息安全管理的角色還是要設(shè)置的，然后其他崗位的設(shè)置按照工作內(nèi)容所需要的技能來分配員工的角色和責(zé)任。

舉個完善的ISMS項(xiàng)目中角色與職責(zé)的例子：(圖片來源于標(biāo)準(zhǔn))

3. 創(chuàng)建業(yè)務(wù)案例和項(xiàng)目計(jì)劃書

在前兩步完成后，就可以開始創(chuàng)建業(yè)務(wù)案例和項(xiàng)目計(jì)劃了，這兩份東西是領(lǐng)導(dǎo)同意執(zhí)行項(xiàng)目的關(guān)鍵，所以一定要做好;項(xiàng)目計(jì)劃書包含前面講到的五個階段的相關(guān)活動，就大體是我們今天講的內(nèi)容。

實(shí)施ISMS的業(yè)務(wù)案例需涵蓋以下主題：

• 目的和特定目標(biāo);
• 組織的利益;
• 初步的ISMS范圍，包括受影響的業(yè)務(wù)過程;
• 實(shí)現(xiàn)ISMS目標(biāo)的關(guān)鍵過程&因素;
• 高層級項(xiàng)目概要;
• 初始的實(shí)施計(jì)劃;
• 已定義的角色和責(zé)任;
• 需要的資源(包括技術(shù)和人員兩方面);
• 實(shí)施考慮事項(xiàng)，包括現(xiàn)有的信息安全;
• 帶有關(guān)鍵里程碑的時間計(jì)劃;
• 預(yù)期的成本(重要);
• 關(guān)鍵的成功因素;
• 組織利益的量化。

4. 當(dāng)前階段需要輸出的文檔

(二) 制定ISMS范圍和方針策略

根據(jù)初步的ISMS范圍和組織內(nèi)關(guān)鍵的信息資產(chǎn)來確定詳細(xì)的ISMS范圍和邊界，并制定ISMS方針策略。

1. 制定ISMS范圍和邊界

(1)定義組織的范圍和邊界

范圍前面已經(jīng)差不多確定了，邊界的話主要是便于賦予組織內(nèi)的可核查性，標(biāo)識出相互不重疊的責(zé)任域，需要考慮的因素有：

• ISMS管理論壇應(yīng)由ISMS范圍所直接涉及的管理人員組成;
• ISMS的管理成員，應(yīng)是最終負(fù)責(zé)所有受影響的責(zé)任域的人員(即，他們的角色通常由其所跨越的控制措施和責(zé)任指定的);
• 在負(fù)責(zé)管理ISMS的角色不是高層管理者的情況下，高層發(fā)起人基本代表對信息安全的利益，并在組織的***層起到ISMS倡導(dǎo)者的作用;
• 范圍和邊界需要予以定義，以確?？紤]了風(fēng)險評估中所有相關(guān)的資產(chǎn)，確保強(qiáng)調(diào)了可能發(fā)生于這些邊界上的風(fēng)險。

(2)定義信息通信技術(shù)(ICT)的范圍和邊界;

ICT范圍和邊界的定義可通過一種信息系統(tǒng)的途徑來獲得(而不是基于IT技術(shù))，如果把信息系統(tǒng)的業(yè)務(wù)過程也歸入ISMS范圍，那么還要考慮所有相關(guān)的ICT元素，包括：存儲、處理或傳輸關(guān)鍵信息、資產(chǎn)的組織的所有部分以及ISMS范圍內(nèi)對這些組織部分是至關(guān)重要的其它元素，需要考慮的因素有：

• 社會與文化的環(huán)境;
• 適用于組織的法律法規(guī)、規(guī)章和合同的要求;
• 關(guān)鍵責(zé)任的可核查性;
• 技術(shù)約束(例如，可用的帶寬和服務(wù)的可用性等)。

通過以上考慮，ICT邊界應(yīng)包括以下事宜的描述(在適用時)：

• 組織負(fù)責(zé)管理的通信基礎(chǔ)設(shè)施，其中包括采用各種不同的技術(shù)(例如無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)或數(shù)據(jù)/語音網(wǎng)絡(luò));
• 組織使用和控制的組織邊界內(nèi)的軟件;
• 網(wǎng)絡(luò)、應(yīng)用或生產(chǎn)系統(tǒng)所需要的ICT硬件;
• 有關(guān)ICT硬件、網(wǎng)絡(luò)和軟件的角色和責(zé)任。

(3)定義物理范圍和邊界

物理指的是屬于ISMS的各部門內(nèi)的建筑物、位置或設(shè)施，這個應(yīng)該不用多講。

(4)集成每一個范圍和邊界

通過集成每一個范圍和邊界(前面講了三個)來獲得ISMS的范圍和邊界，例如，可以選擇諸如數(shù)據(jù)中心或辦公室的物理位置，并列出一些關(guān)鍵過程(比如移動訪問一個中心信息系統(tǒng));其中每一個關(guān)鍵過程均涉及一些之外的域，而該數(shù)據(jù)中心就可使這些之外的域成為范圍之內(nèi)的域。(通俗的說，這個集成就好比拉關(guān)系，你認(rèn)識我，我又認(rèn)識小二，通過我，你和小二就認(rèn)識了，我們?nèi)齻€就在一個朋友圈里了。)

2. 制定ISMS方針策略和獲得領(lǐng)導(dǎo)批準(zhǔn)

在定義ISMS方針策略時，應(yīng)考慮以下方面：

• 基于組織的要求和信息安全優(yōu)先級，建立ISMS目標(biāo);
• 為達(dá)到ISMS目標(biāo)，建立一般性的關(guān)注和動作指南;
• 考慮組織的信息安全要求、法律法規(guī)或規(guī)章，以及合同義務(wù);
• 組織內(nèi)風(fēng)險管理語境;
• 建立評價風(fēng)險和定義風(fēng)險評估結(jié)構(gòu)的準(zhǔn)則;
• 闡明高層管理者對ISMS的責(zé)任;
• 獲得管理者的批準(zhǔn)。

3. 當(dāng)前階段需要輸出的文檔

(三) 信息安全要求分析

對信息資產(chǎn)進(jìn)行標(biāo)識，了解在ISNS范圍內(nèi)這些信息資產(chǎn)的信息安全狀況。我們在信息安全分析時，要先收集的信息包括：

• 正確的基本數(shù)據(jù);
• 標(biāo)識實(shí)施ISMS的條件并形成文件;
• 提供一份清晰并已很好理解的組織設(shè)施;
• 考慮組織的特殊情況和狀態(tài);
• 標(biāo)識所期望的信息保護(hù)水平;
• 在所提議的實(shí)施范圍內(nèi)，確定企業(yè)部分或企業(yè)全部所需的信息編輯。

在這個階段，我們需要分為三步來完成，如下圖：

1. 定義ISMS過程的信息安全要求

在定義ISMS過程的信息安全要求時，要圍繞信息的重要程度來定義，一般需要做的工作有：

• 初步標(biāo)識重要的信息資產(chǎn)以及當(dāng)前的信息安全保護(hù);
• 標(biāo)識組織的愿景，并確定所標(biāo)識的愿景對未來信息處理要求的影響;
• 分析信息處理、系統(tǒng)應(yīng)用、通信網(wǎng)絡(luò)、活動場所和IT資源等的當(dāng)前形式;
• 標(biāo)識所有的基本要求(例如，法律法規(guī)和規(guī)章的要求、合同義務(wù)、組織要求、行業(yè)標(biāo)準(zhǔn)、客戶和供應(yīng)商協(xié)議和保險條件等);
• 標(biāo)識信息安全了解的程度，并由此針對每一個運(yùn)行和管理單位，導(dǎo)出相應(yīng)的培訓(xùn)和教育要求。

2. 標(biāo)識ISMS范圍內(nèi)的資產(chǎn)

這個應(yīng)該是最簡單的一步了吧，有哪些資產(chǎn)梳理出來就好，記得做好分類。

在ISMS項(xiàng)目中，有一些關(guān)鍵的過程也需要寫清楚，一般包括的內(nèi)容有：

• 過程的唯一名稱;
• 過程描述及其所關(guān)聯(lián)的活動(創(chuàng)建、存儲、傳輸和刪除);
• 過程對組織的至關(guān)重要性(關(guān)鍵的、重要的和支持性的);
• 過程責(zé)任人(組織部門);
• 提供輸入的過程以及這一過程的輸出;
• 支持過程的IT應(yīng)用;
• 信息分類(保密性、完整性、可用性、訪問控制、不可否認(rèn)性，和/或?qū)M織有用的其他重要特性，例如，信息可能保存的時間)。

3. 進(jìn)行信息安全評估

根據(jù)我們前面兩步得出的內(nèi)容，將現(xiàn)有的信息安全水平與我們***階段制定的組織目標(biāo)進(jìn)行比較，來執(zhí)行信息安全評估。信息安全評估的基本目的是以策略和指南形式，為管理體系提供支撐，參與信息安全評估的人員應(yīng)該由了解當(dāng)前環(huán)境、條件，并了解信息安全相關(guān)事物的人進(jìn)行評估活動，(這一步主要就是對梳理出來的屬于ISMS內(nèi)的信息資產(chǎn)做脆弱性分析，關(guān)于脆弱性分析，可參考上一篇風(fēng)險評估的文章)

一個成功的信息安全評估，應(yīng)采取以下措施：

• 標(biāo)識和列出相關(guān)的組織標(biāo)準(zhǔn);
• 標(biāo)識已知的控制要求，這些控制要求一般出現(xiàn)在策略、法律法規(guī)和規(guī)章的要求、合同義務(wù)、過去審核的發(fā)現(xiàn)或過去執(zhí)行的風(fēng)險評估的發(fā)現(xiàn);
• 針對組織信息安全水平，做出當(dāng)前要求的粗略估算。

4. 當(dāng)前階段需要輸出的文檔

(四) 風(fēng)險評估和規(guī)劃風(fēng)險處置

這一階段相當(dāng)于是一個風(fēng)險管理的過程，具體可參考ISO/IEC 27005:2008 信息安全風(fēng)險管理，在這里同樣分為三步來執(zhí)行：

1. 風(fēng)險評估

在這里風(fēng)險評估的方法就不再講了，這一步目的是要得出風(fēng)險評估的結(jié)果。

2. 選擇控制目標(biāo)與控制措施

這一步是根據(jù)風(fēng)險評估的結(jié)果來進(jìn)行風(fēng)險處置，選擇適當(dāng)?shù)目刂拼胧?，制定風(fēng)險處置計(jì)劃。在風(fēng)險降低的情況下，管理每一個風(fēng)險與已選擇的控制目標(biāo)和控制措施之間的關(guān)系，有利于設(shè)計(jì)ISMS的實(shí)施?？梢蕴砑拥矫枋鲲L(fēng)險與所選擇的風(fēng)險處置措施之間關(guān)系的列表中。當(dāng)控制措施中可能包含有部分敏感信息的時候，可將生成的信息作為在定義資產(chǎn)期間創(chuàng)建ISMS的一部分。

3. 獲得領(lǐng)導(dǎo)授權(quán)

相當(dāng)于經(jīng)過前面四個階段的工作，把得出的數(shù)據(jù)和形成的文件交給領(lǐng)導(dǎo)看，說明在ISMS項(xiàng)目中可能會出現(xiàn)的風(fēng)險，在領(lǐng)導(dǎo)接受殘余風(fēng)險后，簽署授權(quán)決定文件。

4. 當(dāng)前階段需要輸出的文檔

(五)設(shè)計(jì)ISMS

經(jīng)過前面四個階段的執(zhí)行，最終就是設(shè)計(jì)ISMS項(xiàng)目實(shí)施計(jì)劃。在設(shè)計(jì)ISMS時，要從組織安全、ICT安全、物理安全以及ISMS特定事項(xiàng)(包括監(jiān)視;測量;內(nèi)部的ISMS審核;培訓(xùn)和意識;安全事件管理;管理評審;ISMS改進(jìn))等四方面考慮。

1.設(shè)計(jì)組織的信息安全

組織的信息安全：包括行政管理方面的信息安全，包括風(fēng)險處置的組織運(yùn)行責(zé)任。組織安全宜形成一個活動集，該活動集為處理和改善與組織需求和風(fēng)險有關(guān)的信息安全，產(chǎn)生相應(yīng)的方針策略、目標(biāo)、過程和規(guī)程。

(1)設(shè)計(jì)信息安全的最終組織結(jié)構(gòu)

為ISMS所設(shè)計(jì)的組織結(jié)構(gòu)，要反映ISMS實(shí)施和運(yùn)行的活動，并強(qiáng)調(diào)活動實(shí)施方法，例如監(jiān)視和記錄方法，作為ISMS運(yùn)行的一部分。

具體的組織結(jié)構(gòu)在***階段中的制定角色和職責(zé)中已經(jīng)講過，不再復(fù)述。

(2)設(shè)計(jì)ISMS的文件框架

ISMS的文件框架主要包含ISMS記錄和文件。ISMS記錄包括：建立一個框架，描述ISMS的建檔原則、ISMS文件結(jié)構(gòu)、所涉及的角色、數(shù)據(jù)格式，以及向管理者報(bào)告的途徑;設(shè)計(jì)文件要求;設(shè)計(jì)記錄要求。

ISMS文件應(yīng)包括管理者決定的記錄;確保相關(guān)措施可追蹤到管理者的決定和策略，并且所記錄的結(jié)果是可再現(xiàn)的，對ISMS文件還必須進(jìn)行管理，管理手段是：

• 建立ISMS文件管理的行政管理規(guī)程;
• 文件發(fā)布前得到正式批準(zhǔn);
• 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別;
• 把文件作為組織的信息資產(chǎn)進(jìn)行保護(hù)和控制。

(3)設(shè)計(jì)信息安全方針策略

信息安全方針策略記錄了組織的戰(zhàn)略定位，以及整個組織相關(guān)的信息安全目標(biāo)，是基于信息和知識而擬定的。在方針策略中，還必須指出，如果不遵守該方針策略的后果，同時強(qiáng)調(diào)影響組織解決問題的法律和法規(guī)，擬定的方針策略要在組織有關(guān)人員之間進(jìn)行溝通。

方針策略應(yīng)該簡明扼要，以使有關(guān)人員能理解該方針策略的意圖。另外，方針策略要充分地凸現(xiàn)需要什么目標(biāo)，以便強(qiáng)調(diào)相關(guān)的一組規(guī)章和組織目標(biāo)，對于大型和復(fù)雜的組織(例如，擁有大量不同的運(yùn)行域)，可能有必要擬定一個總方針策略和一些運(yùn)作上經(jīng)改編的基礎(chǔ)性方針策略。

(4)制定信息安全標(biāo)準(zhǔn)和規(guī)程

這個標(biāo)準(zhǔn)和規(guī)程是基于強(qiáng)調(diào)整個組織的信息安全，為的是給組織的信息安全工作提供合規(guī)性參考。制定信息安全標(biāo)準(zhǔn)和規(guī)程應(yīng)成立一個小規(guī)模的編輯組，安排一些組織代表或?qū)＜壹尤?，根?jù)風(fēng)險評估的結(jié)果對現(xiàn)有的信息安全標(biāo)準(zhǔn)和規(guī)程加以評審和修訂。

2. 設(shè)計(jì)ICT安全和物理信息安全

ICT安全：不僅涉及信息系統(tǒng)和網(wǎng)絡(luò)，還涉及運(yùn)行要求;

物理信息安全：涉及訪問控制、不可否認(rèn)性、信息資產(chǎn)的物理保護(hù)和存儲或保管什么等所有方面，也涉及本身保護(hù)手段的安全控制措施。

設(shè)計(jì)ICT安全和物理信息安全作為ISMS項(xiàng)目計(jì)劃的一部分，在執(zhí)行前要建立如下文檔：

【解釋一下控制措施：就是為了解決問題而采取的措施】

• 首先，要進(jìn)行ICT安全和物理安全的概念設(shè)計(jì)(考慮因素有：控制目標(biāo)的規(guī)格說明、工作量和資金的分配、時間進(jìn)度、集成了ICT安全、物理安全和組織安全后的可選措施);
• 其次，像系統(tǒng)開發(fā)一樣進(jìn)行ICT安全和物理安全的實(shí)際設(shè)計(jì)(考慮的因素有：針對各ICT域、物理域和組織域，設(shè)計(jì)所選擇的每一個控制措施、實(shí)例化每一個控制措施、為促進(jìn)安全意識的控制及其培訓(xùn)課程，供給相應(yīng)的規(guī)程和信息、在工作場所上，供給該控制措施的援助和實(shí)施)。

3. 設(shè)計(jì)ISMS特定的信息安全

(1)管理評審的計(jì)劃

ISMS活動的管理評審應(yīng)該在ISMS規(guī)格說明和業(yè)務(wù)案例開發(fā)的最早階段開始，并持續(xù)不斷地進(jìn)行ISMS運(yùn)行的定期評審。為了規(guī)劃評審，必須對涉及的角色進(jìn)行評估，并向領(lǐng)導(dǎo)提供有關(guān)評審過程的必要性及目的的充分?jǐn)?shù)據(jù)。

管理評審應(yīng)該基于ISMS測量的結(jié)果和在ISMS運(yùn)行期間收集的其他信息。這些信息被ISMS的管理活動使用，以決定ISMS的成熟程度和有效性，同時管理評審也應(yīng)包括對風(fēng)險評估的方法和結(jié)果的評審，按計(jì)劃的時間間隔進(jìn)行，考慮到環(huán)境中的所有變化，諸如組織和技術(shù)的變化。

在執(zhí)行管理評審之前，要規(guī)劃好內(nèi)部的ISMS審核。內(nèi)部的ISMS審核包括：控制目標(biāo)、控制措施以及ISMS的的過程和規(guī)程，看它們是否得到有效地實(shí)施和維護(hù)。

(2)設(shè)計(jì)信息安全意識、培訓(xùn)和教育方案。

對參與ISMS項(xiàng)目中有明確角色和職責(zé)的每一個人員，根據(jù)不同的角色進(jìn)行相關(guān)技能的教育和培訓(xùn)，以確保他們有能力執(zhí)行所需要的操作，為ISMS目的實(shí)現(xiàn)做出貢獻(xiàn)。

信息安全意識培訓(xùn)和教育方案要從安全培訓(xùn)和教育的記錄得以產(chǎn)生。這些記錄宜定期評審，以確保所有人員都接受過其所需要的培訓(xùn)，建議安排專人負(fù)責(zé)。也可建立一個信息安全培訓(xùn)組，負(fù)責(zé)創(chuàng)建和管理培訓(xùn)記錄、培訓(xùn)教材以及進(jìn)行培訓(xùn)事宜。

培訓(xùn)的內(nèi)容應(yīng)包含：

• 有關(guān)信息安全的風(fēng)險和威脅;
• 信息安全的基本術(shù)語;
• 安全事件的清晰定義：關(guān)于可如何標(biāo)識安全事件、宜如何處理和報(bào)告安全事件的指南;
• 組織的信息安全方針策略、標(biāo)準(zhǔn)和規(guī)程;
• 組織內(nèi)與信息安全有關(guān)的責(zé)任和匯報(bào)渠道;
• 如何輔助信息安全改進(jìn)的指南;
• 信息安全事件和報(bào)告的指南;
• 從何處獲得更多信息。

4. 產(chǎn)生最終的ISMS項(xiàng)目計(jì)劃

將我們前面所講的所有階段，得出的文件、數(shù)據(jù)，正式的編入一份詳細(xì)的實(shí)施計(jì)劃中去，把每個階段有可能用到的實(shí)施工具和方法，也一同編入項(xiàng)目計(jì)劃中。當(dāng)ISMS項(xiàng)目涉及組織內(nèi)很多不同的角色時，要把這些活動清晰地指派給有關(guān)責(zé)任方，要在項(xiàng)目初期且在整個組織內(nèi)進(jìn)行溝通。

***，最重要的是保證每個負(fù)責(zé)該項(xiàng)目的人員都能分配到足夠的資源。

5. 當(dāng)前階段需要輸出的文檔

總結(jié)

這個安全管理的項(xiàng)目做起來應(yīng)該算是一個比較大、比較復(fù)雜的項(xiàng)目了，想要項(xiàng)目做得好，首先要有優(yōu)秀的頂層設(shè)計(jì)，還要做好統(tǒng)籌規(guī)劃(包括完善的組織結(jié)構(gòu))，當(dāng)然，領(lǐng)導(dǎo)的全力支持也是特別重要的。