上一篇聊的是关于风险评估实施的安全标准，今天想和大家聊的是关于信息安全管理体系的标准《GB/T 31496-2015 信息技术 安全技术信息安全管理体系实施指南》。

一、该标准的简单描述

这个标准其实就是国际标准ISO/IEC 27003:2010的中文翻译，并没有做多少改动，主要用来指导信息安全管理的过程，将信息资产的风险控制在组织可接受的安全范围内。

该标准同另外8个标准共同组成了信息安全管理体系标准族(简称ISMS标准族)，如下：

通常情况下，ISMS的实施被作为一个单独的项目来执行。既然是项目我们应该都知道，一个项目的启动，前期都要经过详细的计划、统筹并要得到相关领导的批准，这是第一个阶段，其余几个阶段我们后面也要具体讲到。无论是大型组织还是小型企业，在做ISMS项目时都可以参考该标准来执行，参考本标准时建议配合ISMS标准族的其他几个标准一起使用。

二、ISMS的实施阶段

从项目实施的角度，包括五个阶段：

当然，每个阶段都会涉及到相关文件的输出，这个不管做什么项目应该都是这样，下面将讲每个阶段具体需要做什么，需要输出什么样的文档(一个项目要输出的文档是真的多)。

(一) 获得领导对ISMS项目的批准

当前阶段是要让领导了解ISMS项目实施的必要性以及能带来的利益，可通过创建业务案例、制定初步的项目计划来获得领导的批准。

总的来说，该阶段要做的事情分为三步走，如下图所示：

1. 阐明组织开发ISMS的优先级

通俗点说，就是要让领导知道为什么要做这个ISMS项目，对公司能带来什么价值。在阐述的时候呢，最好把这几个问题讲清楚就差不多了。

• 风险管理— ISMS如何产生更好地管理信息安全风险?

• 效率— ISMS如何能改进信息安全的管理?

• 业务优势— ISMS如何能为组织创造竞争优势?

2. 初步制定ISMS的范围以及角色职责

(1) 初步制定ISMS的范围

ISMS的范围确定其实和前面提到的三个问题相关，一般从以下8个因素来考虑：

a) 关键的业务域和组织域：

• 关键业务域和关键组织域是什么?

• 组织哪些域提供该业务以及关注什么?

• 有什么第三方关系及其协议?

• 是否有外包服务?

b) 敏感信息或有价值的信息：

• 什么信息对组织是至关重要的?

• 如果某些信息被泄露给未授权方，可能产生什么后果(例如，失去竞争优势、损害品牌或名誉、引起法律诉讼等)?

c) 对信息安全测量有要求的相关法律：

• 什么法律适用于组织的风险处置或信息安全?

• 组织是否是必须对外进行财务报告的公众性全球性组织的一部分?

d) 与信息安全有关的合同协议或组织协议：

• 对数据存储的要求(包括保留期限)是什么?

• 是否有任何与隐私或质量有关的合同要求(例如，服务级别协议 -SLA)?

e) 规定特定信息安全控制措施的行业要求：

• 有哪些行业特定的要求适用于组织?

f) 威胁环境：

• 需要什么类型的保护，及需要应对哪些威胁?

• 需要保护的信息的特定类别是什么?

• 需要保护的信息活动的特定类型是什么?

g) 竞争动力：

• 对信息安全的最小化市场要求是什么?

• 哪些另外的信息安全控制措施可为组织提供竞争优势?

h) 业务持续性要求：

• 关键业务过程是什么?

• 对每个关键业务过程而言，组织能够容忍其中断的时间是多长?

如果这些问题有了答案，那么ISMS的范围也就初步确定了。之后还需要输出一份初步的ISMS范围文档，内容包括：

• 组织的管理者对信息安全管理的指示概述，以及外部施加于组织的义务

• ISMS范围内的区域如何与其他管理体系交互的描述

• 信息安全管理的业务目标清单(前面问题的回答)

• ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单

• 现有管理体系、规章、符合性和组织目标之间的关系

• 业务、组织、位置、资产和技术等方面的特点

(2) 初步制定ISMS范围内的角色和职责

根据企业的大小，角色和职责的划分可能会不同，因为对于稍微小点的企业，并没有一人一岗的条件，一般都是一个人担任多种角色，但是例如CISO、CIMO等负责整个信息安全管理的角色还是要设置的，然后其他岗位的设置按照工作内容所需要的技能来分配员工的角色和责任。

举个完善的ISMS项目中角色与职责的例子：(图片来源于标准)

3. 创建业务案例和项目计划书

在前两步完成后，就可以开始创建业务案例和项目计划了，这两份东西是领导同意执行项目的关键，所以一定要做好;项目计划书包含前面讲到的五个阶段的相关活动，就大体是我们今天讲的内容。

实施ISMS的业务案例需涵盖以下主题：

• 目的和特定目标;

• 组织的利益;

• 初步的ISMS范围，包括受影响的业务过程;

• 实现ISMS目标的关键过程&因素;

• 高层级项目概要;

• 初始的实施计划;

• 已定义的角色和责任;

• 需要的资源(包括技术和人员两方面);

• 实施考虑事项，包括现有的信息安全;

• 带有关键里程碑的时间计划;

• 预期的成本(重要);

• 关键的成功因素;

• 组织利益的量化。

4. 当前阶段需要输出的文档

(二) 制定ISMS范围和方针策略

根据初步的ISMS范围和组织内关键的信息资产来确定详细的ISMS范围和边界，并制定ISMS方针策略。

1. 制定ISMS范围和边界

(1)定义组织的范围和边界

范围前面已经差不多确定了，边界的话主要是便于赋予组织内的可核查性，标识出相互不重叠的责任域，需要考虑的因素有：

• ISMS管理论坛应由ISMS范围所直接涉及的管理人员组成;

• ISMS的管理成员，应是最终负责所有受影响的责任域的人员(即，他们的角色通常由其所跨越的控制措施和责任指定的);

• 在负责管理ISMS的角色不是高层管理者的情况下，高层发起人基本代表对信息安全的利益，并在组织的最高层起到ISMS倡导者的作用;

• 范围和边界需要予以定义，以确保考虑了风险评估中所有相关的资产，确保强调了可能发生于这些边界上的风险。

(2)定义信息通信技术(ICT)的范围和边界;

ICT范围和边界的定义可通过一种信息系统的途径来获得(而不是基于IT技术)，如果把信息系统的业务过程也归入ISMS范围，那么还要考虑所有相关的ICT元素，包括：存储、处理或传输关键信息、资产的组织的所有部分以及ISMS范围内对这些组织部分是至关重要的其它元素，需要考虑的因素有：

• 社会与文化的环境;

• 适用于组织的法律法规、规章和合同的要求;

• 关键责任的可核查性;

• 技术约束(例如，可用的带宽和服务的可用性等)。

通过以上考虑，ICT边界应包括以下事宜的描述(在适用时)：

• 组织负责管理的通信基础设施，其中包括采用各种不同的技术(例如无线网络、有线网络或数据/语音网络);

• 组织使用和控制的组织边界内的软件;

• 网络、应用或生产系统所需要的ICT硬件;

• 有关ICT硬件、网络和软件的角色和责任。

(3)定义物理范围和边界

物理指的是属于ISMS的各部门内的建筑物、位置或设施，这个应该不用多讲。

(4)集成每一个范围和边界

通过集成每一个范围和边界(前面讲了三个)来获得ISMS的范围和边界，例如，可以选择诸如数据中心或办公室的物理位置，并列出一些关键过程(比如移动访问一个中心信息系统);其中每一个关键过程均涉及一些之外的域，而该数据中心就可使这些之外的域成为范围之内的域。(通俗的说，这个集成就好比拉关系，你认识我，我又认识小二，通过我，你和小二就认识了，我们三个就在一个朋友圈里了。)

2. 制定ISMS方针策略和获得领导批准

在定义ISMS方针策略时，应考虑以下方面：

• 基于组织的要求和信息安全优先级，建立ISMS目标;

• 为达到ISMS目标，建立一般性的关注和动作指南;

• 考虑组织的信息安全要求、法律法规或规章，以及合同义务;

• 组织内风险管理语境;

• 建立评价风险和定义风险评估结构的准则;

• 阐明高层管理者对ISMS的责任;

• 获得管理者的批准。

3. 当前阶段需要输出的文档

(三) 信息安全要求分析

对信息资产进行标识，了解在ISNS范围内这些信息资产的信息安全状况。我们在信息安全分析时，要先收集的信息包括：

• 正确的基本数据;

• 标识实施ISMS的条件并形成文件;

• 提供一份清晰并已很好理解的组织设施;

• 考虑组织的特殊情况和状态;

• 标识所期望的信息保护水平;

• 在所提议的实施范围内，确定企业部分或企业全部所需的信息编辑。

在这个阶段，我们需要分为三步来完成，如下图：

1. 定义ISMS过程的信息安全要求

在定义ISMS过程的信息安全要求时，要围绕信息的重要程度来定义，一般需要做的工作有：

• 初步标识重要的信息资产以及当前的信息安全保护;

• 标识组织的愿景，并确定所标识的愿景对未来信息处理要求的影响;

• 分析信息处理、系统应用、通信网络、活动场所和IT资源等的当前形式;

• 标识所有的基本要求(例如，法律法规和规章的要求、合同义务、组织要求、行业标准、客户和供应商协议和保险条件等);

• 标识信息安全了解的程度，并由此针对每一个运行和管理单位，导出相应的培训和教育要求。

2. 标识ISMS范围内的资产

这个应该是最简单的一步了吧，有哪些资产梳理出来就好，记得做好分类。

在ISMS项目中，有一些关键的过程也需要写清楚，一般包括的内容有：

• 过程的唯一名称;

• 过程描述及其所关联的活动(创建、存储、传输和删除);

• 过程对组织的至关重要性(关键的、重要的和支持性的);

• 过程责任人(组织部门);

• 提供输入的过程以及这一过程的输出;

• 支持过程的IT应用;

• 信息分类(保密性、完整性、可用性、访问控制、不可否认性，和/或对组织有用的其他重要特性，例如，信息可能保存的时间)。

3. 进行信息安全评估

根据我们前面两步得出的内容，将现有的信息安全水平与我们第一阶段制定的组织目标进行比较，来执行信息安全评估。信息安全评估的基本目的是以策略和指南形式，为管理体系提供支撑，参与信息安全评估的人员应该由了解当前环境、条件，并了解信息安全相关事物的人进行评估活动，(这一步主要就是对梳理出来的属于ISMS内的信息资产做脆弱性分析，关于脆弱性分析，可参考上一篇风险评估的文章)

一个成功的信息安全评估，应采取以下措施：

• 标识和列出相关的组织标准;

• 标识已知的控制要求，这些控制要求一般出现在策略、法律法规和规章的要求、合同义务、过去审核的发现或过去执行的风险评估的发现;

• 针对组织信息安全水平，做出当前要求的粗略估算。

4. 当前阶段需要输出的文档

(四) 风险评估和规划风险处置

这一阶段相当于是一个风险管理的过程，具体可参考ISO/IEC 27005:2008 信息安全风险管理，在这里同样分为三步来执行：

1. 风险评估

在这里风险评估的方法就不再讲了，这一步目的是要得出风险评估的结果。

2. 选择控制目标与控制措施

这一步是根据风险评估的结果来进行风险处置，选择适当的控制措施，制定风险处置计划。在风险降低的情况下，管理每一个风险与已选择的控制目标和控制措施之间的关系，有利于设计ISMS的实施。可以添加到描述风险与所选择的风险处置措施之间关系的列表中。当控制措施中可能包含有部分敏感信息的时候，可将生成的信息作为在定义资产期间创建ISMS的一部分。

3. 获得领导授权

相当于经过前面四个阶段的工作，把得出的数据和形成的文件交给领导看，说明在ISMS项目中可能会出现的风险，在领导接受残余风险后，签署授权决定文件。

4. 当前阶段需要输出的文档

(五)设计ISMS

经过前面四个阶段的执行，最终就是设计ISMS项目实施计划。在设计ISMS时，要从组织安全、ICT安全、物理安全以及ISMS特定事项(包括监视;测量;内部的ISMS审核;培训和意识;安全事件管理;管理评审;ISMS改进)等四方面考虑。

1.设计组织的信息安全

组织的信息安全：包括行政管理方面的信息安全，包括风险处置的组织运行责任。组织安全宜形成一个活动集，该活动集为处理和改善与组织需求和风险有关的信息安全，产生相应的方针策略、目标、过程和规程。

(1)设计信息安全的最终组织结构

为ISMS所设计的组织结构，要反映ISMS实施和运行的活动，并强调活动实施方法，例如监视和记录方法，作为ISMS运行的一部分。

具体的组织结构在第一阶段中的制定角色和职责中已经讲过，不再复述。

(2)设计ISMS的文件框架

ISMS的文件框架主要包含ISMS记录和文件。ISMS记录包括：建立一个框架，描述ISMS的建档原则、ISMS文件结构、所涉及的角色、数据格式，以及向管理者报告的途径;设计文件要求;设计记录要求。

ISMS文件应包括管理者决定的记录;确保相关措施可追踪到管理者的决定和策略，并且所记录的结果是可再现的，对ISMS文件还必须进行管理，管理手段是：

• 建立ISMS文件管理的行政管理规程;

• 文件发布前得到正式批准;

• 确保文件的更改和现行修订状态得到识别;

• 把文件作为组织的信息资产进行保护和控制。

(3)设计信息安全方针策略

信息安全方针策略记录了组织的战略定位，以及整个组织相关的信息安全目标，是基于信息和知识而拟定的。在方针策略中，还必须指出，如果不遵守该方针策略的后果，同时强调影响组织解决问题的法律和法规，拟定的方针策略要在组织有关人员之间进行沟通。

方针策略应该简明扼要，以使有关人员能理解该方针策略的意图。另外，方针策略要充分地凸现需要什么目标，以便强调相关的一组规章和组织目标，对于大型和复杂的组织(例如，拥有大量不同的运行域)，可能有必要拟定一个总方针策略和一些运作上经改编的基础性方针策略。

(4)制定信息安全标准和规程

这个标准和规程是基于强调整个组织的信息安全，为的是给组织的信息安全工作提供合规性参考。制定信息安全标准和规程应成立一个小规模的编辑组，安排一些组织代表或专家加入，根据风险评估的结果对现有的信息安全标准和规程加以评审和修订。

2. 设计ICT安全和物理信息安全

ICT安全：不仅涉及信息系统和网络，还涉及运行要求;

物理信息安全：涉及访问控制、不可否认性、信息资产的物理保护和存储或保管什么等所有方面，也涉及本身保护手段的安全控制措施。

设计ICT安全和物理信息安全作为ISMS项目计划的一部分，在执行前要建立如下文档：

【解释一下控制措施：就是为了解决问题而采取的措施】

• 首先，要进行ICT安全和物理安全的概念设计(考虑因素有：控制目标的规格说明、工作量和资金的分配、时间进度、集成了ICT安全、物理安全和组织安全后的可选措施);

• 其次，像系统开发一样进行ICT安全和物理安全的实际设计(考虑的因素有：针对各ICT域、物理域和组织域，设计所选择的每一个控制措施、实例化每一个控制措施、为促进安全意识的控制及其培训课程，供给相应的规程和信息、在工作场所上，供给该控制措施的援助和实施)。

3. 设计ISMS特定的信息安全

(1)管理评审的计划

ISMS活动的管理评审应该在ISMS规格说明和业务案例开发的最早阶段开始，并持续不断地进行ISMS运行的定期评审。为了规划评审，必须对涉及的角色进行评估，并向领导提供有关评审过程的必要性及目的的充分数据。

管理评审应该基于ISMS测量的结果和在ISMS运行期间收集的其他信息。这些信息被ISMS的管理活动使用，以决定ISMS的成熟程度和有效性，同时管理评审也应包括对风险评估的方法和结果的评审，按计划的时间间隔进行，考虑到环境中的所有变化，诸如组织和技术的变化。

在执行管理评审之前，要规划好内部的ISMS审核。内部的ISMS审核包括：控制目标、控制措施以及ISMS的的过程和规程，看它们是否得到有效地实施和维护。

(2)设计信息安全意识、培训和教育方案。

对参与ISMS项目中有明确角色和职责的每一个人员，根据不同的角色进行相关技能的教育和培训，以确保他们有能力执行所需要的操作，为ISMS目的实现做出贡献。

信息安全意识培训和教育方案要从安全培训和教育的记录得以产生。这些记录宜定期评审，以确保所有人员都接受过其所需要的培训，建议安排专人负责。也可建立一个信息安全培训组，负责创建和管理培训记录、培训教材以及进行培训事宜。

培训的内容应包含：

• 有关信息安全的风险和威胁;

• 信息安全的基本术语;

• 安全事件的清晰定义：关于可如何标识安全事件、宜如何处理和报告安全事件的指南;

• 组织的信息安全方针策略、标准和规程;

• 组织内与信息安全有关的责任和汇报渠道;

• 如何辅助信息安全改进的指南;

• 信息安全事件和报告的指南;

• 从何处获得更多信息。

4. 产生最终的ISMS项目计划

将我们前面所讲的所有阶段，得出的文件、数据，正式的编入一份详细的实施计划中去，把每个阶段有可能用到的实施工具和方法，也一同编入项目计划中。当ISMS项目涉及组织内很多不同的角色时，要把这些活动清晰地指派给有关责任方，要在项目初期且在整个组织内进行沟通。

最后，最重要的是保证每个负责该项目的人员都能分配到足够的资源。

5. 当前阶段需要输出的文档

总之，这个安全管理的项目做起来应该算是一个比较大、比较复杂的项目了，想要项目做得好，首先要有优秀的顶层设计，还要做好统筹规划(包括完善的组织结构)，当然，领导的全力支持也是特别重要的。