# 信息安全管理体系建设
> **一、信息安全管理体系成功因素**
> 理解GB/T 29246-2017中描述的信息安全管理体系成功的主要因素。
>
> **二、PDCA过程**
> 理解PDCA过程模型的构成及作用;
> 了解IS0/IEC 27001:2013中定义的PDCA过程方法四个阶段工作。
>
> **三、信息安全管理体系建设过程**
> 掌握规划与建立阶段组织背景、领导力、计划、支持等主要工作的内容;
> 理解实施与运行、监视和评审、维护和改进阶段工作内容。
>
> **四、文档化**
> 理解文档化的重要性并了解文件体系及文件控制的方式。
### 一、信息安全管理体系成功因素
#### 1、信息安全管理体系
组织在整体或特定范围内建立的信息安全方针和目标,以及为完成这些目标所用的方法和体系。它是直接管理活动的结果,表示为方针、原则、目标方法、计划、活动、程序、过程和资源的集合。
#### 2、信息安全管理体系建设成功的因素
- 信息安全策略、目标和与目标一致的活动;
- 与组织文化一致的,信息安全设计、实施、监视保持和改进的方法与框架;
- 来自所有管理层级、特别是最高管理者的可见支持和承诺;
- 对应用信息安全风险管理(见IS0/IEC 27005)实现信息资产保护的理解;
- 有效的信息安全意识、培训和教育计划,以使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务,并激励他们做出相应的行动;
- 有效的信息安全事件管理过程;
- 有效的业务持续性管理方法;
- 评价信息安全管理性能的测量系统和反馈的改进建议。
### 二、PDCA过程
> 戴明环:PDCA改进循环(也叫休哈特环)是一个闭环系统,没有终点,其具有以下特点:
> (1)自加固
> (2)自修整
> (3)自适应
#### 1、管理学常用的过程模型
- P(Plan):计划
- D(Do):实施
- C(Check):检查
- A(Act):行动
> 按照PDCA进行循环,大环套小环,持续改进。
#### 2、PDCA是27001定义的过程方法
- PDCA 动态性
- PDCA 模型
- PDCA 结构图
### 三、信息安全管理体系建设过程
#### 1、规划与建立(Plan)
- **组织背景**
- 建立信息安全管理体系的基础;
- 了解组织有关信息安全的内部(人员、管理、流程等)和外部(合作伙伴、供应商、外包商等)问题;
- 确定ISMS管理范围;
- 建立、实施、运行、保持和持续改进符合国际标准要求的ISMS。
- **领导力**
- 管理承诺是建立信息安全管理体系的关键成功因素之一;
- 建立在组织的整体管理基础,需要组织整体参与;
- 组织高层确定的信息安全方针并文档化,明确描述组织的角色、职责和权限。
- 文档化:清晰的表述
- **计划**
- 计划建立在风险评估基础上;
- 计划必须符合组织的安全目标;
- 层次改进。
- **支持**
- 获得资源(人、财、物)
- 全员宣贯培训(最高管理者全程参与)
#### 2、实施与运行(Do)
- 实施风险评估,确定所识别信息资产的信息安全风险,以及处理信息安全风险的决策,形成信息安全要求;
- 控制措施适度安全;
- 控制在适用性声明中形成文件。
#### 3、监视与评审(Check)
- 根据组织政策和目标,监控和评估绩效来维护和改进ISMS。
#### 4、维护和改造(Act)
- 不符合和纠正措施;
- 持续改进。
### 四、文档化
#### 1、文档结构(考点)
| 一级文件定目标 | 二级文件定措施 | 三级文件看执行 | 四级文件看结果 |
| ---------------------------------------------- | ---------------------------------------------- | ---------------------------------------------- | ---------------------------------------------- |
#### 2、文件控制(全过程控制)
- 建立
- 批准发布
- 评审与更新
- 文件保存
- 文件作废
> 应保留过程执行记录和所有与信息安全管理体系有关的安全事故发生的记录。