信息管理体系  信息安全要求

组织确定自己的安全要求，这是安全保护的起点。安全要求有三个主要来源:
第一个来源是对组织面临的风险进行评估的结果。通过风险评估，确定风险和安全漏洞对资产的威胁，并评价风险发生的可能性以及潜在的影响。
第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。
第三个来源是一组专门的信息处理的原则、目标和要求，它们是组织为了进行信息处理必须制定的。

评估安全风险

安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织，或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方，风险评估技术不仅切合实际，而且也颇有助益。
进行风险评估需要系统地考虑以下问题：
a)        安全故障可能造成的业务损失，包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果；
b)        当前主要的威胁和漏洞带来的现实安全问题，以及目前实施的控制措施。

评估的结果有助于指导用户确定适宜的管理手段，以及管理信息安全风险的优先顺序，并实施所选的控制措施来防范这些风险。必须多次重复执行评估风险和选择控制措施的过程，以涵盖组织的不同部分或各个独立的信息系统。
对安全风险和实施的控制措施进行定期审查非常重要，目的是：
a)        考虑业务要求和优先顺序的变更；
b)        考虑新出现的安全威胁和漏洞；
c)        确认控制措施方法是否适当和有效。

应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不同程度的审查。通常先在一个较高的层次上对风险进行评估（这是一种优先处理高风险区域中的资源的方法），然后在一个具体层次上处理特定的风险。


选择控制措施

一旦确定了安全要求，就应选择并实施适宜的控制措施，确保将风险降低到一个可接受的程度。可以从本文档或其它控制措施集合选择适合的控制措施，也可以设计新的控制措施，以满足特定的需求。管理风险有许多方法，本文档提供了常用方法的示例。但是，请务必注意，其中一些方法并不适用于所有信息系统或环境，而且可能不适用于所有组织。例如，8.1.4 说明了如何划分责任来防止欺诈行为和错误行为。在较小的组织中很难将所有责任划分清楚，因此需要使用其它方法以达到同样的控制目的。
在降低风险和违反安全造成的潜在损失时，应该根据实施控制措施的成本选择控制措施。还应该考虑声誉受损等非货币因素。本文档中的一些控制措施可以作为信息安全管理的指导性原则，这些方法适用于大多数组织。在下文的“信息安全起点”标题下，对此做了较为详细的解释。

信息安全起点

很多控制措施都可以作为指导性原则，它们为实施信息安全提供了一个很好的起点。这些方法可以是根据基本的法律要求制定的，也可以从信息安全的最佳实践经验中获得。
从规律规定的角度来看，对组织至关重要的控制措施包括：
a)        知识产权（参阅 12.1.2）；
b)        组织记录的保护（参阅 12.1.3）；
c)        对数据的保护和个人信息的隐私权保护（参阅 12.1.4）。

在保护信息安全的实践中，非常好的常用控制措施包括：
a)        信息安全策略文档（参阅 3.1.1）；
b)        信息安全责任的分配（参阅 4.1.3）；
c)        信息安全教育和培训（参阅 6.2.1）；
d)        报告安全事故（参阅 6.3.1）；
e)        业务连续性管理（参阅 11.1）。

这些控制措施适用于大多数组织，并可在大多数环境中使用。请注意，尽管本文档中的所有文档都很重要，但一种方法是否适用，还是取决于一个组织所面临的特定安全风险。因此，尽管采用上述措施可以作为一个很好的安全保护起点，但不能取代根据风险评估结果选择控制措施的要求。

上海杰尔雅企业管理咨询有限公司简称“上海杰尔雅”或“JRY”，JRY是由沪上一支专业的咨询人员组建而成；拥有自己的认证、咨询、培训团队。公司于2006年加入国家人事部培训师、企业教练开发、培训之列，同时于2007年被国家劳动的社会保障部1+N复合型人才项目办公室授予CAC教学基地。如今给企业提供ISO9001质量管理体系认证，ISO14001环境管理体系认证以及专业的ISO27001信息安全管理体系。

详情咨询：021-29981672 

联系人：余老师  13818043260

传真：021-61453819

公司地址：上海市徐汇区沪闵路8075号虹梅商务大厦409A