第2章　信息安全管理體系建設流程

2.1　PDCA模型

ISO/IEC 27001推崇采用PDCA模型作為建立、實施和持續改進信息安全管理體系的方法。

PDCA的含義是將管理分為4個階段，即策劃（Plan）、實施（Do）、檢查（Check）、改進（Act）。4個階段為一個循環，通過持續的循環，管理持續改進。PDCA循環是美國質量管理專家休哈特（Walter A.Shewhart）博士首先提出的，后來被另一位質量管理專家愛德華茲·戴明（W. Edwards Deming）博士采納并予以補充修正，經過宣傳后獲得普及，又稱為戴明環。休哈特博士提出的全面質量管理的思想基礎和方法依據的就是PDCA循環，即在質量管理活動中，將各項工作制訂計劃—實施計劃—檢查實施效果，然后將有效成功的做法納入標準，將無效或效率低下，可視為不成功的做法留到下一個PDCA循環去解決。這一工作方法已成為企業進行各項工作的基本方法和一般規律。

PDCA持續改進循環把相關的資源和活動抽象為過程進行管理，而不是針對單獨的管理要素開發單獨的管理模式，所以這個循環具有廣泛的通用性，現已被多個管理領域所采納，如信息安全管理體系（QMS）、環境管理體系（EMS）、職業健康安全管理體系（OHSMS）等。每一項活動，無論多么簡單或多么復雜，都適用這一持續改進循環。

將PDCA應用在信息安全管理體系建設和改進中，P是指依據組織的信息安全方針和目標，建立信息安全風險控制指標、過程和程序；D是指具體實施和運作信息安全方針（過程和程序）；C是指依據信息安全方針、目標和指標對體系進行考核測量，以評估過程業績，并將結果報告給管理者；A是指采取糾正、預防措施進一步提高過程業績。4個步驟形成一個閉環，通過周而復始的運轉，信息安全管理體系得到持續改進，信息安全管理水平與績效呈螺旋式上升。

采用PDCA模型，建立、實施和持續改進信息安全管理體系的過程如圖2.1所示。

每個階段的詳細任務如下：

2.1.1　策劃階段

策劃階段也稱計劃階段。它作為PDCA循環的第一個階段，需要為信息安全管理體系建設提供必需的資源、選擇風險管理方法、確定評審方法等。為了確保組織建立信息安全管理體系的范圍和詳略程度正確且適當，策劃階段要識別并評估組織所面臨的信息安全風險，根據需要為這些風險制訂處理計劃。策劃階段的所有重要活動都要形成文件，以備將來追溯及控制更改情況。

在這個階段，組織應完成如下任務：

1．定義ISMS的范圍和方針

信息安全管理體系不是必須覆蓋組織的全部，也可以先覆蓋組織的一部分，待時機成熟時再擴大范圍，覆蓋全部。無論是何種情況，組織都必須先界定出體系范圍，尤其是體系僅覆蓋組織一部分時。組織需要明確信息安全管理體系的范圍并形成信息安全管理體系范圍文件，文件中應涵蓋以下內容：組織的信息安全管理體系的范圍、信息資產識別的范圍、組織的信息安全管理環境、組織選取的信息安全風險管理方法及信息安全風險評價標準。

在存在上下級關系的組織中，下級組織可以不在上級組織信息安全管理體系的范圍內，下級組織自行設計實施PDCA活動，不受上級組織信息安全管理體系的控制。如果下級組織在上級組織信息安全管理體系的范圍內，則上級組織信息安全管理體系的控制可以被認為是下級信息安全管理體系策劃活動的“外部控制”，此類外部控制也不影響下級組織的PDCA活動，但是下級組織有責任為這些外部控制提供保護。

信息安全方針指的是由組織的最高管理者正式發布的該組織總的信息安全宗旨和方向，指導如何對信息資產進行管理、保護和分配的規則與指示，是組織信息安全管理體系的基本法，通常與組織的總方針相一致。組織的信息安全方針除了為組織的信息安全管理提供方向和支持外，通常也會表明管理層的承諾，描述信息安全重要性，提出組織管理信息安全的方法等。

2．定義風險評估方法，確定風險等級準則

風險評估方法包括定性評估和定量評估，還有基于知識和基于模型的評估，組織需要結合自身實際情況確定信息安全風險評估方法和風險等級準則。在選擇評估方法時，應充分考慮組織的信息安全管理體系范圍、信息安全需求以及相關法律法規的要求。組織需要建立風險評估文件，在文件中介紹所選定的風險評估方法并說明選擇該方法的理由。若在評估中需要使用一定的技術工具，也要在文件中做出介紹并說明理由。

評估文件還應該明確以下評估細節：

（1）信息安全管理體系內資產價值的計算方式；

（2）威脅及脆弱性的識別；

（3）對可能利用脆弱性的威脅的評估；

（4）在上述評估結果基礎上的風險值計算方式；

（5）殘余風險的識別。

3．進行風險識別

按照風險評估中的方式和要求，識別體系范圍內的信息資產；根據信息資產的保密性、完整性和可用性遭到破壞后對組織造成的影響和損失程度為信息資產賦值；識別對這些信息資產的威脅；識別可能被威脅利用的脆弱性；確認已有的安全措施。

4．計算風險值

根據資產賦值結果確定資產等級，對一定級別以上的資產進行風險值計算；根據與資產相關的主要威脅、薄弱點及其影響，以及目前已采取的安全措施，評估此類安全事件發生的可能性；根據評估文件中的風險等級準則，確定風險等級。

5．風險處理

組織需要對所識別的不同等級的信息安全風險加以分析并區別對待。風險在組織的風險接受方針和準則范圍內的，為可接受風險，否則為不可接受風險。對于不可接受風險，組織可以考慮避免風險或轉移風險，如果風險既不可避免也不能轉移，則必須采取適當的安全控制措施，使風險等級降低到可接受的水平。

6．選擇安全控制目標與控制方式，將風險降低到可接受的等級

組織需要設計風險處理計劃對不可接受風險進行處理。風險處理計劃是組織針對所識別的每一項不可接受風險建立的詳細處理方案和實施時間表。風險處理計劃可以指導后續的信息安全管理活動，至少應該為每一項不可接受風險擬定以下內容：所選擇的風險處理方法、已采取的安全控制措施、建議采取的額外措施、具體實施的時間表等。ISO/IEC 27001：2013附錄A提供了可供選擇的控制目標與控制方式。

7．評估殘余風險，開始運行信息安全管理體系

對不可接受風險進行處置后應進行殘余風險的評估，接受殘余風險需獲得管理者的批準，由最高管理者授權開始實施和運行信息安全管理體系。

2.1.2　實施階段

實施階段的任務是執行，實地去做，去實現策劃內容中的細節，以管理策劃階段所識別的信息安全風險。

對于不可接受風險，需要采取所選擇的安全控制措施，即按照策劃活動中的風險處理計劃去執行。前文提到，不可接受風險被處置后，還會有殘余風險，應對殘余風險進行控制和適當管理。對于可接受風險，不需要采取進一步的措施。

運行信息安全管理體系，需要分配適當的資源，包括人員、時間、資金和所有的安全控制措施，這也是實施階段的主要任務，包括將所有已實施控制文件化，形成并維護信息安全管理體系文件。組織應該實施的安全控制包括以下4個方面：

（1）體系文件中特定的管理程序。

（2）體系文件中所選擇的控制。

（3）運作管理。

（4）能夠促進安全事件檢測和響應的其他控制。

實施階段還必須為組織的管理層及各級員工定期安排信息安全意識的培訓，并檢查培訓效果，以確保意識和控制活動的同步。

2.1.3　檢查階段

檢查階段是PDCA循環的關鍵階段，是組織分析信息安全管理體系運行效果，尋求改進機會的階段，因此這一階段又稱為學習階段。

組織應采用多種方式檢查信息安全管理體系是否運行良好，并對其業績進行監視。如果發現控制措施不合理、不充分，就要及時采取糾正措施，以防止組織的信息安全處于不可接受風險狀態。

在這個階段，組織應完成如下任務：

1．執行管理程序，確定體系中規定的安全程序是否適當，是否符合標準，是否按照預期目的進行工作

為檢查體系文件規定的安全程序是否適當、是否符合標準和是否按照預期的目的進行工作，組織應定期進行內部審核，即按照相關管理程序文件（如《內部審核管理程序》）規定的周期（周期一般為半年或一年），檢查信息安全管理體系的各個方面是否行之有效。審核的依據包括ISO/IEC 27001：2013標準和組織所發布的信息安全管理程序。同時，應進行充分的審核策劃，以便審核任務在審核期間內按部就班地展開。

2．定期評審，以確保信息安全管理體系的有效性

為確保評審范圍合理，以及信息安全管理體系的持續改進得到理解和支持，進行內部審核后，組織應收集審核的結果、事故，以及其他相關方的建議和反饋，定期對信息安全管理體系進行正式的評審（一年至少評審一次）。評審內容包括：信息安全方針是否滿足組織的業務要求；管理程序是否滿足其期望的目標；是否有適當的技術控制（如防火墻、網絡訪問控制）；殘余風險是否已被正確評估并被接受；審核是否包括了對文件和記錄的抽樣檢查等。

3．評審殘余風險和可接受風險的等級

組織內部結構、外部經濟政策環境、技術發展等方面的變化，都會影響組織對風險的接受程度，因此，應定期評審殘余風險和可接受風險等級的合理性。

在檢查階段，所有影響信息安全管理體系有效性的活動和事件都需要記錄下來，審核或評審活動也都要留有記錄。

2.1.4　改進階段

經過策劃、實施、檢查之后，組織在改進階段必須針對這一輪PDCA的策劃方案得出結論：是繼續執行，還是放棄重新進行新的策劃？這就開啟了新一輪的PDCA循環。

1．在改進階段，組織應完成的任務

1）測量信息安全管理體系在滿足信息安全方針和目標方面的業績。

2）識別ISMS的改進措施，并進行有效實施。

3）采取適當的糾正和預防措施。

4）針對上述措施與所有相關方進行協商溝通。

5）必要時修改體系，確保修改達到既定目標。

需要注意的是，在這個階段很多看起來單純的、孤立的事件，如果不及時處理就可能對整個組織產生影響，所采取的措施不僅具有直接的效果，還可能帶來深遠的影響。組織需要把措施放在信息安全管理體系持續改進的大背景下，以長遠的眼光來打算，確保措施不僅致力于處理眼前的問題，還要杜絕類似事故再次發生或降低其再次發生的可能性。

2．不符合、糾正措施和預防措施是本階段的重要概念

1）不符合：是指實施、保持并改進組織所要求的一個或多個管理體系要素缺乏或失效，或者有客觀證據表明信息安全管理體系遵循組織信息安全方針、達到組織信息安全目標的能力存在很大問題。

2）糾正措施：組織應確定措施，以消除信息安全管理體系實施運作過程中導致不符合項出現的因素，防止其再次發生。

組織針對糾正措施的管理程序文件應該包含識別信息安全管理體系實施運作過程中的不符合項、確定不符合項出現原因、評價確保不符合項不再出現的措施、選取并實施糾正措施、記錄所采取措施的結果及評審所采取措施的有效性等方面的內容。

3）預防措施：組織應確定措施，以消除潛在的導致不符合項出現的因素，防止不符合項的出現。預防措施應與潛在問題的影響程度相適應。

組織針對預防措施的管理程序文件應該包含識別潛在不符合項、確定并實施所需的預防措施、記錄所采取措施的結果、評審所采取的預防措施、識別已變化的風險，并確保對發生重大變化的風險予以關注等內容。