了解資訊保安管理體系的基本思路

為便於資訊保安管理體系的理解與應用，現結合iso/iec27001：2016、gb/t22080-2016/iso/iec27001：2013及gb/t22081-2016/iso/iec27002：2013的相關要求，進行管理基本思路的整理，供參考。

所有型別的組織都會收集、處理、儲存和傳輸各種形式的資訊，如語音、文字等。資訊的價值已經超越文字、數字和影象的本身。

在互聯世界中，資訊和相關過程、系統、網路及其操作、處理與保護活動中所涉及的人員都是資產，與其他重要的業務資產一樣，對組織的業務至關重要。

資產易遭受故意和意外的威脅，且相關的過程、系統、網路和人員均有其固有的脆弱性（可以被乙個或多個威脅利用的組織或資產的弱點）。業務過程和系統的變更或其他外部變更都有可能產生新的資訊保安風險。

考慮到威脅利用脆弱性損害組織的途徑多種多樣，資訊保安風險始終存在。

有效的資訊保安通過防範威脅和脆弱性使組織得到保護來減少風險，從而降低對其資產的影響。

資訊保安主要包括保持資訊的保密性、完整性和可用性

保密性即資訊不能被未授權的個人、實體或者過程利用或知悉的特性；

完整性指準確和完備的特性；

可用性指根據授權實體的要求可訪問和使用的特性。

資訊保安單純通過技術手段實現有一定的侷限性，需要從系統全域性的角度進行完善的管理，其中可通過gb/t22080-2016/iso/iec27001：2013實現資訊保安的管理。

結合組織的戰略及內外部環境，發揮領導作用，通過建立的資訊保安風險準則，進行系統的資訊保安風險識別，並對識別出的風險進行分析評估，確定風險優先級別。

在考慮風險評估結果的基礎上，選擇需要控制的適合的資訊保安風險處置選項，確定所必需的所有控制。

將選擇的所有控制與標準附錄進行對照，並驗證沒有忽略必要的控制。控制措施可從標準給出的指標中選擇，也可以特定設計。其中附錄給出了14個安全控制、35個主要安全類別和114項控制措施。當有不適用時，制定適用性宣告。

制定正式的資訊保安風險處置計畫，獲得風險責任人對計畫及對資訊保安殘餘風險的接受的批准。

具體實施以上及實現組織資訊保安目標的支撐性計畫，包括對外包過程的管理。

持續改進

監視、保持和改進與組織資訊資產相關的安全控制措施的有效性，實現持續改進

當標準中給出的控制措施對應的資訊保安風險處置選項不適用時，應當制定乙個適用性說明，包含必要的控制及其選擇的合理性說明（無論該控制是否已實現），以及對gb/t22080-2016/iso/iec27001：2013標準附錄a控制刪減的合理性說明。

當然可以增加一些標準附錄外的特定控制，此時可給出與標準可用條款的交叉應用，以支援業務夥伴或其他相關方檢視。

資訊在不同的生命週期階段，包括構思、規約、設計、開發、測試、實現、使用、維護，並最終退役和銷毀中，其資產的價值和所面臨的風險可能會發生變化，如上市公司的報表資訊在發布前後面臨的竊取或洩露所產生的危害是不同的。在每一階段上應當考慮資訊保安。