ISMS-L2-009-信息分类规范

信息安全管理体系（ISMS）内部讲解稿北京卓越同舟：罗晓峰什么是ISMS？ISMS是信息安全管理体系的英文缩写，ISO27001是规范信息安全管理体系的国际标准，它起源于英国标准协会(BSI)20世纪90年代制定的英国国家标准：BS7799，经过十年的不断完善，国际标准化组织(ISO)和国际电工学会(IEC)联合将BS7799标准转化为正式的国际标准，在2005年10月15日正式发布、其全称为：《ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求》。

ISO27001标准发布后迅速得到全球各国各类组织的接受和认可，为世界所有国家和地区、所有类型、所有规模的组织系统和全面解决信息安全问题提供了有力武器。

该标准采用了成熟的PDCA过程方法和先进的风险评估、风险管理理念，针对企业信息安全管理设置了11个大类，制定了39个控制目标及133个控制措施。

通过规范组织建立、实施和保持信息安全管理体系，实施全面系统化地信息安全管理，并持续改进组织的信息安全管理绩效，有效保障组织的信息安全。

在ISO27001标准发布后，国际标准化组织在不断研究标准的更新换版和增加新的管理标准。

目前，国际标准化组织已经在信息安全管理领域颁布了11个信息安全系列标准，完善和壮大了信息安全管理标准家族。

信息安全的重要性当今社会是信息爆炸的时代，信息成为了组织赖以生存的重要资产，我们平时接触到的制度、记录、数据、计划、方案、系统软件、应用软件、工具软件、存储传输信息和使用信息的设备、对信息使用和操作的人员、应用和提供信息的各种服务等等都是信息资产，其价值与日俱增，重要性关系到组织的生存和发展，与此同时信息也面临着各种各样和越来越多的安全威胁。

信息安全事件一旦发生，将对组织的信息资产造成破坏，给组织带来直接的经济损失，损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，甚至威胁到组织的生存。

因此，组织需要采取针对性的手段和方法来加强信息安全管理，例如：电脑病毒有导致信息资产失窃或损坏的危险，可安装防火墙、杀毒软件，并对电脑进行定期查毒；组织OA办公系统有导致重要信息资料被无关人员读取的风险，可根据职权规定不同的访问权限；关键业务服务器损坏可导致组织业务停顿，可以配备异地备用服务器并及时备份数据；聘请外公司人员为本公司工作，有公司信息资料流失的危险，应与外公司人员签订保密协议；为防止内、外部人员和工业间谍的窃取，可采用分权限的门禁系统，防止各种人员进入无权限工作场所，作废的文件资料在监视下进行销毁等。

信息资产识别指南版本记录批准人（签名）：日期:信息资产识别指南1.目的为规范信息安全风险评估过程中，对信息资产的识别、分类和赋值，以产生一致的、可比较的结果，特制定本指南。

2.适用范围本规范适用于信息安全风险评估过程中的，对信息资产的识别、分类和赋值。

3.术语和定义无4.相关/支持性文件•《信息安全风险评估程序》•《记录控制程序》5.6.程序内容资产是企业、机构直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。

通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。

信息资产安全特性的不同也决定了其信息价值的不同，以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

为此，有必要对企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。

资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。

6.1.资产分类在一般的评估体中，资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。

这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此基础上进行下一步的风险评估工作。

下表为6.3.资产影响赋值本指南所指资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。

在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性，即根据资产损失所引发的潜在的商务影响来决定。

为确保资产估价时的一致性和准确性，机构应按照上述原则，建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。

资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。

影响就是由人为或突发性引起的安全事件对资产破坏的后果。

分类标准实施规范1.引言编制本规范，作为某单位信息资源分类标准主要规范。

2.范围本规范适用于指导某单位信息资源的分类标准，形成的信息资源分类标准用于某单位信息资源分类。

3.信息资源分类信息资源按照资源属性分类，包括基础信息资源、主题信息资源、部门信息资源等。

4.信息资源元数据4.1概述本节给出某单位信息资源元数据的定义。

表1.信息资源元数据4.2元数据描述4.2.1信息资源分类定义：说明信息资源分类的类目信息。

具体分类详见5信息资源分类。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.2信息资源名称表义：缩略描述信息资源内容的标题。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.3信息资源代码表义：信息资源唯一不变的标识代码。

信息资源代码规则，见信息资源标识符编码实施规范。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.4信息资源提供方表义：提供信息资源的部门（包括部门所属行事业单位）。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.5信息资源提供方代码表义：提供信息资源部门的代码。

信息资源提供方所细化的单位或部门，其代码仍采用提供信息资源的部门代码。

代码采用《国务院关于批转发展改革委等部门法人和其他组织统一社会信用代码制度建设总体方案的通知》的法人和其他组织统一社会信用代码结构。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.6信息资源摘要表义：对信息资源内容（或关键字段）的概要描述。

数据类型：字符型。

解释：必选项；最大出现次数为1。

4.2.7信息资源格式表义：信息资源的存在方式（可多选）。

信息资源提供方应尽可能提供可机读的电子格式及相关软件版本信息，如只有纸质介质应尽量提供电子扫描格式。

电子格式的信息资源，可采用但不限于：电子文件的存储格式为OFD、wps、xml、txt、doc、docx、html、pdf、ppt等；电子表格的存储格式为et、xls、xlsx 等；数据库类的存储格式为Dm、KingbaseES、access、dbf、dbase、sysbase、oracle、sqlserver、db2等；图形图像类的存储格式为jpg、gif、bmp等；流媒体类的存储格式为swf、rm、mpg等；自描述格式，由提供方提出其特殊行业领域的通用格式，如气象部门采用的“表格驱动码”格式。

2024年第二期CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、《信息安全等级保护管理办法》规定，应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每（）至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年2、—个信息安全事件由单个的或一系列的有害或一系列（）信息安全事态组成，它们具有损害业务运行和威胁信息安全的极大可能性A、已经发生B、可能发生C、意外D、A+B+C3、加密技术可以保护信息的(）A、机密性B、完整性C、可用性D、A+B4、残余风险是指:（）A、风险评估前，以往活动遗留的风险B、风险评估后，对以往活动遗留的风险的估值C、风险处置后剩余的风险，比可接受风险低D、风险处置后剩余的风险，不一定比可接受风险低5、以下不属于信息安全事态或事件的是：A、服务、设备或设施的丢失B、系统故障或超负载C、物理安全要求的违规D、安全策略变更的临时通知6、《信息安全管理体系审核指南》中规定,ISMS的规模不包括（)A、体系覆盖的人数B、使用的信息系统的数量C、用户的数量D、其他选项都正确7、关于信息安全策略，下列说法正确的是（）A、信息安全策略可以分为上层策略和下层策略B、信息安全方针是信息安全策略的上层部分C、信息安全策略必须在体系建设之初确定并发布D、信息安全策略需要定期或在重大变化时进行评审8、在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会是（）A、ISO/IECJTC1SC27B、ISO/IECJTC13C40C、ISO/IECTC27D、ISO/IECTC409、由认可机构对认证机构、检测机构、实验室从事评审、审核的认证活动人员的能力和执业资格，予以承认的合格评定活动是（）A、认证B、认可C、审核D、评审10、根据GB17859《计算机信息系统安全保护等级划分准则》,计算机信息系统安全保护能力分为（）等级。

信息分类与标记操作规程1. 概述信息分类与标记操作规程是为提高信息管理的效率和准确性而制定的一系列操作准则。

本规程的目的是对信息分类的原则和标记的方法进行规范，确保各项信息能够被快速发现和准确使用。

2. 信息分类原则2.1 信息分类的目的信息分类的目的是为了将大量的信息按照一定的规则和标准进行划分，以便管理和检索。

通过信息分类，可以实现对信息的有序管理和高效利用。

2.2 信息分类的基本原则2.2.1 主题一致性原则信息分类的主题应该具有一致性，即同一主题的信息应被归类到相同的分类中。

这样可以保证同一主题的信息在同一分类下进行管理，便于用户进行检索。

2.2.2 可拓展性原则信息分类应具有可拓展性，能够随着信息的增长和变化而持续划分和调整。

当存在新的主题时，应及时将其纳入已有分类框架中，确保信息分类的完整性和准确性。

2.2.3 简洁明了原则信息分类应遵循简洁明了原则，避免过多的层级和重复的分类。

分类的数量应控制在一定的范围内，使用户能够轻松理解和使用。

3. 标记方法3.1 标记的目的标记的目的是为了为每个信息赋予独特的标识，以实现对信息的快速定位和准确识别。

3.2 标记的基本方法3.2.1关键词标记法关键词标记法是最常用的标记方法之一，通过在信息中添加描述性的关键词，可以快速定位和识别信息。

关键词应基于信息内容，准确描述信息的主题和关键特征。

3.2.2 编号标记法编号标记法是通过为每个信息分配唯一的编号来进行标记。

编号可以按照一定的规则进行生成，如按照时间顺序、主题类别等。

编号标记法适用于大量信息且需要连续编号的情况。

3.2.3 标题标记法标题标记法是通过为信息添加具有描述性的标题来进行标记。

标题应能够准确反映信息的主题，清晰明了。

使用标题标记法可以帮助用户迅速识别和选择所需信息。

4. 操作规程4.1 信息分类4.1.1 确定分类标准根据信息的特点和管理需求，确定分类的标准和层级结构。

可以根据主题、类型、地域等进行分类。

l0, l1, l2, l3, l4的信息化执行标准-回复l0, l1, l2, l3, l4的信息化执行标准是指由ISO/IEC标准化组织颁布的一套关于信息技术管理和信息系统安全的标准。

这些标准分别适用于不同层次和不同领域的组织，从最基础的信息和数据的管理到最高级别的信息系统的安全性保障。

本文将逐步回答关于l0, l1, l2, l3, l4的信息化执行标准的问题。

第一部分：L0级信息化执行标准L0级信息化执行标准是指最基本的信息化管理要求，主要包括以下内容：1. 数据管理：L0级标准要求组织建立和维护一套合适的数据管理体系，包括数据收集、处理、存储和共享等。

这些数据管理活动应当符合数据安全和隐私保护的要求。

2. 系统管理：L0级标准要求组织确保其信息系统的正常运行和维护，包括软硬件设备的管理、补丁更新和故障处理等。

3. 信息安全：L0级标准关注组织的基本信息安全保障要求，如密码策略、安全访问控制和网络防护等。

第二部分：L1级信息化执行标准L1级信息化执行标准在L0级的基础上进一步规范了信息技术管理的要求，主要包括以下内容：1. 信息系统规划：L1级标准要求组织进行信息系统规划，包括明确信息技术发展目标、确定投资规模和制定系统构架等。

2. 风险管理：L1级标准要求组织建立风险管理体系，包括风险评估、风险处理和应急预案等，以应对信息系统面临的各种风险。

3. 业务流程管理：L1级标准要求组织优化和管理业务流程，以提高组织的效率和竞争力。

第三部分：L2级信息化执行标准L2级信息化执行标准在L1级的基础上进一步强调了信息化治理的要求，主要包括以下内容：1. IT战略与治理：L2级标准要求组织明确信息技术战略，并建立相应的治理体系，包括IT投资决策、项目管理和绩效评估等。

2. 组织能力发展：L2级标准要求组织建立组织能力发展体系，包括培训和知识管理等，以提高组织在信息化方面的能力。

3. 信息系统管理：L2级标准要求组织规范信息系统的管理流程，包括系统开发、部署、运维和存储等，以确保系统的可靠性和安全性。

2024年8月ISMS信息安全管理体系CCAA审核员模拟试题一、单项选择题1、按照PDCA思路进行审核，是指（）A、按照受审核区域的信息安全管理活动的PDCA过程进行审核B、按照认证机构的PDCA流程进行审核C、按照认可规范中规定的PDCA流程进行审核D、以上都对2、防火墙提供的接入模式不包括(）A、透明模式B、混合模式C、网关模式D、旁路接入模式3、组织应（）A、采取过程的规程安全处置不需要的介质B、采取文件的规程安全处置不需要的介质C、采取正式的规程安全处置不需要的介质D、采取制度的规程安全处置不需要的介质4、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为（）A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270055、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的（）系统A、报告B、传递C、评价D、测量6、当发生不符合时，组织应（）。

A、对不符合做出处理，及时地：采取纠正，以及控制措施；处理后果B、对不符合做出反应，适用时：采取纠正，以及控制措施：处理后果C、对不符合做出处理，及时地：采取措施，以控制予以纠正；处理后果D、对不符合做出反应，适用时：采取措施，以控制予以纠正；处理后果7、描述组织采取适当的控制措施的文档是（）A、管理手册B、适用性声明C、风险处置计划D、风险评估程序8、防止计算机中信息被窃取的手段不包括（）A、用户识别B、权限控制C、数据加密D、数据备份9、形成ISMS审核发现时，不需要考虑的是（）A、所实施控制措施与适用性声明的符合性B、适用性声明的完备性和适宜性C、所实施控制措施的时效性D、所实施控制措施的有效性10、文件初审是评价受审方ISMS文件的描述与审核准则的（）A、充分性和适宜性B、有效性和符合性C、适宜性、充分性和有效性D、以上都不对11、由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动是（）。