还剩27页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
ICS
35.040GB/T22080—XXXX/1SO/1EC27001:2013L80代替GB/TOB22080-2008中华人民共和I家标准信息技术安全技术信息安全管理体系要求Information technologySecurity techniquesInformation security一一management systems-Requirements()ISO/IEC270012013,IDT(征求意见稿)(本稿完成日期2015/1/16)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上发布实施XXXX-XX-XX XXXX-XX-中华人民共和国国家质量监督检验检疫总局国家标准化管理委员会组织应保留文件化信息作为管理评审结果的证据10改进
10.1不符合及纠正措施当发生不符合时,组织应a)对不符合做出反应,适用时1)采取措施,以控制并予以纠正;2)处理后果;b)通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其他地方发生1)评审不符合;2)确定不符合的原因;3)确定类似的不符合是否存在,或可能发生;c)实现任何需要的措施;d)评审任何所采取的纠正措施的有效性;e)必要时,对信息安全管理体系进行变更纠正措施应与所遇到的不符合的影响相适合组织应保留文件化信息作为以下方面的证据f)不符合的性质及所采取的任何后续措施;g)任何纠正措施的结果
10.2持续改进组织应持续改进信息安全管理体系的适宜性、充分性和有效性附录A(规范性附录)参考控制目的和控制表A.1所列的控制目的和控制是直接源自并与ISO/IEC27002⑴第5到18章一致,并在
6.L3环境中被使用表A.1控制目的和控制A.5信息安全策略A.
5.1信息安全管理指导目的依据业务要求和相关法律法规,为信息安全提供管理指导和支持A.
5.
1.1信息安全策略控制信息安全策略集应被定义,由管理者批准,并发布、传达给所有员工和外部相关方A.
5.
1.2信息安全策略的评审控制应按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和有效性A.6信息安全组织A.
6.1内部组织目的建立一个管理框架,以启动和控制组织内信息安全的实现和运行A.
6.
1.1信息安全的角色和责任控制所有的信息安全责任应予以定义和分配A.
6.
1.2职责分离控制应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会A.
6.
1.3与职能机构的联系控制应维护与相关职能机构的适当联系A.
6.
1.4与特定相关方的联系控制应维护与特定相关方、其他专业安全论坛和专业协会的适当联系A.
6.
1.5项目管理中的信息安全控制应关注项目管理中的信息安全问题,无论何种类型的项目A.
6.2移动设备和远程工作目的确保移动设备远程工作及其使用的安全A.
6.
2.1移动设备策略控制应采用相应的策略及其支持性的安全措施以管理由于使用移动设备所带来的风险A.
6.
2.2远程工作控制应实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息A.7人力资源安全A.
7.1任用前目的确保员工和合同方理解其责任,并适合其角色A.
7.
1.1审查控制应按照相关法律法规和道德规范,对所有任用候选者的背景进行验证核查,并与业务要求、访问信息的等级和察觉的风险相适宜A.
7.
1.2任用条款及条件控制应在员工和合同方的合同协议中声明他们和组织对信息安全的责任A.
7.2任用中目的确保员工和合同方意识到并履行其信息安全责任A.
7.
2.1管理责任控制管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全A.
7.
2.2信息安全意识、教育和培训控制组织所有员工和相关的合同方,应按其工作职能,接受适当的意识教育和培训,及组织策略及规程的定期更新的信息A.
7.
2.3违规处理过程控制应有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施A.
7.3任用的终止和变更目的在任用变更或终止过程中保护组织的利益A.
7.
3.1任用终止或变更的责任控制应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行A.8资产管理A.
8.1有关资产的责任目的识别组织资产并定义适当的保护责任A.
8.
1.1资产清单控制应识别信息,以及与信息和信息处理设施相关的其他资产,并编制和维护这些资产的清单A.
8.
1.2资产的所属关系控制应维护资产清单中资产的所属关系A.
8.
1.3资产的可接受使用控制应识别可接受的信息使用规则,以及与信息和信息处理设施有关的资产的可接受的使用规则,形成文件并加以实现A.
8.
1.4资产归还控制所有员工和外部用户在任用、合同或协议终止时,应归还其占用的所有组织资产A.
8.2信息分级目的确保信息按照其对组织的重要程度受到适当级别的保护A.
8.
2.1信息的分级控制信息应按照法律要求、价值、重要性及其对未授权泄露或修改的敏感性进行分级A.
8.
2.2信息的标记控制应按照组织采用的信息分级方案,制定并实现一组适当的信息标记规程A.
8.
2.3资产的处理控制应按照组织采用的信息分级方案,制定并实现资产处理规程A.
8.3介质处理目的防止存储在介质中的信息遭受未授权的泄露、修改、移除或破坏A.
8.
3.1移动介质的管理控制应按照组织采用的分级方案,实现移动介质管理规程A.
8.
3.2介质的处置控制应使用正式的规程安全地处置不再需要的介质A.
8.
3.3物理介质的转移控制包含信息的介质在运送中应受到保护,以防止未授权访问、不当使用或毁坏A.9访问控制A.
9.1访问控制的业务要求目的限制对信息和信息处理设施的访问A.
9.
1.1访问控制策略控制应基于业务和信息安全要求,建立访问控制策略,形成文件并进行评审A.
9.
1.2网络和网络服务的访问控制应仅向用户提供他们已获专门授权使用的网络和网络服务的访问A.
9.2用户访问管理目的确保授权用户对系统和服务的访问,并防止未授权的访问A.
9.
2.1用户注册和注销控制应实现正式的用户注册及注销过程,以便可分配访问权A.
9.
2.2用户访问供给控制应对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权A.
9.
2.3特许访问权管理控制应限制并控制特许访问权的分配和使用A.
9.
2.4用户的秘密鉴别信息管理控制应通过正式的管理过程控制秘密鉴别信息的分配A.
9.
2.5用户访问权的评审控制资产拥有者应定期对用户的访问权进行评审A.
9.
2.6访问权的移除或调整控制所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整A.
9.3用户责任目的让用户承担保护其鉴别信息的责任A.
9.
3.1秘密鉴别信息的使用控制应要求用户遵循组织在使用秘密鉴别信息时的惯例A.
9.4系统和应用访问控制目的防止对系统和应用的未授权访问A.
9.
4.1信息访问限制控制应按照访问控制策略限制对信息和应用系统功能的访问A.
9.
4.2安全登录规程控制当访问控制策略要求时,应通过安全登录规程控制对系统和应用的访问A.
9.
4.3口令管理系统控制口令管理系统应是交互式的,并应确保优质的口令A.
9.
4.4特权实用程序的使用控制对于可能超越系统和应用控制的实用程序的使用应予以限制并严格控制A.
9.
4.5程序源代码的访问控制控制应限制对程序源代码的访问A.10密码A.
10.1密码控制目的确保适当和有效地使用密码技术以保护信息的保密性、真实性和(或)完整性A.
10.
1.1密码控制的使用策略控制应开发和实现用于保护信息的密码控制使用策略A.
10.
1.2密钥管理控制应制定和实现贯穿其全生命周期的密钥使用、保护和生存期策略A.11物理和环境安全A.
11.1安全区域目的防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰A.
11.
1.1物理安全边界控制应定义和使用安全边界来保护包含敏感或关键信息和信息处理设施的区域A.
11.
1.2物理入口控制控制安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问办公室、房间和设施的安全保A.
11.
1.3护控制应为办公室、房间和设施设计并采取物理安全措施A.
11.
1.4外部和环境威胁的安全防护控制应设计和应用物理保护以防自然灾害、恶意攻击和意外A.
11.
1.5在安全区域工作控制应设计和应用安全区域工作规程A.
11.
1.6交接区控制访问点(例如交接区)和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问A.
11.2设备目的防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断A.
11.
2.1设备安置和保护控制应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会支持性设施控制应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断布缆安全控制应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听、干扰或损坏控制设备维护设备应予以正确地维护,以确保其持续的可用性和完整性资产的移动控制设备、信息或软件在授权之前不应带出组织场所组织场所外的设备与资产安全控制应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险A.
11.
2.7设备的安全处置或再利用控制包含储存介质的设备的所有部分应进行核查,以确保在处置或再利用之前,任何敏感信息和注册软件已被删除或安全的重写无人值守的用户设备控制用户应确保无人值守的用户设备有适当的保护清理桌面和屏幕策略控制应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略A.12运行安全A.
12.1运行规程和责任目的确保正确、安全的操作信息处理设施A.
12.
1.1文件化的操作规程控制操作规程应形成文件,并对所需用户可用A.
12.
1.2变更管理控制应控制影响信息安全的变更,包括组织、业务过程、信息处理设施和系统变更A.
12.
1.3容量管理控制应对资源的使用进行监视,调整和预测未来的容量需求,以确保所需的系统性能开发、测试和运行环境的分离A.
12.
1.4控制应分离开发、测试和运行环境,以降低对运行环境未授权访问或变更的风险恶意软件防范目的确保信息和信息处理设施防范恶意软件A.
12.
2.1恶意软件的控制控制应实现检测、预防和恢复控制以防范恶意软件,并结合适当的用户意识教育A.
12.3备份目的防止数据丢失A.
12.
3.1信息备份控制应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试A.
12.4日志和监视目的记录事态并生成证据A.
12.
4.1事态日志控制应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志A.
12.
4.2日志信息的保护控制记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问A.
12.
4.3管理员和操作员日志控制系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审A.
12.
4.4时钟同步控制一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步A.
12.5运行软件控制目的确保运行系统的完整性A.
12.
5.1运行系统的软件安装控制应实现运行系统软件安装控制规程A.
12.6技术脆弱性管理目的防止对技术脆弱性的利用A.
12.
6.1技术脆弱性的管理控制应及时获取在用的信息系统的技术脆弱性信息,评价组织对这些脆弱性的暴露状况并采取适当的措施来应对相关风险A.
12.
6.2软件安装限制控制应建立并实现控制用户安装软件的规则A.
12.7信息系统审计的考虑目的使审计活动对运行系统的影响最小化A.
12.
7.1信息系统审计的控制控制涉及运行系统验证的审计要求和活动,应谨慎地加以规划并取得批准,以便最小化业务过程的中断A.13通信安全A.
13.1网络安全管理目的确保网络中的信息及其支持性的信息处理设施得到保护A.
13.
1.1网络控制控制应管理和控制网络以保护系统和应用中的信息A.
13.
1.2网络服务的安全控制所有网络服务的安全机制、服务级别和管理要求应予以确定并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的A.
13.
1.3网络隔离控制应在网络中隔离信息服务、用户及信息系统A.
13.2信息传输目的保持在组织内及与外部实体间传输信息的安全A.
13.
2.1信息传输策略和规程控制应有正式的传输策略、规程和控制,以保护通过使用各种类型通信设施进行的信息传输信息传输协议控制协议应解决组织与外部方之间业务信息的安全传输电子消息发送控制应适当保护包含在电子消息发送中的信息保密或不泄露协议控制应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求A.14系统获取、开发和维护A.
14.1信息系统的安全要求目的确保信息安全是信息系统整个生命周期中的一个有机组成部分这也包括提供公共网络服务的信息系统的要求A.
14.
1.1信息安全要求分析和说明控制新建信息系统或增强现有信息系统的要求中应包括信息安全相关要求公共网络上应用服务的安全保A.
14.
1.2控制护应保护在公共网络上的应用服务中的信息以防止欺诈行为、合同纠纷以及未经授权的泄露和修改A.
14.
1.3应用服务事务的保护控制应保护应用服务事务中的信息,以防止不完整的传输、错误路由、未授权的消息变更、未授权的泄露、未授权的消息复制或重放A.
14.2开发和支持过程中的安全目的确保信息安全在信息系统开发生命周期中得到设计和实现A.
14.
2.1安全的开发策略控制针对组织内的开发,应建立软件和系统开发规则并应用系统变更控制规程控制应使用正式的变更控制规程来控制开发生命周期内的系统变更运行平台变更后对应用的技术A.
14.
2.3控制评审当运行平台发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响A.
14.
2.4软件包变更的限制控制应不鼓励对软件包进行修改,仅限于必要的变更,且对所有变更加以严格控制系统安全工程原则控制应建立、文件化和维护系统安全工程原则,并应用到任何信息系统实现工作中安全的开发环境控制组织应针对覆盖系统开发生命周期的系统开发和集成活动,建立安全开发环境,并予以适当保护A.
14.
2.7外包开发控制组织应督导和监视外包系统开发活动A.
14.
2.8系统安全测试控制应在开发过程中进行安全功能测试系统验收测试控制应建立对新的信息系统、升级及新版本的验收测试方案和相关准则A.
14.3测试数据目的确保用于测试的数据得到保护A.
14.
3.1测试数据的保护控制测试数据应认真地加以选择、保护和控制A.15供应商关系A.
15.1供应商关系中的信息安全目的确保供应商可访问的组织资产得到保护A.
15.
1.1供应商关系的信息安全策略控制为降低供应商访问组织资产的相关风险,应与供应商就信息安全要求达成一致,并形成文件A.
15.
1.2在供应商协议中强调安全控制应与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT基础设施组件的供应商建立所有相关的信息安全要求,并达成一致A.
15.
1.3信息与通信技术供应链控制供应商协议应包括信息与通信技术服务以及产品供应链相关的信息安全风险处理要求A.
15.2供应商服务交付管理目的维护与供应商协议一致的信息安全和服务交付的商定级别A.
15.
2.1供应商服务的监视和评审控制组织应定期监视、评审和审核供应商服务交付供应商服务的变更管理控制应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估A.16信息安全事件管理A.
16.1信息安全事件的管理和改进目的确保米用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通A.
16.
1.1责任和规程控制应建立管理责任和规程,以确保快速、有效和有序地响应信息安全事件A.
16.
1.2报告信息安全事态控制应通过适当的管理渠道尽快地报告信息安全事OA.
16.
1.3报告信息安全弱点控制应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点A.
16.
1.4信息安全事态的评估和决策控制应评估信息安全事态并决定其是否属于信息安全事件A.
16.
1.5信息安全事件的响应控制应按照文件化的规程响应信息安全事件A.
16.
1.6从信息安全事件中学习控制应利用在分析和解决信息安全事件中得到的知识来减少未来事件发生的可能性和影响A.
16.
1.7证据的收集控制组织应确定和应用规程来识别、收集、获取和保存可用作证据的信息A.17业务连续性管理的信息安全方面A.
17.1信息安全的连续性H的应将信息安全连续性纳入组织业务连续性管理之中A.
17.
1.1规划信息安全连续性控制组织应确定在不利情况(如危机或灾难)下,对信息安全及信息安全管理连续性的要求A.
17.
1.2实现信息安全连续性控制组织应建立、文件化、实现并维护过程、规程和控制,以确保在不利情况下信息安全连续性达到要求的级别验证、评审和评价信息安全连A.
17.
1.3续性控制组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的A.
17.2冗余目的确保信息处理设施的可用性A.
17.
2.1信息处理设施的可用性控制信息处理设施应具有足够的冗余以满足可用性要求A.18符合性A.
18.1符合法律和合同要求目的避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求A.
18.
1.1适用的法律和合同要求的识别控制对每一个信息系统和组织而言,所有相关的法律、法规、规章和合同要求,以及为满足这些要求组织所采用的方法,应加以明确地定义、形成文件并保持更新A.
18.
1.2知识产权控制应实现适当的规程,以确保在使用具有知识产权的材料和具有所有权的软件产品时,符合法律、法规和合同的要求A.
18.
1.3记录的保护控制应根据法律、法规、规章、合同和业务要求,对记录进行保护以防其丢失、毁坏、伪造、未授权访问和未授权发布A.
18.
1.4隐私和个人可识别信息保护控制应依照相关的法律、法规和合同条款的要求,以确保隐私和个人可识别信息得到保护A.
18.
1.5密码控制规则控制密码控制的使用应遵从所有相关的协议、法律和法规A.
18.2信息安全评审目的确保依据组织策略和规程来实现和运行信息安全A.
18.
2.1信息安全的独立评审控制应按计划的时间间隔或在重大变化发生时,对组织的信息安全管理方法及其实现(如信息安全的控制目的、控制、方针策略、过程和规程)进行独立评审A.
18.
2.2符合安全策略和标准控制管理者应定期评审其责任范围内的信息处理和规程与适当的安全策略、标准和任何其他安全要求的符合性A.
18.
2.3技术符合性评审控制应定期评审信息系统与组织的信息安全策略和标准的符合性[1HS0/IEC27002:2013,信息技术安全技术信息安全控制实用规则.参考文献[21IS0/IEC27003:2010,信息技术安全技术信息安全管理体系实施指南.
[4]IS0/IEC27005:2011,信息技术安全技术信息安全风险管理.
[3]IS0/IEC27004:2009,信息技术安全技术信息安全管理测量.
[5]ISO31000:2009,风险管理原则和指南.
[6]ISO/IEC导则,第一部分,ISO综合补充ISO具体规程,2012本标准照GB/T L1-2009和GB/T
20000.2-2009给出的规则起草本标准使用翻译法等同采用国际标准IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》英文版本部分自发布之日起代替GB/T22080-2008《信息技术安全技术信息安全管理体系要求》本部分与GB/T22080-2008的主要差异如下
1、control控制措施”改为“控制”
2、implement“实施”改为“实现”
3、maintain“保持”改为“维护”
4、objective“目标”改为“目的”
5、asset owner”资产责任人”改为“资产拥有者”本标准由全国信息安全标准化技术委员会SAC/TC260提出并归口请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任本标准起草单位本标准主要起草人
0.1总则本标准提供建立、实现、维护和持续改进信息安全管理体系的要求采用信息安全管理体系是组织的一项战略性决策组织信息安全管理体系的建立和实现受组织的需要和目的、安全要求、组织所采用的过程、规模和结构的影响所有这些影响因素可能随时间发生变化信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全期望的是,信息安全管理体系的实现程度要与组织的需要相符合本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序条款编号仅为方便引用ISO/IEC27000描述了信息安全管理体系的概耍和词汇,引用了信息安全管理体系标准族包括ISO/IEC27003
[2]、ISO/IEC
27004131、ISO/IEC2700514],以及相关术语和定义
0.2与其他管理体系标准的兼容性本标准应用ISO/IEC合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义,因此保持了与其他采用附录SL的管理体系的标准具有兼容性附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组织是有用的本标准照GB/T L1-2009和GB/T
20000.2-2009给出的规则起草本标准使用翻译法等同采用国际标准IS0/IEC27001:2013《信息技术安全技术信息安全管理体系要求》英文版本部分自发布之日起代替GB/T22080-2008《信息技术安全技术信息安全管理体系要求》本部分与GB/T22080-2008的主要差异如下
1、control控制措施”改为“控制”
2、implement“实施”改为“实现”
3、maintain“保持”改为“维护”
4、objective“目标”改为“目的”
5、asset owner”资产责任人”改为“资产拥有者”本标准由全国信息安全标准化技术委员会SAC/TC260提出并归口请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任本标准起草单位本标准主要起草人
0.1总则本标准提供建立、实现、维护和持续改进信息安全管理体系的要求采用信息安全管理体系是组织的一项战略性决策组织信息安全管理体系的建立和实现受组织的需要和目的、安全要求、组织所采用的过程、规模和结构的影响所有这些影响因素可能随时间发生变化信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全期望的是,信息安全管理体系的实现程度要与组织的需要相符合本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求本标准中所表述要求的顺序不反映各要求的重要性或暗示这些要求要予实现的顺序条款编号仅为方便引用ISO/IEC27000描述了信息安全管理体系的概耍和词汇,引用了信息安全管理体系标准族包括ISO/IEC27003
[2]、ISO/IEC
27004131、ISO/IEC2700514],以及相关术语和定义
0.2与其他管理体系标准的兼容性本标准应用ISO/IEC合并导则附录SL中定义的高层结构、相同条款标题、相同文本、通用术语和核心定义,因此保持了与其他采用附录SL的管理体系的标准具有兼容性附录SL中定义的通用途径对于选择运行单一管理体系来满足两个或更多管理体系标准要求的组织是有用的GB/T22080-XXXX/ISO/IEC27001:2013信息技术安全技术信息安全管理体系要求1范围本标准规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求本标准还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求本标准规定的要求是通用的,适用于各种类型、规模或性质的组织当组织声称符合本标准时,不能排除第4章到第10章中所规定的任何要求2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件ISO/IEC27000信息技术安全技术信息安全管理体系概述和词汇3术语和定义ISO/IEC27000界定的术语和定义适用于本文件4组织环境
4.1理解组织及其环境组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项注对这些事项的确定,参见ISO310002009⑸,
5.3中建立外部和内部环境的内容
4.2理解相关方的需求和期望组织应确定a)信息安全管理体系相关方;b)这些相关方与信息安全相关的要求注相关方的要求可包括法律、法规要求和合同义务
4.33确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性,以建立其范围c在确定范围时,组织应考虑a)
4.1中提到的外部和内部事项;b)
4.2中提到的要求;c)组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系该范围应形成文件化信息并可用
4.4信息安全管理体系组织应按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系5领导
4.1领导和承诺最高管理层应通过以下活动,证实对信息安全管理体系的领导和承诺a)确保建立了信息安全策略和信息安全目的,并与组织战略方向一致;b)确保将信息安全管理体系要求整合到组织过程中;c)确保信息安全管理体系所需资源可用;d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;e)确保信息安全管理体系达到预期结果;f)指导并支持相关人员为信息安全管理体系的有效性做出贡献;g)促进持续改进;h)支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围
5.2方针最高管理层应建立信息安全方针,该方针应a)与组织意图相适宜;b)包括信息安全目的(见
6.2)或为设定信息安全目的提供框架;c)包括对满足适用的信息安全相关要求的承诺;d)包括对持续改进信息安全管理体系的承诺信息安全方针应e)形成文件化信息并可用;f)在组织内得到沟通;g)适当时,对相关方可用
5.3组织的角色,责任和权限最高管理层应确保与信息安全相关角色的责任和权限得到分配和沟通最高管理层应分配责任和权限,以a)确保信息安全管理体系符合本标准的要求;b)向最高管理者报告信息安全管理体系绩效注最高管理层也可为组织内报告信息安全管理体系绩效,分配责任和权限6规划
6.1应对风险和机会的措施
7.
1.1总则当规划信息安全管理体系时,组织应考虑
4.1中提到的事项和
4.2中提到的要求,并确定需要应对的风险和机会,以a)确保信息安全管理体系可达到预期结果;b)预防或减少不良影响;c)达到持续改进组织应规划d)应对这些风险和机会的措施;e)如何1)将这些措施整合到信息安全管理体系过程中,并予以实现;2)评价这些措施的有效性
8.
1.2信息安全风险评估组织应定义并应用信息安全风险评估过程,以a)建立并维护信息安全风险准则,包括1)风险接受准则;2)信息安全风险评估实施准则b)确保反复的信息安全风险评估产生一致的、有效的和可比较的结果;c)识别信息安全风险1)应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;2)识别风险责任人;d)分析信息安全风险1)评估
6.
1.2c)1)中所识别的风险发生后,可能导致的潜在后果;2)评估
6.
1.2c)1)中所识别的风险实际发生的可能性;3)确定风险级别;e)评价信息安全风险1)将风险分析结果与
6.
1.2a)中建立的风险准则进行比较;2)为风险处置排序已分析风险的优先级组织应保留有关信息安全风险评估过程的文件化信息信息安全风险处置组织应定义并应用信息安全风险处置过程,以a)在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;b)确定实现已选的信息安全风险处置选项所必需的所有控制;注当需要时,组织可设计控制,或识别来自任何来源的控制c)将
6.
1.3b)确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制;注1附录A包含了控制目的和控制的综合列表本标准用户可在附录A的指导下,确保没有遗漏必要的控制注2控制目的隐含在所选择的控制内附录A所列的控制目的和控制并不是完备的,可能需要额外的控制目的和控制d)制定一个适用性声明,包含必要的控制(见
6.
1.3b)和c))及其选择的合理性说明(无论该控制是否已实现),以及对附录A控制删减的合理性说明;e)制定正式的信息安全风险处置计划;f)获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准组织应保留有关信息安全风险处置过程的文件化信息注本标准中的信息安全风险评估和处置过程与ISO31000⑸中给出的原则和通用指南相匹配组织应在相关职能和层级上建立信息安全目的信息安全目的应a)与信息安全方针一致;b)可测量(如可行);c)考虑适用的信息安全要求,以及风险评估和风险处置的结果;d)得到沟通;e)适当时更新组织应保留有关信息安全目的的文件化信息在规划如何达到信息安全目的时,组织应确定f)要做什么;g)需要什么资源;h)由谁负责;i)什么时候完成;j)如何评价结果7支持
1.11资源组织应确定并提供建立、实现、维护和持续改进信息安全管理体系所需的资源
1.2能力组织应a)确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力;b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c)适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d)保留适当的文件化信息作为能力的证据注适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有能力的人员
1.3意识在组织控制下工作的人员应了解a)信息安全方针;b)其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c)不符合信息安全管理体系要求带来的影响
1.4沟通组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括a)沟通什么;b)何时沟通;c)与谁沟通;d)谁来沟通;e)影响沟通的过程
1.5文件化信息组织的信息安全管理体系应包括a)本标准要求的文件化信息;b)为信息安全管理体系的有效性,组织所确定的必要的文件化信息注不同组织有关信息安全管理体系文件化信息的详略程度可以是不同的,这是由于1)组织的规模及其活动、过程、产品和服务的类型;2)过程及其相互作用的复杂性;3)人员的能力创建和更新创建和更新文件化信息时,组织应确保适当的a)标识和描述(例如标题、日期、作者或引用编号);b)格式(例如语言、软件版本、图表)和介质(例如纸质的、电子的);c)对适宜性和充分性的评审和批准
7.
5.3文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应得到控制,以确保a)在需要的地点和时间,是可用的和适宜使用的;b)得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)为控制文件化信息,适用时,组织应强调以下活动c)分发,访问,检索和使用;d)存储和保护,包括保持可读性;e)控制变更(例如版本控制);f)保留和处理组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制注访问隐含着仅允许浏览文件化信息,或允许和授权浏览及更改文件化信息等决定8运行
8.1运行规划和控制为了满足信息安全要求以及实现61中确定的措施,组织应规划、实现和控制所需要的过程组织还应实现为达到
6.2中确定的信息安全目的一系列计划组织应保持文件化信息达到必要的程度,以确信这些过程按计划得到执行组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响组织应确保外包过程是确定的和受控的
8.2信息安全风险评估组织应考虑
6.
1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估组织应保留信息安全风险评估结果的文件化信息
8.3信息安全风险处置组织应实现信息安全风险处置计划组织应保留信息安全风险处置结果的文件化信息9绩效评价
9.1监视、测量、分析和评价组织应评价信息安全绩效以及信息安全管理体系的有效性组织应确定a)需要被监视和测量的内容,包括信息安全过程和控制;b)适用的监视、测量、分析和评价的方法,以确保得到有效的结果注所选的方法宜产生可比较和可再现的有效结果c)何时应执行监视和测量;d)谁应监视和测量;e)何时应分析和评价监视和测量的结果;f)谁应分析和评价这些结果组织应保留适当的文件化信息作为监视和测量结果的证据
9.2内部审核组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系a)是否符合1)组织自身对信息安全管理体系的要求;2)本标准的要求b)是否得到有效实现和维护组织应c)规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告审核方案应考虑相关过程的重要性和以往审核的结果;d)定义每次审核的审核准则和范围;e)选择审核员并实施审核,确保审核过程的客观性和公正性;f)确保将审核结果报告至相关管理层;g)保留文件化信息作为审核方案和审核结果的证据
9.3管理评审最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性管理评审应考虑a)以往管理评审提出的措施的状态;b)与信息安全管理体系相关的外部和内部事项的变化;c)有关信息安全绩效的反馈,包括以下方面的趋势1)不符合和纠正措施;2)监视和测量结果;3)审核结果;4)信息安全目的完成情况;d)相关方反馈;e)风险评估结果及风险处置计划的状态;f)持续改进的机会管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
个人认证
优秀文档
获得点赞 0
