组织环境
领导
规划
支持
运行
绩效监视
改进
组织其环境
相关方需求和期望
体系的范围
体系
<span style="font-size: inherit;">1、组织要确定它想干什么,<br>2、并确定影响信息安全体系的预期结果的外部和内部事项</span><br>
1、确定信息安全管理体系的相关方。<br>2、这些相关方与信息安全相关的要求。<br>注:相关方要求可包括法津、法规要求和合同义务
确定边界及其合理性,用来建立范围<br>1、影响体系的外部和内部事项。<br>2、信息相关方的要求。<br>3、组织实施活动之间(部门)的及与其它组织之间的接口和依赖关系。<br>该范围应形成文件化信息并可用
组织应按本标准要求,建立、实现、维护和持续改进信息安全管理体系
最高管层应通过以下活动证明对信息安全<br>管理体系领导承诺
最高管理层应确保与信息安全管理角色的<br>责任和权限得到分配和沟通
1、确保建立体系策略和信息安全目标并与组织战略方向一致<br>2、确保将信息安全体系要求整合到组织过程中<br>3、确保信息安全体系所需要的资源可用<br>4、沟通有效的信息安全符合信息安全管理体系要求的重要性<br>5、确保信息安全体系达到预期的结果<br>6、指导并支持相关人员为体系的有效性做贡献<br>7、促进持续改进<br>8、支持其他相关管理角色,证实他们的领导按角色应用于其责任范围
最高管理层应建立信息安全的方针
1、与组织意图相适宜<br>2、包括信息安全目标或为设定信息安全目标提供框架<br>3、包括 对满足适用的信息安全相关要求的承诺<br>4、包括对持续改进信息安全管理体系的承诺<br>5、形成文件化信息并可用<br>6、在组织内部得到沟通<br>7、适当时,对相关方可用
1、确保信息安全管理体系符合本标准的要求<br>2、向最高管理者报告信息安全管理体系的绩效<br>最高管理层也可为组织内报告信息安全管理体系的绩效,分配责任、权限
应对风险和机会的措施
规划信息安全体系时,组织应考虑组织环境和<br>相关方的需求和期望的要求,并确定需要应对<br>的风险和机会
1、确保信息安全管理体系可达到预期的结果<br>2、预防或减少不良影响<br>3、应对这些风格和机会的措施<br>4、如何 a、将这些措施整合到信息安全管理体系过程中并予以实现.b、评价这些措施的有效性
组织应在相关职能和层级上建立信<br>息安全目标
组织应定义并应用信息安全风险评估过程
1、建立并维护信息安全风险准则,包括1风险接受准则,2信息安全风险评估实施准则<br>2、确保反复的信息安全风险评估产生一致的、有效的、可比较的结果<br>3、识别信息安全风险包括1应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性的损失有关的风险<br>4、分析信息安全风险包括1、所识别的风险发生后,可导致的潜在后果。2、所识别的风险实际发生的可能性<br>5、评价信息安全风险包括1、将风险分析结果与建立的风险准则进行比较。2、为冈险处理排序已分析风险优先级<br>注:组织应保留有关信息安全风险评估过程的文件化信息
组织应定义并应用信息安全风险处置
1、在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项<br>2、确定实现已选的信息安全风险处置选项所必需的控制(当需要时组织可设计控制或识别来自任何来源的控制)<br>3、制定一个适用性声明,包含必要的控制及其选择的合理性说明(无论该控制是否已实现)以及对附录A控制删减的合理性说明<br>4、制定正式的信息安全风险处置计划<br>5、获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受和批准<br>6、确定的控制与附录A中的控制进行比较,并验证没有忽略必要的控制<br>组织应保留有关信息安全风险处置过程的文件化信息
1、与信息安全方针一致<br>2、可测量(如可行)<br>3、考虑适用的信息安全信息安全要求,以及风险评估和风险处置的结果<br>4、得到沟通<br>5、适当 时更新<br>在规划如何达到目标时考虑:<br>1、要做什么<br>2、需要什么资源<br>3、由谁负责<br>4、什么时候完成<br>5、如何评价结果
资源
能力
意识
沟通
文件化信息
组织应确定并提供建立、实现、维护<br>、持续改进信息安全管理体系所需的资源
1、确定在组织控制下从事会影响组织信息安全绩效的工人人员的必要能力<br>2、确保上述人员在适当的教育、培训、经验的基础上能够胜任工作<br>3、适用时,采取措施以获得必要的能力,并评估所采取措施的有效性<br>4、保留适当的文件化信息作为能力证据<br>注:适用的措施包括:提供培训、指导、重新分配;雇佣或签约有能力的人员
对组织控制下的人员应了解:<br>1、信息安全方针<br>2、其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处<br>3、不附合信息安全管理体系要求带来的影响
相关内部和外部的沟爱<br>1、沟通什么<br>2、何时沟通<br>3、与谁沟通<br>4、谁来沟通<br>5、影响沟通的过程
总则:组织的信息安全管理体系应包括:<br>1、本标准要求的文件化信息<br>2、为信息安全管理体系的有效性,组织所确定的必要的文件化信息<br>不同组织有关信息安全管理体系文件化信息的详略程度不同,因组织规<br>模、过程 、产品、人员能力
创建和更新文件化信息,组织应确保适当的<br>1、标识和描述(如标题、日期、作者、引用编号)<br>2、格式(如语言、软件版本、图表)和介质(纸质、电子)<br>3、对适宜性和充分性的评审和批准
文件化信息的控制,以确保:<br>1、在需要的地点和时间,是可用的和适宜使用的<br>2、得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等)<br>为控件文件化信息,适用时,应强调以下活动<br>1、分发,访问,检索和使用<br>2、存储和保护,包括保持可读性<br>3、控制变更(如版本变更)<br>4、保留和处理
运行规划和控制
为满足信息安全要求以及实现 确定的措施,组织应规划、实现、控制所需要的过程。组织还应实现达到<br>与信息安全目标一系列计划<br>1、组织应保持文件化信息达到必要 程度,以确信这些过程可以按计划执行<br>2、组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响<br>3、组织应确保外包过程是确定的和受控的
信息安全风险评估
组织应考虑所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估<br>组织应保留信息安全风险评估结果的文件化信息
信息安全风险处置
组织应实现信息安全风险处置计划<br>组织应保留信息安全风险处置结果的文件化信息
监视、测量、分析和评价
内部审核
管理评审
不附合及纠正措施
持续改进
组织应评价信息安全绩效以及信息安全管理体系的有效性<br>1、需要被监视和测量的内容,包括信息安全过程和控制<br>2、适用的监视、测量、分析、评价的方法,以确保得到有效的结果<br>3、何时应执行监视和测量<br>4、谁应监视和测量<br>5、何时应分析和评价监视和测量的结果<br>6、谁应分析和评价这些结果<br>组织应保留适当的文件化信息作为监视和测量结果的证据
组织应按计划的时间间隔进行内部审核,以提供信息,确定信息安全管理体系<br>1、是否符合 组织自身对信息安全管理体系的要求 和本标准的要求 和是否得到有效的实现和维护 <br>2、规划、建立、实现和维护审核方案(一个或多个),包括审核频次、方法、责任、规划要求和报告<br>3、定义每次审核的审核准则和范围<br>4、选择审核员并实施审核,确保审核过程的客观性和公正性<br>5、确保将审核结果报告至相关管理层<br>6、保留文件化信息作为审核方案和审核结果的证剧
最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性、有效性<br>1、以往管理评审提出的措施和状态<br>2、与信息安全管理体系相关的外部和内部事项的变化<br>3、有关信息安全绩效的反馈,包括 以下趋势:不附合和纠正措施和监视测量的结果,审核结果,信息安全目标完成情况 <br>4、相关方反馈<br>5、风险评估结果及风险处置计划的状态<br>6、持续改进的机会<br>管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求<br>组织应保留文件化信息作为管理评审结果的证据
当发生不附合时<br>1、对不附合做出反应,适用时应采取措施,以控制并予以纠正和处理后果<br>2、通过以下活动,评价采取消除不符合原因的措施的需求,以防止不符合再发生,或在其它地方发生:1、评审不符合。2、确定不符合的原因。3、确定类似不符合是否存在,或可能发生。<br>3、实现任何需要的措施。<br>4、评审任何所采取的纠正措施的有效性<br>5、必要时,对信息安全管理体系进行变更。:纠正措施应与所遇到的不符合的影响相适合<br>组织应保留文件化信息作为以下方面的证据<br>1、不符合的性质及所采取的任何后续措施<br>2、任何纠正措施的结果
组织应持续改进信息安全管理体系的适宜性、充分性和有效性
