信息安全管理体系规范与使用指南.docx
《信息安全管理体系规范与使用指南.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系规范与使用指南.docx(61页珍藏版)》请在冰豆网上搜索。
信息安全管理体系规范与使用指南
信息安全管理体系规范与使用指南
信息安全治理体系——
规范与使用指南
名目
前言
0介绍
0.1总则
0.2过程方法
0.3与其他治理体系的兼容性
1范畴
1.1概要
1.2应用
2标准参考
3名词与定义
4信息安全治理体系要求
4.1总则
4.2建立和治理信息安全治理体系
4.2.1建立信息安全治理体系
4.2.2实施和运作信息安全治理体系
4.2.3监控和评审信息安全治理体系
4.2..4爱护和改进信息安全治理体系
4.3文件化要求
4.3.1总则
4.3.2文件操纵
4.3.3记录操纵
5治理职责
5.1治理承诺
5.2资源治理
5.2.1资源提供
5.2.2培训、意识和能力
6信息安全治理体系治理评审
6.1总则
6.2评审输入
6.3评审输出
6.4内部信息安全治理体系审核
7信息安全治理体系改进
7.1连续改进
7.2纠正措施
7.3预防措施
附件A(有关标准的)操纵目标和操纵措施
A.1介绍
A.2最佳实践指南
A.3安全方针
A.4组织安全
A.5资产分级和操纵
A.6人事安全
A.7实体和环境安全
A.8通信与运营安全
A.9访咨询操纵
A.10系统开发和爱护
A.11业务连续性治理
A.12符合
附件B(情报性的)本标准使用指南
B1概况
B.1.1PDCA模型
B.1.2打算与实施
B.1.3检查与改进
B.1.4操纵措施小结
B2打算时期
B.2.1介绍
B.2.2信息安全方针
B.2.3信息安全治理体系范畴
B.2.4风险识不与评估
B.2.5风险处理打算
B3实施时期
B.3.1介绍
B.3.2资源、培训和意识
B.3.3风险处理
B4检查时期
B.4.1介绍
B.4.2常规检查
B.4.3自我方针程序
B.4.4从其他处学习
B.4.5审核
B.4.6治理评审
B.4.7虚实分析
B5改进时期
B.5.1介绍
B.1.2不符合项
B.5.3纠正和预防措施
B.5.4OECD原则和BS7799—2
附件C(情报)ISO9001:
2000、ISO14001与BS7799-2:
2002条款对比
0介绍
0.1总则
本标准的目的是为业务经理和他们的职员提供建立和治理一个有效的信息安全治理体系(ISMS)的模型。
采纳ISMS应是一个组织的战略决定。
一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采纳的过程及组织的大小、结构的阻碍。
上述因素和他们的支持过程估量会随事件而变化。
期望简单的情形是用简单的ISMS解决方案。
本标准能够又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法
本标准举荐采纳过程的方法开发、实施和改进一个组织的ISMS的有效性。
一个组织必须识不和治理许多活动使其有效地运行。
一个活动使用资源和在治理状态下使其能够把输入转换为输出,那个过程能够被认为是一个过程。
经常地,一个过程的输出直截了当形成了下一个过程的输入。
在一个组织用应用一个过程的体系,并识不这些过程、过程间的相互作用及过程的治理,能够叫做过程的方法。
过程的方法鼓舞使用者强调一下重要性:
a)明白得业务信息安全需求和建立信息安全方针和目标的需求;
b)在全面治理组织业务风险的环境下实施也运作操纵措施;
c)监控和评审ISMS的有效性和绩效;
d)在客观评判的基础上连续改进。
本标准采纳的,适用于ISMS的模型,如图一所示。
图一显示ISMS如何样考虑输入利益有关方的细小安全需求和期望,通过必要的行动产生信息安全结果(即:
治理的信息安全),此结果满足这些需要和期望。
一个需求的例子可能是信息安全事故不要对组织引起财务缺失和/或引高层主管的尴尬。
一个期望的例子可能是如果严峻的事故发生也许足智多谋饿电子商务网站被黑客入侵—将有被培训过的职员通过使用的程序减小其阻碍。
这显示了本标准在第四至第七部分的联系。
被模型确实是众所周知的“Plan-Do-Check-Act”(PECA)模型,本模型能够用于所有的过程。
PDCA模型能够简单地描述如下图:
PDCA模型应用与信息安全治理体系过程
打算PLAN
实施开发、爱护改进
DO和改进循环ACTION
1范畴
1.1概要
本标准规范在组织整个业务风险的环境下建立、实施、爱护和改进一个文件化的ISMS模型。
它规定了对定制实施安全操纵措施以适应不同组织或有关方的需求。
(见附件B,提供了使用该规范的指南)。
ISMS保证足够的和成比例和安全操纵措施以充分爱护信息资产名给与客户和其他利益有关方信心。
这将转化为爱护和提升竞争优势、现金流、赢利能力、法律符合和商务形象。
1.2应用
本标准提出的要求使一样性的并试图用于所有的组织,不管其类型、大小和业务性质。
当由于组织的性质和业务本标准中的要求不能使用,要求能够考虑删减。
除非不能删减不阻碍组织的能力,和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,否则不能声称符合本标准。
任何能够满足风险同意标准的删减必须证明是正当的并需要提供证据证明有关风险被负责人员正当地同意。
关于条款4,5,6和7的要求的删减不能同意。
2引用标准
ISO9001:
2000质量治理体系-要求
ISO/IEC17799:
2000信息技术—信息安全治理实践指南
ISO指南73:
2001风险治理指南-名词
3名词和定义
从本英国标准的目的动身,以下名词和定义适用。
3.1可用性
保证被授权的使用者需要时能够访咨询信息及有关资产。
[BSISO/IEC17799:
2000]
3.2保密性
保证信息只被授权的访咨询。
[BSISO/IEC17799:
2000]
3.3信息安全
安全爱护信息的保密性、完整性和可用性
3.4信息安全治理体系(ISMS)
是整个治理体系的一部分,建立在业务风险的方法上,以开发、实施完成、评审和爱护信息安全。
3.5完整性
爱护信息和处理过程的准确和完整。
[BSISO/IEC17799:
2000]
3.6风险同意
同意一个风险的决定。
[ISOGuide73]
3.7风险分析
系统化地使用信息识不来源和估量风险。
[ISOGuide73]
3.8风险评估
风险分析和风险评判的整个过程。
[ISOGuide73]
3.9风险评判
比较估量风险与给出的风险标准,确定风险严峻性的过程。
[ISOGuide73]
3.10风险治理
指导和操纵组织风险的联合行动。
3.11风险处理
选择和实施措施以更换风险处理过程。
[ISOGuide73]
3.12适用性声明
描述与使用组织的ISMS范畴的操纵目标和操纵措施。
这些操纵目标和操纵措施是建立在风险评估和处理过程的结论和结果基础上。
4信息安全治理体系要求
4.1总要求
组织应在组织整体业务活动和风险的环境下开发、实施、爱护和连续改进文件化的ISMS。
关于该标准的目的,使用的过程是建立在图一讲示的PDCA模型为基础上。
4.2建立和治理ISMS
4.2.1建立ISMS
组织应:
a)应用业务的性质、组织、其方位、资产和技术定义SIMS的范畴。
b)应用组织的业务性质、自主、方位、资产和技术定义ISMS的方针,方针应:
1)包括为其目标建立一个框架病危信息安全活动建立整日的方向和原则。
2)考虑业务及法律或法规的要求,及合同的安全义务。
3)建立组织战略和风险的环境,在这种环境下,建立和爱护信息安全治理体系。
4)建立风险评判的标准和风险评估定义的结构。
[见4.2.1c]
5)经治理层批准
c)定义风险评估的系统化的方法
识不适用于ISMS及已识不的信息安全、法律和法规的要求的风险评估的方法为ISMS建立方针和目标以降低风险至可同意的水平。
确定同意风险的标准和识不可同意分享的水平。
[见5.1f]
d)定义风险
1)在ISMS的范畴内,识不资产及其责任人
2)识不对这些资产的威逼
3)识不可能被威逼利用的脆弱性
4)识不资产失去保密性、完整性和可用性的阻碍
e)评估风险
1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用性的潜在后果
2)评估与这些资产有关的要紧威逼、脆弱点和阻碍造成此类事故发生的现实的可能性和现存的操纵措施
3)估量风险的等级
4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理
f)识不和评判供处理风险的可选措施
1)应用合适的操纵措施
2)明白并有目的的棘手风险,同时这些措施能清晰地满足组织方针和同意风险的标准。
[见4.2.1]
3)幸免风险
4)转移有关业务风险到其他方面如:
保险业、供应商等。
g)选择操纵目标和操纵措施处理风险
应从本标准附件A中选择合适的操纵目标和操纵措施,选择应该按照风险评估和风险处理过程的结果调整。
注意:
附件A中列出的操纵目标和操纵措施,作为本标准的一部分,并不是所有的操纵目标和措施,组织可能选择另加的操纵措施。
h)预备一份适用性声明。
从上面4.2.1(g)选择的操纵目标和操纵措施以及被选择的缘故应在适用性声明中文件化。
从附件A中剪裁的操纵措施也应加以记录
i)提议的残余风险应获得治理层批准并授权实施和运作ISMS。
4.2.2实施和运作ISMS
组织应:
a)识不合适的治理行动和确定治理信息安全风险的优先顺序,(即:
风险处理打算)-[见条款5]
b)实施风险处理打算以达到识不的操纵目标,包括对资金的考虑和落实安全角色和责任
c)实施在4.2.1(g)选择的操纵目标和操纵措施
d)培训和意识[见5.2.2]
e)治理运作过程
f)治理资源[见5.2]
g)实施程序和其他有能力随时探测和回应安全事故。
4.2.3监控和评审ISMS
组织应:
a)执行监控程序和其他操纵措施,以:
1)是探测处理结果中的错误
2)及时识不失败的和成功的安全破坏和事故
3)能够使治理层决定以分派给职员的或通过信息技术实施的安全活动是否达到了预期的目标
4)确定解决安全破坏的行动是否反映了业务的优先级
b)进行常规的ISMS有效性的评审(包括符合安全方针和目标,及安全操纵措施的评审)考虑安全评审的结果、事故、来自所有利益有关方的建议和反馈
c)评审残余风险和可同意风险的水平,考虑一下变化
1)组织
2)技术
3)业务目标和过程
4)识不威逼及
5)外部事件,如:
法律、法规的环境发生变化或社会环境发生变化
d)在打算的时刻段内实施内部ISMS审核
e)经常进行ISMS治理评审(至少每年评审一个周期)以保证信息安全治理体系的范畴仍旧足够,在ISMS过程中的改进措施已被识不(见条款6ISMS的治理评审)
f)记录所采取的行动和能够阻碍ISMS的有效性或绩效的事件[见4.3.4]
4.2.4爱护和改进ISMS
组织应经常:
a)实施以识不的关于ISMS改进措施。
b)采取合适的纠正和预防行动[见7.2和7.3]。
应用从其他组织的安全体会和组织内学到知识。
c)沟通结果和行动并得到所有参与的有关访的同意。
d)确保改进行动达到了预期的目标
4.3文件要求
4.3.1总则
ISMS文件应包括:
a)文件化的安全方针文件和操纵目标
b)ISMS范畴[见4.2.1]和程序及支持ISMS的操纵措施
c)风险评估报告[见4.2.1]
d)风险处理打算[见4.2.2]
e)组织需要的文件化的程序以确保有效打算运营和对信息安全过程的操纵[见6.1]
f)本标准要求的记录[见4.3.4]
g)适用性声明
注1:
当本标准中显现“文件的程序”,这意味着建立、文件化、实施和爱护该程序。
注2:
SeeISO9001
注3:
文件和记录能够用多种形式和不同媒体。
4.3.2文件操纵
ISMS要求的文件应爱护和操纵。
应建立文件化的程序确定治理所需文件:
a)文件公布得到批准,以确保文件的充分性
b)必要时对文件进行审批与更新,并再次批准
c)确保文件的更换和现行修订状态得到识不
d)确保在使用处可获得适用文件的有关版本
e)确保文件保持清晰、易于识不
f)确保外来文件得到识不,并操纵起分发
g)确保文件的发放在操纵状态下
h)防止作废文件的非预期使用
i)若因任何缘故而保留作废文件时,对这些文件进行适当的标识
4.3.3记录操纵
应建立并保持纪录,以提供符合要求和信息安全治理体系的有效运行的证据。
记录应当被操纵。
信息安全治理体系应考虑任何有关的法律要求。
记录应保持清晰、易于识不和检索。
应编制形成文件的程序,以规定记录的标储存、爱护检索、储存期限和处置所需的操纵。
一个治理过程将确定记录的程度。
应保留4.2概要的过程绩效记录和所有与信息安全治理体系有关的安全事故发生的纪录。
举例
记录的例子如:
访咨询者的签名簿,审核记录和授权访咨询记录。
5治理职责
5.1治理承诺
治理层应提供其承诺建立、实施、运行、监控、评审、爱护和改进信息安全治理体系的证据,包括:
a)建立信息安全方针:
b)确保建立信息安全目标和打算:
c)为信息安全确立角色和责任;
d)向组织传达达到信息安全目标和符合信息安全方针的重要性、在法律条件下组织的责任及连续改进的需要。
e)提供足够的资源以开发、实施,运行和爱护信息安全治理体系[见5.2.1]
f)确定可同意风险的水平;
g)进行信息安全治理体系的评审[见条款6]。
5.2资源治理
5.2.1提供资源
组织将确定和提供所需的资源,以:
a)建立、实施、运行和爱护信息安全治理体系;
b)确保信息安全程序支持业务要求;
c)识不和强调法律和法规要求及合同安全的义务;
d)正确地应用所有实施的操纵措施爱护足够的安全;
e)必要时,进行评审,并适当回应这些评审的结果;
f)需要时,改进信息安全治理体系的有效性。
5.2.2培训、意识和能力
组织应确保所有的被分配信息安全治理体系职责的人员具有能力履行要求的任务。
组织应:
a)确定从事阻碍信息安全治理体系的人员所必要的能力;
b)提供能力培训和,必要时,聘用有能力的人员满足这些需求;
c)评判提供的培训和所采取行动的有效性:
d)保持教育、培训、技能、体会和资格的纪录[见4.3.3]
组织应确保所有有关的人员明白他们信息安全活动的适当性和重要性以及他们的奉献如何样达成信息安全治理目标。
6信息安全治理体系的治理评审
6.1总则
治理层应按策划的时刻间隔评审组织的信息安全治理体系,以确保其连续的适宜性、充分性和有效性。
评审应包括评判信息安全治理体系改进的机会和变更的需要,包括安全方针和安全目标。
评审的结果因清晰地文件化,应保持治理评审的纪录[见4.3.31
6.2评审输入
治理评审的输入应包括以下方面的信息:
a)信息安全治理体系审核和评审的结果;
b)有关方的反馈;
c)能够用于组织改进其信息安全治理体系业绩和有效性的技术,产品或程序;
d)预防和纠正措施的状况;
e)往常风险评估没有足够强调的脆弱性或威逼;
f)以往治理评审的跟踪措施:
g)任何可能阻碍信息安全治理体系的变更;
h)改进的建议。
6.3评审输出
治理评审的输出应包括以下方面有关的任何决定和措施:
a)信息安全治理体系有效性的改进;
b)修改阻碍信息安全的程序,必要时,以回应内部或外部可能阻碍信息安全治理体系的事件,包括以下的变更:
1)业务要求;
2)安全要求;
3)业务过程阻碍现存的业务要求;
4)法规或法律环境;
5)风险的等级和/或可同意风险的水平;
c)资源需求。
6.4内部信息安全治理体系审核
组织应按策化的时刻间隔进行内部信息安全治理体系审核,以确定信息安全治理体系的操纵目标。
操纵措施、过程和程序是否:
a)符合本标准和有关法律法规的要求;
b)符合识不的信息安全要求;
c)被有效地实施和爱护;
d)达到预想的业绩.
任何审核活动应策划,策划应考虑过程的状况和重要性,要审核的范畴以及前次审核的结果。
应确定审核的标准,范畴,频次和方法。
选择审核员及进行审核应确保审核过程的客观和公平。
审核员不应审核他们自己的工作。
应在一个文件化的程序中确定策划和实施审核,报告结果和爱护及爱护记录[见4.3]的责任及要求。
负责被审核区域的治理者应确保采取没有延迟措施减少被发觉的不符合及引起的缘故。
改进应包括验证采取的措施和报告验证的结果[见条款7]。
7ISMS改进
7.1连续改进
组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防行动和治理i
审的信息连续改进ISMS的有效性。
7.2纠正措施
组织应采取措施,以排除不合格的与实施和运行信息安全治理体系有关的缘故,防止不合格的再发生。
应为纠正措施编制形成文件的程序,确定以下的要求:
a)识不实施和/或运行信息安全治理体系的不合格;
b)确定不合和的缘故:
c)评判确保不合格不再发生的措施的需求;
d)确定和实施所需的纠正措施:
e)记录所采取措施的结果[见4.3.3];
f)评审所采取的纠正措施。
7.3预防措施
组织应针对以后的不合格确定措施以防上其发生。
预防措施应于潜在咨询题的阻碍程度相适应。
应为预防措施编制形成文件的程序,以确定以下方面的要求:
a)识不潜在的不合格及其缘故;
b)确定和实施所需的预防措施:
C)记录所采取措施的结果[见4.3.3]:
d)评审所采取的预防措施;识不以便更得风险和确保注意力关注在重大的以变更的风险。
纠正措施的优先权应以风险评估的结果为基础确定。
注:
预防不合格的措施总是比纠正措施更节约成本。
附录A(引用)
操纵目标和操纵措施
A.1介绍
从A.3到A.12列出的操纵目标和操纵措施是直截了当引用并与BSISO/IEC17799:
2000条款3到12一致。
在表中的清单并不完全,一个组织可能考虑另外必要的操纵目标和操纵措施。
在这些表中选择操纵目标和操纵措施是条款4.2*规定的信息安全治理体系过程的一部分。
A.2实践指南规范
SSISO/IEC17799:
2000条款3至12提供最佳实践的实施建议和指南以支持A.3到A.12规范的操纵措施。
A.3安全方针
BSISO/IEO
17799:
2000
编号
A.3.1信息安全方针
操纵目标:
提供治理方向和支持信息安全
3.1
操纵措施
A.3.1.1
信息安全方针文件
治理层应提供一份方针文件,出版并沟通,适当时,给所有职员。
3.1.1
A.3.1.2
评审和评判
应经常评审方针文件,在发生决定性的变化时,确保方针的适宜性
3.1.2
A.4组织安全
BSISO/IEO
17799:
2000
编号
A.4.1信息安全基础设施
操纵目标:
在组织中治理信息安全
4.1
操纵措施
A.41.1
治理信息安全委员会
信息安全治理委员会确保明确的目标和治理层对启动安全治理可见的支持。
治理委员会应通过适当的承诺和种族的资源推广安全
4.1.1
A.4.1.2
信息安全协作
在大的组织中,应使用一个由从各组织有关单位的治理者代表组成的跨功能的委员会,协作实施信息安全操纵措施
4.1.2
A.4.1.3
落实信息安全责任
应明确定义爱护每种资产和负责特定安全过程的责任
A.4.1.3
A.4.1.4
对信息处理设施的授权过程
应建立关于新的信息处理设施的治理授权
A.4.1.4
A.4.1.5
专家信息安全建议
应从内部或外部搜集专家的信息安全建议并在组织内部实施协作
A.4.1.5
A.4.1.6
组织间的合作
与执法机关、主管机关、信息服务提供者,及通信业者应坚持适当的接触
A.4.1.6
A.4.1.7
独立的信息安全审查
应对信息安全方针的实施进行独立的审查
A.4.1.7
A.4.2第三方访咨询的安全
操纵目标:
爱护组织的信息处理设施及细小资产被第三方访咨询时的安全
A.4.2
操纵措施
A.4.2.1
确认第三方访咨询的风险
应对第三访咨询组织的信息处理设施所带来的风险进行评估,并实施适当的安全操纵
A.4.2.1
A.4.2.2
与第三方的合约中的安全要求
涉及第三方访咨询组织的信息设施的安排,应以包含必要的安全要求在内的正式合约为基础
A.4.2.2
A.4.3外包
操纵目标:
当信息处理的责任托付其它组织时,应爱护信息的安全
A.4.3
A.4.3.1
外包合约中的安全要求
当组织将全部或部分的信息系统、网络及/或桌上型运算机环境的治理及操纵外包时,在双方同意的合约中应载明安全的要求
A.4.3.1
A.5资产分类与操纵
BSISO/IEO
17799:
2000
编号
A.5.资产的保管责任
操纵目标:
坚持关于组织的资产的适切爱护
5.1
操纵措施
A.5.1.1
资产的清单
应列出并坚持一份与每个信息系统有关的所有重要的资产的清单
A.5.2信息分类
操纵目标:
确保信息资产受到适当程度的爱护
5.2
操纵措施
A.5.2.1
分类原则
信息的分类及有关的爱护操纵,应适合于企业营运关于信息分享或限制的需要,以及这些需要对企业营运所带来的冲击
5.2.1
A.5.2.2
信息的标识及处理
应制定信息标识及处理的程序,以符合组织所采行动的分类法则
5.2.2
A.6人事安全
BSISO/IEO
17799:
2000
编号
A.6.1工作讲明及人力资源的安全
操纵目标:
降低因人员错误、偷窃、诈欺或不当使用设施所造成的风险
6.1
操纵措施
A.6.1.1
将安全需求列入工作职责中
组织在信息安全方针中所规定的安全角色及责任,应适度地书面化于工作职责讲明书中
6.1.1
A6.1.2
人员筛审及政策
应在聘请职员时执行正式职员的验证查核
6.1.2
A6.1.3
保密合约
职员应签署保密协议作为其启始聘用合同的一部分
6.1.3
A6.1.4
聘用合同
聘用合同中因陈述职员对信息安全的责任
6.1.4
A.6.2使用者培训
操纵目标:
确保职员了解信息安全的威逼及考虑,同时具备在其日常工作过程中支持组织的信息安全方针的能力
6.2
操纵措施
A.6.2.1
信息安全的教育与培训
组织的所有职员以及有关的第三方使用者,关于组织方针及程序应同意适当、定期更新的训练
6.2.1
A.6.3安全及失效事件的响应
6.3
A6.3.1
安全事故报告
安全事件应在事件被发觉之后尽快由适当的治理途径进行通报
6.3.1
A6.3.2
安全弱点的报告
应要求信息服务的使用者记下并报告任何观看到的或可疑的有关系统或服务方面的安全弱点或威逼
6.3.2
A6.3.3
软件失效事件的报告
应建立报告软件失效事件的有关程序
6.3.3
A6.3.4
从事件中学习
应有适当机制以量化与监督安全事故及失效事件的种类、数量及成本
6.3.4
A6.3.5
惩戒的流程
职员违反组织安全方针及程序,应由正式的惩戒流程来处理
6.3.5
升级会员 