信息技术安全技术信息安全管理体系 要求docWord格式.docx

1、0.2 过程方法本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS。一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：a） 理解组织的信息安全要求和建立信息安全方针与目标的需要；b） 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；c） 监视和评审 ISMS 的执行情况和有

2、效性；d） 基于客观测量的持续改进。本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA） 模型，该模型可应用于所有的 ISMS 过程。图 1 说明了 ISMS 如何把相关方的信息安全要求和期望作为输入，并通过必要的行动和过程，产生满足这些要求和期望的信息安全结果。图 1 也描述了 4、5、6、7 和 8 章所提出的过程间的联系。采用 PDCA 模型还反映了治理信息系统和网络安全的 OECD 指南（2002 版）1中所设置的原则。本标准为实施 OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的模型。例 1：某些信息安全

3、缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要求。例 2：如果发生了严重的事故可能是组织的电子商务网站被黑客入侵应有经充分培训的员工按照适当的程序，将事件的影响降至最小。这可能是一种期望。1OECD 信息系统和网络安全指南面向安全文化。 巴黎：OECD，2002 年 7 月。 III规划 Plan建立 ISMS相关方实施实施和保持和处置Do 运行 ISMS改进 ISMSAct受控的信息安全要求和期望监视和评审 ISMS检查 Check图 1 应用于 ISMS 过程的 PDCA 模型0.3 与其它管理体系的兼容性本标准与 GB/T 19001-2000 及 GB/T 24

4、001-1996 相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表 C.1 说明了本标准、GB/T19001-2000（ISO 9001:2000）和 GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。IV规划（建立 ISMS）建立与管理风险和改进信息安全有关的 ISMS 方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。实施（实施和运行 ISMS）实施和运行 ISMS 方针、控制措施、过程和程序。检查（监视

5、和评审 ISMS）对照 ISMS 方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。处置（保持和改进 ISMS）基于 ISMS 内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进 ISMS。信息技术 安全技术 信息安全管理体系 要求重点：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。1.1范围总则本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的 ISMS 规定了要求。它规定了

6、为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。1.2 应用本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7 和 8 章的要求不能删减。为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安

7、全要求的能力和/或责任，否则不能声称符合本标准。注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与 ISO 9001 或者 ISO 14001 相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。2规范性引用文件下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。ISO/IEC 17799:2005，信息技术安全技术信息安全管理实用规则。3术语和定义本标准采用以下术语和定义。3.1资产 asset任何对组织有价值的东西ISO/IEC 13335-1:20

8、04。3.2可用性 availability根据授权实体的要求可访问和利用的特性ISO/IEC 13335-1:3.3保密性 confidentiality信息不能被未授权的个人，实体或者过程利用或知悉的特性ISO/IEC 13335-1:3.4信息安全 information security保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性ISO/IEC 17799：2005。3.5信息安全事件 information security event信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效

9、，或是和安全关联的一个先前未知的状态ISO/IEC TR 18044：3.6信息安全事故 information security incident一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大的可能性ISO/IEC TR 18044：3.7信息安全管理体系（ISMS） information security management system（ISMS）是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。3.8完整性

10、 integrity保护资产的准确和完整的特性ISO/IEC 13335-1:3.9残余风险 residual risk经过风险处理后遗留的风险ISO/IEC Guide 73:2002。3.10风险接受 risk acceptance接受风险的决定ISO/IEC Guide 73：3.11风险分析 risk analysis系统地使用信息来识别风险来源和估计风险ISO/IEC Guide 73：3.12风险评估 risk assessment风险分析和风险评价的整个过程ISO/IEC Guide 73：3.13风险评价 risk evaluation将估计的风险与给定的风险准则加以比较以确定

11、风险严重性的过程ISO/IEC Guide 73：3.14风险管理 risk management指导和控制一个组织相关风险的协调活动ISO/IEC Guide 73：3.15风险处理 risk treatment选择并且执行措施来更改风险的过程ISO/IEC Guide 73：在本标准中，术语“控制措施”被用作“措施”的同义词。3.16适用性声明 statement of applicability描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。44.1信息安

12、全管理体系（ISMS）总要求一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。4.2 建立和管理 ISMS4.2.1 建立 ISMS组织应：a） 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 的范围和边界，包括对例外于此范围的对象作出详情和合理性的说明（见 1.2）。b） 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 方针，应：1）2）3）4）5）为其目标建立一个框架并为信息安全行动建立整体的方向和原则；考虑业务和法律法规的要求，及合同中的安全义务；在组织的战略性风

13、险管理环境下，建立和保持 ISMS；建立风险评价的准则见 4.2.1 c；获得管理者批准。就本标准的目的而言，ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。c） 确定组织的风险评估方法1）识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。2）制定接受风险的准则，识别可接受的风险级别（见 5.1f）。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。风险评估具有不同的方法。在 ISO/IEC TR 13335-3信息技术 IT 安全管理指南：IT 安全管理技术中描述了风险评估方法的例子。d） 识别风险识别 ISMS 范围内的资产及

14、其责任人2；识别资产所面临的威胁；识别可能被威胁利用的脆弱点；识别丧失保密性、完整性和可用性可能对资产造成的影响。e） 分析和评价风险在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。估计风险的级别。确定风险是否可接受，或者是否需要使用在 4.2.1 c）2）中所建立的接受风险的准则进行处术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。理。f） 识别和评价风险处理的

15、可选措施可能的措施包括：采用适当的控制措施；在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险见 4.2.1c）2）；避免风险；将相关业务风险转移到其他方，如：保险，供应商等。g） 为处理风险选择控制目标和控制措施应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则（见 4.2.1c）2）以及法律法规和合同要求。从附录 A 中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的要求。附录 A 所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另外的控制目标和控制措施。附录 A 包

16、含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录 A 作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施。h） 获得管理者对建议的残余风险的批准i） 获得管理者对实施和运行 ISMS 的授权j） 准备适用性声明（SoA）应从以下几方面准备适用性声明：1） 从 4.2.1 g）选择的控制目标和控制措施，以及选择的理由；2） 当前实施的控制目标和控制措施（见 4.2.1e）2）；3） 对附录 A 中任何控制目标和控制措施的删减，以及删减的合理性说明。适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗漏控制措施。4.2.2实

17、施和运行 ISMSa） 为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序，即：制定风险处理计划（见第 5 章）。b） 实施风险处理计划以达到已识别的控制目标，包括资金安排、角色和职责的分配。c） 实施 4.2.1 g）中所选择的控制措施，以满足控制目标。d） 确定如何测量所选择的控制措施或控制措施集的有效性，并指明如何用来评估控制措施的有效性，以产生可比较的和可再现的结果（见 4.2.3c）。测量控制措施的有效性可使管理者和员工确定控制措施达到计划的控制目标的程度。e）f）g）h）4.2.3实施培训和意识教育计划（见 5.2.2）。管理 ISMS 的运行。管理 ISMS 的资源（见

18、5.2）。实施能够迅速检测安全事件和响应安全事故的程序和其他控制措施（见 4.2.3）a）。监视和评审 ISMSa） 执行监视和评审程序和其它控制措施，以：迅速检测过程运行结果中的错误；迅速识别试图的和得逞的安全违规和事故；使管理者确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行；通过使用指标，帮助检测安全事件并预防安全事故；确定解决安全违规的措施是否有效。b） 在考虑安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈的基础上，进行 ISMS有效性的定期评审（包括满足 ISMS 方针和目标，以及安全控制措施的评审）。c） 测量控制措施的有效性以验证安全要求是否被满足。

19、d） 按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审，应考虑以下方面的变化：6）组织结构；技术；业务目标和过程；已识别的威胁；已实施控制措施的有效性；外部事件，如法律法规环境的变更、合同义务的变更和社会环境的变更。e） 按计划的时间间隔，对 ISMS 进行内部审核（见第 6 章）。内部审核，有时称为第一方审核，是用于内部目的，由组织自己或以组织的名义所进行的审核。f） 定期对 ISMS 进行管理评审，以确保 ISMS 范围保持充分，ISMS 过程的改进得到识别（见 7.1）。g） 考虑监视和评审活动的结果，以更新安全计划。h） 记录可能影响 ISMS 的

20、有效性或执行情况的措施和事件（见 4.3.3）。4.2.4 保持和改进 ISMS组织应经常：a） 实施已识别的 ISMS 改进措施。b） 依照 8.2 和 8.3 采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。c） 向所有相关方沟通措施和改进措施，其详细程度应与环境相适应，需要时，商定如何进行。d） 确保改进达到了预期目标。4.3 文件要求4.3.1 总则文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。至关重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到 ISMS 方针和目标之间的

21、关系。ISMS 文件应包括：a） 形成文件的 ISMS 方针见 4.2.1b）和目标；b） ISMS 的范围见 4.2.la）；c） 支持 ISMS 的程序和控制措施；d） 风险评估方法的描述见 4.2.1c）；e） 风险评估报告 见 4.2.1c）到 4.2.1g）；f） 风险处理计划见 4.2.2b）；g） 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序（见 4.2.3c）；h） 本标准所要求的记录（见 4.3.3）；5i） 适用性声明。注 1：本标准出现“形成文件的程序”之处，即要求建立该程序，形成文件，并加以实施和保持。不同组织的IS

22、MS文件的详略程度取决于：组织的规模和活动的类型；安全要求和被管理系统的范围及复杂程度；注3：文件和记录可以采用任何形式或类型的介质。4.3.2文件控制ISMS 所要求的文件应予以保护和控制。应编制形成文件的程序，以规定以下方面所需的管理措施：a） 文件发布前得到批准，以确保文件是适当的；b） 必要时对文件进行评审、更新并再次批准；c） 确保文件的更改和现行修订状态得到标识；d） 确保在使用处可获得适用文件的相关版本；e） 确保文件保持清晰、易于识别；f） 确保文件对需要的人员可用，并依照文件适用的类别程序进行传输、贮存和最终销毁；g） 确保外来文件得到标识；h） 确保文件的分发得到控制；i）

23、 防止作废文件的非预期使用；j） 若因任何原因而保留作废文件时，对这些文件进行适当的标识。4.3.3 记录控制记录应建立并加以保持，以提供符合 ISMS 要求和有效运行的证据。记录应加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。记录的详略程度应通过管理过程确定。应保留 4.2 中列出的过程执行记录和所有发生的与 ISMS 有关的安全事故的记录。例如：记录包括访客登记薄、审核报告和已完成的访问授权单。管理职责5.1管理承诺管理者应通过以下活动，对建立、实施、运行、监视、评

24、审、保持和改进 ISMS 的承诺提供证据：a） 制定 ISMS 方针；b） 确保 ISMS 目标和计划得以制定；c） 建立信息安全的角色和职责；d） 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性；e） 提供足够资源，以建立、实施、运行、监视、评审、保持和改进 ISMS （见 5.2.1）；f） 决定接受风险的准则和风险的可接受级别；g） 确保 ISMS 内部审核的执行（见第 6 章）；h） 实施 ISMS 的管理评审（见第 7 章）。5.2 资源管理5.2.1 资源提供组织应确定并提供所需的资源，以：a） 建立、实施、运行、监视、评审、保持和改进 ISMS；b） 确保信息安全程序支持业务要求；c） 识别和满足法律法规要求、以及合同中的安全义务；d） 通过正确实施所有的控制措施保持适当的安全；e） 必要时，进行评审，并适当响应评审的结果；6f） 在需要时，改进 ISMS 的有效性。5.2.2 培训、意识和能力组织应通过以下方式，确保所有分配有 ISMS 职责的人员具有执行所要求任务的能力：