信息技術(shù)安全技術(shù)

信息安全管理體系要求

Information technology- Security techniques

-Information security management systems-requirements

（ISO/IEC 27001:2005）

 
目次
前言………………………………………………………………….. II
引言…………………………………………………………………. III
1 范圍…………………………………………………………………….. 1
2 規(guī)范性引用文件……………………………………………………………. 1
3 術(shù)語和定義……………………………………………………………….. 1
4 信息安全管理體系（ISMS）…………………………………………………… 3
5 管理職責(zé)…………………………………………………………………. 6
6 內(nèi)部ISMS審核…………………………………………………………….. 7
7 ISMS的管理評審……………………………………………………………. 7
8 ISMS改進(jìn)…………………………………………………………………. 8
附錄A （規(guī)范性附錄） 控制目標(biāo)和控制措施……………………………………. 9
附錄B （資料性附錄） OECD原則和本標(biāo)準(zhǔn)……………………………………. 20
附錄C （資料性附錄） ISO 9001:2000, ISO 14001:2004 和本標(biāo)準(zhǔn)之間的對照…………… 21
 
引言
0.1 總則
本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Information Security
Management System，簡稱ISMS）提供模型。采用ISMS 應(yīng)當(dāng)是一個組織的一項(xiàng)戰(zhàn)略性決策。一個組織的ISMS 的設(shè)計和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS 解決方案。
本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估。
0.2 過程方法
本標(biāo)準(zhǔn)采用一種過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)一個組織的ISMS。
一個組織必須識別和管理眾多活動使之有效運(yùn)作。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意活動，可以視為一個過程。通常，一個過程的輸出可直接構(gòu)成下一過程的輸入。
一個組織內(nèi)諸過程的系統(tǒng)的運(yùn)用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵其用戶強(qiáng)調(diào)以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要；
b) 從組織整體業(yè)務(wù)風(fēng)險的角度，實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險；
c) 監(jiān)視和評審ISMS 的執(zhí)行情況和有效性；
d) 基于客觀測量的持續(xù)改進(jìn)。
本標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型可應(yīng)用于所有的ISMS 過程。圖1 說明了ISMS 如何把相關(guān)方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖1 也描述了4、5、6、7 和8 章所提出的過程間的聯(lián)系。
采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002 版）中所設(shè)置的原則。本標(biāo)準(zhǔn)為實(shí)施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實(shí)施、安全管理和再評估的原則提供了一個強(qiáng)健的模型。
例1：某些信息安全缺陷不至于給組織造成嚴(yán)重的財務(wù)損失和/或使組織陷入困境，這可能是一種要求。
例2：如果發(fā)生了嚴(yán)重的事故——可能是組織的電子商務(wù)網(wǎng)站被黑客入侵——應(yīng)有經(jīng)充分培訓(xùn)的員工按照適當(dāng)?shù)某绦?，將事件的影響降至最小。這可能是一種期望。
備注：因文章編輯原因，該圖片不可顯示，PDCA模型與ISO9001模型一致，不到之處敬請原諒。沉默的王安石
圖1 應(yīng)用于ISMS 過程的PDCA 模型

 
0.3 與其它管理體系的兼容性
本標(biāo)準(zhǔn)與GB/T 19001-2000 及GB/T 24001-1996 相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行。因此，一個設(shè)計恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1 說明了本標(biāo)準(zhǔn)、GB/T19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計能夠使一個組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。
信息技術(shù)安全技術(shù)信息安全管理體系要求
重點(diǎn)：本出版物不聲稱包括一個合同所有必要的規(guī)定。用戶負(fù)責(zé)對其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。
 
1 范圍

1.1 總則
本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的整體
業(yè)務(wù)風(fēng)險的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS 規(guī)定了要求。它規(guī)定
了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。
ISMS的設(shè)計應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。
注1：本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個組織生存的核心活動。
注2：ISO/IEC 17799提供了設(shè)計控制措施時可使用的實(shí)施指南。
1.2 應(yīng)用
本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時，對于
4、5、6、7 和8 章的要求不能刪減。
為了滿足風(fēng)險接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證
明相關(guān)風(fēng)險已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險評估和適用法律法規(guī)要求所確定的安全
要求的能力和/或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。
注：如果一個組織已經(jīng)有一個運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO 9001 或者ISO 14001 相
關(guān)的），那么在大多數(shù)情況下，更可取的是在這個現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。
 
2 規(guī)范性引用文件
下列參考文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本
標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。
ISO/IEC 17799:2005，信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則。
 
3 術(shù)語和定義
本標(biāo)準(zhǔn)采用以下術(shù)語和定義。
3.1
資產(chǎn)asset
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。
3.2
可用性availability
根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權(quán)的個人，實(shí)體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4
信息安全information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性
等特性[ISO/IEC 17799：2005]。
3.5
信息安全事件information security event
信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反
或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6
信息安全事故information security incident
一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威
脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7
信息安全管理體系（ISMS） information security management system（ISMS）
是整個管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改
進(jìn)信息安全的。
注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、程序、過程和資源。
3.8
完整性integrity
保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風(fēng)險residual risk
經(jīng)過風(fēng)險處理后遺留的風(fēng)險[ISO/IEC Guide 73:2002]。
3.10
風(fēng)險接受risk acceptance
接受風(fēng)險的決定[ISO/IEC Guide 73：2002]。
3.11
風(fēng)險分析risk analysis
系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險[ISO/IEC Guide 73：2002]。
3.12
風(fēng)險評估risk assessment
風(fēng)險分析和風(fēng)險評價的整個過程[ISO/IEC Guide 73：2002]。
3.13
風(fēng)險評價risk evaluation
將估計的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程[ISO/IEC Guide 73：2002]。
3.14
風(fēng)險管理risk management
指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動[ISO/IEC Guide 73：2002]。
3.15
風(fēng)險處理risk treatment
選擇并且執(zhí)行措施來更改風(fēng)險的過程[ISO/IEC Guide 73：2002]。
注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作“措施”的同義詞。
3.16
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。
注：控制目標(biāo)和控制措施基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于信息安全的業(yè)務(wù)要求。
 
4 信息安全管理體系（ISMS）

4.1 總要求
一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)
文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。

4.2 建立和管理ISMS
4.2.1 建立ISMS
組織應(yīng)：
a) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 的范圍和邊界，包括對例外于此范
圍的對象作出詳情和合理性的說明（見1.2）。
b) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 方針，應(yīng)：
1) 為其目標(biāo)建立一個框架并為信息安全行動建立整體的方向和原則；
2) 考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；
3) 在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS；
4) 建立風(fēng)險評價的準(zhǔn)則[見4.2.1 c]]；
5) 獲得管理者批準(zhǔn)。
注：就本標(biāo)準(zhǔn)的目的而言，ISMS 方針被認(rèn)為是信息安全方針的一個擴(kuò)展集。這些方針可以在
一個文件中進(jìn)行描述。
c) 確定組織的風(fēng)險評估方法
1）識別適合ISMS、已識別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險評估方法。
2）制定接受風(fēng)險的準(zhǔn)則，識別可接受的風(fēng)險級別（見5.1f）。
選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。
注：風(fēng)險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù)IT 安全管理指南：IT 安全
管理技術(shù)》中描述了風(fēng)險評估方法的例子。
d) 識別風(fēng)險
1) 識別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識別資產(chǎn)所面臨的威脅；
3) 識別可能被威脅利用的脆弱點(diǎn)；
4) 識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。
術(shù)語“責(zé)任人”標(biāo)識了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個人或?qū)嶓w。術(shù)語“責(zé)任人”不是指該人員實(shí)際上對資產(chǎn)擁有所有權(quán)。
e) 分析和評價風(fēng)險
1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造
成的對組織的影響。
2) 評估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對資產(chǎn)的影響以及當(dāng)前所實(shí)施的控
制措施。
3) 估計風(fēng)險的級別。
4) 確定風(fēng)險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險的準(zhǔn)則進(jìn)行處
理。
f) 識別和評價風(fēng)險處理的可選措施
可能的措施包括：
1) 采用適當(dāng)?shù)目刂拼胧?br /> 2) 在明顯滿足組織方針策略和接受風(fēng)險的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險[見4.2.1
c)2)]；
3) 避免風(fēng)險；
4) 將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其他方，如：保險，供應(yīng)商等。
g) 為處理風(fēng)險選擇控制目標(biāo)和控制措施
應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險評估和風(fēng)險處理過程中所識別的要求。這種選擇
應(yīng)考慮接受風(fēng)險的準(zhǔn)則（見4.2.1c）2））以及法律法規(guī)和合同要求。
從附錄A 中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識別的要求。
附錄A 所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。
注：附錄A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A 作為選擇
控制措施的出發(fā)點(diǎn)，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風(fēng)險的批準(zhǔn)
i) 獲得管理者對實(shí)施和運(yùn)行ISMS 的授權(quán)
j) 準(zhǔn)備適用性聲明（SoA）
應(yīng)從以下幾方面準(zhǔn)備適用性聲明：
1） 從4.2.1 g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；
2） 當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見4.2.1e）2））；
3） 對附錄A 中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關(guān)于風(fēng)險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺
漏控制措施。
 
4.2.2 實(shí)施和運(yùn)行ISMS
組織應(yīng)：
a) 為管理信息安全風(fēng)險識別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險處理計劃（見
第5 章）。
b) 實(shí)施風(fēng)險處理計劃以達(dá)到已識別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。
c) 實(shí)施4.2.1 g）中所選擇的控制措施，以滿足控制目標(biāo)。
d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效
性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見4.2.3c)）。
注：測量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計劃的控制目標(biāo)的程度。
e) 實(shí)施培訓(xùn)和意識教育計劃（見5.2.2）。
f) 管理ISMS 的運(yùn)行。
g) 管理ISMS 的資源（見5.2）。
h) 實(shí)施能夠迅速檢測安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a））。
 
4.2.3 監(jiān)視和評審ISMS
組織應(yīng)：
a) 執(zhí)行監(jiān)視和評審程序和其它控制措施，以：
1) 迅速檢測過程運(yùn)行結(jié)果中的錯誤；
2) 迅速識別試圖的和得逞的安全違規(guī)和事故；
3) 使管理者確定分配給人員的安全活動或通過信息技術(shù)實(shí)施的安全活動是否被如期執(zhí)行；
4) 通過使用指標(biāo)，幫助檢測安全事件并預(yù)防安全事故；
5) 確定解決安全違規(guī)的措施是否有效。
b) 在考慮安全審核結(jié)果、事故、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行ISMS
有效性的定期評審（包括滿足ISMS 方針和目標(biāo)，以及安全控制措施的評審）。
c) 測量控制措施的有效性以驗(yàn)證安全要求是否被滿足。
d) 按照計劃的時間間隔進(jìn)行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進(jìn)行
評審，應(yīng)考慮以下方面的變化：
1) 組織結(jié)構(gòu)；
2) 技術(shù)；
3) 業(yè)務(wù)目標(biāo)和過程；
4) 已識別的威脅；
5) 已實(shí)施控制措施的有效性；
6) 外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。
e) 按計劃的時間間隔，對ISMS 進(jìn)行內(nèi)部審核（見第6 章）。
注：內(nèi)部審核，有時稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。
f) 定期對ISMS 進(jìn)行管理評審，以確保ISMS 范圍保持充分，ISMS 過程的改進(jìn)得到識別（見7.1）。
g) 考慮監(jiān)視和評審活動的結(jié)果，以更新安全計劃。
h) 記錄可能影響ISMS 的有效性或執(zhí)行情況的措施和事件（見4.3.3）。
 
4.2.4 保持和改進(jìn)ISMS
組織應(yīng)經(jīng)常：
a) 實(shí)施已識別的ISMS 改進(jìn)措施。
b) 依照8.2 和8.3 采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。
c) 向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時，商定如何進(jìn)行。
d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。
 
 
4.3 文件要求
4.3.1 總則
文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)
果是可重復(fù)產(chǎn)生的。
至關(guān)重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處理過程的結(jié)果、并進(jìn)而回溯
到ISMS 方針和目標(biāo)之間的關(guān)系。
ISMS 文件應(yīng)包括：
a) 形成文件的ISMS 方針[見4.2.1b）]和目標(biāo)；
b) ISMS 的范圍[見4.2.la）]；
c) 支持ISMS 的程序和控制措施；
d) 風(fēng)險評估方法的描述[見4.2.1c）]；
e) 風(fēng)險評估報告[見4.2.1c）到4.2.1g）]；
f) 風(fēng)險處理計劃[見4.2.2b）]；
g) 組織為確保其信息安全過程的有效規(guī)劃、運(yùn)行和控制以及描述如何測量控制措施的有效性所需
的形成文件的程序（見4.2.3c））；
h) 本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）；
i) 適用性聲明。
注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。
注2：不同組織的ISMS文件的詳略程度取決于：
. ???????組織的規(guī)模和活動的類型；
.?????? ?安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；
注3：文件和記錄可以采用任何形式或類型的介質(zhì)。
 
4.3.2 文件控制
ISMS 所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施：
a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?br /> b) 必要時對文件進(jìn)行評審、更新并再次批準(zhǔn)；
c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識；
d) 確保在使用處可獲得適用文件的相關(guān)版本；
e) 確保文件保持清晰、易于識別；
f) 確保文件對需要的人員可用，并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀；
g) 確保外來文件得到標(biāo)識；
h) 確保文件的分發(fā)得到控制；
i) 防止作廢文件的非預(yù)期使用；
j) 若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。
 
4.3.3 記錄控制
記錄應(yīng)建立并加以保持，以提供符合ISMS 要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS
的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識別和檢索。記錄的標(biāo)識、貯存、
保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。記錄的詳略程度應(yīng)通過管理過程確定。
應(yīng)保留4.2 中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS 有關(guān)的安全事故的記錄。
例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權(quán)單。
 
5 管理職責(zé)
5.1 管理承諾
管理者應(yīng)通過以下活動，對建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS 的承諾提供證據(jù)：
a) 制定ISMS 方針；
b) 確保ISMS 目標(biāo)和計劃得以制定；
c) 建立信息安全的角色和職責(zé)；
d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；
e) 提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS （見5.2.1）；
f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別；
g) 確保ISMS 內(nèi)部審核的執(zhí)行（見第6 章）；
h) 實(shí)施ISMS 的管理評審（見第7 章）。
 
5.2 資源管理
5.2.1 資源提供
組織應(yīng)確定并提供所需的資源，以：
a) 建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS；
b) 確保信息安全程序支持業(yè)務(wù)要求；
c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；
d) 通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?br /> e) 必要時，進(jìn)行評審，并適當(dāng)響應(yīng)評審的結(jié)果；
f) 在需要時，改進(jìn)ISMS 的有效性。
 
5.2.2 培訓(xùn)、意識和能力
組織應(yīng)通過以下方式，確保所有分配有ISMS 職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：
a) 確定從事影響ISMS 工作的人員所必要的能力；
b) 提供能力培訓(xùn)，必要時，聘用有能力的人員以滿足這些需求；
c) 評價所提供的培訓(xùn)和所采取的措施的有效性；
d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。
組織也要確保所有相關(guān)人員意識到其信息安全活動的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)
做出貢獻(xiàn)。
 
6 內(nèi)部ISMS 審核
組織應(yīng)按照計劃的時間間隔進(jìn)行內(nèi)部ISMS 審核，以確定其ISMS 的控制目標(biāo)、控制措施、過程和
程序是否：
a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；
b) 符合已確定的信息安全要求；
c) 得到有效地實(shí)施和保持；
d) 按預(yù)期執(zhí)行。
應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案
應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。
審核員不應(yīng)審核自己的工作。
策劃和實(shí)施審核以及報告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)
定。
負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動應(yīng)
包括對所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報告（見第8 章）。
注：GB/T 19011：2003給出了管理體系審核的基本指南，也可作為認(rèn)證機(jī)構(gòu)的指南。
 
7 ISMS 的管理評審
7.1 總則
管理者應(yīng)按計劃的時間間隔（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和
有效性。評審應(yīng)包括評估ISMS改進(jìn)的機(jī)會和變更的需要，包括信息安全方針和信息安全目標(biāo)。評審的
結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。
 
7.2 評審輸入
管理評審的輸入應(yīng)包括：
a) ISMS 審核和評審的結(jié)果；
b) 相關(guān)方的反饋；
c) 組織用于改進(jìn)ISMS 執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；
d) 預(yù)防和糾正措施的狀況；
e) 以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；
f) 有效性測量的結(jié)果；
g) 以往管理評審的跟蹤措施；
h) 可能影響ISMS 的任何變更；
i) 改進(jìn)的建議。

7.3 評審輸出
管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：
a) ISMS 有效性的改進(jìn)；
b) 風(fēng)險評估和風(fēng)險處理計劃的更新；
c) 必要時修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS 的事件，包括以下的變更：
1) 業(yè)務(wù)要求；
2) 安全要求；
3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；
4) 法律法規(guī)環(huán)境；
5) 合同義務(wù)；
6) 風(fēng)險級別和/或接受風(fēng)險的準(zhǔn)則。
d) 資源需求；
e) 正在被測量的控制措施的有效性的改進(jìn)。
 
8 ISMS 改進(jìn)
8.1 持續(xù)改進(jìn)
組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理
評審（見第7章），持續(xù)改進(jìn)ISMS的有效性。
 
8.2 糾正措施
組織應(yīng)采取措施，以消除與ISMS 要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，
應(yīng)規(guī)定以下方面的要求：
a) 識別不符合；
b) 確定不符合的原因；
c) 評價確保不符合不再發(fā)生的措施需求；
d) 確定和實(shí)施所需要的糾正措施；
e) 記錄所采取措施的結(jié)果（見4.3.3）；
f) 評審所采取的糾正措施。

8.3 預(yù)防措施
組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適
應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求：
a) 識別潛在的不符合及其原因；
b) 評價防止不符合發(fā)生的措施需求；
c) 確定和實(shí)施所需要的預(yù)防措施；
d) 記錄所采取措施的結(jié)果（見4.3.3）；
e) 評審所采取的預(yù)防措施。
組織應(yīng)識別變化的風(fēng)險，并識別針對重大變化的風(fēng)險的預(yù)防措施的要求。
預(yù)防措施的優(yōu)先級要根據(jù)風(fēng)險評估的結(jié)果確定。
注：預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。
 

相關(guān)文章：

ISO/IEC27001知識體系 何謂ISO管理體系的高級結(jié)構(gòu)？ ISO27001信息安全管理體系標(biāo)準(zhǔn)總則 ISO27701認(rèn)證咨詢隱私信息管理體系認(rèn)證簡介標(biāo)準(zhǔn)概述及內(nèi)容條款