4 信息安全管理体系(ISMS)
4.1 总要求
组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中,所使用的过程基于图1所示的PDCA模型。
4.2 建立和管理ISMS
4.2.1 建立ISMS
组织要做以下方面的工作:
a) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由(见1.2)。
b) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。ISMS方针应:
1) 包括设定目标的框架和建立信息安全工作的总方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持ISMS;
4) 建立风险评价的准则[见4.2.1 c]];
5) 获得管理者批准。
注:就本标准的目的而言,ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。
c) 确定组织的风险评估方法
1)识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术 IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别ISMS范围内的资产及其责任人2;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实
施的控制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处
理。
f) 识别和评价风险处理的可选措施
可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险[见4.2.1 c)2)];
3) 避免风险;
4) 将相关业务风险转移到其他方,如:保险,供应商等。
g) 为处理风险选择控制目标和控制措施
控制目标和控制措施应加以选择和实施,以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则(见4.2.1c)2))以及法律法规和合同要求。
从附录A中选择控制目标和控制措施应成为此过程的一部分,该过程适合于满足这些已识别的要求。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。
注:附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点,以确保不会遗漏重要的可选控制措施。
h) 获得管理者对建议的残余风险的批准
i) 获得管理者对实施和运行ISMS的授权
j) 准备适用性声明(SoA)
应从以下几方面准备适用性声明:
1) 4.2.1 g)所选择的控制目标和控制措施,以及选择的理由;
2) 当前实施的控制目标和控制措施(见4.2.1e)2));
3) 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
注:适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏忽而遗漏控制措施。
4.2.2 实施和运行ISMS
组织应:
a) 为管理信息安全风险识别适当的管理措施、资源、职责和**顺序,即:制定风险处理计划(见*5章)。
b) 实施风险处理计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
c) 实施4.2.1 g)中所选择的控制措施,以满足控制目标。
d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果(见4.2.3c))。
注:测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。
e) 实施培训和意识教育计划(见5.2.2)。
f) 管理ISMS的运行。
g) 管理ISMS的资源(见5.2)。
h) 实施能够*检测安全事态和响应安全事件的程序和其他控制措施(见4.2.3)a))。
4.2.3 监视和评审ISMS
组织应:
a) 执行监视与评审程序和其它控制措施,以:
1) *检测过程运行结果中的错误;
2) *识别试图的和得逞的安全违规和事件;
3) 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行;
4) 通过使用指示器,帮助检测安全事态并预防安全事件;
5) 确定解决安全违规的措施是否有效。
b) 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审(包括满足ISMS方针和目标,以及安全控制措施的评审)。
c) 测量控制措施的有效性以验证安全要求是否被满足。
d) 按照计划的时间间隔进行风险评估的评审,以及对残余风险和已确定的可接受的风险级别进行评审,应考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更。
e) 按计划的时间间隔,实施ISMS内部审核(见*6章)。
注:内部审核,有时称为**方审核,是用于内部目的,由组织自己或以组织的名义所进行的审核。
f) 定期进行ISMS管理评审,以确保ISMS范围保持充分,ISMS过程的改进得到识别(见7.1)。
g) 考虑监视和评审活动的结果,以更新安全计划。
h) 记录可能影响ISMS的有效性或执行情况的措施和事态(见4.3.3)。
4.2.4 保持和改进ISMS
组织应经常:
a) 实施已识别的ISMS改进措施。
b) 依照8.2和8.3采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。
c) 向所有相关方沟通措施和改进情况,其详细程度应与环境相适应,需要时,商定如何进行。
d) 确保改进达到了预期目标。
4.3 文件要求
4.3.1 总则
文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保所记录的结果是可重复产生的。
重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。
ISMS文件应包括:
a) 形成文件的ISMS方针[见4.2.1b)]和目标;
b) ISMS的范围[见4.2.la)];
c) 支持ISMS的程序和控制措施;
d) 风险评估方法的描述[见4.2.1c)];
e) 风险评估报告 [见4.2.1c)到4.2.1g)];
f) 风险处理计划[见4.2.2b)];
g) 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序(见4.2.3c));
5
h) 本标准所要求的记录(见4.3.3);
i) 适用性声明。
注1:本标准出现“形成文件的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度取决于:
− 组织的规模和活动的类型;
− 安全要求和被管理系统的范围及复杂程度;
注3:文件和记录可以采用任何形式或类型的介质。
4.3.2 文件控制
ISMS所要求的文件应予以保护和控制。应编制形成文件的程序,以规定以下方面所需的管理措施:
a) 文件发布前得到批准,以确保文件是适当的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到标识;
d) 确保在使用处可获得适用文件的相关版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件对需要的人员可用,并依照文件适用的类别程序进行传输、贮存和较终销毁;
g) 确保外来文件得到标识;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的而保留作废文件时,对这些文件进行适当的标识。
4.3.3 记录控制
记录应建立并加以保持,以提供符合ISMS要求和有效运行的证据。记录应加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。
例如:记录包括访客登记薄、审核报告和已完成的访问授权单。
中泰智联(北京)认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等