GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南
- 文档部分内容预览:
GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南
GB/T31496—2015/ISO/IEC27003:2010
5获得管理者对启动ISMS项目的批准
案例并批准它。因此该阶段的目标是: 目标: 通过定义业务案例和项目计划来获得管理者对启动ISMS项目的批准。 为了获得管理者的批准,组织宜创建业务案例。该业务案例除了包括实施ISMS的组织结构之外, 还包括实施一个ISMS的优先级和目标。组织还宜创建初步的ISMS项目计划。 这一阶段所执行的工作将使组织能够了解ISMS的相关事宜形位公差标准,并使组织能够阐明ISMS项目所需 要的组织内信息安全角色和责任。 这一阶段的预期输出是,就ISMS的实施以及执行本标准所描述的活动,获得管理者的初步批准和 承诺。本章的可交付项包括业务案例和一个具有关键里程碑的ISMS项目计划草案。 图3示出获得管理者对启动ISMS项目的批准过程。 第5章的输出(对计划和实施一个ISMS的文档化管理承诺)和第7章的输出(信息安全状况的概 述文档),它们并不是GB/T22080一2008的要求。但是,建议这些活动的输出作为本标准所描述的其 他活动的输入。
GB/T314962015/ISO/IEC27003:2010
5.2阐明组织开发ISMS的优先级
在考虑组织的信息安全优先级和要求时,宜将实施ISMS的目的一并考虑。
图3获得管理者对启动ISMS项目的批准的概
GB/T31496—2015/ISO/IEC27003.2010
5.3定义初步的ISMS范围
5.3.1制定初步的ISMS范围
为实现ISMS的目标,宜定义初步的ISMS范围。 输入 5.2(阐明组织开发ISMS的优先级)活动的输出。 指南 为了执行ISMS实施项目,宜定义组织实施ISMS的结构。现在宜定义初步的ISMS范围,以便给 管理者提供实施决策指南,以及支持进一步的活动。 初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。 本阶段的输出是一份定义初步ISMS范围的文档,内容包括: a)组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务; b)ISMS范围内的区域如何与其他管理体系交互的描述; c) 信息安全管理的业务目标清单(见5.2); d)ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单:
为实现ISMS的目标,宜定义初步的ISMS范围。 输入 5.2(阐明组织开发ISMS的优先级)活动的输出。 指南 为了执行ISMS实施项目,宜定义组织实施ISMS的结构。现在宜定义初步的ISMS范围,以便给 管理者提供实施决策指南,以及支持进一步的活动。 初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。 本阶段的输出是一份定义初步ISMS范围的文档,内容包括: a)组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务; b)ISMS范围内的区域如何与其他管理体系交互的描述; c) 信息安全管理的业务目标清单(见5.2); d)ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单;
GB/T314962015/ISO/IEC27003:2010
e)现有管理体系、规章、符合性和组织目标之间的关系; f)业务、组织、位置、资产和技术等方面的特点。 宜识别现有管理体系与被提议的ISMS的过程间的共同要素和运行差异。 输出 可交付项是一份描述初步的ISMS范围的文档。 其他信息 无其他特定信息。 注:宜特别注意的是,不论组织内已有的管理体系如何,都要满足GB/T22080一2008关于ISMS范围的认证 文件的要求
5.3.2定义初步的ISMS范围内的角色和责任
5.3.2定义初步的ISMS范围内的角色和责任
宜定义初步的ISMS范围的全部角色和责任。 输入 a) 5.3.1(制定初步的ISMS范围))活动的输出; b)> 将从ISMS项目结果获益的利益相关方清单。 指南 为了执行ISMS项目,宜确定组织在该项目中的角色。因为每个组织中处理信息安全的人数不同, 所以一般来说,每个组织的角色通常也不同。信息安全的组织结构和资源随着组织的规模、类型和组织 结构的变化而变化。例如,在小型组织中,若干角色可由同一个人担任。然而,管理者宜明确识别负责 整个信息安全管理的角色(典型的是首席信息安全官、信息安全管理者或类似的)。宜基于工作岗位所 需要的技能来分配员工的角色和责任。这对于确保任务被有效地和有力地完成至关重要。 在定义信息安全管理角色时,最重要的考虑事项是: a)该任务的总体责任由管理者承担; b)指定一个人(通常是首席信息安全官)来促进和协调信息安全过程; c)每个员工对其最初任务与维护工作场所和组织中的信息安全负有同等责任。 管理信息安全的角色宜一起工作;这可通过诸如信息安全论坛或类似机构来促进。 在制定、实施、运行和维护ISMS的所有阶段,宜与适当的业务专家进行协作。 已确定范围内(诸如风险管理各部门代表是潜在的ISMS实施组成员。为快速、有效地使用资源, 该组宜保持最小的实际规模。这些区域不仅有ISMS范围所直接包含的部门,还有间接包含的部门,诸 如法律部门、风险管理部门和行政管理部门。 输出 可交付项是一个描述角色和责任的文档或表格,带有对于成功实施ISMS所需要的名称和组织。 其他信息 附录B提供了组织成功实施ISMS所需要的角色和责任的详细情况
宜通过创建业务案例和ISMS项目建议,来获得管理者对ISMS实施项目所需资源的批准和承 俞入 a)5.2(阑明组织开发ISMS的优先级)活动的输出; b)5.3(定义初步的ISMS范围)活动的输出一一已形成的文档:初步的
GB/T314962015/ISO/IEC27003.2010
1)ISMS范围; 2)相关的角色和责任。 指南 关于业务案例和初始ISMS项目计划的信息宜包括已估算的时间计划、资源,以及本标准第6章~ 第9章所述的主要活动所需要的里程碑。 业务案例和初始的ISMS项目计划不仅是该项目的基础,而且也确保管理者对ISMS实施所需资 原的承诺和批准。已实施的ISMS支持业务目标的方式,促进了组织过程的有效性,提高了业务效率。 实施ISMS的业务案例宜包括与组织目标有联系的简短声明,并涵盖以下主题: 目的和特定目标; b) 组织的利益; c) 初步的ISMS范围,包括受影响的业务过程; 实现ISMS目标的关键过程&因素; e) 高层级项目概要; f) 初始的实施计划; 已定义的角色和责任; h) 需要的资源(包括技术和人员两方面); i) 实施考虑事项,包括现有的信息安全; 带有关键里程碑的时间计划; k) 预期的成本; 1) 关键的成功因素; m)组织利益的量化。 项目计划宜包括第6章~第9章所述的各个阶段的相关活动。 影响ISMS或受ISMS影响的个人宜进行识别,并允许其有充分的时间对ISMS业务案例和ISMS 项目建议进行评审和提出意见。业务案例和ISMS项目建议宜在得到输人后按需更新。一旦获得足够 的支持,宜将业务案例和ISMS项目建议呈送管理者以获得其批准。 管理者宜批准业务案例和初始的项目计划,以实现整个组织的承诺并开始执行ISMS项目。 从管理者承诺实施ISMS便可获得的期望利益是 a):由于知悉相关法律法规、规章、合用义务和信息安全标准,并加以实施,从而避免了不遵从的负 债和处罚; b)信息安全多个过程的有效使用; c) 通过信息安全风险的更好管理,提高了稳定性和信心; d)关键业务信息的识别和保护。 输出 本活动的可交付项是: a)一份管理者批准的以分配的资源执行ISMS项目的文档; b)一份业务案例文档; c)初始的ISMS项目建议,具有执行风险评估、实施、内部审核和管理评审等里程碑。 其他信息 GB/T22080一2008中支持ISMS业务案例的关键成功因素的例子
GB/T314962015/ISO/IEC27003.2010
6定义ISMS范围、边界和ISMS方针策略
6.1定义ISMS范围、边界和ISMS方针策略的概述
管理者对实施ISMS的批准是基于初步的ISMS范围、ISMS业务案例和初始的项目计划。I 的范围和边界的详细定义、ISMS方针策略的定义及管理者的认可与支持,是成功实施ISMS的关 素。图4给出了定义ISMS范围、边界和ISMS方针策略的概述。 田业本阶段的日坛具
为了实现“定义详细的ISMS范围和边界”的目标,有必要进行以下活动: a) 定义组织的范围和边界; b)定义信息通信技术(ICT)的范围和边界; c)定义物理范围和边界; d) 确定GB/T22080一2008的4.2.1a)和4.2.1b)中所规约的范围和边界内业务、组织、位置、资 产和技术方面的特征,并确定在定义这些范围和边界过程中的方针策略; e) 集成这些基础性的范围和边界,以获得ISMS的范围和边界。 为了完成ISMS方针策略的定义并获得管理者的认可,必须进行一个活动。 为了在组织中构建一个有效的管理体系,宜通过考虑组织的关键信息资产来确定详细的ISMS范围。 为了标识信息资产和评估可行的安全机制,使有共同的术语和系统化方法是非常重要的。这使得在所有 实施阶段中容易沟通,培养一致的理解。确保关键的组织域被包含在该范围之内,也是很重要的。 可以把整个组织定义为ISMS的范围,或者把组织的一部分,诸如一个部门或一个边界清楚的组织 元素,定义为ISMS的范围。例如,在为顾客提供“服务”的情况下,ISMS的范围可以是某种服务,或者 是跨越职能的管理体系(整个部门或部门的一部分)。对于认证而言,不管现有的管理体系在组织内情 况如何,均宜满足GB/T22080一2008的要求。 定义组织的范围和边界、ICT范围和边界(6.3)以及物理范围和边界(6.4),并不总是按一定顺序来 完成之。然而,在定义其他范围和边界时,可参照已经获得的范围和边界
4定义ISMS范围、边界和ISMS方针策略的概
GB/T31496—2015/ISO/IEC27003:2010
6.2定义组织的范围和边界
宜定义组织的范围和边界。 输入 a) 5.3(定义初步的ISMS范围)活动的输出——文档化的初步的ISMS范围,它涉及: 1)现有的管理体系、规章、符合性和组织目标之间的关系; 2)业务、组织、位置、资产和技术等方面的特征。 b)5.2(阐明组织开发ISMS的优先级)活动的输出—— 管理者有关实施ISMS并开始该项目的
宜定义组织的范围和边界。 入 a) 5.3(定义初步的ISMS范围)活动的输出——文档化的初步的ISMS范围,它涉及: 1)现有的管理体系、规章、符合性和组织目标之间的关系; 2)业务、组织、位置、资产和技术等方面的特征。 b)5.2(阐明组织开发ISMS的优先级)活动的输出一 管理者有关实施ISMS并开始该项目白
GB/T31496—2015/ISO/IEC27003.2010
批准文件,其中包含所分配的必需资源。 指南 实施ISMS的工作量取决于其应用范围的大小。这也影响到与维护ISMS范围内各客体(诸如过 程、物理位置、IT系统和人员)的信息安全有关的所有活动,包括实施和维护控制措施、管理运行和诸如 识别信息资产和评估风险等任务。如果管理者决定把组织的某些部分从ISMS的范围中排除出去,那 么宜把这样做的理由写成文件。 在定义ISMS的范围时,重要的是对于那些未包含于定义中的人,可以把ISMS边界解释得非常 清楚。 一些与信息安全有关的控制措施,可能已经作为其他管理体系的结果而存在。在规划ISMS时,宜 考虑这些控制措施,但不必指出当前的ISMS范围的边界。 一个定义组织边界的方法是,标识那些相互不重叠的责任域,以便易于赋予组织内的可核查性。 直接与信息资产相关的责任或直接与ISMS范围内所包括的业务过程相关的责任,宜选作为处于 ISMS控制下的组织的一部分。当定义组织的边界时,宜考虑以下因素: a)ISMS管理论坛宜由ISMS范围所直接涉及的管理人员组成; b)ISMS的管理成员,宜是最终负责所有受影响的责任域的人员(即,他们的角色通常由其所跨 越的控制措施和责任指定的); c)2 在负责管理ISMS的角色不是高层管理者的情况下,高层发起人基本代表对信息安全的利益, 并在组织的最高层起到ISMS倡导者的作用; d)范围和边界需要予以定义,以确保考虑了风险评估中所有相关的资产,确保强调了可能发生 于这些边界上的风险。 基于这一途径,所分析的组织边界宜标识受ISMS影响的所有人员,他们宜包含在ISMS范围内。 人员的标识,可能依赖于所选择途径,可能关联到过程和功能。如果该范围内的某些过程外包给第三 方,那么这些依赖就宜清楚地写人相应的文档之中。在ISMS实施项目中,这样的依赖以后还要做进一 步分析。 输出 本活动的可交付项是: a)3 组织的ISMS边界的描述,包括被排除在ISMS范围之外组织任何部分的正当理由; b)在ISMS范围内那些组织各部分的功能和结构; c) 在该范围内交换的信息和通过边界交换的信息的标识; d)在该范围之内和范围之外的信息资产的组织过程和责任; e)有关做出层次化决策的过程,及其在ISMS内的结构。 其他信息
6.3定义信息通信技术(ICT)的范围和边界
输入 a)5.3(定义初步的ISMS范围)活动的输出 初步的ISMS范围的文件; b)6.2(定义组织的范围和边界)活动的输出
GB/T31496—2015/ISO/IEC27003:2010
6.4定义物理范围和边界
宜定义由ISMS所覆盖的物理范围和边界。 输入 a 5.3(定义初步的ISMS范围)活动的输出一—ISMS初始范围文件; b)6.2(定义组织的范围和边界)活动的输出; c)6.3(定义信息通信技术(ICT)的范围和边界)活动的输出。 指南 物理范围和边界的定义,包括标识组织(宜属于ISMS的各部门)内的建筑物、位置或设施。对于跨 越物理边缘的信息系统的处理,这就更复杂一些,因为这样的系统需要: a)远程设施; b)与客户信息系统的接口以及与第三方服务商所提供服务的接口; c)适用的适当接口和服务水准。 基于上述考虑,物理边界宜包括以下描述(在适用时)
GB/T31496—2015/ISO/IEC27003.2010
a)描述功能或过程,其中考虑了它们的物理位置以及组织控制它们的范围; b)基于ICT边界的覆盖范围,描述用于储存/容纳ICT硬件或范围内数据的特殊设施。 如果上述描述的任何事物不受组织控制,那么就宜形成第三方依赖关系文档。见6.2的“指南”。 输出 本活动的可交付项是: a)ISMS物理边界的描述,包括对排除在ISMS范围之外的组织管理之下、又被排除在物理边界 之外的任何过程和功能以及设备,给出正当性理由; b)与该范围有关的组织及其地理特征的描述。 其他信息 没有其他特定信息
6.5集成每一个范围和边界以获得ISMS的范围和边界
6.6制定ISMS方针策略和获得管理者的批准
宜制定ISMS方针策略并获得管理者的批准。 俞入 a)6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一 一ISMS的范围和边界
宜制定ISMS方针策略并获得管理者的批准。 俞入 a)6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一 一ISMS的范围和边界
GB/T31496—2015/ISO/IEC27003:2010
的文件; b) 5.2(阐明组织开发ISMS的优先级)活动的输出一一实施ISMS的目标的文件; 5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出一一以下事宜的文件: 1)组织的要求和信息安全优先级; 2)初始的ISMS实施项目计划,里面有里程碑,诸如执行风险评估、实施、内部审核和管 评审,
7进行信息安全要求分析
7.1进行信息安全要求分析的概述
对组织当前状况进行分析是重要的,因为在实施ISMS时,需要考虑现有的要求和信息资产。基于 效率和实践性原因,本阶段所描述的活动大体上可与第6章描述的活动同时进行。图5给出了信息安 全要求阶段的概览信息
目标: 定义要通过ISMS来支持的有关要求,标识信息资产,并获得范围内当前信息安全的状况。 见GB/T22080—20084.2.1c)1)部分,4.2.1d),4.2.1e) 通过信息安全分析所收集的信息,宜: a)为管理者提供一个起点(即正确的基本数据); b) 标识实施ISMS的条件并形成文件; c)提供一份清晰并已很好理解的组织设施; d)考虑组织的特殊情况和状态; e 标识所期望的信息保护水平; f) 在所提议的实施范围内,确定企业部分或企业全部所需的信息编辑。
通过信息安全分析所收集的信息,宜: a)为管理者提供一个起点(即正确的基本数据); b)标识实施ISMS的条件并形成文件; c)提供一份清晰并已很好理解的组织设施; d)考虑组织的特殊情况和状态; e)标识所期望的信息保护水平; f)在所提议的实施范围内,确定企业部分或企业全部所需的信息编辑
图5进行信息安全要求阶段的概览
7.2定义ISMS过程的信息安全要求
GB/T314962015/ISO/IEC27003:2010
宜分析和定义ISMS过程的详细信息安全要求。 输入 a)5 5.2(阐明组织开发ISMS的优先级)活动的输出一—其文件: 1)概述ISMS的目标、信息安全优先级和组织的要求; 2)与组织的信息安全有关的规章、合同和行业的约束表。 b) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一ISMS的范围和 边界; c) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略。 指南 第一步要求收集ISMS.的所有支持性信息。对于每一个组织过程和专家任务,均需要根据信息的 关键性(即所要求的保护程度)做出一个决定。很多内部条件都可能影响信息安全,因此宜确定这些内 部条件。在这一阶段的初期,详细描述信息技术并不是重要的。为了分析一个组织过程及其关联的 ICT应用和系统,对所需信息应有一个基本概括。 组织过程的分析提供了信息安全事件对组织活动影响的陈述。在很多情况下,组织过程分析充分 依赖组织过程的基本描述。如果过程、功能、位置、信息系统和通信网络尚未作为ISMS范围的一部分, 那么它们就需要加以标识并形成文档。 为了获得ISMS的详细信息安全要求,宜强调以下工作: a)初步标识重要的信息资产及其当前的信息安全保护; b)标识组织的愿景,并确定所标识的愿景对未来信息处理要求的影响; c)2 分析信息处理、系统应用、通信网络、活动场所和IT资源等的当前形式; d)标识所有的基本要求(例如,法律法规和规章的要求、合同义务、组织要求、行业标准、客户和 供应商协议和保险条件等); e) 标识信息安全了解的程度,并由此针对每一个运行和管理单位,导出相应的培训和教育要求。 输出 本活动的可交付项是: a)主要过程、功能、位置、信息系统和通信网络的标识; b)组织的信息资产; c)关键过程/资产的分类; d)E 由组织的法律法规、规章和合同的要求而导出的信息安全要求; e)食 作为安全要求的结果而加以强调的众所周知的脆弱性清单。 其他信息
7.3标识 ISMS 范围内的资产
GB/T314962015/ISO/IEC27003.2010
7.4进行信息安全评估
c)对当前环境、条件和信息安全具有很强知识的其他人员。例如,业务过程用户、运行管理职能 部门和法律部门的人员。 对于一个成功的信息安全评估而言,采取以下措施是重要的: a)标识和列出相关的组织标准(例如,GB/T22080一2008); b)标识已知的控制要求,这些控制要求一般出现在策略、法律法规和规章的要求、合同义务、过去 审核的发现或过去执行的风险评估的发现中; c)使用上述这些作为基准文档,以便针对组织信息安全水平,做出当前要求的粗略估算。 宜考虑把所做出的优先级和组织分析结合一起,构成安全预防和检查(控制措施)的基础。 进行信息安全评估的途径如下: a) 选择涉及信息安全要求的重要组织业务过程和过程步骤; b)1 创建一个涵盖组织主要过程的综合流程图,包含基础设施(逻辑的和技术的),如果这在组织分 析期间尚未给出或执行的话; c)与适当的关键人员讨论并分析与信息安全要求有关的组织当前状况。例如哪些过程是关键 的,它们当前起怎样的作用?(其结果随后用于以后的风险评估) d) 通过将现有的控制措施与先前所标识出的控制要求进行比较,确定现有控制措施的缺陷; e) 完善当前状况,并形成相应文档。 输出 本活动的可交付项是: 概述评估出的组织安全状况以及评价出的脆弱性的一个文档。 其他信息 本阶段进行的信息安全评估仅交付有关组织信息安全状况和脆弱性的初步信息,因为有关信息安 全方针策略和标准的完整信息将在以后阶段开发(见第9章),且尚未进行风险评估,
8.1进行风险评估和规划风险处置的概述
自标: 定义风险评估方法,标识、分析和评价信息安全风险,以便选择风险处置措施以及选择控制目标 制措施。 见GB/T22080—20084.2.1c)~4.2.1j)
GB/T31496—2015/ISO/IEC27003.2010
GB/T31496—2015/ISO/IEC27003.2010
图6风险评估阶段的概览
GB/T31496—2015/ISO/IEC27003:2010
8.3选择控制且标和控制措施
宜标识风险处置的可选措施,并宜按已标识的风险处置可选措施来标识要选择的适当控制措施 入 a)8.2(进行风险评估)活动的输出一一风险评估结果; b)GB/T31722—2015;
GB/T31496—2015/ISO/IEC27003.2010
8.4获得管理者对实施和运行ISMS的授权
宜获得管理者对实施ISMS的批准,并形成残余风险接受文件。 输入 a) 5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出一—管理者对ISMS项目的 初始批准; b)第6章(定义ISMS的范围、边界和ISMS的方针策略)活动的输出一一以下事宜的声明文件: 1)ISMS的方针策略和目标; 2)ISMS的范围。 c 8.2(进行风险评估)活动的输出一—以下事宜的文件: 1)风险评估方法的描述; 2)风险评估结果。 d)8.3(选择控制目标和控制措施)活动的输出一一风险处置计划。 指南 为了获得管理者的批准,宜按本条的输人,为管理者的评估和决定准备相应文档。 适用性声明(SoA)的准备宜归入信息安全管理工作。所规约的控制措施之详细程度,宜满足支持
组织管理者批准ISMS所需要的要求。 有关接受残余风险的决定以及有关实际运行ISMS所获授权的决定,宜获得高层管理者的批准, 这些决定宜基于风险评估,并基于实施ISMS的结果可能产生风险的机遇之评估(比较不实施ISMS而 产生的风险)。 输出 本活动的可交付项是: a)管理者批准实施ISMS的书面通知; b) 管理者接受的残余风险; c)适用性声明,包括控制目标和已选择的控制措施。 其他信息 没有其他特定信息。
9.1设计ISMS的概述
目标: 通过以下事宜来完成最终的ISMS实施计划:基于已选择的风险处置可选措施,设计组织的信息 安全以及相关记录和文档的要求;设计那些集成ICT安全条款、物理过程和组织过程的安全控制;设 计ISMS特定的要求。 见GB/T22080—2008的4.2.2a)~e),h)
GB/T314962015/ISO/IEC27003.2010
图7设计ISMS阶段的概览
9.2设计组织的信息安全
9.2.1设计信息安全的最终组织结构
b)(续) 图7(续)
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出—ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面,寻求构建相应组织结构和组织过程的设
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 一ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面,寻求构建相应组织结构和组织过程的设
计。同样地,要把ISMS集成到更宽泛的已有管理结构(例如内部审核)之中,就宜考虑ISMS的设计 过程。 为ISMS所设计的组织结构,宜反映ISMS实施和运行的活动,并强调活动实施方法,例如监视和 记录方法,作为ISMS运行的一部分。 因此,ISMS运行结构宜基于规划的ISMS实施,通过考虑以下事宜来设计: a)ISMS实施的每一个角色,是否对ISMS的运行是必需的? b)所定义的角色,是否不同于ISMS实施的其他角色? c)宜为ISMS实施,增加什么角色? 例如,对于ISMS运行,可增加的角色有: a)负责每一个部门信息安全运行的人员; b)负责每一个部门ISMS测量的人员。 考虑附录B中概述的要点,可有助于通过修改ISMS实施的结构和角色来决定ISMS运行的结构 和角色。 输出 本活动的可交付项是一个文件,这个文件概述以下内容: 组织结构及其角色和责任。 其他信息 附录B—角色和责任的信息。 附录C—规划审核的信息。
9.2.2设计ISMS的文件框架
GB/T314962015/ISO/IEC27003.2010
件实际部分的人员责任。 ISMS文件宜包括引用的GB/T22080一2008的4.3.1中规定的文件。 ISMS文件必须予以管理,并对需要人员是可用的。这包括: a)建立ISMS文件管理的行政管理规程; b)文件发布前得到正式批准; c)确保文件的更改和现行修订状态得到识别; d)把文件作为组织的信息资产进行保护和控制。 重要的是在使用时可获得相关版本的适用文件,确保文件保持清晰、易于识别,并依照其适用的类 别的规程进行传输、存储和最终销毁。 此外,确保外来文件得到识别,文件的分发得到控制,防止作废文件的无意识使用,以及如果作废文 件因任何自的而保留时,对其进行适当的跟踪。 记录宣作为组织的ISMS符合GB/T22080一2008和展示运行效果的证据,而加以创建、保持和 控制。 也需要为整个PDCA阶段的实施状况,保持一些记录;并为信息安全事件和一般性事件,为教育 培训、技能、经历与资格、内部ISMS审核、纠正措施与预防措施等保持一些记录。 为了控制这些记录,宜执行以下任务: a)为数据标识、保存、保护、查找和废弃,建立所需要的控制文档,并建立数据保存期限的文档; b)定义在运行管理过程中宜记录的事项和范围; c) 当相关法律或法规规约了任何一个保存期,那么就该宜按这样的法律要求,设定保存期。 输出 本活动的可交付项是: a)概述ISMS记录和文件控制的要求的文件; b)所要求的ISMS记录的仓库和模板。 其他信息 没有其他特定信息。
认证标准9.2.3设计信息安全方针策略
对于ISMS的运行,宜建立有关信息安全目标的决策管理者和行政管理者战略定位的文件。 输入 5.2(阐明组织开发ISMS的优先级)活动的输出一概述的目标和要求清单; b)5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出一一管理者对ISMS项目的 初始批准; c) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一一ISMS的范围和 边界; d) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一ISMS的方针策略; ? 7.2(定义ISMS过程的信息安全要求)活动的输出; f) 7.3(标识ISMS范围内的资产)活动的输出; g) 7.4(进行信息安全评估)活动的输出; h) 8.2(进行风险评估)活动的输出一一8.3(选择控制目标和控制措施)活动的风险评估输出的 结果; i)9.2.1(设计信息安全的最终组织结构)活动的输出; i)9.2.2(设计ISMS文件的框架)活动的输出:
GB/T314962015/ISO/IEC27003:2010
k)见GB/T22081—2008的5.1.1。 指南 信息安全方针策略记录了组织的战略定位,以及整个组织相关的信息安全目标。 该方针策略是基于信息和知识而拟定的。管理者在以前进行分析中所标识的事宜是非常重要的, 宜把它们作为证据,并在方针策略中予以强调,以便提供组织的动机和动力。要重点指出,如果不遵守 该方针策略将会发生什么。还宜强调影响组织解决问题的法律和法规。 可以参照参考文献、互联网以及行业协会等,给出一些信息安全方针策略的例子。可以依据年度报 告、其他方针策略文件或管理者支持的其他文件,配置并联想一些安全方针策略。 关于一个方针策略的实际篇幅,可能存在一些不同的说明和要求。方针策略宜简明要的给出,以 使有关人员能理解该方针策略的意图。此外,方针策略宜充分地凸现需要什么目标,以便强调相关的一 组规章和组织目标。 信息安全方针策略的篇幅和结构,宜支持下一阶段(引入信息安全管理体系过程)中所使用的文件 (参见附录D一一方针策略结构的信息)。 对于大型和复杂的组织(例如,拥有大量不同的运行域),可能有必要拟定一个总方针策略和一些运 作上经改编的基础性方针策略。 关于信息安全方针策略内容的指南见GB/T22081一2008的5.1.1。 所提议的方针策略(带版本号和日期)宜在组织内由运行管理人员进行反复核对和建立。运作管理 人员逐条批准管理小组或相关小组内所建立的方针策略,接之以对读者可访问和可理解的方式,在组织 内有关人员之间进行沟通。 输出 本活动的可交付项是信息安全方针策略文件。 其他信息 附录B一一角色和责任的信息。 附录D一方针策略结构的信息
9.2.4制定信息安全标准和规程
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一—适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
GB/T314962015/ISO/IEC27003:2010
由ISMS范围所覆盖的组织的各个不同部分的代表,宜参与制定标准和规程的过程。这些参与宜 有权威机构,并是组织的代表。例如,可包括以下角色: a)信息安全管理人员; b)物理安全的代表; c)信息系统责任人; d)战略域和运行域的过程责任人。 建议成立一个规模尽可能小的编辑组,选择一些指定的专家临时加人到该编辑组。每一个代表宜 积极地与各自的组织域保持联系,以便得到无缝的运行支持。这有助于以后在运行层面上有关规程和 例程内容的细化工作。 这样,安全标准和规程就宜作为设计详细的技术规程或操作规程的基础予以使用。 编制信息安全标准和规程的一种有用的途径是,基于风险评估结果,考虑GB/T22080一2008和 GB/T22081一2008的实现指导中那些真正可用的每一条款,并精确地描述宜如何应用之。 宜对现有的信息安全标准和规程的评价加以评审。例如,它们是否可以加以细化并开发之?或者 它们是否需要被完全取代? 宜向范围内的每一个人员,提供相关的最新文档。信息安全标准和规程宜适用于整个组织,或使它 们可清楚地表明所涉及的角色、系统和域。宣及时产生第一版本。 宜在早期阶段,定义信息安全标准和规程的修订和评审过程。因此,方针策略变更信息宜如何发 布装修软件,宜拟定一个战略。 输出 a) 本活动的可交付项是一个结构化、详细的实施计划,该计划是有关组织安全的控制,并作为最 终ISMS项目计划一部分,包括该信息安全标准集的一个文档化框架; b)涵盖组织基线的信息安全标准; c)实现信息安全标准的信息安全规程。 其他信息 附录D一方针策略结构的信息
....- 相关专题: 信息安全技术