ISO27001信息安全體系培訓(xùn)條款48ISMS

1、ISO 27001信息安全體系培訓(xùn) (條款 48 ISMS ISO27001培訓(xùn)系列 V1.0 內(nèi)容信息安全管理體系(條款 4 管理職責(zé)(條款 5ISMS 內(nèi)部審核(條款 6 ISMS 管理評審(條款 7 ISMS 改進(jìn)(條款 8風(fēng)險評估和處理 條款 4 4.1總要求組織應(yīng)根據(jù)整體業(yè)務(wù)活動和風(fēng)險,建立、實施、運 行、監(jiān)視、評審、保持并改進(jìn)文件化的信息安全管 理體系。本標(biāo)準(zhǔn)應(yīng)用了圖 1所示的 PDCA 模式。 4.2建立并管理 ISMS4.2.1建立 ISMSa 根據(jù)組織業(yè)務(wù)特征、組織、地理位置、資產(chǎn)、技術(shù)以及 任何刪減的細(xì)節(jié)和合理性來確定 ISMS 范圍b 根據(jù)組織業(yè)務(wù)特征、組織、地理位置、資

2、產(chǎn)和技術(shù)確定 ISMS 方針c 確定組織的 風(fēng)險評估方法d 識別 風(fēng)險e 分析并評價 風(fēng)險f 識別和評價風(fēng)險 處理的選擇g 選擇風(fēng)險處理的 控制目標(biāo)和控制方式 4.2.2實施和運行ISMSa闡明風(fēng)險處理計劃,它為信息安全風(fēng)險管理指出了適當(dāng)?shù)墓芾泶胧⒙氊?zé)和優(yōu)先級;b實施風(fēng)險處理計劃以達(dá)到確定的控制目標(biāo),應(yīng)考慮資金需求以及角色和職責(zé)分配;c選擇的控制以達(dá)到控制目標(biāo);d確定如何測量所選擇的一個/組控制措施的有效性,并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果;e實施培訓(xùn)和意識方案(見5.2.2;f管理ISMS的運行;g管理ISMS資源(見5.2;h實施程序及其它控制以及時

3、檢測、響應(yīng)安全事故(見4.2.3。4.2.3監(jiān)視和評審ISMSa執(zhí)行監(jiān)視和評審程序和其它控制措施b定期評審ISMS的有效性(包括安全方針和目標(biāo)的實現(xiàn)情況,安全控制評審,考慮安全審核、事故、有效性測量的結(jié)果以及所有相關(guān)方的建議和反饋;c測量控制措施的有效性,以證實安全要求已得到滿足;d按照計劃的時間間隔,評估風(fēng)險評估,并評估殘余風(fēng)險的等級和已識別的接受風(fēng)險,e按計劃的時間間隔進(jìn)行ISMS內(nèi)部審核(見條款6;f定期進(jìn)行ISMS管理評審(至少一年一次,確保范圍仍然充分,并識別ISMS過程改進(jìn)的機(jī)會(見7.1;g更新安全計劃,考慮監(jiān)視和評審活動的發(fā)現(xiàn);h記錄可能影響ISMS有效性或業(yè)績的措施和事件(見

4、4.3.3。4.2.4保持和改進(jìn)ISMSa實施ISMS已識別的改進(jìn);b按照8.2和8.3的要求采取適當(dāng)?shù)募m正和預(yù)防措施。總結(jié)從其它組織或組織自身的安全經(jīng)驗得到的教訓(xùn);c與所有相關(guān)方溝通措施和改進(jìn)。溝通的詳細(xì)程度應(yīng)與環(huán)境相適宜,必要是,應(yīng)約定如何進(jìn)行;d確保改進(jìn)活動達(dá)到了預(yù)期的目的。4.3.1總則文件應(yīng)包括管理決策的記錄,以確保措施可以追溯到管理決策和方針。記錄的結(jié)果應(yīng)該是可復(fù)制的。重要的是要能夠展示從選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處置過程結(jié)果的關(guān)系,最終回溯到ISMS 方針和目標(biāo)。ISMS 文件應(yīng)包括:a 形成文件的ISMS 方針(見4.2.1b和控制目標(biāo);b ISMS 范圍(見4.2.1

5、a;c ISMS 的支持性程序和控制;d 風(fēng)險評估方法的描述(見4.2.1a;e 風(fēng)險評估報告(見4.2.1c到4.2.1g;f 風(fēng)險處置計劃(見4.2.2b;g 組織為確保其信息安全過程的有效策劃、運行和控制以及規(guī)定如何規(guī)定如何測量控制措施有效性所需的程序文件(見4.2.3 c;h 本標(biāo)準(zhǔn)所要求的記錄(見4.3.3。i 適用性聲明。4.3.2文件控制ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序,以規(guī)定以下方面所需的管理措施:a 文件發(fā)布前得到批準(zhǔn),以確保文件是充分的;b 必要時,對文件進(jìn)行評審與更新并再次批準(zhǔn);c 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別;d 確保在使用處可獲得適用

6、文件的相關(guān)版本;e 確保文件保持合法,易于識別;f 確保文件可以為需要者所獲得,并根據(jù)適用于他們類別的程序進(jìn)行轉(zhuǎn)移、存儲和最終的銷毀;g 確保外來文件得到識別;h 確保文件的分發(fā)是受控的;i 防止作廢文件的非預(yù)期使用;j 若因任何原因而保留作廢文件時,對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。4.3文件要求4.3.3記錄控制應(yīng)建立并保持記錄,以提供符合要求和ISMS有效運行的證據(jù)。應(yīng)保護(hù)并控制記錄。ISMS應(yīng)考慮相關(guān)的法律要求和合同責(zé)任。記錄應(yīng)保持合法,易于識別和檢索。應(yīng)編制形成文件的程序,以規(guī)定記錄的標(biāo)識、儲存、保護(hù)、檢索、保存期限和處置所需的控制。保持4.2列出的過程業(yè)績的記錄以及與ISMS有關(guān)的重大安全

7、事件的記錄舉例:記錄包括訪問者登記表、審核記錄和完成的訪問授權(quán)表。條款5 管理職責(zé)5.1管理承諾管理層應(yīng)通過以下措施對其建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)ISMS的承諾提供證據(jù):a 建立信息安全方針;b 確保信息安全目標(biāo)和計劃的建立;c 為信息安全分配角色和職責(zé);d 向組織傳達(dá)實現(xiàn)信息安全目標(biāo)、符合信息安全策略、法律責(zé)任的重要性以及持續(xù)改進(jìn)的需要;e 提供足夠的資源,以建立、實施、運行監(jiān)視、保持和改進(jìn)ISMS(見5.2.1;f 決定接受風(fēng)險的準(zhǔn)則和可接受的風(fēng)險等級;g 確保ISMS內(nèi)部審核的實施(見條款6h 進(jìn)行ISMS管理評審(見條款7。5.2.1資源提供組織應(yīng)確定并提供以下方面所需的

8、資源:a 建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)ISMS;b 確保信息安全程序支持業(yè)務(wù)要求;c 識別并指出法律法規(guī)要求和合同安全責(zé)任;d 通過正確應(yīng)用所實施的所有控制來保持足夠的安全;e 需要時進(jìn)行評審,并對評審的結(jié)果采取適當(dāng)措施;f 必要時,改進(jìn)ISMS的有效性。5.2.2培訓(xùn)、意識和能力組織應(yīng)確保在ISMS中承擔(dān)責(zé)任的人員應(yīng)能夠勝任要求的任務(wù):a 確定從事影響信息安全工作的人員所必需的能力;b 提供培訓(xùn)或采取其他的措施(如雇傭有能力的人員來滿足這些需求;c 評價所采取措施的有效性;d 保持教育、培訓(xùn)、技能、經(jīng)驗和資質(zhì)的記錄(見4.3.3。組織應(yīng)確保所有相關(guān)人員認(rèn)識到,他們的信息安全活動的

9、相關(guān)性和重要性,以及他們?nèi)绾螢閷崿F(xiàn)ISMS目標(biāo)作出貢獻(xiàn)。條款6 ISMS內(nèi)部審核條款6 ISMS內(nèi)部審核組織應(yīng)按策劃的時間間隔進(jìn)行ISMS內(nèi)部審核,以確定組織ISMS的控制目標(biāo)、控制措施、過程和程序是否:a 符合本標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求;b 符合已識別的信息安全要求;c 得到有效地實施和保持;d 按期望運行。應(yīng)策劃審核方案,考慮受審核過程和區(qū)域的狀況及重要性,以及上次審核的結(jié)果。應(yīng)規(guī)定審核準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)保證審核過程的客觀和公正。審核員不能審核自己的工作。應(yīng)建立形成文件的程序,以規(guī)定策劃和實施審核、報告結(jié)果和保持記錄(見4.3.3的職責(zé)和要求。受審核區(qū)域的負(fù)

10、責(zé)人應(yīng)確保立即采取措施以消除發(fā)現(xiàn)的不符合及其原因。跟蹤活動應(yīng)包括所采取措施的驗證以及驗證結(jié)果的報告(見條款8。條款7 ISMS管理評審7.1總則管理者應(yīng)按策劃的時間間隔(至少一年一次評審組織的ISMS,以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價ISMS改進(jìn)的機(jī)會和變更的需要,包括安全方針和安全目標(biāo)。評審結(jié)果應(yīng)清楚地寫入文件,并保持記錄(見4.3.3。7.2評審輸入管理評審的輸入應(yīng)包括:a ISMS審核和評審的結(jié)果;b 相關(guān)方的反饋;c 組織用于改進(jìn)ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序;d 糾正和預(yù)防措施的實施情況;e 上次風(fēng)險評估未充分指出的脆弱性或威脅;f 有效性測量的結(jié)果;g

11、上次管理評審所采取措施的跟蹤驗證;h 任何可能影響ISMS的變更;i 改進(jìn)的建議。7.3評審輸出管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施:a ISMS有效性 的改進(jìn);b 更新 風(fēng)險評估和風(fēng)險處置 計劃;b 必要時,修訂影響信息安全的程序和控制措施,以反映可能影響 ISMS 的內(nèi)外事件,包括以下方面的變化:1 業(yè)務(wù)要求;2 安全要求;3 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程;4 法律法規(guī)要求;5 合同責(zé)任;6 風(fēng)險等級和 /或風(fēng)險接受準(zhǔn)則。c 資源需求;d 改進(jìn)測量控制措施有效性的方式。 條款 8 8.1持續(xù)改進(jìn)組織應(yīng)通過應(yīng)用信息安全策略、安全目標(biāo)、審核結(jié)果、 監(jiān)視事件的分析、糾正預(yù)防措施和管理

12、評審(見條款 7 持續(xù)改進(jìn) ISMS 的有效性。 8.2糾正措施組織應(yīng)采取措施,消除與 ISMS 要求不符合的原因,以防 止再發(fā)生。糾正措施文件程序應(yīng)規(guī)定以下方面的要求:a 識別不符合;b 確定不符合的原因;c 評價確保不符合不再發(fā)生所需的措施;d 確定和實施所需的糾正措施;e 記錄所采取措施的結(jié)果(見 4.3.3;f 評審所采取的糾正措施。 8.3預(yù)防措施組織應(yīng)采取措施,以消除與 ISMS 要求不潛在不符合的原因,以 防止發(fā)生。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。預(yù)防 措施文件程序應(yīng)規(guī)定以下方面的要求:a 識別潛在不符合及其原因;b 評價預(yù)防不符合發(fā)生所需的措施;c 確定并實施所需的預(yù)

13、防措施;d 記錄所采取措施的結(jié)果(見 4.3.3;e 評審所采取的預(yù)防措施。組織應(yīng)識別發(fā)生變化的風(fēng)險,并通過關(guān)注變化顯著的風(fēng)險來識別 預(yù)防措施要求。應(yīng)根據(jù)風(fēng)險評估結(jié)果來確定預(yù)防措施的優(yōu)先級。 風(fēng)險評估和處理注:可參考GB-T20984-2007信息安全風(fēng)險評估規(guī)范 風(fēng)險評估應(yīng)對照風(fēng)險接受準(zhǔn)則和組織相關(guān)目標(biāo),識別、量化并區(qū)分風(fēng)險的優(yōu)先次序。風(fēng)險評估的結(jié)果應(yīng)指導(dǎo)并確定適當(dāng)?shù)墓芾泶胧┘捌鋬?yōu)先級,以管理信息安全風(fēng)險和實施為防范這些風(fēng)險而選擇的控制措施。風(fēng)險評估應(yīng)包括估計風(fēng)險大小的系統(tǒng)方法(風(fēng)險分析,和將估計的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較,以確定風(fēng)險嚴(yán)重性的過程(風(fēng)險評價。風(fēng)險評估還應(yīng)定期進(jìn)行,以應(yīng)對安

14、全要求和風(fēng)險情形的變化,例如資產(chǎn)、威脅、脆弱性、影響,風(fēng)險評價;當(dāng)發(fā)生重大變化時也應(yīng)進(jìn)行風(fēng)險評估。風(fēng)險評估應(yīng)使用一種能夠產(chǎn)生可比較和可再現(xiàn)結(jié)果的系統(tǒng)化的方式。為使信息安全風(fēng)險評估有效,它應(yīng)有一個清晰定義的范圍。風(fēng)險評估的范圍既可以是整個組織、組織的一部分、單個信息系統(tǒng)、特定的系統(tǒng)部件,也可以是服務(wù)。 在考慮風(fēng)險處理前,組織應(yīng)確定風(fēng)險是否能被接受的準(zhǔn)則。如果經(jīng)評估顯示,風(fēng)險較低或處理成本對于組織來說不劃算,則風(fēng)險可被接受。這些決定應(yīng)加以記錄。對于風(fēng)險評估所識別的每一個風(fēng)險,必須作出風(fēng)險處理決定?？赡艿娘L(fēng)險處理選項包括:a應(yīng)用適當(dāng)?shù)目刂拼胧┮越档惋L(fēng)險;b只要它們滿足組織的方針和風(fēng)險接受準(zhǔn)則,則要有

15、意識的、客觀的接受該風(fēng)險;c通過禁止可能導(dǎo)致風(fēng)險發(fā)生的行為來避免風(fēng)險;d將相關(guān)風(fēng)險轉(zhuǎn)移到其他方,例如,保險或供應(yīng)商。對風(fēng)險處理決定中要采用適當(dāng)?shù)目刂拼胧┑哪切╋L(fēng)險來說,應(yīng)選擇和實施這些控制措施以滿足風(fēng)險評估所識別的要求。控制措施應(yīng)確保在考慮以下因素的情況下,將風(fēng)險降低到可接受級別:a國家和國際法律法規(guī)的要求和約束;b組織的目標(biāo);c運行要求和約束;d降低風(fēng)險相關(guān)的實施和運行的成本,并使之與組織的要求和約束保持相稱;e平衡控制措施實施和運行的投資與安全失誤可能導(dǎo)致的損害的需要。控制措施可以從本標(biāo)準(zhǔn)或其他控制集合中選擇,或者設(shè)計新的控制措施以滿足組織的特定需求。認(rèn)識到有些控制措施并不是對每一種信息系

16、統(tǒng)或環(huán)境都適用,并且不是對所有組織都可行,這一點非常重要。例如,A10.1.3描述如何分割責(zé)任,以防止欺詐或錯誤。在較小的組織中分割所有責(zé)任是不太可能的,實現(xiàn)同一控制目標(biāo)的其他方法可能是必要的。另外一個例子,A10.10描述如何監(jiān)視系統(tǒng)使用及如何收集證據(jù)。所描述的控制措施,例如事態(tài)日志,可能與適用的法律相沖突,諸如顧客或在工作場地內(nèi)的隱私保護(hù)。信息安全控制措施應(yīng)在系統(tǒng)和項目需求說明書和設(shè)計階段予以考慮。做不到這一點可能導(dǎo)致額外的成本和低效率的解決方案,最壞的情況下可能達(dá)不到足夠的安全。應(yīng)該牢記,沒有一個控制措施集合能實現(xiàn)絕對的安全,為支持組織的目標(biāo),應(yīng)實施額外的管理措施來監(jiān)視、評價和改進(jìn)安全控制措施的效率和有效性。Questions?Mike(董翼楓CTOFugle