0.3 與其它管理體系的兼容性
本標(biāo)準(zhǔn)與GB/T 19001-2000 及GB/T 24001-1996 相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1 說明了本標(biāo)準(zhǔn)、GB/T19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關(guān)系。本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。
信息技術(shù)安全技術(shù)信息安全管理體系要求
重點(diǎn)：本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對(duì)其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并不獲得法律義務(wù)的豁免。
 
1 范圍

1.1 總則
本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的整體
業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS 規(guī)定了要求。它規(guī)定
了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。
ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。
注1：本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核心活動(dòng)。
注2：ISO/IEC 17799提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。
1.2 應(yīng)用
本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于
4、5、6、7 和8 章的要求不能刪減。
為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證
明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全
要求的能力和/或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。
注：如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO 9001 或者ISO 14001 相
關(guān)的），那么在大多數(shù)情況下，更可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。
 
2 規(guī)范性引用文件
下列參考文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本
標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。
ISO/IEC 17799:2005，信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則。
 
3 術(shù)語和定義
本標(biāo)準(zhǔn)采用以下術(shù)語和定義。
3.1
資產(chǎn)asset
任何對(duì)組織有價(jià)值的東西[ISO/IEC 13335-1:2004]。
3.2
可用性availability
根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4
信息安全information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性
等特性[ISO/IEC 17799：2005]。
3.5
信息安全事件information security event
信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生，它可能是對(duì)信息安全策略的違反
或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6
信息安全事故information security incident
一個(gè)信息安全事故由單個(gè)的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威
脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7
信息安全管理體系（ISMS） information security management system（ISMS）
是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改
進(jìn)信息安全的。
注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。
3.8
完整性integrity
保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風(fēng)險(xiǎn)residual risk
經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。
3.10
風(fēng)險(xiǎn)接受risk acceptance
接受風(fēng)險(xiǎn)的決定[ISO/IEC Guide 73：2002]。
3.11
風(fēng)險(xiǎn)分析risk analysis
系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)[ISO/IEC Guide 73：2002]。
3.12
風(fēng)險(xiǎn)評(píng)估risk assessment
風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程[ISO/IEC Guide 73：2002]。
3.13
風(fēng)險(xiǎn)評(píng)價(jià)risk evaluation
將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程[ISO/IEC Guide 73：2002]。
3.14
風(fēng)險(xiǎn)管理risk management
指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)[ISO/IEC Guide 73：2002]。
3.15
風(fēng)險(xiǎn)處理risk treatment
選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程[ISO/IEC Guide 73：2002]。
注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作“措施”的同義詞。
3.16
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。
注：控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求。
 
4 信息安全管理體系（ISMS）

4.1 總要求
一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)
文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。

4.2 建立和管理ISMS
4.2.1 建立ISMS
組織應(yīng)：
a) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 的范圍和邊界，包括對(duì)例外于此范
圍的對(duì)象作出詳情和合理性的說明（見1.2）。
b) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定ISMS 方針，應(yīng)：
1) 為其目標(biāo)建立一個(gè)框架并為信息安全行動(dòng)建立整體的方向和原則；
2) 考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；
3) 在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS；
4) 建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則[見4.2.1 c]]；
5) 獲得管理者批準(zhǔn)。
注：就本標(biāo)準(zhǔn)的目的而言，ISMS 方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在
一個(gè)文件中進(jìn)行描述。
c) 確定組織的風(fēng)險(xiǎn)評(píng)估方法
1）識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。
2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別（見5.1f）。
選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。
注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù)IT 安全管理指南：IT 安全
管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。
d) 識(shí)別風(fēng)險(xiǎn)
1) 識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人；
2) 識(shí)別資產(chǎn)所面臨的威脅；
3) 識(shí)別可能被威脅利用的脆弱點(diǎn)；
4) 識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。
術(shù)語“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn)，負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w。術(shù)語“責(zé)任人”不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán)。
e) 分析和評(píng)價(jià)風(fēng)險(xiǎn)
1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評(píng)估安全失誤可能造
成的對(duì)組織的影響。
2) 評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)施的控
制措施。
3) 估計(jì)風(fēng)險(xiǎn)的級(jí)別。
4) 確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處
理。
f) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施
可能的措施包括：
1) 采用適當(dāng)?shù)目刂拼胧?br /> 2) 在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)[見4.2.1
c)2)]；
3) 避免風(fēng)險(xiǎn)；
4) 將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。
g) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施
應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程中所識(shí)別的要求。這種選擇
應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見4.2.1c）2））以及法律法規(guī)和合同要求。
從附錄A 中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識(shí)別的要求。
附錄A 所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。
注：附錄A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A 作為選擇
控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施。
h) 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)
i) 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS 的授權(quán)
j) 準(zhǔn)備適用性聲明（SoA）
應(yīng)從以下幾方面準(zhǔn)備適用性聲明：
1） 從4.2.1 g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；
2） 當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見4.2.1e）2））；
3） 對(duì)附錄A 中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會(huì)因疏忽而遺
漏控制措施。
 
4.2.2 實(shí)施和運(yùn)行ISMS
組織應(yīng)：
a) 為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，即：制定風(fēng)險(xiǎn)處理計(jì)劃（見
第5 章）。
b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。
c) 實(shí)施4.2.1 g）中所選擇的控制措施，以滿足控制目標(biāo)。
d) 確定如何測(cè)量所選擇的控制措施或控制措施集的有效性，并指明如何用來評(píng)估控制措施的有效
性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見4.2.3c)）。
注：測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到計(jì)劃的控制目標(biāo)的程度。
e) 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見5.2.2）。
f) 管理ISMS 的運(yùn)行。
g) 管理ISMS 的資源（見5.2）。
h) 實(shí)施能夠迅速檢測(cè)安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a））。
 
4.2.3 監(jiān)視和評(píng)審ISMS
組織應(yīng)：
a) 執(zhí)行監(jiān)視和評(píng)審程序和其它控制措施，以：
1) 迅速檢測(cè)過程運(yùn)行結(jié)果中的錯(cuò)誤；
2) 迅速識(shí)別試圖的和得逞的安全違規(guī)和事故；
3) 使管理者確定分配給人員的安全活動(dòng)或通過信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行；
4) 通過使用指標(biāo)，幫助檢測(cè)安全事件并預(yù)防安全事故；
5) 確定解決安全違規(guī)的措施是否有效。
b) 在考慮安全審核結(jié)果、事故、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行ISMS
有效性的定期評(píng)審（包括滿足ISMS 方針和目標(biāo)，以及安全控制措施的評(píng)審）。
c) 測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。
d) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行
評(píng)審，應(yīng)考慮以下方面的變化：
1) 組織結(jié)構(gòu)；
2) 技術(shù)；
3) 業(yè)務(wù)目標(biāo)和過程；
4) 已識(shí)別的威脅；
5) 已實(shí)施控制措施的有效性；
6) 外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。
e) 按計(jì)劃的時(shí)間間隔，對(duì)ISMS 進(jìn)行內(nèi)部審核（見第6 章）。
注：內(nèi)部審核，有時(shí)稱為第一方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。
f) 定期對(duì)ISMS 進(jìn)行管理評(píng)審，以確保ISMS 范圍保持充分，ISMS 過程的改進(jìn)得到識(shí)別（見7.1）。
g) 考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。
h) 記錄可能影響ISMS 的有效性或執(zhí)行情況的措施和事件（見4.3.3）。
 
4.2.4 保持和改進(jìn)ISMS
組織應(yīng)經(jīng)常：
a) 實(shí)施已識(shí)別的ISMS 改進(jìn)措施。
b) 依照8.2 和8.3 采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。
c) 向所有相關(guān)方溝通措施和改進(jìn)措施，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如何進(jìn)行。
d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。
 
 
4.3 文件要求
4.3.1 總則
文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)
果是可重復(fù)產(chǎn)生的。
至關(guān)重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過程的結(jié)果、并進(jìn)而回溯
到ISMS 方針和目標(biāo)之間的關(guān)系。
ISMS 文件應(yīng)包括：
a) 形成文件的ISMS 方針[見4.2.1b）]和目標(biāo)；
b) ISMS 的范圍[見4.2.la）]；
c) 支持ISMS 的程序和控制措施；
d) 風(fēng)險(xiǎn)評(píng)估方法的描述[見4.2.1c）]；
e) 風(fēng)險(xiǎn)評(píng)估報(bào)告[見4.2.1c）到4.2.1g）]；
f) 風(fēng)險(xiǎn)處理計(jì)劃[見4.2.2b）]；
g) 組織為確保其信息安全過程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需
的形成文件的程序（見4.2.3c））；
h) 本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）；
i) 適用性聲明。
注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。
注2：不同組織的ISMS文件的詳略程度取決于：
. ???????組織的規(guī)模和活動(dòng)的類型；
.?????? ?安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度；
注3：文件和記錄可以采用任何形式或類型的介質(zhì)。
 
4.3.2 文件控制
ISMS 所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施：
a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?br /> b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn)；
c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)；
d) 確保在使用處可獲得適用文件的相關(guān)版本；
e) 確保文件保持清晰、易于識(shí)別；
f) 確保文件對(duì)需要的人員可用，并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀；
g) 確保外來文件得到標(biāo)識(shí)；
h) 確保文件的分發(fā)得到控制；
i) 防止作廢文件的非預(yù)期使用；
j) 若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。
 
4.3.3 記錄控制
記錄應(yīng)建立并加以保持，以提供符合ISMS 要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS
的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄的標(biāo)識(shí)、貯存、
保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。記錄的詳略程度應(yīng)通過管理過程確定。
應(yīng)保留4.2 中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS 有關(guān)的安全事故的記錄。
例如：記錄包括訪客登記薄、審核報(bào)告和已完成的訪問授權(quán)單。
 
5 管理職責(zé)
5.1 管理承諾
管理者應(yīng)通過以下活動(dòng)，對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS 的承諾提供證據(jù)：
a) 制定ISMS 方針；
b) 確保ISMS 目標(biāo)和計(jì)劃得以制定；
c) 建立信息安全的角色和職責(zé)；
d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性；
e) 提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS （見5.2.1）；
f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別；
g) 確保ISMS 內(nèi)部審核的執(zhí)行（見第6 章）；
h) 實(shí)施ISMS 的管理評(píng)審（見第7 章）。
 
5.2 資源管理
5.2.1 資源提供
組織應(yīng)確定并提供所需的資源，以：
a) 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS；
b) 確保信息安全程序支持業(yè)務(wù)要求；
c) 識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)；
d) 通過正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?br /> e) 必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)響應(yīng)評(píng)審的結(jié)果；
f) 在需要時(shí)，改進(jìn)ISMS 的有效性。
 
5.2.2 培訓(xùn)、意識(shí)和能力
組織應(yīng)通過以下方式，確保所有分配有ISMS 職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力：
a) 確定從事影響ISMS 工作的人員所必要的能力；
b) 提供能力培訓(xùn)，必要時(shí)，聘用有能力的人員以滿足這些需求；
c) 評(píng)價(jià)所提供的培訓(xùn)和所采取的措施的有效性；
d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。
組織也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到ISMS目標(biāo)
做出貢獻(xiàn)。
 
6 內(nèi)部ISMS 審核
組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS 審核，以確定其ISMS 的控制目標(biāo)、控制措施、過程和
程序是否：
a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；
b) 符合已確定的信息安全要求；
c) 得到有效地實(shí)施和保持；
d) 按預(yù)期執(zhí)行。
應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。方案
應(yīng)規(guī)定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過程的客觀性和公正性。
審核員不應(yīng)審核自己的工作。
策劃和實(shí)施審核以及報(bào)告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)
定。
負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時(shí)采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)
包括對(duì)所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告（見第8 章）。
注：GB/T 19011：2003給出了管理體系審核的基本指南，也可作為認(rèn)證機(jī)構(gòu)的指南。
 
7 ISMS 的管理評(píng)審
7.1 總則
管理者應(yīng)按計(jì)劃的時(shí)間間隔（至少每年1次）評(píng)審組織的ISMS，以確保其持續(xù)的適宜性、充分性和
有效性。評(píng)審應(yīng)包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括信息安全方針和信息安全目標(biāo)。評(píng)審的
結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。
 
7.2 評(píng)審輸入
管理評(píng)審的輸入應(yīng)包括：
a) ISMS 審核和評(píng)審的結(jié)果；
b) 相關(guān)方的反饋；
c) 組織用于改進(jìn)ISMS 執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；
d) 預(yù)防和糾正措施的狀況；
e) 以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅；
f) 有效性測(cè)量的結(jié)果；
g) 以往管理評(píng)審的跟蹤措施；
h) 可能影響ISMS 的任何變更；
i) 改進(jìn)的建議。

7.3 評(píng)審輸出
管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施：
a) ISMS 有效性的改進(jìn)；
b) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新；
c) 必要時(shí)修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS 的事件，包括以下的變更：
1) 業(yè)務(wù)要求；
2) 安全要求；
3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；
4) 法律法規(guī)環(huán)境；
5) 合同義務(wù)；
6) 風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則。
d) 資源需求；
e) 正在被測(cè)量的控制措施的有效性的改進(jìn)。
 
8 ISMS 改進(jìn)
8.1 持續(xù)改進(jìn)
組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理
評(píng)審（見第7章），持續(xù)改進(jìn)ISMS的有效性。
 
8.2 糾正措施
組織應(yīng)采取措施，以消除與ISMS 要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，
應(yīng)規(guī)定以下方面的要求：
a) 識(shí)別不符合；
b) 確定不符合的原因；
c) 評(píng)價(jià)確保不符合不再發(fā)生的措施需求；
d) 確定和實(shí)施所需要的糾正措施；
e) 記錄所采取措施的結(jié)果（見4.3.3）；
f) 評(píng)審所采取的糾正措施。

8.3 預(yù)防措施
組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適
應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求：
a) 識(shí)別潛在的不符合及其原因；
b) 評(píng)價(jià)防止不符合發(fā)生的措施需求；
c) 確定和實(shí)施所需要的預(yù)防措施；
d) 記錄所采取措施的結(jié)果（見4.3.3）；
e) 評(píng)審所采取的預(yù)防措施。
組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn)，并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。
預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。
注：預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。
 

The post ISO27001信息安全管理體系標(biāo)準(zhǔn) first appeared on 深圳市安信達(dá)咨詢有限公司.