ISO27001“信息安全管理體系(ISMS)”標準解析
發布時間:2025-06-09 點擊:23
1、ISO27001標準“4.1 總要求”理解要點
組織建立ISMS信息安全管理體系,首先須考慮的是:
a)在其整體業務框架下,其業務運營面臨的內部、外部環境中,有哪些相關方?
b)他們對組織業務運營的要求有哪些?
c)相關方的意見對組織確定信息安全方針和策略的影響程度、內容及方式是什么?
組織應對這些環境因素給予充分的了解,進而考慮對其具體的業務過程活動中的信息安全需求和風險進行識別和評價,針對所評估的風險以及組織可接受的風險水平, 設計適合于組織經營環境以及業務性質的信息安全管理體系,并將相應的信息安全管理過程以及控制措施要求形成文件,予以批準、發布和實施。
對于運行中的ISMS信息安全管理體系,組織還應按照規定的程序、方法和準則對ISMS信息安全管理體系的運行績效以及信息安全風險的狀況進行持續地監視和評審,適時采取糾正、預防和改進措施。
組織運營的內部、外部環境往往處在不斷的變化之中,這些變化可能會給組織的信息安全帶來新的風險,也可能會影響組織已識別和評價的風險,因此組織的ISMS信息安全管理體系應隨著這些變化適時予以改進和更新。
組織的ISMS信息安全管理體系的建立、實施、保持和改進應體現PDCA循環的思想。
2、ISO27001標準“4.2 建立和管理ISMS”要點
(1)“4.2.1 建立ISMS”理解要點
a)在組織的整體業務框架下,確定ISMS的范圍和邊界,即確定在哪些業務活動中應用本標準,是組織設計ISMS信息安全管理體系要做的第一項工作。
信息安全管理體系的范圍和邊界的確定,以及相應的業務和活動以及其支持性活動中涉及到的技術和資產,則決定了ISO27001標準附錄A中列出的控制措施要求的適用性。但對于ISO27001標準附錄A的刪減的細節,還需要在詳細識別了資產之后才能確定。
b)所謂“方針”,即實施某項活動的指導原則和行動路線,它可以是一個組織在其整體業務范圍框架下開展某項活動的總的指導原則和行動路線,也可以是針對某項具體活動的指導原則和行動路線。
對于前一種情況,實例包括組織的質量方針、組織的信息安全方針等,對于后一種情況,為了便于區分,在本標準中使用了“策略”一詞表述,例如,“清空桌面和屏幕策略”。
c)從方法論的角度講,ISMS信息安全管理體系的基礎是風險管理。
關于風險管理過程,ISO31000:2009給出了一個框架性示意圖,見下圖。
風險管理過程
針對某一項資產,如何通過影響并確定風險的一組條件得出科學的風險等級,取決于組織所選用的具體風險評估技術的類型。常用的風險評估技術包括頭腦風暴法、FMEA、ETA、FTA、風險矩陣法等。
明確風險準則,還包括組織對可接受風險水平的確定和批準。就可以針對已識別的信息安全相關資產的脆弱性和威脅以及資產價值,進行具體的風險分析和計算,將風險按高低排序,找出高于可接受風險水平的風險,對其進行風險處置。
d)對信息安全進行管理,并不意味著將所有的資產置于絕對安全的保護措施,因為“絕對安全”的成本是巨大的。因此,需要有選擇地實施風險處置。一般來說,風險處置可考慮:風險降低、風險轉移、風險規避和風險接受。
e)準備一份《適用性聲明》,用來向相關方提供有關組織風險處置決定的信息,內容可包括選擇的控制目標和控制措施,但不宜太細,以避免過多披露控制措施的細節。
(2)“4.2.2 實施和運行ISMS”理解要點一個可執行的風險處置計劃,必然要包括以下內容:
1)計劃的任務內容;
2)任務展開與執行需要的職務、權限、責任的指派;
3)處置計劃中的技術方案與資金預算;
4)資源提供,包括充足數量的具備實施技術方案相應能力的人員、軟件或硬件產品與工具、必要的設備等。
針對風險評估的結果,需要進行處置的風險往往不止一項,風險處置計劃當然也就不止一項。對于已經識別的不可接受風險,風險處置的目的當然是要將風險水平降低到可接受水平以下。出于其他的業務經營的需要,組織也可能制定風險處置計劃,以改變原來的可能性或后果。
針對組織的信息安全管理現狀和《適用性聲明》的內容,風險處置計劃中的任務內容可能包括:
制定管理信息安全相關活動的規程;
對基礎設施和物理安全系統進行安全加固或技術更新;
對信息系統的硬件或軟件實施安全加固或技術更新;
對人員進行信息安全相關的知識、技能、具使用等進行培訓和有關風險后果的意識教育;
就信息安全管理規程的要求對人員進行培訓,并推行信息安全規程;
與第三方服務提供方就信息安全管理事項進行溝通和協商,等等。
風險處置計劃的實施應在受控條件下進行,責任分工明確,記錄計劃的實施,記錄計劃的實施結果,這些數據將可作為對信息安全管理績效和風險處置計劃實施后風險的變化進行評估的輸入。
(3)“4.2.3 監視和評審ISMS”理解要點
一般說來,監視和測量可分為管理性監視測量和技術性監視測量。
對系統實施技術性監視和測量,一種情況是為了實時監測系統資源的占用情況是否在安全閾值內,以及是否有安全違規情況發生和能否對這些安全違規進行有效的攔截。另一方面,這些系統中的設備硬件的耗損情況雖不需進行實時監測,但也需要根據硬件的壽命定期進行檢查,以便于及時排除因設備故障而導致的系統功能不可 用,進而影響信息的完整性。
管理性的監視和測量則是針對各種信息安全管理規程執行情況的常規檢查,通常使用以管理規程的要求為依據的檢查表的方法。例如:內部管理體系審核,以高層管理者為主導的管理評審等。
監視測量記錄都應予以保持,作為糾正或預防措施、或改進措施的信息輸入。
(4)“4.2.4 保持和改進ISMS”理解要點
各種監視測量的結果應可為確定改進措施提供信息輸入。應針對監視測量數據顯示的信息,以及相應的風險評估結果,確定改進的目標以及改進的具體措施方案。對其他組織在信息安全方面的經驗和教訓的分析,也可為本組織的改進提供輸入。
可能的改進措施可包括:
1)信息系統以及其他系統的更新或技術升級;
2)管理規程的更新和流程改善;
3)人員知識與技能的持續教育和培訓,等等。
改進過程本身應經過良好策劃,以確保改進方案的實施達到預期的目標。需要時,改進方案應與相關方協商取得一致意見后進行。
當改進項目涉及到相關方的要求時,為了確保信息安全持續地與相關方的要求一致,使組織在信息安全方面能夠持續地給予相關方信心,組織應按照預先商定的方式向所有相關方溝通改進方案實施的細節。
3、ISO27001標準“4.3 文件要求”理解
(1)“4.3.1 總則”理解要點
組織的信息安全管理體系要求應形成文件。
信息安全管理體系文件的作用可包括:
1)表述組織信息安全的統一宗旨和方向;
2)作為培訓教材,使人們對于信息安全要求有一致的理解;
3)作為人們在信息安全管理活動中的一致的行為標準;
4)作為監視和測量信息安全管理績效的一致的方法和準則;
5)作為采取糾正、預防和改進措施決策的依據;
6)作為追溯信息安全管理活動的依據。
ISO27001標準本條款列出了基本的信息安全管理體系文件的類別。在特定的組織業務運營環境中,除了ISO27001標準中(ISO27001標準正文以及附錄A)明確要求“形成文件”的內容外,所有體現組織信息安全管理要求的文件,都是組織信息安全管理體系文件的一部分。
按照組織的規模、業務活動特點和性質、技術應用的程度等其他內、外部環境的需求,這些文件可能以“程序”或“規程”的形式出現,也可能以“規范”或“規則”、“標準”、“操作說明”或“作業指導書”等其他適用的形式出現。
ISO27001標準并沒有列出所有的信息安全管理體系文件類別,亦沒有對文件數量提出要求。文件的多少與詳略程度取決于組織自身的信息安全管理需求。承載文件的介質可以是紙介質、電子介質或其他類型的適用介質,取決于文件使用者的需要以及組織實施文件管理的需要和安全要求。
(2)“4.3.2 文件控制”理解要點
組織的ISMS信息安全管理體系文件本身亦應作為信息資產予以管理,以確保這些文件的完整性和可用性,以及必要的保密性,這就是為什么管理體系文件需要受控。標準本 條款針對文件的發布、分發、使用、修改、作廢各階段的控制提出了要求,同時要求編制形成文件的規程,以規定和描述ISO27001標準本條款的要求在組織環境如何執行和實現。
(3)“4.3.3 記錄控制”理解要點
管理體系運行的記錄應予以保持。記錄應真實、信息完整、相關活動的責任人信息明確。為記錄設計唯一的標識,使得相應活動的發生被唯一地追溯。
記錄保存的期限,取決于組織和相關方需要追溯記錄的時間期限。一般情況下,記錄的保存期限應不低于記錄所指對象的自然生命周期。
記錄的介質形式可以有多種,紙介質、圖片、膠片、磁帶、光盤、磁盤等,都可能用作記錄的載體。
記錄貯存期間的保護方法,就取決于這些介質的性質,例如防火、防水、防熱、防光照、防壓力、防磁、防小動物等,都有可能是需要考慮的內容。
為確保記錄不會在存貯期間失效,須安排定期對記錄進行完整性、可用性的檢查,并根據需要考慮重新備份。
關于各類記錄的具體管理要求和方法,組織應編制形成文件的規程,所謂“形成文件的規程”,可以是獨立的一份文件,也可以融合在其他規程中,例如,描述某項活動具體實施步驟的規程。
ohsas18001職業健康安全內部審核化學品倉庫檢查表范本
海口iso9001認證,海口iso9001
清潔服務認證五星,清潔服務認證介紹
河南省高新技術企業申報時間
emark認證資質證書
裝修市場“全包”式裝修投訴不斷,售后服務“坑”多
管理的痛點,改善的起點!(值得收藏)
去哪代辦企業信用評價AAA級信用企業要多少錢
組織建立ISMS信息安全管理體系,首先須考慮的是:
a)在其整體業務框架下,其業務運營面臨的內部、外部環境中,有哪些相關方?
b)他們對組織業務運營的要求有哪些?
c)相關方的意見對組織確定信息安全方針和策略的影響程度、內容及方式是什么?
組織應對這些環境因素給予充分的了解,進而考慮對其具體的業務過程活動中的信息安全需求和風險進行識別和評價,針對所評估的風險以及組織可接受的風險水平, 設計適合于組織經營環境以及業務性質的信息安全管理體系,并將相應的信息安全管理過程以及控制措施要求形成文件,予以批準、發布和實施。
對于運行中的ISMS信息安全管理體系,組織還應按照規定的程序、方法和準則對ISMS信息安全管理體系的運行績效以及信息安全風險的狀況進行持續地監視和評審,適時采取糾正、預防和改進措施。
組織運營的內部、外部環境往往處在不斷的變化之中,這些變化可能會給組織的信息安全帶來新的風險,也可能會影響組織已識別和評價的風險,因此組織的ISMS信息安全管理體系應隨著這些變化適時予以改進和更新。
組織的ISMS信息安全管理體系的建立、實施、保持和改進應體現PDCA循環的思想。
2、ISO27001標準“4.2 建立和管理ISMS”要點
(1)“4.2.1 建立ISMS”理解要點
a)在組織的整體業務框架下,確定ISMS的范圍和邊界,即確定在哪些業務活動中應用本標準,是組織設計ISMS信息安全管理體系要做的第一項工作。
信息安全管理體系的范圍和邊界的確定,以及相應的業務和活動以及其支持性活動中涉及到的技術和資產,則決定了ISO27001標準附錄A中列出的控制措施要求的適用性。但對于ISO27001標準附錄A的刪減的細節,還需要在詳細識別了資產之后才能確定。
b)所謂“方針”,即實施某項活動的指導原則和行動路線,它可以是一個組織在其整體業務范圍框架下開展某項活動的總的指導原則和行動路線,也可以是針對某項具體活動的指導原則和行動路線。
對于前一種情況,實例包括組織的質量方針、組織的信息安全方針等,對于后一種情況,為了便于區分,在本標準中使用了“策略”一詞表述,例如,“清空桌面和屏幕策略”。
c)從方法論的角度講,ISMS信息安全管理體系的基礎是風險管理。
關于風險管理過程,ISO31000:2009給出了一個框架性示意圖,見下圖。
風險管理過程
針對某一項資產,如何通過影響并確定風險的一組條件得出科學的風險等級,取決于組織所選用的具體風險評估技術的類型。常用的風險評估技術包括頭腦風暴法、FMEA、ETA、FTA、風險矩陣法等。
明確風險準則,還包括組織對可接受風險水平的確定和批準。就可以針對已識別的信息安全相關資產的脆弱性和威脅以及資產價值,進行具體的風險分析和計算,將風險按高低排序,找出高于可接受風險水平的風險,對其進行風險處置。
d)對信息安全進行管理,并不意味著將所有的資產置于絕對安全的保護措施,因為“絕對安全”的成本是巨大的。因此,需要有選擇地實施風險處置。一般來說,風險處置可考慮:風險降低、風險轉移、風險規避和風險接受。
e)準備一份《適用性聲明》,用來向相關方提供有關組織風險處置決定的信息,內容可包括選擇的控制目標和控制措施,但不宜太細,以避免過多披露控制措施的細節。
(2)“4.2.2 實施和運行ISMS”理解要點一個可執行的風險處置計劃,必然要包括以下內容:
1)計劃的任務內容;
2)任務展開與執行需要的職務、權限、責任的指派;
3)處置計劃中的技術方案與資金預算;
4)資源提供,包括充足數量的具備實施技術方案相應能力的人員、軟件或硬件產品與工具、必要的設備等。
針對風險評估的結果,需要進行處置的風險往往不止一項,風險處置計劃當然也就不止一項。對于已經識別的不可接受風險,風險處置的目的當然是要將風險水平降低到可接受水平以下。出于其他的業務經營的需要,組織也可能制定風險處置計劃,以改變原來的可能性或后果。
針對組織的信息安全管理現狀和《適用性聲明》的內容,風險處置計劃中的任務內容可能包括:
制定管理信息安全相關活動的規程;
對基礎設施和物理安全系統進行安全加固或技術更新;
對信息系統的硬件或軟件實施安全加固或技術更新;
對人員進行信息安全相關的知識、技能、具使用等進行培訓和有關風險后果的意識教育;
就信息安全管理規程的要求對人員進行培訓,并推行信息安全規程;
與第三方服務提供方就信息安全管理事項進行溝通和協商,等等。
風險處置計劃的實施應在受控條件下進行,責任分工明確,記錄計劃的實施,記錄計劃的實施結果,這些數據將可作為對信息安全管理績效和風險處置計劃實施后風險的變化進行評估的輸入。
(3)“4.2.3 監視和評審ISMS”理解要點
一般說來,監視和測量可分為管理性監視測量和技術性監視測量。
對系統實施技術性監視和測量,一種情況是為了實時監測系統資源的占用情況是否在安全閾值內,以及是否有安全違規情況發生和能否對這些安全違規進行有效的攔截。另一方面,這些系統中的設備硬件的耗損情況雖不需進行實時監測,但也需要根據硬件的壽命定期進行檢查,以便于及時排除因設備故障而導致的系統功能不可 用,進而影響信息的完整性。
管理性的監視和測量則是針對各種信息安全管理規程執行情況的常規檢查,通常使用以管理規程的要求為依據的檢查表的方法。例如:內部管理體系審核,以高層管理者為主導的管理評審等。
監視測量記錄都應予以保持,作為糾正或預防措施、或改進措施的信息輸入。
(4)“4.2.4 保持和改進ISMS”理解要點
各種監視測量的結果應可為確定改進措施提供信息輸入。應針對監視測量數據顯示的信息,以及相應的風險評估結果,確定改進的目標以及改進的具體措施方案。對其他組織在信息安全方面的經驗和教訓的分析,也可為本組織的改進提供輸入。
可能的改進措施可包括:
1)信息系統以及其他系統的更新或技術升級;
2)管理規程的更新和流程改善;
3)人員知識與技能的持續教育和培訓,等等。
改進過程本身應經過良好策劃,以確保改進方案的實施達到預期的目標。需要時,改進方案應與相關方協商取得一致意見后進行。
當改進項目涉及到相關方的要求時,為了確保信息安全持續地與相關方的要求一致,使組織在信息安全方面能夠持續地給予相關方信心,組織應按照預先商定的方式向所有相關方溝通改進方案實施的細節。
3、ISO27001標準“4.3 文件要求”理解
(1)“4.3.1 總則”理解要點
組織的信息安全管理體系要求應形成文件。
信息安全管理體系文件的作用可包括:
1)表述組織信息安全的統一宗旨和方向;
2)作為培訓教材,使人們對于信息安全要求有一致的理解;
3)作為人們在信息安全管理活動中的一致的行為標準;
4)作為監視和測量信息安全管理績效的一致的方法和準則;
5)作為采取糾正、預防和改進措施決策的依據;
6)作為追溯信息安全管理活動的依據。
ISO27001標準本條款列出了基本的信息安全管理體系文件的類別。在特定的組織業務運營環境中,除了ISO27001標準中(ISO27001標準正文以及附錄A)明確要求“形成文件”的內容外,所有體現組織信息安全管理要求的文件,都是組織信息安全管理體系文件的一部分。
按照組織的規模、業務活動特點和性質、技術應用的程度等其他內、外部環境的需求,這些文件可能以“程序”或“規程”的形式出現,也可能以“規范”或“規則”、“標準”、“操作說明”或“作業指導書”等其他適用的形式出現。
ISO27001標準并沒有列出所有的信息安全管理體系文件類別,亦沒有對文件數量提出要求。文件的多少與詳略程度取決于組織自身的信息安全管理需求。承載文件的介質可以是紙介質、電子介質或其他類型的適用介質,取決于文件使用者的需要以及組織實施文件管理的需要和安全要求。
(2)“4.3.2 文件控制”理解要點
組織的ISMS信息安全管理體系文件本身亦應作為信息資產予以管理,以確保這些文件的完整性和可用性,以及必要的保密性,這就是為什么管理體系文件需要受控。標準本 條款針對文件的發布、分發、使用、修改、作廢各階段的控制提出了要求,同時要求編制形成文件的規程,以規定和描述ISO27001標準本條款的要求在組織環境如何執行和實現。
(3)“4.3.3 記錄控制”理解要點
管理體系運行的記錄應予以保持。記錄應真實、信息完整、相關活動的責任人信息明確。為記錄設計唯一的標識,使得相應活動的發生被唯一地追溯。
記錄保存的期限,取決于組織和相關方需要追溯記錄的時間期限。一般情況下,記錄的保存期限應不低于記錄所指對象的自然生命周期。
記錄的介質形式可以有多種,紙介質、圖片、膠片、磁帶、光盤、磁盤等,都可能用作記錄的載體。
記錄貯存期間的保護方法,就取決于這些介質的性質,例如防火、防水、防熱、防光照、防壓力、防磁、防小動物等,都有可能是需要考慮的內容。
為確保記錄不會在存貯期間失效,須安排定期對記錄進行完整性、可用性的檢查,并根據需要考慮重新備份。
關于各類記錄的具體管理要求和方法,組織應編制形成文件的規程,所謂“形成文件的規程”,可以是獨立的一份文件,也可以融合在其他規程中,例如,描述某項活動具體實施步驟的規程。
ohsas18001職業健康安全內部審核化學品倉庫檢查表范本
海口iso9001認證,海口iso9001
清潔服務認證五星,清潔服務認證介紹
河南省高新技術企業申報時間
emark認證資質證書
裝修市場“全包”式裝修投訴不斷,售后服務“坑”多
管理的痛點,改善的起點!(值得收藏)
去哪代辦企業信用評價AAA級信用企業要多少錢