ISO27001-2013信息安全管理体系要求.

目录前言(30引言(40.1总则(40.2与其他管理系统标准的兼容性(41.范围(52规范性引用文件(53术语和定义(54组织景况(54.1了解组织及其景况(54.2了解相关利益方的需求和期望(54.3确立信息安全管理体系的范围(64.4信息安全管理体系(65领导(65.1领导和承诺(65.2方针(65.3组织的角色,职责和权限(76.计划(76.1应对风险和机遇的行为(76.2信息安全目标及达成目标的计划(97支持(97.1资源(97.2权限(97.3意识(107.4沟通(107.5记录信息(108操作(118.1操作的计划和控制措施(118.2信息安全风险评估(118.3信息安全风险处置(119性能评价(129.1监测、测量、分析和评价(129.2内部审核(129.3管理评审(1210改进(1310.1不符合和纠正措施(1310.2持续改进(14附录A(规范参考控制目标和控制措施(15参考文献(28前言0引言0.1总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。ISO/IEC27000参考信息安全管理体系标准族(包括ISO/IEC27003[2]、ISO/IEC27004[3]、ISO/IEC27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。0.2与其他管理体系标准的兼容性本标准应用了ISO/IEC导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。信息技术——安全技术——信息安全管理体系——要求1.范围本标准规定了在组织环境(context下建立、实施、运行、保持和持续改进信息安全管理体系的要求。本标准还包括了根据组织需求而进行的信息安全风险评估和处置的要求。本标准规定的要求是通用的,适用于各种类型、规模或性质的组织。组织声称符合本标准时,对于第4章到第10章的要求不能删减。2规范性引用文件下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改适用于本标准。ISO/IEC27000,信息技术——安全技术——信息安全管理体系——概述和词汇。3术语和定义ISO/IEC27000中界定的术语和定义适用于本文件。4组织环境(context4.1理解组织及其环境(context组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部情况(issue。注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内容。4.2理解相关方的需求和期望组织应确定:a信息安全管理体系相关方;b这些相关方的信息安全要求。注:相关方的要求可包括法律法规要求和合同义务。4.3确定信息安全管理体系范围组织应确定信息安全管理体系的边界及其适用性以建立其范围。在确定范围时,组织应考虑:a4.1中提到的外部和内部情况;b4.2中提到的要求;c组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。该范围应形成文件化信息并可用。4.4信息安全管理体系组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。5领导力5.1领导力和承诺最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺:a确保信息安全方针和信息安全目标已建立,并与组织战略方向一致;b确保将信息安全管理体系要求整合到组织过程中;c确保信息安全管理体系所需资源可用;d传达有效的信息安全管理及符合信息安全管理体系要求的重要性;e确保信息安全管理体系达到预期结果;f指导并支持相关人员为信息安全管理体系有效性做出贡献;g促进持续改进;h支持其他相关管理者角色,在其职责范围内展现领导力。5.2方针最高管理者应建立信息安全方针,方针应:a与组织意图相适宜;b包括信息安全目标(见6.2或为信息安全目标的设定提供框架;c包括对满足适用的信息安全要求的承诺;d包括持续改进信息安全管理体系的承诺。信息安全方针应:e形成文件化信息并可用;f在组织内得到沟通;g适当时,对相关方可用。5.3组织的角色,职责和权限最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。最高管理者应分配职责和权限,以:a确保信息安全管理体系符合本标准的要求;b向最高管理者报告信息安全管理体系绩效。注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。6.规划6.1应对风险和机会的措施6.1.1总则当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:a确保信息安全管理体系能实现预期结果;b预防或减少意外的影响;c实现持续改进。组织应规划:d应对这些风险和机会的措施;e如何:1将这些措施整合到信息安全管理体系过程中,并予以实施;2评价这些措施的有效性。6.1.2信息安全风险评估组织应定义并应用信息安全风险评估过程,以:a建立和维护信息安全风险准则,包括:1风险接受准则;2信息安全风险评估实施准则。b确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果;c识别信息安全风险:1应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密性、完整性和可用性损失有关的风险;2识别风险责任人;d分析信息安全风险:1评估6.1.2c1中所识别的风险发生后,可能导致的潜在后果;2评估6.1.2c1中所识别的风险实际发生的可能性;3确定风险级别;e评价信息安全风险:1将风险分析结果与6.1.2a中建立的风险准则进行比较;2排列已分析风险的优先顺序,以便于风险处置。组织应保留信息安全风险评估过程的文件化信息。6.1.3信息安全风险处置组织应定义并应用信息安全风险处置过程,以:a在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;b确定实施已选的信息安全风险处置选项所必需的全部控制措施;注:组织可根据需要设计控制措施,或从任何来源识别控制措施。c将6.1.3b确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏必要的控制措施;注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。d制定适用性声明,包含必要的控制措施(见6.1.3b和c及其选择的合理性说明(无论该控制措施是否已实施,以及对附录A控制措施删减的合理性说明;e制定信息安全风险处置计划;f获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接受。组织应保留信息安全风险处置过程的文件化信息。注:本标准中的信息安全风险评估和处置过程与ISO31000[5]中给出的原则和通用指南6.2信息安全目标和实现规划组织应在相关职能和层次上建立信息安全目标。信息安全目标应:a与信息安全方针一致;b可测量(如可行;c考虑适用的信息安全要求,以及风险评估和风险处置的结果;d得到沟通;e在适当时更新。组织应保留信息安全目标的文件化信息。在规划如何实现信息安全目标时,组织应确定:f要做什么;g需要什么资源;h由谁负责;i什么时候完成;j如何评价结果。7支持7.1资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。7.2能力组织应:a确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能力;b确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作;c适用时,采取措施以获得必要的能力,并评估所采取措施的有效性;d保留适当的文件化信息作为能力的证据。注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有7.3意识在组织控制下工作的人员应了解:a信息安全方针;b其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处;c不符合信息安全管理体系要求带来的影响。7.4沟通组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括:a沟通内容;b沟通时间;c沟通对象;d谁应负责沟通;e影响沟通的过程。7.5文件化信息7.5.1总则组织的信息安全管理体系应包括:a本标准要求的文件化信息;b组织为有效实施信息安全管理体系所确定的必要的文件化信息。注:不同组织的信息安全管理体系文件化信息的详略程度取决于:1组织的规模及其活动、过程、产品和服务的类型;2过程的复杂性及其相互作用;3人员的能力。7.5.2创建和更新创建和更新文件化信息时,组织应确保适当的:a标识和描述(例如标题、日期、作者或编号;b格式(例如语言、软件版本、图表和介质(例如纸质、电子介质;c对适宜性和充分性的评审和批准。7.5.3文件化信息的控制信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保:a在需要的地点和时间,是可用和适宜的;b得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等。为控制文件化信息,适用时,组织应开展以下活动:c分发,访问,检索和使用;d存储和保护,包括保持可读性;e控制变更(例如版本控制;f保留和处置。组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。注:访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。8运行8.1运行规划和控制组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。组织应保持文件化信息达到必要的程度,以确信过程按计划得到执行。组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。组织应确保外包过程得到确定和控制。8.2信息安全风险评估组织应考虑6.1.2a建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。组织应保留信息安全风险评估结果的文件化信息。8.3信息安全风险处置组织应实施信息安全风险处置计划。组织应保留信息安全风险处置结果的文件化信息。9绩效评价9.1监视、测量、分析和评价组织应评价信息安全绩效和信息安全管理体系的有效性。组织应确定:a需要被监视和测量的内容,包括信息安全过程和控制措施;b监视、测量、分析和评价的方法,适用时,以确保得到有效的结果。注:所选的方法宜产生可比较和可再现的有效结果。c何时应执行监视和测量;d谁应监视和测量;e何时应分析和评价监视和测量的结果;f谁应分析和评价这些结果。组织应保留适当的文件化信息作为监视和测量结果的证据。9.2内部审核组织应按计划的时间间隔进行内部审核,提供信息以确定信息安全管理体系是否:a符合1组织自身对信息安全管理体系的要求;2本标准的要求。b得到有效实施和保持。组织应:c规划、建立、实施和保持审核方案(一个或多个,包括审核频次、方法、职责、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果;d确定每次审核的审核准则和范围;e选择审核员,实施审核,确保审核过程的客观性和公正性;f确保将审核结果报告至相关管理者;g保留文件化信息作为审核方案和审核结果的证据。9.3管理评审最高管理者应按计划的时间间