ISO14001:2015 標(biāo)準(zhǔn)-2

時(shí)間：2021-12-01作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長(zhǎng)春分公司瀏覽：168

4 信息安全管理體系（ISMS） 

 

4.1 總要求 

 

組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。在本標(biāo)準(zhǔn)中，所使用的過(guò)程基于圖1所示的PDCA模型。 

 

4.2 建立和管理ISMS 

 

4.2.1 建立ISMS 

 

組織要做以下方面的工作： 

 

a) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由（見(jiàn)1.2）。 

 

b) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針。ISMS方針應(yīng)： 

 

1) 包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則； 

 

2) 考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)； 

 

3) 在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持ISMS； 

 

4) 建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則[見(jiàn)4.2.1 c]]； 

 

5) 獲得管理者批準(zhǔn)。 

 

注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在一個(gè)文件中進(jìn)行描述。 

 

c) 確定組織的風(fēng)險(xiǎn)評(píng)估方法 

 

1）識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。 

 

2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別（見(jiàn)5.1f）。 

 

選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。 

 

注：風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù) IT安全管理指南：IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。 

 

d) 識(shí)別風(fēng)險(xiǎn) 

 

1) 識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人2； 

 

2) 識(shí)別資產(chǎn)所面臨的威脅； 

 

3) 識(shí)別可能被威脅利用的脆弱點(diǎn)； 

 

4) 識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。 

 

e) 分析和評(píng)價(jià)風(fēng)險(xiǎn) 

 

1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評(píng)估安全失誤可能造成的對(duì)組織的影響。 

 

2) 評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)

 

施的控制措施。 

 

3) 估計(jì)風(fēng)險(xiǎn)的級(jí)別。 

 

4) 確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處

 

理。 

 

f) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施 

 

可能的措施包括： 

 

1) 采用適當(dāng)?shù)目刂拼胧?nbsp;

 

2) 在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識(shí)地、客觀地接受風(fēng)險(xiǎn)[見(jiàn)4.2.1 c)2)]； 

 

3) 避免風(fēng)險(xiǎn)； 

 

4) 將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。 

 

g) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 

 

控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施，以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見(jiàn)4.2.1c）2））以及法律法規(guī)和合同要求。 

 

從附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過(guò)程的一部分，該過(guò)程適合于滿足這些已識(shí)別的要求。 

 

附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。 

 

注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為選擇控制措施的出發(fā)點(diǎn)，以確保不會(huì)遺漏重要的可選控制措施。 

 

h) 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn) 

 

i) 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán) 

 

j) 準(zhǔn)備適用性聲明（SoA） 

 

應(yīng)從以下幾方面準(zhǔn)備適用性聲明： 

 

1） 4.2.1 g）所選擇的控制目標(biāo)和控制措施，以及選擇的理由； 

 

2） 當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見(jiàn)4.2.1e）2））； 

 

3） 對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說(shuō)明。 

注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說(shuō)明提供交叉檢查，以證明不會(huì)因疏忽而遺漏控制措施。 

 

4.2.2 實(shí)施和運(yùn)行ISMS 

 

組織應(yīng)： 

 

a) 為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和**順序，即：制定風(fēng)險(xiǎn)處理計(jì)劃（見(jiàn)*5章）。 

 

b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。 

 

c) 實(shí)施4.2.1 g）中所選擇的控制措施，以滿足控制目標(biāo)。 

 

d) 確定如何測(cè)量所選擇的控制措施或控制措施集的有效性，并指明如何用來(lái)評(píng)估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見(jiàn)4.2.3c)）。 

 

注：測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到既定的控制目標(biāo)的程度。 

 

e) 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見(jiàn)5.2.2）。 

 

f) 管理ISMS的運(yùn)行。 

 

g) 管理ISMS的資源（見(jiàn)5.2）。 

 

h) 實(shí)施能夠*檢測(cè)安全事態(tài)和響應(yīng)安全事件的程序和其他控制措施（見(jiàn)4.2.3）a））。 

 

4.2.3 監(jiān)視和評(píng)審ISMS 

 

組織應(yīng)： 

a) 執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施，以： 

 

1) *檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤； 

 

2) *識(shí)別試圖的和得逞的安全違規(guī)和事件； 

 

3) 使管理者能夠確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行； 

 

4) 通過(guò)使用指示器，幫助檢測(cè)安全事態(tài)并預(yù)防安全事件； 

 

5) 確定解決安全違規(guī)的措施是否有效。 

 

b) 在考慮安全審核結(jié)果、事件、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行ISMS有效性的定期評(píng)審（包括滿足ISMS方針和目標(biāo)，以及安全控制措施的評(píng)審）。 

 

c) 測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。 

 

d) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審，應(yīng)考慮以下方面的變化： 

 

1) 組織； 

 

2) 技術(shù)； 

 

3) 業(yè)務(wù)目標(biāo)和過(guò)程； 

 

4) 已識(shí)別的威脅； 

 

5) 已實(shí)施的控制措施的有效性； 

 

6) 外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。 

 

e) 按計(jì)劃的時(shí)間間隔，實(shí)施ISMS內(nèi)部審核（見(jiàn)*6章）。 

 

注：內(nèi)部審核，有時(shí)稱(chēng)為**方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進(jìn)行的審核。 

 

f) 定期進(jìn)行ISMS管理評(píng)審，以確保ISMS范圍保持充分，ISMS過(guò)程的改進(jìn)得到識(shí)別（見(jiàn)7.1）。 

 

g) 考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以較新安全計(jì)劃。 

 

h) 記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事態(tài)（見(jiàn)4.3.3）。 

 

4.2.4 保持和改進(jìn)ISMS 

 

組織應(yīng)經(jīng)常： 

 

a) 實(shí)施已識(shí)別的ISMS改進(jìn)措施。 

 

b) 依照8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。 

 

c) 向所有相關(guān)方溝通措施和改進(jìn)情況，其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng)，需要時(shí)，商定如何進(jìn)行。 

 

d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。 

 

4.3 文件要求 

 

4.3.1 總則 

 

文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。 

 

重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果、并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系。 

 

ISMS文件應(yīng)包括： 

 

a) 形成文件的ISMS方針[見(jiàn)4.2.1b）]和目標(biāo)； 

 

b) ISMS的范圍[見(jiàn)4.2.la）]； 

 

c) 支持ISMS的程序和控制措施； 

 

d) 風(fēng)險(xiǎn)評(píng)估方法的描述[見(jiàn)4.2.1c）]； 

 

e) 風(fēng)險(xiǎn)評(píng)估報(bào)告 [見(jiàn)4.2.1c）到4.2.1g）]； 

 

f) 風(fēng)險(xiǎn)處理計(jì)劃[見(jiàn)4.2.2b）]； 

 

g) 組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的程序（見(jiàn)4.2.3c））； 

 

5 

 

h) 本標(biāo)準(zhǔn)所要求的記錄（見(jiàn)4.3.3）； 

 

i) 適用性聲明。 

 

注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實(shí)施和保持。 

 

注2：不同組織的ISMS文件的詳略程度取決于： 

 

? 組織的規(guī)模和活動(dòng)的類(lèi)型； 

 

? 安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度； 

 

注3：文件和記錄可以采用任何形式或類(lèi)型的介質(zhì)。 

 

4.3.2 文件控制 

 

ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施： 

 

a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?nbsp;

 

b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審、較新并再次批準(zhǔn)； 

 

c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí)； 

 

d) 確保在使用處可獲得適用文件的相關(guān)版本； 

 

e) 確保文件保持清晰、易于識(shí)別； 

 

f) 確保文件對(duì)需要的人員可用，并依照文件適用的類(lèi)別程序進(jìn)行傳輸、貯存和較終銷(xiāo)毀； 

 

g) 確保外來(lái)文件得到標(biāo)識(shí)； 

 

h) 確保文件的分發(fā)得到控制； 

 

i) 防止作廢文件的非預(yù)期使用； 

 

j) 若因任何目的而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。 

 

4.3.3 記錄控制 

 

記錄應(yīng)建立并加以保持，以提供符合ISMS要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。 

 

應(yīng)保留4.2中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的重大安全事件的記錄。 

 

例如：記錄包括訪客登記薄、審核報(bào)告和已完成的訪問(wèn)授權(quán)單。 

 





中泰智聯(lián)（北京）認(rèn)證中心有限公司長(zhǎng)春分公司專(zhuān)注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠(chéng)信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說(shuō)明

• 包裝材料企業(yè)ISO9001知識(shí)

  ??1.影響組織的環(huán)境因素、相關(guān)方要求和適用的重要法律/法規(guī)和合規(guī)性義務(wù)、以及常見(jiàn)的外部供方控制方法情況無(wú)特殊的法定要求約束。主要是安全生產(chǎn)和印刷許可。原材料供應(yīng)中的原紙質(zhì)量、EPS料的質(zhì)量需要重點(diǎn)控制，外包的模具、制版也需要注意。? ? 2.產(chǎn)品（服務(wù)）執(zhí)行的標(biāo)準(zhǔn)（國(guó)家、行業(yè)、企業(yè)標(biāo)準(zhǔn)名稱(chēng)和編號(hào)）以及出廠檢驗(yàn)項(xiàng)目和型式檢驗(yàn)項(xiàng)目、主要質(zhì)量特性檢測(cè)的監(jiān)視測(cè)量資

• 確定ISO13485*條件中的設(shè)備要求

  ?確定13485的*條件中的設(shè)備要求主要從產(chǎn)品的分類(lèi)開(kāi)始，確定產(chǎn)品標(biāo)準(zhǔn)，分析出產(chǎn)品需要達(dá)到的技術(shù)要求，從而可以確定產(chǎn)品的生產(chǎn)工藝，進(jìn)而可以確定設(shè)備要求。? ? ? ? 通常企業(yè)能生間出產(chǎn)品，并得到客戶的確認(rèn)，一般都滿足設(shè)備要求。? ? ? ? 除了需要配備適用的設(shè)備外，還需要注意設(shè)備的管理。?

• ISO14001推行的詳細(xì)過(guò)程及相關(guān)資料

  1、ISO14001項(xiàng)目推行計(jì)劃 ?2、任命項(xiàng)目負(fù)責(zé)人（或環(huán)境管理者代表） ?3、確定環(huán)境管理組織架構(gòu)及部門(mén)職責(zé)?4、成立ISO14001體系推行小組?5、各部門(mén)運(yùn)作流程圖及工序流程圖?6、繪制廠房平面圖布置圖?7、繪制消防器材配置圖和緊急逃生圖?8、繪制生活廢水/工業(yè)廢水/工業(yè)廢氣排放管網(wǎng)圖?9、環(huán)境體系標(biāo)準(zhǔn)培訓(xùn)，環(huán)

• 食品安全性管理的發(fā)展趨勢(shì)（1）

  引言食源性危害和食品安全性評(píng)價(jià)食品安全性管理措施澳大利亞風(fēng)險(xiǎn)分析應(yīng)用情況對(duì)實(shí)施食品安全性管理的幾點(diǎn)看法結(jié)束語(yǔ)一、引言人類(lèi)生存在這個(gè)地球上，安全是**的需要，安全的定義就是"防范潛在的危險(xiǎn)"。在社會(huì)活動(dòng)中發(fā)生一些危險(xiǎn)是難免的，所謂的危險(xiǎn)就是可能造成傷害或破壞的根源，或者是可能導(dǎo)致傷害或破壞的某種狀態(tài)。一般來(lái)說(shuō)，如果遭遇某種危險(xiǎn)的概率**十萬(wàn)分之一，屬于低風(fēng)險(xiǎn)，我們稍加提防就能坦然處之；但如果危險(xiǎn)概率