ISO 27000 標(biāo)準(zhǔn)2

時間：2021-12-29作者：中泰智聯(lián)（北京）認證中心有限公司長春分公司瀏覽：174

4 信息安全管理體系（ISMS） 

 

4.1 總要求 

 

組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。在本標(biāo)準(zhǔn)中，所使用的過程基于圖1所示的PDCA模型。 

 

4.2 建立和管理ISMS 

 

4.2.1 建立ISMS 

 

組織要做以下方面的工作： 

 

a) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細說明和正當(dāng)性理由（見1.2）。 

 

b) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針。ISMS方針應(yīng)： 

 

1) 包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則； 

 

2) 考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)； 

 

3) 在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS； 

 

4) 建立風(fēng)險評價的準(zhǔn)則[見4.2.1 c]]； 

 

5) 獲得管理者批準(zhǔn)。 

 

注：就本標(biāo)準(zhǔn)的目的而言，ISMS方針被認為是信息安全方針的一個擴展集。這些方針可以在一個文件中進行描述。 

 

c) 確定組織的風(fēng)險評估方法 

 

1）識別適合ISMS、已識別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險評估方法。 

 

2）制定接受風(fēng)險的準(zhǔn)則，識別可接受的風(fēng)險級別（見5.1f）。 

 

選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。 

 

注：風(fēng)險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù) IT安全管理指南：IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子。 

 

d) 識別風(fēng)險 

 

1) 識別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人2； 

 

2) 識別資產(chǎn)所面臨的威脅； 

 

3) 識別可能被威脅利用的脆弱點； 

 

4) 識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。 

 

e) 分析和評價風(fēng)險 

 

1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造成的對組織的影響。 

 

2) 評估由主要威脅和脆弱點導(dǎo)致安全失誤的現(xiàn)實可能性、對資產(chǎn)的影響以及當(dāng)前所實

 

施的控制措施。 

 

3) 估計風(fēng)險的級別。 

 

4) 確定風(fēng)險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險的準(zhǔn)則進行處

 

理。 

 

f) 識別和評價風(fēng)險處理的可選措施 

可能的措施包括： 

1) 采用適當(dāng)?shù)目刂拼胧?nbsp;

2) 在明顯滿足組織方針策略和接受風(fēng)險的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險[見4.2.1 c)2)]； 

3) 避免風(fēng)險； 

4) 將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其他方，如：保險，供應(yīng)商等。 

g) 為處理風(fēng)險選擇控制目標(biāo)和控制措施 

控制目標(biāo)和控制措施應(yīng)加以選擇和實施，以滿足風(fēng)險評估和風(fēng)險處理過程中所識別的要求。這種選擇應(yīng)考慮接受風(fēng)險的準(zhǔn)則（見4.2.1c）2））以及法律法規(guī)和合同要求。 

從附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識別的要求。 

附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另外的控制目標(biāo)和控制措施。 

注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的可選控制措施。 

h) 獲得管理者對建議的殘余風(fēng)險的批準(zhǔn) 

i) 獲得管理者對實施和運行ISMS的授權(quán) 

j) 準(zhǔn)備適用性聲明（SoA） 

應(yīng)從以下幾方面準(zhǔn)備適用性聲明： 

1） 4.2.1 g）所選擇的控制目標(biāo)和控制措施，以及選擇的理由； 

2） 當(dāng)前實施的控制目標(biāo)和控制措施（見4.2.1e）2））； 

3） 對附錄A中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。 

注：適用性聲明提供了一份關(guān)于風(fēng)險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺漏控制措施。 

4.2.2 實施和運行ISMS 

組織應(yīng)： 

a) 為管理信息安全風(fēng)險識別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和**順序，即：制定風(fēng)險處理計劃（見*5章）。 

b) 實施風(fēng)險處理計劃以達到已識別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配。 

c) 實施4.2.1 g）中所選擇的控制措施，以滿足控制目標(biāo)。 

d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果（見4.2.3c)）。 

注：測量控制措施的有效性可使管理者和員工確定控制措施達到既定的控制目標(biāo)的程度。 

e) 實施培訓(xùn)和意識教育計劃（見5.2.2）。 

f) 管理ISMS的運行。 

g) 管理ISMS的資源（見5.2）。 

h) 實施能夠*檢測安全事態(tài)和響應(yīng)安全事件的程序和其他控制措施（見4.2.3）a））。 

4.2.3 監(jiān)視和評審ISMS 

組織應(yīng)： 

a) 執(zhí)行監(jiān)視與評審程序和其它控制措施，以： 

1) *檢測過程運行結(jié)果中的錯誤； 

2) *識別試圖的和得逞的安全違規(guī)和事件； 

3) 使管理者能夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否被如期執(zhí)行； 

4) 通過使用指示器，幫助檢測安全事態(tài)并預(yù)防安全事件； 

5) 確定解決安全違規(guī)的措施是否有效。 

b) 在考慮安全審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進行ISMS有效性的定期評審（包括滿足ISMS方針和目標(biāo)，以及安全控制措施的評審）。 

c) 測量控制措施的有效性以驗證安全要求是否被滿足。 

d) 按照計劃的時間間隔進行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進行評審，應(yīng)考慮以下方面的變化： 

1) 組織； 

2) 技術(shù)； 

3) 業(yè)務(wù)目標(biāo)和過程； 

4) 已識別的威脅； 

5) 已實施的控制措施的有效性； 

6) 外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。 

e) 按計劃的時間間隔，實施ISMS內(nèi)部審核（見*6章）。 

注：內(nèi)部審核，有時稱為**方審核，是用于內(nèi)部目的，由組織自己或以組織的名義所進行的審核。 

f) 定期進行ISMS管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到識別（見7.1）。 

g) 考慮監(jiān)視和評審活動的結(jié)果，以較新安全計劃。 

h) 記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事態(tài)（見4.3.3）。 

4.2.4 保持和改進ISMS 

組織應(yīng)經(jīng)常： 

a) 實施已識別的ISMS改進措施。 

b) 依照8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓(xùn)。 

c) 向所有相關(guān)方溝通措施和改進情況，其詳細程度應(yīng)與環(huán)境相適應(yīng)，需要時，商定如何進行。 

d) 確保改進達到了預(yù)期目標(biāo)。 

4.3 文件要求 

4.3.1 總則 

文件應(yīng)包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。 

重要的是，能夠顯示出所選擇的控制措施回溯到風(fēng)險評估和風(fēng)險處理過程的結(jié)果、并進而回溯到ISMS方針和目標(biāo)之間的關(guān)系。 

ISMS文件應(yīng)包括： 

a) 形成文件的ISMS方針[見4.2.1b）]和目標(biāo)； 

b) ISMS的范圍[見4.2.la）]； 

c) 支持ISMS的程序和控制措施； 

d) 風(fēng)險評估方法的描述[見4.2.1c）]； 

e) 風(fēng)險評估報告 [見4.2.1c）到4.2.1g）]； 

f) 風(fēng)險處理計劃[見4.2.2b）]； 

g) 組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的程序（見4.2.3c））； 

5 

h) 本標(biāo)準(zhǔn)所要求的記錄（見4.3.3）； 

i) 適用性聲明。 

注1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。 

注2：不同組織的ISMS文件的詳略程度取決于： 

? 組織的規(guī)模和活動的類型； 

? 安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度； 

注3：文件和記錄可以采用任何形式或類型的介質(zhì)。 

4.3.2 文件控制 

ISMS所要求的文件應(yīng)予以保護和控制。應(yīng)編制形成文件的程序，以規(guī)定以下方面所需的管理措施： 

a) 文件發(fā)布前得到批準(zhǔn)，以確保文件是適當(dāng)?shù)模?nbsp;

b) 必要時對文件進行評審、較新并再次批準(zhǔn)； 

c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識； 

d) 確保在使用處可獲得適用文件的相關(guān)版本； 

e) 確保文件保持清晰、易于識別； 

f) 確保文件對需要的人員可用，并依照文件適用的類別程序進行傳輸、貯存和較終銷毀； 

g) 確保外來文件得到標(biāo)識； 

h) 確保文件的分發(fā)得到控制； 

i) 防止作廢文件的非預(yù)期使用； 

j) 若因任何目的而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識。 

4.3.3 記錄控制 

記錄應(yīng)建立并加以保持，以提供符合ISMS要求和有效運行的證據(jù)。記錄應(yīng)加以保護和控制。ISMS的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識別和檢索。記錄的標(biāo)識、貯存、保護、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實施。 

應(yīng)保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的重大安全事件的記錄。 

例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權(quán)單。 

5 管理職責(zé) 

5.1 管理承諾 

管理者應(yīng)通過以下活動，對建立、實施、運行、監(jiān)視、評審、保持和改進ISMS的承諾提供證據(jù)： 

a) 制定ISMS方針； 

b) 確保ISMS目標(biāo)和計劃得以制定； 

c) 建立信息安全的角色和職責(zé)； 

d) 向組織傳達滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性； 

e) 提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS （見5.2.1）； 

f) 決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受級別； 

g) 確保ISMS內(nèi)部審核的執(zhí)行（見*6章）； 

h) 實施ISMS的管理評審（見*7章）。 

5.2 資源管理 

5.2.1 資源提供 

組織應(yīng)確定并提供所需的資源，以： 

a) 建立、實施、運行、監(jiān)視、評審、保持和改進ISMS； 

b) 確保信息安全程序支持業(yè)務(wù)要求； 

c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務(wù)； 

d) 通過正確實施所有的控制措施保持適當(dāng)?shù)陌踩?nbsp;

e) 必要時，進行評審，并適當(dāng)響應(yīng)評審的結(jié)果； 

f) 在需要時，改進ISMS的有效性。 

5.2.2 培訓(xùn)、意識和能力 

組織應(yīng)通過以下方式，確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力： 

a) 確定從事影響ISMS工作的人員所必要的能力； 

b) 提供培訓(xùn)或采取其他措施（如聘用有能力的人員）以滿足這些需求； 

c) 評價所采取的措施的有效性； 

d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄（見4.3.3）。 

組織也要確保所有相關(guān)人員意識到其信息安全活動的適當(dāng)性和重要性，以及如何為達到ISMS目標(biāo)做出貢獻。 

6 內(nèi)部ISMS審核 

組織應(yīng)按照計劃的時間間隔進行內(nèi)部ISMS審核，以確定其ISMS的控制目標(biāo)、控制措施、過程和程序是否： 

a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求； 

b) 符合已確定的信息安全要求； 

c) 得到有效地實施和保持； 

d) 按預(yù)期執(zhí)行。 

應(yīng)在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下，制定審核方案。應(yīng)確定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的工作。 

策劃和實施審核、報告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)定。 

負責(zé)受審區(qū)域的管理者應(yīng)確保及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動應(yīng)包括對所采取措施的驗證和驗證結(jié)果的報告（見*8章）。 

注：GB/T 19011-2003(《質(zhì)量和(或)環(huán)境管理體系審核指南》),，也可為實施內(nèi)部ISMS審核提供有用的指導(dǎo)。 

7 ISMS的管理評審 

7.1 總則 

管理者應(yīng)按計劃的時間間隔（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標(biāo)。評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持（見4.3.3）。 

7.2 評審輸入 

管理評審的輸入應(yīng)包括： 

a) ISMS審核和評審的結(jié)果； 

b) 相關(guān)方的反饋； 

c) 組織用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序； 

d) 預(yù)防和糾正措施的狀況； 

e) 以往風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅； 

f) 有效性測量的結(jié)果； 

g) 以往管理評審的跟蹤措施； 

h) 可能影響ISMS的任何變更； 

i) 改進的建議。 

7.3 評審輸出 

管理評審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施： 

a) ISMS有效性的改進； 

b) 風(fēng)險評估和風(fēng)險處理計劃的較新； 

c) 必要時修改影響信息安全的程序和控制措施，以響應(yīng)內(nèi)部或外部可能影響ISMS的事態(tài)，包括以下的變更： 

1) 業(yè)務(wù)要求； 

2) 安全要求； 

3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程； 

4) 法律法規(guī)環(huán)境； 

5) 合同義務(wù)； 

6) 風(fēng)險級別和/或接受風(fēng)險的準(zhǔn)則。 

d) 資源需求； 

e) 如何測量控制措施有效性的改進。 

8 ISMS改進 

8.1 持續(xù)改進 

組織應(yīng)通過使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評審（見*7章），持續(xù)改進ISMS的有效性。 

8.2 糾正措施 

組織應(yīng)采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，應(yīng)規(guī)定以下方面的要求： 

a) 識別不符合； 

b) 確定不符合的原因； 

c) 評價確保不符合不再發(fā)生的措施需求； 

d) 確定和實施所需要的糾正措施； 

e) 記錄所采取措施的結(jié)果（見4.3.3）； 

f) 評審所采取的糾正措施。 

8.3 預(yù)防措施 

組織應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。形成文件的預(yù)防措施程序，應(yīng)規(guī)定以下方面的要求： 

a) 識別潛在的不符合及其原因； 

b) 評價防止不符合發(fā)生的措施需求； 

c) 確定和實施所需要的預(yù)防措施； 

d) 記錄所采取措施的結(jié)果（見4.3.3）； 

e) 評審所采取的預(yù)防措施。 

組織應(yīng)識別變化的風(fēng)險，并識別針對重大變化的風(fēng)險的預(yù)防措施的要求。 

預(yù)防措施的**級要根據(jù)風(fēng)險評估的結(jié)果確定。 

注：預(yù)防不符合的措施通常比糾正措施較節(jié)約成本。 


中泰智聯(lián)（北京）認證中心有限公司長春分公司專注于ISO9001質(zhì)量管理體系認證,ISO14001環(huán)境管理體系認證,ISO45001職業(yè)健康安全管理體系認證,IATF16949認證,GB/T27922售后服務(wù)認證,GB/T27925品牌認證,GB/T31950誠信管理體系認證,ISO39001道路交通安全管理體系認證,ISO22301業(yè)務(wù)連續(xù)性管理體系認證,GB/T35770合規(guī)管理體系認證等

• 詞條

  詞條說明

• ISO9001：如何進行設(shè)計開發(fā)驗證

  設(shè)計開發(fā)輸出的是信息（文件），這種信息與實際情況結(jié)合得如何，則只有通過驗證來解決。通常的驗證方法是通過制造樣機的方式來進行。此外，下列方法也可用于驗證：①設(shè)計評審；②變換方法進行計算，以驗證原來的計算結(jié)果和分析的正確性；③可能時，將新設(shè)計與已證實的類似設(shè)計進行比較；④進行試驗和證實，如模型或樣機（樣品）試驗，若采用這種方法，則應(yīng)明確制定試驗大綱，并將結(jié)果形成文件；⑤進行獨立驗證，以驗證原來的計算結(jié)

• 2018年長春IS09001標(biāo)準(zhǔn)有哪些變化？

  長春iso90011、把過去三個外部保證模式ISO9001、ISO9002、ISO9003合并為ISO9001標(biāo)準(zhǔn)，允許通過裁剪適用不同類型的組織，同時對裁剪也提出了明確嚴(yán)格的要求。?2、把過去按20個要素排列，改為按過程模式重新組建結(jié)構(gòu)，其標(biāo)準(zhǔn)分為管理職責(zé)；資源管理；產(chǎn)品實現(xiàn)；測量、分析和改進四大部分。?3、引入PDCA戴明環(huán)閉環(huán)管理模式，使持續(xù)改進的思想貫穿整個標(biāo)準(zhǔn)，要

• ISO9001持續(xù)改進的必要性

  持續(xù)改進是一個組織自身生存和發(fā)展的需要，是組織的一個永恒目標(biāo)。質(zhì)量管理體系的PDCA過程方法本身就內(nèi)在地要求對過程的識別、相互作用和溝通的各項活動進行有效控制，實現(xiàn)過程增值和對過程實施持續(xù)改進。就外部環(huán)境而言，任何事物都是在不斷發(fā)展的，同人們對產(chǎn)品要求的變化一樣。這種發(fā)展和變化必然會促使稅收工作的改進和創(chuàng)新。因此，必須建立一種適應(yīng)機制，使稅收工作能夠適應(yīng)外界環(huán)境變化的要求，增強適應(yīng)能力和競爭能力，

• ISO9001:2015標(biāo)準(zhǔn)“組織的知識”條款

  知識knowledge ——通過學(xué)習(xí)、實踐或探索所獲得的認識、判斷或技能。?注1：知識可以是顯性的，也可以是隱性的；可以是組織的，也可以是個人的。?注2：知識可包括事實知識、技能知識和人際知識；?注3：知識是經(jīng)“編輯”的信息，在具有意義的背景環(huán)境與分析處理后，能為組織帶來真正的**，它是隱含在**技術(shù)、成功產(chǎn)品與有效決策之后的知識力量。而組織知識的集合（積累的經(jīng)驗、員