?與ISO9000標準有很強的兼容性?
認證標準
1 范圍?
1.1 總則?
本標準適用于所有類型的組織(例如,商業企業、政府機構、非贏利組織)。本標準從組織的整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進文件化的ISMS規定了要求。它規定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。?
ISMS的設計應確保選擇適當和相宜的安全控制措施,以充分保護信息資產并給予相關方信心。?
注1:本標準中的“業務”一詞應廣義的解釋為關系一個組織生存的核心活動。?
注2:ISO/IEC 17799提供了設計控制措施時可使用的實施指南。?
1.2 應用?
本標準規定的要求是通用的,適用于各種類型、規模和特性的組織。組織聲稱符合本標準時,對于4、5、6、7和8章的要求不能刪減。?
為了滿足風險接受準則所必須進行的任何控制措施的刪減,必須證明是合理的,且需要提供證據證明相關風險已被負責人員接受。除非刪減不影響組織滿足由風險評估和適用法律法規要求所確定的安全要求的能力和/或責任,否則不能聲稱符合本標準。?
注:如果一個組織已經有一個運轉著的業務過程管理體系(例如,與ISO 9001或者ISO 14001相關的),那么在大多數情況下,更可取的是在這個現有的管理體系內滿足本標準的要求。?
2 規范性引用文件?
下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件,只有引用的版本適用于本標準;凡是不注日期的引用文件,其最新版本(包括任何修改)適用于本標準。?
ISO/IC17799:2005,信息技術—安全技術—信息安全管理實用規則。?
3 術語和定義?
本標準采用以下術語和定義。?
3.1?
資產 asset?
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。?
3.2?
可用性 availability?
根據授權實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。?
3。3?
保密性confidentiality?
信息不能被未授權的個人,實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。?
3.4信息安全information security?
保證信息的保密性,完整性,可用性;另外也可包括諸如真實性,可核查性,不可否認性和可靠性等特性[ISO/IEC 17799:2005]。?
3.5?
信息安全事態 information security event?
信息安全事態是指系統、服務或網絡的一種可識別的狀態的發生,它可能是對信息安全策略的違反或防護措施的失效,或是和安全關聯的一個先前未知的狀態[ISO/IEC TR 18044:2004]。?
3.6?
信息安全事件 information security incident?
一個信息安全事件由單個的或一系列的有害或意外信息安全事態組成,它們具有損害業務運作和威脅信息安全的極大的可能性[ISO/IEC TR 18044:2004]。?
3.7?
信息安全管理體系(ISMS) information security management system(ISMS)?
是整個管理體系的一部分。它是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的。?
?
注:管理體系包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源。?
?
3.8?完整性integrity?
保護資產的準確和完整的特性[ISO/IEC 13335-1:2004]。?
3.9?
殘余風險 residual risk?
經過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。?
3.10?
風險接受risk acceptance?
接受風險的決定[ISO/IEC Guide 73:2002]。?
3.11?
風險分析risk analysis?
系統地使用信息來識別風險來源和估計風險[ISO/IEC Guide 73:2002]。?
3.12?
風險評估risk assessment?
風險分析和風險評價的整個過程[ISO/IEC Guide 73:2002]。?
3.13?
風險評價risk evaluation?
將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程[ISO/IEC Guide 73:2002]。?
3.14?
風險管理risk management?
指導和控制一個組織相關風險的協調活動[ISO/IEC Guide 73:2002]。?
3.15?
風險處理risk treatment?
選擇并且執行措施來更改風險的過程[ISO/IEC Guide 73:2002]。?
3.16?
2 術語“責任人”標識了已經獲得管理者的批準,負責產生、開發、維護、使用和保證資產的安全的個人或實體。術語“責任人”不是指該人員實際上對資產擁有所有權。?
適用性聲明statement of applicability?
描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。?
注:控制目標和控制措施基于風險評估和風險處理過程的結果和結論、法律法規的要求、合同義務以及組織對于信息安全的業務要求。?
4 信息安全管理體系(ISMS)?
4.1 總要求?
組織應在其整體業務活動和所面臨風險的環境下建立、實施、運行、監視、評審、保持和改進文件化的ISMS。在本標準中,所使用的過程基于圖1所示的PDCA模型。?
4.2 建立和管理ISMS?
4.2.1 建立ISMS?
組織要做以下方面的工作:?
a) 根據業務、組織、位置、資產和技術等方面的特性,確定ISMS的范圍和邊界,包括對范圍任何刪減的詳細說明和正當性理由(見1.2)。?
b) 根據業務、組織、位置、資產和技術等方面的特性,確定ISMS方針。ISMS方針應:?
1) 包括設定目標的框架和建立信息安全工作的總方向和原則;?
2) 考慮業務和法律法規的要求,及合同中的安全義務;?
3) 在組織的戰略性風險管理環境下,建立和保持ISMS;?
4) 建立風險評價的準則[見4.2.1 c]];?
5) 獲得管理者批準。?
注:就本標準的目的而言,ISMS方針被認為是信息安全方針的一個擴展集。這些方針可以在一個文件中進行描述。?
c) 確定組織的風險評估方法?
1)識別適合ISMS、已識別的業務信息安全和法律法規要求的風險評估方法。?
2)制定接受風險的準則,識別可接受的風險級別(見5.1f)。?
?
選擇的風險評估方法應確保風險評估產生可比較的和可再現的結果。?
注:風險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術 IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子。?
d) 識別風險?
1) 識別ISMS范圍內的資產及其責任人2;?
2) 識別資產所面臨的威脅;?
3) 識別可能被威脅利用的脆弱點;?
4) 識別喪失保密性、完整性和可用性可能對資產造成的影響。?
e) 分析和評價風險?
1) 在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下,評估安全失誤可能造成的對組織的影響。?
2) 評估由主要威脅和脆弱點導致安全失誤的現實可能性、對資產的影響以及當前所實
施的控制措施。?
3) 估計風險的級別。?
4) 確定風險是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受風險的準則進行處理。?
f) 識別和評價風險處理的可選措施?
可能的措施包括:?
1) 采用適當的控制措施;?
2) 在明顯滿足組織方針策略和接受風險的準則的條件下,有意識地、客觀地接受風險[見4.2.1 c)2)];?
3) 避免風險;?
4) 將相關業務風險轉移到其他方,如:保險,供應商等。?
g) 為處理風險選擇控制目標和控制措施?
控制目標和控制措施應加以選擇和實施,以滿足風險評估和風險處理過程中所識別的要求。這種選擇應考慮接受風險的準則(見4.2.1c)2))以及法律法規和合同要求。?
從附錄A中選擇控制目標和控制措施應成為此過程的一部分,該過程適合于滿足這些已識別的要求。?
附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施,組織也可能需要選擇另外的控制目標和控制措施。?
注:附錄A包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A作為選擇控制措施的出發點,以確保不會遺漏重要的可選控制措施。?
h) 獲得管理者對建議的殘余風險的批準?
i) 獲得管理者對實施和運行ISMS的授權?
j) 準備適用性聲明(SoA)?
應從以下幾方面準備適用性聲明:?
1) 4.2.1 g)所選擇的控制目標和控制措施,以及選擇的理由;?
2) 當前實施的控制目標和控制措施(見4.2.1e)2));?
3) 對附錄A中任何控制目標和控制措施的刪減,以及刪減的合理性說明。?
注:適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查,以證明不會因疏忽而遺漏控制措施。?
4.2.2 實施和運行ISMS?
組織應:?
a) 為管理信息安全風險識別適當的管理措施、資源、職責和優先順序,即:制定風險處理計劃(見第5章)。?
b) 實施風險處理計劃以達到已識別的控制目標,包括資金安排、角色和職責的分配。?
c) 實施4.2.1 g)中所選擇的控制措施,以滿足控制目標。?
d) 確定如何測量所選擇的控制措施或控制措施集的有效性,并指明如何用來評估控制措施的有效性,以產生可比較的和可再現的結果(見4.2.3c))。?
注:測量控制措施的有效性可使管理者和員工確定控制措施達到既定的控制目標的程度。?
e) 實施培訓和意識教育計劃(見5.2.2)。?
f) 管理ISMS的運行。?
g) 管理ISMS的資源(見5.2)。?
h) 實施能夠迅速檢測安全事態和響應安全事件的程序和其他控制措施(見4.2.3)a))。?
4.2.3 監視和評審ISMS?
組織應:?
a) 執行監視與評審程序和其它控制措施,以:?
1) 迅速檢測過程運行結果中的錯誤;?
2) 迅速識別試圖的和得逞的安全違規和事件;?
3) 使管理者能夠確定分配給人員的安全活動或通過信息技術實施的安全活動是否被如期執行;?
4) 通過使用指示器,幫助檢測安全事態并預防安全事件;?
5) 確定解決安全違規的措施是否有效。?
b) 在考慮安全審核結果、事件、有效性測量結果、所有相關方的建議和反饋的基礎上,進行ISMS有效性的定期評審(包括滿足ISMS方針和目標,以及安全控制措施的評審)。?
c) 測量控制措施的有效性以驗證安全要求是否被滿足。?
d) 按照計劃的時間間隔進行風險評估的評審,以及對殘余風險和已確定的可接受的風險級別進行評審,應考慮以下方面的變化:?
1) 組織;?
2) 技術;?
3) 業務目標和過程;?
4) 已識別的威脅;?
5) 已實施的控制措施的有效性;?
6) 外部事態,如法律法規環境的變更、合同義務的變更和社會環境的變更。?
e) 按計劃的時間間隔,實施ISMS內部審核(見第6章)。?
注:內部審核,有時稱為第一方審核,是用于內部目的,由組織自己或以組織的名義所進行的審核。?
f) 定期進行ISMS管理評審,以確保ISMS范圍保持充分,ISMS過程的改進得到識別(見7.1)。?
g) 考慮監視和評審活動的結果,以更新安全計劃。?
h) 記錄可能影響ISMS的有效性或執行情況的措施和事態(見4.3.3)。?
4.2.4 保持和改進ISMS?
組織應經常:?
a) 實施已識別的ISMS改進措施。?
b) 依照8.2和8.3采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓。?
c) 向所有相關方溝通措施和改進情況,其詳細程度應與環境相適應,需要時,商定如何進行。?
d) 確保改進達到了預期目標。?
4.3 文件要求?
4.3.1 總則?
文件應包括管理決定的記錄,以確保所采取的措施符合管理決定和方針策略,還應確保所記錄的結果是可重復產生的。?
重要的是,能夠顯示出所選擇的控制措施回溯到風險評估和風險處理過程的結果、并進而回溯到ISMS方針和目標之間的關系。?
ISMS文件應包括:?
a) 形成文件的ISMS方針[見4.2.1b)]和目標;?
b) ISMS的范圍[見4.2.la)];?
c) 支持ISMS的程序和控制措施;?
d) 風險評估方法的描述[見4.2.1c)];?
e) 風險評估報告 [見4.2.1c)到4.2.1g)];?
f) 風險處理計劃[見4.2.2b)];?
g) 組織為確保其信息安全過程的有效規劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的程序(見4.2.3c));?
5?
h) 本標準所要求的記錄(見4.3.3);?
i) 適用性聲明。?
注1:本標準出現“形成文件的程序”之處,即要求建立該程序,形成文件,并加以實施和保持。?
注2:不同組織的ISMS文件的詳略程度取決于:?
? 組織的規模和活動的類型;?
? 安全要求和被管理系統的范圍及復雜程度;?
注3:文件和記錄可以采用任何形式或類型的介質。?
4.3.2 文件控制?
ISMS所要求的文件應予以保護和控制。應編制形成文件的程序,以規定以下方面所需的管理措施:?
a) 文件發布前得到批準,以確保文件是適當的;?
b) 必要時對文件進行評審、更新并再次批準;?
c) 確保文件的更改和現行修訂狀態得到標識;?
d) 確保在使用處可獲得適用文件的相關版本;?
e) 確保文件保持清晰、易于識別;?
f) 確保文件對需要的人員可用,并依照文件適用的類別程序進行傳輸、貯存和最終銷毀;?
g) 確保外來文件得到標識;?
h) 確保文件的分發得到控制;?
i) 防止作廢文件的非預期使用;?
j) 若因任何目的而保留作廢文件時,對這些文件進行適當的標識。?
4.3.3 記錄控制?
記錄應建立并加以保持,以提供符合ISMS要求和有效運行的證據。記錄應加以保護和控制。ISMS的記錄應考慮相關法律法規要求和合同義務。記錄應保持清晰、易于識別和檢索。記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。?
應保留4.2中列出的過程執行記錄和所有發生的與ISMS有關的重大安全事件的記錄。?
例如:記錄包括訪客登記薄、審核報告和已完成的訪問授權單。?
5 管理職責?
5.1 管理承諾?
管理者應通過以下活動,對建立、實施、運行、監視、評審、保持和改進ISMS的承諾提供證據:?
a) 制定ISMS方針;?
b) 確保ISMS目標和計劃得以制定;?
c) 建立信息安全的角色和職責;?
d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續改進的重要性;?
e) 提供足夠資源,以建立、實施、運行、監視、評審、保持和改進ISMS (見5.2.1);?
f) 決定接受風險的準則和風險的可接受級別;?
g) 確保ISMS內部審核的執行(見第6章);?
h) 實施ISMS的管理評審(見第7章)。?
5.2 資源管理?
5.2.1 資源提供?
組織應確定并提供所需的資源,以:?
a) 建立、實施、運行、監視、評審、保持和改進ISMS;?
b) 確保信息安全程序支持業務要求;?
c) 識別和滿足法律法規要求、以及合同中的安全義務;?
d) 通過正確實施所有的控制措施保持適當的安全;?
e) 必要時,進行評審,并適當響應評審的結果;?
f) 在需要時,改進ISMS的有效性。?
5.2.2 培訓、意識和能力?
組織應通過以下方式,確保所有分配有ISMS職責的人員具有執行所要求任務的能力:?
a) 確定從事影響ISMS工作的人員所必要的能力;?
b) 提供培訓或采取其他措施(如聘用有能力的人員)以滿足這些需求;?
c) 評價所采取的措施的有效性;?
d) 保持教育、培訓、技能、經歷和資格的記錄(見4.3.3)。?
組織也要確保所有相關人員意識到其信息安全活動的適當性和重要性,以及如何為達到ISMS目標做出貢獻。?
6 內部ISMS審核?
組織應按照計劃的時間間隔進行內部ISMS審核,以確定其ISMS的控制目標、控制措施、過程和程序是否:?
a) 符合本標準和相關法律法規的要求;?
b) 符合已確定的信息安全要求;?
c) 得到有效地實施和保持;?
d) 按預期執行。?
應在考慮擬審核的過程與區域的狀況和重要性以及以往審核的結果的情況下,制定審核方案。應確定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。審核員不應審核自己的工作。?
策劃和實施審核、報告結果和保持記錄(見4.3.3)的職責和要求應在形成文件的程序中做出規定。?
負責受審區域的管理者應確保及時采取措施,以消除已發現的不符合及其產生的原因。跟蹤活動應包括對所采取措施的驗證和驗證結果的報告(見第8章)。?
注:GB/T 19011-2003(《質量和(或)環境管理體系審核指南》),,也可為實施內部ISMS審核提供有用的指導。?
7 ISMS的管理評審
?7.1 總則?
管理者應按計劃的時間間隔(至少每年1次)評審組織的ISMS,以確保其持續的適宜性、充分性和有效性。評審應包括評估ISMS改進的機會和變更的需要,包括信息安全方針和信息安全目標。評審的結果應清晰地形成文件,記錄應加以保持(見4.3.3)。?
7.2 評審輸入?
管理評審的輸入應包括:?
a) ISMS審核和評審的結果;?
b) 相關方的反饋;?
c) 組織用于改進ISMS執行情況和有效性的技術、產品或程序;?
d) 預防和糾正措施的狀況;?
e) 以往風險評估沒有充分強調的脆弱點或威脅;?
f) 有效性測量的結果;?
g) 以往管理評審的跟蹤措施;?
h) 可能影響ISMS的任何變更;?
i) 改進的建議。?
7.3 評審輸出?
管理評審的輸出應包括與以下方面有關的任何決定和措施:?
a) ISMS有效性的改進;?
b) 風險評估和風險處理計劃的更新;?
c) 必要時修改影響信息安全的程序和控制措施,以響應內部或外部可能影響ISMS的事態,包括以下的變更:?
1) 業務要求;?
2) 安全要求;?
3) 影響現有業務要求的業務過程;?
4) 法律法規環境;?
5) 合同義務;?
6) 風險級別和/或接受風險的準則。?
d) 資源需求;?
e) 如何測量控制措施有效性的改進。?
8 ISMS改進?
8.1 持續改進?
組織應通過使用信息安全方針、安全目標、審核結果、監視事態的分析、糾正和預防措施以及管理評審(見第7章),持續改進ISMS的有效性。?
8.2 糾正措施?
組織應采取措施,以消除與ISMS要求不符合的原因,以防止再發生。形成文件的糾正措施程序,應規定以下方面的要求:?
a) 識別不符合;?
b) 確定不符合的原因;?
c) 評價確保不符合不再發生的措施需求;?
d) 確定和實施所需要的糾正措施;?
e) 記錄所采取措施的結果(見4.3.3);?
f) 評審所采取的糾正措施。?
8.3 預防措施?
組織應確定措施,以消除潛在不符合的原因,防止其發生。預防措施應與潛在問題的影響程度相適應。形成文件的預防措施程序,應規定以下方面的要求:?
a) 識別潛在的不符合及其原因;?
b) 評價防止不符合發生的措施需求;?
c) 確定和實施所需要的預防措施;?
d) 記錄所采取措施的結果(見4.3.3);?
e) 評審所采取的預防措施。?
組織應識別變化的風險,并識別針對重大變化的風險的預防措施的要求。?
預防措施的優先級要根據風險評估的結果確定。?
注:預防不符合的措施通常比糾正措施更節約成本。?
?收費標準
? |
?
后續服務
?
?
在企業人員沒有大的變動、企業營業范圍及產品沒有增加及大的變動,三年之內的兩次監督審核是免費咨詢服務的;如企業有變動產品有增加根據情況適當的收取咨詢費。三年之后復評按初次審核的2/3進行收費。
