与ISO9000标准有很强的兼容性
认证标准
1 范围
1.1 总则
本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注2:ISO/IEC 17799提供了设计控制措施时可使用的实施指南。
1.2 应用
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。
为了满足风险接受准则所必须进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合本标准。
注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与ISO 9001或者ISO 14001相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。
2 规范性引用文件
下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。
ISO/IC17799:2005,信息技术—安全技术—信息安全管理实用规则。
3 术语和定义
本标准采用以下术语和定义。
3.1
资产 asset
任何对组织有价值的东西[ISO/IEC 13335-1:2004]。
3.2
可用性 availability
根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。
3。3
保密性confidentiality
信息不能被未授权的个人,实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4信息安全information security
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性[ISO/IEC 17799:2005]。
3.5
信息安全事态 information security event
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044:2004]。
3.6
信息安全事件 information security incident
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044:2004]。
3.7
信息安全管理体系(ISMS) information security management system(ISMS)
是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
3.8 完整性integrity
保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。
3.9
残余风险 residual risk
经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。
3.10
风险接受risk acceptance
接受风险的决定[ISO/IEC Guide 73:2002]。
3.11
风险分析risk analysis
系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73:2002]。
3.12
风险评估risk assessment
风险分析和风险评价的整个过程[ISO/IEC Guide 73:2002]。
3.13
风险评价risk evaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73:2002]。
3.14
风险管理risk management
指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73:2002]。
3.15
风险处理risk treatment
选择并且执行措施来更改风险的过程[ISO/IEC Guide 73:2002]。
3.16
2 术语“责任人”标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。
适用性声明statement of applicability
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。
注:控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。
4 信息安全管理体系(ISMS)
4.1 总要求
组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中,所使用的过程基于图1所示的PDCA模型。
4.2 建立和管理ISMS
4.2.1 建立ISMS
组织要做以下方面的工作:
a) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由(见1.2)。
b) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。ISMS方针应:
1) 包括设定目标的框架和建立信息安全工作的总方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持ISMS;
4) 建立风险评价的准则[见4.2.1 c]];
5) 获得管理者批准。
注:就本标准的目的而言,ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。
c) 确定组织的风险评估方法
1)识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术 IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别ISMS范围内的资产及其责任人2;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实
施的控制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处理。
f) 识别和评价风险处理的可选措施
可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险[见4.2.1 c)2)];
3) 避免风险;
4) 将相关业务风险转移到其他方,如:保险,供应商等。
g) 为处理风险选择控制目标和控制措施
控制目标和控制措施应加以选择和实施,以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则(见4.2.1c)2))以及法律法规和合同要求。
从附录A中选择控制目标和控制措施应成为此过程的一部分,该过程适合于满足这些已识别的要求。
附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另外的控制目标和控制措施。
注:附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点,以确保不会遗漏重要的可选控制措施。
h) 获得管理者对建议的残余风险的批准
i) 获得管理者对实施和运行ISMS的授权
j) 准备适用性声明(SoA)
应从以下几方面准备适用性声明:
1) 4.2.1 g)所选择的控制目标和控制措施,以及选择的理由;
2) 当前实施的控制目标和控制措施(见4.2.1e)2));
3) 对附录A中任何控制目标和控制措施的删减,以及删减的合理性说明。
注:适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏忽而遗漏控制措施。
4.2.2 实施和运行ISMS
组织应:
a) 为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即:制定风险处理计划(见第5章)。
b) 实施风险处理计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
c) 实施4.2.1 g)中所选择的控制措施,以满足控制目标。
d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果(见4.2.3c))。
注:测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。
e) 实施培训和意识教育计划(见5.2.2)。
f) 管理ISMS的运行。
g) 管理ISMS的资源(见5.2)。
h) 实施能够迅速检测安全事态和响应安全事件的程序和其他控制措施(见4.2.3)a))。
4.2.3 监视和评审ISMS
组织应:
a) 执行监视与评审程序和其它控制措施,以:
1) 迅速检测过程运行结果中的错误;
2) 迅速识别试图的和得逞的安全违规和事件;
3) 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行;
4) 通过使用指示器,帮助检测安全事态并预防安全事件;
5) 确定解决安全违规的措施是否有效。
b) 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审(包括满足ISMS方针和目标,以及安全控制措施的评审)。
c) 测量控制措施的有效性以验证安全要求是否被满足。
d) 按照计划的时间间隔进行风险评估的评审,以及对残余风险和已确定的可接受的风险级别进行评审,应考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更。
e) 按计划的时间间隔,实施ISMS内部审核(见第6章)。
注:内部审核,有时称为第一方审核,是用于内部目的,由组织自己或以组织的名义所进行的审核。
f) 定期进行ISMS管理评审,以确保ISMS范围保持充分,ISMS过程的改进得到识别(见7.1)。
g) 考虑监视和评审活动的结果,以更新安全计划。
h) 记录可能影响ISMS的有效性或执行情况的措施和事态(见4.3.3)。
4.2.4 保持和改进ISMS
组织应经常:
a) 实施已识别的ISMS改进措施。
b) 依照8.2和8.3采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。
c) 向所有相关方沟通措施和改进情况,其详细程度应与环境相适应,需要时,商定如何进行。
d) 确保改进达到了预期目标。
4.3 文件要求
4.3.1 总则
文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保所记录的结果是可重复产生的。
重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。
ISMS文件应包括:
a) 形成文件的ISMS方针[见4.2.1b)]和目标;
b) ISMS的范围[见4.2.la)];
c) 支持ISMS的程序和控制措施;
d) 风险评估方法的描述[见4.2.1c)];
e) 风险评估报告 [见4.2.1c)到4.2.1g)];
f) 风险处理计划[见4.2.2b)];
g) 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序(见4.2.3c));
5
h) 本标准所要求的记录(见4.3.3);
i) 适用性声明。
注1:本标准出现“形成文件的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度取决于:
− 组织的规模和活动的类型;
− 安全要求和被管理系统的范围及复杂程度;
注3:文件和记录可以采用任何形式或类型的介质。
4.3.2 文件控制
ISMS所要求的文件应予以保护和控制。应编制形成文件的程序,以规定以下方面所需的管理措施:
a) 文件发布前得到批准,以确保文件是适当的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和现行修订状态得到标识;
d) 确保在使用处可获得适用文件的相关版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件对需要的人员可用,并依照文件适用的类别程序进行传输、贮存和最终销毁;
g) 确保外来文件得到标识;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的而保留作废文件时,对这些文件进行适当的标识。
4.3.3 记录控制
记录应建立并加以保持,以提供符合ISMS要求和有效运行的证据。记录应加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。
例如:记录包括访客登记薄、审核报告和已完成的访问授权单。
5 管理职责
5.1 管理承诺
管理者应通过以下活动,对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据:
a) 制定ISMS方针;
b) 确保ISMS目标和计划得以制定;
c) 建立信息安全的角色和职责;
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供足够资源,以建立、实施、运行、监视、评审、保持和改进ISMS (见5.2.1);
f) 决定接受风险的准则和风险的可接受级别;
g) 确保ISMS内部审核的执行(见第6章);
h) 实施ISMS的管理评审(见第7章)。
5.2 资源管理
5.2.1 资源提供
组织应确定并提供所需的资源,以:
a) 建立、实施、运行、监视、评审、保持和改进ISMS;
b) 确保信息安全程序支持业务要求;
c) 识别和满足法律法规要求、以及合同中的安全义务;
d) 通过正确实施所有的控制措施保持适当的安全;
e) 必要时,进行评审,并适当响应评审的结果;
f) 在需要时,改进ISMS的有效性。
5.2.2 培训、意识和能力
组织应通过以下方式,确保所有分配有ISMS职责的人员具有执行所要求任务的能力:
a) 确定从事影响ISMS工作的人员所必要的能力;
b) 提供培训或采取其他措施(如聘用有能力的人员)以满足这些需求;
c) 评价所采取的措施的有效性;
d) 保持教育、培训、技能、经历和资格的记录(见4.3.3)。
组织也要确保所有相关人员意识到其信息安全活动的适当性和重要性,以及如何为达到ISMS目标做出贡献。
6 内部ISMS审核
组织应按照计划的时间间隔进行内部ISMS审核,以确定其ISMS的控制目标、控制措施、过程和程序是否:
a) 符合本标准和相关法律法规的要求;
b) 符合已确定的信息安全要求;
c) 得到有效地实施和保持;
d) 按预期执行。
应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下,制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。
策划和实施审核、报告结果和保持记录(见4.3.3)的职责和要求应在形成文件的程序中做出规定。
负责受审区域的管理者应确保及时采取措施,以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告(见第8章)。
注:GB/T 19011-2003(《质量和(或)环境管理体系审核指南》),,也可为实施内部ISMS审核提供有用的指导。
7 ISMS的管理评审
7.1 总则
管理者应按计划的时间间隔(至少每年1次)评审组织的ISMS,以确保其持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要,包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件,记录应加以保持(见4.3.3)。
7.2 评审输入
管理评审的输入应包括:
a) ISMS审核和评审的结果;
b) 相关方的反馈;
c) 组织用于改进ISMS执行情况和有效性的技术、产品或程序;
d) 预防和纠正措施的状况;
e) 以往风险评估没有充分强调的脆弱点或威胁;
f) 有效性测量的结果;
g) 以往管理评审的跟踪措施;
h) 可能影响ISMS的任何变更;
i) 改进的建议。
7.3 评审输出
管理评审的输出应包括与以下方面有关的任何决定和措施:
a) ISMS有效性的改进;
b) 风险评估和风险处理计划的更新;
c) 必要时修改影响信息安全的程序和控制措施,以响应内部或外部可能影响ISMS的事态,包括以下的变更:
1) 业务要求;
2) 安全要求;
3) 影响现有业务要求的业务过程;
4) 法律法规环境;
5) 合同义务;
6) 风险级别和/或接受风险的准则。
d) 资源需求;
e) 如何测量控制措施有效性的改进。
8 ISMS改进
8.1 持续改进
组织应通过使用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评审(见第7章),持续改进ISMS的有效性。
8.2 纠正措施
组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。形成文件的纠正措施程序,应规定以下方面的要求:
a) 识别不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施需求;
d) 确定和实施所需要的纠正措施;
e) 记录所采取措施的结果(见4.3.3);
f) 评审所采取的纠正措施。
8.3 预防措施
组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相适应。形成文件的预防措施程序,应规定以下方面的要求:
a) 识别潜在的不符合及其原因;
b) 评价防止不符合发生的措施需求;
c) 确定和实施所需要的预防措施;
d) 记录所采取措施的结果(见4.3.3);
e) 评审所采取的预防措施。
组织应识别变化的风险,并识别针对重大变化的风险的预防措施的要求。
预防措施的优先级要根据风险评估的结果确定。
注:预防不符合的措施通常比纠正措施更节约成本。
收费标准
|
后续服务
在企业人员没有大的变动、企业营业范围及产品没有增加及大的变动,三年之内的两次监督审核是免费咨询服务的;如企业有变动产品有增加根据情况适当的收取咨询费。三年之后复评按初次审核的2/3进行收费。
