信息安全,网络安全与隐私保护——信息安全管理体系——要求
领导
领导和承诺
最高管理层应通过以下活动,显性证实其对信息安全管理体系的领导和承诺
- 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致;
- 确保将信息安全管理体系要求整合到组织过程中;
- 确保信息安全管理体系所需资源可用;
- 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
- 确保信息安全管理体系达到预期结果;
- 指导并支持相关人员为信息安全管理体系的有效性做出贡献;
- 促进持续改进;
- 支持其他相关管理角色,使他们能显性证实他们的领导作用按角色应用 于其责任范围。
方针
最高管理层应建立信息安全方针,该方针应
- 与组织意图相适宜
- 包括信息安全目标或为设定信息安全目标提供框架;
- 包括对满足适用的信息安全相关要求的承诺;
- 包括对持续改进信息安全管理体系的承诺。
另外此信息安全方针应该
- 形成文件化信息并可用
- 在组织内得到沟通
- 适当时对相关方可用
组织的角色,责任和权限
最高管理层应该分配责任和权限,达到以下标准
- 确保信息安全管理体系符合本标准的要求
- 向最高管理者(上级)报告信息安全管理体系绩效
规划
应对风险和机会的措施
总则
在规划信息安全体系时,应该考虑确保信息安全管理体系达到预期结果、预防或减少不良影响、达到持续改进
同时应该规划如何应对这些风险和机会的措施;以及如何将这些措施整合到信息安全管理体系过程中,并进行实现,评价这些安全措施的有效性
信息安全风险评估
需要定义信息安全风险评估过程,来达到以下目的
- 建立并维护信息安全风险准测。包括风险接受准测、信息安全风险评估实施准则
- 确保反复的信息安全风险评估产生一致的、有效的和可比较的结果
- 识别信息安全风险。 在风险评估中来识别信息安全管理体系范围内与信息保密性、完整性、可用性损失有关的风险,同时识别风险的责任人
- 分析信息安全风险。 评估识别的风险发生后可能导致的潜在后果、实际发生的可能性、确定风险级别
- 评估信息安全风险。 为风险处置排序,来分析风险的优先级
信息安全风险处置
定义并应用信息安全风险处置过程
- 在风险评估结果基础上,选择合适的风险处置方案
- 确保实现对风险处置选项所必须的控制方案
- 制定适用性声明:包含必要的控制、选择该控制的合理性说明、是否已经实现等
- 制定正式的风险处置计划
- 获得风险责任人对风险处置计划的批准
信息安全目标及其实现规划
信息安全目标应该与信息安全方针一致;可行性;考虑使用的信息安全要求,以及风险评估和风险处置的结果;适当时更新;
规划时应该确定要做什么;需要什么资源;有谁负责;什么时候完成;如何评价结果
支持
资源
组织应该确定并提供建立、实现、维护和持续改进信息安全管理体系所需要的资源
能力
组织应该
- 确保人员的必要能力
- 确保人员在教育、培训后能够胜任其工作
- 适当采取措施来评估能力
- 保留适当的文件话信息作为能力的依据
意识
组织下的人员应该
- 了解信息安全方针
- 对信息安全体系有贡献
沟通
组织应该确定与信息安全体系内部和外部的沟通需求
包括:沟通什么;何时沟通;与谁沟通;谁来沟通
文件化信息
对文件化信息进行一定的控制,来确保在需要的时间地点时可用的;得到充分的保护;版本控制;保留和处理
运行
运行规划和控制
为过程建立标准;根据标准实施过程控制
绩效评价
监视、测量、分析和评价
组织应该确定
- 需要被检测和测量的内容,包括信息安全过程和控制
- 适用的监视、测量、分析和评价的方法
- 何时应执行检测和测量
- 谁来监视和测量
- 何时分析和评价监视和测量结果
- 谁来分析和评价这些结果
内部审核
组织应该按计划的时间间隔进行内部审核,来提供信息。
从而确定信息安全管理体系是否符合组织自身对信息管理体系的要求和ISO27001标准的要求
确定信息安全管理体系是否得到有效实现和维护
管理评审
最高管理层按计划时间间隔评审组织的信息安全管理体系
改进
持续改进
持续改进信息安全管理体系的适应性、充分性和有效性
不符合及纠正措施
通俗来讲就是将现实的与信息安全管理体系不符合的条例进行纠正,在必要时可以对部门内部的信息安全管理体系进行修订
