信息安全体系培训

ISO27001信息安全体系培训（条款4〜8ISMSIS02700I培训系列V1.0

2009年11

董翼枫(dongyf@

内容

/信息安全管理体系（条款4，管理职责（条款5

JISMS内部审核（条款6/ISMS管理评审（条款7/ISMS改善（条款8

J风险评估和处理

董翼枫(dongyf@)

条款4

董翼枫(dongyf@)

4.1总规定

组织应根据整体业务活动和风险,建立、实行、运行、监视、评审、保持并改

善文献化日勺信息安全管理体系。本原则应用了图1所示的PDCA模式。

・3・董翼枫(dongyf@)

4.2建立并管理ISMS

4.2.1建立ISMS

a根据组织业务特性、组织、地理位置、资产、技术以及任何删减的细节和合

理性来确定ISMS范围

b根据组织业务特性、组织、地理位置、资产和技术确定ISMS方针

c确定组织的风险评估措施

f管理ISMS的运行;

g管理ISMS资源（见5.2;

h实行程序及其他控制以及时检测、响应安全事故（见4.2.3。

4.2.3监视和评审ISMS

a执行监视和评审程序和其他控制措施

b定期评审ISMS的有效性（包括安全方针和目H勺的）实现状况，安全控制评

审，考虑安全审核、事故、有效性测量日勺成果以及所有有关方的提议和反馈;

c测量控制措施的有效性，以证明安全规定已得到满足；

d按照计划的时间间隔，评估风险评估,并评估残存风险的）等级和已识别的

接受风险.

e按计划的时间间隔进行ISMS内部审核（见条款6;

f定期进行ISMS管理评审（至少一年一次，保证范围仍然充足，并识别

ISMS过程改善的机会（见7.1;

g更新安全计划、考虑监视和评审活动的发现;

h记录也许影响ISMS有效性或业绩的措施和事件（见4.3.3。

4.2.4保持和改善ISMS

a实行ISMS已识别的改善；

b按照8.2和8.3日勺规定采用合适的纠止和防止措施。总结从其他组织或线织

自身日勺安全经验得到的教训；

c与所有有关方沟通措施和改善。沟通的）详细程度应与环境相合适,必要是

，应约定怎样进行；

d保证改善活动到达了预期的目的。

4.3.1总则

/文献应包括管理决策的记录.以保证措施可以追溯到管理决策和方针。记录

日勺成果应当是可复制日勺。

/重要日勺是要可以展示从选择日勺控制措施回溯到风险评估和风险处置过程成果

日勺关系，最终回溯到ISMS方针和目日勺。

4sMs文献应包括：

a形成文献的ISMS方针（见4.2.1b和控制目日勺;

bISMS范围（见4.2.1a;

c【SMS的支持性程序和控制；

d风险评估措施的描述（见4.2.1a;

e风险评估汇报（见4.2.1c到4.2.1g;

f风险处置计划（见4.2.2b;

g组织为保证其信息安全过程的有效筹划、运行和控制以及规定怎样规定怎样

测量控制措施有

效性所需日勺程序文献（见4.2.3c;

h本原则所规定的记录（见4.3.3。

i合用性申明。

4.3.2文献控制

JISMS所规定日勺文献应予以保护和控制。应编制形成文献的程序，以规定如下

方面所需日勺管理措施：

a文献公布前得到同意.以保证文献是充足的；

b必要时，对文献进行评审与更新并再次同意;

C保证文献的更改和现行修订状态得到识别;

d保证在使用处可获得合用文献的有关版本；

e保证文献保持合法，易于识别；

f保证文献可认为需要者所获得,并根据合用十也们类别的程序进行转移、存储

和最终日勺销毁：

g保证外来文献得到识别；

h保证文献的分发是受控的；

i防止作废文献的非预期使用；

j若因任何原因而保留作废文献时，对这些文献进行合适的标识。

4.3文献规定

4.3.3记录控制

/应建立并保持记录，以提供符合规定和ISMS有效运行日勺证据。

应保护并控制记录。ISMS应考虑有关的法律规定和协议责任。

记录应保持合法，易于识别和检索。应编制形成文献的程序，以规定记录曰勺标

识、储存、保护、检索、保留期限和处置所需的控制。

/保持4.2列出的过程业绩的记录以及与ISMS有关的重大安全事件的记录

J举例：

记录包括访问者登无表、审核记录和完毕的访问授权表。

条款5

管理职责

5.1管理承诺

/管理层应通过如下措施对其建立、实行、运行、监视、评审、保持和改善

ISMS日勺承诺提供证据：

a建立信息安全方针；

b保证信息安全目日勺和计划的建立；

c为信息安全分派角色和职责;

d向组织传达实现信息安全目的、符合信息安全方略、法律责任日勺重要

性以及持续改善日勺需要；

e提供足够的资源，以建立、实行、运行监视、保持和改善ISMS（见

5.2.1;

f决定接受风险口勺准则和可接受的风险等级；

g保证ISMS内部审核的实行（见条款6

h讲行ISMS管理评审（见条款7c

5.2.1资源提供

，组织应确定并提供如下方面所需日勺资源：

a建立、实行、运行、监视、评审、保持和改善ISMS;

b保证信息安全程序支持业务规定；

c识别并指出法律法规规定和协议安全责任；

d通过对的应用所实行的所有控制来保持足够的安全；

e需要时进行评审，并对评审的成果采用合适措施;

f必要时，改善ISMS曰勺有效性。

5.2.2培训、意识和能力

/组织应保证在ISMS中承担责任日勺人员应可以胜任规定日勺任务：

a确定从事影响信息安全工作的人员所必需的能力；

b提供培训或采用其他的措施（如雇佣有能力日勺人员来满足这些需求

C评价所采用措施的有效性；

d保持教育、培训、技能、经验和资质的记录（见4.3.3。

组织应保证所有有关人员认识到,他们日勺信息安全活动的有关性和重要性，以及

他们如

何为实现ISMS目日勺作出奉献。

条款6

ISMS内部审核

条款61sMs内部审核

/组织应按筹划日勺时间间隔进行ISMS内部审核，以确定组织ISMS日勺控制目

日勺、控制措施、过程和程序与否：

a符合本原则及有关法律法规的规定；

b符合已识别的信息安全规定；

c得到有效地实行和保持；

d按期望运行。

）应筹划审核方案,考虑受审核过程和区域日勺状况及重要性，以及上次审核的成

果。应规定审核准则、范围、频次和措施。审核员的选择和审核的实行应保证审核

过程日勺客观和公正。

/审核员不能审核自己日勺工作。

/应建立形成文献日勺程序，以规定筹划和实行审核、汇报成果和保持记录（见

4.3.3日勺职责和规定。

/受审核区域日勺负责人应保证立即采用措施以消除发现的）不符合及其原因，

跟踪活动应包括所采用措施的验证以及验证成果的汇报（见条款8。

条款7

ISMS管理评审

7.1总则

管理者应按筹划日勺时间间隔（至少一年一次评审组织日勺ISMS,以保证其持续日勺

合适性、充足性和有效呼。评审应包括评价ISMS改善的机会和变更的）需要,包括

安全方针和安全目日勺。评审成果应清晰地写入文献、并保持记录（见4.3.3。

7.2评审输入

J管理评审日勺输入应包括：

aISMS审核和评审的成果；

b有关方的反馈；

c组织用于改善ISMS业绩和有效性的技术、产品或程序；

d纠正和防止措施的实行状况；

c上次风险评估未充足指出的脆弱性或威胁；

f有效性测量的成果；

g上次管理评审所买用措施的跟踪验证；

h仟何也许影响ISMS的I变更：

i改善日勺提议。

7.3评审输出

/管理评审日勺输出应包括与如下方面有关日勺任何决定和措施:

aISMS有效性的改善;

b更新风险评估和风险处置计划;

b必要时，修订影响信息安全的程序和控制措施以反应也许影响ISMS的内外

事件，包括如下方面日勺变化：

1业务规定；

2安全规定；

3影响既有业务规定的业务过程；

4法律法规规定；

5协议责任；

6风险等级和/或风险接受准则。

c资源需求；

d改善测量控制措施有效性的方式。

-20-董翼枫(dongyf@)

条款8

■21-董翼枫(dongyf@)

8.1持续改善

组织应通过应用信息安全方略、安全目的、审核成果、监视事件的分析、纠

正防止措施和管理评审（见条款7持续改善ISMS的有效性。

■22-董翼枫(dongyf@)

8.2纠正措施

）组织应采用措施,消除与ISMS规定不符合日勺原因，以防止再发生。纠正措施

文献程序应规定如下方面口勺规定：

a识别不符合；

b确定不符合的原因；

c评价保证不符合不再发生所需的措施;

d确定和实行所需的纠正措施；

e记录所采用措施的成果（见4.3.3;

f评审所采用的纠正措施。

23-董翼枫(dongyf@)

8.3防止措施

/组织应采用措施以消除与ISMS规定不潜在不符合日勺原因，以防止发生。所

采用的防止措施应与潜在问题的影响相合适。防止措施文献程序应规定如下方面

日勺规定：

a识别潜在不符合及其原因;

b评价防止不符合发生所需的措施;

c确定并实行所需的防止措施；

d记录所采用措施日勺成果（见4.3.3;

e评审所采用的防止措施。

/组织应识别发生变化日勺风险,并通过关注变化明显日勺风险来识别防止措施规

定。

J应根据风险评估成果来确定防止措施的优先级。

24-董翼枫(dongyf@)

风险评估和处理注:可参照《GB-T20984-2023信息安全风险评估规范》

/风险评估应对照风险接受准则和组织有关目如识别、量化并辨别风险的优

先次序。风险评估日勺成果应指导并确定合适的管理措施及其优先级,以管理信息安

全风险和实行为防备这些风险而选择的控制措施。

/风险评估应包括估计风险大小日勺系统措施（风险分析，和将估计的风险与给定

日勺风险准则加以比较,以确定风险严重性日勺过程（风险评价。/风险评估还应定期进

行，以应对安全规定和风险情形日勺变化，例如资产、威胁、脆弱性、影响，风险评价；

当发生重大变化时也应进行风险评估。

风险评估应使用一种可以产生可比较和可再现成果的系统化的方式。

/为使信息安全风险评估有效，它应有一种清晰定义日勺范围。

/风险评估日勺范围既可以是整个组织、组织的一部分、单个信息系统、特定的

系统部件，也可以是服务。

,在考虑风险处理前，组织应确定风险与否能被接受日勺准则。假如经评估显示,

风险较低或处理成本对于组织耒说不划算，则风险可被接受。这些决定应加以记

录。

/对于风险评估所识别日勺每一种风险，必须作出风险处理决定。也许的风险处

理选项包括：

a应用合适的控制措施以减少风险；

b只要它们满足组织的方针和风险接受准则，则要故意识的、客观的接受该风险;

c通过严禁也许导致风险发生的行为来防止风险；

d将有关风险转移到其他方，例如，保险或供应商。

/对风险处理决定中要采用合适的控制措施的那些风险来说，应选择和实行这

些控制措施以满足风险评估所识别的规定。控制措施应保证在考虑如下原因的状况

下,将风险减少到可接受级别：

a国家和国际法律法规的规定和约束；

b组织的目的；

c运行规定和约束；

d减少风险有关的实行和运行的成本，并使之与组织的规定和约束保持相称；

e平衡控制措施实行和运行的投资与安全失误也许导致日勺损害日勺需要。

/控制措施可以从本原则或其他控制集合中选择，或者设计新日勺控制措施以满

足组织日勺特定需求。认识到有些控制措施并不是对每一种信息系统或环境都合用，

并且不是对所有组织都可行，这一点非常重要。例如,A10.1.3描述怎样分割责任，以

防止欺诈或错误。在较小的组织中分割所有责任是不太也许的，实现同一控制目的

的其他措施也许是必要R勺。此外一种例子,A10.10描述怎样监视系统使用及怎样搜

集证据。所描述日勺控制措