[精品推荐]ISO27001信息安全管理体系全套文件

组织应确定与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部情况(issue。

注:对这些情况的确定,参见ISO31000:2009[5],5.3中建立外部和内部环境的内容。

4.2 理解相关方的需求和期望 组织应确定:

a信息安全管理体系相关方; b这些相关方的信息安全要求。

注:相关方的要求可包括法律法规要求和合同义务。 4.3 确定信息安全管理体系范围

组织应确定信息安全管理体系的边界及其适用性以建立其范围。 在确定范围时,组织应考虑: a 4.1中提到的外部和内部情况; b 4.2中提到的要求;

c组织执行活动之间以及与其他组织执行活动之间的接口和依赖关系。 该范围应形成文件化信息并可用。 4.4 信息安全管理体系

组织应按照本标准的要求,建立、实施、保持和持续改进信息安全管理体系。 5 领导力

5.1 领导力和承诺

最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺: a确保信息安全方针和信息安全目标已建立,并与组织战略方向一致; b确保将信息安全管理体系要求整合到组织过程中; c确保信息安全管理体系所需资源可用;

d传达有效的信息安全管理及符合信息安全管理体系要求的重要性; e确保信息安全管理体系达到预期结果;

f指导并支持相关人员为信息安全管理体系有效性做出贡献; g促进持续改进;

h支持其他相关管理者角色,在其职责范围内展现领导力。 5.2 方针

最高管理者应建立信息安全方针,方针应: a与组织意图相适宜;

b包括信息安全目标(见6.2或为信息安全目标的设定提供框架; c包括对满足适用的信息安全要求的承诺; d包括持续改进信息安全管理体系的承诺。 信息安全方针应: e形成文件化信息并可用; f在组织内得到沟通;

g适当时,对相关方可用。 5.3 组织的角色,职责和权限

最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。 最高管理者应分配职责和权限,以:

a确保信息安全管理体系符合本标准的要求; b向最高管理者报告信息安全管理体系绩效。

注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。6. 规划

6.1 应对风险和机会的措施 6.1.1 总则

当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:

a确保信息安全管理体系能实现预期结果; b预防或减少意外的影响; c实现持续改进。 组织应规划:

d应对这些风险和机会的措施; e如何:

1将这些措施整合到信息安全管理体系过程中,并予以实施;

2评价这些措施的有效性。 6.1.2 信息安全风险评估

组织应定义并应用信息安全风险评估过程,以: a建立和维护信息安全风险准则,包括: 1风险接受准则;

2信息安全风险评估实施准则。

b确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果; c识别信息安全风险:

1应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密 性、完整性和可用性损失有关的风险; 2识别风险责任人; d分析信息安全风险:

1评估6.1.2 c 1中所识别的风险发生后,可能导致的潜在后果; 2评估6.1.2 c 1中所识别的风险实际发生的可能性; 3确定风险级别; e评价信息安全风险:

1将风险分析结果与6.1.2 a中建立的风险准则进行比较; 2排列已分析风险的优先顺序,以便于风险处置。 组织应保留信息安全风险评估过程的文件化信息。