【精品推荐】ISO27001信息安全管理体系全套文件

6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:

a在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项; b确定实施已选的信息安全风险处置选项所必需的全部控制措施; 注:组织可根据需要设计控制措施,或从任何来源识别控制措施。

c将6.1.3 b确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏 必要的控制措施;

注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。

注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。

d制定适用性声明,包含必要的控制措施(见6.1.3 b和c及其选择的合理 性说明(无论该控制措施是否已实施,以及对附录A控制措施删减的合理性说明; e制定信息安全风险处置计划;

f获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接 受。

组织应保留信息安全风险处置过程的文件化信息。

注:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南

6.2 信息安全目标和实现规划

组织应在相关职能和层次上建立信息安全目标。 信息安全目标应: a与信息安全方针一致; b可测量(如可行;

c考虑适用的信息安全要求,以及风险评估和风险处置的结果; d得到沟通; e在适当时更新。

组织应保留信息安全目标的文件化信息。 在规划如何实现信息安全目标时,组织应确定: f要做什么; g需要什么资源; h由谁负责; i什么时候完成; j如何评价结果。 7 支持 7.1 资源

组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。

7.2 能力 组织应:

a确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能 力;

b确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c适用时,采取措施以获得必要的能力,并评估所采取措施的有效性; d保留适当的文件化信息作为能力的证据。

注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有

7.3 意识

在组织控制下工作的人员应了解: a信息安全方针;

b其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处; c不符合信息安全管理体系要求带来的影响。 7.4 沟通

组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a沟通内容; b沟通时间; c沟通对象;

d谁应负责沟通; e影响沟通的过程。 7.5 文件化信息 7.5.1 总则

组织的信息安全管理体系应包括: a本标准要求的文件化信息;

b组织为有效实施信息安全管理体系所确定的必要的文件化信息。 注:不同组织的信息安全管理体系文件化信息的详略程度取决于: 1 组织的规模及其活动、过程、产品和服务的类型; 2 过程的复杂性及其相互作用; 3 人员的能力。 7.5.2 创建和更新

创建和更新文件化信息时,组织应确保适当的: a标识和描述(例如标题、日期、作者或编号;

b格式(例如语言、软件版本、图表和介质(例如纸质、电子介质; c对适宜性和充分性的评审和批准。 7.5.3 文件化信息的控制

信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保: a在需要的地点和时间,是可用和适宜的;