【精品推荐】ISO27001信息安全管理体系全套文件

b得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等。 为控制文件化信息,适用时,组织应开展以下活动: c分发,访问,检索和使用; d存储和保护,包括保持可读性; e控制变更(例如版本控制; f保留和处置。

组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。

注:访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。

8 运行

8.1 运行规划和控制

组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。

组织应保持文件化信息达到必要的程度,以确信过程按计划得到执行。 组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。

组织应确保外包过程得到确定和控制。 8.2 信息安全风险评估

组织应考虑6.1.2 a建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。

组织应保留信息安全风险评估结果的文件化信息。 8.3 信息安全风险处置

组织应实施信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件化信息。 9 绩效评价

9.1监视、测量、分析和评价

组织应评价信息安全绩效和信息安全管理体系的有效性。 组织应确定:

a需要被监视和测量的内容,包括信息安全过程和控制措施;

b监视、测量、分析和评价的方法,适用时,以确保得到有效的结果。 注:所选的方法宜产生可比较和可再现的有效结果。 c何时应执行监视和测量; d谁应监视和测量;

e何时应分析和评价监视和测量的结果; f谁应分析和评价这些结果。

组织应保留适当的文件化信息作为监视和测量结果的证据。 9.2 内部审核

组织应按计划的时间间隔进行内部审核,提供信息以确定信息安全管理体系是否:

a符合

1组织自身对信息安全管理体系的要求; 2本标准的要求。 b得到有效实施和保持。 组织应:

c规划、建立、实施和保持审核方案(一个或多个,包括审核频次、方法、职 责、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果; d确定每次审核的审核准则和范围;

e选择审核员,实施审核,确保审核过程的客观性和公正性; f确保将审核结果报告至相关管理者;

g保留文件化信息作为审核方案和审核结果的证据。 9.3 管理评审

最高管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。

管理评审应考虑:

a以往管理评审要求采取措施的状态;

b与信息安全管理体系相关的外部和内部情况的变化;

c信息安全绩效有关的反馈,包括以下方面的趋势: 1不符合和纠正措施; 2监视和测量结果; 3审核结果;

4信息安全目标完成情况; d相关方反馈;

e风险评估结果及风险处置计划的状态; f持续改进的机会。

管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。

组织应保留文件化信息作为管理评审结果的证据。 10 改进

10.1 不符合和纠正措施 当发生不符合时,组织应: a对不符合做出反应,适用时: 1采取措施控制并纠正不符合; 2处理后果;

b通过以下方法,评价采取消除不符合原因的措施的需求,防止不符合再发生, 或在其他地方发生: