ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005

信息安全管理体系——

规范与使用指南

Reference number

ISO/IEC 27001:2005(E)

0简介

0.1总则

本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。

本国际标准可以用于内部、外部评估其符合性。

0.2过程方法

本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。

一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。

组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。

在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性：

a)了解组织信息安全需求和建立信息安

全策略和目标的需求；

b)在组织的整体业务风险框架下，通过

实施及运作控制措施管理组织的信息

安全风险；

c)监控和评审ISMS的执行和有效性；

d)基于客观测量的持续改进。

本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。

采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction

0.1 General

This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.

This International Standard can be used in order to assess conformance by interested internal and external parties.

0.2 Process approach

This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.

An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.

The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.

The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;

b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;

c) monitoring and reviewing the performance and effectiveness of the ISMS; and

d) continual improvement based on objective measurement.

This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.

The adoption of the PDCA model will also reflect the principles as set out in the

本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。

例1

要求可以是违背信息安全不会给组织带来严重经济损失或干扰。

例2

期望可以是指假设发生了严重的事件--可能是组织的电子商务网站遭受了黑客攻击—那么就必须有训练有素的人员通过适当的程序尽量减少其影响。OECD Guidelines (2002)1) governing the security of information systems and networks. This International Standard provides a robust model for implementing the principles in those guidelines governing risk assessment, security design and implementation, security management and reassessment.

EXAMPLE 1

A requirement might be that breaches of information security will not cause serious financial damage to an organization and/or cause embarrassment to the organization.

EXAMPLE 2

An expectation might be that if a serious incident occurs — perhaps hacking of an organization’s eBusiness web site — there should be people with sufficient training in appropriate procedures to minimize the impact.

0.3 与其他管理系统的兼容性

为了增强一致性，并与相关的管理标准整合实施和运作，本国际标准与BS EN ISO 9001：2000 和BSEN ISO 14001：2004相互协调。一个设计合理的管理系统能够满足所有标

准的需求。

表C.1 展示了本国际标准与ISO 9001：2000和ISO 14001：2004之间的关系。

本国际标准设计上就考虑把ISMS与其他相关的管理系统进行整合；0.3 Compatibility with other management systems This International Standard is aligned with ISO 9001:2000 and ISO

14001:2004 in order to support consistent and integrated implementation and operation with related management standards. One suitably designed management system can thus satisfy the requirements of all these standards. Table C.1 illustrates the relationship between the clauses of this International Standard, ISO 9001:2000 and ISO 14001:2004.

This International Standard is designed to enable an organization to align or integrate its ISMS with related management system requirements.

Plan(establish the ISMS) Establish ISMS policy, objectives, processes and procedures relevant

to managing risk and improving information security to deliver results

in accordance with an organization’s overall policies and objectives.

Do(implement and operate the ISMS) Implement and operate the ISMS policy, controls, processes and procedures.

Check(monitor and review the ISMS) Assess and, where applicable, measure process performance against ISMS policy, objectives and practical experience and report the results to management for review.

Act(maintain and improve the ISMS) Take corrective and preventive actions, based on the results of the internal ISMS audit and management review or other relevant information, to achieve continual improvement of the ISMS.

计划(建立ISMS) 根据组织的整体策略和目标，建立与管理风险相关的ISMS策略、目标、

过程和程序，改进信息安全达到期望的结果。

实施(实施和运行ISMS) 实施和运作ISMS的策略、控制措施和程序。

检查(监控和审核ISMS) 针对于ISMS策略、目标、实践经验进行评估、测量，并报告结果给管

理层评审。

改进(维护和改进 ISMS) 根据内部ISMS审核、管理评审的结果及其他相关信息，采取纠正和预

防措施，实现ISMS的持继改进。

1范围 1 Scope

1.1概要

本国际标准覆盖了所有类型的组织（如业务企业、政府机构、非盈利机构），在组织的整体业务风险环境下，本国际标准定义了建立、实施、运行、监控、评审、维护和改进一个文件化的ISMS。它定义了一个独立组织或组织的一部分实施安全控制的需求。

ISMS的设计提供了充分、适当的安全控制，充分保护信息资产并给与客户和其他利益相关方信心。

注1：在本国际标准中的术语‘business’被认为对于组织存在的目的非常关键的活动。

注2：ISO/IEC 17799为设计控制措施提供实施指南。

1.2应用

本标准规定所有要求是通用的,旨在适用于各种类型、不同规模和不同性质的组织。当组织宣布符合本国际标准，对于条款4,5,6,7和8要求的删减是不能接受。

需证明任何控制的删减满足风险接受的准则，必须证明是正当的并需要提供证据证明相关风险被责任人适当的接受。当由于组织的性质和业务本标准中的要求不能使用相关控制，要求可以考虑删减，除非删减不影响组织满足风险评估和适用的法律要求的能力和/或责任，否则不能声称符合本标准。

注：如果组织已经运行业务管理系统（如ISO9001或ISO14001），那将更容易满足本国际标准的需求。1.1 General

This International Standard covers all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations). This International Standard specifies the requirements for establishing, implementing, operating, monitoring, reviewing,maintaining and improving a documented ISMS within the context of the organization’s overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof.

The ISMS is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties.

NOTE 1: References to ‘business’ in this International Standard should be interpreted broadly to mean those activities that are core to the purposes for the organization’s existence.

NOTE 2: ISO/IEC 17799 provides implementation guidance that can be used when designing controls.

1.2 Application

The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size and nature. Excluding any of the requirements specified in Clauses 4, 5, 6, 7, and 8 is not acceptable when an organization claims conformity to this International Standard.

Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization’s ability, and/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.

NOTE: If an organization already has an operative business process management system (e.g. in relation with ISO 9001 or ISO 14001), it is preferable in most cases to satisfy the requirements of this International Standard within this existing management system.

2引用标准

下列标准引用的条文在本标准中同样引用。因为时间的原因，引用标准处于编辑状态。为了更新引用，应考虑参考文档最新版本。

ISO/IEC 17799:2005信息技术—安全技术--信息安全管理实施指南2 Normative references

The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 17799:2005, Information technology — Security techniques — Code of practice for information security management

3名词和定义

从本国际标准的目的出发，以下名词和定义适用。

3.1 资产

对组织而言具有价值的事物。

[BS ISO/IEC 13335-1:2004]

3.2 可用性

保证被授权的使用者需要时能够访问信息及相关资产。

[BS ISO/IEC 13335-1:2004]

3.3保密性

信息不被未授权的个人、实体、流程访问披露。

[BS ISO/IEC 13335-1:2004]

3.4 信息安全

保护信息的保密性、完整性、可用性及其他属性，如：真实性、可确认性、不可否认性和可靠性。

[BS ISO/IEC 17799:2005]

3.5 信息安全事件

系统、服务或网络状态发生的事件违背了信息安全策略，或使安全措施失效，或以前末知的与安全相关的情况

[BS ISO/IEC TR 18044:2004]

3.6 信息安全事故

单个或一系列的意外信息安全事件可能严重影响业务运作并威胁信息安全. [BS ISO/IEC TR 18044:2004]

3.7 信息安全管理体系（ISMS）

是整个管理体系的一部分，建立在业务风险的方法上，以开发、实施、运行、评审、维护和改进信息安全。

注：管理系统包括组织架构、策略、策划、职责、实践、程序、流程和资源。

3.8 完整性

保护资产的准确和完整。

[BS ISO/IEC 13335-1:2004]

3.9 剩余风险

经过风险处理后仍保留的风险。

[BS ISO/IEC Guide 73:2002]

3.10风险接受

接受风险的决策。3 Terms and definitions

For the purposes of this document, the following terms and definitions apply.

3.1 asset

anything that has value to the organization.

[ISO/IEC 13335-1:2004]

3.2 availability

the property of being accessible and usable upon demand by an authorized entity.

[ISO/IEC 13335-1:2004]

3.3 confidentiality

the property that information is not made available or disclosed to unauthorized individuals, entities, or processes.

[ISO/IEC 13335-1:2004]

3.4 information security

preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved.

[ISO/IEC 17799:2005]

3.5 information security event

an identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of safeguards, or a previously unknown situation that may be security relevant.

[ISO/IEC TR 18044:2004]

3.6 information security incident

a single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security.

[ISO/IEC TR 18044:2004]

3.7 information security management system ISMS

that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security. NOTE: The management system includes organizational structure, policies, planning activities, responsibilities, practices, procedures, processes and resources.

3.8 integrity

the property of safeguarding the accuracy and completeness of assets.

[ISO/IEC 13335-1:2004]

3.9 residual risk

the risk remaining after risk treatment.

[ISO/IEC Guide 73:2002]

3.10 risk acceptance

decision to accept a risk.

[ISO/IEC Guide 73:2002]

3.11 risk analysis

[ISO Guide 73:2002]

3.11风险分析

系统化地使用信息识别来源和估计风险。

[ISO Guide 73:2002]

3.12风险评估

风险分析和风险评价的整个过程。[ISO Guide 73:2002]

3.13风险评价

比较估计风险与给出的风险标准，确定风险严重性的过程。

[ISO Guide 73:2002]

3.14风险管理

指导和控制组织风险的联合行动。[ISO Guide 73:2002]

注：典型风险管理包括风险评估、风险处置、风险接受和风险沟通。

3.15风险处理

选择和实施措施以更改风险处理过程。[ISO Guide 73:2002]

注：本标准中术语“控制措施”等同于“措施”。

3.16适用性声明

描述与使用组织的ISMS范围的控制目标和控制措施。

注：控制目标和控制措施是建立在风险评估、风险处理过程、法律法规的要求、合同要求、组织对信息安全要求的结论和结果基础上。systematic use of information to identify sources and to estimate the risk.

[ISO/IEC Guide 73:2002]

3.12 risk assessment

overall process of risk analysis and risk evaluation.

[ISO/IEC Guide 73:2002]

3.13 risk evaluation

process of comparing the estimated risk against given risk criteria to determine the significance of the risk.

[ISO/IEC Guide 73:2002]

3.14 risk management

coordinated activities to direct and control an organization with regard to risk.

[ISO/IEC Guide 73:2002]

3.15 risk treatment

process of selection and implementation of measures to modify risk.

[ISO/IEC Guide 73:2002]

NOTE: In this International Standard the term ‘control’ is used as a synonym for ‘measure’.

3.16 statement of applicability

documented statement describing the control objectives and controls that are relevant and applicable to the organization’s ISMS.

NOTE: Control objectives and controls are based on the results and conclusions of the risk assessment and risk treatment processes, legal or regulatory requirements, contractual obligations and the organization’s business requirements for information security.

4信息安全管理体系

4.1总要求

组织应在组织整体业务活动和风险的环境下建立、实施、运作、监控、评审、维护和改进文件化的ISMS。本标准应用了图1所示的PDCA模型。

4.2建立和管理ISMS

4.2.1建立ISMS

组织应：

a)根据业务的性质、组织、位置、资产和

技术定义ISMS范围和界限，以及被排除

范围的详细理由；

b)根据组织的业务性质、组织、位置、资

产和技术定义ISMS策略，策略应： 1)包括建立目标框架和信息安全活动建立

整体的方向和原则；

2)考虑业务及法律法规的要求，及合同的

安全义务；

3)建立组织战略和风险管理，建立和维护

信息安全管理体系；

4)建立风险评价标准；[见4.2.1c]

5)经管理层批准；

注：根据国际标准的目的，信息安全管理体系的策略应该包含信息安全策略，这些策略可在一个文件中描述。

c)定义组织风险评估的方法；

1)识别适用于ISMS及已识别的信息安全、

法律和法规要求的风险评估方法；

2)开发接受风险的准则和识别可接受风险

水平；[见5.1f]

风险评估方法的选择应确保风险评估结果具有可重复性和可比较性。

注：有许多不同风险评估方法。风险评估方法的例子详细讨论在ISO/IEC TR 13335-3，《信息技术-IT安全管理指南-IT安全管理技术》。

d)识别风险；

1)识别ISMS范围内资产及其责任人2)

2)识别资产的威胁；

3)识别可能被威胁利用的脆弱性；

4)识别资产保密性、完整性和可用性损失的4 Information security management systems

4.1 General requirements

The organization shall establish, implement, operate, monitor, review, maintain and improve a documented ISMS within the context of the organization’s overall business activities and risk it faces. For the purposes of this international standard the process used is based on the PDCA model shown in Figure 1.

4.2 Establishing and managing the ISMS

4.2.1 Establish the ISMS

The organization shall do the follow.

a) Define the scope and boundaries of the ISMS in terms of the characteristics

of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope(see1.2).

b) Define an ISMS policy in terms of the characteristics of the business, the

organization, its location, assets and technology that:

1) Includes a framework for setting objectives and establishes an overall sense

of direction and principles for action with regard to information security;

2) Takes into account business and legal or regulatory requirements, and

contractual security obligations;

3) Aligns with organization’s strategic risk management context in which the

establishment and maintenance of the ISMS will take place;

4) Establishes criteria against which risk will be evaluated [see 4.2.1c];and

5) Has been approved by management.

NOTE：For the purposes of this International Standard, the ISMS policy is considered as a superset of the information security policy. These policies can be described in one document.

c) Define the risk assessment approach of the organization

1) Identify a risk assessment methodology that is suited to the ISMS, and the

identified business information security, legal and regulatory requirements.

2) Develop criteria for accepting the risks and identify the acceptable levels of

risk[see5.1f]].

The risk assessment methodology selected shall ensure that risk assessments produce comparable and reproducible results.

NOTE: There are different methodologies for risk assessment. Examples of risk assessment methodologies are discussed in ISO/IEC TR 13335-3, Information technology- Guidelines for the management of IT Security-Techniques for the management of IT security.

d) Identify

the

risks

1) Identify the assets within the scope of the ISMS, and the owners2) of these

assets.

2) Identify the threats to those assets.

3) Identify the vulnerabilities that might be exploited by the threats.

影响；

3)术语‘责任人’定义了个人或实体经过

管理层的批准，有责任去控制产品、开发、维护、使用和保证资产安全。术语‘责任

人’并不意味着其真正拥有资产。

e)分析和评估风险；

1)评估安全失效带来的业务影响，考虑

资产失去保密性、完整性和可用性的

潜在后果；

2)评估资产的主要威胁、脆弱点和影响

以及已经实施的安全控制措施，评估

安全失效发生的现实可能性；

3)估计风险等级；

4)根据在4.2.1c)中建立的准则，进行衡

量风险是可接收，还是需要处理； f)识别和评价处置风险的选项；

可选措施：

1)应用适当的控制措施；

2)在确切满足组织策略和风险接受准则的

前提下，有意识地、客观地接受风险；[见

4.2.1]

3)回避风险；

4)将相关业务风险转嫁他方，如：保险公

司、供应商等；

g)选择风险处置的控制目标和控制措施； 选择合适的控制目标和控制措施，以满足风险评估和风险处理过程的要求。选择方法应考虑可接收的风险(见4.2.1c)2))以及法律、法规与合同的要求。

附录A中列出控制目标和控制措施，作为本流程的一部分，适用于被识别要求。

注：附录A包含适用于通用组织全面的控制目标和控制措施列表，本国标准用户直接从附录A中选择控制措施，确保没有重要控制选项被忽略。

h)管理层批准建议的残余风险；

i)获得管理层授权实施和运作ISMS；

j)准备适用性声明；

适用性声明应被准备并包含下列内容：

1)从4.2.1(g)选择控制目标和控制措

施以及被选择的原因；

2)正在实施控制目标和控制措施；

3)附件A中被排除的控制目标和控制

4) Identify the impacts that losses of confidentiality, integrity and availability

may have on the assets.

2) The term ‘owner’ identifies an individual or entity that has approved management responsibility for controlling the production, development, maintenance, use and security of the assets. The term ‘owner’ does not mean that the person actually has any property rights to the asset.

e) Analysis and evaluate the risks

1) Assess the business impacts upon the organization that might result from a

security failure, taking into account the consequences of a loss of

confidentiality, integrity or availability of the assets.

2) Assess the realistic likelihood of security failure occurring in the light of

prevailing threats and vulnerabilities and impacts associated with these

assets, and the controls currently implemented.

3) Estimate the levels of risks

4) Determine whether the risk are acceptable or requires treatment using the

criteria for accepting risks established in 4.2.1c).

f) Identify and evaluate options for the treatment of risks。

Possible actions include:

1) Applying appropriate controls;

2) Knowingly and objectively accepting risks, providing they clearly satisfy the

organization’s policies and the criteria for accepting risk[see 4.2.1c];

3) Avoiding risks; and

4) Transferring the associated business risks to other parties, e.g. insures,

suppliers.

g) Select control objectives and controls for the treatment of risks

The control objectives and controls shall be selected and implement to meet the requirement identified by risk assessment and risk treatment process. This selection shall take account of the criteria for accepting risk (see 4.2.1c)2)) as well as legal, regulatory and contractual requirements.

The control objectives and controls from Annex A shall be selected as part of this process as suitable to cover the identified requirements.

NOTE: Annex A contains a comprehensives list of control objectives and controls that have been found to be commonly relevant in organizations. User of this international Standard are directed to Annex A as a starting point for control selection to ensure that no important control options are overlooked.

h) Obtain management approval of the proposed residual risks

i) Obtain management authorization to implement and operate the ISMS.

j) Prepare a statement of applicability

A statement of Applicability shall be prepared that includes the following:

1) The control objectives and control selected in 4.2.1g) and the reasons for

their selection;

2) the control objectives and controls currently implemented (see 4.2.1e2)); and

3) the exclusion of any controls objectives and controls in Annex A and the

justification for their exclusion.

措施应解释其被排除的理由；

注：适用性声明提供了一份考虑风险处理结果的摘要，被排除的选项需反复确认以保证不会忽略任何控制。

4.2.2实施和运作ISMS

组织应：

a)阐述风险处理计划，它为信息安全风险

管理指出适当的管理措施、资源、职责、

优先级；-[见条款5]

b)实施风险处置计划以达到识别的控制目

标，包括对资金需求及安全角色和职责

分配；

c)实施在4.2.1(g)选择的控制措施以达到

控制目标；

d)定义如何测量所选控制措施的有效性，

检测方式如何被用于评估控制措施的有

效性，产生可比较的、可重复的结果；[见

4.2.3c].

注：通过测量控制措施的有效性，允许管理者和职员去决定如何很好的控制以达到计划的控制目标。

e)实施培训和意识[见5.2.2]；

f)管理信息安全管理系统运作；

g)管理信息安全管理系统资源[见5.2]；

h)实施程序及其他及时检测的控制措施，

并响应安全事故；[见4.2.3a].

4.2.3监控和评审ISMS

组织应：

a)执行监控、评审程序和其他控制措施：

1)及时检测过程结果中的错误；

2)及时识别失败的和成功的安全违规和

事故；

3)使管理层决定将安全活动授权，或由信

息技术实施的安全活动是否按期望实

施；

4)使用通知提示帮助检测安全事件，从而

避免安全事故的发生；

5)确定解决安全违规的行动是否有效；

b)定期评审ISMS的有效性（包括符合安全策

略和目标，及安全控制措施评审）考虑安全评审、事故、有效测量的结果及来自所有利益相关方的建议和反馈；

c)测量控制措施的有效性，验证已经达到安NOTE: The Statement of Applicability provides a summary of decisions concerning risk treatment. Justifying exclusion provides a cross-check that no controls have been inadvertently omitted.

4.2.2 Implement and operate the ISMS

The organization shall do the following.

a) Formulate a risk treatment plan that identifies the appropriate management

action, resources, responsibilities and priorities for managing information security risks ( see 5).

b) Implement the risk treatment plan in order to achieve the identified control

objectives, which includes consideration of funding and allocation of roles and responsibilities.

c) Implement controls selected in 4.2.1g) to meet the control objectives.

d) Define how to measure the effectiveness of the selected controls or groups of

controls and specify how these measurements are to be used to assess control effectiveness to produce comparable and reproducible results (see

4.2.3c)).

NOTE: Measuring the effectiveness of controls allows managers and staff to determine how well controls achieve planned control objectives.

e) Implement training and awareness programmes(see 5.2.2).

f) Manage operations of the ISMS.

g) Manage resources for the ISMS(see 5.2).

h) Implement procedures and other controls capable of enabling prompt

detection of security events and response to security incidents. (see 4.2.3a)).

4.2.3 Monitor and review the ISMS

The organization shall do the following.

a) Execute monitoring and reviewing procedures and other controls to:

1) Promptly detect errors in the results of processing;

2) promptly Identify failed and successful security breaches and incidents;

3) Enable management to determine whether the security activities delegated

to people or implemented by information technology are performing as

expected;

4) Help detect security events and thereby prevent security incidents by the

use of indicators; and

5) Determine whether the actions taken to resolve a breach of security were

effective.

b) Undertake regular reviews of the effectiveness of the ISMS(including meeting

ISMS policy and objectives, and review of security controls) taking into account results of security audits, incidents, results from effectiveness measurements, suggestions and feedback from all interested parties.

c) Measure the effectiveness of controls to verify that security requirements

全要求；

d)按计划定期评审风险评估、残余风险和可

接受风险的水平，考虑以下变化：

1）组织；

2）技术；

3）业务目标和过程；

4）已识别威胁；

5）已实施控制的有效性；

6）外部事件，如：法律、法规、合同责任及社会环境发生的变化；

e)在计划的时间段内实施内部ISMS审核

（见条款6）；

注：内部审核，也称为第一方审核，根据组织本身的内部目标来进行实施；

f)定期进行ISMS管理评审以保证信息安全管

理体系范围仍然充分，识别ISMS过程中的改进措施；（见条款7.1）

g)更新安全计划，考虑监控和评审活动的发

现；

h)记录能够影响ISMS的有效性或性能的措施

和事件；[见4.3.3]

4.2.4维护和改进ISMS

组织应定期进行：

a)实施ISMS已识别的改进措施；

b)按照8.2和8.3采取合适的纠正和预防

行动。应用从其他组织和组织内学到安

全经验；

c)与相关人员沟通措施和改进，沟通的详

细程度与环境相适宜，必要时，应约定

如何进行；

d)确保改进行动达到预期目标；

4.3文件要求

4.3.1总则

文件应包括管理层决策的记录，确保措施可以追溯到管理层决策和策略，确保记录结果是可重复；

重要的是能够证明所选择的控制措施与风险评估和风险处理过程的结果之间的关系，以及追溯到信息安全管理策略和目标。

ISMS文件应包括：

a)文件化的安全策略文件和控制目标；

b)ISMS范围；[见4.2.1c]

have been met.

d) Review risk assessment at planned intervals and review the residual risks

and identified acceptable levels of risks, taking into account changes to:

1) The

organization;

2) Technology;

3) Business objectives and processes;

4) Identified

threat;

5) Effectiveness of the implemented controls; and

6) External events, such as changes to the legal or regulatory

environment, changed contractual obligations, and changes in social

climate.

e) Conduct internal ISMS audits at planned intervals(see 6).

NOTE: Internal audits, sometimes called first party audits, are conducted by, or on behalf of, the organization itself for internal purposes.

f) Undertake a management review of the ISMS on a regular basis to ensure

that the scope remains adequate and improvements in the ISMS process are identified(see 7.1).

g) Update security plans to take into account the findings of monitoring and

reviewing activities.

h) Record actions and events that could have an impact on the effectiveness or

performance of the ISMS(see 4.3.3).

4.2.4Maintain and improve the ISMS

The organization shall regulatory do the following.

a) Implement the identified improvements in the ISMS.

b) Take appropriate corrective and preventive actions in accordance with 8.2

and 8.3. Apply the lessons learnt from the security experiences of other organizations and those of the organization itself.

c) Communicate

the actions and improvements to all interested parties with a level of detail appropriate to the circumstance and , as relevant, agree on how to proceed..

d) Ensure that the improvements achieve their intended objectives.

4.3Documentation requirements

4.3.1General

Documentation shall include records of management decisions, ensure that actions are traceable to management decisions and policies, and ensure that the recorded results are reproducible.

It is important to be able to demonstrate the relationship from the selected controls back to the results of the risk assessment and risk treatment process, and subsequently back to the ISMS policy and objectives.

The ISMS documentation shall include :

a) Document statements of the ISMS policy [see 4.2.1b] and objectives.

b) The scope of the ISMS [see 4.2.1c]

c)ISMS的支持性程序及控制措施；

d)风险评估方法的描述；[见4.2.1c]

e)风险评估报告；[见4.2.1c]到[4.2.1g]

f)风险处置计划；[见4.2.2b]

g)组织为确保其信息安全过程有效规划、

运作和控制以及规定如何测量控制措施

的有效性所需要的程序文件；[见

4.2.3c]

h)本标准要求的记录；[见4.3.3]

i)适用性声明；

信息安全管理体系需要的全部文档应该是有效的。

注1：当本国际标准中出现“文件的程序”，这意味着建立、文件化、实施和维护该程序。 注2：信息安全管理体系文档的范围不同的组织是不相同的，依据：

----组织的大小和业务活动的类型；

----被管理的系统和安全的需求的复杂性和范围；

注3:文档和记录可以在任何形式或任何介质的；

4.3.2文件控制

应保护和控制ISMS要求的文件。应建立文件化的程序确定所需管理措施：

a)文件发布前得到批准，以确保文件的充分性；

b)必要时对文件进行评审与更新，并再次批准；

c)确保文件的更改和现行修订状态得到识别；

d)确保在使用处可获得适用文件的有关版本；

e)确保文件保持清晰、易于识别；

f)确保需要文档的人可以获得有效文档，根据

他们的分类进行传输、存储和最终的销毁；

g)确保外来文件得到识别；

h)确保文件的发放是受控的；

i)防止作废文件的非预期使用；

j)若因任何原因而保留作废文件时，对这些文件进行适当的标识；

4.3.3记录控制

应建立并保持纪录，以提供符合要求和信息安全管理体系的有效运行的证据。应当保护和控制记录。信息安全管理体系应考虑任何有关的法律、法规和合同责任的要求。记录应保持清c) procedures and controls in support of the ISMS

d) A description of the risk assessment methodology(see 4.2.1c));

e) Risk assessment report [see 4.2.1c]] to 4.2.1g)].

f) Risk treatment plan [see 4.2.2b].

g) Documented procedures needed by the organization to ensure the effective

planning, operation and control of its information security process and describe how to measure the effectiveness of controls(see 4.2.3c)).

h) Records required by this International Standard(see 4.3.3).

i) The Statement of Applicability.

All documentation shall be made available as required by the ISMS policy.

NOTE 1: where the term “documented procedure” appears within this International standard, this means that the procedure is established, documented, implemented and maintained.

NOTE 2: the extent of the ISMS documentation can differ from one organization to another owing to:

----the size of the organization and the type of its activities; and

----the scope and complexity of the security requirements and the system being managed;

NOTE 3:documents and records may be in any form or type of medium.

4.3.2 Control of documents

Documents required by the ISMS shall be protected and controlled. A documented procedure shall be established to define the management actions needed to:

a) Approve documents for adequacy prior to issue;

b) Review and update documents as necessary and re-approve documents;

c) Ensure that changes and the current revision status of documents are

identified;

d) Ensure

that relevant version of applicable documents are available at points of use;

e) Ensure that documents remain legible and readily identifiable;

f) Ensure that documents are available to those who need them, and are

transferred, stored and ultimately disposed of in accordance with the procedures applicable to their classification;

g) Ensure that documents of external origin are identified;

h) Ensure that the distribution of documents is controlled;

i) Prevent the unintended use of obsolete documents; and

j) Apply suitable identification to them if they are retained for any purpose.

4.3.3Control of records

Records shall be established and maintained to provide evidence of conformity to requirements and the effective operation of the ISMS. They shall be protected and controlled. The ISMS shall take account of any relevant legal or regulatory requirements and contractual obligations. Records shall remain legible, readily

晰、易于识别和检索。记录的标识、储存、保护、检索、保存期限和处置所需的控制应被文件化并实施。

应保留4.2列出的过程执行记录和所有与信息安全管理体系有关的安全事故发生的纪录。 举例

记录的例子如：访问者的签名簿，审核记录和完整的授权访问记录。identifiable and retrievable. The controls needed for the identification, storage, protection, retrieval, retention time and disposition of the records shall be documented and implemented.

Records shall be kept of the performance of the process as outlined in 4.2 and of all occurrences of security incidents related to the ISMS.

EXAMPLE

Examples of records are a visitor’s book, audit records and completed access authorization forms.

5管理职责

5.1管理承诺

管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据，包括：

a)建立信息安全策略；

b)确保建立信息安全目标和计划；

c)为信息安全确立角色和责任；

d)向组织传达达到信息安全目标和符合信息安

全策略、法律责任的重要性及持续改进的需要；

e)提供足够的资源以建立、实施，监控、评审、

维护和改进信息安全管理体系［见5.2.1］；

f)确定可接受风险准则和可接收风险等级；

g)确保信息安全管理体系内部评审的实施；[见

6]

h)进行信息安全管理体系的管理评审[见条款

6]；

5.2资源管理

5.2.1提供资源

组织将确定和提供所需的资源，以：

建立、实施、运行、监控、评审和维护信息安全管理体系；

确保信息安全程序支持业务需求；

识别和强调法律和法规要求及合同安全责任；正确地应用所有实施的控制措施维护足够的安全；

必要时，进行评审，并对评审的结果采取适当措施；

需要时，改进信息安全管理体系的有效性；5.2.2培训、意识和能力

组织应确保在信息安全管理体系承担责任的人员应能够胜任要求的任务。组织应：

a)确定从事影响信息安全管理体系的人员

所必要的能力；

b)提供培训和采取其他措施（聘用有能力的5Management responsibility

5.1Management commitment

Management shall provide evidence of its commitment to the establishment, implementation, operation, monitoring, review, maintenance and improvement of the ISMS by:

a) Establishing an ISMS policy;

b) Ensuring that ISMS objectives and plans are established;

c) Establishing roles and responsibilities for information security;

d) Communicating to the organization the importance of meeting information

security objectives and conforming to the information security policy, its responsibilities under the law and the need for continual improvement;

e) Providing sufficient resources to establish, implement, monitor, review,

maintain and improve the ISMS(see 5.2.1);

f) Deciding the criteria for accepting risk and the acceptable levels of risk;

g) Ensuring that internal ISMS audits are conducted (see 6); and

h) Conducting management reviews of the ISMS (see 7).

5.2Resource management

5.2.1Provision of resources

The organization shall determine and provide the resources needed to:

a) Establish, implement, operate, monitor, review, maintain and improve an

ISMS;

b) Ensure that information security procedures support the business

requirements;

c) Identify and address legal and regulatory requirements and contractual

security obligations;

d) Maintain adequate security by correct application of all implemented controls;

e) Carry out reviews when necessary, and to react appropriately to the results of

these reviews; and

f) Where required , improve the effectiveness of the ISMS.

5.2.2 Training, awareness and competency

The organization shall ensure that all personnel who are assigned responsibilities defined in the ISMS are competent to perform the required tasks by:

a) Determining the necessary competencies for personnel performing work

effecting the ISMS;

人员）满足这些需求；

c)评价提供的培训和所采取行动的有效性；

d)保持教育、培训、技能、经验和资格的纪

录[ 见4．3．3] ；

组织应确保所有相关的人员认识到他们信息安全活动的相关性和重要性，以及他们如何为实现信息安全管理体系目标做出贡献。b) Providing training or taking other actions(e.g. employing competent

personnel) to satisfy these needs;

c) Evaluating the effectiveness of the actions takes; and

d) Maintaining records of education,, training , skills, experience and

qualifications(see 4.3.3).

The organization shall also ensure that all relevant personnel are aware of the relevance and importance of their information security activities and how they contribute to the achievement of the ISMS objectives.

6信息安全管理体系内部审核

组织应按计划的时间定期进行内部信息安全管理体系审核，以确定信息安全管理体系的控制目标、控制措施、安全管理体系的过程和程序是否：

a)符合本国际标准和相关法律法规的要

求；

b)符合已识别的信息安全要求；

c)得到有效地实施和维护；

d)按期望执行；

应策划审核活动，考虑审核过程和区域的状况及重要性，以及前次审核的结果。应确定审核的准则、范围、频次和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核自己的工作。

应定义文件化的程序，以规定策划和指导审核、报告结果和维护记录［见4.3.3］的责任及要求。

负责被审核区域的管理者应确保立即采取措施消除发现的不符合及其原因。跟踪应包括采取措施的验证和验证结果的报告［见条款8］。注：在ISO19011:2002中，针对于质量/环境管理系统审核的策略，可能为内部信息安全检查管理审核提供有帮助的指导。6 Internal ISMS audits

The organization shall conduct internal ISMS audits at planned intervals to determine whether the control objectives, controls, processes and procedures of its ISMS;

a) Conform to the requirements of this international Standard and relevant

legislation or regulations;

b) Conform to the identified information security requirements;

c) Are effectively implemented and maintained; and

d) Perform as expected.

An audit programme shall be planned, taking into consideration the status and importance of the process and areas to be audited, as well as the results of previous audits. The audit criteria, scope, frequency and methods shall be defined. The selection of auditors and conduct of audits shall ensure objectivity and impartiality of the audit process. Auditors shall not audit their own work.

The responsibilities and requirements for planning and conducting audits, and for reporting results and maintaining records(see 4.3.3) shall be defined in a documented procedure.

The management responsible for the area being audited shall ensure that actions are taken without undue delay to eliminate detected nonconformities and their causes. Follow-up activities shall include the verification of the actions taken and the reporting of verification result (see 8).

NOTE: ISO19011:2002, Guidelines for quality and/or environmental management systems auditing, may provide helpful guidance for carrying out the internal ISMS audits.

7信息安全管理体系管理评审

7．1总则

管理层应按计划的时间定期（至少一年一次）评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进机会和变更需要，包括信息安全策略和信息安全目标。

评审结果应清楚地写入文件，应保持管理评审的纪录［见4.3.3］ 7 Management review of the ISMS

7.1 General

Management shall review the organization’s ISMS at planned intervals(at least once a year) to ensure its continuing suitability, adequacy and effectiveness. This review shall include assessing opportunities for improvement and the need for changes to the ISMS, including the information security policy and information security objectives. The results of the reviews shall be clearly documented and records shall be maintained(see 4.3.3).

7．2评审输入

管理评审输入应包括以下方面的信息：

a）信息安全管理体系审核和评审结果；

b）相关方反馈；

c）可以用于组织改进其信息安全管理体系业绩和有效性的技术、产品或程序；

d）预防和纠正措施的实施情况；

e）上次风险评估未充分强调的脆弱性或威胁；

f) 有效的测量结果；

g) 上次管理评审所采取措施的跟踪验证； h）任何可能影响信息安全管理体系的变更； i）改进建议；

7．3评审输出

管理评审输出应包括以下方面有关的任何决定和措施：

a) 信息安全管理体系有效性的改进；

b) 更新风险评估和风险处理计划；

c）修改影响信息安全的程序和控制措施，必要时，以反映内部或外部可能影响信息安全管理体系的事件，包括以下的变更：

1）业务要求；

2）安全要求；

3）影响现有业务过程的业务要求；

4）法规或法律要求；

5) 合同责任；

6）风险的等级和／或可接受风险的水平；d）资源需求；

e) 改进测量控制措施有效性的方式； 7.2 Review input

The input to a management review shall include:

a) Result of ISMS audits and reviews;

b) Feedback from interested parties;

c) Techniques, products or procedures, which could be used in the organization

to improve the ISMS performance and effectiveness;

d) Status of preventive and corrective actions;

e) Vulnerabilities or threats not adequately addressed in the previous risk

assessments;

f) Results from effectiveness measurements;

g) Follow-up actions from previous management reviews;

h) Any changes that could affect the ISMS;and

i) Recommendations for improvement.

7.3Review output

The output from the management review shall include any decisions and actions related to the following.

a) Improvement of the effectiveness of the ISMS.

b) Update of the risk assessment and risk treatment plan.

c) Modification of procedures and controls that effect information security, as

necessary, to respond to internal or external events that may impact on the ISMS, including changes to:

1) Business

requirements;

2) Security

requirements;

3) Business processes effecting the existing business requirements;

4) Regulatory or legal environment;

5) Contractual obligations; and

6) Levels of risk and /or criteria for accepting risks.

d) Resource

needs.

e) Improvement to how the effectiveness of controls is being measured.

8ISMS改进

8.1持续改进

组织应通过使用安全策略、安全目标、审核结果、监控事件的分析、纠正和预防行动和管理评审的信息持续改进ISMS的有效性[见7]。

8. 2 纠正措施

组织应采取措施，消除与实施和运行信息安全管理体系有关的不合格的原因，防止再发生。应为纠正措施编制形成文件的程序，确定以下要求：

a）识别信息安全管理体系的不符合；

b）确定不符合原因；

c）评价确保不符合不再发生所需措施； 8 ISMS improvement

8.1 continual improvement

The organization shall continually improve the effectiveness of the ISMS through the use of the information security policy, information security objective, audit results, analysis of monitored events, corrective and preventive actions and management review(see 7).

8.2 Corrective action

The organization shall take action to eliminate the cause of nonconformities with the ISMS requirements in order to prevent recurrence. The documented procedures for corrective action shall define requirement for:

a) Identifying nonconformities ;

b) Determine the causes of nonconformities;

c) Evaluating the need for action to ensure that nonconformities do no recur ;

d) 确定和实施所需纠正措施；

e）记录所采取措施的结果[ 见4.3.3] ；

f) 评审所采取的纠正措施；

8. 3预防措施

组织应采取措施，以消除与信息管理体系要求潜在不符合的原因，避免再次发生。预防措施应于潜在问题的影响程度相适应。应为预防措施编制形成文件的程序，以确定以下方面要求：

a）识别潜在不符合及其原因；

b) 评估预防不符合发生所需的措施；

c）确定和实施所需预防措施：

d）记录所采取措施结果[见4.3.3]；

e) 评审所采取的预防措施；

组织应识别变化的风险和识别关注于重要变化风险的预防措施的要求。

纠正措施的优先权应以风险评估结果为基础确定。

注：预防不合格的措施总是比纠正措施更节约成本。d) Determining and implementing the corrective action needed;

e) Recording results of action taken(see 4.3.3); and

f) Review of corrective action taken.

8.3Preventive action

The organization shall determine action to eliminate the cause of potential nonconformities in order to prevent their occurrence. Preventive actions taken shall be appropriate to the impact of the potential problems. The documented procedure for preventive action shall define requirements for:

a) Identifying potential nonconformities and their causes;

b) Evaluating the need for action to prevent occurrence of nonconformities;

c) Determining and implementing preventive action needed;

d) Recording results of action taken( see 4.3.3); and

e) Reviewing of preventive action taken;

The organization shall Identify changed risks and identify preventive action requirements focusing attention on significantly changed risks.

The priority of preventive actions shall be determined based on the results of the risk assessment.

NOTE:Action to prevent nonconformities is often more cost-effective than corrective action.

附录A（引用）

控制目标和控制措施

从A．5到A.15列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799：2005条款5到15一致。在表中的控制目标与控制措施并不详尽，组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1规定的信息安全管理体系过程的一部分。

ISO／IEC 17799：2005条款5至 15提供最佳惯例的实施建议和指南以支持A.5到A.15规范的控制措施。 Annex A (normative)

Control objectives and controls

The control objectives and controls listed in table A.1 are directly derived from and aligned with those listed in BS ISO/IEC 17799:2005 Clauses 5 to 15. The lists in tables A.1 are not exhaustive and an organization may consider that additional control objectives and controls are necessary. Control objectives and controls from these tables shall be selected as part of the ISMS process specified in 4.2.1.

ISO/IEC 17799:2005 Clauses 5 to 15 provide implementation advice and guidance on best practice in support of the controls specified in A.5 to A.15.

A.5 信息安全策略 A.5 Information security policy

A.5.1 信息安全策略

控制目标：为信息安全提供符合业务需求和相关法律、法规，提供管理方向和支持；A.5.1 Information security policy

Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations

A.5.1.1信息安全策略文件

控制措施

信息安全策略文件应经过管理层批准，向所有员工和相关外部团体发布和沟通；

A.5.1.2信息安全策略评审

控制措施

应按计划的时间间隔或在发生重大的变化时评审策略文件，确保策略的持续性、稳定性、充分性和有效性；A.5.1.1 Information security policy document

Control

An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties.

A.5.1.2 Review of the information security policy

Control

The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness.

A.6 信息安全组织 A.6 Organization of information security

A.6.1内部组织

控制目标：在组织内部管理信息安全；A.6.1 Internal organization

Objective: To manage information security within the organization.

A.6.1.1信息安全管理承诺

控制措施

管理者通过清晰的方向、可见的承诺、详细的分工、信息安全职责的沟通，去积极支持安全；

A.6.1.2 信息安全协作

控制措施

信息安全活动应由组织相关部门及相关角色和职能的代表共同协作实施；

A.6.1.3信息安全责任划分

控制措施

应明确定义所有信息安全职责；

A.6.1.4 信息处理设施授权过程

控制措施

应建立和实施对于新的信息处理设施的管理授权过程；

A.6.1.5 保密协议

控制措施

根据影响组织信息保护的需求，保密或不泄露协议的需求应被定义和定期评审；

A.6.1.6 与监管机构的联系

控制措施

与相关监管机构应维持适当联系；

A.6.1.7 与特殊利益团体的联系

控制措施

与特殊利益团体、其他专业安全协会或行业协会应维持适当联系； A.6.1.1 Management commitment to information security

Control

Management shall actively support security within the organization through clear direction, demonstrated commitment, explicit assignment, and acknowledgment of information security responsibilities.

A.6.1.2 Information security coordination

Control

Information security activities shall be co-ordinated by representatives from different parts of the organization with relevant roles and job functions.

A.6.1.3 Allocation of information security responsibilities

Control

All information security responsibilities shall be clearly defined.

A.6.1.4 Authorization process for information processing facilities

Control

A management authorization process for new information processing facilities shall be defined and implemented.

A.6.1.5 Confidentiality agreements

Control

Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified and regularly reviewed.

A.6.1.6 Contact with authorities

Control

Appropriate contacts with relevant authorities shall be maintained.

A.6.1.7 Contact with special interest groups

Control

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

A.6.1.8信息安全独立审查

控制措施

组织管理信息安全的方法及其实施（如：信息安全控制目标、控制措施、策略、流程、和程序）应在计划周期内或当重大变化发生时进行独立审查； A.6.1.8 Independent review of information security

Control

The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes, and procedures for information security) shall be reviewed independently at planned intervals, or when significant changes to the security implementation occur.

A.6.2外部组织

控制目标：维护组织信息及信息处理设施被外部组织访问、处理、沟通或管理时的安全；A.6.2 External parties

Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties.

A.6.2.1 识别外部组织风险

控制措施

应识别外部组织业务过程的信息及信息处理设施的风险，并在允许访问前实施适当的控制；

A.6.2.2 当与客户接触时强调安全

控制措施

应在允许客户访问组织的信息或资产之前强调所有识别的安全需求；

A.6.2.3 在第三方协议中强调安全

控制措施

在与第三方合约中应包含所有的安全要求，如访问、处理、沟通、管理组织的信息或信息处理设施，或增加信息处理设施的产品和服务；A.6.2.1 Identification of risks related to external parties

Control

The risks to the organization’s information and information processing facilities from business processes involving external parties shall be identified and appropriate controls implemented before granting access.

A. 6.2.2 Addressing security when dealing with customers

Control

All identified security requirements shall be addressed before giving customers access to the organization’s information or assets.

A. 6.2.3 Addressing security in third party agreements

Control

Agreements with third parties involving accessing, processing, communicating or managing the organization’s information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements.

A.7 资产管理 A.7 Asset management

A.7.1 资产的责任

控制目标：实现和维持组织资产的适当保护；A.7.1 Responsibility for assets

Objective: To achieve and maintain appropriate protection of organizational assets.

A.7.1.1 资产清单

控制措施

应清楚的识别所有的资产，并编制和维持所有重要资产清单；

A.7.1.2 资产所有权

控制措施

所有信息和信息处理设施相关资产应指定其组织内的拥有者3）；

A.7.1.3 资产的合理使用

控制措施

应识别信息和信息处理设施相关资产的合理使用准则，形成文件并实施；A.7.1.1 Inventory of assets

Control

All assets shall be clearly identified and an inventory of all important assets drawn up and maintained.

A.7.1.2 Ownership of assets

Control

All information and assets associated with information processing facilities shall be ‘owned’ 3) by a designated part of the organization.

A.7.1.3 Acceptable use of assets

Control

Rules for the acceptable use of information and assets associated with information processing facilities shall be identified, documented, and implemented.

3)解释：术语“拥有者”定义了经过管理层批准的个人或实体，有责任去控制生产、开发、维护、使用安全资产，术语“拥有者”并不代表其真正的拥有资产。3) Explanation: The term ‘owner’ identifies an individual or entity that has approved management responsibility for controlling the production, development, maintenance, use and security of the assets. The term ‘owner’ does not mean that the person actually has property rights to the asset.

A.7.2信息分类

控制目标：确保信息资产受到适当程度保护A.7.2 Information classification

Objective: To ensure that information receives an appropriate level of protection.

A.7.2.1 分类原则

控制措施

信息分类应根据其本身价值、法律需求和对于组织的敏感性和重要性；

A.7.2.2 信息标识及处置

控制措施

应制定一套符合组织所采用分类方案的信息标识及处置的程序，并实施；A.7.2.1 Classification guidelines

Control

Information shall be classified in terms of its value, legal requirements, sensitivity and criticality to the organization.

A.7.2.2 Information labeling and handling

Control

An appropriate set of procedures for information labeling and handling shall be developed and implemented in accordance with the classification scheme adopted by the organization.

A.8 人力资源的安全 A.8 Human resources security

A.8.1雇用之前4）

控制目标：确保员工、合同人员和第三方人员理解他们的责任，以及他们适用的角色，减少偷窃、诈欺或设施误用所造成的风险；A.8.1 Prior to employment 4)

Objective: To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.

A.8.1.1 角色和职责

控制措施

根据组织信息安全策略，应定义员工、合同人员及第三方人员的安全角色与职责，并形成文件化；

A.8.1.2 人员筛选

控制措施

根据相关法律、法规、道德规范，对员工、合同人员及第三方人员的应聘人员进行背景调查，调查应符合业务需求、访问信息的类别及已知风险；

A.8.1.3 雇用条款和条件

控制措施

作为合同的一部分，员工、合同人员及第三方人员应统一并签订他们的雇用合同条款和条件，这些条款和条件应规定他们和组织对于信息安全的责任；A.8.1.1 Roles and responsibilities

Control

Security roles and responsibilities of employees, contractors and third party users shall be defined and documented in accordance with the organization’s information security policy.

A.8.1.2 Screening

Control

Background verification checks on all candidates for employment, contractors, and third party users shall be carried out in accordance with relevant laws, regulations and ethics, and proportional to the business requirements, the classification of the information to be accessed, and the perceived risks.

A.8.1.3 Terms and conditions of employment

Control

As part of their contractual obligation, employees, contractors and third party users shall agree and sign the terms and conditions of their employment contract, which shall state their and the organization’s responsibilities for information security.

A.8.2雇用中

控制目标：确保员工、合同方和第三方用户清楚信息安全威胁和相关事宜、他们的责任和义务并准备在他们日常工作中支持组织信息安全策略，以减少人为错误的风险；A.8.2 During employment

Objective: To ensure that all employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.

A.8.2.1 管理职责

控制措施

管理层应要求员工、合同方和第三方用户应用符合组织建立的安全策略和程序的安全；A.8.2.2信息安全意识、教育与培训

控制措施A.8.2.1 Management responsibilities

Control

Management shall require employees, contractors and third party users to apply security in accordance with established policies and procedures of the organization.

A.8.2.2 Information security awareness, education and training

Control

组织内所有员工、相关合同人员及第三方人员应接受适当的意识培训，并定期更新与他们工作相关的组织策略及程序；

A.8.2.3 惩戒过程

控制措施

应建立一个正式的员工违反安全的惩戒过程；All employees of the organization and, where relevant, contractors and third party users shall receive appropriate awareness training and regular updates in organizational policies and procedures, as relevant for their job function.

A.8.2.3 Disciplinary process

Control

There shall be a formal disciplinary process for employees who have committed a security breach.

4)解释：4) Explanation: The word ‘employment’ is meant here to cover all of the following

different situations: employment of people (temporary or longer lasting),

appointment of job roles, changing of job roles, assignment of contracts, and the

termination of any of these arrangements.

A.8.3雇用终止和变更

控制目标：确保员工、合同人员及第三方人员离开组织和变更雇用关系有序地进行；A.8.3 Termination or change of employment

Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner.

A.8.3.1 终止责任

控制措施

应清晰的定义和分配执行雇用合同终止或变更的责任；

A.8.3.2 资产归还

控制措施

在终止雇用、合同或协议时，所有员工、合同人员及第三方人员应归还所使用的全部组织资产；

A.8.3.1 删除访问权限

控制措施

在终止雇用、合同、协议时，应删除所有员工、合同人员及第三方人员对于信息和信息处理设施的访问权限，或根据变化调整；A. 8.3.1 Termination responsibilities

Control

Responsibilities for performing employment termination or change of employment shall be clearly defined and assigned.

A. 8.3.2 Return of assets

Control

All employees, contractors and third party users shall return all of the organization’s assets in their possession upon termination of their employment, contract or agreement.

A. 8.3.3 Removal of access rights

Control

The access rights of all employees, contractors and third party users to information and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.

A.9 物理和环境安全 A.9 Physical and environmental security

A.9.1 安全区域

控制目标：防止对组织办公场所及信息未经授权物理访问、破坏及干扰；A.9.1 Secure areas

Objective: To prevent unauthorized physical access, damage and interference to the organization’s premises and information.

A.9.1.1物理安全边界

控制措施

组织应有安全边界（如墙、门禁系统控制或人工接待台）以保护包含信息和信息处理设施的区域；

A.9.1.2 物理进入控制

控制措施

安全区域应有适当的进入控制保护，以确保只有经授权人员可以进入；

A.9.1.3 办公室、房间及设施和安全

控制措施

应设计和实施保护办公室、房间及所及设备的A.9.1.1 Physical security perimeter

Control

Security perimeters (barriers such as walls, card controlled entry gates or manned reception desks) shall be used to protect areas that contain information and information processing facilities.

A. 9.1.2 Physical entry controls

Control

Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.

A. 9.1.3 Securing offices, rooms and facilities

Control

Physical security for offices, rooms, and facilities shall be designed and applied

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件（手册+程序文件+作业规范）

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制，减少信息安全事故和故障所造成的损失，采取有效的纠正与预防措施，正确处置已经评价出的风险，特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类： 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，均为信息安全事故： a) 企业秘密、机密及国家秘密泄露或丢失； b) 服务器停运4 小时以上； c) 造成信息资产损失的火灾、洪水、雷击等灾害； d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响（后果)之一，属于重大信息安全事故： a) 企业机密及国家秘密泄露； b) 服务器停运8 小时以上； c) 造成机房设备毁灭的火灾、洪水、雷击等灾害； d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括： a) 未产生恶劣影响的服务、设备或者实施的遗失； b) 未产生事故的系统故障或超载； c) 未产生不良结果的人为误操作； d) 未产生恶劣影响的物理进入的违规

【精品推荐】ISO27001信息安全管理体系全套文件

目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间：2015年12月

信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由 新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的 就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》，建立与本公司业务相一致的信息安全与IT 服务管理体系， 现予以颁布实施。 本手册是公司法规性文件，用于贯彻公司信息安全管理方针和目标，贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理，开展持续改进 服务质量，不断提高客户满意度活动，加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺，通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 ：2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针，根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 ：2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表，作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求，自觉遵守本手册各项要求，努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责：

a）建立服务管理计划； b）向组织传达满足服务管理目标和持续改进的重要性； e）确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源，如招聘合适的人员，管理人员的更新； 1．确保按照ISO207001:2005 标准的要求，进行资产识别和风险评估，全面建立、实施和保持信息安全管理体系；按照ISO/IEC20000 《信息技术服务管理－规范》的要求，组织相关资源，建立、实施和保持IT 服务管理体系，不断改进IT 服务管理体系，确保其有效性、适宜性和符合性。 2．负责与信息安全管理体系有关的协调和联络工作；向公司管理层报告 IT 服务管理体系的业绩，如：服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3．确保在整个组织内提高信息安全风险的意识； 4．审核风险评估报告、风险处理计划； 5．批准发布程序文件； 6．主持信息安全管理体系内部审核，任命审核组长，批准内审工作报告； 向最高管理者报告信息安全管理体系的业绩和改进要求，包括信息安全管理体系运行情况、内外部审核情况。 7．推动公司各部门领导，积极组织全体员工，通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度，以及为达到公司服 务管理目标所应做出的贡献。 总经理：

最新ISO27001：2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号：XXXX-B-01～XXXX-B-41 （符合ISO/IEC 27001-2013标准） 拟编：信息安全小组日期：2015年02月01日 审核：管代日期：2015年02月01日 批准：批准人名日期：2015年02月01日 发放编号: 01 受控状态：受控 2015年2月1日发布2015年2月1日实施

[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序

6.5.1信息安全管理体系

信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准： 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划： 实施： 检查： 措施： 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1．确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明： A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准： 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项

PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划： 实施： 检查： 措施： 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1．确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明： A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2（见BS7799体系）是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准： 要求：BS 7799-2:2002 《信息安全管理体系规范》控制方式指南：ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求； 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等； 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则：程序文件一般不涉及纯技术性的细节，细节通常在工作指令或作业指导书中规定；程序文件是针对影响信息安全的各项活动的目标和执行做出的规定，它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系，说明实施各种不同活动的方式、将采用的文件及将采用的控制方式；程

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。 在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性： a)了解组织信息安全需求和建立信息安 全策略和目标的需求； b)在组织的整体业务风险框架下，通过 实施及运作控制措施管理组织的信息 安全风险； c)监控和评审ISMS的执行和有效性； d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

信息安全管理体系-自己整理讲课稿

第三章信息安全管理体系 一、判断题 1.虽然在安全评估过程中采取定量评估能获得准确的分析结果，但是由于参数确定较为困难，往往实际评估多采取定性评估，或者定性和定量评估相结合的方法。 2.定性安全风险评估结果中，级别较高的安全风险应当优先采取控制措施予以应对。 3.通常在风险评估的实践中，综合利用基线评估和详细评估的优点，将二者结合起来。 二、单选题 1.下列关于风险的说法，是错误的。 A.风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C.导致风险的外因是普遍存在的安全脆弱性 D.风险是指一种可能性 2.下列关于风险的说法，是正确的。 A.可以采取适当措施，完全清除风险 B.任何措施都无法完全清除风险 C.风险是对安全事件的确定描述 D.风险是固有的，无法被控制

3.风险管理的首要任务是。 A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 4.关于资产价值的评估，说法是正确的。 A.资产的价值指采购费用 B.资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 5.采取适当的安全控制措施，可以对风险起到作用。 A.促进 B.增加 C.减缓 D.清楚 6.当采取了安全控制措施后，剩余风险可接受风险的时候，说明风险管理是有效的。 A.等于 B.大于 C.小于 D.不等于 7.安全威胁是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素

8.安全脆弱性是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素 9.安全审计是一种很常见的安全控制措施，它在信息安全保障体系中，属于措施。 A.保护 B.检测 C.响应 D.恢复 10.根据风险管理的看法，资产价值，脆弱性，被安全威胁，风险。 A.存在利用导致具有 B.具有存在利用导致 C.导致存在具有利用 D.利用导致存在具有 11.根据定量风险评估的方法，下列表达式正确的是。 A.SLE=AV×EF B.ALE=AV×EF C.ALE=SLE×EF D.ALE=SLE×AV 12.关于安全审计目的描述错误的是。 A.识别和分析未经授权的动作或攻击 B.记录用户活动和系统管理

ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： ·直接损失：丢失订单，减少直接收入，损失生产率； ·间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； ·法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

2、标准发展 目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。 经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1： 表1 ISO27000标准族现行状态

信息安全管理体系建设

佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员：黄世荣 编写日期：2015年12月7日 项目缩写： 文档版本：V1.0 修改记录: 时间：2015年12月

一、信息化建设引言 随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展过程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面，伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中小企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域，“三分技术，七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下图所示）。首先，各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架，并在正常的业务开展过程中具体

信息安全专业简介

信息安全专业简介 随着计算机技术与网络通信技术的广泛应用，社会对计算机的依赖越来越大，而计算机系统的安全一旦受到破坏，不仅会导致严重的社会混乱，也会带来巨大的经济损失。因此，信息安全已成为信息科学的热点课题，信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为：计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括：计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少，尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多，并且大多分布在高校和研究院所，按照目前信息化发展的状况，社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾，必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础，较好的外语和计算机技术运用能力，掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识，能运用所学知识与技能去分析和解决相关的实际问题，具有较高的综合业务素质、较强的实践、创新与知识更新能力，可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。

网络与信息安全管理体系

网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1，公司成立信息安全领导小组,就是信息安全的最高决策机构。 2，信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3，信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4，信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全

2,信息安全工作组的主要职责包括: （一）、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; （二）、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; （三）、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; （四）、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; （五）、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; （六）、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; （七）、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 （八）、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 （九）、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全

企业内部信息安全管理体系

企业内部信息安全管理体系 建议书 太极英泰信息科技XX

目录 1理昌科技网络现状和安全需求分析：2 1.1概述2 1.2网络现状：3 1.3安全需求：3 2解决方案：4 ２.1 总体思路：4 2.2TO-KEY主动反泄密系统：5 2.2.1系统结构：5 2.2.2系统功能：6 2.2.3主要算法：6 2.2.4问题？7 2.3打印机管理错误!未定义书签。 2.3.1打印机管理员碰到的问题错误!未定义书签。 2.3.2产品定位错误!未定义书签。 2.3.3产品目标错误!未定义书签。 2.3.4概念—TO-KEY电子钥匙预付费错误!未定义书签。 2.3.5功能错误!未定义书签。 3方案实施与成本分析错误!未定义书签。 1企业网络现状和安全需求分析： 1.1 概述 调查表明：80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说：“目前我国信息安全的最大问题是：安全威胁的假设错误！我们总是假设会受到来自外部的攻击，而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言，其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天，企业不得不面对这样的严峻形势： 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动，以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满，而采取的破坏行为。 而另外一方面，随着计算机的普及和信息化的发展，采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然，企业需要

解决这样一个矛盾： 在充分利用信息化所带来的高效益的基础上，保证企业信息资源的安全！ 理昌科技作为一家专业从事保险带产品开发和生产的外资企业，公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术，增强核心竞争力。公司在现有网络信息的基础上，提出防泄密的需求。我们根据理昌科技的需求，并结合我们的行业经验，提出了下面的方案。 1.2 网络现状： 公司组成局域网，内部人员通过局域网上网，内部具有多个网络应用系统。在内部部署有网络督察（网络行为监控系统）能记录内部人员网络行为。 1.3 安全需求： 公司安全的总体需求是：“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求，和目前的网络现状，我们可以从下面几个方面去考虑信息泄露的途径： ●通过网络方式将信息发送出去，包括MAIL、QQ、MSN、FTP等多种文件传输方 式。 ●通过对内部网络的窃听来非法获取信息 ●内部人员在其他人的计算机上种植木马，引导外部人员获取XX信息。可以有效逃 避网络督察的监控。 ●内部人员将文件以密文方式发送出去，也能逃避网络督察的监控，网络上的加密工 具太多了。 ●通过COPY方式将文件传送出去。 ●非法获取内部非自己权限内的信息，包括获取他人计算机上的信息以及越权访问服 务器上的信息等。 ●网络管理人员将服务器上的信息复制出去。 ●制造计算机硬盘故障，将硬盘以维修的理由携带出去。 ●制造计算机故障，以维修的理由，将计算机带出公司 ●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。

《信息安全管理体系要求》ISOIEC 27001 2013(E)

目录 前言 (3) 0 引言 (4) 0.1 总则 (4) 0.2 与其他管理系统标准的兼容性 (4) 1. 范围 (5) 2 规范性引用文件 (5) 3 术语和定义 (5) 4 组织景况 (5) 4.1 了解组织及其景况 (5) 4.2 了解相关利益方的需求和期望 (5) 4.3 确立信息安全管理体系的范围 (6) 4.4 信息安全管理体系 (6) 5 领导 (6) 5.1 领导和承诺 (6) 5.2 方针 (6) 5.3 组织的角色，职责和权限 (7) 6. 计划 (7) 6.1 应对风险和机遇的行为 (7) 6.2 信息安全目标及达成目标的计划 (9) 7 支持 (9) 7.1 资源 (9) 7.2 权限 (9) 7.3 意识 (10) 7.4 沟通 (10) 7.5 记录信息 (10) 8 操作 (11) 8.1 操作的计划和控制措施 (11) 8.2 信息安全风险评估 (11) 8.3 信息安全风险处置 (11) 9 性能评价 (12) 9.1监测、测量、分析和评价 (12) 9.2 内部审核 (12) 9.3 管理评审 (12) 10 改进 (13) 10.1 不符合和纠正措施 (13) 10.2 持续改进 (14) 附录A(规范)参考控制目标和控制措施 (15) 参考文献 (28)

前言

0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。 重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族（包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]）及相关术语和定义，给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性 本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义，因此保持了与其它采用附录SL的管理体系标准的兼容性。 附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。

信息安全管理体系建立方案

信息安全管理体系建立方案 (初稿) 信息技术部 2012年2月

随着企业的发展状大，信息安全逐渐被集团高层所重视，但直到目前为止还没有一套非常完善的信息安全管理方案，而且随着新技术的不断涌现，安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。 作为天一药业集团的新兴部门，信息技术部存在的意义绝对不是简单的电脑维修，它存在的意义在于要为企业建设好信息安全屏障，保护企业的信息安全，同时通过信息交互平台，简化办公流程，提高工作效率，这才是部门存在的目的和意义，信息技术部通过不断的学习，研究，通过大量的调研，终于开始着手建立属于天一药业自己的信息堡垒。 企业信息安全主要包括了四个方面的容，即实体安全、运行安全、信息资产安全和人员安全，信息技术部将从这四个方面详细提出解决方案，供领导参考，评议。 一、实体安全防护： 所谓实体安全就是保护计算机设备、设施（含网络）以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全： 1、环境安全： 每个实体都存在于环境当中，环境的安全对于实体来讲尤为重要，但对于环境来讲要想做到100%的安全那

是不现实的，因为环境是在不断的变化的，所以我们只能做到相对的安全，对于天一集团来讲，集团及各子厂所在的地理位置即称之为环境，计算机实体设备都存放于这个环境之中，所以要求集团及各子厂的办公楼要具备一定的防灾（防震，防火，防水，防盗等）能力。 机房作为服务器所在的环境，要求机房要具备防火、防尘、防水、防盗的能力，所以根据现用《机房管理制度》要求，集团现用机房的环境除不具备防尘能力外，基本上仍能满足环境安全条件。 2、设备及媒体安全： 计算机设备、设施（含网络）、媒体设备的安全需要具备一定的安全保障，而为了保障设备安全，首先需要确定设备对象，针对不同的管理设备制订相应的保障条例，比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产，应对散件加强管理，每次固定资产盘点时应仔细核对其配置信息，而不是只盘点主机数量。同时为了保障机器中配件的安全，需要对所有设备加装机箱锁，由信息技术部，行政部共同掌握钥匙。 散件的使用情况必须建立散件库台帐，由信息技术部管理，行政部将对信息部进行监督。 对于移动设备（笔记本、移动硬盘、U盘等）不允许带离集团，如必须带离集团需要经信息部、行政