信息安全管理要求

信息安全管理.要求

组织环境

领导

规划 

支持

运行

绩效监视

改进

组织其环境

相关方需求和期望

体系的范围

体系

1、组织要确定它想干什么，2、并确定影响信息安全体系的预期结果的外部和内部事项

1、确定信息安全管理体系的相关方。2、这些相关方与信息安全相关的要求。注：相关方要求可包括法津、法规要求和合同义务

确定边界及其合理性，用来建立范围1、影响体系的外部和内部事项。2、信息相关方的要求。3、组织实施活动之间（部门）的及与其它组织之间的接口和依赖关系。该范围应形成文件化信息并可用

组织应按本标准要求，建立、实现、维护和持续改进信息安全管理体系

最高管层应通过以下活动证明对信息安全管理体系领导承诺

最高管理层应确保与信息安全管理角色的责任和权限得到分配和沟通

1、确保建立体系策略和信息安全目标并与组织战略方向一致2、确保将信息安全体系要求整合到组织过程中3、确保信息安全体系所需要的资源可用4、沟通有效的信息安全符合信息安全管理体系要求的重要性5、确保信息安全体系达到预期的结果6、指导并支持相关人员为体系的有效性做贡献7、促进持续改进8、支持其他相关管理角色，证实他们的领导按角色应用于其责任范围

最高管理层应建立信息安全的方针

1、与组织意图相适宜2、包括信息安全目标或为设定信息安全目标提供框架3、包括 对满足适用的信息安全相关要求的承诺4、包括对持续改进信息安全管理体系的承诺5、形成文件化信息并可用6、在组织内部得到沟通7、适当时，对相关方可用

1、确保信息安全管理体系符合本标准的要求2、向最高管理者报告信息安全管理体系的绩效最高管理层也可为组织内报告信息安全管理体系的绩效，分配责任、权限

应对风险和机会的措施

规划信息安全体系时，组织应考虑组织环境和相关方的需求和期望的要求，并确定需要应对的风险和机会

1、确保信息安全管理体系可达到预期的结果2、预防或减少不良影响3、应对这些风格和机会的措施4、如何 a、将这些措施整合到信息安全管理体系过程中并予以实现.b、评价这些措施的有效性

组织应在相关职能和层级上建立信息安全目标

组织应定义并应用信息安全风险评估过程

1、建立并维护信息安全风险准则，包括1风险接受准则，2信息安全风险评估实施准则2、确保反复的信息安全风险评估产生一致的、有效的、可比较的结果3、识别信息安全风险包括1应用信息安全风险评估过程，以识别信息安全管理体系范围内与信息保密性、完整性和可用性的损失有关的风险4、分析信息安全风险包括1、所识别的风险发生后，可导致的潜在后果。2、所识别的风险实际发生的可能性5、评价信息安全风险包括1、将风险分析结果与建立的风险准则进行比较。2、为冈险处理排序已分析风险优先级注：组织应保留有关信息安全风险评估过程的文件化信息

组织应定义并应用信息安全风险处置

1、在考虑风险评估结果的基础上，选择适合的信息安全风险处置选项2、确定实现已选的信息安全风险处置选项所必需的控制（当需要时组织可设计控制或识别来自任何来源的控制）3、制定一个适用性声明，包含必要的控制及其选择的合理性说明（无论该控制是否已实现）以及对附录A控制删减的合理性说明4、制定正式的信息安全风险处置计划5、获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受和批准6、确定的控制与附录A中的控制进行比较，并验证没有忽略必要的控制组织应保留有关信息安全风险处置过程的文件化信息

1、与信息安全方针一致2、可测量（如可行）3、考虑适用的信息安全信息安全要求，以及风险评估和风险处置的结果4、得到沟通5、适当 时更新在规划如何达到目标时考虑：1、要做什么2、需要什么资源3、由谁负责4、什么时候完成5、如何评价结果

资源

能力

意识

沟通

文件化信息

组织应确定并提供建立、实现、维护、持续改进信息安全管理体系所需的资源

1、确定在组织控制下从事会影响组织信息安全绩效的工人人员的必要能力2、确保上述人员在适当的教育、培训、经验的基础上能够胜任工作3、适用时，采取措施以获得必要的能力，并评估所采取措施的有效性4、保留适当的文件化信息作为能力证据注：适用的措施包括：提供培训、指导、重新分配；雇佣或签约有能力的人员

对组织控制下的人员应了解：1、信息安全方针2、其对信息安全管理体系有效性的贡献，包括改进信息安全绩效带来的益处3、不附合信息安全管理体系要求带来的影响

相关内部和外部的沟爱1、沟通什么2、何时沟通3、与谁沟通4、谁来沟通5、影响沟通的过程 

总则:组织的信息安全管理体系应包括：1、本标准要求的文件化信息2、为信息安全管理体系的有效性，组织所确定的必要的文件化信息不同组织有关信息安全管理体系文件化信息的详略程度不同，因组织规模、过程 、产品、人员能力

创建和更新文件化信息，组织应确保适当的1、标识和描述（如标题、日期、作者、引用编号）2、格式（如语言、软件版本、图表）和介质（纸质、电子）3、对适宜性和充分性的评审和批准

运行规划和控制 

为满足信息安全要求以及实现 确定的措施，组织应规划、实现、控制所需要的过程。组织还应实现达到与信息安全目标一系列计划1、组织应保持文件化信息达到必要 程度，以确信这些过程可以按计划执行2、组织应控制计划内的变更并评审非预期变更的后果，必要时采取措施减轻任何负面影响3、组织应确保外包过程是确定的和受控的

信息安全风险评估

组织应考虑所建立的准则，按计划的时间间隔，或当重大变更提出或发生时，执行信息安全风险评估组织应保留信息安全风险评估结果的文件化信息

信息安全风险处置

组织应实现信息安全风险处置计划组织应保留信息安全风险处置结果的文件化信息

监视、测量、分析和评价

内部审核

管理评审

不附合及纠正措施

持续改进

组织应评价信息安全绩效以及信息安全管理体系的有效性1、需要被监视和测量的内容，包括信息安全过程和控制2、适用的监视、测量、分析、评价的方法，以确保得到有效的结果3、何时应执行监视和测量4、谁应监视和测量5、何时应分析和评价监视和测量的结果6、谁应分析和评价这些结果组织应保留适当的文件化信息作为监视和测量结果的证据

组织应按计划的时间间隔进行内部审核，以提供信息，确定信息安全管理体系1、是否符合 组织自身对信息安全管理体系的要求 和本标准的要求 和是否得到有效的实现和维护 2、规划、建立、实现和维护审核方案（一个或多个），包括审核频次、方法、责任、规划要求和报告3、定义每次审核的审核准则和范围4、选择审核员并实施审核，确保审核过程的客观性和公正性5、确保将审核结果报告至相关管理层6、保留文件化信息作为审核方案和审核结果的证剧

最高管理层应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性、有效性1、以往管理评审提出的措施和状态2、与信息安全管理体系相关的外部和内部事项的变化3、有关信息安全绩效的反馈，包括 以下趋势：不附合和纠正措施和监视测量的结果，审核结果，信息安全目标完成情况 4、相关方反馈5、风险评估结果及风险处置计划的状态6、持续改进的机会管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求组织应保留文件化信息作为管理评审结果的证据

当发生不附合时1、对不附合做出反应，适用时应采取措施，以控制并予以纠正和处理后果2、通过以下活动，评价采取消除不符合原因的措施的需求，以防止不符合再发生，或在其它地方发生：1、评审不符合。2、确定不符合的原因。3、确定类似不符合是否存在，或可能发生。3、实现任何需要的措施。4、评审任何所采取的纠正措施的有效性5、必要时，对信息安全管理体系进行变更。：纠正措施应与所遇到的不符合的影响相适合组织应保留文件化信息作为以下方面的证据1、不符合的性质及所采取的任何后续措施2、任何纠正措施的结果

组织应持续改进信息安全管理体系的适宜性、充分性和有效性