10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001信息安全管理体系 要求-4.2建立并管理ISMS:ISO27001信息安全管理体系 要求-4.2建立并管理ISMS
建立并管理ISMS
4.2.1 建立ISMS
组织应:
a) 根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性
ISO27001:2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 12 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
来确定ISMS范围 ;
b) 根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应 :
1) 包括建立目标的框架,并建立信息安全活动的总方向和总原则;
2) 考虑业务和法律法规要求,以及合同安全义务;
3) 根据组织战略性的风险管理框架,建立和保持ISMS;
4) 建立风险评价的准则和定义风险评估的结构 [见4.2.1c];
5) 经过了管理层的批准。
注:本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。
c) 确定组织的风险评估方法:
1) 识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;
2) 开发确定风险接受准则,识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复的结果。
注:存在多种风险评估方法。如,在ISO/IEC TR13335-3《IT安全管理指南-IT安全管理技术》中讨
论的风险评估方法。
d) 识别风险:
1) 识别ISMS范围内的资产及资产所有者;
2) 识别资产的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别资产保密性、完整性、可用性损失的影响。
e) 分析并评价风险:
1) 评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性
的损失而导致的后果;
2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安
全失效发生的现实可能性;
3) 估计风险的等级 ;
4) 根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f) 识别和评价风险处理的选择:
可行的措施包括:
1) 实施适当的控制;
2) 在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见
4.2.1c)2)] ;
3) 规避风险;
4) 将相关业务风险转嫁给他方,如保险公司、供方。
g) 选择风险处理的控制目标和控制方式。
应选择并控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求。选择
时,应考虑接受风险的准则(见4.2.1 C))以及法律法规和合同要求。
ISO27001:2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 13 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
从附录A中选择的控制目标和控制方式应作为这一过程的一部分,并满足这些要求。
附录A的控制目标和控制方式并不详尽,可以选择其他的控制目标和控制方式。
注:附录A包含了广泛的通用控制目标和控制措施列表。本标准的附录A为用户提供选择控制措施的出
发点,以避免遗漏重要的控制选择。
h) 管理层批准建议的残留风险;
i) 获得管理层对实施和运行ISMS的授权;
j) 准备适用性声明
应起草适用性声明,该声明应包括以下方面内容:
1) 4.2.1g)中选择的控制目标和控制措施,以及选择的原因;
2) 最新实施的控制目标和控制措施(见4.2.2e)2))
3) 附录A中控制目标和控制措施的删减,以及删减的合理性。
注:适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性,再次确认控制目标没有被
无意识的遗漏。
4.2.1 建立ISMS
组织应:
a) 根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性
ISO27001:2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 12 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
来确定ISMS范围 ;
b) 根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应 :
1) 包括建立目标的框架,并建立信息安全活动的总方向和总原则;
2) 考虑业务和法律法规要求,以及合同安全义务;
3) 根据组织战略性的风险管理框架,建立和保持ISMS;
4) 建立风险评价的准则和定义风险评估的结构 [见4.2.1c];
5) 经过了管理层的批准。
注:本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。
c) 确定组织的风险评估方法:
1) 识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;
2) 开发确定风险接受准则,识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复的结果。
注:存在多种风险评估方法。如,在ISO/IEC TR13335-3《IT安全管理指南-IT安全管理技术》中讨
论的风险评估方法。
d) 识别风险:
1) 识别ISMS范围内的资产及资产所有者;
2) 识别资产的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别资产保密性、完整性、可用性损失的影响。
e) 分析并评价风险:
1) 评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性
的损失而导致的后果;
2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安
全失效发生的现实可能性;
3) 估计风险的等级 ;
4) 根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f) 识别和评价风险处理的选择:
可行的措施包括:
1) 实施适当的控制;
2) 在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见
4.2.1c)2)] ;
3) 规避风险;
4) 将相关业务风险转嫁给他方,如保险公司、供方。
g) 选择风险处理的控制目标和控制方式。
应选择并控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求。选择
时,应考虑接受风险的准则(见4.2.1 C))以及法律法规和合同要求。
ISO27001:2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 13 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
从附录A中选择的控制目标和控制方式应作为这一过程的一部分,并满足这些要求。
附录A的控制目标和控制方式并不详尽,可以选择其他的控制目标和控制方式。
注:附录A包含了广泛的通用控制目标和控制措施列表。本标准的附录A为用户提供选择控制措施的出
发点,以避免遗漏重要的控制选择。
h) 管理层批准建议的残留风险;
i) 获得管理层对实施和运行ISMS的授权;
j) 准备适用性声明
应起草适用性声明,该声明应包括以下方面内容:
1) 4.2.1g)中选择的控制目标和控制措施,以及选择的原因;
2) 最新实施的控制目标和控制措施(见4.2.2e)2))
3) 附录A中控制目标和控制措施的删减,以及删减的合理性。
注:适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性,再次确认控制目标没有被
无意识的遗漏。
想了解更多的关于信息可以经常关注我们
【相关文章】
