信息安全管理体系要求

引 言
0.1 总则
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security
Management System，简称 ISMS）提供模型。采用 ISMS 应当是一个组织的一项战略性决策。一个组织
的 ISMS 的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述
因素及其支持系统会不断发生变化。按照组织的需要实施 ISMS，是本标准所期望的，例如，简单的情
况可采用简单的 ISMS 解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2 过程方法
本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的 ISMS。
一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理，将输入转化为输出的任意
活动，可以视为一个过程。通常，一个过程的输出可直接构成下一过程的输入。
一个组织内诸过程的系统的运用，连同这些过程的识别和相互作用及其管理，可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性：
a) 理解组织的信息安全要求和建立信息安全方针与目标的需要；
b) 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险；
c) 监视和评审 ISMS 的执行情况和有效性；
d) 基于客观测量的持续改进。
本标准采用了“规划（Plan）-实施（Do）-检查（Check）-处置（Act）”（PDCA） 模型，该模型
可应用于所有的 ISMS 过程。图 1 说明了 ISMS 如何把相关方的信息安全要求和期望作为输入，并通过
必要的行动和过程，产生满足这些要求和期望的信息安全结果。图 1 也描述了 4、5、6、7 和 8 章所提
出的过程间的联系。
采用 PDCA 模型还反映了治理信息系统和网络安全的 OECD 指南（2002 版）1中所设置的原则。本
标准为实施 OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强
健的模型。
例 1：某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷入困境，这可能是一种要
求。
例 2：如果发生了严重的事故——可能是组织的电子商务网站被黑客入侵——应有经充分培训的员
工按照适当的程序，将事件的影响降至最小。这可能是一种期望。
0.3 与其它管理体系的兼容性
本标准与 GB/T 19001-2000 及 GB/T 24001-1996 相结合，以支持与相关管理标准一致的、整合的实 施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表 C.1 说明了本标准、GB/T 19001-2000（ISO 9001:2000）和 GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。
本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 IV 规划（建立 ISMS）建立与管理风险和改进信息安全有关的 ISMS 方针、目 标、过程和程序，以提供与组织整体方针和目标相一致 的结果。

信息技术 安全技术 信息安全管理体系要求

重点：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并 不获得法律义务的豁免。
1 范围
1.1
总则
本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体 业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的 ISMS 规定了要求。它规定 了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。
注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。
1.2 应用
本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于 4、5、6、7 和 8 章的要求不能删减。
为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证 明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全 要求的能力和/或责任，否则不能声称符合本标准。
注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与 ISO 9001 或者 ISO 14001 相 关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。
2 规范性引用文件
下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本 标准；凡是不注日期的引用文件，其最新版本（包括任何修改）适用于本标准。 ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。
3 术语和定义
本标准采用以下术语和定义。
3.1 资产 asset
任何对组织有价值的东西[ISO/IEC 13335-1:2004]。
3.2 可用性 availability
根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。
3.3 保密性 confidentiality
信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4 信息安全 information security
保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性 等特性[ISO/IEC 17799：2005]。
3.5 信息安全事件 information security event
信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反 或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。
3.6 信息安全事故 information security incident
一个信息安全事故由单个的或一系列的有害或意外信息安全事件组成，它们具有损害业务运作和威 胁信息安全的极大的可能性[ISO/IEC TR 18044：2004]。
3.7 信息安全管理体系（ISMS） information security management system（ISMS）
是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改 进信息安全的。
注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
3.8 完整性 integrity
保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。
3.9 残余风险 residual risk
经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。
3.10 风险接受 risk acceptance
接受风险的决定[ISO/IEC Guide 73：2002]。
3.11 风险分析 risk analysis
系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。
3.12 风险评估 risk assessment
风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。
3.13 风险评价 risk evaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。
3.14 风险管理 risk management
指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。
3.15 风险处理 risk treatment
选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。
注：在本标准中，术语“控制措施”被用作“措施”的同义词。
3.16 适用性声明 statement of applicability
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。
注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于 信息安全的业务要求。
4 信息安全管理体系（ISMS）
4.1 总要求
一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进 文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
组织应：
a) 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 的范围和边界，包括对例外于此范 围的对象作出详情和合理性的说明（见 1.2）。
b) 根据业务特点、组织结构、位置、资产和技术，确定 ISMS 方针，应：
1)为其目标建立一个框架并为信息安全行动建立整体的方向和原则；
2）考虑业务和法律法规的要求，及合同中的安全义务；
3）在组织的战略性风险管理环境下，建立和保持 ISMS；
4）建立风险评价的准则[见 4.2.1 c]]；
5）获得管理者批准。
注：就本标准的目的而言，ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在 一个文件中进行描述。
c) 确定组织的风险评估方法
1）识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2）制定接受风险的准则，识别可接受的风险级别（见 5.1f）。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注：风险评估具有不同的方法。在 ISO/IEC TR 13335-3《信息技术 IT 安全管理指南：IT 安全 管理技术》中描述了风险评估方法的例子。
d) 识别风险

1）识别 ISMS 范围内的资产及其责任人2；
2）识别资产所面临的威胁；
3）识别可能被威胁利用的脆弱点；
4）识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1)在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造 成的对组织的影响。
2)评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控 制措施。
3)估计风险的级别。
4)确定风险是否可接受，或者是否需要使用在 4.2.1 c)2)中所建立的接受风险的准则进行处
f) 识别和评价风险处理的可选措施
可能的措施包括：

1)采用适当的控制措施；
2)在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见 4.2.1 c)2)]；
3)避免风险；
4)将相关业务风险转移到其他方，如：保险，供应商等。
g) 为处理风险选择控制目标和控制措施 应选择和实施控制目标和控制措施以满足风险评估和风险处理过程中所识别的要求。这种选择
应考虑接受风险的准则（见 4.2.1c）2））以及法律法规和合同要求。 从附录 A 中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的 要求。
附录 A 所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另 外的控制目标和控制措施。
注：附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录 A 作为选择 控制措施的出发点，以确保不会遗漏重要的可选控制措施。
h) 获得管理者对建议的残余风险的批准
i) 获得管理者对实施和运行 ISMS 的授权
j) 准备适用性声明（SoA）
应从以下几方面准备适用性声明：
1） 从 4.2.1 g）选择的控制目标和控制措施，以及选择的理由；
2） 当前实施的控制目标和控制措施（见 4.2.1e）2））；
3） 对附录 A 中任何控制目标和控制措施的删减，以及删减的合理性说明。
注：适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗 漏控制措施。
详情请下载附件