ISMS总体要求 _原创文档.pdf

4.2.1建立ISMS

组织应：

a)根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性

来确定ISMS范围；

b)根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针，方针应：

1)包括建立目标的框架，并建立信息安全活动的总方向和总原则；

2)考虑业务和法律法规要求，以及合同安全义务；

3)根据组织战略性的风险管理框架，建立和保持ISMS；

4)建立风险评价的准则和定义风险评估的结构

5)经过了管理层的批准。

c)确定组织的风险评估方法：

1)识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法；

2)开发确定风险接受准则，识别风险的可接受等级[见5.1f]。

风险评估方法的选择应确保可以产生可比较的、可重复的结果。

注：存在多种风险评估方法。如，在ISO/IECTR13335-3《IT安全管理指南－IT安全管理技术》中讨

论的风险评估方法。

d)识别风险：

1)识别ISMS范围内的资产及资产所有者；

2)识别资产的威胁；

3)识别可能被威胁利用的脆弱点；

4)识别资产必威体育官网网址性、完整性、可用性损失的影响。

e)分析并评价风险：

1)评估安全失效可能导致的组织业务影响，考虑因资产必威体育官网网址性、完整性、可用性

的损失而导致的后果；

2)根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制，评估安

全失效发生的现实可能性；

3)估计风险的等级；

1/7

4)根据4.2.1c）2）已建立的准则，判断风险是否可接受或需要处理。

f)识别和评价风险处理的选择：

可行的措施包括：

1)实施适当的控制；

2)在确切满足组织策略和风险接受准则的前提下，有意识地、客观地接受风险[见

4.2.1c）2）]；

3)规避风险；

4)将相关业务风险转嫁给他方，如保险公司、供方。

g)选择风险处理的控制目标和控制方式。

应选择并控制目标和控制措施，以满足风险评估和风险处置过程所识别的要求。选择

时，应考虑接受风险的准则（见4.2.1C））以及法律法规和合同要求。

h)管理层批准建议的残留风险；

i)获得管理层对实施和运行ISMS的授权；

j)准备适用性声明

应起草适用性声明，该声明应包括以下方面内容：

1)4.2.1g)中选择的控制目标和控制措施，以及选择的原因；

2)必威体育精装版实施的控制目标和控制措施（见4.2.2e）2)）

3)附录A中控制目标和控制措施的删减，以及删减的合理性。

注：适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性，再次确认控制目标没有被

无意识的遗漏。

4.2.2实施和运行ISMS

组织应:

a)阐明风险处理计划，它为信息安全风险管理（见第5章）指出了适当的管理措施、职

责和优先级；

b)实施风险处理计划以达到确定的控制目标，应考虑资金需求以及角色和职责分配；

c)实施4.2.1g）选择的控制以达到控制目标；

d)确定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评

估控制的有效性以得出可比较的、可重复的结果；

e)实施培训和意识方案（见5.2.2）；

f)管理ISMS的运行；

g)管理ISMS资源（见5.2）；

h)实施程序及其它控制以及时检测、响应安全事故（见4.2.3）。

4.2.3监视和评审ISMS

组织应：

a)执行监视和评审程序和其它控制措施：

1)及时检测过程结果中的错误；

2)及时识别失败的或成功的安全违规和事故；

3)使管理层能确定是否将安全活动授权给人，或由信息技术实施的的安全活动是

否按期望的实施；

4)帮助检测安全事件，进而使用指标预防安全事故；

5)确定所采取的措施是否有效解决安全违规。

b)定期评审ISMS的有效性（包括安全方针和目标的实现情况，安全控制评审），考虑

2/7

安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈；

c)测量控制措施的有效性，以证实安全要求已得到满足；

d)按照计划的时间间隔，评估风险评估，并评估残余风险的等级和已识别的接受风险，

考虑以下方面的变化：

1)组织；

2)技术；

3)业务目标和过程；

4)已识别的威胁；

5)已实施的控制措施的有效性；

6)外部事件，如法律法规、合同要求和社会风气的变化。

e)按计划的时间间隔