信息技術(shù)安全技術(shù)信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements 2規(guī)范性引用文件 因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標0.2過程方法本標準采用一種過程方法來建立、實施、運行、監(jiān)視、活動，可以視為一個過程。通常，一個過程的輸出可直本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下b)從組織整體業(yè)務(wù)風(fēng)險的角度，實施和運行控制措施，以管理本標準采用了“規(guī)劃（Plan）-實施（可應(yīng)用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和標準為實施OECD指南中規(guī)定的風(fēng)險評估、安全設(shè)計和實施、安全管理和再評估的原則例2：如果發(fā)生了嚴重的事故——可能是組織的電子商務(wù)網(wǎng)站被黑客入侵工按照適當?shù)某绦?，將事件的影響降至最小。這可Act實施（實施和運行ISMS）檢查（監(jiān)視和評審ISMS）處置（保持和改進ISMS）本標準的設(shè)計能夠使一個組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施注1：本標準中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個組織生存的核信息安全事件informationsecuri信息安全事故informationsecurity信息安全管理體系（ISMS）informationsecuritymanagement注：在本標準中，術(shù)語“控制措施”被用作2適用性聲明statementofapplicab描述與組織的信息安全管理體系相關(guān)的和適用的控制目注：控制目標和控制措施基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于2)考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3)在組織的戰(zhàn)略性風(fēng)險管理環(huán)境下，建立和保持ISMS；注：就本標準的目的而言，ISMS方針被認為是信息安全方針的一2）制定接受風(fēng)險的準則，識別可接受的風(fēng)險級選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估產(chǎn)生可比較的4)識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。4)確定風(fēng)險是否可接受，或者是否需要使用在4.2.1c)2)中所建立的接受風(fēng)險的準則進行處2術(shù)語“責(zé)任人”標識了已經(jīng)獲得管理者的批準，負責(zé)產(chǎn)生、開發(fā)、維護、使用和保證資產(chǎn)的安全的個人或?qū)嶓w“責(zé)任人”不是指該人員實際上對資產(chǎn)擁有所有權(quán)。34)將相關(guān)業(yè)務(wù)風(fēng)險轉(zhuǎn)移到其他方，如：保險，供應(yīng)商等。應(yīng)選擇和實施控制目標和控制措施以滿足風(fēng)險評估和風(fēng)險處理過程中所識注：附錄A包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A作為注：適用性聲明提供了一份關(guān)于風(fēng)險處理決定的綜述。刪減的合理性說明提供交叉檢查，以b)實施風(fēng)險處理計劃以達到已識別的控制目標，包括資金安排注：測量控制措施的有效性可使管理者和員工確定控制措施達到計劃的控制h)實施能夠迅速檢測安全事件和響應(yīng)安全事故的程序和其他控制措施（見4.2.3）a。43)使管理者確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否被如期執(zhí)行；4)通過使用指標，幫助檢測安全事件并預(yù)防安全事故；6)外部事件，如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更。注：內(nèi)部審核，有時稱為第一方審核，是用于內(nèi)部目的h)本標準所要求的記錄（見4.3.35注2：不同組織的ISMS文件的詳略程度取決?組織的規(guī)模和活動的類型；注3：文件和記錄可以采用任何形式或類型f)確保文件對需要的人員可用，并依照文件適的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。例如：記錄包括訪客登記薄、審核報告和已完成的d)向組織傳達滿足信息安全目標、符合信息安全方g)確保ISMS內(nèi)部審核的執(zhí)行（見第a)建立、實施、運行、監(jiān)視、評審、保持和改進ISMS；6組織應(yīng)通過以下方式，確保所有分配有ISMS職責(zé)組織也要確保所有相關(guān)人員意識到其信息安全活動的適當性和重要性，以及如何為達到ISMS目標策劃和實施審核以及報告結(jié)果和保持記錄（見4.3.3）的職責(zé)和要求應(yīng)有效性。評審應(yīng)包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的7），e)記錄所采取措施的結(jié)果（見4.3.3d)記錄所采取措施的結(jié)果（見4.3.3組織應(yīng)識別變化的風(fēng)險，并識別針對重大變化的風(fēng)8中的清單并不完備，一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和A.5.1信息安全方針控制措施信息安全方針控制措施A.6信息安全組織信息安全的管控制措施控制措施信息安全活動應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的信息安全職責(zé)控制措施信息處理設(shè)施控制措施控制措施應(yīng)識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的與政府部門的控制措施與特定權(quán)益團控制措施信息安全的獨控制措施A.6.2外部各方與外部各方相控制措施處理與顧客有控制措施應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的處理第三方協(xié)議中的安全問題控制措施A.7.1對資產(chǎn)負責(zé)控制措施控制措施用控制措施控制措施控制措施應(yīng)按照組織所采納的分類機制建立和實施一組A.8人力資源安全A.8.1任用4之前目標：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對其承擔的角色是適合的，以降低控制措施控制措施3解釋：術(shù)語“責(zé)任人”是被認可，具有控制生產(chǎn)、任用條款和條件控制措施A.8.2任用中目標：確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準備好在其正常工作過程中支持組織的安全方針，以減少人控制措施控制措施其工作職能相關(guān)的適當?shù)囊庾R培訓(xùn)和組織方針策控制措施對于安全違規(guī)的雇員，應(yīng)有一個正式的紀律A.8.3任用的終止或變化控制措施任用終止或任用變化的職責(zé)應(yīng)清晰的定義和控制措施控制措施A.9物理和環(huán)境安全控制措施控制措施護控制措施外部和環(huán)境威控制措施作控制措施控制措施控制，如果可能，要與信息處理設(shè)施隔離，以避免未設(shè)備安置和保護控制措施控制措施應(yīng)保護設(shè)備使其免于由支持性設(shè)施的失效而引控制措施應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和控制措施組織場所外的控制措施設(shè)備的安全處控制措施控制措施A.10通信和操作管理A.10.1操作程序和職責(zé)控制措施控制措施控制措施控制措施A.10.2第三方服務(wù)交付管理控制措施第三方服務(wù)的控制措施第三方服務(wù)的控制措施A.10.3系統(tǒng)規(guī)劃和驗收控制措施控制措施A.10.4防范惡意和移動代碼控制措施控制措施控制措施控制措施網(wǎng)絡(luò)服務(wù)的安全控制措施A.10.7介質(zhì)處置控制措施控制措施控制措施控制措施A.10.8信息的交換控制措施控制措施控制措施包含信息的介質(zhì)在組織的物理邊界以外運送時控制措施控制措施控制措施包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護，以防止欺詐活控制措施控制措施在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護，以防止未授權(quán)的修A.10.10監(jiān)視控制措施用控制措施應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動的護控制措施記錄日志的設(shè)施和日志信息應(yīng)加以保護，以防止篡改和未授權(quán)的訪控制措施控制措施控制措施一個組織或安全域內(nèi)的所有相關(guān)信息處理設(shè)施的時鐘應(yīng)使用已設(shè)的控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施應(yīng)考慮自動設(shè)備標識，將其作為鑒別特定位置和設(shè)備連控制措施控制措施控制措施控制措施控制措施別控制措施所有用戶應(yīng)有唯一的、專供其個人使用的識別碼（用戶ID應(yīng)選擇控制措施控制措施可能超越系統(tǒng)和應(yīng)用程序控制的實用工具的控制措施定控制措施控制措施用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問控制措施移動計算和通信控制措施控制措施A.12信息系統(tǒng)獲取、開發(fā)和維護A.12.1信息系統(tǒng)的安全要求安全要求分析控制措施A.12.2應(yīng)用中的正確處理證控制措施制控制措施控制措施證控制措施A.12.3密碼控制控制措施控制措施A.12.4系統(tǒng)文件的安全制控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施A.12.6技術(shù)脆弱性管理控制措施A.13信息安全事故管理A.13.1報告信息安全事件和弱點控制措施信息安全事件應(yīng)該盡可能快地通過適當?shù)墓芾砬刂拼胧〢.13.2信息安全事故和改進的管理控制措施控制措施應(yīng)有一套機制量化和監(jiān)視信息安全事故的類型控制措施當一個信息安全事故涉及到訴訟（民事的或刑A.14業(yè)務(wù)連續(xù)性管理A.14.1業(yè)務(wù)連續(xù)性管理的信息安全方面目標：防止業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤或災(zāi)難的影響，并確保它們控制措施控制措施控制措施控制措施控制措施A.15.1符合法律要求別控制措施控制措施錄控制措施控制措施控制措施控制措施A.15.2符合安全策略和標準，以及技術(shù)符合性控制措施查控制措施A.15.3信息系統(tǒng)審計考慮控制措施控制措施在OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南中給出的原則適用于治理信息系統(tǒng)和網(wǎng)本標準提供信息安全管理體系框架，通過使用PDCA模型以及4、5、6和8所述的過程，來實現(xiàn)的某0.2過程方法0.2過程方法2規(guī)范性引用文件2規(guī)范性引用文件2規(guī)范性引用文件4信息安全管理體系4.3.2文件控制4.3.3