ISO 27001:2013 学习笔记
0. Introduction
0.1 General
企业(Organization,组织,在本次解读中,结合自己的工作场景,统一理解为“公司”或“企业”)信息安全管理系统(Information Security Management System, ISMS)的建立和实施受到企业业务需求、安全需求、工作业务逻辑和企业规模的影响,而这些因素在整个企业的生命周期之中都是在不断发生改变的。
信息安全管理系统通过风险管理流程,对充分管理了信息安全风险的利益相关团体进行认证,保证了信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
将信息安全管理系统整合进企业的业务流程、管理架构是至关重要的;在设计业务流程、信息系统和控制规范的时候,也应当将信息安全作为一个考量因素。信息安全管理系统的实施应当同企业的规模相匹配。
1. Scope
ISO/IEC 27001(以下简称“本标准”)明确了在企业的范围内建立、实施、维护和不断改进信息安全管理系统的要求。本标准同时也明确了在企业需求的范围内对信息安全风险的评估和应对需求。本标准中给出的标准是通用标准,适用于各类企业。企业只有满足4-10中提出的所有规范要求,才能通过本标准的认证。
2. Normative references
本标准引用了下列文档的部分或全部作为本标准实施不可或缺的部分。对于标明日期的引用,本标准仅引用了该版本;对于未标明日期的引用,本标准引用了其最新的版本。
ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary
3. Terms and definitions
本文档中给出的术语和定义在ISO/IEC 27001中应用。
4. Context of the organization
4.1 Understanding the organization and its context
公司应当确认与其业务相关的内部和外部事务,这些事务会影响企业信息安全管理系统的产出。
4.2 Understanding the needs and expectations of interested parties
公司应当明确
a) 与信息安全管理系统相关的利益团体
b) 这些利益团体与信息安全相关的需求
4.3 Determining the scope of the information security management system
公司应当明确信息安全管理系统的边界和适用范围。当确定适用范围时,公司应当考虑以下问题:
a) 外部和内部事务
b) 业务需求
c) 本公司同其他公司事务的交互和依赖
4.4 Information security management system
公司应当根据本标准的要求建立、实施、维护并持续改进信息安全管理系统。
5. Leadership
5.1 Leadership and commitment
公司的领导者应当通过以下几点展示对信息安全管理系统的领导和承诺:
a) 保证信息安全策略及信息安全目标同公司的战略方向保持一致
b) 保证信息安全管理系统的要求已经集成于公司的业务流程中
c) 保证信息安全管理系统所需的资源可用性
d) 就实现有效信息安全管理以及遵照信息安全管理系统要求的重要性保持沟通
e) 保证信息安全管理系统实现预期的产出
f) 对促成信息安全管理系统的员工给予指导和支持
g) 推动持续改进
h) 支持其他相关的管理角色在其职责范围内履行相关的领导职责
5.2 Policy
领导者建立的信息安全策略应当符合以下要求:
a) 契合公司的需求
b) 包含信息安全目标(参照 6.2)或提供了对信息安全目标的配置框架
c) 包含一个满足于信息安全相关的适用性要求承诺
信息安全策略应当:
e) 可以以文档的方式进行留存
f) 可以在公司内部进行交流
g) 适用于利益相关团体
5.3 Organization roles, responsibilities and authorities
公司领导者应当保证同信息安全相关的角色任务赋予和授权都经过认证并且就此事经过沟通。
这是为了:
a) 保证信息安全管理系统符合本标准的要求
b) 就信息安全管理系统的表现向公司领导者进行汇报
6. Planning
6.1 Actions to address risks and opportunities
6.1.1 General
当计划信息安全管理系统时,公司应当考量4.1中提到的公司事务以及4.2中提到的需求,并且明确与一下事情相关的风险和机遇:
a) 保证信息安全管理系统能够实现预期的产出
b) 阻止或减少不希望的效果
c) 实现持续的改进
公司应当计划:
d) 处理风险和机遇的行为
e) 如何
1) 将计划的行为集成到信息安全管理系统中并在这个系统中实施
2) 评估这些行为的执行有效性
6.1.2 Information security risk assessment
公司应当定义并实施一套信息安全风险评估流程
a) 建立并维护信息安全风险标准,包括
1) 风险接受准则
2) 实施信息安全风险评估的准则
b) 保证重复的信息安全风险评估结果是一致的(consistent)、合法的(valid)、可比较的(comparable)
c) 识别信息安全风险
1) 使用信息安全风险评估流程,识别在信息安全管理系统范围内存在的机密性、完整性和可用性损害
2) 识别风险所有者
d) 分析信息安全风险
1) 评估在6.1.2 c 1中识别出的信息安全风险成型后的潜在影响
2) 评估在6.1.2 c 1中识别出的信息安全风险实际发生的可能性
3) 确定风险等级
e) 评估信息安全风险
1) 对比风险分析结果与风险接受准则
2) 在进行风险处理时,优先使用经过分析的风险处理方法
公司应当对信息安全风险评估过程留存文档。
6.1.3 Information security risk treatment
公司应当定义并应用信息安全风险处理流程以:
a) 根据信息安全风险评估结果选择恰当的风险处理选项
b) 确认所有已选择的信息安全风险处理选项都是必需的
c) 将在6.1.3 b中选取的风险处理选项同附录中的选项进行比对,确认没有遗漏的选项
d) 提供一份适用性声明,包含所选取的必要处理选项(见6.1.3 b和c,选取理由,选取的选项是否施行,以及存在于附录中,但未被选取的处理选项不适用的原因
e) 指定信息安全风险处理计划
f) 获取信息安全风险所有者对信息安全风险和信息安全风险剩余的支持
企业应当对信息安全风险处理过程留存文档。
6.2 Information security objectives and planning to achieve them
公司应当在不同层级设定信息安全目标,信息安全目标应当满足以下要求:
a) 与信息安全策略保持一致
b) 具备可测量性(如果可实行)
c) 考虑必要的信息安全需求以及风险评估和风险处理结果
d) 可就信息安全目标和计划进行交流
e) 可进行适用性更新
公司应当对信息安全目标留存文档。
当制定达到信息安全目标的计划时,应当决定:
f) 完成什么工作
g) 需求什么资源
h) 由谁进行负责
i) 何时可以完成
j) 如何评估执行结果
7. Support
7.1 Resources
公司应当决定并提供信息安全管理系统建立、实施、维护和持续改进所需的资源。
7.2 Competence
公司应当:
a) 确定与公司信息安全表现相关的员工的必要能力
b) 确保这些必要能力可以通过教育、训练和工作经验获取
c) 在适当的条件下采取一定的措施使员工具备这些能力,并评估这些措施的有效性
d) 保留适当的文件信息作为员工拥有这些能力的凭证
7.3 Awareness
公司员工应当注意:
a) 信息安全策略
b) 对信息安全管理系统有效性的贡献,包括对企业信息安全表现的改进
c) 对不满足信息安全管理系统要求所带来的影响
7.4 Communication
公司应当定义与信息安全管理系统有关的内部和外部交互,包括:
a) 基于什么进行交互
b) 什么时间进行交互
c) 与谁进行交互
d) 谁应当进行(发起)交互
e) 交互会影响到哪些流程
7.5 Documented information
7.5.1 General
公司的信息安全管理系统应当包括:
a) 本标准要求的文档信息
b) 公司认定的与信息安全管理系统有效性相关的必要文档信息
7.5.2 Creating and updating
当创建或更新文档信息时,公司应当保证恰当的:
a) 标识和描述(如:标题、日期、作者或索引号)
b) 格式(如:语言、软件版本、图像)以及媒介(如:纸质、电子)
c) 对适用性和充分性的论证
7.5.3 Control of documented information
本标准和信息安全管理系统要求的文档信息应当保证:
a) 无论何时何地都具备可用性
b) 被充分保护(如避免机密性损失、不正确的使用或完整性损失)
公司应当注意文档的:
c) 分布、获取、检索和使用
d) 存储和保护,包括合法性保护
e) 变更控制(如版本控制)
f) 保留和废弃
外源的文档信息,包括公司认定的对信息安全管理系统的计划和实施必要的文档信息,都应当
被以恰当的方式进行标识和控制。
8 Operation
8.1 Operational planning and control
公司应当计划、实施、控制达到信息安全需求的过程,并实施6.1中定义的处理信息安全风险和机遇的
行为以及6.2中定义的达到信息安全目标的计划。
公司应当保留证明工作流程按计划施行的必要文档。
公司应当控制计划中的改动,并检查计划外的改动的影响,并采取必要措施消除负面影响。
公司应当保证外包工程是确定且受控的。
8.2 Information security risk assessment
公司应当在计划确定的时间间隔或发生重大变动时进行风险评估,参照6.1.2 a中给出的评估
准则。
公司应当对信息安全风险评估的结果保留文档信息。
8.3 Information security risk treatment
公司应当实施信息安全风险处理计划。
公司应当对信息安全风险处理结果保留文档信息。
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
公司应当评估信息安全表现和信息安全管理系统的有效性。
公司应当决定:
a) 应当监控和测量什么内容,包括信息安全流程和控制
b) 监控、测量、分析和评估的方法,从而保证有适当的、合法的产出(注:所选取的方法产生的合
法结果应当具备可比较性和可重现性)
c) 什么时候进行监控和测量
d) 谁来进行监控和测量
e) 应当在何时对监控和测量的结果进行分析和评估
f) 谁来进行分析和评估
公司应当对监控和测量的结果保留恰当的文档信息。
9.2 Internal audit
公司应当对信息安全管理系统是否满足以下要求定期进行内部审计:
a) 应当符合
1) 公司对信息安全管理系统的要求
2) 本国际标准的要求
b) 有效实行和维护
公司应当:
c) 计划、建立、实施并维护审计计划,包括频率、方法、责任、计划需求和报告。审计计划应当考虑
被审计目标的重要性和之前审计的结果
d) 定义审计标准和每次审计的范围
e) 选择审计人员并进行审计,保证审计过程的客观性
f) 保证审计结果被报告给相关的管理人员
g) 保留审计过程和审计结果的文档信息
9.3 Management review
管理人员应当在固定的计划时段检查信息安全管理系统,从而保证持续的适用性、充分性和有效性。
管理检查项应当包含:
a) 之前管理检查的执行状态
b) 与信息安全管理系统相关的外部和内部事务变更
c) 对信息安全表现的反馈,包括:
1) 不一致的和矫正的行为;
2) 监控和测量结果
3) 审计结果
4) 信息安全目标的完成度
d) 利益相关团体的反馈
e) 风险评估的结果以及风险处理计划的状态
f) 持续改进的机遇
管理检查的输出应当包含与持续改进的机遇相关的决定以及所有需要对信息安全管理系统进行改进的
项目。
公司应当对管理检查的结果保留文档信息。
10 Improvement
10.1 Nonconformity and corrective action
当不一致的行为发生时,公司应当
a) 对不一致的行为作出适当的反应
1) 采取措施控制并纠正该行为
2) 处理该行为带来的后果
b) 分析消除产生该不一致行为的原因的必要性,从而阻止该行为再次发生:
1) 检查该不一致行为
2) 确认该行为的产生原因
3) 确认是否有类似的不一致行为存在或潜在发生
c) 采取必要的措施
d) 检查所采用的纠正措施的有效性
e) 必要的情况下对信息安全管理系统进行修改
纠正措施应当与不一致行为带来的后果相适应。
公司应当保留以下行为的相关文档:
f) 不一致行为产生的原因以及随后采取的一系列措施
g) 改正的措施
10.2 Continual improvement
公司应当持续改进信息安全管理系统的适用性、充分性和有效性。