1、ISO27001標(biāo)準(zhǔn)“4.1 總要求”理解要點(diǎn)

組織建立ISMS信息安全管理體系，首先須考慮的是：

a）在其整體業(yè)務(wù)框架下，其業(yè)務(wù)運(yùn)營(yíng)面臨的內(nèi)部、外部環(huán)境中，有哪些相關(guān)方？

b）他們對(duì)組織業(yè)務(wù)運(yùn)營(yíng)的要求有哪些？

c）相關(guān)方的意見(jiàn)對(duì)組織確定信息安全方針和策略的影響程度、內(nèi)容及方式是什么？

組織應(yīng)對(duì)這些環(huán)境因素給予充分的了解，進(jìn)而考慮對(duì)其具體的業(yè)務(wù)過(guò)程活動(dòng)中的信息安全需求和風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)價(jià)，針對(duì)所評(píng)估的風(fēng)險(xiǎn)以及組織可接受的風(fēng)險(xiǎn)水平， 設(shè)計(jì)適合于組織經(jīng)營(yíng)環(huán)境以及業(yè)務(wù)性質(zhì)的信息安全管理體系，并將相應(yīng)的信息安全管理過(guò)程以及控制措施要求形成文件，予以批準(zhǔn)、發(fā)布和實(shí)施。

對(duì)于運(yùn)行中的ISMS信息安全管理體系，組織還應(yīng)按照規(guī)定的程序、方法和準(zhǔn)則對(duì)ISMS信息安全管理體系的運(yùn)行績(jī)效以及信息安全風(fēng)險(xiǎn)的狀況進(jìn)行持續(xù)地監(jiān)視和評(píng)審，適時(shí)采取糾正、預(yù)防和改進(jìn)措施。

組織運(yùn)營(yíng)的內(nèi)部、外部環(huán)境往往處在不斷的變化之中，這些變化可能會(huì)給組織的信息安全帶來(lái)新的風(fēng)險(xiǎn)，也可能會(huì)影響組織已識(shí)別和評(píng)價(jià)的風(fēng)險(xiǎn)，因此組織的ISMS信息安全管理體系應(yīng)隨著這些變化適時(shí)予以改進(jìn)和更新。

組織的ISMS信息安全管理體系的建立、實(shí)施、保持和改進(jìn)應(yīng)體現(xiàn)PDCA循環(huán)的思想。

2、ISO27001標(biāo)準(zhǔn)“4.2 建立和管理ISMS”要點(diǎn)

（1）“4.2.1　建立ISMS”理解要點(diǎn)

a）在組織的整體業(yè)務(wù)框架下，確定ISMS的范圍和邊界，即確定在哪些業(yè)務(wù)活動(dòng)中應(yīng)用本標(biāo)準(zhǔn)，是組織設(shè)計(jì)ISMS信息安全管理體系要做的第一項(xiàng)工作。

信息安全管理體系的范圍和邊界的確定，以及相應(yīng)的業(yè)務(wù)和活動(dòng)以及其支持性活動(dòng)中涉及到的技術(shù)和資產(chǎn)，則決定了ISO27001標(biāo)準(zhǔn)附錄A中列出的控制措施要求的適用性。但對(duì)于ISO27001標(biāo)準(zhǔn)附錄A的刪減的細(xì)節(jié)，還需要在詳細(xì)識(shí)別了資產(chǎn)之后才能確定。

b）所謂“方針”，即實(shí)施某項(xiàng)活動(dòng)的指導(dǎo)原則和行動(dòng)路線，它可以是一個(gè)組織在其整體業(yè)務(wù)范圍框架下開(kāi)展某項(xiàng)活動(dòng)的總的指導(dǎo)原則和行動(dòng)路線，也可以是針對(duì)某項(xiàng)具體活動(dòng)的指導(dǎo)原則和行動(dòng)路線。

對(duì)于前一種情況，實(shí)例包括組織的質(zhì)量方針、組織的信息安全方針等，對(duì)于后一種情況，為了便于區(qū)分，在本標(biāo)準(zhǔn)中使用了“策略”一詞表述，例如，“清空桌面和屏幕策略”。

c）從方法論的角度講，ISMS信息安全管理體系的基礎(chǔ)是風(fēng)險(xiǎn)管理。

關(guān)于風(fēng)險(xiǎn)管理過(guò)程，ISO31000:2009給出了一個(gè)框架性示意圖，見(jiàn)下圖。

風(fēng)險(xiǎn)管理過(guò)程

針對(duì)某一項(xiàng)資產(chǎn)，如何通過(guò)影響并確定風(fēng)險(xiǎn)的一組條件得出科學(xué)的風(fēng)險(xiǎn)等級(jí)，取決于組織所選用的具體風(fēng)險(xiǎn)評(píng)估技術(shù)的類(lèi)型。常用的風(fēng)險(xiǎn)評(píng)估技術(shù)包括頭腦風(fēng)暴法、FMEA、ETA、FTA、風(fēng)險(xiǎn)矩陣法等。

明確風(fēng)險(xiǎn)準(zhǔn)則，還包括組織對(duì)可接受風(fēng)險(xiǎn)水平的確定和批準(zhǔn)。就可以針對(duì)已識(shí)別的信息安全相關(guān)資產(chǎn)的脆弱性和威脅以及資產(chǎn)價(jià)值，進(jìn)行具體的風(fēng)險(xiǎn)分析和計(jì)算，將風(fēng)險(xiǎn)按高低排序，找出高于可接受風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)，對(duì)其進(jìn)行風(fēng)險(xiǎn)處置。

d）對(duì)信息安全進(jìn)行管理，并不意味著將所有的資產(chǎn)置于絕對(duì)安全的保護(hù)措施，因?yàn)?ldquo;絕對(duì)安全”的成本是巨大的。因此，需要有選擇地實(shí)施風(fēng)險(xiǎn)處置。一般來(lái)說(shuō)，風(fēng)險(xiǎn)處置可考慮：風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)規(guī)避和風(fēng)險(xiǎn)接受。

e）準(zhǔn)備一份《適用性聲明》，用來(lái)向相關(guān)方提供有關(guān)組織風(fēng)險(xiǎn)處置決定的信息，內(nèi)容可包括選擇的控制目標(biāo)和控制措施，但不宜太細(xì)，以避免過(guò)多披露控制措施的細(xì)節(jié)。

（2）“4.2.2 實(shí)施和運(yùn)行ISMS”理解要點(diǎn)一個(gè)可執(zhí)行的風(fēng)險(xiǎn)處置計(jì)劃，必然要包括以下內(nèi)容：

1）計(jì)劃的任務(wù)內(nèi)容；

2）任務(wù)展開(kāi)與執(zhí)行需要的職務(wù)、權(quán)限、責(zé)任的指派；

3）處置計(jì)劃中的技術(shù)方案與資金預(yù)算；

4）資源提供，包括充足數(shù)量的具備實(shí)施技術(shù)方案相應(yīng)能力的人員、軟件或硬件產(chǎn)品與工具、必要的設(shè)備等。

針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，需要進(jìn)行處置的風(fēng)險(xiǎn)往往不止一項(xiàng)，風(fēng)險(xiǎn)處置計(jì)劃當(dāng)然也就不止一項(xiàng)。對(duì)于已經(jīng)識(shí)別的不可接受風(fēng)險(xiǎn)，風(fēng)險(xiǎn)處置的目的當(dāng)然是要將風(fēng)險(xiǎn)水平降低到可接受水平以下。出于其他的業(yè)務(wù)經(jīng)營(yíng)的需要，組織也可能制定風(fēng)險(xiǎn)處置計(jì)劃，以改變?cè)瓉?lái)的可能性或后果。

針對(duì)組織的信息安全管理現(xiàn)狀和《適用性聲明》的內(nèi)容，風(fēng)險(xiǎn)處置計(jì)劃中的任務(wù)內(nèi)容可能包括：

制定管理信息安全相關(guān)活動(dòng)的規(guī)程；

對(duì)基礎(chǔ)設(shè)施和物理安全系統(tǒng)進(jìn)行安全加固或技術(shù)更新；

對(duì)信息系統(tǒng)的硬件或軟件實(shí)施安全加固或技術(shù)更新；

對(duì)人員進(jìn)行信息安全相關(guān)的知識(shí)、技能、具使用等進(jìn)行培訓(xùn)和有關(guān)風(fēng)險(xiǎn)后果的意識(shí)教育；

就信息安全管理規(guī)程的要求對(duì)人員進(jìn)行培訓(xùn)，并推行信息安全規(guī)程；

與第三方服務(wù)提供方就信息安全管理事項(xiàng)進(jìn)行溝通和協(xié)商，等等。

風(fēng)險(xiǎn)處置計(jì)劃的實(shí)施應(yīng)在受控條件下進(jìn)行，責(zé)任分工明確，記錄計(jì)劃的實(shí)施，記錄計(jì)劃的實(shí)施結(jié)果，這些數(shù)據(jù)將可作為對(duì)信息安全管理績(jī)效和風(fēng)險(xiǎn)處置計(jì)劃實(shí)施后風(fēng)險(xiǎn)的變化進(jìn)行評(píng)估的輸入。

（3）“4.2.3 監(jiān)視和評(píng)審ISMS”理解要點(diǎn)

一般說(shuō)來(lái)，監(jiān)視和測(cè)量可分為管理性監(jiān)視測(cè)量和技術(shù)性監(jiān)視測(cè)量。

對(duì)系統(tǒng)實(shí)施技術(shù)性監(jiān)視和測(cè)量，一種情況是為了實(shí)時(shí)監(jiān)測(cè)系統(tǒng)資源的占用情況是否在安全閾值內(nèi)，以及是否有安全違規(guī)情況發(fā)生和能否對(duì)這些安全違規(guī)進(jìn)行有效的攔截。另一方面，這些系統(tǒng)中的設(shè)備硬件的耗損情況雖不需進(jìn)行實(shí)時(shí)監(jiān)測(cè)，但也需要根據(jù)硬件的壽命定期進(jìn)行檢查，以便于及時(shí)排除因設(shè)備故障而導(dǎo)致的系統(tǒng)功能不可 用，進(jìn)而影響信息的完整性。

管理性的監(jiān)視和測(cè)量則是針對(duì)各種信息安全管理規(guī)程執(zhí)行情況的常規(guī)檢查，通常使用以管理規(guī)程的要求為依據(jù)的檢查表的方法。例如：內(nèi)部管理體系審核，以高層管理者為主導(dǎo)的管理評(píng)審等。

監(jiān)視測(cè)量記錄都應(yīng)予以保持，作為糾正或預(yù)防措施、或改進(jìn)措施的信息輸入。

（4）“4.2.4 保持和改進(jìn)ISMS”理解要點(diǎn)

各種監(jiān)視測(cè)量的結(jié)果應(yīng)可為確定改進(jìn)措施提供信息輸入。應(yīng)針對(duì)監(jiān)視測(cè)量數(shù)據(jù)顯示的信息，以及相應(yīng)的風(fēng)險(xiǎn)評(píng)估結(jié)果，確定改進(jìn)的目標(biāo)以及改進(jìn)的具體措施方案。對(duì)其他組織在信息安全方面的經(jīng)驗(yàn)和教訓(xùn)的分析，也可為本組織的改進(jìn)提供輸入。

可能的改進(jìn)措施可包括：

1）信息系統(tǒng)以及其他系統(tǒng)的更新或技術(shù)升級(jí)；

2）管理規(guī)程的更新和流程改善；

3）人員知識(shí)與技能的持續(xù)教育和培訓(xùn)，等等。

改進(jìn)過(guò)程本身應(yīng)經(jīng)過(guò)良好策劃，以確保改進(jìn)方案的實(shí)施達(dá)到預(yù)期的目標(biāo)。需要時(shí)，改進(jìn)方案應(yīng)與相關(guān)方協(xié)商取得一致意見(jiàn)后進(jìn)行。

當(dāng)改進(jìn)項(xiàng)目涉及到相關(guān)方的要求時(shí)，為了確保信息安全持續(xù)地與相關(guān)方的要求一致，使組織在信息安全方面能夠持續(xù)地給予相關(guān)方信心，組織應(yīng)按照預(yù)先商定的方式向所有相關(guān)方溝通改進(jìn)方案實(shí)施的細(xì)節(jié)。

3、ISO27001標(biāo)準(zhǔn)“4.3 文件要求”理解

（1）“4.3.1 總則”理解要點(diǎn)

組織的信息安全管理體系要求應(yīng)形成文件。

信息安全管理體系文件的作用可包括：

1）表述組織信息安全的統(tǒng)一宗旨和方向；

2）作為培訓(xùn)教材，使人們對(duì)于信息安全要求有一致的理解；

3）作為人們?cè)谛畔踩芾砘顒?dòng)中的一致的行為標(biāo)準(zhǔn)；

4）作為監(jiān)視和測(cè)量信息安全管理績(jī)效的一致的方法和準(zhǔn)則；

5）作為采取糾正、預(yù)防和改進(jìn)措施決策的依據(jù)；

6）作為追溯信息安全管理活動(dòng)的依據(jù)。

ISO27001標(biāo)準(zhǔn)本條款列出了基本的信息安全管理體系文件的類(lèi)別。在特定的組織業(yè)務(wù)運(yùn)營(yíng)環(huán)境中，除了ISO27001標(biāo)準(zhǔn)中（ISO27001標(biāo)準(zhǔn)正文以及附錄A）明確要求“形成文件”的內(nèi)容外，所有體現(xiàn)組織信息安全管理要求的文件，都是組織信息安全管理體系文件的一部分。

按照組織的規(guī)模、業(yè)務(wù)活動(dòng)特點(diǎn)和性質(zhì)、技術(shù)應(yīng)用的程度等其他內(nèi)、外部環(huán)境的需求，這些文件可能以“程序”或“規(guī)程”的形式出現(xiàn)，也可能以“規(guī)范”或“規(guī)則”、“標(biāo)準(zhǔn)”、“操作說(shuō)明”或“作業(yè)指導(dǎo)書(shū)”等其他適用的形式出現(xiàn)。

ISO27001標(biāo)準(zhǔn)并沒(méi)有列出所有的信息安全管理體系文件類(lèi)別，亦沒(méi)有對(duì)文件數(shù)量提出要求。文件的多少與詳略程度取決于組織自身的信息安全管理需求。承載文件的介質(zhì)可以是紙介質(zhì)、電子介質(zhì)或其他類(lèi)型的適用介質(zhì)，取決于文件使用者的需要以及組織實(shí)施文件管理的需要和安全要求。

（2）“4.3.2 文件控制”理解要點(diǎn)

組織的ISMS信息安全管理體系文件本身亦應(yīng)作為信息資產(chǎn)予以管理，以確保這些文件的完整性和可用性，以及必要的保密性，這就是為什么管理體系文件需要受控。標(biāo)準(zhǔn)本 條款針對(duì)文件的發(fā)布、分發(fā)、使用、修改、作廢各階段的控制提出了要求，同時(shí)要求編制形成文件的規(guī)程，以規(guī)定和描述ISO27001標(biāo)準(zhǔn)本條款的要求在組織環(huán)境如何執(zhí)行和實(shí)現(xiàn)。

（3）“4.3.3 記錄控制”理解要點(diǎn)

管理體系運(yùn)行的記錄應(yīng)予以保持。記錄應(yīng)真實(shí)、信息完整、相關(guān)活動(dòng)的責(zé)任人信息明確。為記錄設(shè)計(jì)唯一的標(biāo)識(shí)，使得相應(yīng)活動(dòng)的發(fā)生被唯一地追溯。

記錄保存的期限，取決于組織和相關(guān)方需要追溯記錄的時(shí)間期限。一般情況下，記錄的保存期限應(yīng)不低于記錄所指對(duì)象的自然生命周期。

記錄的介質(zhì)形式可以有多種，紙介質(zhì)、圖片、膠片、磁帶、光盤(pán)、磁盤(pán)等，都可能用作記錄的載體。

記錄貯存期間的保護(hù)方法，就取決于這些介質(zhì)的性質(zhì)，例如防火、防水、防熱、防光照、防壓力、防磁、防小動(dòng)物等，都有可能是需要考慮的內(nèi)容。

為確保記錄不會(huì)在存貯期間失效，須安排定期對(duì)記錄進(jìn)行完整性、可用性的檢查，并根據(jù)需要考慮重新備份。

關(guān)于各類(lèi)記錄的具體管理要求和方法，組織應(yīng)編制形成文件的規(guī)程，所謂“形成文件的規(guī)程”，可以是獨(dú)立的一份文件，也可以融合在其他規(guī)程中，例如，描述某項(xiàng)活動(dòng)具體實(shí)施步驟的規(guī)程。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.rumin8raps.com/zs/202008/ccaa_5576.html