注:适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏忽而遗漏控制措施。
4.2.2 实施和运行ISMS
组织应:
a) 为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即:制定风险处理计划(见第5章)。
b) 实施风险处理计划以达到已识别的控制目标,包括资金安排、角色和职责的分配。
c) 实施4.2.1 g)中所选择的控制措施,以满足控制目标。
d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用来评估控制措施的有效性,以产生可比较的和可再现的结果(见4.2.3c))。
注:测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。
e) 实施培训和意识教育计划(见5.2.2)。
f) 管理ISMS的运行。
g) 管理ISMS的资源(见5.2)。
h) 实施能够迅速检测安全事态和响应安全事件的程序和其他控制措施(见4.2.3)a))。
4.2.3 监视和评审ISMS
组织应:
a) 执行监视与评审程序和其它控制措施,以:
1) 迅速检测过程运行结果中的错误;
2) 迅速识别试图的和得逞的安全违规和事件;
3) 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行;
4) 通过使用指示器,帮助检测安全事态并预防安全事件;
5) 确定解决安全违规的措施是否有效。
b) 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审(包括满足ISMS方针和目标,以及安全控制措施的评审)。
c) 测量控制措施的有效性以验证安全要求是否被满足。
d) 按照计划的时间间隔进行风险评估的评审,以及对残余风险和已确定的可接受的风险级别进行评审,应考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更。
e) 按计划的时间间隔,实施ISMS内部审核(见第6章)。
注:内部审核,有时称为第一方审核,是用于内部目的,由组织自己或以组织的名义所进行的审核。
f) 定期进行ISMS管理评审,以确保ISMS范围保持充分,ISMS过程的改进得到识别(见7.1)。
g) 考虑监视和评审活动的结果,以更新安全计划。
h) 记录可能影响ISMS的有效性或执行情况的措施和事态(见4.3.3)。
4.2.4 保持和改进ISMS
组织应经常:
a) 实施已识别的ISMS改进措施。
b) 依照8.2和8.3采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。
c) 向所有相关方沟通措施和改进情况,其详细程度应与环境相适应,需要时,商定如何进行。
d) 确保改进达到了预期目标。
4.3 文件要求
4.3.1 总则
文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保所记录的结果是可重复产生的。
重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。
ISMS文件应包括:
a) 形成文件的ISMS方针[见4.2.1b)]和目标;
b) ISMS的范围[见4.2.la)];
c) 支持ISMS的程序和控制措施;
d) 风险评估方法的描述[见4.2.1c)];
e) 风险评估报告 [见4.2.1c)到4.2.1g)];
f) 风险处理计划[见4.2.2b)];
g) 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序(见4.2.3c));
5
h) 本标准所要求的记录(见4.3.3);
i) 适用性声明。
注1:本标准出现“形成文件的程序”之处,即要求建立该程序,形成文件,并加以实施和保持。
注2:不同组织的ISMS文件的详略程度取决于:
− 组织的规模和活动的类型; 3/5 首页 上一页 1 2 3 4 5 下一页 尾页 |