ISO27003信息安全管理體系實(shí)施指南(中文)

1、信息技術(shù)-安全技術(shù)信息安全管理體系實(shí)施指南(information technology security techniqes informationsecurity management system implementation guidance)(iso/iec cd 27003)(2009-12-29 )作劉斌版本v2.1ft注:該文本為iso 27003 2008-06-12英文版 mif版.i愾屮還不足之處（附誠(chéng)木認(rèn)ft 翻譯）謫提出寶貨總見(jiàn)，以便相互學(xué)d和進(jìn)步.劉斌:msns 1iubin_rocn0hotmai1. com 00:5*17051328目錄1 6 2引用的標(biāo)準(zhǔn)文件

2、6 3術(shù)語(yǔ)和定義64本準(zhǔn)的結(jié)構(gòu)64.1 刪64.2 fflx74.2.1閣形符號(hào)712.2部苫與閣衣94.3 isms 實(shí)施總ffl9 4.4總說(shuō)明104.4.1實(shí)施考慮啪項(xiàng)104. 4.2屮小企mk (sme)的考lg車項(xiàng) 115獲衍竹現(xiàn)片對(duì)實(shí)施isms的正式批準(zhǔn)125.1竹現(xiàn)ft對(duì)'1施isms正式批準(zhǔn)的槪嬰 125.2定義isms的h標(biāo)、信總安全謠要和4r務(wù)耍求145.3定義鉍初的isms ffieh 165. 3. 1 isms 范w的概s 165. 3.2角色和貴任的定義16 5.4創(chuàng)述收務(wù)框架與項(xiàng)ijw動(dòng)ii劃185.5獲得符理名對(duì)實(shí)施isms的正式批準(zhǔn)和承迷196定義is

3、ms范和isms方針226.1定義isms范114和isms方針的瞰®226.2定義組織的邊界246-3定義倌乜通口技術(shù)邊界256-4定義物理邊界256.5完成isms范削邊界266.6開(kāi)發(fā)isms方針27 7進(jìn)行業(yè)務(wù)分析29 7.1業(yè)務(wù)分析的槪要錯(cuò)誤！未定義書簽 7.2定義支持isms的信息安全耍求錯(cuò)誤！未定義書簽. 7.3創(chuàng)讓信息資產(chǎn)淸單錯(cuò)誤！未定義書簽.7.4產(chǎn)生位乜安全if佔(zhàn)錯(cuò)誤！未定義書簽.8進(jìn)行風(fēng)險(xiǎn)if估錯(cuò)誤！未定義書簽.8.1 14險(xiǎn)沭估槪®錯(cuò)誤！未定義書簽.8.2 w險(xiǎn)if估描述錯(cuò)誤！未定義書簽.8-3進(jìn)行風(fēng)險(xiǎn)冰佔(zhàn)錯(cuò)誤！未定義書簽 8.4計(jì)劃風(fēng)險(xiǎn)處砰和選抒檸

4、制錯(cuò)施錯(cuò)誤！未定義書簽，8.4.1風(fēng)險(xiǎn)處理和控制措施選擇槪嫂錯(cuò)誤！未定義書簽.8. 4.2 ih別14險(xiǎn)處埋選擇力案錯(cuò)誤！未定義書簽.8.4.3選扦拎制hi小和拎制措施錯(cuò)誤！未定義書簽.9 q if isms43 9. 1 ttil isms概要錯(cuò)誤！未定義書簽.9.2 sil組織的安全錯(cuò)誤！未定義書簽. 9. 2.1組織的安全概嬰錯(cuò)誤！未定義書簽. 9.2.2角色和辦任錯(cuò)誤！未定義書簽. 9. 2.3方針幵發(fā)框架錯(cuò)誤！未定義書簽. 9.2.4報(bào)告和管理計(jì)簾錯(cuò)誤！未定義書簽9. 2.5規(guī)劃曲核鐠誤丨未定義書簽. 9. 2.6559. 3沒(méi)計(jì)ict安全和物現(xiàn)安全錯(cuò)誤！未定義書簽. 9.4沒(méi)計(jì)監(jiān)視

5、和測(cè)吊:589.4.1監(jiān)視和測(cè)ft的慨®錯(cuò)誤！未定義書簽.9- 4.2議計(jì)監(jiān)視錯(cuò)誤！未定義書簽. 9.4.3沒(méi)計(jì)訪息安全測(cè)©程序鐠誤！未定義書簽.9.4.4.測(cè)« isms的|效性錯(cuò)誤！未定義書簽.9.5 isms記泌的耍求錯(cuò)誤！未定義書簽.9.5. 1 isms c朵的概要錯(cuò)誤！未定義書簽. 9.5.2文件®求的控制錯(cuò)誤！未定義書簽.9. 5.3記錄嬰求的控制錯(cuò)誤！未定義書簽. 9.6產(chǎn)生isms實(shí)施計(jì)劃錯(cuò)誤！未定義書簽.10實(shí)施isms錯(cuò)誤！未定義書簽.10.1 isms實(shí)施概耍錯(cuò)誤！未定義書簽.10.2執(zhí)行isms實(shí)施項(xiàng)口錯(cuò)誤i未定義書簽. 10.

6、2.1執(zhí)jr isms實(shí)施項(xiàng)ums錯(cuò)誤！未定義書簽.10. 2. 2角色和任錯(cuò)誤！未定義書簽. 10. 2. 3溝通錯(cuò)誤！未定義書簽10.2.4協(xié)w錯(cuò)誤！未定義書簽.10.2.5變史錯(cuò)誤！未定義書簽.10.3監(jiān)視的丈施錯(cuò)誤！未定義書簽.10.4 isms稈序和控制文件錯(cuò)誤！未定義書簽.10.5 isms測(cè)黽w序文件錯(cuò)誤！未定義書簽.科擁78附?jīng)Qa7981前言iso （h呩標(biāo)準(zhǔn)化組織）和iec （m際電工婁m會(huì)延專業(yè)的世界性準(zhǔn)發(fā)布者。iso ieci&«的w家，通過(guò)»|*|組織為處理特定技永活動(dòng)領(lǐng)域所沒(méi)的技水委w會(huì).參與開(kāi)發(fā) w際準(zhǔn)* iso fil iec技術(shù)蚤員會(huì)

7、協(xié)調(diào)合作領(lǐng)域的共同利益.與iso和iec保持聯(lián)系的它 m際組織（官方的或ir官方的）也iii穸加打關(guān)t怍。在倍息技術(shù)領(lǐng)域.iso和iec己經(jīng)沒(méi)立 了一個(gè)聯(lián)合技術(shù)否員會(huì)，iso/iec jtc 1。闌小準(zhǔn)a照iso/iec導(dǎo)則第2部分的規(guī)則起9。本義件的某叫耍索有呵能涉及-嗶專利權(quán)問(wèn)題，對(duì)此w引起什意。iso 4、負(fù)心識(shí)別任 何v利權(quán)的問(wèn)®。1so/iec 27003足山訪息技術(shù)-安全技水sc 27小組s w公iso/iec jtc 1技術(shù)龍公 制定的，引言本杯準(zhǔn)的目的是為基于iso/iec 27001的倍息安全符理體系（isms）提供實(shí)用銜么 is0/iec 27001在一個(gè)組織內(nèi)為

8、業(yè)務(wù)提供信總化管理。信息安全的ii的在a）保護(hù)佶息免受種4、同的威盼（例如：故陣、仿總與服務(wù)的損火、盜竊和間b）支持符介法f1法規(guī)和介同的安令要求：c）維護(hù)連續(xù)忭：d）最小化損害:e）促進(jìn)效率。木如準(zhǔn)h在支持仿息安今符沖的過(guò)w.確保相關(guān)利益方的忙.11資產(chǎn)（包括仿息過(guò)）滿 足該組織所定義的可接受的風(fēng)險(xiǎn)級(jí)別木紅袱所描述的實(shí)施過(guò)wl!汁進(jìn)行了sil .以w供：a）說(shuō)明以一奩壤礎(chǔ)方針、r序和控制措施所表示的組織的倍息安令符理體系：b）持續(xù)改進(jìn)的堪礎(chǔ)：c）禍r仆務(wù)h標(biāo)、前情況差爐分析和風(fēng)險(xiǎn)分析的結(jié)災(zāi)考慮吋的協(xié)調(diào)抿®。本標(biāo)淮小包w isms的運(yùn)行或監(jiān)ffi* isms的敁終劣施是一個(gè)柯關(guān)技術(shù)展

9、而和組織匕而 上的實(shí)施項(xiàng)自,那里.喬要應(yīng)用項(xiàng)自管理原理和方法論（見(jiàn)“iso項(xiàng)目管理標(biāo)準(zhǔn)”.采川isms勹公共竹理組織（包括公公荇機(jī)i項(xiàng)戰(zhàn)略性決隨行n的使川和依賴性的增長(zhǎng).對(duì)實(shí)施isms的決定和水i«十分關(guān)m。信息技術(shù)-安全技術(shù)信息安全管理體系實(shí)施指南本ih際標(biāo)準(zhǔn)依照iso/iec 27001,為建立和吹施信息安個(gè)鈐珂體系捉供實(shí)用指分本i 件描述isms的實(shí)施.聚熱f從w初批準(zhǔn)isms在組織內(nèi)實(shí)施判isms運(yùn)行的幵始.相氣j* isms pdca周期的“p”和“d”階段。木文件介行、和a迸沒(méi)ii活動(dòng)的解籽.id然這活動(dòng)木?4不在實(shí)施 的范b.本標(biāo)泄適用于所有商4k規(guī)棋和類型的所有泔織（

10、例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、作贏利組 本h:準(zhǔn)ftfr:為依照is0/iec 27001 施怡息安個(gè)竹珅體系的泔織使用，以及為安個(gè)t 業(yè)人員捉供指分.14險(xiǎn)u理或測(cè)又力的上跑袒i r isms k準(zhǔn)族的k它杯準(zhǔn).并波迠:1?川il2引用的標(biāo)準(zhǔn)文件f列引用文件對(duì)于本文件的應(yīng)用是必不可少的*凡是注有日期的引用文件，只是引用的 版本凡是不注有曰期的引用文件，其最新版本（包括任何修改適川r本標(biāo)準(zhǔn)。 is0/iec 27001, u息安今符押體系-嬰求3術(shù)語(yǔ)和定義為了本文件的n的，以卜的術(shù)語(yǔ)和定義適用r本w準(zhǔn):參is0/iec 27001,位息安全符押體系-槪述與&川: is0/iec 27001

11、,位息安今管押體系-裝求4本標(biāo)準(zhǔn)的結(jié)構(gòu)4.1總則本文件描述佶息安全符理體系的實(shí)施。實(shí)施足-個(gè)時(shí)問(wèn)性的活動(dòng).而本義件描述力項(xiàng)b 活動(dòng)。實(shí)施項(xiàng)g分為多個(gè)不冋階段._一個(gè)階段在木文屮也是-個(gè)中獨(dú)的條款。埒一個(gè)isms實(shí)施階段包含：個(gè)耍達(dá)到的h標(biāo)： 一個(gè)成多個(gè)為込到該階段ii杯所必a的活動(dòng)。話動(dòng)描述按以f內(nèi)游結(jié)構(gòu)進(jìn)行:記義滿足個(gè)部或部分改階段uh所必盂的«殊a動(dòng)。®a描述毎一個(gè)活動(dòng)的開(kāi)始點(diǎn).例ta現(xiàn)科形成文件的決定.或宋h p其它isms實(shí)施活動(dòng)的輸 出.實(shí)施抱南提供更加洋細(xì)的m息，以支持該實(shí)施階段的口的和達(dá)到該階段的n。雖然紐織的規(guī)稅 和isms范m的w終規(guī)校要影響沾動(dòng)的濃性.f

12、nffi每個(gè)活動(dòng)所必®的輸出都c同忭不依賴 這些因紊.描還該活動(dòng)的結(jié)災(zāi)成nj交h的完成產(chǎn)a/i.例如文ft， 其它倌息提供n脯助f達(dá)到該階段i i標(biāo)的撲充倌息，例如對(duì)其它標(biāo)準(zhǔn)的引用文件或另外的smes 指南.小足所有活動(dòng)都有其它位息。幣個(gè)項(xiàng)hwff用-個(gè)fflx. m示s個(gè)不同的階段及tt瑜出，而每一個(gè)階段也要仃ws. 以ph示出該階段內(nèi)的齊個(gè)不同工作塊，isms的劣施包括來(lái)itic它isms系列»小準(zhǔn)的i：w.這些 w準(zhǔn)在適當(dāng)時(shí)也可作為引用文忭.并作為燈用的輸入在ra衣屮進(jìn)行描述。4.24. 2.1圖形符號(hào)rn 1從供木義件jhifti的流kffl所使川的舊形n-i.這挖

13、ffl形為丈施isms捉供很形象的 街4和過(guò)櫛。keference irxxiti documentsaomtmforan j拗ph«e.i*ime?1 adivmies oi :二2.一一 q i3actmimtof the|一一1 二.f zba.在本s際標(biāo)準(zhǔn)中，流程is的圖形拌列是基j:以卜結(jié)構(gòu)槪念: hi形框（無(wú)陰影的）：矩馳提供息的說(shuō)明。當(dāng)執(zhí)行任務(wù)潘耍超出本標(biāo)準(zhǔn)范a的信息時(shí)，以無(wú)填先的框 困及示，如在圖4.1中描述為“必須的信息這種必須的倌息好以是其它標(biāo)準(zhǔn)引用文件， ftuiso/iec 27002o 矩形樞（介陰影的）：矩形框農(nóng)示“形成文fl的結(jié)果”。在矩形樞，倌息以灰色

14、填充，并產(chǎn)生作為本標(biāo)準(zhǔn)的 部分的一個(gè)義件。 箭頭框：箭5k框衣心活動(dòng)或®執(zhí)行的i:作. 箭失樞吋51分成1；個(gè)丫任務(wù)/活動(dòng).然后以多個(gè)新的府尖框衣水。所乜箭1框的右底 部都打一個(gè)數(shù)字，表示本標(biāo)準(zhǔn)的章w（在圖1屮，以“x.x”衣示）. 項(xiàng)h流各種活動(dòng)的順呼流動(dòng)，并以多個(gè)箭頭框衣示。項(xiàng)0流®并行地完成。 ffl屮的箭頭農(nóng)示時(shí)問(wèn).并以從左到心的方14。箭頭也ffi出某叫活動(dòng)w/ek-個(gè)活動(dòng) 開(kāi)始之前完成，或者可以并行地完成.4.2.2部署與圖表所打階段都被衍定為-個(gè)條,汰6&先，埒-個(gè)條款邠/f說(shuō)明改階段及hhus動(dòng)的閣8 然s7, 個(gè)階段內(nèi)的14-個(gè)主要活動(dòng)&該

15、條款的-個(gè)子vi。如k在一個(gè)活動(dòng)屮燈許多主s. 那么這叫k題可作為多個(gè)子條款進(jìn)行介紹，似不以閣農(nóng)說(shuō)明。為了支持正文，也可以捕入谷 種k它的m形或閣表，但可不遵饀如ra 1所述的閣形符毎一個(gè)階段和活動(dòng)在開(kāi)始時(shí)都有h標(biāo).曲其內(nèi)容a支持該hw.另外的支持性信總，例如例子，應(yīng)以附泌捉供.4.3 isms實(shí)施總圖明 2 明解 iso/iec 27003 的范ih*4kh3-i- ha1 iso 27000 1iso 27001iso 27004is0 27004iso 27002)i:iso 27002iso 27002i iso 27001 |:i:番:isq2700tiso 27001iso 270

16、07 ；ffl2 isms項(xiàng)n概階段的結(jié)s在閣2屮，毎一階段的h標(biāo)概迆解籽如卜： 第5帝“茯得實(shí)施isms的正式批準(zhǔn)”，jtflwji：令 定義實(shí)施isms的|標(biāo).仿息安仝耑捉和業(yè)務(wù)耍求: 定義敁初的ismsigih；令 創(chuàng)if收務(wù)項(xiàng)h啟動(dòng)計(jì)劃： 令茯w竹珂對(duì)實(shí)施isms的ie式批準(zhǔn)和承諾* 第6章-定義詳細(xì)的isms范fll和isms方針”.其目標(biāo)是* 定義isms的范ffl邊界：-> 茯？h4ismsi|.的賢 m.-9 - 第7飫“進(jìn)行處務(wù)分析、jtnwfi: 收uilsms支持的扣關(guān)ffi求：o收糶氣前isms范m內(nèi)的信總安全狀況： o創(chuàng)遷佶息資產(chǎn)淸中。 第8帝“進(jìn)行風(fēng)險(xiǎn)if估”

17、，托令 w別風(fēng)險(xiǎn)if估方法：令 w別.分析和if價(jià)倍息安全風(fēng)險(xiǎn)：o i只別風(fēng)險(xiǎn)處理選擇方案： 選擇控制h標(biāo)和控制招施* 第9訪“沒(méi)iiisw.其n標(biāo)a:令j i4險(xiǎn)處刊選擇方案的k險(xiǎn)處押.而設(shè)計(jì)組織的安個(gè)：o 為降低風(fēng)險(xiǎn).蛄介ict.物fl!安全和組織安全.ifij沒(méi)計(jì)選擇的控制lit小勹控制措 施：令 為讓么isms.沒(méi)illsmsw殊的要求，包w監(jiān)視和測(cè)吊：令制定isms實(shí)施1|劃， 第10章“實(shí)施isms”.其h標(biāo)足:-報(bào)樅isms項(xiàng)hil劃，實(shí)施已選擇的控制招施和ismsw殊的要求：-實(shí)施監(jiān)視和測(cè)砑：令創(chuàng)itlsmsr序和控制義件.4.4總說(shuō)明4. 4. 1實(shí)施考慮事項(xiàng)丈晻的ii*小込

18、達(dá)到符介is0/iec 27001從求的持續(xù)改進(jìn)的狀態(tài).惱以安全足持飧動(dòng)態(tài)性變化的.賢迸行a計(jì)以邁噸變化。埒-個(gè)俎熾都受支 r內(nèi)邡 變化和外部變化，巾r業(yè)務(wù)過(guò)柙、法規(guī)壞境、任務(wù)、礎(chǔ)沒(méi)施和泔織可能發(fā)卞變化，許多這 呰變化也影響仿息安令。某嬰條件的變化也4能出現(xiàn).例如.法仲約定或介l“j約定、rif 用信息和通仿技術(shù)都14能發(fā)牛.|r人變化.為f達(dá)到組織的4k務(wù)h i小及h:風(fēng)險(xiǎn)射受度.鈐押和 維護(hù)信總安全是必須的。不僅計(jì)劃實(shí)施4k務(wù)過(guò)和引入u行商定的信息安全控制措施的新信息系統(tǒng)足幣:®的.而 fl計(jì)劃ju，v如何運(yùn)行和介規(guī)ih地進(jìn)行檢ft以確保jt如期的介效性和適川性也足it耍的、如果

19、 脆弱點(diǎn)成a進(jìn)的機(jī)公te發(fā)現(xiàn).whv采取控制錯(cuò)施.進(jìn)行改進(jìn)。過(guò)持這吟改進(jìn)的ii劃和 'i:施.mk務(wù)過(guò)杓!披終止，或ft組分和/或佶息系統(tǒng)被史換或關(guān)w，必須考慮扣關(guān)的仿息安 全問(wèn)題，例to授權(quán)的取消或硬件的安全刪除。為了成對(duì)f,7息安個(gè)盂®例如竹押過(guò)ft. ii恃劣施和認(rèn)"fuf新jfi©，一個(gè)紐織內(nèi)的扣關(guān)角 色和啟任識(shí)別j附泌a+*附彔a捉供仿息安今關(guān)鍵怕色和街任的指4.4.2中小企業(yè)(sme)的考慮事項(xiàng)本fa.準(zhǔn)所述的實(shí)施項(xiàng)ii吋以足很k*的.因?yàn)樗蚨嗷蛏偕婕翱倐€(gè)組織。成該捉出的 是，在實(shí)好屮，人組織實(shí)施isms比小組織圯ft雜*小組織沒(méi)打很多角色

20、，ifull isms的邊界 十分淸楚定義，倍息資產(chǎn)的控制也更容易完成。本w準(zhǔn)描述實(shí)施isms所®®的活動(dòng)，w別足屮型到人吧的企、ik。較小的組織公發(fā)現(xiàn)木 好準(zhǔn)所提的活動(dòng)可適用r他們.并可以進(jìn)行簡(jiǎn)化。小符企業(yè)的規(guī)模如何.對(duì)r一個(gè)特定組織來(lái)說(shuō).a雜性和風(fēng)險(xiǎn)郁足獨(dú)特的.向特定的耍 求合驅(qū)動(dòng)實(shí)施的指好。-u -5獲得管理者對(duì)實(shí)施isms的批準(zhǔn)5.1管理者對(duì)實(shí)施isms批準(zhǔn)的概要rw: 定義丈施倌總安全竹理體系的nw.仏息安全的盂求和業(yè)務(wù)要求: 定義初始的isms范鬧： 創(chuàng)迮業(yè)務(wù)棖架和啟動(dòng)項(xiàng)h: 獲tyt?理名對(duì)實(shí)施isms的批準(zhǔn)和承參 sliso/iec 27001： 4.2.1

21、 a), b)在本階段(即茯fim押對(duì)實(shí)施isms的批誰(shuí)”)開(kāi)始之前，的足耍叫a什么足 isms, isms的業(yè)務(wù)芯求和關(guān)的組織內(nèi)的伯色以任的列農(nóng).本階段的預(yù)期輸出足符刊7；對(duì)實(shí)施isms的批準(zhǔn)和承講。w此從此條款捉交包括-個(gè) 4k務(wù)抿架和一個(gè)件的it議草案。iso 27001其它需求iso 27005i 獲符竹對(duì)iifelsms 的 ie式批i 報(bào)和承諾 5./時(shí)鬧 i.i 、'i *««*拳參螬 mon _emmmm* 搴拳mm攀_參0» mm善*_»_參壽* * »«*» 春*垂 m拳_« met*

22、* _ eesmoi參mae m*»»*« i*«*拳mbheev閣3竹押片對(duì)實(shí)施isms iea批準(zhǔn)的概®5.2定義isms的目標(biāo)、信息安全需求和業(yè)務(wù)要求活動(dòng)定義實(shí)施isms的m標(biāo).仿息安今況求和仆務(wù)要求.按如下倌息完成此項(xiàng)活動(dòng)足很屯:鉭的: 達(dá)到企業(yè)的仆務(wù)ii標(biāo)的途柃： 了解現(xiàn)介符理體系。實(shí)施指南實(shí)施isms吋.應(yīng)名慮如卜問(wèn)題： k險(xiǎn)控制-isms如何史w的拎制怡息安令風(fēng)險(xiǎn)？ 效率-ismstoihisft處砰k,息安個(gè)的效年？ 業(yè)務(wù)優(yōu)勢(shì)-isms如何創(chuàng)ffi收務(wù)優(yōu)勢(shì)？一咋竹理nfe的貧例包w: 促進(jìn)4k務(wù)連維性和災(zāi)難恢兌 促進(jìn)對(duì)v故的恢a

23、力 法汴/介同符介性/憤務(wù)（例：sox、dpa）支持iso 9001, 14001、 20000和27001認(rèn)證 介利f4k務(wù)發(fā)展和定位 使w險(xiǎn)和安全能夠迸行測(cè)m：勺沒(méi)k 降低安全控制措施成木保護(hù)資產(chǎn)的戰(zhàn)略價(jià)偵拳促成企業(yè)w險(xiǎn)竹押（erm）過(guò)打 比以-個(gè)達(dá)刊保證健詠的“控制壞境517效控制組什”上述nfe帶來(lái)的利益包w:法沐符介性-好的仿息安全4致符介個(gè)地區(qū)和地方法ih 介m符介性-w的仿息安全改ff符介介同的承 行業(yè)標(biāo)涖符介性-將行收h;準(zhǔn)納入信息安仝流k和信息安今嬰求，以解決該標(biāo)準(zhǔn)的符 合性: 效率-仿息安全設(shè)計(jì)綠致科效使用多個(gè)安令流程： 業(yè)務(wù)優(yōu)勢(shì)-丈施倍息安全"r銪助取衍史多新汀

24、中.汴能夠把信以安全計(jì)燈刊該成本 屮： k險(xiǎn)摶制-借息安個(gè)獲得適、解決，也就4：持了竹理風(fēng)險(xiǎn)： fuft -實(shí)施7息安個(gè)4使改紀(jì)織訣汧更多業(yè)務(wù)環(huán)境乃而的fiiff.如jt能夠®ftsxflt 它療理組織（外郎審核）作出反應(yīng).捉島反應(yīng)浙任h 環(huán)境押.解-又鍵的位息活動(dòng)和保擴(kuò)改炎息打助i處押繼續(xù)發(fā)1:的斤祌威阱。因此.竹理坷旎述的任何一個(gè)或多個(gè)，也對(duì)以a不同的*isms的銀本組織所向臨的關(guān)佶息安仝方向的列入消中.的史多考慮負(fù)項(xiàng). 組織耑裝解決的主題包括以b*方ifth內(nèi)部影響和外部影響： 要求信息安令的相關(guān)法沭>什么法怵與該組織打關(guān)？> 一個(gè)公眾的全球性公司的組織部門芯控財(cái)務(wù)

25、外部報(bào)告叫？ 科關(guān)出r缺乏佶息*令而導(dǎo)致訴訟的介m協(xié)議或商卟協(xié)議>什么a存儲(chǔ)®求？> 足付fftt何秘密的或質(zhì)®（例如：服務(wù)級(jí)別協(xié)議-sla）介14嬰求？ 打關(guān)®貲仿息安全的行收®求> 打什么特殊的行ms求適用廠木泔織？ 奉介關(guān)fa，&安傘的環(huán)境®求> ®®什么類v的保護(hù)并預(yù)防哪將威脅？ >芯從保護(hù)的信兌rt "哪呰小|nj的»壙？> 保護(hù)的佶息活動(dòng)有哪爺不同的類喂？ 敏感或行價(jià)fft的倌息®®信息安全>什么信息w r組織的關(guān)鍵信息？

26、>如果這類倍息彼泄謠給末授權(quán)方會(huì)產(chǎn)生什么后果（例如：失去競(jìng)卞優(yōu)勢(shì).損s 組織的w牌/名？f等）? 競(jìng)，馭動(dòng)> ®考慮仿息安個(gè)山場(chǎng)足小的嬰求a什么？> 如汜玄施，什么創(chuàng)讓ibhk優(yōu)勢(shì)的w外的仿息安個(gè)市場(chǎng)迎求？ 業(yè)務(wù)迕維性迆求> 對(duì)關(guān)shk務(wù)流柙屮斷，川熾可以忍受z k時(shí)叫？通過(guò)提出某矻埔本的設(shè)想.作為對(duì)h述問(wèn)拽的m?$.就可以完成定義信息安全®求的活 動(dòng)和萵層收務(wù)嬰求。這il:該組織了解到他們能從執(zhí)行ismsfijfij什么，馳這個(gè)活動(dòng)的結(jié)果或成果足： 總結(jié)isms的|標(biāo)、倌息安全況求和業(yè)務(wù)要求的簡(jiǎn)fe義件。 其它倩息如果isms1e在一個(gè)需要滿足的也

27、求的行北屮實(shí)施，別初s補(bǔ)允信 息.這包w符介t小袱、介同承u;和外部施加的政策或任何其它適用的參芩文件。w別汴細(xì)的 "關(guān)如何m別和使川滿足行仆待殊®求的擴(kuò)肢檸制措施在實(shí)施isms的“plan"和“do”階段 進(jìn)行討論.行業(yè)實(shí)施的例f也披供f附錄屮.以摘助本文件的川戶史好地實(shí)施isms。-91 -川印羽.f"刁卷卯以w時(shí)曲沐31拘w冷1u羽潴詔時(shí)蚴識(shí)明汝識(shí) '妁植孑w孕竹.vhi蚜ft閒訓(xùn)祕(mì)sksiw東時(shí)研卯 ° m 曲ittwyw%從電職時(shí)叩詔詠效 妁 qhifw油w即?4如svhfmmw闡知yt叩砟萬(wàn)朽-i 勒州必m褙tl講講別:kh

28、t褙街wsksi4¥r:w®yrtt鉍wh袍識(shí)冷戲柃去殺宵.以x否明丑tftt馬啄z ss°袞掛睇斜身srww淋淆 聾+-j °認(rèn)眼明呼詘吋另wwsjtwsrsi唄策取收滬凊揹柿汧w池時(shí)司招歡劣s£ s"vwrwwhjswsibbf- w"泠你計(jì)芯hwhii眾女"v辟八硏少麥卞 1;父叩-t00z6dai/osi4>uj（wnv講.ns沏賽劃從抝笊叩fftinnii?® m ir wsksi yj 捫 個(gè) 時(shí)涂制 w w好 w6：5.aiwtw7-u 4銀今班«別鉺去藎以？r羽竹w歲對(duì)貼姑

29、好祖 i arr少？力耵sksii-femtfyi w臚?hj?猙換泊？tthltfim/iufedww講4；劫?zèng)]諦沈1沙4uuffiwfel少臚hrw妁mw問(wèn)少步叩w）j 7臺(tái)ikw劉站鉍問(wèn)士+5i廿以？hb學(xué)w歲斛知矜 :w耵h沁薪一明眾女菇泌革誰(shuí)；打®叫°-vksksi q mi以？消多唞瓶鉍w濃叫說(shuō)>3m別不° 1002.3 331/osi-vwriw拗叫w滬泠菇wuw洙v沖述r靳|ftiwhjz?s!tfw®i00a6 33i/0siiu泠茄w沴對(duì) iwim+w邨承好衲汝財(cái)織昭n!錁泠®問(wèn)多料wil刺少少兄竹一 觀不iffiiw

30、aii丑冰w汶乜 艸逢妨口ifiw豕.ww搰辟iooxs dai/osiiinilirur awiw'.?rtii雙以1測(cè)鋒'its7+ftw?stll雙swsi!角w不論k ij7w去殺打以啉水筋«補(bǔ)-ll-.f sw!wy?4 sw5 筋榭w故舛耶a(chǎn)l味:ft«vwbl® :4j«冰孫孓詠乎益務(wù)耶 '舛h鰣革sksi拳ys洲級(jí)skslwwftx$_ w 番輋w國(guó)級(jí)shsi iss 國(guó)級(jí)sksi印綁戰(zhàn)x革£ s一個(gè)人員州r:*然ifii. _“息安令汀員總足被指記為負(fù)貞仏趙安傘的關(guān)鍵人*作仏息安個(gè) ?f理炻色的定義上，

31、記取位的考慮足，規(guī)定適3安全任務(wù)（w倍息安全的總以任保持在符理。 至少衍定一個(gè)人（通常足ft席估息安個(gè)官員）進(jìn)行促進(jìn)和協(xié)調(diào)估.0.安個(gè)過(guò)秤。 每-個(gè)員i:都要在m: r.作場(chǎng)所和環(huán)境卜甲地負(fù)起it:原任務(wù)的改任和維護(hù)信息安 全的貴任。以k足許多組織典型的主®角色，并在本義件屮用：角色負(fù)責(zé)品級(jí)tf理投 < 如：coo, ceo、cso 和 cfo）商級(jí)竹理人w負(fù)以戰(zhàn)略決®和協(xié)調(diào)活動(dòng)，以桁4 和控制m織冇席倍息安全&?t席借總安全&全ifti負(fù)is實(shí)施isms怡息安今婁m會(huì)（成w）委w會(huì)負(fù)出領(lǐng)好組熾內(nèi)丈施isms信息安全規(guī)劃小組（成規(guī)劃小泔負(fù)街實(shí)施isms

32、 «動(dòng)。在實(shí)施isms期 問(wèn),規(guī)劃小組的工作跨越部門邊界解決沖突和支 持ciso （符席（2息安全仃）專家負(fù)打運(yùn)喬（執(zhí)行 > 的v家們足一個(gè)汛織的t業(yè)人 e.座該按照他們對(duì)isms v件的想法訪問(wèn)這些專 家，w為這涉及到w使用在特定的領(lǐng)域。 這些專家應(yīng)該按照他們對(duì)isms小件的專業(yè)知ih 被訪問(wèn)，因?yàn)樗P(guān)系到所在的n體領(lǐng)域。外部顧問(wèn)外部盹問(wèn)能報(bào)據(jù)k對(duì)組織的宏觀觀點(diǎn)和行收經(jīng)驗(yàn) 提供實(shí)施isms活動(dòng)的決定。但專家不可能打很深 的商收和該組織的運(yùn)行知ul雇員/職員/川戶在w i：作場(chǎng)所和環(huán)境卜_,每一個(gè)員1:都要平等地 負(fù)fe維護(hù)息安全的貞任。苗席*核員n席布核員負(fù)責(zé)設(shè)計(jì)如何評(píng)估和評(píng)

33、價(jià)isms*流權(quán)負(fù)出人“流k負(fù)心人”足業(yè)務(wù)流ww碗川系統(tǒng)聯(lián)系人. 此人負(fù)ji炎派江務(wù)和處理（2經(jīng)披分妃刊該業(yè)務(wù)流 程內(nèi)的信息。isms范陽(yáng)所涉及的部ij代衣相關(guān)部門代表可以提供執(zhí)行風(fēng)險(xiǎn)評(píng)估和實(shí)施校制措施的決定其它相關(guān)方所需要的其它相關(guān)方足風(fēng)險(xiǎn)if估和控制措施的實(shí)施的負(fù)貞人。例如過(guò)稈負(fù)貞人和成用系統(tǒng)專家。這將相關(guān)方1、<嬰特別地進(jìn)行定義，以女持管殫片 對(duì)實(shí)施isms的批準(zhǔn)過(guò)程。埼訓(xùn)師培訓(xùn)師實(shí)施培訓(xùn)和*傳計(jì)劃*ju 1:迂的佶息安令角色和山仃:為了在讓、>.規(guī)劃小泔時(shí)獲wie確的經(jīng)驗(yàn)，本階段沌解決外部成內(nèi)部的hkftiuu為 了獲w份介判的isms實(shí)施批準(zhǔn)義件，通常的怙況卜«

34、嫂與11它角色汾論，例如，為了準(zhǔn)ftisms批袱i件，關(guān)鍵流w的“流wftis人” 4能足一個(gè)盂要進(jìn)行iffi討的ft色.此外.風(fēng)險(xiǎn)抒估是在isms實(shí)施屮執(zhí)行.因此.為r識(shí)別、分析和vr價(jià)風(fēng)險(xiǎn)，需嬰識(shí)別isms 范ih所包括的部門和這呰部門的代衣av:加入到isms實(shí)施成。因此.w別isms范ih所包粘的部這些sun的衫勺代農(nóng)2；嬰進(jìn)行iu別、分析和vt價(jià)風(fēng) 險(xiǎn)。這苧部u不漢wisms范111所包m的良接中位.ifii且也包w問(wèn)接部u.沾如法法怵部fj和 行政部門*例如:為了實(shí)施包括 切的“管理”，需要人力資源部的代表。5.4創(chuàng)建業(yè)務(wù)框架與項(xiàng)目啟動(dòng)創(chuàng)1£仆務(wù)枳架1初始項(xiàng)h計(jì)劃，收集r

35、管現(xiàn)批準(zhǔn)文件中的作為-個(gè)以往活動(dòng)結(jié)果的業(yè)務(wù)框架，實(shí)施指南業(yè)務(wù)w鈀初始項(xiàng)h啟動(dòng)叫包括己佔(zhàn)鋝的時(shí)叫計(jì)劃和本f小準(zhǔn)第6章-第9$所述的+:嬰活 動(dòng)所苫耍的資源.在本階段的收務(wù)據(jù)®屮.不葉能很詳細(xì)說(shuō)明.w為i午多w索仍然足未知的. 所以柯佔(zhàn)計(jì)未來(lái)將執(zhí)行的活動(dòng)。這個(gè)文件作為項(xiàng)h柚礎(chǔ)，而m還確保符理荇對(duì)isms'i施所冗 耍的資源的承諾和批準(zhǔn)。實(shí)施isms的收務(wù)樞架吋以由以卜主題組成：離fehfe: 特殊h標(biāo)： 關(guān)鍵流w: 己妗定義的角色和由任： 實(shí)施組織； 丈施考慮少項(xiàng)： 假定的吋分開(kāi)個(gè)階段.如本w準(zhǔn)所捉出的： 假定的成木wk；己經(jīng)定義的關(guān)鈹?shù)某晒索.仵符押.片批準(zhǔn)之后，av:制定一

36、個(gè)洋細(xì)的項(xiàng)ii計(jì)劃，包本標(biāo)準(zhǔn)第6章-9爭(zhēng)所述的各個(gè)階 段的相關(guān)活動(dòng).第10章包含控制措施的實(shí)施。馳此活動(dòng)的輸出產(chǎn)生一個(gè)饤又收»框®與初始項(xiàng)uaj動(dòng)的文件.其它信息卜個(gè)條款提供史多符理所w嬰的關(guān)鍵成功w桊的細(xì)p*5. 5獲得符理者對(duì)實(shí)施isms的正式批準(zhǔn)和承諾獲得管w /!對(duì)實(shí)施isms的批準(zhǔn)和承諾魅此活動(dòng)的輸入為處務(wù)桐架和項(xiàng)11沿動(dòng)，以及為茯得符砰荇批準(zhǔn)和在isms實(shí)施期問(wèn)保持承 諾而潘耍理解的事情。實(shí)施揞南屯嬰的£定義isms成功實(shí)施的關(guān)鍵因東.因?yàn)檫@足j5嬰的袱則，以増加到業(yè)»il &j作力 與行理論的一部分。對(duì)j丈施isms的決記.

37、4;要的g使實(shí)施人員認(rèn)可這叫isms成功實(shí)施所芯要的關(guān)鍵因蒺。 此i£if屮這叫isms成功實(shí)施和了 wisms的利益所況耍的)t鍵閃介:證明丈施ismsfiie、決 定的過(guò)權(quán)屮.公產(chǎn)生涉及利益的fj關(guān)的兒個(gè)i'ojvs.竹埋這些問(wèn)題及從:««涉及列這些乂鍵的 成功m索.實(shí)施isms叉鍵的成功岡蒺足：a. 管理者承諾符理?!承諸起始織決記丈施isms的嬰并繼纟用isms以w助符殫和發(fā)展業(yè)務(wù)。竹 理荇承諾常常取決r以業(yè)務(wù)術(shù)語(yǔ)所描述的ismsiiw，因此艱嬰的足耍能將仏息安全轉(zhuǎn)化 成業(yè)務(wù)uh:。這対療理有很人關(guān)系。成功的又鍵wa-. 綱n理u的承必包括： 定期

38、憐汽把isms成功實(shí)施與處務(wù)櫚綁的行動(dòng)il劃： 符刊.芥批準(zhǔn)和監(jiān) isms實(shí)施： 為isms次施分獨(dú)，.的頂玆： &bz該組織的關(guān)鍵相關(guān)7/參加的“倌息竹埋安全論.外山流枚負(fù)w人和竹埋 及分擔(dān)運(yùn)作w題： 接受風(fēng)險(xiǎn)級(jí)別之卜和符刊7；決定不采取任何措施時(shí)作ilf接受袱則之i:的 殘余14險(xiǎn)。 允分的和w有技能的isms實(shí)施資源。b. 管理方法竹理萬(wàn)法足一個(gè)實(shí)施isms幣:要的和關(guān)®的成功w蒺。w別足組織問(wèn)活楚理解用色、炎江、 相關(guān)方及k對(duì)法ih®求的符介性，與isms、t施的關(guān)系。此荇押方法g桁按照過(guò)r、方fl、 法ih和制度i衍分、符理或控制組織。它包括定義組織的li

39、t小、了解相關(guān)方及其勺isms的關(guān) 系.(s.0.安全的任務(wù)和職山可概怙為以卜兒點(diǎn)：負(fù)貞倌息安令w-個(gè)飢織的竹珂荇邡®負(fù)« y衫ii織n標(biāo)保修-致的d:確運(yùn)w,他們也負(fù)貞確保 對(duì)jt組織的內(nèi)部勹外部的仿息安全.hjikra ii和組織的炎乳4能/況貨理解的k種諛 飫和izih. tfpmhv明確地農(nóng)明jt負(fù)山什的承芯j|*wao、安個(gè)對(duì)所介mt的小:如災(zāi)創(chuàng)注的ismsrtw個(gè)扣織的一部分，那么這個(gè)成功rit所授權(quán)負(fù)* 的領(lǐng)域。結(jié)介仏總安令在飢織的所仏業(yè)務(wù)w動(dòng)屮，包括f/f/i息處押和使用f,7息技術(shù)的m約定.都心考 慮3息安全和適當(dāng)結(jié)合倌息安全。這怠味例如.當(dāng)訣得n以及當(dāng)沒(méi)

40、計(jì)業(yè)務(wù)流稈和培 訓(xùn)m工時(shí).應(yīng)考慮信息安全。 竹現(xiàn)和維護(hù)倍息安全tf ?ll fiw確w信息安令（ishf務(wù)的di什和權(quán)力1砰地分適3知識(shí)的人w, 并被所fjistll關(guān)t作的人員技受.這包括： 開(kāi)發(fā)、實(shí)施和維護(hù)is®略： w險(xiǎn)w別.k險(xiǎn)if估和14險(xiǎn)竹艸: 捉供充分資源以i持和fi'is r作。 讓立4實(shí)現(xiàn)的lu小在ismsiytll!內(nèi)，的hwhv做出很好的規(guī)定.并峭ic件說(shuō)明紐織的4:耍r杯 的關(guān)系。的明礎(chǔ)地描述這些安全life如m支持完成主©ii的和業(yè)務(wù)ilk。這些 關(guān)系腳足吋信任的，由此進(jìn)行的沽幼成是現(xiàn)實(shí)的和可實(shí)現(xiàn)的.信息安全成本利益分析了解收務(wù)流枵、資產(chǎn)和

41、任務(wù)對(duì)信息處理的依賴性足必®的，這祥可以選擇適當(dāng)?shù)男?息安令挖制措施以及tf砰和推護(hù)isms的變施。 投范角色的作川在涉及到ft息安傘時(shí).衿押？jhv起悅范帶頭作用。這耍求鈐除jt它講怡外也嬰 執(zhí)行所介桁定的安全規(guī)租和參與坫訓(xùn)私宵。c. 財(cái)務(wù)方面的考慮w務(wù)/hftf的*?ls也te汄?yàn)樽愦问﹊smsx;ffl的成功wi特別足州織從適3的機(jī)制以監(jiān) 控：奉對(duì)isms實(shí)施和竹理的投資冋?qǐng)?bào)： 介業(yè)務(wù)的安全®略或維護(hù)isms火敗的成本。d. 行業(yè)/部門特殊考慮實(shí)施isms關(guān)鍵的成功w系也hv包w考慮特殊的行仆（或部門）杯準(zhǔn)和與扣織的、lk務(wù)相關(guān) 的衍導(dǎo)方針。中:要的是嬰認(rèn)nj規(guī)章的環(huán)

42、境和耑嬰如何實(shí)施isms以支持lk務(wù)運(yùn)行。x.j f與部門 特殊文件和isms*小準(zhǔn)族打關(guān)的j/j外信息uj參芩iso/iec 27000.e. 風(fēng)險(xiǎn)方面的考慮14險(xiǎn)方而的務(wù)慮足一個(gè)又鍵的成功w尜。ismsffilm內(nèi)的風(fēng)險(xiǎn)倌息和為把這鴒風(fēng)險(xiǎn)降低到 4接受級(jí)別的拎制措施hy:認(rèn)得符押？；刺點(diǎn)和批準(zhǔn)作這個(gè)階段./奶1:總if價(jià)仏息安個(gè)風(fēng) 險(xiǎn)如何勹現(xiàn)川4險(xiǎn)竹理流權(quán)相比進(jìn)行處現(xiàn)和叫以込判的"j能收獲.f. 組織內(nèi)合作和與其它組織合作組織內(nèi)介作和跨組織介作時(shí)isms'i施足一個(gè)屮:貶的關(guān)鍵成功w秦.特別以卜1被vr屮 和解決： rtd介現(xiàn)有的安全"針，指南和指4書： 跨組織

43、的聯(lián)系和冰佔(zhàn)isms成功的/法： 滿足相關(guān)方關(guān)汴少立所芯®的安全嬰求。s.認(rèn)可變更或更新的需要另一個(gè)屯®的成功因系足汄nnsmsig®變史或史新時(shí)的能力.h.利益相關(guān)方牽涉事宜如所定義的不m利益的相又方及u:對(duì)成功的isms的觀點(diǎn)w足處芩慮的衫亢.這苧現(xiàn)點(diǎn)可以適： 打關(guān)佶息安個(gè)仆結(jié)的報(bào)？:（包括呔施項(xiàng)m的結(jié)果）: dl安令的成木： 得到的佶息安全利益。進(jìn)一步的利ilifll關(guān)介介涉h'w.加以解決.w為他f門的帝涉-mrtnr能住以卜/jiftiimt 實(shí)阽的實(shí)施： 作為isms實(shí)施籌劃指好5員會(huì)的一部分： 通過(guò)在其它運(yùn)作活動(dòng)捉出信息安全的呎嬰性，展示他們

44、的興趣。輸出這個(gè)ffi動(dòng)的輸出和這個(gè)階段的結(jié)果對(duì)it它義件足又®的.這足也接收形成義件的r?現(xiàn)？; 對(duì)實(shí)施isms的ie入批吡和承也本砍所述的xue的成功w紊為成功實(shí)施isms捉供/燈尺如何 獲保持竹砰ft的支持以及考慮的少而的進(jìn)一步細(xì)w.其它倌息-# -6定義isms范圍和isms方針6.1定義isms范圍和isms方針的概要nw： 定義isms的范|li|邊界： 獲扮對(duì)isms方針的m意。參見(jiàn) iso/iec 27001： 4.2.1 a), b)假龍竹列荇已擇批準(zhǔn)和支撲實(shí)施isms* ffl 1展示isms范|科和isms ml的邊義槪要。4 isms范|i1和isms z/t

45、f的定義槪鉭為實(shí)現(xiàn)本階段的iii小.f:奴的助沒(méi)ii該組織的信息安全竹埋體系及w邊界 和相x流w的i：持性信息。1. 為讓盔isms收叱g息o分析該組織的卟務(wù)以定義isms的范ih和邊界及kz/1i。從4k務(wù)的觀點(diǎn).述立 isms的支w性«息叫在本階段全捏進(jìn)ir收集。位息碗（1括：關(guān)鍵4k務(wù)流fih物理壞境： 組織結(jié)構(gòu)。2. 定義isms的范m和邊界o wik'twti的決定和i.述分析所收災(zāi)的g息定義isms的范im和邊界。為丫介:外1織內(nèi)個(gè)燈效的竹押體系，isms的通過(guò)*5慮指i小件卟務(wù)的尺 鍵倌息資產(chǎn)曲做出決定。為了確漢關(guān)鍵業(yè)務(wù)領(lǐng)域妓包介作這個(gè)范im之內(nèi)，/i:i只別位

46、息資產(chǎn)和 vt估"f行的安企機(jī)制方而it:/:-個(gè)共同術(shù)訪.農(nóng)和系統(tǒng)框®也足吸耍的共同框兜能ft s溝通 并使致的理解能夠w穿所燈實(shí)施階段.也nj能定義個(gè)企業(yè)作為isms的范111或業(yè)務(wù)部門 的部分作為isms的范圍。正如為客戶提供“眼務(wù)”的情況，跨職能的管理體系（整個(gè)部門 或部門的-部分）14以成力isms的范ih，如冋俎織結(jié)構(gòu)的一些部門的yf xn理制度。 在定義isms的范ni時(shí).瓜要的e要a個(gè)宂全的竹理體系mt邊界要足夠沽絕以進(jìn)行 邏祖解籽。isms的范|11和邊界詠合砰地進(jìn)行定義。實(shí)施isms的作量取決r范圍大小，這也可影_維護(hù)倌息安全的所有活動(dòng)，控制 措施、符理

47、運(yùn)行和任務(wù)，例如w別佶息資產(chǎn)和風(fēng)陰vr佔(zhàn)。被排除出isms范«的任何輔極 加以解杼.6. 2定義組織的邊界定義組織的業(yè)務(wù)的邊界.組織和isms處埋的資產(chǎn)唞立.»a 5.3活動(dòng)的轅出-管理者關(guān)于離層isms范9 （析如整個(gè)組織、_1域、過(guò)w領(lǐng) 域）的正式?jīng)Q定。實(shí)施指南定義組織的邊界的、個(gè)方法e: u!別在組織內(nèi)不相氓旮的山任范h1.這叫包介關(guān)smk務(wù) 資產(chǎn)成受關(guān)鍵業(yè)務(wù)流權(quán)影響的a fliuth披選擇作為在isms控制卜的該組織的區(qū)域 3采川 這個(gè)方法時(shí)，a;®考慮以下邡宜： 參1j isms竹秤論壇的各都將受到影響： 負(fù)貨isms的管埋荇應(yīng)其木i.k所有受賁任影響范

48、ih的負(fù)貴人（例如飢織結(jié)構(gòu)的t jj: 范im和邊界進(jìn)b記義.以確所j+1ix的資廣:迮風(fēng)險(xiǎn)汴佔(zhàn)屮波冬慮到m處現(xiàn)可能通過(guò)這叫邊界產(chǎn)卞的ml險(xiǎn)（見(jiàn)iso/iec 27005）: 對(duì)h11織，范m/、v.進(jìn)打定義，以能夠在該范m內(nèi)現(xiàn)實(shí)ismspdca網(wǎng)環(huán)*例411，一部分 未管理的組織不適介這個(gè)范m.無(wú) isms組織邊界的描述，包w部分組織被誹除出isms范鬧的任何正當(dāng)理由： 組織的功能和結(jié)構(gòu)： 通過(guò)邊界的佶息資產(chǎn)和信息交換： 范ih之內(nèi)和范之外的位息資產(chǎn)的卟務(wù)流w和以仃。其它信息6. 3定義信息通信技術(shù)邊界活動(dòng)記義isms所tl介的t；mij通g技木和其它技術(shù)的邊界，輸入 5.3沽動(dòng)的輸出-行砰

49、ft關(guān)f高e isms范例如：在汛織的控制之卜_的所有 ict. i：仆特殊4k務(wù)成過(guò)柙的部分ict的ie式?jīng)Q定.實(shí)施指南ict邊界的定義可以通過(guò)倍息系統(tǒng)（不足n系統(tǒng)）方法進(jìn)行識(shí)別.處現(xiàn)或代輸關(guān)鍵收務(wù)信 總資產(chǎn)的所有信息系統(tǒng)或關(guān)鍵的信息系統(tǒng)都應(yīng)1h入isms范闈，以卜求宜足w該考慮的： 仏息系統(tǒng)4以跨越av:進(jìn)結(jié)介與溝通的組織的邊界： 當(dāng)佶息系統(tǒng)跨越該組織的邊界或邊界時(shí).hv名慮以卜irft: o社會(huì)文化環(huán)境;0適用尸該組織的法律，法規(guī)和合同想求:0關(guān)鍵貞任的說(shuō)明：o技術(shù)約束（例！bi: 0t用的帶寬和服務(wù)的可用性等）. 龍 isms的ict辺界的描述.包括在該組織tf埋卜的ict波作除出is

50、ms的任何正當(dāng)性理由。 范ih之內(nèi)的和ffilh之外的位總系統(tǒng)fihwum絡(luò)的描述.其它信息6. 4定義物理邊界活動(dòng)記義isms所的場(chǎng)所alhi的物理邊界.， 5.3活動(dòng)的輸出-管理?關(guān)f島g isms范|fl （例如在組織的掠制之下的所打場(chǎng) 所，女持w殊4k務(wù)或過(guò)r的部分場(chǎng)所）的正式?jīng)Q定.實(shí)施指南物理邊界的定義towui別成w rismsitm的組織內(nèi)的辻筑物.場(chǎng)聽(tīng)成s施，處押跨越 物理邊界的信息系統(tǒng)足很s雜的，這浠要：0移動(dòng)訪問(wèn)：0遠(yuǎn)稅沒(méi)施：0簽？第三方服務(wù)：0無(wú)線網(wǎng)路。這叫問(wèn)題通過(guò)定義坫當(dāng)?shù)慕鏸fti和服務(wù)足次加以解決。輸出 isms物砰邊界的描述改泔織rm卜的物押邊界被排除出isms

51、ffiiq的fhie-i 性理由. 范ih之內(nèi)的filffilh之外的31織及u:地理特征的描述。其它倍息6. 5完成isms范圍邊界活動(dòng)編寫isms范圍和邊界文件.»a 5.3活動(dòng)的輸出-竹那芥關(guān)的ip:式?jīng)Q定。 6.2活動(dòng)的輸出-組織邊界的定義： 6.3活動(dòng)的輸出-ict邊界的屯義； 6.4活動(dòng)的輸出-物砰邊界的定義。實(shí)施指南在定義isms范的時(shí)候.這些范鬧和邊界吋以以許多方法介并在一起。例如：物理場(chǎng) 所（如辻筑物、數(shù)據(jù)屮心成辦公室）和這個(gè)物理場(chǎng)所的關(guān)鍵流程w井入該范鬧內(nèi)。佶總系統(tǒng) 的移動(dòng)訪問(wèn)就足一個(gè)例子。輸出 描還isms范鬧和辺界的義件，包括以卜佶息：0組織的業(yè)務(wù)特性（4k務(wù)

52、，服務(wù)、資產(chǎn)和毎 個(gè)資產(chǎn)的責(zé)任范鬧和邊界等的說(shuō)明書）: o關(guān)鍵收務(wù)流w列衣：0組織的功能和鈷構(gòu)文件: o場(chǎng)所和樓尼位will:o沒(méi)落和叫絡(luò)的w芮：o資產(chǎn)列表:0任何tt:除出isms范m的正？1性fl!由的詳細(xì)說(shuō)明。其它信息6. 6開(kāi)發(fā)isms方針活動(dòng)開(kāi)發(fā)初始的isms方針。為了為組織w供位息安全竹現(xiàn)的木觀念，ismsmi足必須的。zmi文件也捉供一個(gè)點(diǎn) 閣聲明，衍出組織承枳佶息安全耍求的！k任， 5.4活動(dòng)的輸出-收務(wù)耍求和倌息安全徭求： 5.4活動(dòng)的輸出-實(shí)施isms的u標(biāo)： 5.4活動(dòng)的輸出-isms實(shí)施的項(xiàng)目計(jì)劃（包括各個(gè)重要堺件，如執(zhí)行風(fēng)險(xiǎn)評(píng)估、實(shí) 施、內(nèi)部審核和餼理評(píng)審）。實(shí)施指南

53、定義isms"針的過(guò)程如f:a- ill戰(zhàn) p組織的業(yè)務(wù)®求和仏息安全況求的isms i it小。b.為實(shí)現(xiàn)ismsii標(biāo)的一般焦點(diǎn)和ifilthe. 芩18收務(wù)粗求.法休法規(guī)耍求和合冋安個(gè)義務(wù)：d. 袱備組織和14瞼竹現(xiàn)的壞境：e. 迖，uf價(jià)14險(xiǎn)和記義風(fēng)險(xiǎn)lftt結(jié)構(gòu)的準(zhǔn)則：f. 的山仃:，以確保倌息安傘符押的迆：g. 獲得宵理齊支持。從初始階段jm理者批準(zhǔn)所幵發(fā)的ismszz針疫能反映isms流程（ftllla險(xiǎn)if佔(zhàn)）的結(jié)架。 馳 竹押.核淮的切始的isms打針包穴以卜內(nèi)作：0 ismshfefll組織x4isms的衍示：0行又倍息安全的總方向和原則：0 14階冰

54、佔(zhàn)巧慮的汛織的壞境和項(xiàng)h:0 14階竹砰的風(fēng)險(xiǎn)結(jié)構(gòu)if估汛則：0業(yè)務(wù)贄求： 0法怍或法規(guī)®求:0介同安全義務(wù)。其它倌息 29 -7進(jìn)行業(yè)務(wù)分析7.1業(yè)務(wù)分析概要目標(biāo): 收® isms支持的相關(guān)盂求： 收集當(dāng)前isms范w內(nèi)的佶總安全狀況 創(chuàng)讓信息資產(chǎn)消單。 參芩 iso/iec 27001ik定竹刊.層批袱實(shí)施isms，并定義了 isms的范舊和isms的/針。定義支持isms的位以安全婪求35ffl5： 4k務(wù)分析階段的慨粗通過(guò)4k務(wù)分折階段所收犯的g息av:包捎：a. 力w理汽提供-個(gè)起（幵始）點(diǎn)（即le確的基本數(shù)據(jù)）：b. u!別沖記朵實(shí)施的條件：c. 提供-個(gè)淸晰的

55、并確認(rèn)埋解的組織沒(méi)施。d. 考慮組織的特殊環(huán)境及形勢(shì)：e. ui別信息保護(hù)iiwfll的級(jí)別：f. 作所定義的丈施范im內(nèi).確定支持企處所®要的個(gè)部或部分f/j息。業(yè)務(wù)分析h以在個(gè)選記的部門范剛內(nèi)進(jìn)in （11至少應(yīng)在所捉議的fn.q/£n理體系所 i義的范ih內(nèi)i!hj。7. 2定義支持isms的信息安全要求飜讓jzisms佶息安全要求。»a 6. 5活動(dòng)的輸出-isms的范ih和邊界： 6.6活動(dòng)的輸出-isms方針： 5.4活動(dòng)的輸出-業(yè)務(wù)®求和位息安全嬰： 5.4活動(dòng)的輸出-文施isms的丨|標(biāo)： is0/iec27001； is0/iec27002。實(shí)鮪指南從41么isms的ik務(wù)觀點(diǎn)，分析相織的收務(wù)怙況和收識(shí)iw仿息.isms的im十mtihvrt:仆務(wù)分析階段的弟一少進(jìn)行收災(zāi).對(duì)r付一個(gè)仆務(wù)流r和w殊汀 芯耍根據(jù)（*息|r要性（比如：盂®保護(hù)的級(jí)別）而做出決定。i午多內(nèi)部pu;«im能影響信 息安全.這苧內(nèi)部w索bv加以i只別。在此階段的初.作細(xì)描述仿息技水個(gè)足if:從的.對(duì)p業(yè) 務(wù)a枵和相關(guān)的rrw用及系統(tǒng).輔一個(gè)所分析的飴息的w本槪耍.業(yè)齊流s的分析鬧述了信息安全tt