信息安全技術(shù) 信息安全管理體系 要求 征求意見稿

1GB/T22080—XXXX/ISO/IEC27001:2022信息安全技術(shù)信息安全管理體系要求本文件規(guī)定了在組織環(huán)境下建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求。本文件還包括了根據(jù)組織需求所剪裁的信息安全風(fēng)險評估和處置的要求。本文件規(guī)定的要求是通用的，適用于各種類型、規(guī)?；蛐再|(zhì)的組織。當(dāng)組織聲稱符合本文件時，第4章到第10章中規(guī)定的任何要求都是不能排除的。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。ISO/IEC27000信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯（Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary）注：GB/T29246—202X信息安全技術(shù)信息安全管理體系概述和詞匯（ISO/IEC270003術(shù)語和定義ISO/IEC27000界定的術(shù)語和定義適用于本文件。ISO和IEC維護(hù)用于標(biāo)準(zhǔn)化的術(shù)語數(shù)據(jù)庫，地址如下：——ISO在線瀏覽平臺：/obp——IEC電子百科：4組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)的，且影響其實現(xiàn)信息安全管理體系預(yù)期結(jié)果能力的外部和內(nèi)部事項。注：對這些事項的確定，見GB/T24353-2022中5.4.1建立外部和內(nèi)部環(huán)境的內(nèi)容。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：a)信息安全管理體系的相關(guān)方；b)這些相關(guān)方的有關(guān)要求；c)哪些要求將通過信息安全管理體系予以解決。4.3確定信息安全管理體系范圍2GB/T22080—XXXX/ISO/IEC27001:2022組織應(yīng)確定信息安全管理體系的邊界及其適用性，以建立其范圍。組織應(yīng)根據(jù)以下內(nèi)容確定信息安全管理體系范圍：a)4.1中提到的外部和內(nèi)部事項；b)4.2中提到的要求；c)組織實施的活動與其他組織實施的活動之間的接口和依賴關(guān)系。范圍應(yīng)形成文件化信息并可用。4.4信息安全管理體系組織應(yīng)按照本文件的要求，建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系，包括所需的過程及其相互作用。5領(lǐng)導(dǎo)5.1領(lǐng)導(dǎo)和承諾最高管理層應(yīng)通過以下活動，證實其對信息安全管理體系的領(lǐng)導(dǎo)和承諾：a)確保建立了信息安全方針和信息安全目標(biāo)，并與組織戰(zhàn)略方向一致；b)確保將信息安全管理體系要求整合到組織過程中；c)確保信息安全管理體系所需資源可用；d)溝通有效的信息安全管理和符合信息安全管理體系要求的重要性；e)確保信息安全管理體系達(dá)到預(yù)期結(jié)果；f)指導(dǎo)并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn)；g)促進(jìn)持續(xù)改進(jìn)；h)支持其他相關(guān)管理角色，以證實其在職責(zé)范圍內(nèi)的領(lǐng)導(dǎo)。5.2方針最高管理層應(yīng)建立信息安全方針，該方針應(yīng)：a)與組織的宗旨相適宜；b)包括信息安全目標(biāo)（見6.2）或為設(shè)定信息安全目標(biāo)提供框架；c)包括對滿足適用的信息安全相關(guān)要求的承諾；d)包括對持續(xù)改進(jìn)信息安全管理體系的承諾。信息安全方針應(yīng)：e)形成文件化信息并可用；f)在組織內(nèi)得到溝通；g)適當(dāng)時，對相關(guān)方可用。5.3組織的角色、責(zé)任和權(quán)限最高管理層應(yīng)確保與信息安全相關(guān)角色的責(zé)任和權(quán)限在組織內(nèi)得到分配和溝通。最高管理層應(yīng)分配責(zé)任和權(quán)限，以便：a)確保信息安全管理體系符合本文件的要求；3GB/T22080—XXXX/ISO/IEC27001:2022b)向其報告信息安全管理體系績效。注：最高管理層也能在組織內(nèi)分配報告信息安全管理體系績效的責(zé)任和權(quán)限。6規(guī)劃6.1應(yīng)對風(fēng)險和機會的措施6.1.1總則當(dāng)規(guī)劃信息安全管理體系時，組織應(yīng)根據(jù)4.1中提到的事項和4.2中提到的要求，確定需要應(yīng)對的風(fēng)險和機會，以便：a)確保信息安全管理體系可達(dá)到預(yù)期結(jié)果；b)預(yù)防或減少不良影響；c)達(dá)到持續(xù)改進(jìn)。組織應(yīng)規(guī)劃：d)應(yīng)對這些風(fēng)險和機會的措施；e)如何：1)將這些措施整合到信息安全管理體系過程中，并予以實現(xiàn)；2)評價這些措施的有效性。6.1.2信息安全風(fēng)險評估組織應(yīng)定義并應(yīng)用信息安全風(fēng)險評估過程，以便：a)建立并維護(hù)信息安全風(fēng)險準(zhǔn)則，包括:1)風(fēng)險接受準(zhǔn)則；2)信息安全風(fēng)險評估實施準(zhǔn)則。b)確保重復(fù)實施的信息安全風(fēng)險評估能產(chǎn)生一致的、有效的和可比較的結(jié)果；c)識別信息安全風(fēng)險：1)應(yīng)用信息安全風(fēng)險評估過程，以識別信息安全管理體系范圍內(nèi)與信息保密性、完整性和可用性損失有關(guān)的風(fēng)險；2)識別風(fēng)險責(zé)任人；d)分析信息安全風(fēng)險：1)評估6.1.2c)1)中所識別的風(fēng)險發(fā)生后，可能導(dǎo)致的潛在后果；2)評估6.1.2c)1)中所識別的風(fēng)險實際發(fā)生的可能性；3)確定風(fēng)險級別；e)評價信息安全風(fēng)險：1)將風(fēng)險分析結(jié)果與6.1.2a)中建立的風(fēng)險準(zhǔn)則進(jìn)行比較；2)對已分析的風(fēng)險進(jìn)行風(fēng)險處置優(yōu)先級排序。組織應(yīng)保留有關(guān)信息安全風(fēng)險評估過程的文件化信息。6.1.3信息安全風(fēng)險處置組織應(yīng)定義并應(yīng)用信息安全風(fēng)險處置過程，以便：a)在考慮風(fēng)險評估結(jié)果的基礎(chǔ)上，選擇適合的信息安全風(fēng)險處置選項；4GB/T22080—XXXX/ISO/IEC27001:2022b)確定實現(xiàn)已選的信息安全風(fēng)險處置選項所必需的所有控制；c)將6.1.3b)確定的控制與附錄A中的控制進(jìn)行比較，并驗證沒有遺漏必要的控制；d)制定適用性聲明，其包含：——必要的控制[見6.1.3b）和c）]；——選擇這些控制的合理性說明；——必要的控制是否已實現(xiàn)；——刪減附錄A中控制的合理性說明。e)制定正式的信息安全風(fēng)險處置計劃；f)獲得風(fēng)險責(zé)任人對信息安全風(fēng)險處置計劃以及對信息安全殘余風(fēng)險的接受的批準(zhǔn)。組織應(yīng)保留有關(guān)信息安全風(fēng)險處置過程的文件化信息。注4：本文件中的信息安全風(fēng)險評估和處置過程與GB/T24353中給出的原則和通用指南相一致。6.2信息安全目標(biāo)及其實現(xiàn)規(guī)劃組織應(yīng)在相關(guān)職能和層級上建立信息安全目標(biāo)。信息安全目標(biāo)應(yīng)：a)與信息安全方針一致；b)可測量（如可行）；c)考慮適用的信息安全要求，以及風(fēng)險評估和風(fēng)險處置的結(jié)果；d)得到監(jiān)視；e)得到溝通；f)適當(dāng)時予以更新；g)形成文件化信息且可用。組織應(yīng)保留有關(guān)信息安全目標(biāo)的文件化信息。在規(guī)劃如何達(dá)到信息安全目標(biāo)時，組織應(yīng)確定：h)要做什么；i)需要什么資源；k)何時完成；l)如何評價結(jié)果。6.3針對變更的規(guī)劃當(dāng)組織確定需要變更信息安全管理體系時，應(yīng)對這些變更的實施進(jìn)行規(guī)劃。7.1資源組織應(yīng)確定并提供建立、實現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系所需的資源。5GB/T22080—XXXX/ISO/IEC27001:20227.2能力組織應(yīng)：a)確定在組織控制下工作且其工作會影響組織信息安全績效的人員的必要能力；b)確保上述人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗的基礎(chǔ)上能夠勝任其工作；c)適用時，采取措施以獲得必要的能力，并評估所采取措施的有效性；d)保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。注：適用的措施包括：例如，針對現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配工作；雇傭或簽約有能力的人員。7.3意識在組織控制下工作的人員應(yīng)了解：a)信息安全方針；b)其對信息安全管理體系有效性的貢獻(xiàn)，包括改善信息安全績效帶來的益處；c)不符合信息安全管理體系要求帶來的影響。7.4溝通組織應(yīng)確定與信息安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：a)溝通什么；b)何時溝通；c)與誰溝通；d)如何溝通。7.5文件化信息7.5.1總則組織的信息安全管理體系應(yīng)包括：a)本文件要求的文件化信息；b)組織所確定的、對于信息安全管理體系有效性所必需的文件化信息。注：不同組織有關(guān)信息安全管理體系文件化信息的詳略程度可能是不同的，這是由于：1)組織的規(guī)模及其活動、過程、產(chǎn)品和服務(wù)的類型；2)過程及其相互作用的復(fù)雜性；7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時，組織應(yīng)確保適當(dāng)?shù)模篴)標(biāo)識和描述（例如，標(biāo)題、日期、作者或引用編號）；b)格式（例如，語言、軟件版本、圖表）和介質(zhì)（例如，紙質(zhì)的、電子的c)對適宜性和充分性的評審和批準(zhǔn)。7.5.3文件化信息的控制信息安全管理體系及本文件所要求的文件化信息應(yīng)得到控制，以確保其：a)在需要的地點和時間，是可用的和適宜使用的；6GB/T22080—XXXX/ISO/IEC27001:2022b)得到充分的保護(hù)（例如，避免保密性損失、不恰當(dāng)使用、完整性損失）。為控制文件化信息，適用時，組織應(yīng)強調(diào)以下活動：c)分發(fā)、訪問、檢索和使用；注：訪問隱含著僅允許瀏覽文件化信息，或允許并授權(quán)瀏覽和更改文件化信息等的決定。d)存儲和保護(hù)，包括保持可讀性；e)對變更的控制（例如，版本控制）；f)保留和處理。組織確定的、為規(guī)劃和運行信息安全管理體系所必需的外來的文件化信息，應(yīng)得到適當(dāng)?shù)淖R別，并予以控制。8運行8.1運行規(guī)劃和控制為了滿足要求并實現(xiàn)第6章中確定的措施，組織應(yīng)通過以下方式來規(guī)劃、實現(xiàn)和控制所需要的過程：——建立過程的準(zhǔn)則；——根據(jù)準(zhǔn)則實現(xiàn)對過程的控制。文件化信息應(yīng)可用，其程度足以確信這些過程按計劃得到執(zhí)行。組織應(yīng)控制計劃內(nèi)的變更并評審非預(yù)期變更的后果，必要時采取措施減輕任何負(fù)面影響。組織應(yīng)確保由外部提供的與信息安全管理體系有關(guān)的過程、產(chǎn)品或服務(wù)是受控的。8.2信息安全風(fēng)險評估組織應(yīng)依據(jù)6.1.2a)所建立的準(zhǔn)則，按計劃的時間間隔，或當(dāng)重大變更提出或發(fā)生時，執(zhí)行信息安全風(fēng)險評估。組織應(yīng)保留信息安全風(fēng)險評估結(jié)果的文件化信息。8.3信息安全風(fēng)險處置組織應(yīng)實現(xiàn)信息安全風(fēng)險處置計劃。組織應(yīng)保留信息安全風(fēng)險處置結(jié)果的文件化信息。9績效評價9.1監(jiān)視、測量、分析和評價組織應(yīng)確定：a)需要被監(jiān)視和測量的內(nèi)容，包括信息安全過程和控制；b)適用的監(jiān)視、測量、分析和評價的方法，以確保得到有效的結(jié)果。所選的方法宜產(chǎn)生可比較和可再現(xiàn)的結(jié)果，才會被視為有效。c)何時應(yīng)執(zhí)行監(jiān)視和測量；d)誰應(yīng)監(jiān)視和測量；7GB/T22080—XXXX/ISO/IEC27001:2022e)何時應(yīng)分析和評價監(jiān)視和測量的結(jié)果；f)誰應(yīng)分析和評價這些結(jié)果。作為結(jié)果證據(jù)的文件化信息應(yīng)可用。組織應(yīng)評價信息安全績效和信息安全管理體系的有效性。9.2內(nèi)部審核9.2.1總則組織應(yīng)按計劃的時間間隔進(jìn)行內(nèi)部審核，以提供下列相關(guān)信息：a)信息安全管理體系是否符合：1)組織自身對信息安全管理體系的要求；2)本文件的要求。b)信息安全管理體系是否得到有效實現(xiàn)和維護(hù)。9.2.2內(nèi)部審核方案組織應(yīng)規(guī)劃、建立、實現(xiàn)和維護(hù)審核方案（一個或多個），包括審核頻次、方法、責(zé)任、規(guī)劃要求和報告。組織根據(jù)相關(guān)過程的重要性和以往審核的結(jié)果，建立審核方案。組織應(yīng)：a)定義每次審核的審核準(zhǔn)則和范圍；b)選擇審核員并實施審核，確保審核過程的客觀性和公正性；c)確保將審核結(jié)果報告至相關(guān)管理者。作為審核方案實施和審核結(jié)果證據(jù)的文件化信息應(yīng)可用。9.3管理評審9.3.1總則最高管理層應(yīng)按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。9.3.2管理評審的輸入管理評審應(yīng)包括下列相關(guān)信息：a)以往管理評審提出的措施的狀態(tài)；b)與信息安全管理體系相關(guān)的外部和內(nèi)部事項的變化；c)信息安全管理體系相關(guān)方的需求和期望的變化；d)有關(guān)信息安全績效的反饋，包括以下方面的趨勢：1)不符合和糾正措施；2)監(jiān)視和測量結(jié)果；3)審核結(jié)果；4)信息安全目標(biāo)完成情況；e)相關(guān)方反饋；8GB/T22080—XXXX/ISO/IEC27001:2022f)風(fēng)險評估結(jié)果及風(fēng)險處置計劃的狀態(tài)；g)持續(xù)改進(jìn)的機會。9.3.3管理評審的結(jié)果管理評審的結(jié)果應(yīng)包括與持續(xù)改進(jìn)機會相關(guān)的決定以及變更信息安全管理體系的任何需求。作為管理評審結(jié)果證據(jù)的文件化信息應(yīng)可用。10.1持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)信息安全管理體系的適宜性、充分性和有效性。10.2不符合與糾正措施當(dāng)發(fā)生不符合時，組織應(yīng)：a)對不符合做出反應(yīng)，適用時：1)采取措施，以控制并予以糾正；2)處理后果；b)通過以下活動，評價采取消除不符合原因的措施的需求，以防止不符合再次發(fā)生或在其他地方發(fā)生：1)評審不符合；2)確定不符合的原因；3)確定類似的不符合是否存在，或是否可能發(fā)生；c)實現(xiàn)任何需要的措施；d)評審任何所采取的糾正措施的有效性；e)必要時，對信息安全管理體系進(jìn)行變更。糾正措施應(yīng)與所發(fā)生的不符合的影響相適合。作為以下證據(jù)的文件化信息應(yīng)可用：f)不符合的性質(zhì)及所采取的任何后續(xù)措施；g)任何糾正措施的結(jié)果。9GB/T22080—XXXX/ISO/IEC27001:2022（規(guī)范性）信息安全控制參考表A.1所列的信息安全控制是直接源自GB/T22081-XXXX[1]第5章到第8章中所列的信息安全控制并與之相一致，應(yīng)與6.1.3一起使用。表A.1信息安全控制應(yīng)定義信息安全方針和特定主題策略，由管理層批準(zhǔn)后發(fā)布人員和相關(guān)方知悉，按計劃的時間間隔以及在發(fā)生重管理層應(yīng)要求所有工作人員根據(jù)組織已建立的信息安組織應(yīng)建立并維護(hù)與特定相關(guān)方或其他專業(yè)安應(yīng)識別、文件化并實施信息及其他相關(guān)資產(chǎn)的可接受適宜時，工作人員和其他相關(guān)方在任用、合同或協(xié)議變更及應(yīng)根據(jù)組織基于保密性、完整性、可用性的信息安全需求以應(yīng)按照組織采用的信息分級方案，制定并實施應(yīng)基于業(yè)務(wù)和信息安全要求，建立和實施信息及其他相關(guān)資應(yīng)通過管理過程控制鑒別信息的分配和管理，包括向工作人應(yīng)根據(jù)組織訪問控制的特定主題策略和規(guī)則來提供、評審、全應(yīng)定義并實施過程和規(guī)程，以管理供應(yīng)商產(chǎn)品或服務(wù)使用應(yīng)根據(jù)供應(yīng)商關(guān)系的類型建立相關(guān)的信息安全要求，并與每個供應(yīng)商達(dá)成應(yīng)定義并實施過程和規(guī)程，以管理與ICT產(chǎn)品和服務(wù)供應(yīng)GB/T22080—XXXX/ISO/IEC27001:2022組織應(yīng)定期監(jiān)視、評審、評價和管理供應(yīng)商信息安應(yīng)根據(jù)組織的信息安全要求，建立云服務(wù)的獲取、使組織應(yīng)通過定義、建立和傳達(dá)信息安全事件管理過程、應(yīng)使用從信息安全事件中得到的知識來加強組織應(yīng)建立并實施包括識別、收集、獲取和保存信息應(yīng)根據(jù)業(yè)務(wù)連續(xù)性目標(biāo)和ICT連續(xù)性要求，策劃、實施、維護(hù)應(yīng)識別、文件化和保持更新與信息安全相關(guān)的法律、法規(guī)、應(yīng)保護(hù)記錄不被丟失、破壞、篡改、未經(jīng)授權(quán)的訪組織管理信息安全的方法及其實現(xiàn)，包括人員、過程和應(yīng)定期評審組織的信息安全方針、特定主題策略、信息處理設(shè)施的操作規(guī)程應(yīng)形成文件，并對有加入組織前，應(yīng)對所有工作人員的候選人進(jìn)行背景審查，并訓(xùn)組織工作人員和相關(guān)方應(yīng)接受適宜的信息安全意識、教作職能相關(guān)的組織信息安全方針、特定主題策略和應(yīng)正式制定違規(guī)處理過程并將之傳達(dá)給工作人員和相關(guān)方，任應(yīng)確定任用終止或變更后仍有效的信息安全責(zé)任及其義務(wù)，應(yīng)識別、文件化、定期評審反映組織信息保護(hù)需求的保密或應(yīng)在工作人員遠(yuǎn)程工作時實施安全措施，以保護(hù)在組織場所組織應(yīng)提供機制，使工作人員通過適當(dāng)渠道及時報告觀GB/T22080—XXXX/ISO/IEC27001:2022應(yīng)對物理和環(huán)境威脅的防范進(jìn)行設(shè)計并予以實施，例如，自應(yīng)定義并適當(dāng)?shù)貓?zhí)行紙質(zhì)和可移動存儲介質(zhì)的桌面清理規(guī)則存儲媒體應(yīng)在其獲取、使用、運輸和處置的整個生命周期內(nèi)，應(yīng)保護(hù)信