ISOIEC27001-2013標(biāo)準(zhǔn)培訓(xùn)教材

ISO/IEC27001-2013

信息技術(shù)-平安技術(shù)-信息平安管理體系-要求CMC高級(jí)參謀張嘉勇溫馨提示

歡迎閣下參加本次會(huì)議，請(qǐng)注意以下的幾點(diǎn)：1.手機(jī)--請(qǐng)將您的手機(jī)設(shè)為靜音或關(guān)閉。2.吸煙--在會(huì)場(chǎng)內(nèi)請(qǐng)不要吸煙。3.其它

--會(huì)議間請(qǐng)不要大聲喧嘩，不要隨意走動(dòng)。目錄ISO/IEC27001根底知識(shí)ISO/IEC27001-2013版信息技術(shù)-平安技術(shù)-信息平安管理體系-要求ISO/IEC27002-2013信息技術(shù)-平安技術(shù)-信息平安控制實(shí)用規(guī)那么新版本附錄A解析文件清單參考什么叫信息平安？為什么要信息平安？需要什么樣的信息平安？需要首先搞清楚的幾個(gè)問(wèn)題什么是信息平安？1、信息平安的概念1.1從平安內(nèi)容進(jìn)行定義〔強(qiáng)調(diào)平安涉及的方面〕：信息平安是與保護(hù)相關(guān)的概念，其目的是保護(hù)組織的資產(chǎn)，至少要包括以下這些方面：管理實(shí)踐，物理平安、人員平安、主機(jī)平安、網(wǎng)絡(luò)平安、通信平安和操作平安等很多方面。什么是信息平安？1.2從平安的屬性進(jìn)行定義〔強(qiáng)調(diào)平安的目標(biāo)〕：保持信息的保密性、完整性、可用性；另外也可包括例如真實(shí)性，可核查性、不可否認(rèn)性和可靠性等。〔GB/T22081-2008〕為什么需要信息平安？ISO/IEC27001根底知識(shí)ISO/IEC27001的起源和演變ISO/IEC27001的起源和演變改版影響新版特點(diǎn)1、易整合：在新版當(dāng)中采用ISO導(dǎo)那么83做結(jié)構(gòu)性要求，這個(gè)結(jié)構(gòu)未來(lái)在ISO其他標(biāo)準(zhǔn)中會(huì)普遍采用。〔ISO22301已應(yīng)用〕信息平安管理體系更容易與其他管理體系進(jìn)行融合。2、新要求：將舊版11個(gè)控制領(lǐng)域拓展到14個(gè)，結(jié)構(gòu)更合理，表現(xiàn)更清晰。將舊版133個(gè)控制項(xiàng)縮減到113個(gè)。對(duì)局部控制項(xiàng)進(jìn)行取消、合并和新增，以反映當(dāng)前信息平安開(kāi)展趨勢(shì)。3、清晰明確：對(duì)舊版一些表述不清晰、不準(zhǔn)確以及重復(fù)的局部控制項(xiàng)予以調(diào)整。國(guó)際標(biāo)準(zhǔn)的未來(lái)趨勢(shì)ISO組織對(duì)管理體系標(biāo)準(zhǔn)在結(jié)構(gòu)、格式、通用短語(yǔ)和定義方面進(jìn)行了統(tǒng)一。這將確保今后編制或修訂管理體系標(biāo)準(zhǔn)的持續(xù)性、整合性和簡(jiǎn)單化，這也將使標(biāo)準(zhǔn)更易讀、易懂。新的框架重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)架構(gòu)ISO導(dǎo)那么83新舊版本正文結(jié)構(gòu)變化舊版新版新版標(biāo)準(zhǔn)正文內(nèi)容plan4組織環(huán)境了解組織背景及現(xiàn)狀理解相關(guān)方的需求和期望ISMS的范圍ISMS5領(lǐng)導(dǎo)力領(lǐng)導(dǎo)作用和承諾方針角色、職責(zé)和授權(quán)6策劃處理風(fēng)險(xiǎn)和機(jī)遇的行動(dòng)實(shí)現(xiàn)ISMS的目標(biāo)和試試計(jì)劃7支持資源能力意識(shí)溝通文件化信息DO8運(yùn)行運(yùn)行計(jì)劃和控制信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)處置Check9績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析、評(píng)價(jià)內(nèi)部審核管理評(píng)審Act10改進(jìn)不符合項(xiàng)與糾正措施持續(xù)改進(jìn)新舊版本附錄A局部的變化為什么要調(diào)整2005版的附錄A1、ISO/IEC27001：2005控制項(xiàng)邏輯性與充分性等方面存在進(jìn)一步改進(jìn)的空間。2、ISO/IEC27001：2005附錄A中，存在分散的、重復(fù)的、不清晰的控制項(xiàng)。如，A6.1.3信息平安職責(zé)分配、A8.1.1角色和職責(zé)。3、ISO/IEC27001：2005附錄A中，存在過(guò)于細(xì)化的操作層面的控制項(xiàng)。如,A12.2.1輸入數(shù)據(jù)的驗(yàn)證、A12.2.2內(nèi)部處理的控制、A12.2.3消息完整性、A12.2.4輸出設(shè)局驗(yàn)證。新舊版本附錄A控制域變化1、從原本的11個(gè)控制域調(diào)整為14個(gè)控制域；2、新增了“密碼學(xué)”、“供給關(guān)系”兩個(gè)控制域；3、將原本的控制域“通信及操作管理”拆分為“操作平安”、“通信平安”兩個(gè)控制域。注意：除新增和拆分的4個(gè)控制域外，其他控制域并非與舊版一一對(duì)應(yīng)。新舊版本附錄A控制項(xiàng)變化控制項(xiàng)從原來(lái)的133項(xiàng)調(diào)整為114項(xiàng)，其中的變化分為5大類：1、沒(méi)有變化，只是調(diào)整了編號(hào)和順序結(jié)構(gòu)；2、變化替代，控制對(duì)象或控制范圍發(fā)生了變化；3、完全刪除，在新版本中取消了該項(xiàng)控制措施；4、合并刪除，在新版本中，有其他控制項(xiàng)覆蓋了其控制內(nèi)容；5、新增，2005版沒(méi)有該項(xiàng)控制措施，2013版新增內(nèi)容。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀01、總那么ISO/IEC27001標(biāo)準(zhǔn)提供給準(zhǔn)備建立、運(yùn)作、維護(hù)、改進(jìn)信息平安管理體系的組織，在設(shè)計(jì)過(guò)程、信息系統(tǒng)、控制措施時(shí)就要考慮信息平安。采用ISO/IEC27001〔ISMS〕應(yīng)是一個(gè)組織的戰(zhàn)略決策。組織ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、平安要求、應(yīng)用的過(guò)程及組織的規(guī)模、結(jié)構(gòu)的影響。ISMS管理體系是通過(guò)適用風(fēng)險(xiǎn)管理過(guò)程來(lái)保護(hù)信息的保密性、完整性、可用性、給相關(guān)方帶來(lái)信心并使風(fēng)險(xiǎn)得到充分管理。標(biāo)準(zhǔn)適用于內(nèi)部、外部，包括認(rèn)證機(jī)構(gòu)，評(píng)估組織的能力是否滿足組織自身信息平安要求。ISO/IEC27000描述的概述詞匯，主要來(lái)源于ISMS標(biāo)準(zhǔn)族〔ISO/IEC27003、ISO/IEC27004、ISO/IEC27005〕定義相干術(shù)語(yǔ)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀02、與其他管理體系標(biāo)準(zhǔn)的兼容性可以與相關(guān)管理體系兼容，如ISO20000D等。本國(guó)際標(biāo)準(zhǔn)適用于高層結(jié)構(gòu)、相同的子章節(jié)標(biāo)題、相同的文本，通用術(shù)語(yǔ)和核心定義。因此保持了與其它采用附錄SL的管理體系標(biāo)準(zhǔn)的相容性。信息技術(shù)-平安技術(shù)-信息平安管理體系-要求1、范圍本標(biāo)準(zhǔn)規(guī)定了從組織的環(huán)境的角度，為建立，實(shí)施、運(yùn)行、保持和持續(xù)改進(jìn)信息平安管理體系規(guī)定了要求。本標(biāo)準(zhǔn)還規(guī)定了為適應(yīng)組織需要而定制的信息平安風(fēng)險(xiǎn)評(píng)估和處置的要求，標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱其符合此國(guó)際標(biāo)準(zhǔn)，但是沒(méi)有到達(dá)第4章至第10章規(guī)定的要求，是不可接受的。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀2、標(biāo)準(zhǔn)性引用以下引用的文件對(duì)于本文件的應(yīng)用是必不可少的。但凡注日期的引用文件，僅引用的版本適用。但凡不注日期的引用文件，其最新版本的參考文件〔包括所有的修改單〕適用。如ISO/IEC27000信息技術(shù)-平安技術(shù)-信息平安管理體系-概述和詞匯；3、術(shù)語(yǔ)和定義ISO/IEC27000的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀4.組織環(huán)境ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀4、組織環(huán)境4.1理解組織及其環(huán)境組織應(yīng)確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息平安管理體系預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題。注：確定這些問(wèn)題是指建立ISO31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)第5.3.1〔5.3.1了解組織及其背景〕考慮外部和內(nèi)部環(huán)境的組織。4.2理解相關(guān)方的需求和期望組織應(yīng)確定：1〕與信息平安管理體系有關(guān)的相關(guān)方；2〕這些相關(guān)方信息平安相關(guān)要求；注：相關(guān)方的要求可能包括法律、監(jiān)管規(guī)定和合同義務(wù)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀4.3確定信息平安管理體系的范圍組織應(yīng)確定信息平安管理體系的邊界和適用性，以建立其范圍。當(dāng)確定其范圍時(shí)，組織應(yīng)考慮：1〕在4.1提及的外部和內(nèi)部的問(wèn)題；2〕在4.2提及的要求；3〕組織所執(zhí)行的活動(dòng)之間以及其它組織的活動(dòng)之間的接口和依賴性。注：范圍應(yīng)文件化并保持可用性。4.4信息平安管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求建立，實(shí)施，保持和持續(xù)改進(jìn)信息平安管理體系。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀

5.領(lǐng)導(dǎo)力ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀5領(lǐng)導(dǎo)力5.1領(lǐng)導(dǎo)力和承諾最高管理者應(yīng)通過(guò)以下方式展示其關(guān)于信息平安管理體系的領(lǐng)導(dǎo)力和承諾；1〕確保建立信息平安方針和信息平安目標(biāo)，并與組織的戰(zhàn)略方向保持一致；2〕確保將信息平安管理體系要求整合到組織的業(yè)務(wù)過(guò)程中；3〕確保信息平安管理體系所需要的資源可用；4〕傳達(dá)信息平安管理有效實(shí)施，符合信息平安管理體系的要求的重要性；5〕確保信息平安管理體系實(shí)現(xiàn)其預(yù)期的效果；6〕指揮并支持員工為信息平安管理體系有效實(shí)施作出奉獻(xiàn)；7〕促進(jìn)持續(xù)改進(jìn)；8〕支持其他管理角色來(lái)展示自己的領(lǐng)導(dǎo)力，因?yàn)樗m用于他們的職責(zé)范圍。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀5.2方針最高管理者應(yīng)建立信息平安方針：1〕適于組織的目標(biāo)；2〕包括信息平安目標(biāo)〔見(jiàn)6.2〕，或?yàn)樵O(shè)置信息平安目標(biāo)提供框架；3〕包括滿足適用的信息平安相關(guān)要求的承諾；4〕包括信息平安管理體系持續(xù)改進(jìn)的承諾；信息平安方針應(yīng)：1〕文件化并保持可用性；2〕在組織內(nèi)部進(jìn)行傳達(dá)；3〕適當(dāng)時(shí)，對(duì)相關(guān)方可用；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀5.3角色、職責(zé)和承諾最高管理者應(yīng)確保與信息平安相關(guān)角色的職責(zé)和權(quán)限的分配和溝通。最高管理者應(yīng)分配以下職責(zé)和權(quán)限；1〕確保信息平安管理體系符合本標(biāo)準(zhǔn)的要求；2〕將信息平安管理體系的績(jī)效報(bào)告給最高管理者。注：最高管理層可能還要分配在組織內(nèi)部報(bào)告信息平安管理體系績(jī)效的職責(zé)和權(quán)限；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀6.籌劃ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀6、籌劃6.1應(yīng)對(duì)風(fēng)險(xiǎn)和時(shí)機(jī)的措施6.1.1總那么當(dāng)籌劃信息平安管理體系時(shí)，應(yīng)當(dāng)考慮4.1提到的問(wèn)題和4.2中所提到的要求，確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和時(shí)機(jī)；1〕確保信息平安管理體系可實(shí)現(xiàn)預(yù)期的結(jié)果；2〕防止或減少意外影響；3〕實(shí)現(xiàn)持續(xù)改進(jìn)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀組織應(yīng)籌劃：4〕應(yīng)對(duì)這些風(fēng)險(xiǎn)和時(shí)機(jī)的措施；5〕如何整合和實(shí)施這些措施，并納入其信息平安管理體系過(guò)程中，并同時(shí)評(píng)估這些措施的有效性。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀6.1.2信息平安風(fēng)險(xiǎn)評(píng)估組織應(yīng)確定信息平安風(fēng)險(xiǎn)評(píng)估過(guò)程：1〕建立并保持信息平安風(fēng)險(xiǎn)的準(zhǔn)那么，包括風(fēng)險(xiǎn)接受準(zhǔn)那么和執(zhí)行信息平安風(fēng)險(xiǎn)評(píng)估的準(zhǔn)那么；2〕確保重復(fù)性的信息平安風(fēng)險(xiǎn)評(píng)估可產(chǎn)生一致的，有效的和可比較的結(jié)果。3〕組織應(yīng)識(shí)別信息平安風(fēng)險(xiǎn)。a.應(yīng)用信息平安風(fēng)險(xiǎn)評(píng)估過(guò)程來(lái)識(shí)別ISMS范圍內(nèi)的信息喪失保密性，完整性和可用性的相關(guān)風(fēng)險(xiǎn)。b.識(shí)別風(fēng)險(xiǎn)負(fù)責(zé)人。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀4〕組織應(yīng)分析信息平安風(fēng)險(xiǎn)a.評(píng)估6.1.2中的3〕中所識(shí)別風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在的影響。b.評(píng)估6.1.2中的3〕中所識(shí)別風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性。5〕確定風(fēng)險(xiǎn)等級(jí)。6〕評(píng)估信息平安風(fēng)險(xiǎn)，用6.1.2中的1〕建立的風(fēng)險(xiǎn)準(zhǔn)那么進(jìn)行比較；為實(shí)現(xiàn)風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。注：組織應(yīng)保存的信息平安風(fēng)險(xiǎn)評(píng)估過(guò)程中的文檔化信息。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀6.1.3信息平安風(fēng)險(xiǎn)處置組織應(yīng)采用信息平安風(fēng)險(xiǎn)處置過(guò)程：1〕在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的前提下，選擇適當(dāng)?shù)男畔⑵桨诧L(fēng)險(xiǎn)處置選項(xiàng)；2〕為實(shí)施所選擇的信息平安風(fēng)險(xiǎn)處置選項(xiàng)，確定所有必需的控制措施；注：組織可按要求設(shè)計(jì)控制措施，或從其它來(lái)源中識(shí)別控制措施。3〕將6.1.32〕所確定的控制措施與附錄A的控制措施進(jìn)行比較，以核實(shí)沒(méi)有遺漏必要的控制措施；注1：附件A中包含控制目標(biāo)和控制項(xiàng)的完整列表，組織應(yīng)注意附件A,以確保沒(méi)有重要的控制項(xiàng)被忽略；注2：控制目標(biāo)是隱含在所選擇的控制項(xiàng)中。附件A所列的控制目標(biāo)和控制項(xiàng)并不詳盡，可能還需要額外的控制目標(biāo)和控制項(xiàng)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀4〕制作一個(gè)包含必要的控制項(xiàng)〔見(jiàn)2〕、3〕〕和包含理由的適用性聲明，無(wú)論實(shí)施與否，并包括刪減附件A中控制項(xiàng)的理由；5〕制定信息平安風(fēng)險(xiǎn)處置方案；6〕風(fēng)險(xiǎn)處置方案和剩余風(fēng)險(xiǎn)應(yīng)得到風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)。組織應(yīng)保存信息平安發(fā)那個(gè)小的處理過(guò)程中的文檔化信息。注意：信息平安風(fēng)險(xiǎn)評(píng)估和處置過(guò)程與國(guó)際標(biāo)準(zhǔn)ISO31000【5】中規(guī)定的原那么和通用指南相結(jié)合。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀6.2信息平安目標(biāo)和籌劃組織應(yīng)在相關(guān)職能和層次上建立信息平安目標(biāo)。目標(biāo)應(yīng)：1.與信息平安方針一致；2.可衡量的〔如可行〕；3.考慮到適用的信息平安要求以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果；4.被傳達(dá)；5.適當(dāng)時(shí)進(jìn)行更新；6.保存信息平安目標(biāo)相關(guān)的形成文檔化；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀當(dāng)籌劃如何實(shí)現(xiàn)其信息平安目標(biāo)時(shí)，組織應(yīng)確定：做什么？需要那些資源？誰(shuí)負(fù)責(zé)？何時(shí)完成？如何評(píng)估結(jié)果？ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀

7.支持ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.1資源組織應(yīng)確定并提供信息平安管理體系的建立，實(shí)施，維護(hù)和持續(xù)改進(jìn)所需的資源，如人、機(jī)、料、法、環(huán)、測(cè)、金錢等；7.2能力組織應(yīng)：1〕確定員工在ISMS管控下工作的必備能力，這會(huì)影響到組織的信息平安績(jī)效；2〕確保這些人在適當(dāng)?shù)慕逃嘤?xùn)或取得經(jīng)驗(yàn)后是能勝任的；3〕在適當(dāng)情況下，采取行動(dòng)以獲得必要的能力，并評(píng)估所采取行動(dòng)的有效性；4〕保存適當(dāng)?shù)奈臋n化信息作為證據(jù)。注：使用的行動(dòng)可能包括，例如：提供培訓(xùn)、指導(dǎo)，或重新分配現(xiàn)有雇員、主管人員的聘用或承包。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.3意識(shí)為組織工作的人員在工作時(shí)應(yīng)意識(shí)到：信息平安方針；他們對(duì)有效實(shí)施信息平安管理體系的奉獻(xiàn)，包括提供信息平安績(jī)效改進(jìn)后的益處；不符合信息平安管理體系要求可能的影響。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.4溝通組織應(yīng)確定信息平安管理體系中內(nèi)部和外部相關(guān)的溝通需求：溝通什么？何時(shí)溝通？和誰(shuí)溝通？誰(shuí)應(yīng)該溝通？怎樣的溝通過(guò)程是有效的？ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.5文件記錄信息7.5.1總那么組織的信息平安管理體系應(yīng)包括：1〕本標(biāo)準(zhǔn)要求的文件記錄信息；2〕組織為有效實(shí)施信息平安管理體系確定必要的文件記錄信息。注：不同組織的信息平安管理文檔化信息的多少與詳略程度取決于：1〕組織的規(guī)模、活動(dòng)的類型、過(guò)程，產(chǎn)品和效勞；2〕過(guò)程機(jī)器相互作用的復(fù)雜性；3〕人員的能力。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.5.2創(chuàng)立和更新當(dāng)創(chuàng)立和更新文件記錄信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模?〕標(biāo)識(shí)和描述〔如標(biāo)題，日期。作者，或參考號(hào)碼〕；2〕格式〔如語(yǔ)言，軟件版本，圖形〕和媒體〔如紙張、電子〕；3〕評(píng)審和批準(zhǔn)文件記錄信息其適用性和充分性；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀7.5.3文件記錄信息的控制信息平安管理體系與本標(biāo)準(zhǔn)所要求的文件記錄信息應(yīng)予以控制，以確保：無(wú)論何時(shí)何地需要，它都是是可用且適合使用的；得到充分的保護(hù)〔如保密性喪失，使用不當(dāng)，完整性喪失〕對(duì)于文件記錄信息的控制，組織應(yīng)制定以下活動(dòng)〔如適用〕：分發(fā)、訪問(wèn)，檢索和使用；存儲(chǔ)和保存，包括易讀性的保持；變更控制〔例如版本控制〕保存和處置；組織信息平安管理體系的籌劃和實(shí)施信息平安管理體系確定的必要外部原始文件記錄信息，應(yīng)被適當(dāng)識(shí)別和控制。注：訪問(wèn)表示有權(quán)查看文檔化信息，或獲得授權(quán)以查看和更改穩(wěn)定化信息等。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀

8.運(yùn)行ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀8、運(yùn)行8.1運(yùn)行的籌劃和控制組織應(yīng)籌劃，實(shí)施和控制滿足信息平安要求所需的過(guò)程，并實(shí)施在6.1中確定措施。組織還應(yīng)當(dāng)實(shí)施這些籌劃來(lái)6.2中所確定的信息平安目標(biāo)。1〕組織應(yīng)保持文件記錄信息到達(dá)必要的程度；有信心證明過(guò)程是方案執(zhí)行的。2〕組織應(yīng)控制方案變更，評(píng)審非預(yù)期變更的后果必要時(shí)候采取措施減緩負(fù)面影響。3〕組織應(yīng)確保外包的過(guò)程是被確定和受控。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀8.2信息平安風(fēng)險(xiǎn)評(píng)估組織應(yīng)在方案時(shí)間間隔或發(fā)生重大變化時(shí)執(zhí)行信息平安風(fēng)險(xiǎn)評(píng)估，將6.1.2中建立的風(fēng)險(xiǎn)評(píng)估執(zhí)行準(zhǔn)那么納入考慮范圍。組織應(yīng)保存信息平安風(fēng)險(xiǎn)評(píng)估結(jié)果的相關(guān)文檔化信息。8.3信息平安風(fēng)險(xiǎn)處置組織應(yīng)實(shí)施信息平安風(fēng)險(xiǎn)處置方案。組織應(yīng)保存信息平安風(fēng)險(xiǎn)處置結(jié)果的文檔化信息。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀

9.績(jī)效評(píng)價(jià)ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)評(píng)估信息平安績(jī)效和信息平安管理體系的有效性。組織應(yīng)確定：1〕什么需要監(jiān)視和測(cè)量，包括信息平安過(guò)程和控制措施；2〕監(jiān)視，測(cè)量，分析和評(píng)價(jià)的方法，適用時(shí)，以確保結(jié)果有效；注：選擇被認(rèn)為是有效的方法應(yīng)該可以產(chǎn)生可比性和可再現(xiàn)的結(jié)果。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀3〕什么時(shí)候應(yīng)執(zhí)行監(jiān)視和測(cè)量？4〕誰(shuí)應(yīng)監(jiān)視和測(cè)量？5〕什么時(shí)候應(yīng)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)估？6〕誰(shuí)應(yīng)分析和評(píng)估這些結(jié)果？組織應(yīng)保存適當(dāng)?shù)谋O(jiān)視和測(cè)量結(jié)果的文檔化信息作為證據(jù)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀9.2內(nèi)部審核組織應(yīng)按方案的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供信息確定信息平安管理體系是否：a)符合1〕組織自身信息平安管理體系的要求；2〕本標(biāo)準(zhǔn)的要求；b)得到有效實(shí)施和保持。組織應(yīng)：c)規(guī)劃，建立，實(shí)施并保持審核方案，其中包括頻次，方法，職責(zé)，方案要求和報(bào)告。審核方案應(yīng)考慮相關(guān)過(guò)程和以往審核結(jié)果的重要性；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀d)定義每次審核的準(zhǔn)那么和范圍；e)選擇審核員和審核組長(zhǎng)以確定審核過(guò)程的客觀性和公正；f)確保審核結(jié)果報(bào)告提交相關(guān)管理者；g)保存文件記錄信息作為審核方案和審核結(jié)果證據(jù)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀9.3管理評(píng)審管理者應(yīng)按方案的時(shí)間間隔評(píng)審組織的信息平安管理體系，以確保其持續(xù)的適宜性，充分性和有效性。管理評(píng)審應(yīng)考慮：a)以往管理評(píng)審措施的狀態(tài)；b)與信息平安管理體系相關(guān)的內(nèi)外部問(wèn)題的變更；c)信息平安績(jī)效的反響，包括以下方面的趨勢(shì)：1〕不符合與糾正措施；2〕監(jiān)視和測(cè)量結(jié)果；3〕審核結(jié)果；4〕信息平安目標(biāo)的實(shí)現(xiàn)；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀d)相關(guān)方的反響；e)風(fēng)險(xiǎn)評(píng)估的結(jié)果和風(fēng)險(xiǎn)處置方案的狀態(tài)；f)持續(xù)改進(jìn)的時(shí)機(jī)；管理評(píng)審的輸出應(yīng)包括持續(xù)改進(jìn)時(shí)機(jī)有關(guān)的決定，以及變更信息平安管理體系所有要求。組織應(yīng)保存管理評(píng)審結(jié)果的文檔化作為證據(jù)。ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀10.改進(jìn)ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀10.1不符合及糾正措施出現(xiàn)不符合時(shí)，組織應(yīng)：a)對(duì)不符合作出反響，適用時(shí)：1〕采取措施控制并糾正不符合；2〕處理后果；b)評(píng)估采取措施的必要性，以消除不符合的原因，使不復(fù)發(fā)或不在其他地方發(fā)生，通過(guò)：1〕評(píng)審不符合；2〕確定不符合的原因；3〕確定是否存在在類似的不符合和發(fā)生的可能；ISO/IEC27001:2013版標(biāo)準(zhǔn)解讀c)實(shí)施所需的措施；d)評(píng)審已采取糾正措施的有效性；e)如果有必要的話，對(duì)信息平安管理體系實(shí)施變更；糾正措施應(yīng)與所遇不符合的影響相適應(yīng)。組織保存以下文檔化信息作為證據(jù)：f)不符合的性質(zhì)以及采取的所有后續(xù)措施；g)所有糾正措施的結(jié)果。10.2持續(xù)改進(jìn)組織應(yīng)不斷提高信息平安管理體系的適宜性，充分性和有效性。ISO/IEC27001:2013新版本附錄A解

ISO/IEC27002:2013

信息技術(shù)-平安技術(shù)-信息平安控制實(shí)用規(guī)那么ISO/IEC27002新舊版對(duì)照A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A5ISO/IEC27002:2013新版本附錄A解析A6A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A6ISO/IEC27002:2013新版本附錄A解析A7A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A7ISO/IEC27002:2013新版本附錄A解析A8A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A8ISO/IEC27002:2013新版本附錄A解析A9A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A9ISO/IEC27002:2013新版本附錄A解析A9ISO/IEC27002:2013新版本附錄A解析A10A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方針A6信息平安組織A7人力資源平安A8資產(chǎn)管理A9訪問(wèn)控制A10密碼學(xué)A11物理環(huán)境平安A12操作平安A13通信平安A14信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)A15供給商關(guān)系A(chǔ)16信息平安事件管理A17信息平安方面的業(yè)務(wù)連續(xù)性管理A18符合性ISO/IEC27002:2005ISO/IEC27002:2013ISO/IEC27002:2013新版本附錄A解析A10ISO/IEC27002:2013新版本附錄A解析A11A5平安方針A6信息平安組織A7資產(chǎn)管理A8人力資源平安A9物理和環(huán)境平安A10通信和運(yùn)行管理A11訪問(wèn)控制A12信息系統(tǒng)的獲取開(kāi)發(fā)以及維護(hù)A13信息平安事件管理A14業(yè)務(wù)連續(xù)性管理A15符合性A5平安方