29246-2012信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯-ISO27000

息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—Overviewandvocabulary(ISO/IEC27000:2009,IDT)2012-12-31發(fā)布2013-06-01實(shí)施目 次前言…………………………Ⅰ引言…………………………Ⅱ范圍………………………1術(shù)語和定義………………1信息安全管理體系………………………53.1介紹…………………53.2什么是ISMS………………………63.3過程方法……………73.4ISMS為什么重要…………………73.5建立、監(jiān)視、保持和改進(jìn)ISMS……………………83.6ISMS關(guān)鍵成功因素………………93.7ISMS標(biāo)準(zhǔn)族的益處………………94ISMS標(biāo)準(zhǔn)族……………94.1一般信息……………94.2概述和術(shù)語標(biāo)準(zhǔn)……………………104.3要求標(biāo)準(zhǔn)……………114.4一般指南標(biāo)準(zhǔn)………………………114.5行業(yè)特定指南標(biāo)準(zhǔn)…………………12附錄A(資料性附錄)條款表達(dá)的措辭形式……………13附錄B(資料性附錄)術(shù)語分類…………14參考文獻(xiàn)……………………16信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯范圍本標(biāo)準(zhǔn)提供:a)ISMS標(biāo)準(zhǔn)族的概述;b)信息安全管理體系(ISMS)的介紹;c)“規(guī)劃—實(shí)施—檢查—處置”(PDCA)過程的簡要描述;d)ISMS標(biāo)準(zhǔn)族所用的術(shù)語和定義。本標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織)。術(shù)語和定義下列術(shù)語和定義適用于本文件。注:定義或注中的術(shù)語如果在條款的其他地方被定義,則以黑體標(biāo)出并在其后的圓括號中標(biāo)明其條目號。這種黑體術(shù)語可以在定義中替換為其完整的定義。示例:攻擊(2.4)被定義為“破壞、泄露、篡改、損傷、偷竊、未授權(quán)訪問或未授權(quán)使用資產(chǎn)(2.3)的企圖”;資產(chǎn)被定義為“對組織有價值的任何東西”。如果術(shù)語“資產(chǎn)”被其定義替換,則:攻擊的定義變?yōu)椤捌茐摹⑿孤?、篡改、損傷、偷竊、未授權(quán)訪問或未授權(quán)使用對組織有價值的任何東西的企圖”。2.1訪問控制accesscontrol基于業(yè)務(wù)要求和安全要求,確保授權(quán)和受限地訪問資產(chǎn)(2.3)的手段。2.2可核查性accountability實(shí)體的一種特性,表征對自己的動作和做出的決定負(fù)責(zé)。2.3資產(chǎn)asset對組織有價值的任何東西。注:有許多類型的資產(chǎn),包括:a)信息資產(chǎn)(2.18);b)軟件,如計算機(jī)程序;c)物理資產(chǎn),如計算機(jī);d)服務(wù);e)人員及其資格、技能和經(jīng)驗(yàn);f)無形資產(chǎn),如名譽(yù)和形象。2.4攻擊attack破壞、泄露、篡改、損傷、偷竊、未授權(quán)訪問或未授權(quán)使用資產(chǎn)(2.3)的企圖。12.5鑒別authentication確保一個實(shí)體聲稱的特征是正確的保障措施。2.6真實(shí)性authenticity一個實(shí)體正是其所聲稱實(shí)體的特性。2.7可用性availability根據(jù)授權(quán)實(shí)體的要求可訪問和使用的特性。2.8業(yè)務(wù)連續(xù)性businesscontinuity確保持續(xù)的業(yè)務(wù)運(yùn)作的過程(2.31)和/或規(guī)程(2.30)。2.9保密性confidentiality信息不能被未授權(quán)的個人、實(shí)體或者過程(2.31)利用或知悉的特性。2.10控制措施control管理風(fēng)險(2.34)的方法,包括方針(2.28)、規(guī)程(2.30)、指南(2.16)、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的。注:控制措施也用作防護(hù)措施或?qū)Σ叩耐x詞。2.11控制目標(biāo)controlobjective描述實(shí)施控制措施(2.10)的結(jié)果所要達(dá)到的目標(biāo)的聲明。2.12糾正措施correctiveaction消除已查明的不符合項(xiàng)或其他不期望情形的成因的措施。[ISO9000:2005]2.13有效性effectiveness實(shí)現(xiàn)計劃活動和達(dá)到計劃結(jié)果的程度。[ISO9000:2005]2.14效率efficiency所達(dá)到的結(jié)果和資源使用情況之間的關(guān)系。2.15事態(tài)event一組特別情況的發(fā)生。[ISO/IECGuide73:2002]2.16指南guideline為達(dá)到目標(biāo)而期望做什么的建議。2.17影響impact對已達(dá)到的業(yè)務(wù)目標(biāo)水平的不利改變。22.18信息資產(chǎn)informationasset對組織有價值的知識或數(shù)據(jù)。2.19信息安全informationsecurity保持信息的保密性(2.9)、完整性(2.25)和可用性(2.7)。注:此外,諸如真實(shí)性(2.6)、可核查性(2.2)、抗抵賴(2.27)和可靠性(2.33)等其他特性也可被包括進(jìn)來。2.20信息安全事態(tài)informationsecurityevent已識別的一種系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)的發(fā)生,指出可能違反信息安全(2.19)方針(2.28)或控制措施(2.10)失效,或者一種可能與安全相關(guān)但以前不為人知的情況。2.21信息安全事件informationsecurityincident一個或一系列意外或不期望的信息安全事態(tài)(2.20),它/它們極有可能損害業(yè)務(wù)運(yùn)行并威脅信息安全(2.19)。2.22信息安全事件管理informationsecurityincidentmanagement發(fā)現(xiàn)、報告、評估、響應(yīng)、處理和總結(jié)信息安全事件(2.21)的過程(2.31)。2.23信息安全管理體系informationsecuritymanagementsystem;ISMS整個管理體系(2.26)的一部分,基于業(yè)務(wù)風(fēng)險方法,建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全(2.19)。2.24信息安全風(fēng)險informationsecurityrisk威脅(2.45)利用單個或一組資產(chǎn)(2.3)的脆弱性(2.46)并對組織造成損害的可能性。2.25完整性integrity保護(hù)資產(chǎn)(2.3)的準(zhǔn)確和完整的特性。2.26管理體系managementsystem實(shí)現(xiàn)組織目標(biāo)的方針(2.28)、規(guī)程(2.30)、指南(2.16)和相關(guān)資源的框架。2.27抗抵賴non-repudiation證明所聲稱事態(tài)(2.15)或行為的發(fā)生及其發(fā)起實(shí)體的能力,以解決有關(guān)事態(tài)(2.15)或行為發(fā)生與否以及事態(tài)(2.15)中實(shí)體是否牽涉的爭端。2.28方針policy管理者正式發(fā)布的總的宗旨和方向。2.29預(yù)防措施preventiveaction消除潛在不符合項(xiàng)或其他不期望的潛在情形的成因的措施。[ISO9000:2005]32.30規(guī)程procedure執(zhí)行活動或過程(2.31)的規(guī)定方式。[ISO9000:2005]2.31過程process將輸入轉(zhuǎn)換成輸出的相互關(guān)聯(lián)或相互作用的活動集。[ISO9000:2005]2.32記錄record陳述所達(dá)到的結(jié)果或提供所執(zhí)行活動的證據(jù)的文件。[ISO9000:2005]2.33可靠性reliability與預(yù)期行為和結(jié)果一致的特性。2.34風(fēng)險risk事態(tài)(2.15)發(fā)生的可能性及其后果的組合。[ISO/IECGuide73:2002]2.35風(fēng)險接受riskacceptance接受風(fēng)險(2.34)的決定。[ISO/IECGuide73:2002]2.36風(fēng)險分析riskanalysis系統(tǒng)地使用信息以識別風(fēng)險來源并估算風(fēng)險(2.34)。[ISO/IECGuide73:2002]注:風(fēng)險分析為風(fēng)險評價(2.41)、風(fēng)險處置(2.43)和風(fēng)險接受(2.35)提供基礎(chǔ)。2.37風(fēng)險評估riskassessment風(fēng)險分析(2.36)和風(fēng)險評價(2.41)的整個過程(2.31)。[ISO/IECGuide73:2002]2.38風(fēng)險溝通riskcommunication決策者和其他利益相關(guān)者之間關(guān)于風(fēng)險(2.34)的信息交換或共享。[ISO/IECGuide73:2002]2.39風(fēng)險準(zhǔn)則riskcriteria評估風(fēng)險(2.34)重要程度的參照條款。[ISO/IECGuide73:2002]2.40風(fēng)險估算riskestimation為風(fēng)險(2.34)發(fā)生的可能性及其后果賦值的活動。[ISO/IECGuide73:2002]42.41風(fēng)險評價riskevaluation將估算的風(fēng)險(2.34)與給定的風(fēng)險準(zhǔn)則(2.39)加以比較以確定風(fēng)險(2.34)嚴(yán)重性的過程(2.31)。[ISO/IECGuide73:2002]2.42風(fēng)險管理riskmanagement指導(dǎo)和控制一個組織相關(guān)風(fēng)險(2.34)的協(xié)調(diào)活動。[ISO/IECGuide73:2002]注:風(fēng)險管理一般包括風(fēng)險評估(2.37)、風(fēng)險處置(2.43)、風(fēng)險接受(2.35)、風(fēng)險溝通(2.38)、風(fēng)險監(jiān)視和風(fēng)險評審。2.43風(fēng)險處置risktreatment選擇并且執(zhí)行措施來更改風(fēng)險(2.34)的過程(2.31)。[ISO/IECGuide73:2002]2.44適用性聲明statementofapplicability描述與組織的信息安全管理體系(2.23)相關(guān)的和適用的控制目標(biāo)(2.11)和控制措施(2.10)的文件。2.45威脅threat可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因。2.46脆弱性vulnerability可能會被威脅(2.45)所利用的資產(chǎn)(2.3)或控制措施(2.10)的弱點(diǎn)。信息安全管理體系3.1介紹所有類型和規(guī)模的組織:a)收集、處理、存儲和傳輸大量信息;b)認(rèn)識到信息以及相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)和人是實(shí)現(xiàn)組織目標(biāo)的重要資產(chǎn);c)面臨可能影響資產(chǎn)發(fā)揮作用的許多風(fēng)險;d)通過實(shí)施信息安全控制措施更改風(fēng)險。組織持有和處理的所有信息在使用中易受攻擊、錯誤、自然災(zāi)害(例如,洪水或火災(zāi))等威脅和內(nèi)在脆弱性的影響。術(shù)語“信息安全”一般是建立在作為有價值資產(chǎn)的信息基礎(chǔ)之上,這些信息需要適當(dāng)?shù)谋Ｗo(hù),例如,防止可用性、保密性和完整性的喪失。使準(zhǔn)確和完整的信息為已授權(quán)的需要者及時可用,可提高業(yè)務(wù)效率。通過有效地定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全來保護(hù)信息資產(chǎn),對于組織實(shí)現(xiàn)其目標(biāo)并保持和提高法律符合性及自身形象來說,必不可少。用以指導(dǎo)適當(dāng)控制措施的實(shí)施和處理不可接受的信息安全風(fēng)險的協(xié)調(diào)活動,通常被認(rèn)為是信息安全管理的要素。由于信息安全風(fēng)險和控制措施的有效性隨著環(huán)境的變化而改變,組織需:a)監(jiān)視和評價已實(shí)施的控制措施和規(guī)程的有效性;b)識別需要處理的新出現(xiàn)的風(fēng)險;5c)視需要,選擇、實(shí)施和改進(jìn)適當(dāng)?shù)目刂拼胧?。為了關(guān)聯(lián)和協(xié)調(diào)這種信息安全活動,每個組織需要建立信息安全方針和目標(biāo),并通過使用管理體系來有效地達(dá)到這些目標(biāo)。3.2什么是ISMS3.2.1概述和原則ISMS提供了一個建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)保護(hù)信息資產(chǎn)的模型,以實(shí)現(xiàn)組織的業(yè)務(wù)目標(biāo),該目標(biāo)是基于風(fēng)險評估和組織為有效處置和管理風(fēng)險而設(shè)定的風(fēng)險可接受級別來確定的。分析信息資產(chǎn)的保護(hù)要求并按照要求應(yīng)用適當(dāng)?shù)目刂拼胧┐_保這些信息資產(chǎn)得到保護(hù),有助于ISMS的成功實(shí)施。下列基本原則也有助于ISMS的成功實(shí)施:a)認(rèn)識到信息安全的需要;b)分配信息安全的責(zé)任;c)得到管理承諾和反映利益相關(guān)者的利益;d)提升社會價值觀;e)進(jìn)行風(fēng)險評估,用以確定適當(dāng)?shù)目刂拼胧﹣磉_(dá)到可接受的風(fēng)險級別;f)將安全作為一個基本要素納入信息網(wǎng)絡(luò)和系統(tǒng);g)主動預(yù)防和發(fā)現(xiàn)信息安全事件;h)確保有一個整體的信息安全管理方法;i)持續(xù)地對信息安全進(jìn)行再評估和適時進(jìn)行修正。3.2.2信息信息是一種資產(chǎn),像其他重要的業(yè)務(wù)資產(chǎn)一樣,對組織業(yè)務(wù)來說是必不可少的,因此需要得到適當(dāng)?shù)谋Ｗo(hù)。信息可以以許多形式存儲,包括:數(shù)字形式(例如,存儲在電子或光介質(zhì)上的數(shù)據(jù)文件)、物質(zhì)形式(例如,在紙上)以及以員工知識形式存在的未被表示的信息。信息可采用各種不同手段進(jìn)行傳輸,包括:信使、電子通訊或口頭交談。不管信息采用什么形式存在或什么手段傳輸,它總是需要適當(dāng)?shù)谋Ｗo(hù)。組織的信息依賴信息和通信技術(shù)。這種技術(shù)是任何組織中的基本元素,并有助于創(chuàng)建、處理、存儲、傳輸、保護(hù)和銷毀信息。隨著全球業(yè)務(wù)環(huán)境互聯(lián)程度的不斷擴(kuò)大,由此現(xiàn)在的信息面臨著各種各樣大量的威脅和脆弱性,因此保護(hù)信息的需求就隨之增多。3.2.3信息安全信息安全主要包括保密性、可用性和完整性。信息安全以確保業(yè)務(wù)成功和持續(xù)性以及將影響最小化為目標(biāo),涉及到應(yīng)用和管理防范各種威脅的適當(dāng)安全措施。信息安全是通過實(shí)施一套適用的控制措施來實(shí)現(xiàn)的,包括方針策略、過程、規(guī)程、組織結(jié)構(gòu)、軟件和硬件;這套控制措施通過所選用的風(fēng)險管理過程來選擇并使用ISMS來管理,以保護(hù)已識別的信息資產(chǎn)。這些控制措施需要得到詳細(xì)說明、實(shí)施、監(jiān)視、評審和必要時的改進(jìn),以確保滿足組織的特定安全和業(yè)務(wù)目標(biāo)。相關(guān)的信息安全控制措施宜與組織的業(yè)務(wù)過程充分整合。3.2.4管理管理包括一些活動:指導(dǎo)、控制和不斷改進(jìn)在適當(dāng)結(jié)構(gòu)中的組織。這樣的管理活動包括有關(guān)組織、處理、指導(dǎo)、監(jiān)督和控制資源的行為、方式或?qū)嵺`。管理結(jié)構(gòu)從小規(guī)模組織的一個人,到大規(guī)模組織中許多個體所組成的管理層次體系。就ISMS而言,管理包括通過保護(hù)組織的信息資產(chǎn)來實(shí)現(xiàn)業(yè)務(wù)目標(biāo)所必需的監(jiān)督和決策。信息安全的管理是通過制定和使用為所有與組織相關(guān)的人員所應(yīng)用的、貫穿于整個組織的信息安全方針、標(biāo)6準(zhǔn)、規(guī)程和指南來表達(dá)。3.2.5管理體系管理體系使用資源框架來達(dá)到組織的目標(biāo)。管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、責(zé)任、實(shí)踐、規(guī)程、過程和資源。就信息安全而言,管理體系可以使組織:a)滿足客戶和其他利益相關(guān)者的安全要求;b)改進(jìn)組織的計劃和活動;c)符合組織的信息安全目標(biāo);d)遵從法律法規(guī)、規(guī)章和行業(yè)要求;e)采取有組織的方式管理信息資產(chǎn),以便于持續(xù)改進(jìn)和調(diào)整以適應(yīng)當(dāng)前的組織目標(biāo)和環(huán)境。3.3過程方法為使組織有效運(yùn)作,需要識別和管理眾多活動。任何使用資源的活動需要予以管理,以便能夠用一組相互關(guān)聯(lián)或相互作用的活動來完成從輸入到輸出的轉(zhuǎn)換,這也稱為過程。一個過程的輸出可直接形成另一個過程的輸入,通常這個轉(zhuǎn)換是在計劃和受控的條件下完成的。組織內(nèi)過程的系統(tǒng)化應(yīng)用,連同這些過程的識別和相互作用及其管理,可稱作“過程方法”。ISMS標(biāo)準(zhǔn)族中所呈現(xiàn)的ISMS過程方法基于ISO管理體系標(biāo)準(zhǔn)中所采用的運(yùn)行原則,通常稱為“規(guī)劃—實(shí)施—檢查—處置”(PDCA)過程。a)規(guī)劃———確定目標(biāo)并制定計劃(分析組織的情況,確定整體目標(biāo)和設(shè)定具體目標(biāo),并制定實(shí)現(xiàn)這些目標(biāo)的計劃);b)實(shí)施———實(shí)施計劃(完成計劃要做的事情);c)檢查———測量結(jié)果(測量/監(jiān)視達(dá)到計劃目標(biāo)的程度);d)處置———糾正和改進(jìn)活動(總結(jié)教訓(xùn)以改進(jìn)活動進(jìn)而達(dá)到更好的結(jié)果)。3.4ISMS為什么重要作為組織ISMS的一部分,與組織信息資產(chǎn)相關(guān)的風(fēng)險需要受到關(guān)注。實(shí)現(xiàn)信息安全需要對風(fēng)險進(jìn)行管理,包括與組織內(nèi)部或組織使用的所有形式的信息相關(guān)的,來自物理、人員和技術(shù)上威脅的風(fēng)險。采用ISMS宜是一個組織的戰(zhàn)略決策,并應(yīng)按照組織的需要進(jìn)行充分整合、調(diào)整和更新。組織ISMS的設(shè)計和實(shí)施受到組織的需要與目標(biāo)、安全要求、所采用的業(yè)務(wù)過程和規(guī)模與結(jié)構(gòu)的影響。ISMS的設(shè)計和運(yùn)行需要反映組織的所有利益相關(guān)者(包括顧客、供應(yīng)商、業(yè)務(wù)伙伴、股東和其他相關(guān)第三方)的利益和信息安全要求。在相互連接的世界中,信息及其相關(guān)過程、系統(tǒng)和網(wǎng)絡(luò)組成關(guān)鍵業(yè)務(wù)資產(chǎn)。組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著來自各個方面的安全威脅,包括計算機(jī)輔助欺詐、間諜活動、故意破壞、火災(zāi)和洪水。由惡意代碼、計算機(jī)黑客和拒絕服務(wù)攻擊引起的對信息系統(tǒng)和網(wǎng)絡(luò)的損害已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。ISMS對于公共和專用兩部分業(yè)務(wù)都是重要的。在任何行業(yè)中,ISMS支持電子商務(wù),并且對于風(fēng)險管理活動是必不可少的。公共和專用網(wǎng)絡(luò)的互聯(lián)以及信息資產(chǎn)的共享增加了信息訪問控制和處理的難度。此外,含有信息資產(chǎn)的移動存儲設(shè)備的分散可削弱傳統(tǒng)控制措施的有效性。當(dāng)組織采用了ISMS標(biāo)準(zhǔn)族后,可以向業(yè)務(wù)伙伴和其他相關(guān)方證明其應(yīng)用一致的和互認(rèn)的信息安全原則的能力。在設(shè)計和開發(fā)信息系統(tǒng)時,并不是總能考慮到信息安全考慮。而且,信息安全經(jīng)常被認(rèn)為是一種技術(shù)解決方案。然而,通過技術(shù)手段實(shí)現(xiàn)的安全是有限的,并且在沒有ISMS的適當(dāng)管理和規(guī)程的支持下,可能是無效的。事后將安全集成到信息系統(tǒng)中可能是麻煩且昂貴的。ISMS包括識別哪些控制措施已經(jīng)就位,且要求仔細(xì)規(guī)劃和關(guān)注細(xì)節(jié)。舉例來說,訪問控制措施,可能是技術(shù)的(邏輯的)、物理的、7行政的(管理的)或其組合,提供一種手段以確保對信息資產(chǎn)的訪問是基于業(yè)務(wù)和安全要求進(jìn)行授權(quán)和限制的。成功采用ISMS對于保護(hù)信息資產(chǎn)是重要的,它使組織能夠:a)更好地保障其信息資產(chǎn)得到持續(xù)的充分保護(hù)以防范信息安全風(fēng)險;b)保持一個結(jié)構(gòu)化的和整體的框架,來識別和評估信息安全風(fēng)險、選擇和應(yīng)用適用的控制措施、測量和改進(jìn)控制措施的有效性;c)持續(xù)改進(jìn)其控制環(huán)境;d)有效地達(dá)到法律法規(guī)的符合性。3.5建立、監(jiān)視、保持和改進(jìn)ISMS3.5.1概述組織在建立、監(jiān)視、保持和改進(jìn)其ISMS時,需要采取下列步驟:a)識別信息資產(chǎn)及其相關(guān)的安全要求(見3.5.2);b)評估信息安全風(fēng)險(見3.5.3);c)選擇和實(shí)施相關(guān)控制措施以管理不可接受的風(fēng)險(見3.5.4);d)監(jiān)視、保持和改進(jìn)與組織信息資產(chǎn)相關(guān)的安全控制措施的有效性(見3.5.5)。為確保在持續(xù)發(fā)展的基礎(chǔ)上,ISMS有效地保護(hù)組織的信息資產(chǎn),有必要不斷地重復(fù)執(zhí)行步驟a)~d),以識別風(fēng)險的變化,或者組織戰(zhàn)略或業(yè)務(wù)目標(biāo)的變化。3.5.2識別信息安全要求在組織的整體戰(zhàn)略和業(yè)務(wù)目標(biāo)及其規(guī)模和地理分布的范圍之內(nèi),信息安全要求可通過了解下列方面進(jìn)行識別:a)已識別的信息資產(chǎn)及其價值;b)信息處理和存儲的業(yè)務(wù)需求;c)法律法規(guī)、規(guī)章和合同要求。對組織信息資產(chǎn)相關(guān)風(fēng)險所進(jìn)行的系統(tǒng)化評估將包括分析:信息資產(chǎn)面臨的威脅;信息資產(chǎn)的脆弱性及其威脅發(fā)生的可能性;以及任何信息安全事件對信息資產(chǎn)的潛在影響。相關(guān)安全控制措施的支出費(fèi)用宜與認(rèn)識到的風(fēng)險發(fā)生時對業(yè)務(wù)的影響相適合。3.5.3評估信息安全風(fēng)險信息安全風(fēng)險管理,需要一種合適的風(fēng)險評估和風(fēng)險處置方法,該方法可以包括成本和效益的估算,法律要求,社會、經(jīng)濟(jì)以及環(huán)境,并涉及利益相關(guān)者的關(guān)注,優(yōu)先排序,有時還涉及其他輸入和變量。信息安全風(fēng)險評估的結(jié)果,有助于指導(dǎo)和確定以下兩方面做出合適的管理處置決策,一是有關(guān)信息安全風(fēng)險管理措施和優(yōu)先順序的決策;二是為了防止這些風(fēng)險,有關(guān)實(shí)現(xiàn)相關(guān)安全控制的決策。ISO/IEC27005提供了信息安全風(fēng)險管理指南,包括有關(guān)風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險溝通、風(fēng)險監(jiān)視和風(fēng)險評審等方面的建議。3.5.4選擇和實(shí)施信息安全控制措施一旦識別了信息安全要求并確定和評估了所識別信息資產(chǎn)的信息安全風(fēng)險(包括作出的信息安全風(fēng)險處置決定),需要選擇并實(shí)施適當(dāng)?shù)目刂拼胧?以確保信息安全風(fēng)險降低到組織可接受的級別?？刂拼胧┛梢赃x自ISO/IEC27002,也可以選自其他相關(guān)的控制措施集,或者適當(dāng)時可以設(shè)計新的控制措施以滿足特定的需要。安全控制措施的選擇依據(jù)安全要求并考慮到信息安全風(fēng)險接受的準(zhǔn)則、風(fēng)險處8置選項(xiàng)和組織所應(yīng)用的一般風(fēng)險管理方法?？刂拼胧┑倪x擇和實(shí)施可以寫入適用性聲明文件中,以有助于符合性要求。ISO/IEC27002中規(guī)定的控制措施是公認(rèn)的適用于大多數(shù)組織的最佳實(shí)踐,并易于裁剪以適應(yīng)于各種規(guī)模和復(fù)雜度的組織。ISMS標(biāo)準(zhǔn)族中的其他標(biāo)準(zhǔn)為管理體系(ISO/IEC27001)選擇和應(yīng)用ISO/IEC27002中的信息安全控制措施提供指南。3.5.5監(jiān)視,保持和改進(jìn)ISMS有效性組織需要通過對照其方針和目標(biāo),監(jiān)視和評估ISMS的執(zhí)行情況,并將結(jié)果報告給管理層以供評審,來保持和改進(jìn)ISMS。這種ISMS評審允許將受監(jiān)視領(lǐng)域(包括信息安全控制措施的監(jiān)視)的記錄,作為糾正、預(yù)防和改進(jìn)措施的確認(rèn)、驗(yàn)證和可追溯的證據(jù)。3.6ISMS關(guān)鍵成功因素很多因素對于一個組織成功實(shí)施ISMS以滿足其業(yè)務(wù)目標(biāo)都是關(guān)鍵的。關(guān)鍵成功因素示例包括:a)信息安全方針、目標(biāo)和與目標(biāo)保持一致的活動;b)與組織文化一致的設(shè)計、實(shí)施、監(jiān)視、保持和改進(jìn)信息安全的方法和框架;c)來自所有管理層,尤其是最高管理者的可見的支持和承諾;d)通過應(yīng)用信息安全風(fēng)險管理(見ISO/IEC27005)所達(dá)到的對信息資產(chǎn)保護(hù)要求的理解;e)有效的信息安全意識、培訓(xùn)和教育計劃,以使所有員工和其他相關(guān)方知悉在信息安全方針、標(biāo)準(zhǔn)等中所闡明的他們的信息安全職責(zé),并激發(fā)他們做出相應(yīng)的行動;f)有效的信息安全事件管理過程;g)有效的業(yè)務(wù)連續(xù)性管理方法;h)用于評價信息安全管理執(zhí)行情況和改進(jìn)反饋建議的測量系統(tǒng)。ISMS將增加組織始終具備保護(hù)其信息資產(chǎn)所需關(guān)鍵成功因素的可能性。3.7ISMS標(biāo)準(zhǔn)族的益處實(shí)施ISMS的益處主要來自于信息安全風(fēng)險的降低(即減少信息安全事件發(fā)生的可能性和(或)由其造成的影響)。特別地,采用ISMS標(biāo)準(zhǔn)族可獲得的益處包括:a)支持規(guī)定、實(shí)施、運(yùn)行和保持一個全面的、成本有效的、集成的、與ISMS緊密符合的過程,以滿足組織跨不同業(yè)務(wù)和場所的需要;b)在整體風(fēng)險管理和治理的背景下,幫助管理者構(gòu)造其面向信息安全管理的方法,包括對業(yè)務(wù)和系統(tǒng)所有者進(jìn)行關(guān)于信息安全整體管理的教育和培訓(xùn);c)以非限定的方式促進(jìn)全球認(rèn)可的良好的信息安全實(shí)踐,給予組織一定自由度,以方便其采用和改進(jìn)適合其特定環(huán)境的相關(guān)控制措施,并在面臨內(nèi)部和外部變化的情況下保持控制措施;d)為信息安全提供共同語言和概念基礎(chǔ),使得利用符合規(guī)范的ISMS在業(yè)務(wù)伙伴中建立信心更為容易,尤其是當(dāng)他們需要有一個經(jīng)認(rèn)可的認(rèn)證機(jī)構(gòu)進(jìn)行ISO/IEC27001認(rèn)證時。ISMS標(biāo)準(zhǔn)族4.1一般信息ISMS標(biāo)準(zhǔn)族由一系列相互關(guān)聯(lián)的標(biāo)準(zhǔn)組成,包括已經(jīng)發(fā)布的或正在制定中的,并包含許多重要的結(jié)構(gòu)化部分。這些部分關(guān)注描述ISMS要求(ISO/IEC27001)和那些進(jìn)行ISO/IEC27001符合性認(rèn)證的認(rèn)證機(jī)構(gòu)的要求(ISO/IEC27006)的規(guī)范性標(biāo)準(zhǔn)。其他標(biāo)準(zhǔn)提供ISMS實(shí)施的各方面指南,包括一般9過程、控制措施的相關(guān)指南以及行業(yè)特定的指南。ISMS標(biāo)準(zhǔn)族中各標(biāo)準(zhǔn)2)之間的關(guān)系如圖1所示。圖1ISMS標(biāo)準(zhǔn)族關(guān)系為整個PDCA過程和ISO/IEC27001(見4.3.1)中所規(guī)范的要求提供直接支持、詳細(xì)指南和/或解釋的標(biāo)準(zhǔn)有:ISO/IEC27000(見4.2.1)、ISO/IEC27002(見4.4.1)、ISO/IEC27003(見4.4.2)、ISO/IEC27004(見4.4.3)、ISO/IEC27005(見4.4.4)和ISO/IEC27007(見4.4.5)。ISO/IEC27006(見4.3.2)闡述對提供ISMS認(rèn)證的機(jī)構(gòu)的要求。ISO/IEC27011(見4.5.1)和ISO27799(見4.5.2)闡述ISMS的行業(yè)特定指南3)。ISMS標(biāo)準(zhǔn)族與許多其他ISO和ISO/IEC標(biāo)準(zhǔn)保持著關(guān)系,按如下分類做進(jìn)一步描述:a)描述概述和術(shù)語的標(biāo)準(zhǔn)(見4.2);b)規(guī)范要求的標(biāo)準(zhǔn)(見4.3);c)描述一般指南的標(biāo)準(zhǔn)(見4.4);d)描述行業(yè)特定指南的標(biāo)準(zhǔn)(見4.5)。4.2概述和術(shù)語標(biāo)準(zhǔn)4.2.1ISO/IEC27000(本標(biāo)準(zhǔn))信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯2)國際標(biāo)準(zhǔn)ISO/IEC27007正在制定中。3)ISO/IEC27008、ISO/IEC27009和ISO/IEC27010保留給那些在本標(biāo)準(zhǔn)發(fā)布之時還沒有被定義的、與ISMS標(biāo)準(zhǔn)族有關(guān)的將來標(biāo)準(zhǔn)。10范圍:該標(biāo)準(zhǔn)為組織和個人提供:a)ISMS標(biāo)準(zhǔn)族的概述;b)信息安全管理體系(ISMS)的介紹;c)“規(guī)劃—實(shí)施—檢查—處置”(PDCA)過程的簡要描述;d)整個ISMS標(biāo)準(zhǔn)族中使用的術(shù)語和定義。目的:ISO/IEC27000描述信息安全管理體系(ISMS標(biāo)準(zhǔn)族的主題)的基礎(chǔ),并定義相關(guān)術(shù)語。4.3要求標(biāo)準(zhǔn)4.3.1ISO/IEC27001信息技術(shù)安全技術(shù)信息安全管理體系要求范圍:該標(biāo)準(zhǔn)規(guī)定了在組織整體業(yè)務(wù)風(fēng)險的背景下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)正式的信息安全管理體系(ISMS)的要求。它規(guī)定了適合于單個組織或其部門需要的安全控制措施的實(shí)施要求。該標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織)。目的:ISO/IEC27001提供開發(fā)和運(yùn)行ISMS的規(guī)范性要求,包括一套控制和減輕風(fēng)險的控制措施,這些風(fēng)險與組織力求通過運(yùn)行其ISMS保護(hù)的信息資產(chǎn)相關(guān)。運(yùn)行ISMS的組織可以對其符合性進(jìn)行審核和認(rèn)證。作為ISMS過程的一部分,應(yīng)從ISO/IEC27001附錄A中恰當(dāng)?shù)剡x擇控制目標(biāo)和控制措施,以覆蓋已識別的要求。ISO/IEC27001表A.1中列出的控制目標(biāo)和控制措施是直接來自ISO/IEC27002第5章~第15章并與其一致。4.3.2ISO/IEC27006信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求范圍:該標(biāo)準(zhǔn)在ISO/IEC17021中規(guī)定要求的基礎(chǔ)上,為依據(jù)ISO/IEC27001提供審核和ISMS認(rèn)證的機(jī)構(gòu)規(guī)定要求并提供指導(dǎo)。它主要為依照ISO/IEC27001實(shí)施ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)的認(rèn)可提供支持。目的:ISO/IEC27006補(bǔ)充ISO/IEC17021以提供認(rèn)證機(jī)構(gòu)被認(rèn)可的要求,從而許可這些組織提供與ISO/IEC27001中所闡明要求一致的符合性認(rèn)證。4.4一般指南標(biāo)準(zhǔn)4.4.1ISO/IEC27002信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則范圍:該標(biāo)準(zhǔn)提供一套普遍接受的控制目標(biāo)和最佳實(shí)踐控制措施,用于指導(dǎo)選擇和實(shí)施控制措施以實(shí)現(xiàn)信息安全。目的:ISO/IEC27002提供關(guān)于信息安全控制措施實(shí)施的指南。特別是第5章~第15章在支持ISO/IEC27001的A.5~A.15中所規(guī)定的控制措施的最佳實(shí)踐方面提供特定的實(shí)施建議和指南。4.4.2ISO/IEC27003信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南范圍:該標(biāo)準(zhǔn)為依照ISO/IEC27001建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS提供實(shí)用的實(shí)施指南和更多信息。目的:ISO/IEC27003為依照ISO/IEC27001成功實(shí)施ISMS提供一種面向過程的方法。4.4.3ISO/IEC27004信息技術(shù)安全技術(shù)信息安全管理測量11范圍:該標(biāo)準(zhǔn)為評估ISO/IEC27001中規(guī)定的用于實(shí)施和管理信息安全的ISMS、控制目標(biāo)和控制措施的有效性,針對相關(guān)測量的開發(fā)和使用提供指南和建議。目的:ISO/IEC27004提供了一個測量框架,允許ISMS按ISO/IEC27001進(jìn)行測量,實(shí)現(xiàn)有效性評估。4.4.4ISO/IEC27005信息技術(shù)安全技術(shù)信息安全風(fēng)險管理范圍:該標(biāo)準(zhǔn)為信息安全風(fēng)險管理提供指南。該標(biāo)準(zhǔn)中描述的方法支持ISO/IEC27001中所規(guī)定的一般概念。目的:ISO/IEC27005為實(shí)施面向過程的風(fēng)險管理方法提供指南,以幫助滿意地實(shí)施和完成ISO/IEC27001中給出的信息安全風(fēng)險管理要求。4.4.5ISO/IEC27007信息技術(shù)安全技術(shù)信息安全管理體系審核指南范圍:該標(biāo)準(zhǔn)在ISO/IEC19011中可用于一般管理體系指南的基礎(chǔ)上,提供實(shí)施ISMS審核指南和信息安全管理體系審核員能力的指南。目的:ISO/IEC27007為需要對照ISO/IEC27001中所規(guī)定的要求,進(jìn)行ISMS內(nèi)部或外部審核或者ISMS審核方案管理的組織,提供指南。4.5行業(yè)特定指南標(biāo)準(zhǔn)4.5.1ISO/IEC27011信息技術(shù)安全技術(shù)基于ISO/IEC27002的電信行業(yè)組織的信息安全管理指南范圍:該標(biāo)準(zhǔn)為支持電信行業(yè)組織的信息安全管理(ISM)的實(shí)施提供指南。目的:ISO/IEC27011根據(jù)電信行業(yè)特點(diǎn)對ISO/IEC27002進(jìn)行了調(diào)整和補(bǔ)充,為電信行業(yè)組織提供信息安全管理指南,以實(shí)現(xiàn)ISO/IEC27001附錄A的要求。4.5.2ISO27799健康信息學(xué)使用ISO/IEC27002的健康信息安全管理范圍:該標(biāo)準(zhǔn)為支持在健康組織中實(shí)施信息安全管理(ISM)提供指南。目的:ISO/IEC27799根據(jù)健康組織特點(diǎn)對ISO/IEC27002進(jìn)行了調(diào)整和補(bǔ)充,為健康組織提供信息安全管理指南,以實(shí)現(xiàn)ISO/IEC27001附錄A的要求。12附錄A(資料性附錄)條款表達(dá)的措辭形式ISMS標(biāo)準(zhǔn)族的每個標(biāo)準(zhǔn)本身沒有對任何人施加遵從的義務(wù)。但是,這種義務(wù)可以被施加,例如通過法律或合同。為了能夠