1、ISO27001標準“4.1 總要求”理解要點

組織建立ISMS信息安全管理體系，首先須考慮的是：

a）在其整體業(yè)務(wù)框架下，其業(yè)務(wù)運營面臨的內(nèi)部、外部環(huán)境中，有哪些相關(guān)方？

b）他們對組織業(yè)務(wù)運營的要求有哪些？

c）相關(guān)方的意見對組織確定信息安全方針和策略的影響程度、內(nèi)容及方式是什么？

組織應(yīng)對這些環(huán)境因素給予充分的了解，進而考慮對其具體的業(yè)務(wù)過程活動中的信息安全需求和風險進行識別和評價，針對所評估的風險以及組織可接受的風險水平， 設(shè)計適合于組織經(jīng)營環(huán)境以及業(yè)務(wù)性質(zhì)的信息安全管理體系，并將相應(yīng)的信息安全管理過程以及控制措施要求形成文件，予以批準、發(fā)布和實施。

對于運行中的ISMS信息安全管理體系，組織還應(yīng)按照規(guī)定的程序、方法和準則對ISMS信息安全管理體系的運行績效以及信息安全風險的狀況進行持續(xù)地監(jiān)視和評審，適時采取糾正、預(yù)防和改進措施。

組織運營的內(nèi)部、外部環(huán)境往往處在不斷的變化之中，這些變化可能會給組織的信息安全帶來新的風險，也可能會影響組織已識別和評價的風險，因此組織的ISMS信息安全管理體系應(yīng)隨著這些變化適時予以改進和更新。

組織的ISMS信息安全管理體系的建立、實施、保持和改進應(yīng)體現(xiàn)PDCA循環(huán)的思想。

2、ISO27001標準“4.2 建立和管理ISMS”要點

（1）“4.2.1　建立ISMS”理解要點

a）在組織的整體業(yè)務(wù)框架下，確定ISMS的范圍和邊界，即確定在哪些業(yè)務(wù)活動中應(yīng)用本標準，是組織設(shè)計ISMS信息安全管理體系要做的第一項工作。

信息安全管理體系的范圍和邊界的確定，以及相應(yīng)的業(yè)務(wù)和活動以及其支持性活動中涉及到的技術(shù)和資產(chǎn)，則決定了ISO27001標準附錄A中列出的控制措施要求的適用性。但對于ISO27001標準附錄A的刪減的細節(jié)，還需要在詳細識別了資產(chǎn)之后才能確定。

b）所謂“方針”，即實施某項活動的指導(dǎo)原則和行動路線，它可以是一個組織在其整體業(yè)務(wù)范圍框架下開展某項活動的總的指導(dǎo)原則和行動路線，也可以是針對某項具體活動的指導(dǎo)原則和行動路線。

對于前一種情況，實例包括組織的質(zhì)量方針、組織的信息安全方針等，對于后一種情況，為了便于區(qū)分，在本標準中使用了“策略”一詞表述，例如，“清空桌面和屏幕策略”。

c）從方法論的角度講，ISMS信息安全管理體系的基礎(chǔ)是風險管理。

關(guān)于風險管理過程，ISO31000:2009給出了一個框架性示意圖，見下圖。

風險管理過程

針對某一項資產(chǎn)，如何通過影響并確定風險的一組條件得出科學(xué)的風險等級，取決于組織所選用的具體風險評估技術(shù)的類型。常用的風險評估技術(shù)包括頭腦風暴法、FMEA、ETA、FTA、風險矩陣法等。

明確風險準則，還包括組織對可接受風險水平的確定和批準。就可以針對已識別的信息安全相關(guān)資產(chǎn)的脆弱性和威脅以及資產(chǎn)價值，進行具體的風險分析和計算，將風險按高低排序，找出高于可接受風險水平的風險，對其進行風險處置。

d）對信息安全進行管理，并不意味著將所有的資產(chǎn)置于絕對安全的保護措施，因為“絕對安全”的成本是巨大的。因此，需要有選擇地實施風險處置。一般來說，風險處置可考慮：風險降低、風險轉(zhuǎn)移、風險規(guī)避和風險接受。

e）準備一份《適用性聲明》，用來向相關(guān)方提供有關(guān)組織風險處置決定的信息，內(nèi)容可包括選擇的控制目標和控制措施，但不宜太細，以避免過多披露控制措施的細節(jié)。

（2）“4.2.2 實施和運行ISMS”理解要點一個可執(zhí)行的風險處置計劃，必然要包括以下內(nèi)容：

1）計劃的任務(wù)內(nèi)容；

2）任務(wù)展開與執(zhí)行需要的職務(wù)、權(quán)限、責任的指派；

3）處置計劃中的技術(shù)方案與資金預(yù)算；

4）資源提供，包括充足數(shù)量的具備實施技術(shù)方案相應(yīng)能力的人員、軟件或硬件產(chǎn)品與工具、必要的設(shè)備等。

針對風險評估的結(jié)果，需要進行處置的風險往往不止一項，風險處置計劃當然也就不止一項。對于已經(jīng)識別的不可接受風險，風險處置的目的當然是要將風險水平降低到可接受水平以下。出于其他的業(yè)務(wù)經(jīng)營的需要，組織也可能制定風險處置計劃，以改變原來的可能性或后果。

針對組織的信息安全管理現(xiàn)狀和《適用性聲明》的內(nèi)容，風險處置計劃中的任務(wù)內(nèi)容可能包括：

制定管理信息安全相關(guān)活動的規(guī)程；

對基礎(chǔ)設(shè)施和物理安全系統(tǒng)進行安全加固或技術(shù)更新；

對信息系統(tǒng)的硬件或軟件實施安全加固或技術(shù)更新；

對人員進行信息安全相關(guān)的知識、技能、具使用等進行培訓(xùn)和有關(guān)風險后果的意識教育；

就信息安全管理規(guī)程的要求對人員進行培訓(xùn)，并推行信息安全規(guī)程；

與第三方服務(wù)提供方就信息安全管理事項進行溝通和協(xié)商，等等。

風險處置計劃的實施應(yīng)在受控條件下進行，責任分工明確，記錄計劃的實施，記錄計劃的實施結(jié)果，這些數(shù)據(jù)將可作為對信息安全管理績效和風險處置計劃實施后風險的變化進行評估的輸入。

（3）“4.2.3 監(jiān)視和評審ISMS”理解要點

一般說來，監(jiān)視和測量可分為管理性監(jiān)視測量和技術(shù)性監(jiān)視測量。

對系統(tǒng)實施技術(shù)性監(jiān)視和測量，一種情況是為了實時監(jiān)測系統(tǒng)資源的占用情況是否在安全閾值內(nèi)，以及是否有安全違規(guī)情況發(fā)生和能否對這些安全違規(guī)進行有效的攔截。另一方面，這些系統(tǒng)中的設(shè)備硬件的耗損情況雖不需進行實時監(jiān)測，但也需要根據(jù)硬件的壽命定期進行檢查，以便于及時排除因設(shè)備故障而導(dǎo)致的系統(tǒng)功能不可 用，進而影響信息的完整性。

管理性的監(jiān)視和測量則是針對各種信息安全管理規(guī)程執(zhí)行情況的常規(guī)檢查，通常使用以管理規(guī)程的要求為依據(jù)的檢查表的方法。例如：內(nèi)部管理體系審核，以高層管理者為主導(dǎo)的管理評審等。

監(jiān)視測量記錄都應(yīng)予以保持，作為糾正或預(yù)防措施、或改進措施的信息輸入。

（4）“4.2.4 保持和改進ISMS”理解要點

各種監(jiān)視測量的結(jié)果應(yīng)可為確定改進措施提供信息輸入。應(yīng)針對監(jiān)視測量數(shù)據(jù)顯示的信息，以及相應(yīng)的風險評估結(jié)果，確定改進的目標以及改進的具體措施方案。對其他組織在信息安全方面的經(jīng)驗和教訓(xùn)的分析，也可為本組織的改進提供輸入。

可能的改進措施可包括：

1）信息系統(tǒng)以及其他系統(tǒng)的更新或技術(shù)升級；

2）管理規(guī)程的更新和流程改善；

3）人員知識與技能的持續(xù)教育和培訓(xùn)，等等。

改進過程本身應(yīng)經(jīng)過良好策劃，以確保改進方案的實施達到預(yù)期的目標。需要時，改進方案應(yīng)與相關(guān)方協(xié)商取得一致意見后進行。

當改進項目涉及到相關(guān)方的要求時，為了確保信息安全持續(xù)地與相關(guān)方的要求一致，使組織在信息安全方面能夠持續(xù)地給予相關(guān)方信心，組織應(yīng)按照預(yù)先商定的方式向所有相關(guān)方溝通改進方案實施的細節(jié)。

3、ISO27001標準“4.3 文件要求”理解

（1）“4.3.1 總則”理解要點

組織的信息安全管理體系要求應(yīng)形成文件。

信息安全管理體系文件的作用可包括：

1）表述組織信息安全的統(tǒng)一宗旨和方向；

2）作為培訓(xùn)教材，使人們對于信息安全要求有一致的理解；

3）作為人們在信息安全管理活動中的一致的行為標準；

4）作為監(jiān)視和測量信息安全管理績效的一致的方法和準則；

5）作為采取糾正、預(yù)防和改進措施決策的依據(jù)；

6）作為追溯信息安全管理活動的依據(jù)。

ISO27001標準本條款列出了基本的信息安全管理體系文件的類別。在特定的組織業(yè)務(wù)運營環(huán)境中，除了ISO27001標準中（ISO27001標準正文以及附錄A）明確要求“形成文件”的內(nèi)容外，所有體現(xiàn)組織信息安全管理要求的文件，都是組織信息安全管理體系文件的一部分。

按照組織的規(guī)模、業(yè)務(wù)活動特點和性質(zhì)、技術(shù)應(yīng)用的程度等其他內(nèi)、外部環(huán)境的需求，這些文件可能以“程序”或“規(guī)程”的形式出現(xiàn)，也可能以“規(guī)范”或“規(guī)則”、“標準”、“操作說明”或“作業(yè)指導(dǎo)書”等其他適用的形式出現(xiàn)。

ISO27001標準并沒有列出所有的信息安全管理體系文件類別，亦沒有對文件數(shù)量提出要求。文件的多少與詳略程度取決于組織自身的信息安全管理需求。承載文件的介質(zhì)可以是紙介質(zhì)、電子介質(zhì)或其他類型的適用介質(zhì)，取決于文件使用者的需要以及組織實施文件管理的需要和安全要求。

（2）“4.3.2 文件控制”理解要點

組織的ISMS信息安全管理體系文件本身亦應(yīng)作為信息資產(chǎn)予以管理，以確保這些文件的完整性和可用性，以及必要的保密性，這就是為什么管理體系文件需要受控。標準本 條款針對文件的發(fā)布、分發(fā)、使用、修改、作廢各階段的控制提出了要求，同時要求編制形成文件的規(guī)程，以規(guī)定和描述ISO27001標準本條款的要求在組織環(huán)境如何執(zhí)行和實現(xiàn)。

（3）“4.3.3 記錄控制”理解要點

管理體系運行的記錄應(yīng)予以保持。記錄應(yīng)真實、信息完整、相關(guān)活動的責任人信息明確。為記錄設(shè)計唯一的標識，使得相應(yīng)活動的發(fā)生被唯一地追溯。

記錄保存的期限，取決于組織和相關(guān)方需要追溯記錄的時間期限。一般情況下，記錄的保存期限應(yīng)不低于記錄所指對象的自然生命周期。

記錄的介質(zhì)形式可以有多種，紙介質(zhì)、圖片、膠片、磁帶、光盤、磁盤等，都可能用作記錄的載體。

記錄貯存期間的保護方法，就取決于這些介質(zhì)的性質(zhì)，例如防火、防水、防熱、防光照、防壓力、防磁、防小動物等，都有可能是需要考慮的內(nèi)容。

為確保記錄不會在存貯期間失效，須安排定期對記錄進行完整性、可用性的檢查，并根據(jù)需要考慮重新備份。

關(guān)于各類記錄的具體管理要求和方法，組織應(yīng)編制形成文件的規(guī)程，所謂“形成文件的規(guī)程”，可以是獨立的一份文件，也可以融合在其他規(guī)程中，例如，描述某項活動具體實施步驟的規(guī)程。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5576.html