【正文】 安全管理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人2） 2） 識(shí)別對(duì)這些資產(chǎn)的威脅3） 3） 識(shí)別可能被威脅利用的脆弱性4） 4） 別資產(chǎn)失去保密性、完整性和可用性的影響e） e） 評(píng)價(jià)風(fēng)險(xiǎn)1） 1） 評(píng)估由于安全故障帶來(lái)的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2） 評(píng)估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施；3） 3） 估計(jì)風(fēng)險(xiǎn)的等級(jí)4） 4） 確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理；f） f） 識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施：可能的行動(dòng)包括：1） 1） 應(yīng)用合適的控制措施2） 2） 知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3） 3） 避免風(fēng)險(xiǎn)；4） 4） 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)，供應(yīng)商等。g） g） 選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)： 應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h） h） 準(zhǔn)備一份適用性聲明。（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i） 提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和動(dòng)作信息安全管理體系。4．2．2實(shí)施和運(yùn)作信息安全管理體系組織應(yīng)：a） a） 識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序（即：風(fēng)險(xiǎn)處理計(jì)劃）[見條款5]；b） b） 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任。c） c） （g）選擇的控制目標(biāo)和措施d） d） 培訓(xùn)和意識(shí)[]。e） e） 管理動(dòng)作過(guò)程；f） f） 管理資源[]；g） g） 實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。4．2．3監(jiān)控和評(píng)審信息安全管理體系組織應(yīng)：a） a） 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） 實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤；2） 2） 及時(shí)識(shí)別失敗和成功的安全破壞和事故；3） 3） 能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4） 4） 確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。b） b） 進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全控制措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益相關(guān)方的建議和反饋；c） c） 評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1） 1） 組織2） 2） 技術(shù)3） 3） 業(yè)務(wù)目標(biāo)和過(guò)程4） 4） 識(shí)別威脅5） 5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。d） d） 在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。e） e） 經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審（至少每年評(píng)審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過(guò)程中的改進(jìn)措施已被識(shí)別（見條款6信息安全管理體系的管理評(píng)審）；f） f） 記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績(jī)效性的事件[]。4．2．4維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a） a） 實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b） b） 采取合適的糾正和預(yù)防措施應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。c） c） 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。d） d） 確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。4．3文件要求4．3．1總則信息安全管理體系文件應(yīng)包括：a） a） 文件化的安全方針文件和控制目標(biāo)；b） b） 信息安全管理體系范圍[]和程序及支持信息安全管理體系的控制措施c） c） 風(fēng)險(xiǎn)評(píng)估報(bào)告[]。d） d） 風(fēng)險(xiǎn)處理計(jì)劃。e） e） 組織需要的文件化的程序以確保存有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制[]f） f） 本標(biāo)準(zhǔn)要求的記錄[]。g） g） 適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a） 文件發(fā)布前得到批準(zhǔn)，以確保文件的充分性；b） b） 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；c） c） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d） d） 確保在使用處可獲得適用文件夾的有關(guān)版本；e） e） 確保文件夾保持清晰、易于識(shí)別；f） f） 確保外來(lái)文件的發(fā)放在控制狀態(tài)下；g） g） 確保文件的發(fā)放在控制狀態(tài)下；h） h） 防止作廢文件的非預(yù)期使用；i） i） 若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4．3．3記錄控制應(yīng)建立并保持記錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。需要一個(gè)管理過(guò)程確定記錄的程度。舉例記錄的例子如：訪問(wèn)者的簽名簿，審核記錄和授權(quán)訪問(wèn)記錄。5管理職責(zé)5．1管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a） a） 建立信息安全方針；b） b） 確保建立信息安全目標(biāo)和計(jì)劃；c） c） 為信息安全確立職位和責(zé)任；d） d） 向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e） e） 提供足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系[]。f） f） 確定可接受風(fēng)險(xiǎn)的水平。g） g） 進(jìn)行信息安全管理體系的評(píng)審[見條款6]。5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a） 建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b） b） 確保信息安全程序支持業(yè)務(wù)要求；c） c） 識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；d） d） 正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e） e） 必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f） f） 需要時(shí)，改進(jìn)信息安全管理體系的有效性。5．2．2培訓(xùn)，意識(shí)和能力 組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng)：a） a） 確定從事影響信息安全管理體系的人員所必要的能力；b） b） 提供能力培訓(xùn)和必要時(shí)，聘用有能力的人員滿足這些需求；c） c） 評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；d） d） 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評(píng)審6．1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評(píng)審的記錄[]6．2評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息：a） a） 信息安全管理體系審核和評(píng)審的結(jié)果；b） b） 相關(guān)方的反饋；c） c） 可以用于組織改進(jìn)其信息安全管理體系績(jī)效和有效性的技術(shù)，產(chǎn)品或程序；d） d） 預(yù)防和糾正措施的狀況；e） e） 以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅；f） f） 以往管理評(píng)審的跟蹤措施；g） g） 任何可能影響信息安全管理體系的變更；h） h） 改進(jìn)的建議。6．3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a） 對(duì)信息安全管理體系有效性的改進(jìn)；b） b） 修改影響信息安全的程序，必要時(shí)，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1） 業(yè)務(wù)要求；2） 2） 安全要求；3） 3） 業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求；4） 4） 法規(guī)或法律環(huán)境；5） 5） 風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平；c） c） 資源需求。6．4內(nèi)部信息安全管理體系審核組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否：a） a） 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b） b） 符合識(shí)別的信息安全的要求；c） c） 被有效地實(shí)施和維護(hù)；d） d） 達(dá)到預(yù)想的績(jī)效。任何審核活動(dòng)應(yīng)策劃，策劃應(yīng)考慮過(guò)程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過(guò)程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)記錄[]的責(zé)任及要求.負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見條款7]。7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。7．2糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a） a） 識(shí)別實(shí)施或運(yùn)行信息安全管理體系中的不合格；b） b） 確定不合格的原因；c） c） 評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；d） d） 確定和實(shí)施所需的糾正措施；e） e） 記錄所采取措施的結(jié)果[]。f） f） 評(píng)審所采取的糾正措施。7．3預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程序適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a） a） 識(shí)別潛在的不合格及引起不合格的原因；b） b） 確定和實(shí)施所需的預(yù)防措施；c） c） 記錄所采取措施的結(jié)果[]；d） d） 評(píng)價(jià)所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A（引用）控制目標(biāo)和控制措施16