【正文】 安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2） 2） 識別對這些資產(chǎn)的威脅3） 3） 識別可能被威脅利用的脆弱性4） 4） 別資產(chǎn)失去保密性、完整性和可用性的影響e） e） 評價風(fēng)險1） 1） 評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2） 評估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的控制措施；3） 3） 估計風(fēng)險的等級4） 4） 確定介紹風(fēng)險或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理；f） f） 識別和評價供處理風(fēng)險的可選措施：可能的行動包括：1） 1） 應(yīng)用合適的控制措施2） 2） 知道并有目的地接受風(fēng)險，同時這些措施能清楚地滿足組織方針和接受風(fēng)險的標(biāo)準(zhǔn)3） 3） 避免風(fēng)險；4） 4） 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)，供應(yīng)商等。g） g） 選擇控制目標(biāo)和控制措施處理風(fēng)險： 應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評估和風(fēng)險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h） h） 準(zhǔn)備一份適用性聲明。（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i） 提議的殘余風(fēng)險應(yīng)獲得管理層批準(zhǔn)并授權(quán)實施和動作信息安全管理體系。4．2．2實施和運作信息安全管理體系組織應(yīng)：a） a） 識別合適的管理行動和確定管理信息安全風(fēng)險的優(yōu)先順序（即：風(fēng)險處理計劃）[見條款5]；b） b） 實施風(fēng)險處理計劃以達(dá)到識別的控制目標(biāo)，包括對資金的考慮和落實安全角色和責(zé)任。c） c） （g）選擇的控制目標(biāo)和措施d） d） 培訓(xùn)和意識[]。e） e） 管理動作過程；f） f） 管理資源[]；g） g） 實施程序和其他有能力隨時探測和回應(yīng)安全事故的控制措施。4．2．3監(jiān)控和評審信息安全管理體系組織應(yīng)：a） a） 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） 實時探測處理結(jié)果中的錯誤；2） 2） 及時識別失敗和成功的安全破壞和事故；3） 3） 能夠使管理層確定分派給員工的或通過信息技術(shù)實施的安全活動是否達(dá)到了預(yù)期的目標(biāo)；4） 4） 確定解決安全破壞的行動是否反映了運營的優(yōu)先級。b） b） 進(jìn)行常規(guī)的信息安全管理體系有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋；c） c） 評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮以下方面的變化：1） 1） 組織2） 2） 技術(shù)3） 3） 業(yè)務(wù)目標(biāo)和過程4） 4） 識別威脅5） 5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。d） d） 在計劃的時間段內(nèi)實施內(nèi)部信息安全管理體系審核。e） e） 經(jīng)常進(jìn)行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進(jìn)措施已被識別（見條款6信息安全管理體系的管理評審）；f） f） 記錄所采取的行動和能夠影響信息安全管理體系的有效性或績效性的事件[]。4．2．4維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a） a） 實施已識別的對于信息安全管理體系的改進(jìn)措施b） b） 采取合適的糾正和預(yù)防措施應(yīng)用從其他組織的安全經(jīng)驗和組織內(nèi)學(xué)到的知識。c） c） 溝通結(jié)果和行動并得到所有參與的相關(guān)方的同意。d） d） 確保改進(jìn)行動達(dá)到了預(yù)期的目標(biāo)。4．3文件要求4．3．1總則信息安全管理體系文件應(yīng)包括：a） a） 文件化的安全方針文件和控制目標(biāo)；b） b） 信息安全管理體系范圍[]和程序及支持信息安全管理體系的控制措施c） c） 風(fēng)險評估報告[]。d） d） 風(fēng)險處理計劃。e） e） 組織需要的文件化的程序以確保存有效地計劃運營和對信息安全過程的控制[]f） f） 本標(biāo)準(zhǔn)要求的記錄[]。g） g） 適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實施和維護(hù)該程序。注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a） 文件發(fā)布前得到批準(zhǔn)，以確保文件的充分性；b） b） 必要時對文件進(jìn)行評審與更新，并再次批準(zhǔn)；c） c） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d） 確保在使用處可獲得適用文件夾的有關(guān)版本；e） e） 確保文件夾保持清晰、易于識別；f） f） 確保外來文件的發(fā)放在控制狀態(tài)下；g） g） 確保文件的發(fā)放在控制狀態(tài)下；h） h） 防止作廢文件的非預(yù)期使用；i） i） 若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識。4．3．3記錄控制應(yīng)建立并保持記錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)識、儲存、保護(hù)、檢索、保存期限和處置所需的控制。需要一個管理過程確定記錄的程度。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5管理職責(zé)5．1管理承諾管理層應(yīng)提供其承諾建立、實施、運行、監(jiān)控、評審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a） a） 建立信息安全方針；b） b） 確保建立信息安全目標(biāo)和計劃；c） c） 為信息安全確立職位和責(zé)任；d） d） 向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e） e） 提供足夠的資源以開發(fā)、實施，運行和維護(hù)信息安全管理體系[]。f） f） 確定可接受風(fēng)險的水平。g） g） 進(jìn)行信息安全管理體系的評審[見條款6]。5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a） 建立、實施、運行和維護(hù)信息安全管理體系；b） b） 確保信息安全程序支持業(yè)務(wù)要求；c） c） 識別和強調(diào)法律和法規(guī)要求及合同的安全義務(wù)；d） d） 正確地應(yīng)用所有實施的控制措施維護(hù)足夠的安全；e） e） 必要時，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f） f） 需要時，改進(jìn)信息安全管理體系的有效性。5．2．2培訓(xùn)，意識和能力 組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng)：a） a） 確定從事影響信息安全管理體系的人員所必要的能力；b） b） 提供能力培訓(xùn)和必要時，聘用有能力的人員滿足這些需求；c） c） 評價提供的培訓(xùn)和所采取行動的有效性；d） d） 保持教育、培訓(xùn)、技能、經(jīng)驗和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評審6．1總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價信息安全管理體系改進(jìn)的機(jī)會和變更的需要，包括安全方針和安全目標(biāo)。評審的結(jié)果應(yīng)清楚地文件化，應(yīng)保持管理評審的記錄[]6．2評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a） a） 信息安全管理體系審核和評審的結(jié)果；b） b） 相關(guān)方的反饋；c） c） 可以用于組織改進(jìn)其信息安全管理體系績效和有效性的技術(shù)，產(chǎn)品或程序；d） d） 預(yù)防和糾正措施的狀況；e） e） 以前風(fēng)險評估沒有足夠強調(diào)的脆弱性或威脅；f） f） 以往管理評審的跟蹤措施；g） g） 任何可能影響信息安全管理體系的變更；h） h） 改進(jìn)的建議。6．3評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a） 對信息安全管理體系有效性的改進(jìn)；b） b） 修改影響信息安全的程序，必要時，回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1） 業(yè)務(wù)要求；2） 2） 安全要求；3） 3） 業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4） 4） 法規(guī)或法律環(huán)境；5） 5） 風(fēng)險的等級和/或可接受風(fēng)險的水平；c） c） 資源需求。6．4內(nèi)部信息安全管理體系審核組織應(yīng)按策劃的時間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a） a） 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b） b） 符合識別的信息安全的要求；c） c） 被有效地實施和維護(hù)；d） d） 達(dá)到預(yù)想的績效。任何審核活動應(yīng)策劃，策劃應(yīng)考慮過程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護(hù)記錄[]的責(zé)任及要求.負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進(jìn)措施應(yīng)包括驗證采取的措施和報告驗證的結(jié)果[見條款7]。7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。7．2糾正措施組織應(yīng)確定措施，以消除與實施和運行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a） a） 識別實施或運行信息安全管理體系中的不合格；b） b） 確定不合格的原因；c） c） 評價確保不合格不再發(fā)生的措施的需求；d） d） 確定和實施所需的糾正措施；e） e） 記錄所采取措施的結(jié)果[]。f） f） 評審所采取的糾正措施。7．3預(yù)防措施組織應(yīng)針對潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問題的影響程序適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a） a） 識別潛在的不合格及引起不合格的原因；b） b） 確定和實施所需的預(yù)防措施；c） c） 記錄所采取措施的結(jié)果[]；d） d） 評價所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A（引用）控制目標(biāo)和控制措施16