【文章內容簡介】 組織需要“量身定做”的實際工作的標準。對一般員工來說，在其實際工作中，可以不過問 ISMS標準 (ISO/IEC 27001:2023)，但必須按照 ISMS文件的要求執(zhí)行工作。 ? 是控制措施（ controls）的重要部分。 ? 提供客觀證據 為滿足相關方要求，以及持續(xù)改進提供依據。 ? 提供適宜的內部培訓的依據。 ? 提供 ISMS審核（包括內審和外審）的依據，文件審核、現(xiàn)場審核。 LOGO ? 包含文件 總則 序號 文件名稱 標準條款 1 ISMS策略和目標 a) 2 ISMS范圍 b) 3 風險評估方法的描述 b) 4 風險評估報告 e) 5 風險處理計劃 f) 6 適用性聲明 i) 7 標準要求的紀錄 h) 8 文件控制程序 9 記錄控制程序 10 內部審核程序 6 11 管理評審程序 12 糾正措施程序 13 預防措施程序 注 1：本標準出現(xiàn)“形成文件的程序”之處， 即要求建立該程序，形成文件，并加以實施和保持。 LOGO ? 文件控制 a) 批準 b) 評審、更新并再批準； c) 修訂狀態(tài)得到標識； d) 在使用處可獲得適用文件； e) 清晰、易于識別； f) 對需要的人員可用，傳輸、貯存和最終銷毀； g) 外來文件標識； h) 分發(fā)控制； i) 防止作廢文件的非預期使用； j) 作廢文件的標識。 LOGO ? 記錄控制 a) 建立并保持，以提供證據。 b) 保護和控制。應考慮相關法律法規(guī)要求和合同義務。 c) 清晰、易于識別和檢索。 d) 記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。 e) 記錄的詳略程度應通過管理過程確定。 f) 應保留 ISMS有關的安全事故的記錄。 LOGO ? 管理承諾 PDCA 5 a) 制定 ISMS方針； b) 確保 ISMS目標和計劃得以制定； c) 建立信息安全的角色和職責； d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性； e) 提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進 ISMS （見 ）； f) 決定接受風險的準則和風險的可接受級別； g) 確保 ISMS內部審核的執(zhí)行（見第 6章）； h) 實施 ISMS的管理評審（見第 7章）。 LOGO ? 資源管理 PDCA 5 資源提供 應確定并提供信息安全工作所需的資源－人、財、物 培訓、意識和能力 ① 確保所有分配有 ISMS職責的人員具有執(zhí)行所要求任務的能力 ② 確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到 ISMS目標做出貢獻。 LOGO PDCA與 48條款關系 PDCA各階段 內容 對應標準條款 P規(guī)劃 建立 ISMS 建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結果。 5 D實施 實施和運行ISMS 實施和運行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評審ISMS 對照 ISMS方針、目標和實踐經驗，評估并在適當時，測量過程的執(zhí)行情況，并將結果報告管理者以供評審。 6 7 A處置 保持和改進ISMS 基于 ISMS內部審核和管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續(xù)改進 ISMS。 8 規(guī)定你應該做什么 并形成文件 做文件已規(guī)定的事情 PLAN DO LOGO ? 實施和運行 ISMS PDCA a) 制定風險處理計劃（見條款 5）。 b) 實施風險處理計劃。 c) 實施 (g）中所選擇的控制措施。 d) 測量所選擇的控制措施或控制措施集的有效性（見條款 )）。 e) 實施培訓和意識教育計劃（見條款 ）。 f) 管理 ISMS的運行。 g) 管理 ISMS的資源（見條款 ）。 h) 事件和事故響應（見條款 a）。 LOGO PDCA與 48條款關系 PDCA各階段 內容 對應標準條款 P規(guī)劃 建立 ISMS 建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結果。 5 D實施 實施和運行ISMS 實施和運行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評審ISMS 對照 ISMS方針、目標和實踐經驗，評估并在適當時，測量過程的執(zhí)行情況，并將結果報告管理者以供評審。 6 7 A處置 保持和改進ISMS 基于 ISMS內部審核和管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續(xù)改進 ISMS。 8 規(guī)定你應該做什么 并形成文件 評審你所做的事情的符合性 做文件已規(guī)定的事情 PLAN DO CHECK LOGO ? 監(jiān)視和評審 ISMS PDCA a) 執(zhí)行監(jiān)視和評審程序和其它控制措施。 b) ISMS有效性的定期評審。 c) 測量控制措施的有效性以驗證安全要求是否被滿足。 d) 按照計劃的時間間隔進行風險評估的評審。 e) 按計劃的時間間隔，對 ISMS進行內部審核（見條款 6）。 f) 定期對 ISMS進行管理評審（見條款 7）。 g) 考慮監(jiān)視和評審活動的結果，以更新安全計劃。 h) 記錄可能影響 ISMS的有效性或執(zhí)行情況的措施和事件（見）。 LOGO ? 6 內部評審 – 術語 PDCA 6 ? 審核 audit 為獲得審核證據并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。 ? 內部審核 internal audit 有時 稱為第一方審核，用于內部目的的，由組織自己或以組織名義進行，可作為組織自我合格聲明的基礎。（條款 注） ? 審核員 auditor 有能力實施審核的人員。 ? 審核方案 audit programme 針對特定時間段所策劃，并具有特定目的的一組 (一次或多次 )審核 ? 符合（合格） conformity 滿足要求 ? 不符合（不合格） nonconformity 未滿足要求 LOGO ? 6 內部評審 – 條款 PDCA 6 ? 按照計劃的時間間隔進行內部 ISMS審核。 ? 審核方案。 ? 審核的客觀和公正，審核員不應審核自己的工作。 ? 文件化內審程序并定義清晰的職責和要求。 ? 受審核區(qū)域的管理者應消除不符合及其原因，并跟蹤驗證。 ? ISO19011:2023 給出了審核指南。 LOGO ? 管理評審 – 總則 PDCA 7 ? 按照計劃的時間間隔進行管理評審，至少一年一次。 ? 包括評估 ISMS改進的機會和變更的需要。 ? 包括信息安全方針和信息安全目標。 ? 評審報告和評審記錄。 LOGO ? 管理評審 – 評審輸入 PDCA 7 a) ISMS審核和評審的結果； b) 相關方的反饋； c) 組織用于改進 ISMS執(zhí)行情況和有效性的技術、產品或程序； d) 預防和糾正措施的狀況； e) 以往風險評估沒有充分強調的脆弱點或威脅； f) 有效性測量的結果； g) 以往管理評審的跟蹤措施； h) 可能影響 ISMS的任何變更； i) 改進的建議。 LOGO ? 管理評審 – 評審輸出 PDCA 7 a) ISMS有效性的改進； b) 風險評估和風險處理計劃的更新； c) 必要時修改影響信息安全的程序，以響應內部或外部可能影響 ISMS的事件； d) 資源需求； e) 正在被測量的控制措施的有效性的改進。 LOGO PDCA與 48條款關系 PDCA各階段 內容 對應標準條款 P規(guī)劃 建立 ISMS 建立與管理風險和改進信息安全有關的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結果。 5 D實施 實施和運行ISMS 實施和運行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評審ISMS 對照 ISMS方針、目標和實踐經驗，評估并在適當時，測量過程的執(zhí)行情況，并將結果報告管理者以供評審。 6 7 A處置 保持和改進ISMS 基于 ISMS內部審核和管理評審的結果或者其他相關信息，采取糾正和預防措施，以持續(xù)改進 ISMS。 8 規(guī)定你應該做什么 并形成文件 評審你所做的事情的符合性 做文件已規(guī)定的事情 采取糾正和預防措施， 持續(xù)改進 PLAN DO CHECK ACT LOGO ? 保持和