【文章內(nèi)容簡(jiǎn)介】 組織需要“量身定做”的實(shí)際工作的標(biāo)準(zhǔn)。對(duì)一般員工來說，在其實(shí)際工作中，可以不過問 ISMS標(biāo)準(zhǔn) (ISO/IEC 27001:2023)，但必須按照 ISMS文件的要求執(zhí)行工作。 ? 是控制措施（ controls）的重要部分。 ? 提供客觀證據(jù) 為滿足相關(guān)方要求，以及持續(xù)改進(jìn)提供依據(jù)。 ? 提供適宜的內(nèi)部培訓(xùn)的依據(jù)。 ? 提供 ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場(chǎng)審核。 LOGO ? 包含文件 總則 序號(hào) 文件名稱 標(biāo)準(zhǔn)條款 1 ISMS策略和目標(biāo) a) 2 ISMS范圍 b) 3 風(fēng)險(xiǎn)評(píng)估方法的描述 b) 4 風(fēng)險(xiǎn)評(píng)估報(bào)告 e) 5 風(fēng)險(xiǎn)處理計(jì)劃 f) 6 適用性聲明 i) 7 標(biāo)準(zhǔn)要求的紀(jì)錄 h) 8 文件控制程序 9 記錄控制程序 10 內(nèi)部審核程序 6 11 管理評(píng)審程序 12 糾正措施程序 13 預(yù)防措施程序 注 1：本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處， 即要求建立該程序，形成文件，并加以實(shí)施和保持。 LOGO ? 文件控制 a) 批準(zhǔn) b) 評(píng)審、更新并再批準(zhǔn)； c) 修訂狀態(tài)得到標(biāo)識(shí)； d) 在使用處可獲得適用文件； e) 清晰、易于識(shí)別； f) 對(duì)需要的人員可用，傳輸、貯存和最終銷毀； g) 外來文件標(biāo)識(shí)； h) 分發(fā)控制； i) 防止作廢文件的非預(yù)期使用； j) 作廢文件的標(biāo)識(shí)。 LOGO ? 記錄控制 a) 建立并保持，以提供證據(jù)。 b) 保護(hù)和控制。應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。 c) 清晰、易于識(shí)別和檢索。 d) 記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。 e) 記錄的詳略程度應(yīng)通過管理過程確定。 f) 應(yīng)保留 ISMS有關(guān)的安全事故的記錄。 LOGO ? 管理承諾 PDCA 5 a) 制定 ISMS方針； b) 確保 ISMS目標(biāo)和計(jì)劃得以制定； c) 建立信息安全的角色和職責(zé)； d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性； e) 提供足夠資源，以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn) ISMS （見 ）； f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別； g) 確保 ISMS內(nèi)部審核的執(zhí)行（見第 6章）； h) 實(shí)施 ISMS的管理評(píng)審（見第 7章）。 LOGO ? 資源管理 PDCA 5 資源提供 應(yīng)確定并提供信息安全工作所需的資源－人、財(cái)、物 培訓(xùn)、意識(shí)和能力 ① 確保所有分配有 ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力 ② 確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性，以及如何為達(dá)到 ISMS目標(biāo)做出貢獻(xiàn)。 LOGO PDCA與 48條款關(guān)系 PDCA各階段 內(nèi)容 對(duì)應(yīng)標(biāo)準(zhǔn)條款 P規(guī)劃 建立 ISMS 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。 5 D實(shí)施 實(shí)施和運(yùn)行ISMS 實(shí)施和運(yùn)行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評(píng)審ISMS 對(duì)照 ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。 6 7 A處置 保持和改進(jìn)ISMS 基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMS。 8 規(guī)定你應(yīng)該做什么 并形成文件 做文件已規(guī)定的事情 PLAN DO LOGO ? 實(shí)施和運(yùn)行 ISMS PDCA a) 制定風(fēng)險(xiǎn)處理計(jì)劃（見條款 5）。 b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃。 c) 實(shí)施 (g）中所選擇的控制措施。 d) 測(cè)量所選擇的控制措施或控制措施集的有效性（見條款 )）。 e) 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃（見條款 ）。 f) 管理 ISMS的運(yùn)行。 g) 管理 ISMS的資源（見條款 ）。 h) 事件和事故響應(yīng)（見條款 a）。 LOGO PDCA與 48條款關(guān)系 PDCA各階段 內(nèi)容 對(duì)應(yīng)標(biāo)準(zhǔn)條款 P規(guī)劃 建立 ISMS 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。 5 D實(shí)施 實(shí)施和運(yùn)行ISMS 實(shí)施和運(yùn)行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評(píng)審ISMS 對(duì)照 ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。 6 7 A處置 保持和改進(jìn)ISMS 基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMS。 8 規(guī)定你應(yīng)該做什么 并形成文件 評(píng)審你所做的事情的符合性 做文件已規(guī)定的事情 PLAN DO CHECK LOGO ? 監(jiān)視和評(píng)審 ISMS PDCA a) 執(zhí)行監(jiān)視和評(píng)審程序和其它控制措施。 b) ISMS有效性的定期評(píng)審。 c) 測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。 d) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審。 e) 按計(jì)劃的時(shí)間間隔，對(duì) ISMS進(jìn)行內(nèi)部審核（見條款 6）。 f) 定期對(duì) ISMS進(jìn)行管理評(píng)審（見條款 7）。 g) 考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果，以更新安全計(jì)劃。 h) 記錄可能影響 ISMS的有效性或執(zhí)行情況的措施和事件（見）。 LOGO ? 6 內(nèi)部評(píng)審 – 術(shù)語 PDCA 6 ? 審核 audit 為獲得審核證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的、獨(dú)立的并形成文件的過程。 ? 內(nèi)部審核 internal audit 有時(shí) 稱為第一方審核，用于內(nèi)部目的的，由組織自己或以組織名義進(jìn)行，可作為組織自我合格聲明的基礎(chǔ)。（條款 注） ? 審核員 auditor 有能力實(shí)施審核的人員。 ? 審核方案 audit programme 針對(duì)特定時(shí)間段所策劃，并具有特定目的的一組 (一次或多次 )審核 ? 符合（合格） conformity 滿足要求 ? 不符合（不合格） nonconformity 未滿足要求 LOGO ? 6 內(nèi)部評(píng)審 – 條款 PDCA 6 ? 按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部 ISMS審核。 ? 審核方案。 ? 審核的客觀和公正，審核員不應(yīng)審核自己的工作。 ? 文件化內(nèi)審程序并定義清晰的職責(zé)和要求。 ? 受審核區(qū)域的管理者應(yīng)消除不符合及其原因，并跟蹤驗(yàn)證。 ? ISO19011:2023 給出了審核指南。 LOGO ? 管理評(píng)審 – 總則 PDCA 7 ? 按照計(jì)劃的時(shí)間間隔進(jìn)行管理評(píng)審，至少一年一次。 ? 包括評(píng)估 ISMS改進(jìn)的機(jī)會(huì)和變更的需要。 ? 包括信息安全方針和信息安全目標(biāo)。 ? 評(píng)審報(bào)告和評(píng)審記錄。 LOGO ? 管理評(píng)審 – 評(píng)審輸入 PDCA 7 a) ISMS審核和評(píng)審的結(jié)果； b) 相關(guān)方的反饋； c) 組織用于改進(jìn) ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序； d) 預(yù)防和糾正措施的狀況； e) 以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅； f) 有效性測(cè)量的結(jié)果； g) 以往管理評(píng)審的跟蹤措施； h) 可能影響 ISMS的任何變更； i) 改進(jìn)的建議。 LOGO ? 管理評(píng)審 – 評(píng)審輸出 PDCA 7 a) ISMS有效性的改進(jìn)； b) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新； c) 必要時(shí)修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響 ISMS的事件； d) 資源需求； e) 正在被測(cè)量的控制措施的有效性的改進(jìn)。 LOGO PDCA與 48條款關(guān)系 PDCA各階段 內(nèi)容 對(duì)應(yīng)標(biāo)準(zhǔn)條款 P規(guī)劃 建立 ISMS 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。 5 D實(shí)施 實(shí)施和運(yùn)行ISMS 實(shí)施和運(yùn)行 ISMS方針、控制措施、過程和程序。 C檢查 監(jiān)視和評(píng)審ISMS 對(duì)照 ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。 6 7 A處置 保持和改進(jìn)ISMS 基于 ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMS。 8 規(guī)定你應(yīng)該做什么 并形成文件 評(píng)審你所做的事情的符合性 做文件已規(guī)定的事情 采取糾正和預(yù)防措施， 持續(xù)改進(jìn) PLAN DO CHECK ACT LOGO ? 保持和