引 言
0.1 總則
本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Information Security
Management System，簡稱 ISMS）提供模型。采用 ISMS 應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織
的 ISMS 的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述
因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實(shí)施 ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情
況可采用簡單的 ISMS 解決方案。
本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估。
0.2 過程方法
本標(biāo)準(zhǔn)采用一種過程方法來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)一個(gè)組織的 ISMS。
一個(gè)組織必須識別和管理眾多活動使之有效運(yùn)作。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的任意
活動，可以視為一個(gè)過程。通常，一個(gè)過程的輸出可直接構(gòu)成下一過程的輸入。
一個(gè)組織內(nèi)諸過程的系統(tǒng)的運(yùn)用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標(biāo)準(zhǔn)中提出的用于信息安全管理的過程方法鼓勵其用戶強(qiáng)調(diào)以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標(biāo)的需要；
b) 從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，實(shí)施和運(yùn)行控制措施，以管理組織的信息安全風(fēng)險(xiǎn)；
c) 監(jiān)視和評審 ISMS 的執(zhí)行情況和有效性；
d) 基于客觀測量的持續(xù)改進(jìn)。
本標(biāo)準(zhǔn)采用了“規(guī)劃（Plan）-實(shí)施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型
可應(yīng)用于所有的 ISMS 過程。圖 1 說明了 ISMS 如何把相關(guān)方的信息安全要求和期望作為輸入，并通過
必要的行動和過程，產(chǎn)生滿足這些要求和期望的信息安全結(jié)果。圖 1 也描述了 4、5、6、7 和 8 章所提
出的過程間的聯(lián)系。
采用 PDCA 模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的 OECD 指南（2002 版）1中所設(shè)置的原則。本
標(biāo)準(zhǔn)為實(shí)施 OECD 指南中規(guī)定的風(fēng)險(xiǎn)評估、安全設(shè)計(jì)和實(shí)施、安全管理和再評估的原則提供了一個(gè)強(qiáng)
健的模型。
例 1：某些信息安全缺陷不至于給組織造成嚴(yán)重的財(cái)務(wù)損失和/或使組織陷入困境，這可能是一種要
求。
例 2：如果發(fā)生了嚴(yán)重的事故——可能是組織的電子商務(wù)網(wǎng)站被黑客入侵——應(yīng)有經(jīng)充分培訓(xùn)的員
工按照適當(dāng)?shù)某绦?，將事件的影響降至最小。這可能是一種期望。
0.3 與其它管理體系的兼容性
本標(biāo)準(zhǔn)與 GB/T 19001-2000 及 GB/T 24001-1996 相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí) 施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表 C.1 說明了本標(biāo)準(zhǔn)、GB/T 19001-2000（ISO 9001:2000）和 GB/T 24001-1996（ISO 14001:2004）的各條款之間的關(guān)系。
本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。 IV 規(guī)劃（建立 ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的 ISMS 方針、目 標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致 的結(jié)果。

信息技術(shù) 安全技術(shù) 信息安全管理體系要求

重點(diǎn)：本出版物不聲稱包括一個(gè)合同所有必要的規(guī)定。用戶負(fù)責(zé)對其進(jìn)行正確的應(yīng)用。符合標(biāo)準(zhǔn)本身并 不獲得法律義務(wù)的豁免。
1 范圍
1.1
總則
本標(biāo)準(zhǔn)適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。本標(biāo)準(zhǔn)從組織的整體 業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的 ISMS 規(guī)定了要求。它規(guī)定 了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。
ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施，以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。
注1：本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核心活動。
注2：ISO/IEC 17799提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。
1.2 應(yīng)用
本標(biāo)準(zhǔn)規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對于 4、5、6、7 和 8 章的要求不能刪減。
為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證 明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評估和適用法律法規(guī)要求所確定的安全 要求的能力和/或責(zé)任，否則不能聲稱符合本標(biāo)準(zhǔn)。
注：如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與 ISO 9001 或者 ISO 14001 相 關(guān)的），那么在大多數(shù)情況下，更可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。
2 規(guī)范性引用文件
下列參考文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本 標(biāo)準(zhǔn)；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標(biāo)準(zhǔn)。 ISO/IEC 17799:2005，信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則。
3 術(shù)語和定義
本標(biāo)準(zhǔn)采用以下術(shù)語和定義。
3.1 資產(chǎn) asset
任何對組織有價(jià)值的東西[ISO/IEC 13335-1:2004]。
3.2 可用性 availability
根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3 保密性 confidentiality
信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4 信息安全 information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性 等特性[ISO/IEC 17799：2005]。
3.5 信息安全事件 information security event
信息安全事件是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反 或防護(hù)措施的失效，或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6 信息安全事故 information security incident
一個(gè)信息安全事故由單個(gè)的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務(wù)運(yùn)作和威 脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7 信息安全管理體系（ISMS） information security management system（ISMS）
是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改 進(jìn)信息安全的。
注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、程序、過程和資源。
3.8 完整性 integrity
保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。
3.9 殘余風(fēng)險(xiǎn) residual risk
經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。
3.10 風(fēng)險(xiǎn)接受 risk acceptance
接受風(fēng)險(xiǎn)的決定[ISO/IEC Guide 73：2002]。
3.11 風(fēng)險(xiǎn)分析 risk analysis
系統(tǒng)地使用信息來識別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)[ISO/IEC Guide 73：2002]。
3.12 風(fēng)險(xiǎn)評估 risk assessment
風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個(gè)過程[ISO/IEC Guide 73：2002]。
3.13 風(fēng)險(xiǎn)評價(jià) risk evaluation
將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程[ISO/IEC Guide 73：2002]。
3.14 風(fēng)險(xiǎn)管理 risk management
指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動[ISO/IEC Guide 73：2002]。
3.15 風(fēng)險(xiǎn)處理 risk treatment
選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程[ISO/IEC Guide 73：2002]。
注：在本標(biāo)準(zhǔn)中，術(shù)語“控制措施”被用作“措施”的同義詞。
3.16 適用性聲明 statement of applicability
描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。
注：控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于 信息安全的業(yè)務(wù)要求。
4 信息安全管理體系（ISMS）
4.1 總要求
一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn) 文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
組織應(yīng)：
a) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定 ISMS 的范圍和邊界，包括對例外于此范 圍的對象作出詳情和合理性的說明（見 1.2）。
b) 根據(jù)業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、位置、資產(chǎn)和技術(shù)，確定 ISMS 方針，應(yīng)：
1)為其目標(biāo)建立一個(gè)框架并為信息安全行動建立整體的方向和原則；
2）考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；
3）在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下，建立和保持 ISMS；
4）建立風(fēng)險(xiǎn)評價(jià)的準(zhǔn)則[見 4.2.1 c]]；
5）獲得管理者批準(zhǔn)。
注：就本標(biāo)準(zhǔn)的目的而言，ISMS 方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在 一個(gè)文件中進(jìn)行描述。
c) 確定組織的風(fēng)險(xiǎn)評估方法
1）識別適合 ISMS、已識別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評估方法。
2）制定接受風(fēng)險(xiǎn)的準(zhǔn)則，識別可接受的風(fēng)險(xiǎn)級別（見 5.1f）。
選擇的風(fēng)險(xiǎn)評估方法應(yīng)確保風(fēng)險(xiǎn)評估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。
注：風(fēng)險(xiǎn)評估具有不同的方法。在 ISO/IEC TR 13335-3《信息技術(shù) IT 安全管理指南：IT 安全 管理技術(shù)》中描述了風(fēng)險(xiǎn)評估方法的例子。
d) 識別風(fēng)險(xiǎn)

1）識別 ISMS 范圍內(nèi)的資產(chǎn)及其責(zé)任人2；
2）識別資產(chǎn)所面臨的威脅；
3）識別可能被威脅利用的脆弱點(diǎn)；
4）識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。
e) 分析和評價(jià)風(fēng)險(xiǎn)
1)在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造 成的對組織的影響。
2)評估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對資產(chǎn)的影響以及當(dāng)前所實(shí)施的控 制措施。
3)估計(jì)風(fēng)險(xiǎn)的級別。
4)確定風(fēng)險(xiǎn)是否可接受，或者是否需要使用在 4.2.1 c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處
f) 識別和評價(jià)風(fēng)險(xiǎn)處理的可選措施
可能的措施包括：

1)采用適當(dāng)?shù)目刂拼胧?br /> 2)在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下，有意識地、客觀地接受風(fēng)險(xiǎn)[見 4.2.1 c)2)]；
3)避免風(fēng)險(xiǎn)；
4)將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方，如：保險(xiǎn)，供應(yīng)商等。
g) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施 應(yīng)選擇和實(shí)施控制目標(biāo)和控制措施以滿足風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程中所識別的要求。這種選擇
應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則（見 4.2.1c）2））以及法律法規(guī)和合同要求。 從附錄 A 中選擇控制目標(biāo)和控制措施應(yīng)成為此過程的一部分，該過程適合于滿足這些已識別的 要求。
附錄 A 所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施，組織也可能需要選擇另 外的控制目標(biāo)和控制措施。
注：附錄 A 包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄 A 作為選擇 控制措施的出發(fā)點(diǎn)，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)
i) 獲得管理者對實(shí)施和運(yùn)行 ISMS 的授權(quán)
j) 準(zhǔn)備適用性聲明（SoA）
應(yīng)從以下幾方面準(zhǔn)備適用性聲明：
1） 從 4.2.1 g）選擇的控制目標(biāo)和控制措施，以及選擇的理由；
2） 當(dāng)前實(shí)施的控制目標(biāo)和控制措施（見 4.2.1e）2））；
3） 對附錄 A 中任何控制目標(biāo)和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺 漏控制措施。
詳情請下載附件