ISO27001信息安全管理体系 要求-4.2建立并管理ISMS

建立并管理ISMS

4.2.1 建立ISMS
组织应：
a) 根据组织业务特征、组织、地理位置、资产、技术(Technology)以及任何删减的细节和合理性
ISO27001：2005 信息安全管理体系要求
文件名称信息安全(safe)管理体系要求页 码- 12 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
来确定ISMS范围 ；
b) 根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针，方针应 ：
1) 包括建立目标的框架，并建立信息安全活动的总方向和总原则；
2) 考虑业务和法律(law)法规要求，以及合同安全义务；
3) 根据组织战略性的风险(risk)管理框架，建立和保持ISMS；
4) 建立风险评价的准则和定义风险评估的结构(Structure) [见4.2.1c]；
5) 经过了管理层的批准。ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。
注：本文件中将ISMS方针作为信息安全策略的一个扩展集。这些策略可以在同一个文件中描述。
c) 确定组织的风险评估方法：
1) 识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法(method)；
2) 开发确定风险接受准则，识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复（repeat)的结果。
注：存在多种风险(risk)评估方法。如，在ISO/IEC TR13335-3《IT安全(safe)管理指南－IT安全管理技术》中讨
论的风险评估方法。
d) 识别风险：
1) 识别ISMS范围内的资产(assets)及资产所有者；
2) 识别资产(assets)的威胁；
3) 识别可能（maybe)被威胁利用的脆弱点；
4) 识别资产(assets)保密性、完整性、可用性损失（loss)的影响。
e) 分析并评价风险：
1) 评估安全失效可能导致的组织业务影响，考虑因资产保密性、完整性、可用性
的损失而导致的后果；
2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制，评估安
全失效发生的现实可能性；
3) 估计风险(risk)的等级 ；
4) 根据4.2.1c）2）已建立的准则，判断风险是否可接受或需要处理。
f) 识别和评价风险(risk)处理(processing)的选择：
可行的措施包括：
1) 实施适当的控制；
2) 在确切满足组织策略和风险接受准则的前提下，有意识地、客观地接受风险[见
4.2.1c）2）] ；
3) 规避风险(risk)；
4) 将相关业务风险转嫁给他方，如保险公司、供方。
g) 选择风险处理的控制目标和控制方式。
应选择并控制目标(cause)和控制措施（指针对问题的解决办法)，以满足风险评估和风险处置过程(process)所识别的要求。选择
时，应考虑（consider)接受风险的准则（见4.2.1 C））以及法律(law)法规和合同要求。ISO27001认证组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。
ISO27001：2005 信息安全管理体系要求
文件名称信息安全管理体系要求页 码- 13 -
文件编号ISO27001:2005 Chs 版 本V1.0
日 期2005/11 译 者刘青
从附录A中选择的控制目标和控制方式应作为这一过程的一部分，并满足这些要求。
附录A的控制目标和控制方式并不详尽，可以选择其他的控制目标和控制方式。
注：附录A包含了广泛的通用控制目标和控制措施列表。本标准的附录A为用户提供选择控制措施的出
发点，以避免遗漏重要的控制选择。
h) 管理层批准建议的残留风险(risk)；
i) 获得管理层对实施和运行ISMS的授权；
j) 准备适用性声明
应起草适用性声明，该声明应包括以下方面内容：
1) 4.2.1g)中选择(Select)的控制目标和控制措施，以及选择的原因；
2) 最新实施的控制目标和控制措施（指针对问题的解决办法)（见4.2.2e）2)）
3) 附录A中控制（control)目标(cause)和控制措施的删减，以及删减的合理性。
注：适用性声明提供了一个风险处置决策的总结。通过判断删减的合理性，再次确认控制（control)目标(cause)没有被
无意识的遗漏。军工认证的意义:有利于增强产品的竞争力，提高产品的市场占有率。通过有效的风险管理，有效降低产品出现质量事故或不良事件的风险。提高员工的责任感，积极性和奉献精神。