LCS35.040
L 80
中 华
2008-06-
0
华 人
信
Im
Imformat
-19 发布
人 民
信息
信息安
formatio
tion secu
中华人民
中 国 国
民 共
息技术
安全管
on techno
urity ma
(ISO/IEC
民共和国国
国 家 标
和
GB/
术 安
管理体
ology-Se
anagement
C 27001:2
国家质量监
标 准 化
国
/T 22080-
安全技
体系
curity t
t systems
2005,IDT)
监督检验检
管 理 委
国 家
-2008/ISO
技术
要求
technique
s - Requ
)
2
检疫总局
委 员 会
家 标
O/IEC 270
求
es-
uirements
2008-11-
发 布
标 准
001:2005
s
01 实施
5
全国免费服务热线:800-801-226
http://www.jinzheng.org 2
目 次
前言……………………………………………………………………………………………………………3
引言……………………………………………………………………………………………………………4
1 范围……………………………………………………………………………………………………… 6
2 规范性引用文件………………………………………………………………………………………… 6
3 术语和定义……………………………………………………………………………………………… 6
4 信息安全管理体系(ISMS)…………………………………………………………………………… 8
5 管理职责…………………………………………………………………………………………………12
6 ISMS内部审核……………………………………………………………………………………………13
7 ISMS的管理评审…………………………………………………………………………………………13
8 ISMS改进…………………………………………………………………………………………………14
附录 A(规范性附录) 控制目标和控制措施………………………………………………………………16
附录 B(资料性附录) OECD 原则和本标准………………………………………………………………26
附录 C(资料性附录) GB/T19001-2000,GB/T24001-2004 和本标准之间的对照……………………27
参考文献
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 3
前 言
本标准等同采用 ISO/IEC27001:2005《信息技术 安全技术 信息安全管理体系 要求》,仅有编辑
性修改。
本标准的附录 A 是规范性附录,附录 B 和附录 C 是资料性附录。
本标准由中华人民共和国信息产业部提出。
本标准是全国信息安全标准化技术委员会归口。
本标准由中国电子技术标准化研究所、上海三零卫士有限公司、北京知识安全工程中心、北京市
信息安全测评中心、北京数字认证中心负责起草。
本标准的主要起草人:上官晓丽、许玉娜、胡啸、王新杰、赵战生、王连强、曾波、孔一童、刘
海峰、汤永利、尚小鹏、闵京华。
全国免费服务热线:800-801-226
http://www.jinzheng.org 4
引 言
0.1 总则
本标准用于建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security
Management System,简称 ISMS)提供模型。采用 ISMS 应当是一个组织的一项战略性决策。一个组织
ISMS 的
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因
素及其支持系统会不断发生变化。按照组织的需要实施 ISMS 是本标准所期望的,例如,简单的情况
可采用简单的 ISMS 解决方案。
本标准可被内部和外部相关方用于一致性评估。
0.2 过程方法
本标准采用过程方法来建立、实施、运行、监视、评审、保持和改进组织的 ISMS。
为使组织有效运作,需要识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为
输出的活动可视为过程。通常,一个过程的输出直接形成下一个过程的输入。
组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理,可称之为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的重要性:
a) 理解组织的信息安全要求和建立信息安全方针与目标的需要;
b) 从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
c) 监视和评审 ISMS 的执行情况和有效性;
d) 基于客观测量的持续改进。
本标准采用了“规划(Plan)—实施(Do)—检查(Check)—处置(Act)”(PDCA)模型,该模
型可应用于所有的 ISMS 过程。图 1 说明了 ISMS 如何把相关方的信息安全要求和期望作为输入,并通
过必要的行动和过程,产生满足这些要求和期望的信息安全结果。图 1 也描述了第 4 章、第 5 章、第
6 章、第 7 章和第 8 章所提出的过程间的关系。
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 5
采用 PDCA 模型还反映了治理信息系统和网络安全的 OECD 指南(2002 版)1)中所设置的原则。本
标准为实施 OECD 指南中规定的风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强
健的模型。
例 1:某些信息安全违规不至于给组织造成严重的财务损失和/或使组织陷入困境。这可能是一种要求。
例 2:如果发生了严重的事件(可能是组织的电子商务网站被黑客入侵)应有经充分培训的员工按照适当
的规程,将事件的影响降至最小。这可能是一种期望。
规划(建立 ISMS) 建立与管理风险和改进信息安全有关的 ISMS 方针、目标、过程和规程,以提供与组织总方针和总目标一致的结果。
实施(实施和运行 ISMS) 实施和运行 ISMS 方针、控制措施、过程和结果。
检查(监视和评审 ISMS) 对照 ISMS 方针、目标和实践经验,评估并在适当时测量过程的执行情况,并将结果
报告
软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载
管理者以供评审。
处置(保持和改进 ISMS) 基于 ISMS 内部审核和管理评审的结果或者其它相关信息,采取纠正和预防措施,以持续改进 ISMS。
0.3 与其它管理体系的兼容性
本标准与 GB/T19001-2000 及 GB/T24001-2004 相结合,以支持与相关管理标准一致的、整合的实
施与运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表 C1 说明了本标准、
GB/T19001-2000 和 GB/T24001-2004 的各条款之间的关系。
本标准的设计能够使一个组织将其 ISMS 与其它相关的管理体系要求结合或整合起来。
1)OECD 信息系统和网络安全指南——面向安全文化。巴黎:OECD,2002 年 7 月。www.oecd.org
全国免费服务热线:800-801-226
http://www.jinzheng.org 6
信息技术 安全技术
信息安全管理体系 要求
重要提示:本出版物不声称包括一个
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
所必要的条款。用户负责对其进行正确的应用。符合本
标准并不获得法律责任的豁免。
1 范围
1.1 总则
本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。本标准从组织的整
体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系(ISMS)
规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS 的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
注 1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注 2:GB/T22081-2008 提供了设计控制措施时可使用的实施指南。
1.2 应用
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合标准时,对于
第 4 章、第 5 章、第 6 章、第 7 章和第 8 章的要求不能删减。
为了满足风险接受准则必要的进行的任何控制措施的删减,必须证明是合理的,且需要提供证据
证明相关风险已被负责人接受。除非删减不影响组织满足风险评估和适用法律法规要求所确定的安全
要求的能力和/或责任,否则不能声称符合本标准。
注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与 GB/T19001-2000 或者 GB/T24001-2004
相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
的各方
研究是否可以使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T22081-2008 信息技术 安全技术 信息安全管理实用规则(ISO/IEC27002:2005,IDT)
3 术语和定义
下列术语和定义适用于本标准。
3.1 资产 asset
对组织有价值的任何东西。[ISO/IEC 13335-1:2004]
3.2 可用性 availability
根据授权实体的要求可访问和利用的特性。[ISO/IEC 13335-1:2004]
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 7
3.3 保密性 confidentiality
信息不能被未授权的个人、实体或者过程利用或知悉的特性。[ISO/IEC 13335-1:2004]
3.4 信息安全 information security
保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠
性等。[GB/T22081-2008]
3.5 信息安全事态 information security event
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违
反或防护措施的失效,或是和安全关系的一个先前未知的状态。[GB/Z 20985-2007]
3.6 信息安全事件 information security incident
一个信息事件由单一的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁
信息安全的极大可能性。[GB/Z 20985-2007]
3.7 信息安全管理体系(ISMS) information security management system (ISMS)
基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织
整个管理体系的一部分。
注:管理体系包括组织结构、策略、规划活动、职责、实践、程序、过程和资源。
3.8 完整性 integrity
保护资产的准确和完整的特性。 [ISO/IEC 13335-1:2004]
3.9 残余风险 residual risk
经过风险处理后遗留的风险。[ISO/IEC Guide 73:2002]
3.10 风险接受 risk acceptance
接受风险的决定。[ISO/IEC Guide 73:2002]
3.11 风险分析 risk analysis
估计风险大小的系统过程。[ISO/IEC Guide 73:2002]
3.12 风险评估 risk assessment
风险分析和风险评价的整个过程。[ISO/IEC Guide 73:2002]
3.13 风险评价 risk evaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。[ISO/IEC Guide 73:2002]
3.14 风险管理 risk management
指导和控制一个组织相关风险的协调活动。[ISO/IEC Guide 73:2002]
3.15 风险处理 risk treatment
选择并且执行控制措施来减轻风险的过程。[ISO/IEC Guide 73:2002]
3.16 适用性声明 statement of applicability
全国免费服务热线:800-801-226
http://www.jinzheng.org 8
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。
注:控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组
织对于信息安全的业务需要。
4 信息安全管理体系(ISMS)
4.1 总要求
一个组织应在其整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审、保持
和改进文件化的 ISMS。在本标准中,所使用的过程基于图 1 所示的 PDCA 模型。
4.2 建立和管理 ISMS
4.2.1 建立 ISMS
组织应做以下方面的工作:
a) 根据业务、组织、位置、资产和技术等方面的特性,确定 ISMS 的范围和边界,包括对范
围删减的详细说明和正当性理由(见 1.2)。
b) 根据业务、组织、位置、资产和技术等方面的特性,确定 ISMS 方针。ISMS 方针应:
1) 包括设定目标的框架和建立信息安全工作的总方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持 ISMS;
4) 建立风险评价的准则(见 4.2.1 c);
5) 获得管理者批准。
注:就本标准的目的而言,ISMS 方针被认为是信息安全方针的一个扩展集。这些方针可以在一个
文件中进行描述。
c) 确定组织的风险评估方法:
1) 识别适合 ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;
2) 制定接受风险的准则,识别可接受的风险级别(见 5.1f))。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在 ISO/IEC TR 13335-3 中描述了风险评估方法的例子。
d) 识别风险:
1) 识别 ISMS 范围内的资产及其责任人 1);
2) 识别资产所面临的威胁;
3) 识别可能被威胁所利用的脆弱性;
———————
1)术语“责任人”标识了已获得管理者的批准,负责生产、开发、维护、使用和保证资产的安全的个人或
实体。术语“责任人”不是指该人实际上对资产拥有所有权。
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 9
4) 识别更丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险:
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况 下,评估安全失效可
能造成的对组织的影响;
2) 根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效
发生的现实可能性;
3) 估计风险的级别;
4) 确定风险是否可接受,或者是否需要使用在 4.2.1c)2)中所建立的接受风险的准则进
行处理。
f) 识别和评价风险处置的可选措施,可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险(见
4.2.1c)2));
3) 避免风险;
4) 将相关业务风险转移至其他方,如:保险,供应商等。
g) 为处理风险选择控制目标和控制措施。
控制目标和控制措施应加以选择和实施,以满足风险评估和风险处置过程中所识别的要求。这种
选择应考虑接受风险的准则(见 4.2.1c)2))以及法律法规和合同要求。
从附录 A 中选择控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要选择另
外的控制目标和控制措施。
注:附录 A 包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录 A 作为选
择控制措施的出发点,以确保不会遗漏重要的可选控制措施。
h) 获得管理者对建议的残余风险的批准。
i) 获得管理者对实施和运行 ISMS 的授权。
j) 准备适用性声明(Statement of Applicability,简称 SoA)。应从以下几方面准备适用性
声明:
1) 4.2.1g)中所选择的控制目标和控制措施,以及选择的理由;
2) 当前实施的控制目标和控制措施(见 4.2.1e)2));
3) 对附录 A 中任何控制目标和控制措施的删减,以及删减的合理性说明。
注:适用性声明提供了一份关于风险处置决定的综述。删减的合理性说明提供交叉检查,以证明不会因疏
忽而遗漏控制措施。
4.2.2 实施和运行 ISMS
组织应
a) 为管理信息安全风险识别适当的管理措施、资源、职责和优先顺序,即:制定风险处置计划
全国免费服务热线:800-801-226
http://www.jinzheng.org 10
(见第 5 章);
b) 实施风险处置计划以达到已识别的控制目标,包括资金安排、角色和职责的分配;
c) 实施 4.2.1g)中所选择的控制措施,以满足控制目标;
d) 确定如何测量所选择的控制措施或控制措施集的有效性,并指明如何用这些测量措施来评估
控制措施的有效性,以产生可比较的和可再现的结果(见 4.2.3c));
注:测量控制措施的有效性可使管理者和员工确定控制措施达到既定的控制目标的程度。
e) 实施培训和意识教育计划(见 5.2.2);
f) 管理 ISMS 的运行;
g) 管理 ISMS 的资源(见 5.2);
h) 实施能够迅速检测安全事态和响应事件的规程和其它控制措施(见 4.2.3a))。
4.2.3 监视和评审 ISMS
组织应:
a) 执行监视与评审规程和其他控制措施,以:
1) 迅速检测过程运行结果中的错误;
2) 迅速识别试图的和得逞的安全违规和事件;
3) 使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执
行;
4) 通过使用指示器,帮助检测安全事态并预防安全事件;
5) 确定解决安全违规的措施是否有效。
b) 在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行 ISMS
有效性的定期评审(包括满足 ISMS 方针和目标,以及安全控制措施的评审)。
c) 测量控制措施的有效性以验证安全要求是否被满足。
d) 按照计划的时间间隔进行风险评估的评审,以及对残余风险和已确定的可接受的风险级别进
行评审,应考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事态,如法律法规环境的变更、合同义务的变更和社会环境的变更。
e) 按计划的时间间隔,实施 ISMS 的内部审核(见第 6 章)。
注:内部审核,有时称为第一方审核,是用于内部目的,由组织自已或以组织的名义所进行的审核。
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 11
f) 定期进行 ISMS 管理评审,以确保 ISMS 范围保持充分,ISMS 过程的改进得到识别(见 7.1)。
g) 考虑监视和评审活动的结果,以更新安全计划。
h) 记录可能影响 ISMS 的有效性或执行情况的措施和事态(见 4.3.3)。
4.2.4 保持和改进 ISMS
组织应经常:
a) 实施已识别的 ISMS 改进。
b) 依照8.2和8.3采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训。
c) 向所有相关方沟通措施和改进情况,其详细程度应与环境相适应,需要时,商定如何进行。
d) 确保改进达到了预期目标。
4.3 文件要求
4.3.1 总则
文件应包括管理决定的记录,以确保所采取的措施符合管理决定和方针策略,还应确保所记录的
结果是可重复产生的。
重要的是,能够显示出所选择的控制措施回溯到风险评估和风险处置过程的结果,并进而回溯到
ISMS 方针和目标之间的关系。
ISMS 文件应包括:
a) 形成文件的 ISMS 方针(见 4.2.1b))和目标;
b) ISMS 的范围(见 4.2.1a));
c) 支持 ISMS 的规程和控制措施;
d) 风险评估方法的描述(见 4.2.1c));
e) 风险评估报告(见 4.2.1c)至 4.2.1g));
f) 风险处置计划(见 4.2.2b));
g) 组织为确保其信息安全过程的有效规划、运行的控制以及描述如何测量控制措施的有效性所
需要的形成文件的规程(见 4.2.3c));
h) 本标准所要求的记录(见 4.3.3);
i) 适用性声明。
注 1:本标准出现“形成文件的规程”之处,既要求建立该规程,形成文件,并加以实施和保持。
注 2:不同组织的 ISMS 文件的详略程度取决于:
——组织的规模和活动的类型;
——安全要求和被管理系统的范围及复杂程度。
注 3:文件和记录可以采用任何形式或类型的介质。
4.3.2 文件控制
全国免费服务热线:800-801-226
http://www.jinzheng.org 12
ISMS 所要求的文件应予以保护和控制。应编制形成文件的规程,以规定以下方面所需的管理措施:
a) 文件发布前得到批准,以确保文件是适当的;
b) 必要时对文件进行评审、更新并再次批准;
c) 确保文件的更改和再行修订状态得到标识;
d) 确保在可使用处可获得适用文件的相关版本;
e) 确保文件保持清晰、易于识别;
f) 确保文件对需要的人员可用,并依照文件适用的类别规程进行传输、贮存和最终销毁;
g) 确保外来文件得到识别;
h) 确保文件的分发得到控制;
i) 防止作废文件的非预期使用;
j) 若因任何目的而保留作废文件时,对这些文件进行适当的标识。
4.3.3 记录控制
应建立记录并加以保持,以提供符合 ISMS 要求和有效运行的证据。应对记录加以保护和控制。
ISMS 的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、
贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。
应保留 4.2 中列出的过程执行记录和所发生的与 ISMS 有关的重大安全事件的记录。
例如:记录包括访客登记薄、审核报告和已完成的访问授权单。
5 管理职责
5.1 管理承诺
管理者应通过以下活动,对建立、实施、运行、监视、评审、保持和改进 ISMS 的承诺提供证据:
a) 制定 ISMS 方针;
b) 确保 ISMS 目标和计划得以制定;
c) 建立信息安全的角色和职责;
d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性;
e) 提供足够资源,以建立、实施、运行、监视、评审、保持和改进 ISMS(见 5.2.1);
f) 决定接受风险的准则和风险的可接受级别;
g) 确保 ISMS 内部审核的执行(见第 6 章);
h) 实施 ISMS 的管理评审(见第 7 章)。
5.2 资源管理
5.2.1 资源提供
组织应确定并提供所需的资源,以:
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 13
a) 建立、实施、运行、评审、监视、保持和改进 ISMS;
b) 确保信息安全规程支持业务要求;
c) 识别和满足法律法规要求、以及合同中的安全义务;
d) 通过正确实施所有的控制措施保持适当的安全;
e) 必要时,进行评审,并适当响应评审的结果;
f) 在需要时,改进 ISMS 的有效性。
5.2.2 培训、意识和能力
组织应通过以下方式,确保所有被赋予 ISMS 职责的人员具有执行所要求任务的能力:
a) 确定从事影响 ISMS 工作的人员所必要的能力;
b) 提供培训或采取其它措施(如聘用有能力的人员)以满足这些需求;
c) 评价所采取的措施的有效性;
d) 保持教育、培训、技能、经历和资格的记录(见 4.3.3)。
组织也应确保所有相关人员意识到他们信息安全活动的相关性和重要性,以及如何为达到 ISMS
目标做出贡献。
6 ISMS 内部审核
组织应按计划的时间间隔进行 ISMS 内部审核,以确定其 ISMS 的控制目标、控制措施、过程和规
程是否:
a) 符合本标准和相关法律法规的要求;
b) 符合已确定的信息安全要求;
c) 得到有效实施和保持;
d) 按预期执行。
应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下,制定审核方案。应
确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。
审核员不应审核自已的工作。
策划
活动策划ppt下载游戏策划下载民宿策划下载游戏策划shu下载英文歌曲大赛策划免费下载
和实施审核、报告结果和保持记录(见 4.3.3)的职责和要求应在形成文件的规程中做出规
定。
负责受审区域的管理者应确保及时采取措施,以消除已发现的不符合及其产生的原因。跟踪活动
应包括对所采取措施的验证和验证结果的报告(见第 8 章)。
注:GB/T19011-2003 也可为实施 ISMS 内部审核提供有用的指导。
7 ISMS 的管理评审
7.1 总则
管理者应按计划的时间间隔(至少每年 1 次)评审组织的 ISMS,以确保其持续的适宜性、充分性
和有效性。评审应包括评做 ISMS 改进的机会和变更的需要,包括信息安全方针和信息安全目标。评
全国免费服务热线:800-801-226
http://www.jinzheng.org 14
审的结果应清晰地形成文件,记录应加以保持(见 4.3.3)。
7.2 评审输入
管理评审的输入应包括:
a) ISMS 审核和评审的结果;
b) 相关方的反馈;
c) 组织用于改进 ISMS 执行情况和有效性的技术、产品或规程;
d) 预防和纠正措施的状况;
e) 以往风险评估没有充分强调的脆弱点或威胁;
f) 有效性测量的结果;
g) 以往管理评审的跟踪措施;
h) 可能影响 ISMS 的任何变更;
i) 改进的建议。
7.3 评审输出
管理评审的输出应包括与以下方面有关的任何决定和措施:
a) ISMS 有效性的改进。
b) 风险评估和风险处置计划的更新。
c) 必要时修改影响信息安全的规程和控制措施,以响应内部或外部可能影响 ISMS 的事态,包括
以下的变更:
1) 业务要求;
2) 安全要求;
3) 影响现有业务要求的业务过程;
4) 法律法规要求;
5) 合同义务;
6) 风险级别和/或接受风险的准则。
d) 资源需求。
e) 控制措施有效性测量方法的改进。
8 改进
8.1 持续改进
组织应利用信息安全方针、安全目标、审核结果、监视事态的分析、纠正和预防措施以及管理评
审(见第 7 章),持续改进 ISMS 的有效性。
8.2 纠正措施
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 15
组织应采取措施,以消除与 ISMS 要求不符合的原因,以防止再发生。形成文件的纠正措施规程,
应规定以下方面的要求:
a) 识别不符合;
b) 确定不符合的原因;
c) 评价确保不符合不再发生的措施需求;
d) 确定和实施所需要的纠正措施;
e) 记录所采取措施的结果(见 4.3.3);
f) 评审所采取的纠正措施。
8.3 预防措施
组织应确定措施,以消除潜在不符合的原因,防止其发生。预防措施应与潜在问题的影响程度相
适应。形成文件的预防措施规程,应规定以下方面的要求:
a) 识别潜在的不符合及其原因;
b) 评价防止不符合发生的措施需求;
c) 确定和实施所需要的预防措施;
d) 记录所采取措施的结果(见 4.3.3);
e) 评审所采取的预防措施。
组织应识别变化的风险,并识别针对重大变化的风险的预防措施的要求。
预防措施的优先级应根据风险评估的结果确定。
注:预防不符合的措施通常比纠正措施更节约成本。
全国免费服务热线:800-801-226
http://www.jinzheng.org 16
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 17
全国免费服务热线:800-801-226
http://www.jinzheng.org 18
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 19
全国免费服务热线:800-801-226
http://www.jinzheng.org 20
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 21
全国免费服务热线:800-801-226
http://www.jinzheng.org 22
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 23
全国免费服务热线:800-801-226
http://www.jinzheng.org 24
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 25
全国免费服务热线:800-801-226
http://www.jinzheng.org 26
GB/T 22080-2008/ISO/IEC 27001:2005
http://www.jinzheng.org 27
全国免费服务热线:800-801-226
http://www.jinzheng.org 28
浙公网安备 33021202002483