AgendaAISO27001新标准的变化和关注点BISO27001标准详解CISO27001113项控制措施概述DISMS审核E答疑F考试作业1请抄写ISO27001正文4-10的标题内容和附录A5-A18的标题内容2请制定信息安全管理体系方针、目标3请编制一个风险处理计划的表格(表格应包含的字段即可)4请编制一个检查表(每组一个控制域)内审员的能力如何定义?内审员的能力如何定义?1范围本国际标准规定了在组织背景下建立、实施、维护和持续改进信息安全管理体系。本标准还包括信息安全风险评估和处置要求,可裁剪以适用于组织。本国际标准的要求是通用的,适用于所有的组织,不考虑类型、规模和特征。当组织声称符合本国际标准时,任何条款4-10的排除是不可接受的。2规范性引用文件下列参考文件是本文件的标准参考,也是应用本文件必不可缺的。对于标注日期的引用文件,仅适用于引用版本。对于不标注日期的引用文件,适用于最新版本的引用文件。ISO/IEC27000,信息技术—安全技术—信息安全管理体系-简介和词汇表。3术语和定义ISO27000的术语和定义适用于本文件4组织环境4.1理解组织及其环境组织应当确定与信息安全管理体系目的相关联及影响其实现预期结果能力的外部及内部环境。注:确定这些问题参考ISO31000:2009中5.3条款的建立组织外部和内部环境;4组织环境4.2理解相关方的需求和期望组织应确定:a)信息安全管理体系的利益相关方;b)这些利益相关方的信息安全相关要求;注:利益相关方的要求可能包括法律、法规要求和合同责任。4组织环境4.3确定信息安全管理体系范围组织应确定信息安全管理体系的边界和应用性,以建立其范围。当确定此范围时,组织应考虑:a)4.1所提及的外部和内部问题;b)4.2所提及的要求;c)接口和组织执行的活动之间的依赖关系,以及其他组织执行的活动。范围应成为文件化信息。4组织环境4.4信息安全管理体系组织应按照本国际标准的要求建立、实施、维护和持续改进信息安全管理体系。5领导力5.1领导力和承诺最高管理者应当展示关注信息安全管理体系的领导力和承诺,通过:a)确保建立信息安全方针和信息安全目标,并与组织的战略方向兼容;b)确保信息安全管理体系要求融合到组织的流程中;c)确保信息安全体系所需要的资源;d)沟通有效信息安全管理的重要性,并符合信息安全管理体系的要求;e)确保信息安全管理休系达到预期的成果;f)指导和支持员工对信息安全管理体系的有效性做出贡献;g)促进持续改进;h)支持其他相关管理角色来展示其领导力,当适用其职责范围时。5.领导力5.2方针最高管理层应建立一个信息安全方针:a)与组织的目标相关适应;b)包括信息安全目标(见6.2),或提供制定信息安全目标的框架;c)包括满足适用信息安全要求的承诺;d)包括信息安全管理体系持续改进的承诺;信息安全方针应:a)成为文件化的信息;b)在组织内部沟通;c)适当时,提供给利益相关方;5领导力5.3组织角色、职责和权限最高管理层应确保信息安全相关角色的职责和权限的分配和沟通。最高管理层应指定责任和授权,以:a)确保信息安全管理体系符合本国际标准的要求;b)将信息安全管理体系绩效报告给最高管理层;注:最高管理层可以为组织内信息安全管理体系绩效报告指派职责和授权。6.策划6.1针对风险和机会所采取的措施6.1.1总则当进行信息安全管理体系策划时,组织应当考虑在4.1条款中提到的事宜及4.2条款中规定的要求,并确定需要关注的风险和机会,以:a)确保信息安全管理体系能够实现其预期结果b)预防或降低不希望得到的影响c)实现持续改进组织应当计划:a)针对这些风险和机会所采取的措施,以及b)如何1.将这些措施整合进信息安全管理体系过程之中,2.评价这些措施的有效性6策划6.1.2信息安全风险评估组织应定义和应用信息安全风险评估流程,以:a)建立和维护信息安全标准,包括1)风险接受准则;2)执行信息安全风险评估准则;b)确保可重复的信息安全风险评估生成一致、有效和可比较的结果c)识别信息安全风险1)应用信息安全风险评估流程,识别ISMS范围内信息保密性、完整性和可用性损失的风险;2)识别风险所有者;6.策划d)分析信息安全风险1)评估在6.1.2c)1)中识别风险导致的潜在后果2)评估在6.1.2c)1)中...
