第四部分体系文件编写解析.ppt

ISMS内审员培训课程 课程内容 第一部分 信息安全基础知识及案例介绍 第二部分 ISO27001标准正文部分详解 ISO27001标准附录A详解 第三部分 信息安全风险评估与管理 第四部分 体系文件编写 第五部分 信息安全管理体系内部审核 那我们该从哪里开始呢? ISO 27001 正文条款 4.2.1 建立ISMS 组织应做以下方面的工作： 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。 （见 1.2 ） 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应： 包括设定目标的框架和建立信息安全工作的总方向和原则； 考虑业务和法律法规的要求，及合同中的安全义务； 在组织的战略性风险管理环境下，建立和保持ISMS； 建立风险评价的准则（见 4.2.1 c）； 获得管理者批准。 注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。 4.2.1 建立ISMS 确定组织的风险评估方法： 识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法； 制定接受风险的准则，识别可接受的风险级别（见 5.1 f）。 选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 识别风险 识别ISMS范围内的资产及其责任人； 识别资产所面临的威胁； 识别可能被威胁利用的脆弱性； 识别丧失保密性、完整性和可用性可能对资产造成的影响。 4.2.1 建立ISMS … 4.2.1 建立ISMS 准备『适用性声明（SoA） 』 应从以下几方面准备『适用性声明』： 从4.2.1 g）选择的控制目标和控制措施，以及选择的理由； 当前实施的控制目标和控制措施（见4.2.1e）2））； 对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。 4.2.2 实施和运作ISMS … 4.3.1一般文件要求 文件应包括管理决定的记录，以确保所采取的措施符合管理决定和方针策略，还应确保所记录的结果是可重复产生的。 重要的是，能够显示出所选择的控制措施回溯到风险评估和风险处理过程的结果、并进而回溯到ISMS方针和目标之间的关系。 4.3.1一般文件要求 ISMS文件应包括： 形成文件的ISMS方针[见4.2.1b）]和目标； ISMS的范围[见4.2.la）]； 支持ISMS的规程和控制措施； 风险评估方法的描述[见4.2.1c）]； 风险评估报告 [见4.2.1c）到4.2.1g）]； 风险处理计划[见4.2.2b）]； 组织为确保其信息安全过程的有效规划、运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程（见4.2.3c））； 本标准所要求的记录（见4.3.3）； 适用性声明。 4.3.2文件控制 ISMS所要求的文件应予以保护和控制。应编制形成文件的规程，以规定以下方面所需的管理措施： 在文件发布前得到批准，以确保文件是适当的； 必要时对文件进行评审、更新并再次批准； 确保文件的更改和现行修订状态得到识别； 确保在使用处可获得适用文件的有关版本； 确保文件保持清晰且易于识别； 确保文件对需要的人员可用，并依照文件适用的类别规程进行传输、贮存和最终销毁； 确保外来文件得到识别； 确保文件分发得到控制； 防止作废文件的非预期使用； 若因任何目的而保留作废文件时，对这些文件进行适当的标识。 4.3.3 记录控制 应建立记录并加以保持，以提供符合ISMS要求和有效运行的证据。 应对记录加以保护和控制。 ISMS的记录应考虑相关的法律法规要求和合同义务。 记录应保持清晰，易于识别及检索。 记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。 应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。 5.1 管理层承诺 管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据： 制定ISMS方针； 确保ISMS目标和计划得以制定； 建立信息安全的角色和职责； 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性； 提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS （见5.2.1）； 决定接受风险的准则和风险的可接受级别； 确保ISMS内部审核的执行（见第6章）； 实施ISMS的管理评审（见第7章）。 5.2.1 提供资源 组织应确定和提供所需资源，以： 建立、实施、运行、监视、评审、保持和改进ISMS； 确保信息安全规程支持业务要求； 识别和满足法律法规要求、以及合同中的安全义务； 通过正确实施所有的控制措施保持适当的安全； 必要时，进行评