内容发布更新时间 : 2024/12/22 15:59:42星期一 下面是文章的全部内容请认真阅读。
【MeiWei_81-优质适用文档】
Theorganizationshallperforminformationsecurityriskassessmentsatplannedintervalsorwhensignificantchangesareproposedoroccur,takingaccountofthecriteriaestablishedin6.1.2a).
考虑到6.1.2a)中建立的风险评估执行准则,组织应按计划的时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估。
Theorganizationshallretaindocumentedinformationoftheresultsoftheinformationsecurityriskassessments.
组织应保留信息安全风险评估结果的文件记录信息。 8.3Informationsecurityrisktreatment 8.3信息安全风险处置
Theorganizationshallimplementtheinformationsecurityrisktreatmentplan.
Theorganizationshallretaindocumentedinformationoftheresultsoftheinformationsecurityrisktreatment.
组织应实施信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件记录信息。 9Performanceevaluation 9绩效评价
9.1Monitoring,measurement,analysisandevaluation 9.1监视、测量、分析和评价
Theorganizationshallevaluatetheinformationsecurityperformanceandtheeffectivenessoftheinformationsecuritymanagementsystem. Theorganizationshalldetermine:
a)whatneedstobemonitoredandmeasured,includinginformationsecurityprocessesandcontrols;
b)themethodsformonitoring,measurement,analysisandevaluation,asapplicable,toensurevalidresults;
a)什么需要监视和测量,包括信息安全过程和控制措施; b)监视、测量、分析和评价的方法,适用时,确保结果有效;
NOTEThemethodsselectedshouldproducecomparableandreproducibleresultstobeconsideredvalid.
注:选择的方法最好产生可比较和可再现的结果,这样才能被认为是有效的。 c)whenthemonitoringandmeasuringshallbeperformed; d)whoshallmonitorandmeasure;
e)whentheresultsfrommonitoringandmeasurementshallbeanalysedandevaluated; f)whoshallanalyseandevaluatetheseresults.
Theorganizationshallretainappropriatedocumentedinformationasevidenceofthemonitoringandmeasurementresults. c)什么时候应执行监视和测量; d)谁应实施监视和测量;
e)什么时候应对监视和测量的结果进行分析和评价; f)谁应分析和评价这些结果。
组织应保留适当的文件记录信息作为监视和测量结果的证据。 9.2Internalaudit 9.2内部审核
【MeiWei_81-优质适用文档】
【MeiWei_81-优质适用文档】
Theorganizationshallconductinternalauditsatplannedintervalstoprovideinformationonwhethertheinformationsecuritymanagementsystem:
组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a)conformsto a)符合
1)theorganization’sownrequirementsforitsinformationsecuritymanagementsystem; 2)therequirementsofthisInternationalStandard; 1)组织自身信息安全管理体系的要求; 2)本标准的要求;
b)iseffectivelyimplementedandmaintained.Theorganizationshall:
c)plan,establish,implementandmaintainanauditprogramme(s),includingthefrequency,methods,responsibilities,planningrequirementsandreporting.Theauditprogramme(s)shalltakeintoconsiderationtheimportanceoftheprocessesconcernedandtheresultsofpreviousaudits;
d)definetheauditcriteriaandscopeforeachaudit;
e)selectauditorsandconductauditsthatensureobjectivityandtheimpartialityoftheauditprocess;
f)ensurethattheresultsoftheauditsarereportedtorelevantmanagement;and
g)retaindocumentedinformationasevidenceoftheauditprogramme(s)andtheauditresults. b)得到有效的实施和保持。 组织应:
c)规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。审核方案应考
虑所关注过程的重要性以及以往审核的结果; d)为每次审核定义审核准则和审核范围;
e)审核员的选择和审核的实施应确保审核过程的客观性和公正性; f)确保审核结果报告给相关的管理者;
g)保留文件记录信息作为审核方案和审核结果的证据。 9.3Managementreview 9.3管理评审
Topmanagementshallreviewtheorganization’sinformationsecuritymanagementsystematplannedintervalstoensureitscontinuingsuitability,adequacyandeffectiveness.Themanagementreviewshallincludeconsiderationof:
管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应包括下列方面的考虑:
a)thestatusofactionsfrompreviousmanagementreviews;
b)changesinexternalandinternalissuesthatarerelevanttotheinformationsecuritymanagement system;
c)feedbackontheinformationsecurityperformance,includingtrendsin: 1)nonconformitiesandcorrectiveactions; 2)monitoringandmeasurementresults; 3)auditresults;
4)fulfilmentofinformationsecurityobjectives;
【MeiWei_81-优质适用文档】
【MeiWei_81-优质适用文档】
d)feedbackfrominterestedparties;
e)resultsofriskassessmentandstatusofrisktreatmentplan;and f)opportunitiesforcontinualimprovement. a)以往管理评审的措施的状态;
b)与信息安全管理体系相关的外部和内部问题的变更; c)信息安全绩效的反馈,包括下列方面的趋势: 1)不符合和纠正措施; 2)监视和测量结果; 3)审核结果;
4)信息安全目标的实现; d)相关方的反馈;
e)风险评估的结果和风险处置计划的状态; f)持续改进的机会。
Theoutputsofthemanagementreviewshallincludedecisionsrelatedtocontinualimprovementopportunitiesandanyneedsforchangestotheinformationsecuritymanagementsystem. Theorganizationshallretaindocumentedinformationasevidenceoftheresultsofmanagementreviews.
管理评审的输出应包括与持续改进机会有关的决定,以及变更信息安全管理体系的所有需求。
组织应保留文件记录信息作为管理评审结果的证据。 10Improvement 10改进
10.1Nonconformityandcorrectiveaction 10.1不符合和纠正措施
Whenanonconformityoccurs,theorganizationshall: a)reacttothenonconformity,andasapplicable: 1)takeactiontocontrolandcorrectit;and 2)dealwiththeconsequences; 当发生不符合时,组织应: a)对不符合作出反应,适用时: 1)采取措施控制并纠正不符合; 2)处理后果;
b)evaluatetheneedforactiontoeliminatethecausesofnonconformity,inorderthatitdoesnotrecuroroccurelsewhere,by: 1)reviewingthenonconformity;
2)determiningthecausesofthenonconformity;and
3)determiningifsimilarnonconformitiesexist,orcouldpotentiallyoccur;
b)为确保不符合不再发生或不在其他地方发生,通过下列方式评价消除不符合原因的措施需求: 1)评审不符合;
2)确定不符合的原因;
3)确定是否存在或可能发生相似的不符合; c)implementanyactionneeded;
d)reviewtheeffectivenessofanycorrectiveactiontaken;and
e)makechangestotheinformationsecuritymanagementsystem,ifnecessary.
【MeiWei_81-优质适用文档】
【MeiWei_81-优质适用文档】
Correctiveactionsshallbeappropriatetotheeffectsofthenonconformitiesencountered. Theorganizationshallretaindocumentedinformationasevidenceof: f)thenatureofthenonconformitiesandanysubsequentactionstaken,and g)theresultsofanycorrectiveaction. c)实施所需的措施;
d)评审所采取纠正措施的有效性;
e)必要时,对信息安全管理体系实施变更。 纠正措施应与所遇不符合的影响相适应。
组织应保留文件记录信息作为下列事项的证据: f)不符合的性质以及所采取的所有后续措施; g)所有纠正措施的结果。 10.2Continualimprovement 10.2持续改进
Theorganizationshallcontinuallyimprovethesuitability,adequacyandeffectivenessoftheinformationsecuritymanagementsystem.
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。
TableA.1–Controlobjectivesandcontrols
A.5SecurityPolicies A.5信息安全方针 A.5.1Managementdirectionforinformationsecurity A.5.1信息安全管理指引 Objective:Toprovidemanagementdirectionandsupportforinformationsecurityinaccordancewithbusinessrequirementsandrelevantlawsandregulations. 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 APoliciesforinformaAsetofpoliciesforinformationsecurityshallbedefined,approvedbymanagement,publishedandcommunicatedtoemployeesandrelevantexternalpartie.5tionsecurity s. .1信息安全方针 一组信息安全方针应被建立、由管理层批准、发布并传达给所有.1 员工和外部相关方。 AReviewofthepoliciThepoliciesforinformationsecurityshallbereviewedatplannedintervalsori.5esforinformationsefsignificantchangesoccurtoensuretheircontinuingsuitability,adequacyandeffectiveness. .1curity 宜按计划的时间间隔或当重大变化时进行信息安全方针评审,以.2 信息安全方针的评审 确保它持续的适宜性、充分性和有效性。 A.6Organisationofinformationsecurity A.6信息安全组织 A.6.1Internalorganisation A.6.1内部组织 Objective:Toestablishamanagementframeworktoinitiateandcontroltheimplementationandoperationofinformationsecuritywithintheorganisation. 目标:建立管理框架,启动和控制组织内信息安全的实施和运行。 AInformationsecuAllinformationsecurityresponsibilitiesshallbedefinedandallocated. .6rityrolesandresp所有的信息安全职责宜予以定义与分配。 .1onsibilities .1 信息安全的角色和职责 【MeiWei_81-优质适用文档】