ISO27001-2013标准 下载本文

内容发布更新时间 : 2024/12/22 15:59:42星期一 下面是文章的全部内容请认真阅读。

【MeiWei_81-优质适用文档】

Theorganizationshallperforminformationsecurityriskassessmentsatplannedintervalsorwhensignificantchangesareproposedoroccur,takingaccountofthecriteriaestablishedin6.1.2a).

考虑到6.1.2a)中建立的风险评估执行准则,组织应按计划的时间间隔执行信息安全风险评估,当重大变更被提出或发生时也应执行信息安全风险评估。

Theorganizationshallretaindocumentedinformationoftheresultsoftheinformationsecurityriskassessments.

组织应保留信息安全风险评估结果的文件记录信息。 8.3Informationsecurityrisktreatment 8.3信息安全风险处置

Theorganizationshallimplementtheinformationsecurityrisktreatmentplan.

Theorganizationshallretaindocumentedinformationoftheresultsoftheinformationsecurityrisktreatment.

组织应实施信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件记录信息。 9Performanceevaluation 9绩效评价

9.1Monitoring,measurement,analysisandevaluation 9.1监视、测量、分析和评价

Theorganizationshallevaluatetheinformationsecurityperformanceandtheeffectivenessoftheinformationsecuritymanagementsystem. Theorganizationshalldetermine:

a)whatneedstobemonitoredandmeasured,includinginformationsecurityprocessesandcontrols;

b)themethodsformonitoring,measurement,analysisandevaluation,asapplicable,toensurevalidresults;

a)什么需要监视和测量,包括信息安全过程和控制措施; b)监视、测量、分析和评价的方法,适用时,确保结果有效;

NOTEThemethodsselectedshouldproducecomparableandreproducibleresultstobeconsideredvalid.

注:选择的方法最好产生可比较和可再现的结果,这样才能被认为是有效的。 c)whenthemonitoringandmeasuringshallbeperformed; d)whoshallmonitorandmeasure;

e)whentheresultsfrommonitoringandmeasurementshallbeanalysedandevaluated; f)whoshallanalyseandevaluatetheseresults.

Theorganizationshallretainappropriatedocumentedinformationasevidenceofthemonitoringandmeasurementresults. c)什么时候应执行监视和测量; d)谁应实施监视和测量;

e)什么时候应对监视和测量的结果进行分析和评价; f)谁应分析和评价这些结果。

组织应保留适当的文件记录信息作为监视和测量结果的证据。 9.2Internalaudit 9.2内部审核

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

Theorganizationshallconductinternalauditsatplannedintervalstoprovideinformationonwhethertheinformationsecuritymanagementsystem:

组织应按计划的时间间隔进行内部审核,以提供信息确定信息安全管理体系是否: a)conformsto a)符合

1)theorganization’sownrequirementsforitsinformationsecuritymanagementsystem; 2)therequirementsofthisInternationalStandard; 1)组织自身信息安全管理体系的要求; 2)本标准的要求;

b)iseffectivelyimplementedandmaintained.Theorganizationshall:

c)plan,establish,implementandmaintainanauditprogramme(s),includingthefrequency,methods,responsibilities,planningrequirementsandreporting.Theauditprogramme(s)shalltakeintoconsiderationtheimportanceoftheprocessesconcernedandtheresultsofpreviousaudits;

d)definetheauditcriteriaandscopeforeachaudit;

e)selectauditorsandconductauditsthatensureobjectivityandtheimpartialityoftheauditprocess;

f)ensurethattheresultsoftheauditsarereportedtorelevantmanagement;and

g)retaindocumentedinformationasevidenceoftheauditprogramme(s)andtheauditresults. b)得到有效的实施和保持。 组织应:

c)规划、建立、实施和保持审核方案,包括频次、方法、职责、计划要求和报告。审核方案应考

虑所关注过程的重要性以及以往审核的结果; d)为每次审核定义审核准则和审核范围;

e)审核员的选择和审核的实施应确保审核过程的客观性和公正性; f)确保审核结果报告给相关的管理者;

g)保留文件记录信息作为审核方案和审核结果的证据。 9.3Managementreview 9.3管理评审

Topmanagementshallreviewtheorganization’sinformationsecuritymanagementsystematplannedintervalstoensureitscontinuingsuitability,adequacyandeffectiveness.Themanagementreviewshallincludeconsiderationof:

管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。

管理评审应包括下列方面的考虑:

a)thestatusofactionsfrompreviousmanagementreviews;

b)changesinexternalandinternalissuesthatarerelevanttotheinformationsecuritymanagement system;

c)feedbackontheinformationsecurityperformance,includingtrendsin: 1)nonconformitiesandcorrectiveactions; 2)monitoringandmeasurementresults; 3)auditresults;

4)fulfilmentofinformationsecurityobjectives;

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

d)feedbackfrominterestedparties;

e)resultsofriskassessmentandstatusofrisktreatmentplan;and f)opportunitiesforcontinualimprovement. a)以往管理评审的措施的状态;

b)与信息安全管理体系相关的外部和内部问题的变更; c)信息安全绩效的反馈,包括下列方面的趋势: 1)不符合和纠正措施; 2)监视和测量结果; 3)审核结果;

4)信息安全目标的实现; d)相关方的反馈;

e)风险评估的结果和风险处置计划的状态; f)持续改进的机会。

Theoutputsofthemanagementreviewshallincludedecisionsrelatedtocontinualimprovementopportunitiesandanyneedsforchangestotheinformationsecuritymanagementsystem. Theorganizationshallretaindocumentedinformationasevidenceoftheresultsofmanagementreviews.

管理评审的输出应包括与持续改进机会有关的决定,以及变更信息安全管理体系的所有需求。

组织应保留文件记录信息作为管理评审结果的证据。 10Improvement 10改进

10.1Nonconformityandcorrectiveaction 10.1不符合和纠正措施

Whenanonconformityoccurs,theorganizationshall: a)reacttothenonconformity,andasapplicable: 1)takeactiontocontrolandcorrectit;and 2)dealwiththeconsequences; 当发生不符合时,组织应: a)对不符合作出反应,适用时: 1)采取措施控制并纠正不符合; 2)处理后果;

b)evaluatetheneedforactiontoeliminatethecausesofnonconformity,inorderthatitdoesnotrecuroroccurelsewhere,by: 1)reviewingthenonconformity;

2)determiningthecausesofthenonconformity;and

3)determiningifsimilarnonconformitiesexist,orcouldpotentiallyoccur;

b)为确保不符合不再发生或不在其他地方发生,通过下列方式评价消除不符合原因的措施需求: 1)评审不符合;

2)确定不符合的原因;

3)确定是否存在或可能发生相似的不符合; c)implementanyactionneeded;

d)reviewtheeffectivenessofanycorrectiveactiontaken;and

e)makechangestotheinformationsecuritymanagementsystem,ifnecessary.

【MeiWei_81-优质适用文档】

【MeiWei_81-优质适用文档】

Correctiveactionsshallbeappropriatetotheeffectsofthenonconformitiesencountered. Theorganizationshallretaindocumentedinformationasevidenceof: f)thenatureofthenonconformitiesandanysubsequentactionstaken,and g)theresultsofanycorrectiveaction. c)实施所需的措施;

d)评审所采取纠正措施的有效性;

e)必要时,对信息安全管理体系实施变更。 纠正措施应与所遇不符合的影响相适应。

组织应保留文件记录信息作为下列事项的证据: f)不符合的性质以及所采取的所有后续措施; g)所有纠正措施的结果。 10.2Continualimprovement 10.2持续改进

Theorganizationshallcontinuallyimprovethesuitability,adequacyandeffectivenessoftheinformationsecuritymanagementsystem.

组织应持续改进信息安全管理体系的适宜性、充分性和有效性。

TableA.1–Controlobjectivesandcontrols

A.5SecurityPolicies A.5信息安全方针 A.5.1Managementdirectionforinformationsecurity A.5.1信息安全管理指引 Objective:Toprovidemanagementdirectionandsupportforinformationsecurityinaccordancewithbusinessrequirementsandrelevantlawsandregulations. 目标:依据业务要求和相关法律法规提供管理指导并支持信息安全。 APoliciesforinformaAsetofpoliciesforinformationsecurityshallbedefined,approvedbymanagement,publishedandcommunicatedtoemployeesandrelevantexternalpartie.5tionsecurity s. .1信息安全方针 一组信息安全方针应被建立、由管理层批准、发布并传达给所有.1 员工和外部相关方。 AReviewofthepoliciThepoliciesforinformationsecurityshallbereviewedatplannedintervalsori.5esforinformationsefsignificantchangesoccurtoensuretheircontinuingsuitability,adequacyandeffectiveness. .1curity 宜按计划的时间间隔或当重大变化时进行信息安全方针评审,以.2 信息安全方针的评审 确保它持续的适宜性、充分性和有效性。 A.6Organisationofinformationsecurity A.6信息安全组织 A.6.1Internalorganisation A.6.1内部组织 Objective:Toestablishamanagementframeworktoinitiateandcontroltheimplementationandoperationofinformationsecuritywithintheorganisation. 目标:建立管理框架,启动和控制组织内信息安全的实施和运行。 AInformationsecuAllinformationsecurityresponsibilitiesshallbedefinedandallocated. .6rityrolesandresp所有的信息安全职责宜予以定义与分配。 .1onsibilities .1 信息安全的角色和职责 【MeiWei_81-优质适用文档】