1、ICS 35.040L80中 华 人 民 共 和 国 国 家 标 准GB/T XXXXX20XX信息技术 安全技术 信息安全管理体系实施指南Information technology - Security techniques - Information securitymanagement system implementation guidance(ISO/IEC 27003:2010,IDT)在提交反馈意见时,请将您知道的相关专利与支持性文件一并附上。(征求意见稿)(本稿完成日期:2012 年 12 月 10 日)XXXX - XX - XX发布 XXXX - XX - XX实施GB/
2、T XXXXX20XXI目 次前言 .III引言 IV1 范围 12 规范性引用文件 13 术语和定义 13.11ISMS 项目 ISMS project .14 本标准的结构 14.1 章条的总结构 14.2 每章的一般结构 24.3 图表 35 获得管理者对启动 ISMS 项目的批准 .55.1 获得管理者对启动 ISMS 项目的批准的概要 .55.2 阐明组织开发 ISMS 的优先级 .65.3 定义初步的 ISMS 范围 .85.3.1 制定初步的 ISMS 范围 .85.3.2 定义初步 ISMS 范围内的角色和责任 .95.4 为了管理者的批准而创建业务案例和项目计划 96 定义
3、ISMS 范围、边界和 ISMS 方针策略 .116.1 定义 ISMS 范围、边界和 ISMS 方针策略的概述 .116.2 定义组织的范围和边界 .126.3 定义信息通信技术(ICT)的范围和边界 136.4 定义物理范围和边界 .146.5 集成每一个范围和边界以获得 ISMS 的范围和边界 156.6 制定 ISMS 方针策略和获得管理者的批准 157 进行信息安全要求分析 .167.1 进行信息安全要求分析的概述 .167.2 定义 ISMS 过程的信息安全要求 177.3 标识 ISMS 范围内的资产 187.4 进行信息安全评估 .198 进行风险评估并规划风险处置 .208.
4、1 进行风险评估和规划风险处置的概述 .208.2 进行风险评估 .21GB/T XXXXX20XXII8.3 选择控制目标和控制措施 .228.4 获得管理者对实施和运行 ISMS 的授权 239 设计 ISMS 249.1 设计 ISMS 的概述 249.2 设计组织的信息安全 .269.2.1 设计信息安全的最终组织结构 .269.2.2 设计 ISMS 的文件框架 279.2.3 设计信息安全方针策略 .289.2.4 制定信息安全标准和规程 .299.3 设计 ICT 安全和物理信息安全 .309.4 设计 ISMS 特定的信息安全 329.4.1 管理评审的计划 .329.4.2
5、设计信息安全意识、培训和教育方案 .339.5 产生最终的 ISMS 项目计划 34附录 A(资料性附录) 检查表的描述 36图 1 ISMS 项目的各个阶段 .2图 2 流程示意图图例 .4图 3 获得管理者对启动 ISMS 项目的批准的概览 .6图 4 定义 ISMS 范围、边界和 ISMS 方针策略的概述 .12图 5 进行信息安全要求阶段的概览 17图 6 风险评估阶段的概览 21图 7 设计 ISMS 阶段的概览 26GB/T XXXXX20XXIII前 言GB/T XXXXX按照GB/T 1.1-2009给出的规则起草。本标准使用翻译法等同采用国际标准ISO/IEC 27003:2
6、010信息技术 安全技术 信息安全管理体系实施指南(英文版)。根据国情和GB/T1.1的规定,做了一些编辑性修改。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、黑龙江质量产品检验检院、北京信息安全测评中心、中电长城网际系统应用有限公司本标准主要起草人:上官晓丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚GB/T XXXXX20XXIV引 言信息安全管理体系标准族(Information Security Management System,简称ISMS标准族)是国际信息安全技
7、术标准化组织(ISO/IEC JTC1 SC27)制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的ISMS的独立评估做准备。ISMS标准族包括的标准:a)定义了ISMS的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(PDCA)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的ISMS指南;d)阐述了ISMS的一致性评估。目前,ISMS标准族由下列标准组成:- GB/T AAAAA-AAAA/ISO/IE
8、C 27000:2009 信息技术 安全技术 信息安全管理体系 概述和词汇- GB/T 22080-2008/ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求- GB/T 22081-2008/ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则- (本标准)/ISO/IEC 27003:2010 信息技术 安全技术 信息安全管理体系实施指南- GB/T CCCCC-CCCC/ISO/IEC 27004:2009 信息技术 安全技术 信息安全管理测量- GB/T DDDDD-DDDD/ISO/IEC 27005:2008 信息技术 安全
9、技术 信息安全风险管理- GB/T 25067-2010/ISO/IEC 27006:2007 信息技术 安全技术 信息安全管理体系审核认证机构的要求- ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南- ISO/IEC 27011:2008 信息技术 安全技术 基于ISO/IEC 27002的电信行业组织的信息安全管理指南本标准作为ISMS标准族之一,其目的是为组织按照GB/T 22080-2008制定信息安全管理体系(ISMS)的实施计划,提供实用指导。实际情况下,ISMS的实施通常作为一个项目来执行。本标准所描述的过程旨在为实施GB/T 22080-2008提供支
10、持;(第4、5和7章所包含的相关部分)和文件:a)准备启动组织的ISMS实施计划、定义该项目的组织结构,及获得管理者的批准;b)该ISMS项目的关键活动;c)实现GB/T 22080-2008要求的示例。通过使用本标准,组织将能够制定信息安全管理的过程,并向利益相关方保证,信息资产的风险可持续保持在组织定义的可接受的信息安全边界内。本标准不涉及运行活动和其他ISMS活动,但涉及了如何设计这些活动的概念,这些活动是在开始运行ISMS后所产生的。这些概念导致了最终的ISMS项目实施计划。ISMS项目的组织特定部分的实际执行不在本标准范围内。ISMS项目的实施宜使用标准的项目管理方法学来执行(更多信
11、息请参见ISO和ISO/IEC有关项目管理的标准)。GB/T XXXXX20XX1信息技术 安全技术 信息安全管理体系实施指南1 范围本标准依据GB/T 22080-2008,关注设计和实施一个成功的信息安全管理体系(ISMS)所需要的关键方面。本标准描述了ISMS规范及其设计的过程,从开始到产生实施计划。本标准为实施ISMS描述了获得管理者批准的过程,为实施ISMS定义了一个项目(本标准称作ISMS项目),并就如何规划该ISMS项目提供了相应的指导,产生最终的ISMS项目实施计划。本标准可供实施一个ISMS的组织使用,适用于各种规模和类型的组织(例如,商业企业、政府机构、非赢利组织)。每个组
12、织的复杂性和风险都是独特的,并且其特定的要求将驱动ISMS的实施。小型组织将发现,本标准中所提及的活动可适用于他们,并可进行简化。大型组织或复杂的组织可能会发现,为了有效地管理本标准中的活动,需要层次化的组织架构或管理体系。然而,无论是大型组织还是小型组织,都可应用本标准来规划相关的活动。本标准提出了一些建议及其说明,但并没有规定任何要求。期望把本标准与GB/T 22080-2008和GB/T 22081-2008一起使用,但不期望修改和/或降低GB/T 22080-2008中所规定的要求,或修改和/或降低GB/T 22081-2008所提供的建议。因此,不宜声称符合这一标准。2 规范性引用文
13、件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求(IDT ISO/IEC 27001:2005)GB/T AAAAA-AAAA 信息技术 安全技术 信息安全管理体系 概述和词汇(IDT ISO/IEC 27000:2009)3 术语和定义GB/T AAAAA-AAAA和GB/T 22080-2008确定的以及下列术语和定义适用于本标准。3.1 ISMS 项目 ISMS project组织为实施一个ISMS所开展的
14、结构化活动。4 本标准的结构4.1 章条的总结构GB/T XXXXX20XX2ISMS的实施是一种重要活动,通常作为组织的一个项目来执行。本标准通过关注该项目的启动、规划和定义,来说明ISMS的实施。规划该ISMS最终实施的过程包括五个阶段,每个阶段都用单独的一章来表达。所有各章具有相似的结构。这五个阶段是:a) 获得管理者对启动 ISMS 项目的批准(第 5 章);b) 定义 ISMS 的范围和 ISMS 的方针策略(第 6 章);c) 进行组织分析(第 7 章);d) 进行风险评估和规划风险处置(第 8 章);e) 设计 ISMS(第 9 章)。参照有关标准,图1给出了规划该ISMS项目的
15、5个阶段以及主要输出文档。图 1 ISMS 项目的各个阶段以下附录给出了进一步的信息:附录 A:与GB/T 22080-2008相对照的活动概要。附录 B:信息安全角色和责任。附录 C:有关内部审核的规划信息。附录 D:方针策略结构。附录 E:有关监视和测量的规划信息。4.2 每章的一般结构每章包括:a) 在每章开头的文本框中,陈述要达到的一个或多个目标; b) 为达到该阶段目标所必要的一个或多个活动。每一个活动都在子条款中描述。每一条款中活动的描述结构如下:活动活动定义了为达到该阶段全部或部分目标,所必需满足的那些事宜。输入GB/T XXXXX20XX3输入描述了起点,例如,存在的文档化决定
16、,或描述在本标准中其它活动的输出。输入可能或者引自相关章节所陈述活动的完整输出,或者引自指该引用章节之后可能添加活动的特定信息。指南指南提供了使这一活动能够得以执行的详细信息。有些指南可能不适合所有情况,获得结果的其它方式也许更加适合。输出输出描述了活动完成后的结果或可交付项,例如一个文档。不论组织的规模或ISMS范围的大小,其活动完成后的结果或可交付项统称为输出。其他信息其他信息提供了可能有助于执行该活动的任何补充信息,例如,对其它标准的引用。本标准描述的阶段和活动包括了基于相互依赖关系而建议的执行活动的顺序,这些相互依赖关系通过每个活动的“输入”和“输出”的描述来识别。然而,组织可按所需要
17、的任何次序来选择活动,以便为ISMS的建立和实施做准备,这取决于很多不同的因素(例如,目前到位的管理体系的有效性、对信息安全重要性的理解和实施ISMS的原因)。4.3 图表定义一个组织的ISMS项目,通常以图的形式概要给出相应的活动及其输出。图2概要给出了每一阶段条款的示意图,这些图对每一阶段中所包含的活动进行了高度概括。上部方框示出一个ISMS项目的规划阶段,其中强调了特定章节中所解释的阶段及其关键的输出文件。下部方框(阶段的活动)包括上部方框中所强调的阶段包含的关键活动和每一个活动的主要输出文件。下部方框中的时间段基于上部方框中的时间段。活动A和活动B可能同时执行。活动C宜在活动A和活动B
18、完成后开始。GB/T XXXXX20XX4图 2 流程示意图图例GB/T XXXXX20XX55 获得管理者对启动 ISMS项目的批准5.1 获得管理者对启动 ISMS项目的批准的概要当决定实施ISMS时,宜考虑若干因素。为了强调这些因素,管理者宜了解ISMS实施项目的业务案例并批准它。因此该阶段的目标是:目标:通过定义业务案例和项目计划来获得管理者对启动ISMS项目的批准。为了获得管理者的批准,组织宜创建业务案例。该业务案例除了包括实施ISMS的组织结构之外,还包括实施一个ISMS 的优先级和目标。组织还宜创建初步的ISMS项目计划。这一阶段所执行的工作将使组织能够了解ISMS的相关事宜,并
19、使组织能够阐明ISMS项目所需要的组织内信息安全角色和责任。这一阶段的预期输出是,就ISMS的实施以及执行本标准所描述的活动,获得管理者的初步批准和承诺。本章的可交付项包括业务案例和一个具有关键里程碑的ISMS项目计划草案。图3示出获得管理者对启动ISMS项目的批准过程。第5章的输出(对计划和实施一个ISMS的文档化管理承诺)和第7章的输出(信息安全状况的概述文档),它们并不是GB/T 22080-2008的要求。但是,建议这些活动的输出作为本标准所描述的其他活动的输入。GB/T XXXXX20XX6图 3 获得管理者对启动 ISMS 项目的批准的概览5.2 阐明组织开发 ISMS的优先级活动
20、在考虑组织的信息安全优先级和要求时,宜将实施ISMS的目的一并考虑。输入GB/T XXXXX20XX7a) 组织的战略目标;b) 现有管理体系概要;c) 可用于组织的法律法规、规章和合同上的信息安全要求清单。指南启动ISMS项目,通常需要管理者的批准。因此,宜执行的第一个活动是收集那些对组织可显示ISMS价值的相关信息。组织宜阐明需要ISMS的原因,并决定ISMS实施的目标,启动ISMS项目。实施ISMS的目标可通过回答以下问题来决定:a) 风险管理 ISMS 如何产生更好地管理信息安全风险?b) 效率 ISMS 如何能改进信息安全的管理?c) 业务优势 ISMS 如何能为组织创造竞争优势?为
21、回答上述问题,尽可能通过以下因素来阐明组织的安全优先级和要求:a) 关键的业务域和组织域:1) 关键业务域和关键组织域是什么?2) 组织哪些域提供该业务以及关注什么?3) 有什么第三方关系及其协议?4) 是否有外包服务?b) 敏感信息或有价值的信息:1) 什么信息对组织是至关重要的?2) 如果某些信息被泄露给未授权方,可能产生什么后果(例如,失去竞争优势、损害品牌或名誉、引起法律诉讼等)?c) 对信息安全测量有要求的相关法律:1) 什么法律适用于组织的风险处置或信息安全?2) 组织是否是必须对外进行财务报告的公众性全球性组织的一部分?d) 与信息安全有关的合同协议或组织协议:1) 对数据存储的
22、要求(包括保留期限)是什么?2) 是否有任何与隐私或质量有关的合同要求(例如,服务级别协议 SLA)?e) 规定特定信息安全控制措施的行业要求:1) 有哪些行业特定的要求适用于组织?f) 威胁环境:1) 需要什么类型的保护,及需要应对哪些威胁?2) 需要保护的信息的特定类别是什么?3) 需要保护的信息活动的特定类型是什么?g) 竞争动力:1) 对信息安全的最小化市场要求是什么?2) 哪些另外的信息安全控制措施可为组织提供竞争优势?h) 业务持续性要求:1) 关键业务过程是什么?2) 对每个关键业务过程而言,组织能够容忍其中断的时间是多长?通过回答上述问题,可以确定初步的ISMS范围。并且这对创
23、建要得到管理者批准的业务案例和实施ISMS的计划是需要的。详细的ISMS范围将在ISMS项目期间予以定义。GB/T XXXXX20XX8GB/T 22080-2008 4.2.1 a)中所提及的要求,从业务、组织、位置、资产和技术等方面特点,概要描述了范围。以上所产生的信息支持ISMS范围的确定。在做出ISMS范围的初步决定时,宜考虑一些主题,具体包括:a) 组织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么?b) 建议的范围内系统的责任是否由不止一个管理团队(例如,不同的分支机构或不同的部门)承担?c) ISMS 相关文档在整个组织如何流通(例如,通过纸质文件或者通过公司内联网
24、)?d) 当前的管理体系是否能支持组织的需求?是否得到充分运行、良好维护且如预期般发挥作用?管理者目标可作为确定ISMS初步范围的输入,举例如下:a) 促进业务持续性和灾难恢复;b) 提高事件恢复的能力;c) 解决法律/合同的符合性/义务;d) 使能够获得其他 ISO/IEC 标准的认证;e) 使组织能够发展和占据优势地位;f) 降低安全控制措施的成本;g) 保护具有战略价值的资产;h) 建立一个健康的、有效的内部控制环境;i) 向利益相关方保证信息资产获得适当保护。输出本活动的可交付项是:a) 概述 ISMS 的目标、信息安全优先级和组织要求的文档;b) 与组织的信息安全相关的法律法规、规章
25、、合同和行业的要求清单;c) 业务、组织、位置、资产和技术等方面的概要特征。其他信息ISO/IEC 9001:2008,ISO/IEC 14001:2004,ISO/IEC 20000-1:2005。5.3 定义初步的 ISMS范围5.3.1 制定初步的 ISMS范围活动为实现ISMS的目标,宜定义初步的ISMS范围。输入5.2(阐明组织开发ISMS的优先级)活动的输出。指南为了执行ISMS实施项目,宜定义组织实施ISMS的结构。现在宜定义初步的ISMS范围,以便给管理者提供实施决策指南,以及支持进一步的活动。初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。
26、本阶段的输出是一份定义初步ISMS范围的文档,内容包括:a) 组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务;b) ISMS 范围内的区域如何与其他管理体系交互的描述;c) 信息安全管理的业务目标清单(引自 5.2);GB/T XXXXX20XX9d) ISMS 将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单;e) 现有管理体系、规章、符合性和组织目标之间的关系;f) 业务、组织、位置、资产和技术等方面的特点。宜识别现有管理体系与被提议的ISMS的过程间的共同要素和运行差异。输出可交付项是一份描述初步的ISMS范围的文档。其他信息无其他特定信息。注:宜特别注意
27、的是,不论组织内已有的管理体系如何,都要满足GB/T 22080-2008关于ISMS 范围的认证特定文件的要求。5.3.2 定义初步 ISMS范围内的角色和责任活动宜定义初步ISMS范围的全部角色和责任。输入a) 5.3.1(制定初步的 ISMS 范围)活动的输出;b) 将从 ISMS 项目结果获益的利益相关方清单。指南为了执行ISMS项目,宜确定组织在该项目中的角色。因为每个组织中处理信息安全的人数不同,所以一般来说,每个组织的角色通常也不同。信息安全的组织结构和资源随着组织的规模、类型和组织结构的变化而变化。例如,在小型组织中,若干角色可由同一个人担任。然而,管理者宜明确识别负责整个信息
28、安全管理的角色(典型的是首席信息安全官、信息安全管理者或类似的)。宜基于工作岗位所需要的技能来分配员工的角色和责任。这对于确保任务被有效地和有力地完成至关重要。在定义信息安全管理角色时,最重要的考虑事项是:a) 该任务的总体责任由管理者承担;b) 指定一个人(通常是首席信息安全官)来促进和协调信息安全过程;c) 每个员工对其最初任务与维护工作场所和组织中的信息安全负有同等责任。管理信息安全的角色宜一起工作;这可通过诸如信息安全论坛或类似机构来促进。在制定、实施、运行和维护ISMS的所有阶段,宜与适当的业务专家进行协作。已确定范围内(诸如风险管理)各部门代表是潜在的ISMS实施组成员。为快速、有
29、效地使用资源,该组宜保持最小的实际规模。这些区域不仅有ISMS范围所直接包含的部门,还有间接包含的部门,诸如法律部门、风险管理部门和行政管理部门。输出可交付项是一个描述角色和责任的文档或表格,带有对于成功实施ISMS所需要的名称和组织。其他信息附录B提供了组织成功实施ISMS所需要的角色和责任的详细情况。5.4 为了管理者的批准而创建业务案例和项目计划活动宜通过创建业务案例和ISMS项目建议,来获得管理者对ISMS实施项目所需资源的批准和承诺。输入GB/T XXXXX20XX10a) 5.2(阐明组织开发 ISMS 的优先级)活动的输出;b) 5.3(定义初步的 ISMS 范围)活动的输出已形
30、成的文档:初步的1) ISMS 范围;2) 相关的角色和责任。指南关于业务案例和初始ISMS项目计划的信息宜包括已估算的时间计划、资源,以及本标准第6章至9章所述的主要活动所需要的里程碑。业务案例和初始的ISMS项目计划不仅是该项目的基础,而且也确保管理者对ISMS实施所需资源的承诺和批准。已实施的ISMS支持业务目标的方式,促进了组织过程的有效性,提高了业务效率。实施ISMS的业务案例宜包括与组织目标有联系的简短声明,并涵盖以下主题:a) 目的和特定目标;b) 组织的利益;c) 初步的 ISMS 范围,包括受影响的业务过程;d) 实现 ISMS 目标的关键过程&因素;e) 高层级项目概要;f
31、) 初始的实施计划;g) 已定义的角色和责任;h) 需要的资源(包括技术和人员两方面);i) 实施考虑事项,包括现有的信息安全;j) 带有关键里程碑的时间计划;k) 预期的成本;l) 关键的成功因素;m) 组织利益的量化。项目计划宜包括本标准第6章至第9章所述的各个阶段的相关活动。影响ISMS或受ISMS影响的个人宜进行识别,并允许其有充分的时间对ISMS业务案例和ISMS项目建议进行评审和提出意见。业务案例和ISMS项目建议宜在得到输入后按需更新。一旦获得足够的支持,宜将业务案例和ISMS项目建议呈送管理者以获得其批准。管理者宜批准业务案例和初始的项目计划,以实现整个组织的承诺并开始执行IS
32、MS项目。从管理者承诺实施ISMS便可获得的期望利益是:a) 由于知悉相关法律法规、规章、合用义务和信息安全标准,并加以实施,从而避免了不遵从的负债和处罚;b) 信息安全多个过程的有效使用;c) 通过信息安全风险的更好管理,提高了稳定性和信心;d) 关键业务信息的识别和保护。输出本活动的可交付项是:a) 一份管理者批准的以分配的资源执行 ISMS 项目的文档;b) 一份业务案例文档;c) 初始的 ISMS 项目建议,具有执行风险评估、实施、内部审核和管理评审等里程碑。其他信息GB/T 22080-2008中支持ISMS业务案例的关键成功因素的例子。GB/T XXXXX20XX116 定义 IS
33、MS范围、边界和 ISMS方针策略6.1 定义 ISMS范围、边界和 ISMS方针策略的概述管理者对实施ISMS的批准是基于初步的ISMS 范围、ISMS业务案例和初始的项目计划。ISMS的范围和边界的详细定义、ISMS 方针策略的定义及管理者的认可与支持,是成功实施ISMS的关键因素。因此,本阶段的目标是:目标:定义详细的 ISMS 范围和边界、制定 ISMS 方针策略,并获得管理者的赞同。参见 GB/T 22080-2008 4.2.1 a)和 4.2.1 b)为了实现“定义详细的ISMS范围和边界”的目标,有必要进行以下活动:a) 定义组织的范围和边界;b) 定义信息通信技术(ICT)的
34、范围和边界;c) 定义物理范围和边界;d) 确定 GB/T 22080-2008 4.2.1a)和 4.2.1b)中所规约的范围和边界内业务、组织、位置、资产和技术方面的特征,并确定在定义这些范围和边界过程中的方针策略;e) 集成这些基础性的范围和边界,以获得 ISMS 的范围和边界。为了完成ISMS方针策略的定义并获得管理者的认可,必须进行一个活动。为了在组织中构建一个有效的管理体系,宜通过考虑组织的关键信息资产来确定详细的ISMS范围。为了标识信息资产和评估可行的安全机制,使有共同的术语和系统化方法是非常重要的。这使得在所有实施阶段中容易沟通,培养一致的理解。确保关键的组织域被包含在该范围
35、之内,也是很重要的。可以把整个组织定义为ISMS的范围,或者把组织的一部分,诸如一个部门或一个边界清楚的组织元素,定义为ISMS的范围。例如,在为顾客提供“服务”的情况下,ISMS的范围可以是某种服务,或者是跨越职能的管理体系(整个部门或部门的一部分)。对于认证而言,不管现有的管理体系在组织内情况如何,均宜满足GB/T 22080-2008的要求。定义组织的范围和边界、ICT范围和边界(6.3)以及物理范围和边界(6.4),并不总是按一定顺序来完成之。然而,在定义其他范围和边界时,可参照已经获得的范围和边界。GB/T XXXXX20XX12图 4 定义 ISMS 范围、边界和 ISMS 方针策
36、略的概述6.2 定义组织的范围和边界GB/T XXXXX20XX13活动宜定义组织的范围和边界。输入a) 5.3(定义初步的 ISMS 范围)活动的输出文档化的初步的 ISMS 范围,它涉及:1) 现有的管理体系、规章、符合性和组织目标之间的关系;2) 业务、组织、位置、资产和技术等方面的特征。b) 5.2(阐明组织制定 ISMS 的优先级)活动的输出管理者有关实施 ISMS 并开始该项目的批准文件,其中包含所分配的必需资源。指南实施ISMS的工作量取决于其应用范围的大小。这也影响到与维护ISMS范围内各客体(诸如过程、物理位置、IT系统和人员)的信息安全有关的所有活动,包括实施和维护控制措施
37、、管理运行和诸如识别信息资产和评估风险等任务。如果管理者决定把组织的某些部分从ISMS的范围中排除出去,那么宜把这样做的理由写成文件。在定义ISMS的范围时,重要的是对于那些未包含于定义中的人,可以把ISMS边界解释得非常清楚。一些与信息安全有关的控制措施,可能已经作为其他管理体系的结果而存在。在规划ISMS时,宜考虑这些控制措施,但不必指出当前的ISMS范围的边界。一个定义组织边界的方法是,标识那些相互不重叠的责任域,以便易于赋予组织内的可核查性。直接与信息资产相关的责任或直接与ISMS范围内所包括的业务过程相关的责任,宜选作为处于ISMS控制下的组织的一部分。当定义组织的边界时,宜考虑以下
38、因素:a) ISMS 管理论坛宜由 ISMS 范围所直接涉及的管理人员组成;b) ISMS 的管理成员,宜是最终负责所有受影响的责任域的人员(即,他们的角色通常由其所跨越的控制措施和责任指定的);c) 在负责管理 ISMS 的角色不是高层管理者的情况下,高层发起人基本代表对信息安全的利益,并在组织的最高层起到 ISMS 倡导者的作用;d) 范围和边界需要予以定义,以确保考虑了风险评估中所有相关的资产,确保强调了可能发生于这些边界上的风险。基于这一途径,所分析的组织边界宜标识受ISMS影响的所有人员,他们宜包含在ISMS范围内。人员的标识,可能依赖于所选择途径,可能关联到过程和功能。如果该范围内
39、的某些过程外包给第三方,那么这些依赖就宜清楚地写入相应的文档之中。在ISMS实施项目中,这样的依赖以后还要做进一步分析。输出本活动的可交付项是:a) 组织的 ISMS 边界的描述,包括被排除在 ISMS 范围之外组织任何部分的正当理由;b) 在 ISMS 范围内那些组织各部分的功能和结构;c) 在该范围内交换的信息和通过边界交换的信息的标识;d) 在该范围之内和范围之外的信息资产的组织过程和责任;e) 有关做出层次化决策的过程,及其在 ISMS 内的结构。其他信息没有其他特定信息。GB/T XXXXX20XX146.3 定义信息通信技术(ICT)的范围和边界活动宜定义ISMS所覆盖的信息通信技
40、术(ICT)元素和其他技术项的范围和边界。输入a) 5.3(定义初步的 ISMS 范围)活动的输出 初步的 ISMS 范围的文件;b) 6.2(定义组织的范围和边界)活动的输出。指南ICT范围和边界的定义可通过一种信息系统的途径来获得(而不是基于IT技术)。一旦管理者决定把信息系统的业务过程归入ISMS范围,那么还宜考虑所有相关的ICT元素。这包括存储、处理或传输关键信息、资产的组织的所有部分,或者包括范围内对这些组织部分是至关重要的其它元素。信息系统可能跨越组织边界或国家边界。在这种情况下,宜考虑以下事宜:a) 社会与文化的环境;b) 适用于组织的法律法规、规章和合同的要求;c) 关键责任的
41、可核查性;d) 技术约束(例如,可用的带宽和服务的可用性等)。通过以上考虑,ICT边界宜包括以下事宜的描述(在适用时):a) 组织负责管理的通信基础设施,其中包括采用各种不同的技术(例如无线网络、有线网络或数据/语音网络);b) 组织使用和控制的组织边界内的软件;c) 网络、应用或生产系统所需要的 ICT 硬件;d) 有关 ICT 硬件、网络和软件的角色和责任。如果上述任何一个或多个事宜不由组织控制,那么就宜建立第三方依赖关系的文档,参见6.2的指南。输出本活动的可交付项是:a) 在范围内交换的信息和跨越边界交换的信息;b) ISMS 的 ICT 边界,包括对任何被排除在 ISMS 范围之外、
42、但在组织管理之下的 ICT,给出正当性理由;c) 信息系统和电子通讯网络,描述什么系统在范围内,并描述对这些系统的角色和责任。对范围之外的系统宜给出简要概述。其他信息没有其他特定信息。6.4 定义物理范围和边界活动宜定义由ISMS所覆盖的物理范围和边界。输入a) 5.3(定义初步的 ISMS 范围)活动的输出 ISMS 初始范围文件;b) 6.2 (定义组织的范围和边界)活动的输出;c) 6.3 (定义信息通信技术(ICT)的范围和边界)活动的输出。GB/T XXXXX20XX15指南物理范围和边界的定义,包括标识组织(宜属于ISMS的各部门)内的建筑物、位置或设施。对于跨越物理边缘的信息系统
43、的处理,这就更复杂一些,因为这样的系统需要:a) 远程设施;b) 与客户信息系统的接口以及与第三方服务商所提供服务的接口;c) 适用的适当接口和服务水准。基于上述考虑,物理边界宜包括以下描述(在适用时):a) 描述功能或过程,其中考虑了它们的物理位置以及组织控制它们的范围;b) 基于 ICT 边界的覆盖范围,描述用于储存/容纳 ICT 硬件或范围内数据的特殊设施。如果上述描述的任何事物不受组织控制,那么就宜形成第三方依赖关系文档。参见6.2的指南。输出本活动的可交付项是:a) ISMS 物理边界的描述,包括对排除在 ISMS 范围之外的组织管理之下、又被排除出在物理边界之外的上任何过程和功能以
44、及设备,给出正当性理由;b) 与该范围有关的组织及其地理特征的描述。其他信息没有其他特定信息。6.5 集成每一个范围和边界以获得 ISMS的范围和边界活动宜通过集成每一个范围和边界来获得ISMS的范围和边界。输入a) 5.3(定义初步的 ISMS 范围)活动的输出 初步的 ISMS 范围的文件;b) 6.2 (定义组织的范围和边界)活动的输出;c) 6.3(定义信息通信技术(ICT)的范围和边界)活动的输出;d) 6.4(定义物理范围和边界)活动的输出。指南可以采用很多方式来描述ISMS的范围并证明其正当性。例如,可以选择诸如数据中心或办公室的物理位置,并列出一些关键过程;其中每一个关键过程均
45、涉及一些之外的域,而该数据中心就可使这些之外的域成为范围之内的域。这样的关键过程,例如就可以移动访问一个中心信息系统。输出本活动的可交付项是描述ISMS范围和边界的文件,包含以下信息:a) 组织的关键特征(其功能、结构、服务、资产以及每项资产责任的范围和边界);b) 范围内的组织过程;c) 范围内设备和网络的配置;d) 范围内信息资产的初步清单;e) 范围内 ICT 资产(例如服务器)清单;f) 范围内各场所位置图,该图指出 ISMS 的物理边界;g) ISMS 范围内的角色和责任的描述及其它们之间的关系和组织结构;h) 任何被排除在 ISMS 范围之外的东西的详细说明及其正当理由。GB/T
46、XXXXX20XX16其他信息没有其他特定信息。6.6 制定 ISMS方针策略和获得管理者的批准活动宜制定ISMS方针策略并获得管理者的批准。输入a) 6.5(集成每一个范围和边界以获得 ISMS 的范围和边界)活动的输出 ISMS 的范围和边界的文件;b) 5.2(阐明组织开发 ISMS 的优先级)活动的输出 实施 ISMS 的目标的文件;c) 5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出 以下事宜的文件:1) 组织的要求和信息安全优先级;2) 初始的 ISMS 实施项目计划,里面有里程碑,诸如执行风险评估、实施、内部审核和管理评审。指南在定义ISMS方针策略时,宜考虑以下方
47、面:a) 基于组织的要求和信息安全优先级,建立 ISMS 目标;b) 为达到 ISMS 目标,建立一般性的关注和动作指南;c) 考虑组织的信息安全要求、法律法规或规章,以及合同义务;d) 组织内风险管理语境;e) 建立评价风险(见 GB/T DDDDD-DDDD信息技术 安全技术 信息安全风险管理)和定义风险评估结构的准则;f) 阐明高层管理者对 ISMS 的责任;g) 获得管理者的批准。 输出可交付项是描述经管理者批准的ISMS方针策略的文件。该文件宜在ISMS项目后期的一个阶段重新予以证实,因此它依赖于风险评估的输出。其他信息GB/T DDDDD-DDDD信息技术 安全技术 信息安全风险管
48、理所提供的关于评价风险的准则的附加信息。7 进行信息安全要求分析7.1 进行信息安全要求分析的概述对组织当前状况进行分析是重要的,因为在实施ISMS时,需要考虑现有的要求和信息资产。基于效率和实践性原因,本阶段所描述的活动大体上可与第6章描述的活动同时进行。目标:定义要通过 ISMS 来支持的有关要求,标识信息资产,并获得范围内当前信息安全的状况。参见 GB/T 22080-2008:4.2.1.c)1) 部分,4.2.1.d), 4.2.1.e)GB/T XXXXX20XX17通过信息安全分析所收集的信息,宜:a) 为管理者提供一个起点(即正确的基本数据);b) 标识实施 ISMS 的条件并
49、形成文件;c) 提供一份清晰并已很好理解的组织设施;d) 考虑组织的特殊情况和状态;e) 标识所期望的信息保护水平;f) 在所提议的实施范围内,确定企业部分或企业全部所需的信息编辑。GB/T XXXXX20XX18图 5 进行信息安全要求阶段的概览7.2 定义 ISMS过程的信息安全要求活动宜分析和定义ISMS过程的详细信息安全要求。输入a) 5.2(阐明组织开发 ISMS 的优先级)活动的输出 其文件:1) 概述 ISMS 的目标、信息安全优先级和组织的要求;2) 与组织的信息安全有关的规章、合同和行业的约束表。b) 6.5(集成每一个范围和边界以获得 ISMS 的范围和边界)活动的输出 ISMS 的范围和边界;c) 6.6(制定 ISMS 的方针策略和获得管理者的批准)活动的输出 ISMS 的方针策略。指南第一步要求收集ISMS的所有支持性信息。对于每一个组织过程和专家任务,均需要根据信息的关键性(即所要求的保护程度)作出一个决定。很多内部条件都可能影响信息安全,因此宜确定这些内部条件。在这一阶段的初期,详细描述信息技术并不是重要的。为了分析一个组织过程及其关联的ICT应用和系统,对所需信息应有一个基本概括。组织过程的分析提供了信息安全事件对组织活动影响的陈
