ISO27001
主题思想:PDCA
Plan(4-7):组织环境、领导力、规划、支持
Do(8-):运行
Check:绩效评价
Action:改进
4. 组织环境
4.1 明确内外部的环境情况
4.2 明确相关方(业务部门、客户、监管部门、供应商)以及其需求及期望
4.3 明确信息安全管理体系的范围(部门覆盖情况、地理覆盖情况、业务覆盖情况)
5. 领导力(执行力)
5.1 领导力和承诺——主要包含领导层的支持和承诺
经济支持、资源支持(人员、设备)
5.2 方针
高层应建立信息安全方针:目标、框架、要求、体系
信息安全方针赢形成文档、内部沟通确认、对外发布
5.3 组织角色、职责和权 利
月报信息安全管理角色和权力得到分配和沟通
6. 规划
6.1 处置风险和机遇的行动
6.1.1 总则
6.1.2 信息安全风险评估
组织应定义和实施信息安全风险评估流程
6.1.3 信息安全风险处置
组织应定义和实施信息安全风险处置过程
7. 支持
7.1 资源
组织应确定并提供建立、实施、维持和持续改进信息安全管理体系所需的资源
7.2 能力
确定员工有完成工作的安全技能
确保员工具备完成工作的教育、培训和经验
采取合适的措施确保员工具备以上技能,并对其能开展考核
保留相关文档作为证据
7.3 意识
员工应了解信息安全方针:
了解个人对信息安全管理的重要性
不符合信息安全管理体系要求会造成的影响
7.4 沟通
与不同职位、角色的人沟通的方式、内容均不同
7.5 文档要求
7.5.1 综述
组织的信息安全管理体系应包括:制度文件+证明体系有效性的记录文件
7.5.2 创建和更新
组织应明确合适创建和更新文档信息是合适的
7.5.3 文档控制
信息安全管理体系和本国际标准要求的文档信息应予以控制以确保:
在需要的时间和场合可用
文档可以得到充分保护
为做好文件控制,组织要明确以下文档控制活动:
分发、访问、回收和使用
存储保管
变更控制
归档和处置
8. 运行
8.1 运行计划与控制
8.2 信息安全风险评估
8.3 信息安全风险处置
9. 绩效评价
9.1 监控、度量、分析和评价
组织应明确:
监控和测量的内容、方法、时间、实施人、分析要求
组织应保留适当文档作为检测和测量开展的证据
9.2 内部审核
组织应定期开展内部审核:
是否符合国家标准
是否满足自身信息安全管理要求
是否有效落实和保持
组织应:
制定内审计划(频率、方法、责任、计划)
审核标准和范围
审核执行人员
件审核结果上报公司领导
