ISO27001-2013学习笔记

前言

一、2013年新标准对企业的影响：
1. 风险评估工具需要升-信息资产弱点建模及风险处置的控制项选择部分
2. SOA适用性声明及文件体系的升级--一二级文件需要调整内容及升级，三四级文件需要少量增补
3. 内部审核工具的升级--内部管理制度的调整
二、已通过ISO27001 认证的企业需要在执行新标时提前做一些应对：
1. 规定了在组织的背景下建立，实施，维护和不断改进信息安全管理体系的要求
2. 信息安全风险评估和根据组织需要定制的信息安全风险处理方法
3. 某组织宣称符合此国际标准但没达到4-10章规定的要求是不可信的

01 引言 

一、本国际标准提供给准备建立、运作、维护、改进信息安全管理体系（ISMS）的组织。采用ISMS应是一个组织的战略决策。组织 ISMS 的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响
二、信息安全管理体系是组织结构过程和整体管理架构的一部分，在设计流程、信息系统、控制措施时都应考虑信息安全。信息安全管理体系应占组织需求的一定比例。

三、本标准可被用于内外部，包括认证机构，评估组织的能力来满足组织自身信息安全要求。
ISO/IEC 27000描述了信息安全管理体系的概述词汇表。主要从 ISMS标准簇（包括 ISO/IEC 27003, ISO/IEC 27004，ISO/IEC 27005）并定义了相关术语。 

1适用范围

 规定了在组织的背景下建立，实施，维护和不断改进信息安全管理体系的要求
 信息安全风险评估和根据组织需要定制的信息安全风险处理方法
 某组织宣称符合此国际标准但没达到4-10章规定的要求是不可信的

2规范性引用

一、以下引用的文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其最新版本的参考文件（包括所有的修改单）适用。
二、ISO / IEC 27000，信息技术 
-安全技术 
-信息安全管理体系 
-概述和词汇 

3术语和定义 

ISO / IEC 27000的术语和定义适用于本文档。 

4组织的背景 

4.1了解组织现状及背景
组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。

4.2理解相关方的需求和期望组织应确定： 
a)信息安全管理体系的相关方 
b) 这些相关方信息安全相关要求。
4.3确定 ISMS的范围组织应确定信息安全管理体系的边界和适用性，以确定其范围。
a) 4.1提及的外部和内部的问题 
b) 4.2提及的要求 
c）接口和执行组织之间活动的依赖关系，以及其他组织的相关活动。范围应可成为文档化信息
4.4 ISMS
组织应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。

5领导力 

5.1领导力和承诺
最高管理者应表现出对信息安全管理体系的领导力和承诺： 
a)确保信息安全策略和信息安全目标的制定，并与组织的战略方向兼容 
b) 确保信息安全管理体系的要求整合到组织的过程中 
c）确保信息安全管理体系所需要的资源 
d）传达有效的信息安全管理的重要性，并符合信息安全管理体系的要求 
e）确保信息安全管理体系达到其预期的效果 
f）指导和支持员工对信息安全管理体系作出有效的贡献  
g）促进持续改进  
h）支持其他相关管理角色来展示自己的领导力，因为它适用于他们的职责范围。 
5.2方针--最高管理者应建立一个信息安全方针： 
a)与组织的宗旨相适应 ; 
b) 包括信息安全目标（见 6.2），或为信息安全目标提供框架 ; 
c）包括满足与信息安全相关要求的承诺 ; 
d）包括信息安全管理体系持续改进的承诺。
信息安全的方针应： 
e）可成为文档化信息 ; 
f）在组织内沟通 ; 
g）视情况提供给相关方。 
5.3角色，责任和承诺
最高管理者应确保与信息安全相关角色的职责和权限的分配和沟通。
最高管理者应指定责任和权限：
a)确保信息安全管理体系符合本国际标准的要求 ; 
b) 将 ISMS的绩效报告给最高管理者。注：最高管理层可以授权他人负责ISMS的绩效报告。 

6计划 

6.1处理风险和机遇的行动 
6.1.1总则--当规划组织的信息安全管理体系时，应当考虑 
4.1提到的问题和 
4.2中所提到的要求，并确定要解决的风险和机遇： 
a)确保信息安全管理体系可实现预期的结果 ; 
b) 防止或减少不良影响 ; 
c）实现持续改进。
组织应策划： 
d）解决这些风险和机遇的措施； 
e）如何 
1）整合和实施这些措施，并纳入其信息安全管理体系过程中 ; 
2）评估这些措施的有效性。
 
6.1.2信息安全风险评估组织应确定信息安全风险评估过程： 
a)建立和维护信息安全风险的标准，包括风险接受准则 ; 
b) 决定执行的信息安全风险评估的标准 ; 
c）确保重复使用信息安全风险评估过程能产生一致的，有效的和可比较的结果。
组织应： 
d）识别信息安全的风险。 
   应用信息安全风险评估过程，以识别 ISMS范围内的信息保密性，完整性和可用性的损失风险
   识别风险的所有者。 
e）分析信息安全风险
--评估 6.1.1e）1）实现后潜在的后果。 
--评估 6.1.1e）1）实现的可能性。 
3）确定风险等级。 
f）评估信息安全风险。 
1）用 6.1.2a）建立的风险标准比较风险分析结果，并建立优先级。
组织应保留的信息安全风险评估过程中的文档化信息。 
6.1.3信息安全风险处置
组织应采用信息安全风险处置过程： 
a)选择适当的信息安全风险处理方法，考虑风险评估的结果 
b) 确定所有实施的信息安全风险处置措施是必要的--注：组织可以设计所需的控制项，或从任何来源中识别它们。 
c）比较 6.1.3 b)中与附件 A中的控制项，并确认已省略没有必要的控制项 ;
注 1：附件 A中包含控制目标和控制项的完整列表。本国际标准的用户应注意附件 A，以确保没有重要的控制项被忽略
注 2：控制目标是隐含在所选择的控制项中。附件 A所列的控制目标和控制项并不详尽，可能需要额外的控制目标和控制项。 

d）制作一个包含必要的控制项（见 6.1.3），b和 c）和包含理由的适用性声明，无论实施与否，并应包含删减附件 A中控制项的理由 ; 
e）制定信息安全风险处置计划 ; 
f）风险处置方案和残余风险应得到风险负责人的批准。组织应保留信息安全风险的处理过程中的文档化信息。
注意：信息安全风险评估和处置过程与国际标准 ISO 31000规定的原则和通用的准则相一致。 

6.2可实现的信息安全目标和计划--组织应建立相关职能和层次的信息安全目标。
信息安全目标应：
a)与信息安全方针一致  
b) 是可衡量的（如果可行）  
c）考虑到适用的信息安全要求，以及风险评估和处置结果 
d）是可沟通的 
e）能适时更新。--组织应保留信息安全目标相关的文档化信息。
当计划如何实现信息安全目标时，组织应确定： 
f）做什么 
g）需要哪些资源 
h）谁负责 
i）何时完成 
j）如何评估结果。 

7支持 

7.1资源
组织应确定并提供信息安全管理体系的建立，实施，维护和持续改进所需的资源。
 
7.2能力
组织应： 
a)确定员工在 ISMS管控下工作的必备能力，这会影响到组织的信息安全绩效 ; 
b) 确保这些人在适当的教育，培训或取得经验后是能胜任的 ; 
c）在适当情况下，采取行动以获得必要的能力，并评估所采取行动的有效性 ; 
d）保留适当的文档化信息作为证据。

7.3意识---为组织工作的人员应了解： 
a)信息安全方针 ; 
b) 他们对信息安全管理体系有效性的贡献，包括提高信息安全绩效的收益 ; 
c）不符合信息安全管理体系要求所带来的影响。
 
7.4沟通---组织应确定信息安全管理体系中内部和外部相关的沟通需求： 
沟通什么  何时沟通   和谁沟通 谁应该沟通  怎样的沟通过程是有效的
 
7.5文档化信息 
7.5.1总则---组织的信息安全管理体系应包括： 
a)本国际标准所需要的文档化信息 
b) 记录信息安全管理体系有效性必要的文档化信息。--不同组织的信息安全管理体系文档化信息的多少与详略程度取决于： 
1）组织的规模、活动的类型，过程，产品和服务 
2）过程及其相互作用的复杂性 
3）人员的能力。
 
7.5.2创建和更新---当创建和更新文档化信息时，组织应确保适当的： 
a)识别和描述（如标题，日期，作者，或参考号码） 
b) 格式（如语言，软件版本，图形）和媒体（如纸张，电子） 
c）适当和足够的审查和批准。
 
7.5.3文档化信息的控制---信息安全管理体系与本国际标准要求的文档化信息应被管理，以确保： 
a)当文档化信息被需要时是可用且适用的  
b) 得到充分的保护（例如保密性丧失，使用不当，完整性丧失）。
对于文档化信息的控制，组织应制定以下活动（如适用）： 
c）分配，访问，检索和使用 
d）存储和保存，包括易读性的保存 
e）变更管理（例如版本控制） 
f）保留和处置。
组织信息安全管理体系的规划和运作必要的外来文档化信息，应被适当识别和管理。
注：访问表示有权查看文档化信息，或获得授权以查看和更改文档化信息等。 

8运行 

8.1运行计划及控制组织应策划，
1、实施和控制过程需求以满足信息安全要求，并实施在 6.1中确定措施。组织还应当实施计划，以实现信息安全在 6.2中确定的目标。
2、组织应保存相关的文档化信息，以保证过程已按照计划实施。
3、组织应控制计划变更，同时审计非计划变更，并采取适当措施以减轻任何不良影响。
4、组织应确保外包过程是被确定和受控。 

8.2信息安全风险评估
组织应在技术时间间隔或发生重大变化时执行信息安全风险评估，将 6.1.2中建立的标准纳入考虑范围。组织应保留信息安全风险评估结果的相关文档化信息

8.3信息安全风险处置
组织应实施信息安全风险处置计划。
组织应保留信息安全风险处置结果的文档化信息

9绩效评价 

9.1监控，度量，分析和评价
组织应评估信息安全绩效和信息安全管理体系的有效性。组织应确定： 
a)需要进行监视和测量，包括信息安全过程和控制要求  
b) 监测，测量，分析和评估（如适用）的方法，以确保结果有效 
注：选择被认为是有效的方法应该可以产生可比性和可再现的结果。 
c）监视和测量时间 
d）谁应监视和测量 
e）何时对监视和测量的结果进行分析和评估 
f）谁应分析和评估这些结果。
组织应保留适当的监视和测量结果的文档化信息作为证据。

9.2内部审核
组织应在计划的时间间隔进行内部审核，根据提供的信息判断是否安全管理体系： 
a)符合   组织自身信息安全管理体系的要求   本国际标准的要求 
b) 有效实施和保持。组织应： 
c）计划，建立，实施并保持审核方案，其中包括频率，方法，职责，计划要求和报告。审核程序应考虑相关过程和以往审核结果的重要性 
d）定义每次审核的章程和范围 
e）选择审核员和审核组长以确保审核过程的客观性和公正 
f）确保审核结果报告提交相关管理层 
g）保留审核程序和审核结果相关的文档化信息作为证据。 

9.3管理评审
最高管理者应在计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性和有效性。
管理评审应考虑： 
a)以往管理评审行动措施的状态 
b) 与信息安全管理体系相关的内外部问题的变化 
c）反馈信息安全绩效和趋势，包括： 
1）不符合与纠正措施 
2）监控和测量结果 
3）审核结果 
4）信息安全目标的实现 
d）相关方的反馈 
e）风险评估的结果和风险处置的状态 
f）持续改改进的机会。
管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相关决定。
组织应保留管理评审结果的文档化信息作为证据。 

10改进 

10.1不符合及纠正措施出现不符合时，组织应： 
----对不符合作出反应，如适用： 采取行动控制和纠正--处理结果 
---评估采取措施的必要性，以消除不符合的原因，使不复发或不在其他地方发生，通过： 
    审查不符合--确定不符合的原因 和 是否存在类似的不符合和发生的可能
---实施所需的任何措施 --审查已采取纠正措施的有效性 
---如果有必要的话，改进信息安全管理体系。
---组织应保留以下文档化信息作为证据： 
---不符合的性质和后续措施 
---任何纠正措施的结果。 

10.2持续改进

组织应不断提高信息安全管理体系的适宜性，充分性和有效性。

工作笔记：https://github.com/ym2011/SecurityManagement

欢迎大家分享更好的思路，热切期待^^_^^ !