ISO14001:2015 標準-2

時間：2021-12-01作者：中泰智聯(lián)（北京）認證中心有限公司長春分公司瀏覽：167

4 信息安全管理體系（ISMS） 

 

4.1 總要求 

 

組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。在本標準中，所使用的過程基于圖1所示的PDCA模型。 

 

4.2 建立和管理ISMS 

 

4.2.1 建立ISMS 

 

組織要做以下方面的工作： 

 

a) 根據業(yè)務、組織、位置、資產和技術等方面的特性，確定ISMS的范圍和邊界，包括對范圍任何刪減的詳細說明和正當性理由（見1.2）。 

 

b) 根據業(yè)務、組織、位置、資產和技術等方面的特性，確定ISMS方針。ISMS方針應： 

 

1) 包括設定目標的框架和建立信息安全工作的總方向和原則； 

 

2) 考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務； 

 

3) 在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS； 

 

4) 建立風險評價的準則[見4.2.1 c]]； 

 

5) 獲得管理者批準。 

 

注：就本標準的目的而言，ISMS方針被認為是信息安全方針的一個擴展集。這些方針可以在一個文件中進行描述。 

 

c) 確定組織的風險評估方法 

 

1）識別適合ISMS、已識別的業(yè)務信息安全和法律法規(guī)要求的風險評估方法。 

 

2）制定接受風險的準則，識別可接受的風險級別（見5.1f）。 

 

選擇的風險評估方法應確保風險評估產生可比較的和可再現(xiàn)的結果。 

 

注：風險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術 IT安全管理指南：IT安全管理技術》中描述了風險評估方法的例子。 

 

d) 識別風險 

 

1) 識別ISMS范圍內的資產及其責任人2； 

 

2) 識別資產所面臨的威脅； 

 

3) 識別可能被威脅利用的脆弱點； 

 

4) 識別喪失保密性、完整性和可用性可能對資產造成的影響。 

 

e) 分析和評價風險 

 

1) 在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造成的對組織的影響。 

 

2) 評估由主要威脅和脆弱點導致安全失誤的現(xiàn)實可能性、對資產的影響以及當前所實

 

施的控制措施。 

 

3) 估計風險的級別。 

 

4) 確定風險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風險的準則進行處

 

理。 

 

f) 識別和評價風險處理的可選措施 

 

可能的措施包括： 

 

1) 采用適當的控制措施； 

 

2) 在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險[見4.2.1 c)2)]； 

 

3) 避免風險； 

 

4) 將相關業(yè)務風險轉移到其他方，如：保險，供應商等。 

 

g) 為處理風險選擇控制目標和控制措施 

 

控制目標和控制措施應加以選擇和實施，以滿足風險評估和風險處理過程中所識別的要求。這種選擇應考慮接受風險的準則（見4.2.1c）2））以及法律法規(guī)和合同要求。 

 

從附錄A中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的要求。 

 

附錄A所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另外的控制目標和控制措施。 

 

注：附錄A包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A作為選擇控制措施的出發(fā)點，以確保不會遺漏重要的可選控制措施。 

 

h) 獲得管理者對建議的殘余風險的批準 

 

i) 獲得管理者對實施和運行ISMS的授權 

 

j) 準備適用性聲明（SoA） 

 

應從以下幾方面準備適用性聲明： 

 

1） 4.2.1 g）所選擇的控制目標和控制措施，以及選擇的理由； 

 

2） 當前實施的控制目標和控制措施（見4.2.1e）2））； 

 

3） 對附錄A中任何控制目標和控制措施的刪減，以及刪減的合理性說明。 

注：適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺漏控制措施。 

 

4.2.2 實施和運行ISMS 

 

組織應： 

 

a) 為管理信息安全風險識別適當的管理措施、資源、職責和**順序，即：制定風險處理計劃（見*5章）。 

 

b) 實施風險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配。 

 

c) 實施4.2.1 g）中所選擇的控制措施，以滿足控制目標。 

 

d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效性，以產生可比較的和可再現(xiàn)的結果（見4.2.3c)）。 

 

注：測量控制措施的有效性可使管理者和員工確定控制措施達到既定的控制目標的程度。 

 

e) 實施培訓和意識教育計劃（見5.2.2）。 

 

f) 管理ISMS的運行。 

 

g) 管理ISMS的資源（見5.2）。 

 

h) 實施能夠*檢測安全事態(tài)和響應安全事件的程序和其他控制措施（見4.2.3）a））。 

 

4.2.3 監(jiān)視和評審ISMS 

 

組織應： 

a) 執(zhí)行監(jiān)視與評審程序和其它控制措施，以： 

 

1) *檢測過程運行結果中的錯誤； 

 

2) *識別試圖的和得逞的安全違規(guī)和事件； 

 

3) 使管理者能夠確定分配給人員的安全活動或通過信息技術實施的安全活動是否被如期執(zhí)行； 

 

4) 通過使用指示器，幫助檢測安全事態(tài)并預防安全事件； 

 

5) 確定解決安全違規(guī)的措施是否有效。 

 

b) 在考慮安全審核結果、事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行ISMS有效性的定期評審（包括滿足ISMS方針和目標，以及安全控制措施的評審）。 

 

c) 測量控制措施的有效性以驗證安全要求是否被滿足。 

 

d) 按照計劃的時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行評審，應考慮以下方面的變化： 

 

1) 組織； 

 

2) 技術； 

 

3) 業(yè)務目標和過程； 

 

4) 已識別的威脅； 

 

5) 已實施的控制措施的有效性； 

 

6) 外部事態(tài)，如法律法規(guī)環(huán)境的變更、合同義務的變更和社會環(huán)境的變更。 

 

e) 按計劃的時間間隔，實施ISMS內部審核（見*6章）。 

 

注：內部審核，有時稱為**方審核，是用于內部目的，由組織自己或以組織的名義所進行的審核。 

 

f) 定期進行ISMS管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到識別（見7.1）。 

 

g) 考慮監(jiān)視和評審活動的結果，以較新安全計劃。 

 

h) 記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事態(tài)（見4.3.3）。 

 

4.2.4 保持和改進ISMS 

 

組織應經常： 

 

a) 實施已識別的ISMS改進措施。 

 

b) 依照8.2和8.3采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓。 

 

c) 向所有相關方溝通措施和改進情況，其詳細程度應與環(huán)境相適應，需要時，商定如何進行。 

 

d) 確保改進達到了預期目標。 

 

4.3 文件要求 

 

4.3.1 總則 

 

文件應包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應確保所記錄的結果是可重復產生的。 

 

重要的是，能夠顯示出所選擇的控制措施回溯到風險評估和風險處理過程的結果、并進而回溯到ISMS方針和目標之間的關系。 

 

ISMS文件應包括： 

 

a) 形成文件的ISMS方針[見4.2.1b）]和目標； 

 

b) ISMS的范圍[見4.2.la）]； 

 

c) 支持ISMS的程序和控制措施； 

 

d) 風險評估方法的描述[見4.2.1c）]； 

 

e) 風險評估報告 [見4.2.1c）到4.2.1g）]； 

 

f) 風險處理計劃[見4.2.2b）]； 

 

g) 組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需的形成文件的程序（見4.2.3c））； 

 

5 

 

h) 本標準所要求的記錄（見4.3.3）； 

 

i) 適用性聲明。 

 

注1：本標準出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。 

 

注2：不同組織的ISMS文件的詳略程度取決于： 

 

? 組織的規(guī)模和活動的類型； 

 

? 安全要求和被管理系統(tǒng)的范圍及復雜程度； 

 

注3：文件和記錄可以采用任何形式或類型的介質。 

 

4.3.2 文件控制 

 

ISMS所要求的文件應予以保護和控制。應編制形成文件的程序，以規(guī)定以下方面所需的管理措施： 

 

a) 文件發(fā)布前得到批準，以確保文件是適當的； 

 

b) 必要時對文件進行評審、較新并再次批準； 

 

c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標識； 

 

d) 確保在使用處可獲得適用文件的相關版本； 

 

e) 確保文件保持清晰、易于識別； 

 

f) 確保文件對需要的人員可用，并依照文件適用的類別程序進行傳輸、貯存和較終銷毀； 

 

g) 確保外來文件得到標識； 

 

h) 確保文件的分發(fā)得到控制； 

 

i) 防止作廢文件的非預期使用； 

 

j) 若因任何目的而保留作廢文件時，對這些文件進行適當的標識。 

 

4.3.3 記錄控制 

 

記錄應建立并加以保持，以提供符合ISMS要求和有效運行的證據。記錄應加以保護和控制。ISMS的記錄應考慮相關法律法規(guī)要求和合同義務。記錄應保持清晰、易于識別和檢索。記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。 

 

應保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關的重大安全事件的記錄。 

 

例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權單。 

 





中泰智聯(lián)（北京）認證中心有限公司長春分公司專注于ISO9001質量管理體系認證,ISO14001環(huán)境管理體系認證,ISO45001職業(yè)健康安全管理體系認證,IATF16949認證,GB/T27922售后服務認證,GB/T27925品牌認證,GB/T31950誠信管理體系認證,ISO39001道路交通安全管理體系認證,ISO22301業(yè)務連續(xù)性管理體系認證,GB/T35770合規(guī)管理體系認證等

• 詞條

  詞條說明

• 申請ISO13485組織需要準備哪些資料

  申請醫(yī)療器械質量應向機構報送以下材料：?申請方授權代表簽署的產品質量申請書、質量體系申請書；?申請單位營業(yè)執(zhí)照或注冊證明文件 (復印件)；?申請單位質量手冊，必要時提供企業(yè)的程序文件；?申請的產品或質量體系覆蓋的產品標準；?申請方聲明執(zhí)行的標準；?醫(yī)療器械產品注冊證 (復印件)；?產品生產全過程情況總結，產品

• ISO9000知識問答

  1、 什么是ISO9000族標準？??????? 答：ISO9000族標準是指由ISO/TC176**制定的所有**標準。??????? 2、 ISO9000族標準的發(fā)展情況？?????? 

• 建立質量、環(huán)境體系整合能帶來什么好處？

  目前很多企業(yè)在管理上借鑒了**的管理理念和模式，在國內****，建立質量、環(huán)境整合管理體系，既為未來與國內外**業(yè)競爭打下堅實的基礎，也符合多種行業(yè)的生產規(guī)范。?2.1提升企業(yè)形象方面帶來好處?2.1.1 獲得ISO9001證書的好處a) 表明尊重消費者和對社會負責，提高企業(yè)服務的信譽、樹立良好的企業(yè)形象；b) 在**業(yè)中參與市場投標、競標的競爭中顯示**優(yōu)勢；c) 擴大產品/

• PEFC森林咨詢

  深圳市尚行咨詢有限公司是國內專業(yè)從事包裝行業(yè)和咨詢的企業(yè)管理咨詢、標準咨詢與培訓的專門機構。經過多年的發(fā)展，讓我們在企業(yè)界及管理咨詢業(yè)界樹立了自己的專業(yè)品牌。?公司主要的骨干森林培訓老師有豐富的包裝行業(yè)工作經驗，從事森林經驗五年以上，目前森林服務的行業(yè)主要分布在：包裝行業(yè)、板材行業(yè)、木材行業(yè)、家具家具行業(yè)以及紡織行業(yè)，地區(qū)分布全國。在全國每月新增的FSC - COC森