0x00 前言
ISO(国际标准化组织)和 IEC(国际电工委员会)形成了全球标准化专业系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与国际标准的制定,以处理特定的技术活动领域。ISO 和 IEC 技术委员会在共同关心的领域进行合作。其他国际组织、政府和非政府组织,通过联络 ISO 和 IEC也参加了这项工作。在信息技术领域,ISO 和 IEC 建立了联合技术委员会 ISO/IECJTC 1。
用于开发本文件的程序和用于进一步维护的程序在ISO/IEC准则第1部分中有所描述。特别是应注意不同类型文件所需的不同批准标准。本文件是根据ISO/IEC 准则第 2 部分的编辑规则(见 www.iso.org/directives)起草的。
请注意本文件的某些内容可能是专利权的主题的可能性。ISO 和 IEC 不负责确定任何或所有这些专利权。在文件开发过程中确定的任何专利权利的细节将在引用和/或 ISO 所收到的专利声明列表中(见 www.iso.org/patents)。本文档中使用的任何商品名称是为了方便用户而提供的信息,不构成背书。
对于标准的自愿性质的解释、与合格评定有关的 ISO 特定术语和表达的含义、以及关于 ISO 在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参阅以下 URL:www.iso.org/iso/foreword.html。负责本文件的委员会是 ISO/IEC JTC 1 信息技术,小组委员会 SC 27 IT 安全技术。
本第二版的 ISO/IEC 27003 取消并取代第二版(ISO/IEC 27003:2010),这是一个较小的修订。
相比以前的版本,主要的变化如下:
— 范围和标题已经改为涵盖 ISO/IEC 27001:2013 的要求的解释和指南,而不是以前的版本(iso / iec 27001:2005);
— 结构现在与 ISO/IEC 27001:2013 的结构一致,使用户更容易与 ISO/IEC27001:2013 一起使用;
— 之前的版本有一个带有活动顺序的项目方法。这个版本反而提供对要求的指南,而不考虑它们实现的顺序
0x01 引言
本文件就 ISO/IEC 27001 中规定的信息安全管理体系(ISMS)的要求提供指南,并提供有关它们的建议(“should”)、可能性(“can”)和许可(“may”)。本文档的意图不是要提供关于信息安全所有方面的通用指南。
本文件的第 4 至 10 章映射了 ISO/IEC 27001:2013 的结构。本文件不增加对 ISMS 及其相关术语和定义的新要求。有关要求和定义,组织宜参考 ISO/IEC 27001 和 ISO/IEC 27000。实施 ISMS 的组织没有义务遵守本文档中的指南。
ISMS 强调以下几个阶段的重要性:
— 理解组织的需求和建立信息安全方针和信息安全目标的必要性;
— 评估组织与信息安全相关的风险;
— 实施和运行信息安全过程、控制和其他措施来处理风险;
— 监视和评估 ISMS 的性能和有效性;和
— 实践持续改进。
ISMS 与任何其他类型的管理体系类似,包括以下关键组件:
a) 方针;
b) 有明确责任的人员;
c) 有关以下内容的管理过程:
1) 方针制定;
2) 意识和能力的规定;
3) 规划;
4) 实现;
5) 运行
6) 绩效考核
7) 管理评审;和
8) 改进;及
d) 文件化信息
ISMS 还有其他关键组件,如:
e) 信息安全风险评估;和
f) 信息安全风险处置,包括控制措施的确定和实施。
本文件是通用的,旨在适用于所有组织,不论其类型、大小或性质。组织宜根据其特定的组织环境来确定本的哪一部分适用于自己(见 ISO/IEC 27001:2013,条款 4)。例如,某些指南可能更适合于大型组织,而对于非常小的组织(例如少于10 人),某些指南可能是不必要的或不适当的。
条款 4 至 10 的描述结构如下:
— 要求的活动:介绍在 ISO/IEC 27001 的相应条款中要求的关键活动;
— 解释:讲解 ISO/IEC 27001 的要求意味着什么;
— 指南:提供更详细的或支持性的信息来执行“要求的活动”,包括实
施的例子
— 其他信息:提供可以考虑的进一步的信息。
ISO/IEC 27003,ISO/IEC 27004 和 ISO/IEC 27005 形成了一套文件支持ISO/IEC 27001:2013,并提供指南。在这些文件中,ISO/IEC 27003 是为 ISO/IEC27001 的所有要求提供指南的基本和全面的文件,但没有关于“监视、测量、分析和评价”以及信息安全风险管理的详细描述。ISO/IEC 27004 和 ISO/IEC 27005侧重于具体内容和对“监视、测量、分析和评价”以及信息安全风险管理给予更为详细的指南。
在 ISO/IEC 27001 中有几处明确提及的文件化信息。然而,组织可以保留额外的文件化信息,当其确定对管理体系的有效性以及作为响应 ISO/IEC 27001:2013,7.5 b)的一部分是必要的。在这种情况下,本文件使用惯用语“有关此活动和它的结果的文件化信息,只有在形式和程度上该组织确定对其管理体系的有效性是必要的才是强制性的(见 ISO/IEC 27001:2013,7.5.1 h))
0x02 部分章节解读
4. 组织 背景
4.1. 理 解组织及其 背景
需要的活动组织确定关于其目标和影响其实现信息安全管理体系(ISMS)预期成果的能力的外部和内部问题。
解释
作为 ISMS 的一个必须功能,组织不断地分析自己和周围的世界。这种分析涉及外部和内部问题,这些问题在某种程度上影响信息安全,以及信息安全如何管理,并且与组织目标有关。
这些问题的分析有三个目的:
- 理解背景以决定 ISMS 的范围;
- 分析背景以确定风险和机会;和
- 确保 ISMS 适应变化中的外部和内部问题。
外部问题是那些超出组织控制范围的问题,这通常被称为组织的环境。分析这个环境可能(can)包括以下几个方面:
a) 社会和文化;
b) 政治,法律,规范和监管;
c) 财务和宏观经济;
d) 技术;
e) 自然; 和
f) 竞争力。
组织环境的这些方面不断出现影响信息安全和信息安全如何管理的问题。相关的外部问题取决于组织的具体优先事项和情况。
例如,特定组织的外部问题可能(can)包括:
g) 使用外包 IT 服务的法律影响(法律方面);
h) 在火灾、洪水和地震等灾害的可能性方面的自然特征(自然方面);
i) 黑客工具的技术进步和密码学的使用(技术方面);和
j) 对组织服务的普遍要求(社会,文化或财务方面)。
内部问题受制于组织的控制,分析内部问题可能(can)包括以下几个方面:
k) 组织的文化;
l) 方针、目标和实现它们的战略;
m) 管理方式、组织结构、角色和责任;
n) 组织采用的标准、准则和模型;
o) 可能直接影响 ISMS 范围内的组织过程的合同关系;
p) 过程和规程;
q) 资源和知识(例如资本,时间,人员,流程,系统和技术)方面的能力;
r) 物理基础设施和环境;
s) 信息系统、信息流和决策过程(正式和非正式);和
t) 以前的审计和以前的风险评估结果。
这个活动的结果在 4J,61 和 9.3 中使用。
指南基于对组织目标(例如使命声明或经营计划)以及组织 ISMS 的预期成果的理解,组织宜(should):
- 审查外部环境,识别相关的外部问题;和
- 审查内部方面,识别相关的内部问题。
为了找出相关问题,下面的问题可能(can)被提问:某个类别的问题(见上面的 a)到 t))如何影响信息安全目标?内部问题的三个例子可以作为例证:
例子 1,关于治理和组织结构(见条款 m)):在建立 ISMS 时,宜(should)考虑已有的治理和组织结构。例如,组织可能(can)基于其他已有的管理体系的结构对其 ISMS 的结构进行建模,并且可能(can)整合共同的功能,例如管理评审和审计。
例子 2,关于方针、目标和战略(见条款 l)):对现有方针、目标和战略的分析可以表明该组织打算实现什么,以及如何使信息安全目标与业务目标保持一致,以确保成功的结果。例子 3,关于信息系统和信息流(见条款 s)):在确定内部问题时,组织宜(should)在足够的详细程度上确定其各个信息系统之间的信息流。此活动及其结果的文件化信息仅在形式上或是到了组织确定对其管理体系有效性是必要的程度时是强制性的(见 ISO/IEC 27001:2013,7.5.1 b))其他信息在 ISO/IEC 27000 中,“组织”的定义有一个注释:“组织概念包括但不限于独资经营者、公司、有限责任公司、商行、企(事)业单位、行政权力机构、合营公司、慈善机构或社会事业机构,或其部分或组合,不论其是否法人组织,不论是公有还是私有。”其中一些例子是完整的法律实体,而另一些则不是。
有四种情况:
1) 组织是一个法律或行政实体(例如独资经营者、公司、有限责任公司、商行、企(事)业单位、行政权力机构、合营公司、慈善或社会事件机构,无论是否法人,公立或私立);
2) 组织是法律或行政实体的子集(例如公司、有限责任公司、企(事)业单位的一部分);
3) 组织是一组法律或行政实体(例如独资经营者、大公司、有限责任公司、商行的组合)。 和
4) 组织是一组法律或行政实体(如俱乐部,行业协会)的子集。
4.2. 理解相关方的需要和期望
需 要 的活动组织确定与 ISMS 相关的相关方及其与信息安全相关的要求。
解释
相关方是一个已定义的术语(参见 ISO/IEC 27000:2016,2.41),指的是可
能影响、被影响、或意识到自己受到组织的决策和活动影响的个人或组织。相关
方可能(can)在组织外部和内部找到,并且可能(can)对组织的信息安全有特定
的需要、期望或要求。
外部相关方可能(can)包括:
a) 监管者和立法者;
b) 股东,包括所有者和投资者;
c) 供应商,包括分包商、顾问和外包合作伙伴;
d) 行业协会;
e) 竞争者;
f) 顾客和消费者;和
g) 维权组织。
内部相关方可能(can)包括:
h) 决策者,包括最高管理者;
i) 过程所有者、系统所有者和信息所有者;
j) 支持职能,如:IT 或人力资源等;
k) 员工和用户;和
l) 信息安全专业人员。
这个活动的结果在 43 和 6.1 中使用。
指南宜(should)采取以下步骤:
- 识别外部相关方;
- 识别内部相关方; 和
- 识别相关方的要求。
随着相关方的需要、期望和要求随着时间的推移而变化,这些变化及其对ISMS 范围、约束和要求的影响宜(should)定期审查。
此活动及其结果的文件化信息仅在形式上或是到了组织确定对其管理体系有效性是必要的程度时是强制性的(见 ISO/IEC 27001:2013,7.5.1 b))。
其他信息
没有其他信息。
4.3. 确定信息安全管理体系的范围
需要的活动组织确定 ISMS 的边界和适用性,以确立其范围。
解释
这个范围定义了 ISMS 到底适用于哪里和什么,以及哪里和什么是不适用的。因此,确立范围是为实施 ISMS 的所有其他活动确定必要基础的关键活动。例如,风险评估和风险处置,包括控制的确定,如果对 ISMS 究竟适用于哪里没有准确的理解,就不会产生有效的结果。准确认识 ISMS 的边界和适用性以及组织与其他组织之间的接口和依赖关系也是至关重要的。对范围的任何后期修改都可能导致大量额外的工作量和成本。
以下因素可能(can)影响范围的确定:
a) 4A 中描述的外部和内部问题;
b) 根据 ISO/IEC 27001:2013,4.2 确定的相关方及其要求;
c) 业务活动的准备作为 ISMS 覆盖范围的一部分包括在内;
d) 所有支持职能,即支持这些业务活动所必要的职能(例如人力资源管理、信息技术服务和软件应用、建筑设施管理、物理区域,公共基础服务和公用事业);和
e) 被外包给组织内的其他部门或独立供应商的所有职能。从一个实施到另一个实施,ISMS 的范围可能非常不同。例如,范围可以包括:
- 一个或多个特定过程;
- 一个或多个特定职能;
- 一项或多项特定服务;
- 一个或多个特定部门或场所;
- 整个法律实体;和
- 整个行政实体和一个或多个供应商。
指南
为了确立 ISMS 的范围,可能采取多步骤的方法:
f) 确定初步范围:这项活动宜(should)由一小组有代表性的管理者代表指挥;
g) 确定精细范围:宜(should)审查初步范围内外的职能单位,也许随后包括或排除某些职能单位,以减少边界接口的数量。在提炼初步范围时,宜(should)考虑范围内支持业务活动所必要的所有支持职能;
h) 确定最终范围:精细范围应由所有管理层在精细范围内进行评价。若有必要,应进行调整,然后进行精确描述;和
i) 批准范围:描述范围的文件化信息宜(should)由最高管理层正式批准。组织还宜(should)考虑对 ISMS 或对组织内的其他部门或独立供应商的外包活动产生影响的活动。对于这些活动,宜(should)识别接口(物理、技术和组织)和它们对范围的影响。
描述范围的文件化信息宜(should)包括:
j) 组织范围、边界和接口;
k) 信息和通信技术的范围、边界和接口;和
l) 物理范围、界限和接口。
其他信息
无其他信息。
0x03 更多信息
https://github.com/ym2011/SecurityManagement/tree/master/ISO27001/ISO27000体系文件
欢迎大家分享更好的思路,热切期待^^_^^ !