ISO27001标准附录 A.5.1 信息安全方针
【内容解析】
在建立并保持信息安全方针时需依据业务要求和相关法律法规要求。确保信息安全方针得到最高管理者的支持,使所有相关的人员(内部或外部的)了解其关于信息安全的责任。
ISO27001标准附录 A.5.1.1 信息安全方针文件
【内容解析】
通过安全方针建立全体员工的信息安全意识并支持组织的业务运行与发展。信息安全方针可以形成一份单独的文件,由组织的高级管理者签署批准,在组织内以可访问的方式发布。信息安全方针是组织安全管理的指导性文件,其他安全管理策略、过程和规程等应与信息安全方针保持一致。
ISO27001标准附录 A.5.2 信息安全方针的评审
【内容解析】
组织的环境和业务状况等处
一、引言
引言部分包含了三个条款,即0.1总则、0.2过程方法、0.3与其他管理体系的兼容性。
0.1 总则
【内容解析】
建立、实施、运行、监视、评审、保持和改进ISO27001信息安全管理体系,应该是一个组织整体经营战略的一部分,是从信息安全方面实现组织经营宗旨的有效途径之一。也就是说,通过ISO27001信息安全管理体系的有效运行来支持组织经营战略的实现,是建立、实施、运行、监视、评审、保持和改进ISO27001信息安全管理体系的根本目的,因此,脱离了组织的经营宗旨和经营环境谈信息安全是没有意义的。
而本ISO27001标准则给出了信息安全管理体系的基本要求,为信息安全管理体系的建立、实施、运行、监视、评审、保持和改进提供了一个有用的模型。
从 组织经营风险的角度考虑,绝对安全的完美制度既无必要,也不可实现。系统地管理信息安全,并不意味着建立一套绝对安全的完美制度,而应将信息安全管理体系 的建立、实施、运行、监视、评审、、保持和改进作为一个管理方法论,应用于组织信息安全的系统性管理,设计一套适合于组织特点和具体需求的信息安全管理解 决方案。
本标准提出的信息安全管理要求框架,可以作为组织内部和外部信息安全管理一致性评估的依据,为组织发现改进其信息安全管理绩效的机会。也就是说GB/T22080-2008(ISO27001)可作为第一方审核、第二方审核和第三方审核的依据。
内部和外部信息安全管理体系一致性评估的实例包括:
1)组织基于改进其信息安全管理绩效的需要,由组织自己或其代表实施的内部信息安全管理体系审核;
2)组织的顾客基于招标或评价其合作伙伴信息安全管理绩效的需要,由顾客或其代表对组织信息安全管理体系实施的审核;
3)第三方机构基于认证的目的,对组织信息安全管理体系实施的审核。
0.2 过程方法
【内容解析】
GB/T22080-2008鼓励组织采用过程方法,建立、实施、运行、监视、评审、保持和改进组织的ISMS。
组织在采用过程方法时,需要系统识别所应用的过程,需要识别这些过程和过程之间的相互作用,并对其进行管理。过程方法的优点是对诸过程组成的系统中单个过程之间的联系以及过程和进程相互作用进行连续的控制。
PDCA循环是由休哈特于20世纪20年代首次提出的,后来通过戴明博士在管理学领域得到了广泛的应用,因此,人们常常将其称为“戴明环”。
PDCA模式适用于所有的过程,也可以说PDCA模式适用于任何一项工作。
P———策划(Plan):根据顾客的要求和组织的方针,为提供的结果建立必要的目标和过程,例如:
1)组织需要建立信息安全管理体系的范围是什么?
2)组织及相关方对信息安全的要求是什么?
3)组织存在哪些信息安全风险?
4)组织需要采取哪些处置风险的控制措施?
5)如何制定风险处置计划?
D———实施(Do):实施过程,例如:如何实施风险处置计划?
C———检查(Check):根据方针、目标和信息安全的要求,对过程和信息安全进行监控和测量,并报告结果。例如:
1)如何策划监视、测量的方法及评价准则?
2)如何实施监视和测量?
3)如何利用监视和测量的数据?
4)是按计划的要求做的吗?
5)达到预期的结果了吗?
A———改进(Act):采取措施,以持续改进过程业绩。
例如:
1)是否需要变更信息安全管理方针?
2)是否需要补充或变更信息安全管理目标?
3)是否需要变更信息安全管理策略和规程?
4)需要哪些资源实施改进?
0.3 与其他管理体系的兼容性
【内容解析】
为满足持续业务运营的要求,组织可能将管理体系方法论用于多个领域的管理,包括以产品和服务质量满足要求为核心目的的ISO9001质量管理体系、以污染物的产生和排放满足环境管理要求为核心目的的环境管理体系,以及以信息资产的安全满足要求为核心目的的信息安全管理体系。
无论哪一种管理体系的运行,客观上都是和组织的业务过程及相关支持过程伴生的,这就为多种管理体系的相互融合和兼容提供了现实可行性。
例如,在某些种类的IC卡制造业,制卡过程的废品率是质量管理必须考虑的内容,废品的产生以及处置则是ISO14001环境管理关注的要素,而信息安全管理则需要确保废品卡作为含有敏感信息的介质,只能按照指定的方式和渠道予以处置。一个经过良好设计的管理体系规程,应能够保证在制造过程控制中质量管理、环境管理和信息安全管理的要求同时得到满足。
以融合各管理体系要求的方式设计信息安全管理体系的另一个好处,可以使实施和维护管理体系所需的资源得到最有效率的使用,从而在一定程度上可减少因运行不同管理体系造成的机构重叠和管理官僚化,也可减少业务过程中的执行人员不得不分别理解不同管理体系的要求带来的混乱。
于变化中,应按组织预定的周期对信息安全方针进行评审;或者当发生对信息安全产生影响的重大事件时对安全方针进行评审。根据评审结果对信息安全方针加以必要修订,以适应业务环境的变化和组织安全管理的需要。
共有条评论 网友评论