信息安全体系iso27001:信息安全政策

更新时间：2024-05-09 浏览次数：194次

向 ISMS 范围内的所有人明确传达这些信息。

ISO 27001 非常重视高层管理人员对 ISMS 的积极参与，其依据是

更高管理层的参与对于确保广大员工有效实施和维护有效的 ISMS 至关重要。

信息安全政策

领导层的一项重要职责是制定并记录与组织主要目标相一致的信息安全政策。在更高层，信息安全政策必须包括目标或制定目标的框架（准则）。为表明该政策与组织的背景和主要利益相关者的要求相一致，建议该政策提及或概述其旨在管理的主要问题和要求。它还必须包括以下承诺满足与信息安全有关的适用要求，如法律要求、客户期望和合同承诺；

持续改进 ISMS

信息安全政策可参考或包括涵盖组织 ISMS 关键控制措施的子政策。例如：选择对信息安全至关重要的供应商、招聘和培训员工、清晰的桌面和清晰的屏幕、加密控制、访问控制等。

为显示信息安全政策的重要性，建议由更高管理层的更成员或更高管理层团队的每位成员授权。

提示--为确保信息安全政策得到很好的传达并提供给有关各方，更好能

将其纳入新员工和承包商的入职资料和介绍中；

在内部公告栏、内联网和组织网站上张贴主要声明；以及

将遵守和/或支持关键声明作为员工、承包商和信息安全关键供应商的合同要求。

角色和责任

要使信息安全活动成为组织内大多数人日常活动的一部分，就必须界定并明确传达他们的职责和责任。

虽然标准中没有要求指定信息安全代表，但对于某些组织来说，指定一名信息安全代表来领导信息安全团队，协调培训、监控控制，并向更高管理层报告 ISMS 的执行情况，可能会有所帮助。此人可能已经负责数据保护或 IT 服务。

不过，为有效履行职责，他们更好也是高层管理团队的成员，并具备丰富的信息安全管理技术知识，或能接触到具备相关知识的人员。

向审核员证明领导能力

更高管理层是指为组织或业务领域制定战略方向并批准资源分配的人员群体，其工作范围与 ISMS 有关。根据组织结构的不同，这些人员可能是也可能不是日常管理团队。审计员通常会通过与一名或多名更高管理层成员面谈，评估他们在以下方面的参与程度，从而对领导力进行测试：

评估风险和机遇

制定和传达政策

制定和传达目标

系统绩效的审查和沟通；以及

分配适当的资源、责任和义务。

提示--在外部审计之前，确定更高管理层中哪些人将与外部审计师会面，并对可能提出的问题进行模拟演练，使他们做好面试准备。

ISO 27001 本质上是一种风险管理工具，引导企业从各种来源识别信息安全风险的驱动因素。因此，ISMS 的根本目的在于

识别具有重要战略意义的、显而易见的和隐蔽但危险的风险；

确保组织的日常活动和操作流程在设计、指导和资源配置上能够从本质上管理这些风险；以及

自动应对和适应变化，以应对新的风险，并不断降低组织的风险敞口。

制定详细的行动计划，并通过定期审查和监测对其进行调整、更新和支持，是至关重要的，也是向审计员提供明确界定的系统规划的更佳证据。

风险评估

风险评估是任何有效的 ISMS 系统的核心。即使是资源最充足的组织，也无法完全消除发生信息安全事故的可能性。对所有组织来说，风险评估都是必不可少的：

通过关键人员的参与，使用系统评估技术，提高识别所有潜在风险的可能性；

分配资源以解决更优先领域的问题；以及

就如何管理重大信息安全风险做出战略决策，从而更有可能实现其目标。

大多数风险评估框架由一个表格组成，其中包含第 1 至第 4 点的结果，以及涵盖第 5 点的补充表格或矩阵。

外部审计员希望看到风险评估记录、每项风险的指定负责人以及所使用的标准。

提示--附件 A（8.1.1）要求保存一份信息资产、与信息相关的资产（如建筑物、文件柜、笔记本电脑）和信息处理设施的清单。如果你在完成风险评估时，系统地评估了该清单上每个项目所面临的风险，那么你就在同一项工作中满足了两项要求。此外，如果您为清单上的每个项目指定了所有者，那么您也就满足了附件 A 中的另一项要求（8.1.2）。由于资产所有者也可能是风险所有者，这有助于防止重复和潜在的混淆。

ISO 27005--信息安全风险管理为贵组织开发风险评估技术提供了指导。无论选择或开发哪种技术，都应包括以下关键要素：

为系统性识别风险（如逐一审查资产、资产组、流程、信息类型）提供提示，检查每个风险是否存在常见威胁和漏洞，并记录当前管理这些风险的控制措施。

提供一个框架，持续评估每种风险发生的可能性（如每月一次、每年一次）。提供一个框架，持续评估每种风险发生的后果（如损失 1,000 英镑、损失 100,000 英镑）。

提供一个框架，根据对可能性和后果的评估，对确定的每项风险进行统一的评分或分类（如 1-10，高/中/低）。

制定成文的标准，针对每项风险评分或类别，具体说明需要采取的行动类型，以及赋予该行动的级别或优先级。

风险处理

对于风险评估中确定的每项风险，您必须采用一致的标准来确定是否应

接受风险；或处理风险（称为 "风险处理"）。

可供选择的风险处理办法通常有以下几种：

避免--停止进行暴露于风险的活动或处理暴露于风险的信息。

消除--消除风险源。

改变可能性--实施控制措施，降低信息安全事件发生的可能性。

改变后果--实施控制措施，降低事故发生时的影响。

转移风险 - 将活动或流程外包给更有能力管理风险的第三方。

接受风险--如果组织没有切实可行的风险处理办法，或风险处理的成本被认为高于影响的成本，则可以做出接受风险的知情决定。这需要得到更高管理层的批准。

外部审计员希望看到一份风险处理计划（如行动清单），详细说明您已实施或计划实施的风险处理行动。该计划必须足够详细，以便核实每项行动的实施情况。还需要有证据证明该计划已得到指定的风险负责人和更高管理层的批准。

附件 A 和适用性声明

所有风险处理方案（接受除外）都涉及实施一项或多项控制措施。ISO 27001 附件 A 列出了 114 种更佳实践信息安全控制措施。在制定风险处理计划时，您需要考虑是否实施其中的每项控制措施。

这 114 项控制措施中的大部分描述都比较模糊，因此强烈建议您查看 ISO 27002，其中包含更多有关实施这些控制措施的更佳实践方法的信息。

作为您已完成此评估的证据，外部审计员会要求您提供一份名为 "适用性声明 "的文件。在此文件中，您必须记录 114 项控制措施中的每一项：

是否适用于贵公司的活动、流程和信息安全风险；

是否已经实施；以及如果认为不适用，请说明这样做的理由。

对于大多数组织来说，114 项控制措施中的大多数都是适用的，而且他们很可能已经在某种程度上实施了其中的一些措施。

提示--您的适用性声明不需要是一份过于复杂的文件。一个简单的表格，列标题为控制、适用吗、已实施吗和理由就足够了。此外，更好还能记录一些有关如何实施控制的信息（如参考程序或政策），以帮助您更轻松地回答外部审计员提出的任何问题。

信息安全目标和实现目标的计划

在组织内的相关层面，你需要有一套记录在案的信息安全相关目标。这些目标可以是更别的，适用于整个组织（如 "获得 ISO 27001 认证"）或部门（如 "在所有新员工入职一周内完成信息安全简报"）。

您设定的每个目标必须可衡量；

与信息安全政策保持一致；

考虑到组织的信息安全要求；以及

考虑到风险评估和风险处理过程的结果。

与信息安全相关的典型目标包括

不超过某些类型的信息安全事故的规定频率。

达到可衡量的信息安全控制合规水平。

提供规定的信息服务可用性。

数据错误不超过可衡量的数量。

通过招聘、培训或采购改善可用资源。

实施新的控制措施。

遵守信息安全相关标准。

每个目标都必须传达给相关人员。必要时必须更新目标，以保持其相关性，并根据目标评估绩效。

对于每个目标，你都需要计划如何实现它们。这包括确定

需要实现哪些目标

分配哪些资源

谁拥有实现目标的所有权或主要责任；

是否有目标完成日期，或只是一个持续性要求；以及

评估目标执行情况的方法（即衡量标准）。

提示--传达信息安全目标的有效方法包括在入职培训中介绍这些目标，将其设定为员工目标或纳入员工考核，在与供应商的服务水平协议中确立这些目标，或在供应商绩效考核中根据这些目标评估绩效。

ISO 27001 附件 A 指南

ISO 27001:2013 是概述信息安全管理系统 (ISMS) 更佳实践的国际标准。如果您熟悉我们之前在这里提供的实施指南，那么您一定已经研究过该标准中包含的条款。您还会了解到，在考虑组织的信息安全时，该标准遵循基于风险的方法。这就要求识别安全风险，然后选择适当的控制措施来降低、消除或管理这些风险。

该标准在附件 A 中列出了满足这些风险要求所需的控制措施，总共有 114 项控制措施，细分为 14 个不同类别。在考虑这些控制措施时，重要的是要注意它们只是可能性或可选方案。

在开展风险流程时，应从附件 A 的列表中选择适当的控制措施来识别风险。例如，如果贵组织没有办公场所，而是远程运营，那么使用实体安全领域的某些控制措施就不合适。

同样，在转向基于云的解决方案时，也需要重新审视操作和通信安全领域中的现有控制措施。

进一步考虑

在认证审核之前，组织必须编制一份适用性声明（SoA）。

ISO 27001 第 6 条概述了这一要求。SoA 必须包含至少 114 个条目，并列出每个类别和控制措施。完成上述工作后，必须选择每项控制并说明理由，或以类似的理由将其排除在外。所有 SoA 文件都必须能够证明对每项控制措施都进行了考虑。这就意味着，SoA 必须包含概述的所有条目，仅仅列出选定的控制措施是不符合要求的。

这些被选中的控制措施很可能构成风险处理证据的一部分，并应记录在案。通常情况下，这将在风险登记册中进行记录，但也可以作为单独的文件进行记录。不同组织采用的方法会有所不同，但证明附件 A 中的控制措施已得到实施是一致的要求。

该标准中的安全规定不是组织的 IT 或安全团队必须单独遵守的。该标准要求在检查风险和处理风险时，要考虑到组织的方方面面。

对风险问题进行补救的更佳人选可能并不总是在 IT 部门；风险处理的确切组成和位置因组织而异。风险所有权对于确保控制措施接受审查至关重要。

最后

附件 A 控制措施只是组织可用的部分选择。附件 A 中没有明确列出的其他安全控制措施也可用于处理已识别的风险。只要标准中的条款和控制措施得到适当处理，ISMS 就能发挥作用，提供良好的信息安全水平。

第 7 节：支持

第 7 条涉及资源。这既适用于人员、基础设施和环境，也适用于物质资源、材料和工具等。知识作为组织内的重要资源，也再次受到重视。在规划质量目标时，一个主要的考虑因素是企业资源的现有容量和能力，以及企业可能需要从外部供应商/合作伙伴处获得的资源。

要实施和维护有效的 ISMS 系统，就必须有相应的支持资源。这些资源必须足够

能力--如果是设备或基础设施；以及

有能力--如果是人员。

在管理评审会议上。

能力

实施有效的信息安全控制措施在很大程度上依赖于员工、供应商和承包商的知识和技能。为确保拥有适当的知识和技能基础，您需要

确定需要哪些知识和技能；

确定谁需要掌握这些知识和技能；以及

规定如何评估或验证合适的人员是否具备合适的知识和技能。

审核员会希望你提供详细说明知识和技能要求的文件。如果您认为已经满足要求，则需要提供培训证书、课程出勤记录或内部能力评估等记录作为支持。

提示--大多数已经使用培训/技能矩阵、考核或供应商评估等工具的组织，可以通过扩大涵盖领域，将信息安全包括在内，来满足对能力记录的要求。

认识

除了确保关键人员具备信息安全方面的特定能力外，还需要让更多员工、供应商和承包商了解 ISMS 的基本要素。这对于在组织内部建立支持性文化至关重要。

所有员工、供应商和承包商都应了解以下内容：

贵公司拥有 ISMS 系统，以及拥有该系统的原因。

贵公司有信息安全政策，其中哪些具体内容与他们相关。

他们如何为贵组织保护其宝贵信息做出贡献，以及他们需要做些什么来帮助组织实现其信息安全目标。

哪些政策、程序和控制措施与他们相关，以及不遵守这些政策、程序和控制措施的后果。

提示--这些信息的沟通通常可以通过现有的流程和文件来完成，例如入职培训、雇佣合同、工具箱讲座、供应商协议、员工简报或更新。

沟通

为使 ISMS 中的流程有效运行，您需要确保对沟通活动进行周密计划和管理。ISO 27001 简要说明了这一点，要求您确定

需要沟通的内容

何时需要传达

需要向谁传达

谁负责沟通；以及

沟通的流程是什么。

提示--如果你的流程、政策和程序中已经明确规定了沟通要求，那么你就不需要再做任何事情来满足这一要求。如果没有，则应考虑以表格或程序的形式记录关键的沟通活动，其中包括上述标题。记住，这些文件的内容也需要传达！

记录的信息

为发挥文档信息的作用，您用于实施和维护 ISMS 的文档信息需要

准确；

对于经常或偶尔使用这些信息的人来说是可以理解的；以及

有助于您遵守法律要求、管理信息安全风险和实现目标。

为了使文档信息始终满足这些要求，你需要制定相应的流程，以确保： 1：

文档信息在公开发布之前，根据需要由相关人员进行审核；

控制对文件信息的访问，以防信息被意外更改、损坏、删除或被不合适的个人访问；

安全删除信息，或在有需要时将信息归还所有者；以及

您可以跟踪信息的更改情况，以确保流程在掌控之中。

文档信息的来源可能是内部的，也可能是外部的，因此你的控制流程需要管理这两种来源的文档信息。

提示 - 具有良好文档控制能力的组织通常具备以下一个或多个条件：

由一个人或一个小团队负责，确保新文件/修改文件在发布前经过审核，存储在正确的位置，在被取代时退出流通，并确保新文件/修改文件在发布前经过审核，存储在正确的位置，在被取代时退出流通。

由一个人或一个小团队负责，确保新文件/修改文件在发布前经过审核，储存在正确的位置，在被取代时不再分发，并保留一份修改登记册。

包含自动工作流程和控制的电子文件管理系统。

健全的电子数据备份和硬拷贝文件归档/存储流程。

员工对文件控制、记录保存和信息访问/保留要求的强烈意识。

第 8 部分：操作

经过规划和风险评估之后，我们就可以进入 "执行 "阶段了。第 8 条是关于对产品或服务的创建和交付进行适当控制。

要管理信息安全风险并实现目标，就需要将各项活动正规化，形成一套清晰连贯的流程。

其中许多流程可能已经存在（如入职培训），只需加以修改，加入与信息安全相关的元素即可。其他流程可能是临时性的（如供应商审批），而有些流程目前可能根本不存在（如内部审计）。

要实施有效的流程，以下做法至关重要：

通过调整或正式确定组织的 "常规业务 "活动来创建流程。

系统识别与每个流程相关的信息安全风险。

明确定义并传达在事件发生时（如新员工加入公司）管理相关信息安全风险所需的一系列活动。

明确分配开展相关活动的责任。

充分分配资源，确保在需要时开展相关活动。

例行评估每个流程的一致性及其在管理相关信息安全风险方面的有效性。

提示 - 针对每个流程，指定专人负责确保第 2-6 步的实施。此人通常被称为流程负责人。

信息安全风险评估

第 6 条所述的风险评估方法和技术必须适用于组织 ISMS 范围内的所有流程、资产、信息和活动。

由于风险不是一成不变的，因此必须以适当的频率对这些评估结果进行审核。通常至少每年一次，如果评估发现存在一个或多个重大风险，则应更频繁地进行审查。在下列情况下，也应对风险进行审查

完成任何风险处理行动（见下文）；

组织的资产、信息或流程发生变化；

发现新的风险；或

经验或新信息表明任何已识别风险的可能性和后果发生了变化。

提示 - 为确保您的风险评估流程涵盖需要审查的事件类型，您还应考虑附件 A 中的技术漏洞管理（A.12.6）、开发和支持流程安全（A.14.2）和供应商服务交付管理（A.15.2）控制措施。

信息安全风险处理

您制定的风险处理计划不能仅仅停留在意向声明上，必须付诸实施。如果需要根据新的风险信息和风险评估标准的变化进行修改，则需要更新计划并重新授权。

还必须对计划的影响进行评估，并记录评估结果。这可以作为管理审核或内部审核流程的一部分，也可以通过网络渗透测试、供应商审核或突击第三方审核等技术评估来完成。

第 9 部分：绩效评估

对 ISMS 的绩效进行评估主要有三种方式。它们是

监控 ISMS 控制措施的有效性；

通过内部审计；以及

管理评审会议。

监控、测量、分析和评估

贵组织需要决定需要监控哪些内容，以确保 ISMS 流程和信息安全控制措施按预期运行。对一个组织来说，始终监控所有事项是不切实际的；如果试图这样做，数据量可能会非常大，几乎不可能有效地使用这些数据。因此，在实际操作中，您需要对监控的内容做出明智的决定。

以下考虑因素非常重要：

哪些流程和活动受到的威胁最频繁、最严重？

哪些流程和活动具有最显著的内在脆弱性？

监控哪些内容并从中及时生成有意义的信息是切实可行的？

要使您实施的每项监控流程有效，您必须明确界定

如何进行监控（例如，是否在程序中进行了规定）；

何时进行

由谁负责实施

如何报告结果，何时报告，向谁报告，如何处理；以及

如果监测结果发现了不可接受的绩效，处理这种情况的上报流程或程序是什么。

为了向审核员证明您已制定了适当的监控程序，您需要保留监控结果、分析、评估审查和任何上报程序的记录。

内部审计

内部审核的目的是测试 ISMS 流程是否存在薄弱环节，并确定改进的机会。内部审核也是一个机会，可以让高层管理人员了解 ISMS 的实际执行情况。如果内部审核做得好，就能确保在外部审核时不会出现意外情况。

内部审核应检查

流程、程序和控制措施在遵循和应用上的一致性；

流程、程序和控制措施在产生预期结果方面有多成功；以及

您的 ISMS 是否始终符合 ISO 27001 标准和相关方的要求。

为确保审计工作以高标准、高附加值的方式进行，审计工作必须由以下人员进行

受到尊重；

有能力

了解 ISO 27001 的要求

能够快速解读文件，并熟练掌握合理的审核技巧和行为。

最重要的是，他们需要有足够的时间进行审核，并确保得到相关员工的配合。您必须制定内部审核计划。外部审计员希望该计划能确保在三年周期内对所有 ISMS 流程进行审计，并确保以下流程得到审计：

有证据表明表现不佳（例如，通过以前的审核、监控结果或信息安全事故）的流程；和/或

管理最重大的信息安全风险

审计频率更高。

外聘审计师还希望审计中发现的任何行动都能记录在案，由适当的员工进行审查，并及时采取行动纠正任何重大问题。他们应在结束审计的时间内，为任何已确定的、需要投入大量资源的改进机会留出余地。

管理评审

管理评审是 ISMS 的基本要素。它是更高管理层审查 ISMS 的有效性并确保其与组织战略方向保持一致的正式环节。管理评审必须按计划的时间间隔进行，整体评审计划（即一次会议或多次会议）必须至少涵盖标准第 9.3 条规定的一系列核心领域。

一次管理评审会议不一定要涵盖全部议程。

如果您目前召开的一系列会议都涵盖了这些会议之间的投入，那么就没有必要重复召开这些会议。

您需要保留有关管理评审的文件资料。这些资料通常是会议记录，如果进行电话会议，也可以是电话录音。这些记录不需要很详尽，但必须包含所做决定和商定行动的记录，更好注明责任和时间范围。

提示--如果您决定调整现有的管理会议时间表，并且这些会议涉及多个领域，您可能需要考虑以表格或程序的形式总结这些会议所涉及的领域，以便您和审计人员清楚地了解哪些会议涉及每个所需的审查领域。

第 10 部分：改进

实施 ISMS 的主要目的应是降低信息安全事件发生的可能性及其影响。任何 ISMS 都不可能十全十美。然而，成功的 ISMS 系统会随着时间的推移不断改进，并增强组织抵御信息安全攻击的能力。

不符合项和纠正措施

改进的主要动力之一是从安全事件、审计中发现的问题、监控中发现的绩效问题、相关方的投诉以及管理评审中产生的想法中学习。

对于发现的每一个学习机会，你都必须保留一份记录，其中包括

发生了什么；

如果事件造成了不良后果，采取了哪些措施来控制和减轻后果；

事件的根本原因（如果已确定）；

为消除根本原因而采取的行动（如有必要）；以及

对所采取行动的效果进行评估。

根本原因分析

要确定有效的纠正措施，更好对发生的问题进行根本原因分析。如果不弄清问题发生的原因或过程，那么无论采取什么纠正措施，都很可能无法完全奏效。一个简单的方法，如 "5 个为什么"，是一个很好的根本原因分析工具：从问题开始，然后问 "为什么 "足够多的次数，以找到根本原因。通常问 5 次就足够了，但对于更复杂的问题，您可能需要深入挖掘。