5.1 领导力和承诺
最高管理者应通过以下方式证明信息安全管理体系的领导力和承诺: a确保信息安全方针和信息安全目标已建立,并与组织战略方向一致; b确保将信息安全管理体系要求整合到组织过程中; c确保信息安全管理体系所需资源可用;
d传达有效的信息安全管理及符合信息安全管理体系要求的重要性; e确保信息安全管理体系达到预期结果;
f指导并支持相关人员为信息安全管理体系有效性做出贡献; g促进持续改进;
h支持其他相关管理者角色,在其职责范围内展现领导力。 5.2 方针
最高管理者应建立信息安全方针,方针应: a与组织意图相适宜;
b包括信息安全目标(见6.2或为信息安全目标的设定提供框架; c包括对满足适用的信息安全要求的承诺; d包括持续改进信息安全管理体系的承诺。 信息安全方针应: e形成文件化信息并可用; f在组织内得到沟通;
g适当时,对相关方可用。 5.3 组织的角色,职责和权限
最高管理者应确保与信息安全相关角色的职责和权限得到分配和沟通。 最高管理者应分配职责和权限,以:
a确保信息安全管理体系符合本标准的要求; b向最高管理者报告信息安全管理体系绩效。
注:最高管理者也可为组织内报告信息安全管理体系绩效,分配职责和权限。6. 规划
6.1 应对风险和机会的措施 6.1.1 总则
当规划信息安全管理体系时,组织应考虑4.1中提到的问题和4.2中提到的要求,确定需要应对的风险和机会,以:
a确保信息安全管理体系能实现预期结果; b预防或减少意外的影响; c实现持续改进。 组织应规划:
d应对这些风险和机会的措施; e如何:
1将这些措施整合到信息安全管理体系过程中,并予以实施;
2评价这些措施的有效性。 6.1.2 信息安全风险评估
组织应定义并应用信息安全风险评估过程,以: a建立和维护信息安全风险准则,包括: 1风险接受准则;
2信息安全风险评估实施准则。
b确保重复的信息安全风险评估可产生一致的、有效的和可比较的结果; c识别信息安全风险:
1应用信息安全风险评估过程,以识别信息安全管理体系范围内与信息保密 性、完整性和可用性损失有关的风险; 2识别风险责任人; d分析信息安全风险:
1评估6.1.2 c 1中所识别的风险发生后,可能导致的潜在后果; 2评估6.1.2 c 1中所识别的风险实际发生的可能性; 3确定风险级别; e评价信息安全风险:
1将风险分析结果与6.1.2 a中建立的风险准则进行比较; 2排列已分析风险的优先顺序,以便于风险处置。 组织应保留信息安全风险评估过程的文件化信息。
6.1.3 信息安全风险处置
组织应定义并应用信息安全风险处置过程,以:
a在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项; b确定实施已选的信息安全风险处置选项所必需的全部控制措施; 注:组织可根据需要设计控制措施,或从任何来源识别控制措施。
c将6.1.3 b确定的控制措施与附录A中的控制措施进行比较,以核实没有遗漏 必要的控制措施;
注1:附录A包含了控制目标和控制措施的综合列表。本标准用户可使用附录A,以确保没有忽略必要的控制措施。
注2:控制目标包含于所选择的控制措施内。附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施,组织也可能需要另外的控制目标和控制措施。
d制定适用性声明,包含必要的控制措施(见6.1.3 b和c及其选择的合理 性说明(无论该控制措施是否已实施,以及对附录A控制措施删减的合理性说明; e制定信息安全风险处置计划;
f获得风险责任人对信息安全风险处置计划的批准,及对信息安全残余风险的接 受。
组织应保留信息安全风险处置过程的文件化信息。
注:本标准中的信息安全风险评估和处置过程与ISO 31000[5]中给出的原则和通用指南
6.2 信息安全目标和实现规划
组织应在相关职能和层次上建立信息安全目标。 信息安全目标应: a与信息安全方针一致; b可测量(如可行;
c考虑适用的信息安全要求,以及风险评估和风险处置的结果; d得到沟通; e在适当时更新。
组织应保留信息安全目标的文件化信息。 在规划如何实现信息安全目标时,组织应确定: f要做什么; g需要什么资源; h由谁负责; i什么时候完成; j如何评价结果。 7 支持 7.1 资源
组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。
ISO27001-2013信息安全管理体系要求.
