c信息安全绩效有关的反馈,包括以下方面的趋势: 1不符合和纠正措施; 2监视和测量结果; 3审核结果;
4信息安全目标完成情况; d相关方反馈;
e风险评估结果及风险处置计划的状态; f持续改进的机会。
管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
组织应保留文件化信息作为管理评审结果的证据。 10 改进
10.1 不符合和纠正措施 当发生不符合时,组织应: a对不符合做出反应,适用时: 1采取措施控制并纠正不符合; 2处理后果;
b通过以下方法,评价采取消除不符合原因的措施的需求,防止不符合再发生, 或在其他地方发生:
1评审不符合; 2确定不符合的原因;
3确定类似的不符合是否存在,或可能发生; c实施需要的措施;
d评审所采取的纠正措施的有效性; e必要时,对信息安全管理体系进行变更。
纠正措施应与所遇到的不符合的影响程度相适应。 组织应保留文件化信息作为以下方面的证据: f不符合的性质及所采取的后续措施; g纠正措施的结果。 10.2 持续改进
组织应持续改进信息安全管理体系的适宜性、充分性和有效性。 附录A(规范性附录 参考控制目标和控制措施
表A.1所列的控制目标和控制措施是直接源自并与ISO/IEC DIS 27002[1]第5到18章一致,并在6.1.3环境中被使用。
表A.1 控制目标和控制措施 A.5 信息安全方针和策略(POLICES A.5.1 信息安全管理指导
目标:依据业务要求和相关法律法规为信息安全提供管理指导和支持。 A.5.1.1 信息安全方针和策略控制措施
信息安全方针和策略应由管理者批准、发布并传 达给所有员工和外部相关方。
A.5.1.2 信息安全方针和策略的评审控制措施 应按计划的时间间隔或当重大变化发生时进行信 息安全方针和策略评审,以确保其持续的适宜性、 充分性和有效性。 A.6 信息安全组织 A.6.1 内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实施和运行。 A.6.1.1 信息安全角色和职责控制措施 所有的信息安全职责应予以定义和分配。 A.6.1.2 责任分割控制措施
应分割冲突的责任和职责范围,以降低未授权或 无意的修改或者不当使用组织资产的机会。 A.6.1.3 与政府部门的联系控制措施 应保持与政府相关部门的适当联系。 A.6.1.4 与特定相关方的联系控制措施
应保持与特定相关方、其他专业安全论坛和专业 协会的适当联系。
A.6.1.5 项目管理中的信息安全控制措施 应解决项目管理中的信息安全问题,无论项目类 型。
A.6.2 移动设备和远程工作
目标:确保远程工作和移动设备使用的安全。 A.6.2.1 移动设备策略控制措施
应采用策略和支持性安全措施以管理使用移动设 备时带来的风险。 A.6.2.2 远程工作控制措施
应实施策略和支持性安全措施以保护在远程工作 地点访问、处理或存储的信息。 A.7 人力资源安全 A.7.1 任用前
目标:确保员工和承包方理解其职责,并适合其角色。 A.7.1.1 审查控制措施
对所有任用候选者的背景验证核查应按照相关法 律法规和道德规范进行,并与业务要求、访问信
息的等级(8.2和察觉的风险相适宜。 A.7.1.2 任用条款及条件控制措施
应在员工和承包商的合同协议中声明他们和组织 对信息安全的职责。 A.7.2 任用中
目标:确保员工和承包方意识到并履行其信息安全职责。 A.7.2.1 管理职责控制措施
管理者应要求所有员工和承包商按照组织已建立 的方针策略和规程应用信息安全。
A.7.2.2 信息安全意识、教育和培训控制措施 组织所有员工,适当时包括承包商,应接受与其 工作职能相关的适宜的意识教育和培训,及组织 方针策略及规程的定期更新的信息。 A.7.2.3 纪律处理过程控制措施
应建立正式的且被传达的纪律处理过程以对信息 安全违规的员工采取措施。 A.7.3 任用的终止和变更
目标:在任用变更或终止过程中保护组织的利益。(PART未体现 A.7.3.1 任用职责的终止或变更控制措施
ISO27001-2013信息安全管理体系要求
