7.2 能力 组织应:
a确定从事在组织控制下且会影响组织的信息安全绩效的工作的人员的必要能 力;
b确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作; c适用时,采取措施以获得必要的能力,并评估所采取措施的有效性; d保留适当的文件化信息作为能力的证据。
注:适用的措施可包括,例如针对现有雇员提供培训、指导或重新分配;雇佣或签约有
7.3 意识
在组织控制下工作的人员应了解: a信息安全方针;
b其对信息安全管理体系有效性的贡献,包括改进信息安全绩效带来的益处; c不符合信息安全管理体系要求带来的影响。 7.4 沟通
组织应确定与信息安全管理体系相关的内部和外部的沟通需求,包括: a沟通内容; b沟通时间; c沟通对象;
d谁应负责沟通; e影响沟通的过程。 7.5 文件化信息 7.5.1 总则
组织的信息安全管理体系应包括: a本标准要求的文件化信息;
b组织为有效实施信息安全管理体系所确定的必要的文件化信息。 注:不同组织的信息安全管理体系文件化信息的详略程度取决于: 1 组织的规模及其活动、过程、产品和服务的类型; 2 过程的复杂性及其相互作用; 3 人员的能力。 7.5.2 创建和更新
创建和更新文件化信息时,组织应确保适当的: a标识和描述(例如标题、日期、作者或编号;
b格式(例如语言、软件版本、图表和介质(例如纸质、电子介质; c对适宜性和充分性的评审和批准。 7.5.3 文件化信息的控制
信息安全管理体系及本标准所要求的文件化信息应予以控制,以确保: a在需要的地点和时间,是可用和适宜的;
b得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等。 为控制文件化信息,适用时,组织应开展以下活动: c分发,访问,检索和使用; d存储和保护,包括保持可读性; e控制变更(例如版本控制; f保留和处置。
组织确定的为规划和运行信息安全管理体系所必需的外来的文件化信息,应得到适当的识别,并予以控制。
注:访问隐含着允许仅浏览文件化信息,或允许和授权浏览及更改文件化信息等决定。
8 运行
8.1 运行规划和控制
组织应对满足信息安全要求及实施6.1中确定的措施所需的过程予以规划、实施和控制。组织也应实施计划以实现6.2中确定的信息安全目标。
组织应保持文件化信息达到必要的程度,以确信过程按计划得到执行。 组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻负面影响。
组织应确保外包过程得到确定和控制。 8.2 信息安全风险评估
组织应考虑6.1.2 a建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。
组织应保留信息安全风险评估结果的文件化信息。 8.3 信息安全风险处置
组织应实施信息安全风险处置计划。
组织应保留信息安全风险处置结果的文件化信息。 9 绩效评价
9.1监视、测量、分析和评价
组织应评价信息安全绩效和信息安全管理体系的有效性。 组织应确定:
a需要被监视和测量的内容,包括信息安全过程和控制措施;
b监视、测量、分析和评价的方法,适用时,以确保得到有效的结果。 注:所选的方法宜产生可比较和可再现的有效结果。 c何时应执行监视和测量; d谁应监视和测量;
e何时应分析和评价监视和测量的结果; f谁应分析和评价这些结果。
组织应保留适当的文件化信息作为监视和测量结果的证据。 9.2 内部审核
组织应按计划的时间间隔进行内部审核,提供信息以确定信息安全管理体系是否:
a符合
1组织自身对信息安全管理体系的要求; 2本标准的要求。 b得到有效实施和保持。 组织应:
c规划、建立、实施和保持审核方案(一个或多个,包括审核频次、方法、职 责、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果; d确定每次审核的审核准则和范围;
e选择审核员,实施审核,确保审核过程的客观性和公正性; f确保将审核结果报告至相关管理者;
g保留文件化信息作为审核方案和审核结果的证据。 9.3 管理评审
最高管理者应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应考虑:
a以往管理评审要求采取措施的状态;
b与信息安全管理体系相关的外部和内部情况的变化;
信息安全管理体系要求
