GBT22080 ISO27001信息安全管理體系標準解析二、前言

2019/3/8 15:21:58 次

　　ISO27001標準附錄 A.5.1　信息安全方針

　　【內容解析】

　　在建立并保持信息安全方針時需依據業務要求和相關法律法規要求。確保信息安全方針得到最高管理者的支持，使所有相關的人員(內部或外部的)了解其關于信息安全的責任。

　　ISO27001標準附錄 A.5.1.1　信息安全方針文件

　　【內容解析】

　　通過安全方針建立全體員工的信息安全意識并支持組織的業務運行與發展。信息安全方針可以形成一份單獨的文件，由組織的高級管理者簽署批準，在組織內以可訪問的方式發布。信息安全方針是組織安全管理的指導性文件，其他安全管理策略、過程和規程等應與信息安全方針保持一致。

　　ISO27001標準附錄 A.5.2　信息安全方針的評審

　　【內容解析】

　　組織的環境和業務狀況等處

　　一、引言

　　引言部分包含了三個條款，即0.1總則、0.2過程方法、0.3與其他管理體系的兼容性。

　　0.1　總則

　　【內容解析】

　　建立、實施、運行、監視、評審、保持和改進ISO27001信息安全管理體系，應該是一個組織整體經營戰略的一部分，是從信息安全方面實現組織經營宗旨的有效途徑之一。也就是說，通過ISO27001信息安全管理體系的有效運行來支持組織經營戰略的實現，是建立、實施、運行、監視、評審、保持和改進ISO27001信息安全管理體系的根本目的，因此，脫離了組織的經營宗旨和經營環境談信息安全是沒有意義的。

　　而本ISO27001標準則給出了信息安全管理體系的基本要求，為信息安全管理體系的建立、實施、運行、監視、評審、保持和改進提供了一個有用的模型。

　　從組織經營風險的角度考慮，絕對安全的完美制度既無必要，也不可實現。系統地管理信息安全，并不意味著建立一套絕對安全的完美制度，而應將信息安全管理體系的建立、實施、運行、監視、評審、、保持和改進作為一個管理方法論，應用于組織信息安全的系統性管理，設計一套適合于組織特點和具體需求的信息安全管理解決方案。

　　本標準提出的信息安全管理要求框架，可以作為組織內部和外部信息安全管理一致性評估的依據，為組織發現改進其信息安全管理績效的機會。也就是說GB/T22080-2008(ISO27001)可作為第一方審核、第二方審核和第三方審核的依據。

　　內部和外部信息安全管理體系一致性評估的實例包括：

　　1)組織基于改進其信息安全管理績效的需要，由組織自己或其代表實施的內部信息安全管理體系審核;

　　2)組織的顧客基于招標或評價其合作伙伴信息安全管理績效的需要，由顧客或其代表對組織信息安全管理體系實施的審核;

　　3)第三方機構基于認證的目的，對組織信息安全管理體系實施的審核。

　　0.2　過程方法

　　【內容解析】

　　GB/T22080-2008鼓勵組織采用過程方法，建立、實施、運行、監視、評審、保持和改進組織的ISMS。

　　組織在采用過程方法時，需要系統識別所應用的過程，需要識別這些過程和過程之間的相互作用，并對其進行管理。過程方法的優點是對諸過程組成的系統中單個過程之間的聯系以及過程和進程相互作用進行連續的控制。

　　PDCA循環是由休哈特于20世紀20年代首次提出的，后來通過戴明博士在管理學領域得到了廣泛的應用，因此，人們常常將其稱為“戴明環”。

　　PDCA模式適用于所有的過程，也可以說PDCA模式適用于任何一項工作。

　　P———策劃(Plan)：根據顧客的要求和組織的方針，為提供的結果建立必要的目標和過程，例如：

　　1)組織需要建立信息安全管理體系的范圍是什么?

　　2)組織及相關方對信息安全的要求是什么?

　　3)組織存在哪些信息安全風險?

　　4)組織需要采取哪些處置風險的控制措施?

　　5)如何制定風險處置計劃?

　　D———實施(Do)：實施過程，例如：如何實施風險處置計劃?

　　C———檢查(Check)：根據方針、目標和信息安全的要求，對過程和信息安全進行監控和測量，并報告結果。例如：

　　1)如何策劃監視、測量的方法及評價準則?

　　2)如何實施監視和測量?

　　3)如何利用監視和測量的數據?

　　4)是按計劃的要求做的嗎?

　　5)達到預期的結果了嗎?

　　A———改進(Act)：采取措施，以持續改進過程業績。

　　例如：

　　1)是否需要變更信息安全管理方針?

　　2)是否需要補充或變更信息安全管理目標?

　　3)是否需要變更信息安全管理策略和規程?

　　4)需要哪些資源實施改進?

　　0.3　與其他管理體系的兼容性

　　【內容解析】

　　為滿足持續業務運營的要求，組織可能將管理體系方法論用于多個領域的管理，包括以產品和服務質量滿足要求為核心目的的ISO9001質量管理體系、以污染物的產生和排放滿足環境管理要求為核心目的的環境管理體系，以及以信息資產的安全滿足要求為核心目的的信息安全管理體系。

　　無論哪一種管理體系的運行，客觀上都是和組織的業務過程及相關支持過程伴生的，這就為多種管理體系的相互融合和兼容提供了現實可行性。

　　例如，在某些種類的IC卡制造業，制卡過程的廢品率是質量管理必須考慮的內容，廢品的產生以及處置則是ISO14001環境管理關注的要素，而信息安全管理則需要確保廢品卡作為含有敏感信息的介質，只能按照指定的方式和渠道予以處置。一個經過良好設計的管理體系規程，應能夠保證在制造過程控制中質量管理、環境管理和信息安全管理的要求同時得到滿足。

　　以融合各管理體系要求的方式設計信息安全管理體系的另一個好處，可以使實施和維護管理體系所需的資源得到最有效率的使用，從而在一定程度上可減少因運行不同管理體系造成的機構重疊和管理官僚化，也可減少業務過程中的執行人員不得不分別理解不同管理體系的要求帶來的混亂。

　　于變化中，應按組織預定的周期對信息安全方針進行評審;或者當發生對信息安全產生影響的重大事件時對安全方針進行評審。根據評審結果對信息安全方針加以必要修訂，以適應業務環境的變化和組織安全管理的需要。