0x00 前言
ISO(國際標準化組織)和 IEC(國際電工委員會)形成了全球標準化專業系統。作爲 ISO 或 IEC 成員的國家機構通過由各自組織設立的技術委員會來參與國際標準的制定,以處理特定的技術活動領域。ISO 和 IEC 技術委員會在共同關心的領域進行合作。其他國際組織、政府和非政府組織,通過聯絡 ISO 和 IEC也參加了這項工作。在信息技術領域,ISO 和 IEC 建立了聯合技術委員會 ISO/IECJTC 1。
用於開發本文件的程序和用於進一步維護的程序在ISO/IEC準則第1部分中有所描述。特別是應注意不同類型文件所需的不同批准標準。本文件是根據ISO/IEC 準則第 2 部分的編輯規則(見 www.iso.org/directives)起草的。
請注意本文件的某些內容可能是專利權的主題的可能性。ISO 和 IEC 不負責確定任何或所有這些專利權。在文件開發過程中確定的任何專利權利的細節將在引用和/或 ISO 所收到的專利聲明列表中(見 www.iso.org/patents)。本文檔中使用的任何商品名稱是爲了方便用戶而提供的信息,不構成背書。
對於標準的自願性質的解釋、與合格評定有關的 ISO 特定術語和表達的含義、以及關於 ISO 在技術性貿易壁壘(TBT)中遵守世界貿易組織(WTO)原則的信息,請參閱以下 URL:www.iso.org/iso/foreword.html。負責本文件的委員會是 ISO/IEC JTC 1 信息技術,小組委員會 SC 27 IT 安全技術。
本第二版的 ISO/IEC 27003 取消並取代第二版(ISO/IEC 27003:2010),這是一個較小的修訂。
相比以前的版本,主要的變化如下:
— 範圍和標題已經改爲涵蓋 ISO/IEC 27001:2013 的要求的解釋和指南,而不是以前的版本(iso / iec 27001:2005);
— 結構現在與 ISO/IEC 27001:2013 的結構一致,使用戶更容易與 ISO/IEC27001:2013 一起使用;
— 之前的版本有一個帶有活動順序的項目方法。這個版本反而提供對要求的指南,而不考慮它們實現的順序
0x01 引言
本文件就 ISO/IEC 27001 中規定的信息安全管理體系(ISMS)的要求提供指南,並提供有關它們的建議(“should”)、可能性(“can”)和許可(“may”)。本文檔的意圖不是要提供關於信息安全所有方面的通用指南。
本文件的第 4 至 10 章映射了 ISO/IEC 27001:2013 的結構。本文件不增加對 ISMS 及其相關術語和定義的新要求。有關要求和定義,組織宜參考 ISO/IEC 27001 和 ISO/IEC 27000。實施 ISMS 的組織沒有義務遵守本文檔中的指南。
ISMS 強調以下幾個階段的重要性:
— 理解組織的需求和建立信息安全方針和信息安全目標的必要性;
— 評估組織與信息安全相關的風險;
— 實施和運行信息安全過程、控制和其他措施來處理風險;
— 監視和評估 ISMS 的性能和有效性;和
— 實踐持續改進。
ISMS 與任何其他類型的管理體系類似,包括以下關鍵組件:
a) 方針;
b) 有明確責任的人員;
c) 有關以下內容的管理過程:
1) 方針制定;
2) 意識和能力的規定;
3) 規劃;
4) 實現;
5) 運行
6) 績效考覈
7) 管理評審;和
8) 改進;及
d) 文件化信息
ISMS 還有其他關鍵組件,如:
e) 信息安全風險評估;和
f) 信息安全風險處置,包括控制措施的確定和實施。
本文件是通用的,旨在適用於所有組織,不論其類型、大小或性質。組織宜根據其特定的組織環境來確定本的哪一部分適用於自己(見 ISO/IEC 27001:2013,條款 4)。例如,某些指南可能更適合於大型組織,而對於非常小的組織(例如少於10 人),某些指南可能是不必要的或不適當的。
條款 4 至 10 的描述結構如下:
— 要求的活動:介紹在 ISO/IEC 27001 的相應條款中要求的關鍵活動;
— 解釋:講解 ISO/IEC 27001 的要求意味着什麼;
— 指南:提供更詳細的或支持性的信息來執行“要求的活動”,包括實
施的例子
— 其他信息:提供可以考慮的進一步的信息。
ISO/IEC 27003,ISO/IEC 27004 和 ISO/IEC 27005 形成了一套文件支持ISO/IEC 27001:2013,並提供指南。在這些文件中,ISO/IEC 27003 是爲 ISO/IEC27001 的所有要求提供指南的基本和全面的文件,但沒有關於“監視、測量、分析和評價”以及信息安全風險管理的詳細描述。ISO/IEC 27004 和 ISO/IEC 27005側重於具體內容和對“監視、測量、分析和評價”以及信息安全風險管理給予更爲詳細的指南。
在 ISO/IEC 27001 中有幾處明確提及的文件化信息。然而,組織可以保留額外的文件化信息,當其確定對管理體系的有效性以及作爲響應 ISO/IEC 27001:2013,7.5 b)的一部分是必要的。在這種情況下,本文件使用慣用語“有關此活動和它的結果的文件化信息,只有在形式和程度上該組織確定對其管理體系的有效性是必要的纔是強制性的(見 ISO/IEC 27001:2013,7.5.1 h))
0x02 部分章節解讀
4. 組織 背景
4.1. 理 解組織及其 背景
需要的活動組織確定關於其目標和影響其實現信息安全管理體系(ISMS)預期成果的能力的外部和內部問題。
解釋
作爲 ISMS 的一個必須功能,組織不斷地分析自己和周圍的世界。這種分析涉及外部和內部問題,這些問題在某種程度上影響信息安全,以及信息安全如何管理,並且與組織目標有關。
這些問題的分析有三個目的:
- 理解背景以決定 ISMS 的範圍;
- 分析背景以確定風險和機會;和
- 確保 ISMS 適應變化中的外部和內部問題。
外部問題是那些超出組織控制範圍的問題,這通常被稱爲組織的環境。分析這個環境可能(can)包括以下幾個方面:
a) 社會和文化;
b) 政治,法律,規範和監管;
c) 財務和宏觀經濟;
d) 技術;
e) 自然; 和
f) 競爭力。
組織環境的這些方面不斷出現影響信息安全和信息安全如何管理的問題。相關的外部問題取決於組織的具體優先事項和情況。
例如,特定組織的外部問題可能(can)包括:
g) 使用外包 IT 服務的法律影響(法律方面);
h) 在火災、洪水和地震等災害的可能性方面的自然特徵(自然方面);
i) 黑客工具的技術進步和密碼學的使用(技術方面);和
j) 對組織服務的普遍要求(社會,文化或財務方面)。
內部問題受制於組織的控制,分析內部問題可能(can)包括以下幾個方面:
k) 組織的文化;
l) 方針、目標和實現它們的戰略;
m) 管理方式、組織結構、角色和責任;
n) 組織採用的標準、準則和模型;
o) 可能直接影響 ISMS 範圍內的組織過程的合同關係;
p) 過程和規程;
q) 資源和知識(例如資本,時間,人員,流程,系統和技術)方面的能力;
r) 物理基礎設施和環境;
s) 信息系統、信息流和決策過程(正式和非正式);和
t) 以前的審計和以前的風險評估結果。
這個活動的結果在 4J,61 和 9.3 中使用。
指南基於對組織目標(例如使命聲明或經營計劃)以及組織 ISMS 的預期成果的理解,組織宜(should):
- 審查外部環境,識別相關的外部問題;和
- 審查內部方面,識別相關的內部問題。
爲了找出相關問題,下面的問題可能(can)被提問:某個類別的問題(見上面的 a)到 t))如何影響信息安全目標?內部問題的三個例子可以作爲例證:
例子 1,關於治理和組織結構(見條款 m)):在建立 ISMS 時,宜(should)考慮已有的治理和組織結構。例如,組織可能(can)基於其他已有的管理體系的結構對其 ISMS 的結構進行建模,並且可能(can)整合共同的功能,例如管理評審和審計。
例子 2,關於方針、目標和戰略(見條款 l)):對現有方針、目標和戰略的分析可以表明該組織打算實現什麼,以及如何使信息安全目標與業務目標保持一致,以確保成功的結果。例子 3,關於信息系統和信息流(見條款 s)):在確定內部問題時,組織宜(should)在足夠的詳細程度上確定其各個信息系統之間的信息流。此活動及其結果的文件化信息僅在形式上或是到了組織確定對其管理體系有效性是必要的程度時是強制性的(見 ISO/IEC 27001:2013,7.5.1 b))其他信息在 ISO/IEC 27000 中,“組織”的定義有一個註釋:“組織概念包括但不限於獨資經營者、公司、有限責任公司、商行、企(事)業單位、行政權力機構、合營公司、慈善機構或社會事業機構,或其部分或組合,不論其是否法人組織,不論是公有還是私有。”其中一些例子是完整的法律實體,而另一些則不是。
有四種情況:
1) 組織是一個法律或行政實體(例如獨資經營者、公司、有限責任公司、商行、企(事)業單位、行政權力機構、合營公司、慈善或社會事件機構,無論是否法人,公立或私立);
2) 組織是法律或行政實體的子集(例如公司、有限責任公司、企(事)業單位的一部分);
3) 組織是一組法律或行政實體(例如獨資經營者、大公司、有限責任公司、商行的組合)。 和
4) 組織是一組法律或行政實體(如俱樂部,行業協會)的子集。
4.2. 理解相關方的需要和期望
需 要 的活動組織確定與 ISMS 相關的相關方及其與信息安全相關的要求。
解釋
相關方是一個已定義的術語(參見 ISO/IEC 27000:2016,2.41),指的是可
能影響、被影響、或意識到自己受到組織的決策和活動影響的個人或組織。相關
方可能(can)在組織外部和內部找到,並且可能(can)對組織的信息安全有特定
的需要、期望或要求。
外部相關方可能(can)包括:
a) 監管者和立法者;
b) 股東,包括所有者和投資者;
c) 供應商,包括分包商、顧問和外包合作伙伴;
d) 行業協會;
e) 競爭者;
f) 顧客和消費者;和
g) 維權組織。
內部相關方可能(can)包括:
h) 決策者,包括最高管理者;
i) 過程所有者、系統所有者和信息所有者;
j) 支持職能,如:IT 或人力資源等;
k) 員工和用戶;和
l) 信息安全專業人員。
這個活動的結果在 43 和 6.1 中使用。
指南宜(should)採取以下步驟:
- 識別外部相關方;
- 識別內部相關方; 和
- 識別相關方的要求。
隨着相關方的需要、期望和要求隨着時間的推移而變化,這些變化及其對ISMS 範圍、約束和要求的影響宜(should)定期審查。
此活動及其結果的文件化信息僅在形式上或是到了組織確定對其管理體系有效性是必要的程度時是強制性的(見 ISO/IEC 27001:2013,7.5.1 b))。
其他信息
沒有其他信息。
4.3. 確定信息安全管理體系的範圍
需要的活動組織確定 ISMS 的邊界和適用性,以確立其範圍。
解釋
這個範圍定義了 ISMS 到底適用於哪裏和什麼,以及哪裏和什麼是不適用的。因此,確立範圍是爲實施 ISMS 的所有其他活動確定必要基礎的關鍵活動。例如,風險評估和風險處置,包括控制的確定,如果對 ISMS 究竟適用於哪裏沒有準確的理解,就不會產生有效的結果。準確認識 ISMS 的邊界和適用性以及組織與其他組織之間的接口和依賴關係也是至關重要的。對範圍的任何後期修改都可能導致大量額外的工作量和成本。
以下因素可能(can)影響範圍的確定:
a) 4A 中描述的外部和內部問題;
b) 根據 ISO/IEC 27001:2013,4.2 確定的相關方及其要求;
c) 業務活動的準備作爲 ISMS 覆蓋範圍的一部分包括在內;
d) 所有支持職能,即支持這些業務活動所必要的職能(例如人力資源管理、信息技術服務和軟件應用、建築設施管理、物理區域,公共基礎服務和公用事業);和
e) 被外包給組織內的其他部門或獨立供應商的所有職能。從一個實施到另一個實施,ISMS 的範圍可能非常不同。例如,範圍可以包括:
- 一個或多個特定過程;
- 一個或多個特定職能;
- 一項或多項特定服務;
- 一個或多個特定部門或場所;
- 整個法律實體;和
- 整個行政實體和一個或多個供應商。
指南
爲了確立 ISMS 的範圍,可能採取多步驟的方法:
f) 確定初步範圍:這項活動宜(should)由一小組有代表性的管理者代表指揮;
g) 確定精細範圍:宜(should)審查初步範圍內外的職能單位,也許隨後包括或排除某些職能單位,以減少邊界接口的數量。在提煉初步範圍時,宜(should)考慮範圍內支持業務活動所必要的所有支持職能;
h) 確定最終範圍:精細範圍應由所有管理層在精細範圍內進行評價。若有必要,應進行調整,然後進行精確描述;和
i) 批准範圍:描述範圍的文件化信息宜(should)由最高管理層正式批准。組織還宜(should)考慮對 ISMS 或對組織內的其他部門或獨立供應商的外包活動產生影響的活動。對於這些活動,宜(should)識別接口(物理、技術和組織)和它們對範圍的影響。
描述範圍的文件化信息宜(should)包括:
j) 組織範圍、邊界和接口;
k) 信息和通信技術的範圍、邊界和接口;和
l) 物理範圍、界限和接口。
其他信息
無其他信息。
0x03 更多信息
https://github.com/ym2011/SecurityManagement/tree/master/ISO27001/ISO27000體系文件
歡迎大家分享更好的思路,熱切期待^^_^^ !