實施ISO 27001認可的ISMS是影響整個組織的事情。範圍和政策聲明的清晰劃分是到明確要求了的。對範圍內的例外情況需要記錄下辯護的理由,而政策應適用於整個組織。
該標準還明確表示,ISMS的設計應以滿足組織的需要,並應以滿足並不斷滿足這些需要的方式進行實施和管理。
管理指導
本標準要求管理層應“必要傳達給組織符合信息安全目標與遵守信息安全政策的重要性。”這些要求在ISMS標準的後續版本越來越得到加強,因爲事實越來越清楚地表明:沒有這些管理方面的支持和指導,設計並建立ISMS是很難的。
ISMS的戰略性質,在標準4.1章節中有明確的規定要求,它聲明“組織應建立、實施、運作、監督、審查、維持和改善一個可記錄的ISMS,以應對該組織在整體商業活動環境中所面臨的風險。”組織針對風險處理的總體方針設定應同本標準的風險評估策略相一致。
管理層的責任是非常重要的,第5條全專門設置了詳細的規定,要求管理層“應當提供其承諾的建立、實施、運作、監督、審查、維持和改進ISMS的證據。”
提供管理層承諾的證據
ISO
27001認證審覈員希望看到表明這一條款的要求得到了滿足的證據。通常的做法是通過和首席執行官或其他對整體業務負責的執行人員進行面談,以及審查記錄
(這些記錄如會議記錄,議程表等,其中就包含管理層對政策進行了辯論、達成了一致協議、進行了檢查和並且測定了改進目標)。至關重要的是,管理層必須決定
可接受風險的準則和水平,這是一個關鍵步驟,沒有它的話,從整個ISMS的制定到部署控制所依據的風險評估過程不能得到進行。
管理相關的控制措施
附錄A特定指出管理參與的一些控制措施。它們的詳細編號如下:
* A.5.1.1 信息安全策略文檔,必需得到管理層的批准
* A.6.1.1 對信息安全的管理承諾; 管理部門必須通過“指明方向,明確承諾,明確任務,以及承擔信息安全責任”來積極地支持。承諾的主要表現包括:信息安全政策,建立和擴展ISO 27001項目組,協調信息安全的活動,以及分配信息安全的責任。
* A.6.1.4 授權信息處理設施的流程;其中一定要有一個管理程序,以授權新的信息處理設施
* A.8.2.1 管理責任;這項控制規定管理層 “應要求員工,承包商和第三方用戶遵守和應用組織既定的安全政策和程序。”
* A.10.1.3 職責分離;在考慮責任的分配時必須考慮這項重要的要求
* A.11.2.4 進行用戶訪問權限審查;這個控制要求管理層應當使用正式的程序定期審查用戶的訪問權限
* A.15.1.2 對信息安全策略和標準的遵從;這項控制明確從各個管理層級延伸管理職責,要求管理人員“確保在其責任區內的所有安全程序得到正確地執行,以實現對安全政策和標準的遵從。”
* A.6.1.1 對信息安全的管理承諾; 管理部門必須通過“指明方向,明確承諾,明確任務,以及承擔信息安全責任”來積極地支持。承諾的主要表現包括:信息安全政策,建立和擴展ISO 27001項目組,協調信息安全的活動,以及分配信息安全的責任。
* A.6.1.4 授權信息處理設施的流程;其中一定要有一個管理程序,以授權新的信息處理設施
* A.8.2.1 管理責任;這項控制規定管理層 “應要求員工,承包商和第三方用戶遵守和應用組織既定的安全政策和程序。”
* A.10.1.3 職責分離;在考慮責任的分配時必須考慮這項重要的要求
* A.11.2.4 進行用戶訪問權限審查;這個控制要求管理層應當使用正式的程序定期審查用戶的訪問權限
* A.15.1.2 對信息安全策略和標準的遵從;這項控制明確從各個管理層級延伸管理職責,要求管理人員“確保在其責任區內的所有安全程序得到正確地執行,以實現對安全政策和標準的遵從。”
管理評審的要求
除了控制要求,標準在第7條(ISMS的管理審查)中提到,“管理層應該在計劃的時間間隔內,審查組織的ISMS,以確保其持續活動的適宜性,充分性和有效性。”這一節清楚地界定了所需的(至少每年一次的)輸入審查過程;以及包括從所有組織的監督和審查活動中得到的產出。
管理審查的輸出應形成文件,並應得到貫徹執行,它應帶來穩定和持續不斷的ISMS改善。一個經過ISO 27001認證的ISMS在認證有效期內將定期得到審查,這些審查將集中考察組織和它的管理層如何推動了持續改進的過程。
