信息技术 安全技术 信息安全管理体系 指南.docx

《信息技术 安全技术 信息安全管理体系 指南.docx》由会员分享，可在线阅读，更多相关《信息技术 安全技术 信息安全管理体系 指南.docx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35. 030CCS L80OB中华人民共和家标准GB/T 31496XXXX/ISO/IEC 27003:2017代替 GB/T 31496-2015信息技术安全技术 信息安全管理体系指南Information technology - Security techniques -Information security management system - Guidance(ISO/IEC 27003:2017,IDT)征求意见稿2020-01-07在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。XXXX - XX - XX 实施XXXX - XX - XX 发布国家

2、市场监督管理总局关在国家标准化管理委员会发布在规划阶段，GB/T 22080标准结构中将风险分为两类：a）与ISMS的整体预期结果相关的风险和机会；b）与ISMS范围内信息丧失保密性、完整性和可用性相关的信息安全风险。第一类宜按照GB/T 22080 6.1.1 （总则）相关要求进行处理。属于第一类的风险与ISMS自身、ISMS 范围描述、最高管理层对信息安全的承诺、ISMS的运营资源等相关。属于第一类的机会与ISMS的结果、 ISMS的商业价值、运行ISMS过程和信息安全控制的效率等相关。第二类包括与ISMS范围内信息的保密性、完整性和可用性丧失直接相关的所有风险，宜按照（信息安全风险评估）

3、和6. L 3 （信息安全风险处置）进行处理。组织可为各类风险选择不同的技术。应对风险的细分要求，解释如下：对于将质量、环境和信息安全等不同方面的管理体系实施了整合的组织，鼓励与其他管理体系 标准保持一致；要求组织定义和应用详细完整的信息安全风险评估和处置流程；强调信息安全风险管理是ISMS的核心要素。GB/T 22080的6. 1. 1使用了 “确定风险和机会”和“应对风险和机会”的表述。其中,“确定” 一 词等同于GB/T 22080的6. 1. 2中使用的“评估” 一词（即识别、分析和评价）。类似地，“应对” 一词 等同于GB/T 22080的6. 1.3中使用的“处置” 一词。要求的活

4、动当规划ISMS时，组织考虑4.1中提到的事项和4. 2中提到的要求，并确定需要应对的风险和机会。 解释组织根据内部和外部事项（见4.1）和相关方要求（见4.2）,确定与ISMS预期结果相关的风险和机 会。然后，组织规划ISMS,以：a）确保ISMS可达到预期结果，例如，风险所有者知悉信息安全风险并处置到可接受的水平；b）预防或减少ISMS预期结果相关的不良影响；c）实现持续改进，例如，通过适当的机制发现和改正管理过程中的不足或利用机会提高信息安全。与上述a）相关的风险包括过程和责任不明确、员工意识不足、管理层的参与度低等。与上述b）相 关的风险包括风险管理不完善或风险意识不足。与上述c）相关

5、的风险包括对ISMS文档和流程的管理不 士第 7U n o当组织在活动中寻求机会时，这些活动会影响组织的环境（见GB/T 22080的4.1）或相关方的需求 和期望（见GB/T 22080的4. 2）,并且可以改变组织的风险。这类机会的示例可以是：将其业务集中在 产品或服务的某些领域、针对某些地理区域制定营销策略，或扩大与其他组织的业务伙伴关系。在持续改进ISMS过程和文档以及评价ISMS的预期结果方面，也存在机会。例如，考虑使用相对较新 的ISMS,可通过明确接口、减少管理开销、消除不具成本效益的流程部分、细化文档和引入新的信息技 术，来识别出精简过程的机会。6. 1. 1中的规划包括确定以

6、下内容：d）应对这些风险和机会的措施；e）如何：1）将这些措施整合到ISMS过程中，并同时实现；2）评价这些措施的有效性。指南组织宜：f）考虑4.1中的事项和4.2中的要求，确定可能影响实现a）、b）、c）所述目标的风险和机会；g）制定实施所确定的措施和评价措施有效性的计划，规划措施时宜考虑将信息安全过程和文档整 合到现有结构中，所有措施要与评估和处置信息安全风险（见6. L 2和6. L 3）所依据的信息安全目标（见 6.2）相关联。GB/T 22080 10. 2中持续改进ISMS的总体要求，由6. 1. 1中给出的实现持续改进的要求以及GB/T 22080 5.1 g）、5.2 d）、9

7、.1、9. 2和9. 3的其他相关要求支持。6.1.1 中要求的措施在战略、战术和运行层面有所不同，对不同的场所、不同的服务或系统也可不 同。可通过多种方式来满足的要求，其中两种如下：区别于信息安全风险，单独考虑与ISMS的规划、实现和运行相关的风险和机会；同时考虑所有风险。将ISMS整合到已有的管理体系中的组织可能发现现有的业务规划方法满足6. L 1的要求。在这种情 况下，宜注意验证该方法是否覆盖的所有要求。只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是 必要时，保留该活动及其结果的文件化信息才是必需的（强制性的）（见GB/T 22080的7.5.1

8、b）。 其他信息风险管理的其他信息参见ISO 31000o注：术语“风险”是指对目标的不确定性影响（见GB/T 29246的2.68）。信息安全风险评估要求的活动组织定义并应用信息安全风险评估过程。解释组织定义信息安全风险评估过程，以：a）建立并维护：1）风险接受准则；2）信息安全风险评估实施准则，包括评估后果和可能性的准则以及确定风险级别的规则。b）确保反复的信息安全风险评估产生一致的、有效的和可比较的结果；信息安全风险评估过程宜按照以下步骤：c）识别信息安全风险：1）识别ISMS范围内与信息保密性、完整性和可用性损失有关的风险；2）识别与这些风险相关的风险责任人，即，识别并任命有适当权限和

9、责任来管理已识别的风险的 人员；d）分析信息安全风险：1）评估所识别的风险发生后可能导致的潜在后果，例如：直接业务影响（如经济损失）或间接业 务影响（如声誉损失），评估结果可定量或定性报告；2）可定量（如概率或频次）或定性评估所识别的风险实际发生的可能性；3）按照预定义的方式综合评估后果和评估可能性，确定风险级别；e）评价信息安全风险：1）将风险分析结果与之前建立的风险接受准则进行比较；2）为风险处置排序已分析风险的优先级，即确定对不可接受风险进行处置的紧急程度和需要处置 的风险的次序。然后，应用信息安全风险评估过程。组织宜保留有关6. 1.2 a）至e）所述信息安全风险评估过程及其应用结果的

10、文件化信息。指南建立风险准则指南（6.L2 a）信息安全风险准则宜考虑组织的环境和相关方的要求而建立，并且一方面根据最高管理层的风险 偏好和风险认知来定义，另一方面宜允许可行且适当的风险管理过程。宜结合ISMS的预期结果建立信息安全风险准则。根据GB/T 22080： 2013, 6. 1.2 a）,宜建立考虑到可能性和后果评估的信息安全风险评估准则。 此外，宜建立风险接受准则。在建立评估信息安全风险的后果和可能性的准则之后，组织还宜建立一种综合考虑风险与后果的 方法，以确定风险级别。后果和可能性可以定性、定量或半定量的方式表达。风险接受准则与风险评估（在评估阶段，组织应了解风险是否可接受），

11、以及风险处置活动（组织 应了解建议的风险处置是否足以达到可接受的风险水平）相关。风险接受准则可以基于可接受风险的最大级别、成本效益考虑因素或对组织的后果。风险接受准则宜由负责的管理层批准。产生一致、有效和可比较的评估结果指南（6.1.2 b）风险评估过程宜基于足够详细设计的方法和工具，以使其产生一致，有效和可比较的结果。无论选择哪种方法，信息安全风险评估过程都宜确保：考虑了所有风险（风险以所需的详略程度描述）；结果是一致的、可重现的（即，第三方可以理解风险的识别、风险的分析和评估，并且当不同 的人在相同的环境下评估风险时，结果是相同的）；重复风险评估的结果具有可比性（即可以了解风险水平是增加还

12、是减少）。当重复整个或部分信息安全风险评估过程时，结果不一致或有差异可能表明所选的风险评估方法 不充分。信息安全风险识别指南（6.L2 c）风险识别是发现、识别和描述风险的过程。这涉及识别风险源、事件、其原因及其潜在后果。风险识别的目的是基于可能创建、增强、预防、降级、加速或延迟信息安全目标实现的那些事件来 生成全面的风险列表。通常使用两种方法来识别信息安全风险：基于事件的方法：以常用方式考虑风险源。所考虑的事件可能在过去发生过，或者可能在未来 发生。在第一种情况下，它们可以包含历史数据，在第二种情况下，它们可以基于理论分析和专家意见； 和基于识别资产、威胁和脆弱性的方法：考虑两种不同类型的风

13、险源：具有内在脆弱性的资产和 威胁。这里考虑的潜在事件是威胁如何利用资产的某一脆弱性影响组织目标的方式。两种方法都符合ISO 31000中有关风险评估的原则和通用指南。如果其他的风险识别方法已被证明具有类似的实际用途，并且可以确保6. 1.2 b）中的要求，则可 以使用。注：基于资产、威胁和脆弱性的方法与信息安全风险识别方法相对应，并与GB/T 22080中的要求兼容，以确保以前 的风险识别投入不会损失。不建议在风险评估的第一个周期中过于详细地识别风险。对信息安全风险具有高层级但清晰的了 解远胜于根本没有了解。信息安全风险分析指南（6.1.2 d）风险分析的目的是确定风险级别。GB/T 220

14、80中将ISO 31000称为通用模型。GB/T 22080要求，对于每种已识别的风险，风险分析都 基于评估风险所导致的后果并评估发生这些后果的可能性以确定风险级别。基于后果和可能性进行风险分析的技术可以是：1）定性，使用属性等级（如，高、中、低）；2）定量，使用数值表（如，费用成本、发生频率或发生概率）；3）半定量，给定性的等级赋值。无论使用哪种风险分析技术，均宜考虑其客观程度。有多种分析风险的方法,上述两种方法（基于事件的方法以及基于识别资产、威胁和脆弱性的方法） 适用于信息安全风险分析。当有专家参与讨论相关风险时，风险识别和分析过程可能是最有效的。信息安全风险评价指南（6.L2 e）对已

15、分析风险的评价涉及使用组织的决策过程，将每种风险的风险级别与预定的接受准则进行比 较，以确定风险处置方案。风险评估的最后一步验证了是否可以根据6. 1.2 a）中定义的接受准则来接受先前步骤中已分析的 风险，或者是否需要进一步处置。6.1.2 d）中的步骤提供了有关风险程度的信息，但不提供有关实施 风险处置方案的紧迫性的直接信息。根据发生风险的情况，它们可以具有不同的处置优先级。因此, 此步骤的输出宜是按优先级排列的风险列表。保留风险识别和风险分析步骤中有关这些风险的更多信 息，以支持风险处置决策，这是很有用的。其他信息ISO/IEC 27005提供了信息安全风险评估实施指南。6. 1.3信息

16、安全风险处置要求的活动组织定义并应用信息安全风险处置过程。解释信息安全风险处置是选择风险处置选项，确定实施此类选项的适当控制措施，制定风险处置计划, 以及获得风险责任人对风险处置计划的批准的总体过程。组织保留信息安全风险处置过程（6.1.3 a）至f）的所有步骤及其应用结果的文件化信息。指南信息安全风险处置选项指南（6.L3 a）风险处置选项包括：a）通过决定不开始或不继续进行引起风险的活动或消除风险源（例如：关闭电子商务门户网站） 来规避风险；b）为了寻求商机而承担额外的风险或增加的风险（例如：打开电子商务门户网站）；c）通过改变可能性（例如：减少脆弱性）或后果（例如：资产多样化）来改变风险

17、；d）通过保险、分包或风险融资，与其他相关方分担风险；e）根据风险接受准则或通过知情决策来保留风险（例如：原样维护电子商务门户网站）。为了满足风险接受准则，宜采用符合信息安全目标的一种或多种选项来处置每个风险。确定必要控制的指南（6.L3 b）宜特别注意确定必要的信息安全控制。任何控制都宜基于之前评估的信息安全风险来确定。如果组 织的信息安全风险评估做得不好，则其选择信息安全控制的基础也比较差。适宜的控制决定，可确保：f）包括所有必要的控制，且没有选择任何不必要的控制；g）必要控制的设计满足适当的广度和深度。作为控制选择不当的后果，所建议的信息安全风险处置可能是：h）无效；或i）效率低下，导致

18、费用过高。为了确保信息安全风险处置的有效性和效率，能够证明必要的控制与风险评估和风险处置过程的 结果之间的关系是很重要的。可能有必要使用多个控制来实现对信息安全风险的所需处置。例如，如果选择了更改特定事件后果, 则可能需要实现快速发现事件的控制，以及事件响应和恢复的控制。在确定控制措施时，组织还宜考虑来自外部供应商服务（例如，应用程序、流程和功能）所需的控 制。通常，通过在与这些供应商的协议中加入信息安全要求来强制执行这些控制，包括获取这些要求满 足程度的信息的方法（例如审核权）。在某些情况下，即使控制由外部供应商实施，组织也希望确定和 描述详细的控制作为其自身的ISMS的一部分。无论使用何种

19、方式，组织在确定其ISMS的控制时宜始终考 虑对其供应商的控制。与GB与22080附录A中的控制进行比较的指南（6.L3 c）GB/T 22080附录A包含了控制目标和控制的综合列表。本文件用户可在附录A的指导下，确保没有遗 漏必要的控制。与GB/T 22080附录A比较，还可以识别6. 1.3 b）中确定的替代控制，可以更有效地改变 信息安全风险。所选控制体现了控制目标，GB/T 22080附录A中列出的控制目标和控制不是完备的，宜根据需要补 充额外的控制目标和控制。不需要包含GB/T 22080附录A中的每个控制，宜删减GB/T 22080附录A中与改变风险无关的控制，并 给出删减的理由。

20、制定适用性声明（SoA）的指南（6.1.3 d）SoA包括：所有必要的控制（6. 1.3 b）和c）所确定的），每项控制：说明选择该控制的理由；说明该项控制的是否实现（如完全实现、实施中或尚未开始）；对GB/T 22080附录A中的控制进行删减的合理性说明；选择某项控制的理由，部分取决于该项控制对于改变信息安全风险的效果。宜充分参考信息安全风 险评估结果和信息安全风险处置计划，也宜充分参考实施必要的控制改变预期信息安全风险的情况。删减GB/T 22080附录A中控制的理由，可以是：已确定该项控制对于实现所选的信息安全风险处置选项而言，不是必要的；该项控制超出了ISMS的范围，因而不适用（例如，

21、如果组织的所有系统都是内部开发的，那么 GB/T 22080 A. 14. 2. 7外包开发是不适用的）；因采用自定义的控制而排除（例如，如果自定义的控制禁止使用移动介质，那么可以删减GB/T 22080 移动介质的管理）。注：自定义的控制未包含在GB/T 22080附录A中。一个实用的SoA可以采用表格形式，包含GB/T 22080附录A的所有114项控制以及附录A中未包含的 其他控制（需要时）。表格中有一列可以显示该项控制对于实现风险处置选项是否是必需的，另一列可 以说明选择或排除该项控制的理由，最后一列可以显示控制的当前实现状态。还可以使用其他列显示, 如显示GB/T 22080没有要求

22、但对后续评审有用的其他信息；这些信息可以是关于如何实现控制的详细 描述，可以是更详细描述和文件化信息的交叉引用，也可以是控制实施相关的策略。尽管GB/T 22080没有提出要求，在SoA中加入各控制的操作责任是很有用的。制定正式的信息安全风险处置计划指南（6.1.3 e）GB/T 22080没有限定信息安全风险处置计划的结构或内容，但宜根据6. 1.3 a）至c）的输出制定计 划。因此，针对已处置的所有风险，该计划宜对以下信息进行文件化：选择的处置选项；必要的控制；实施状态。其他有用的内容包括： 风险责任人； 采取措施后的预期残余风险。如果风险处置计划要求采取措施，宜规划措施，说明其责任和期限

23、（见6.2）,可用措施清单来表 示措施计划。一个实用的信息安全风险处置计划可设计为一个表格，该表格按照在风险评估期间识别出的风险 进行排序，显示所有已确定的控制。例如，表格可以包含若干列，说明控制负责人的姓名、控制的实施 日期、有关控制（或过程）预期运行方式和目标实现状态。作为风险处置过程的一部分，例如，手机被盗的后果是信息可用性丧失和潜在的、不期望的信息泄 露。如果风险评估显示风险级别超出了可接受的风险范围，组织可决定改变风险发生的可能性或者改变 风险后果。为了改变手机丢失或被盗的可能性，组织宜确定适当的控制，要求员工按照移动设备策略来管理手 机并定期检查丢失情况。为了改变手机丢失或被盗的后

24、果，组织宜确定控制，例如： 事件管理过程，以便于用户报告丢失； 移动设备管理（MDM）解决方案，以在丢失时删除手机内容；移动设备备份计划，以恢复手机内容。在准备SoA （6. 1.3 d）时，组织可有其选择的控制（移动设备策略和MDM）,根据这些控制对于改 变手机丢失或被盗的可能性和后果的影响，来判断这些选择的控制的合理性，从而降低残余风险。将上述控制与GB/T 22080附录A （6. 1.3 c）给出的控制进行比较，可以看出移动设备策略与GB/T 22080 是一致的，MDM控制没有直接的对应项，因此宜被视为额外的自定义控制。如果将MDM和 其他控制确定为组织的信息安全风险处置计划中的必要

25、控制措施，则宜将其包含在SoA中（见“制定SoA 的指南（6. 1.3 d） ”）。如果组织希望进一步降低风险，考虑采用GB/T 22080 A. 9. 1. 1 （访问控制策略），当手机访问控制 不足时变更移动设备策略，在所有手机上强制使用PIN。这是改变手机丢失或被盗的后果的进一步控制。制定信息安全风险处置计划（6. 1.3 e）时，组织宜给出移动设备策略和MDM实现措施，分配责任 和时间进度表。获得风险责任人批准的指南（6.1.3 f）制定信息安全风险处置计划时，组织宜获得风险责任人的授权。授权宜基于已定义的风险接受准则, 如果有任何偏离，应合理让步。在管理过程中，组织宜记录风险责任人对

26、残余风险的接受程度以及管理层对计划的审批。例如，修改6.1.3 e）指南中描述的风险处置计划，宜记录风险责任人的审批，并在对应列中给出 控制的有效性、残余风险和风险责任人的审批情况。其他信息风险处置的其他信息参见IS0/IEC 27005和ISO 31000。A 5信息安全目标及其实现规划要求的活动组织建立信息安全目标，并策划在相关职能和层级上实现这些目标。解释信息安全目标有助于实现组织的战略目标以及信息安全方针。因此，ISMS的目标是信息安全目标, 即信息的保密性、完整性和可用性。信息安全目标还有助于根据信息安全方针（见5.2）,明确信息安 全控制和过程，并测量其绩效。组织规划、建立并发布相

27、关职能和级别对应的信息安全目标。GB/T 22080中有关信息安全目标的要求适用于所有的信息安全目标。如果信息安全方针包含目标, 这些目标要满足6. 2的准则。如果方针包含了目标设定框架，该框架所产生的目标宜满足6. 2的要求。建立目标时要考虑的要求，是在理解组织及其环境（见4.1）以及相关方的需求和期望（见4.2）时 确定的。风险评估和风险处置的结果作为对目标进行持续评审的输入，以确保目标仍适合组织的情况。信息安全目标是风险评估的输入：风险接受准则和执行信息安全风险评估的准则（见6.1.2）要考 虑信息安全目标，以确保风险等级与目标保持一致。根据GB/T 22080,信息安全目标宜：a）与信

28、息安全方针保持一致；b）可测量（如可行），这意味着能够确定目标是否已满足非常重要；c）考虑适宜的信息安全要求以及风险评估和风险处置的结果；d）进行沟通；e）适当更新。组织宜保留有关信息安全目标的文件化信息。在规划信息安全目标的实现方式时，组织宜确定：f）要做什么；g）需要什么资源；h）由谁负责；i）什么时候完成；j）如何评价结果。上面有关规划的要求是通用的，并且适用于GB/T 22080要求的其他规划。ISMS规划包括： 如6. 1. 1和8. 1所述，ISMS的改进规划； 如6. 1. 3和8. 3所述，对已识别风险的处置规划； 有效运行所需的其他规划（例如，建立能力计划以及提高认识、沟通、

29、绩效评价、内部审核和 管理评审规划）。指南信息安全方针宜阐明信息安全目标或提供目标设定框架。信息安全目标可以通过多种形式表述，表述形式宜满足可测量（如可行）的要求（GB/T 22080-2016 6. 2 b） ） o例如，信息安全目标可以表述为： 数值及其限制，例如“不超过特定限制”和“达到第4级”； 信息安全绩效的测量指标； ISMS有效性的测量指标（见9.1）； 符合GB/T 22080； 遵守ISMS规程； 完成措施和计划的需求；满足的风险准则。以下指南适用于上述解释中对应的项目编号：上述a）：信息安全方针说明了组织的信息安全要求。针对相关职能和级别设置的所有其他特 定要求，宜与其保持

30、一致。如果信息安全方针包含信息安全目标，宜将任何其他特定的信息安全目标链 接到信息安全方针中的目标。如果信息安全方针仅提供设定目标的框架，则宜遵循该框架，并宜确保将 更具体的目标与更通用的目标联系在一起；上述b）：并非每个目标都是可测量的，但使目标可测量有助于实现和改进。能够定性或定量 地描述目标已达到的程度是非常需要的。例如，如果未达到目标，则可以指导进行额外工作的优先级; 如果超出目标，则可以察觉到提高效率的机会。宜可能了解它们是否已经实现，如何确定目标的实现以 及是否有可能使用定量测量来确定目标的实现程度。对目标达成情况的定量描述宜说明如何进行测量。 可能无法定量的确定所有目标的实现程度

31、。在可行的情况下，GB/T 22080要求的目标宜是可测量的；上述c）：信息安全目标宜与信息安全需求保持一致；因此，在设置信息安全目标时宜将风险 评估和处置结果作为输入；上述d）：信息安全目标宜传达给组织的内部相关方以及外部相关方，如客户和利益相关方， 他们需要了解信息安全目标的范围和受其影响的程度；上述e）：当信息安全需求随时间变化时，宜相应更新相关的信息安全目标。宜按d）的要求视 情况将这些变化传达给内部和外部相关方。组织宜规划如何实现其信息安全目标。组织可以规划使用任何所选的方法或机制来实现其信息安 全目标。可以只有一个信息安全规划、一个或多个项目规划，或者在其他组织计划中包含相关措施。

32、无 论采用哪种形式的规划，最终的规划应满足上述最低要求（见f）至j）： 需要完成的活动； 承诺用于执行活动的必要资源； 责任； 活动的时间表和里程碑； 评价结果是否达到目标的方法和测量，包括评价时机。GB/T 22080要求组织保留有关信息安全目标的文件化信息，所记录的信息包括： 计划、措施、资源、责任、期限和评价方法； 要求、任务、资源、责任、评价频率和方法。其他信息无。7支持7 . 1资源要求的活动组织确定并提供建立、实现、维护和持续改进【SMS所需的资源。解释资源是执行任何类型活动的基础。资源类型包括：a）推动和执行活动的人员；b）活动的执行时间和采取新步骤前使结果稳定下来的时间；c）采

33、购、开发和实现所需的财务资源；d）支持决策和评价活动绩效并提高知识的信息；e）获取或建立的基础设施和其他手段，如技术、工具和材料，不论是否为信息技术产品。这些资源宜与ISMS的需求保持一致，在需要时宜进行调整。指南组织宜：f）估算与ISMS有关的所有活动所需的资源的数量和质量（容量和能力）；g）获取所需资源；h）提供资源；D维护整个ISMS流程和特定活动的资源；j）根据ISMS的需求评审提供的资源，并根据需要进行调整。只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是 必要时，保留该活动及其结果的文件化信息才是必需的（强制性的）（见GB/T 22080的7.5

34、.1 b）。其他信息无。8 2能力要求的活动组织确定在组织控制下从事会影响组织信息安全绩效的工作人员的必要能力，确保上述人员能够 胜任其工作。解释能力是指运用知识和技能以达到预期结果的能力，受知识、经验和智慧影响。能力可以是特定的（例如，技术或特定管理领域，如风险管理），也可以是通用的（例如，软技能、 可信赖以及基本的技术和管理方面）。能力涉及在组织控制下工作的人员。这意味着必要时宜对组织的员工和其他人的能力进行管理。通过经验、培训（如课程、讲习和研讨会）、指导以及雇用或聘用外部人员，在内部和外部获得更 高或更新的能力和技能。对于因特定或短期活动、临时所需的能力，组织可以雇用或通过合同聘用能力

35、得到描述和验证的外 部资源，例如，弥补内部人员意外的临时缺乏。对于只是临时需要的能力（对于特定的活动或较短的时间，例如弥补内部人员意外的临时短缺）， 组织可以雇用或通过合同聘用外部资源，其能力有待描述和验证。指南组织宜：a）确定ISMS中每个角色的预期能力，并确定是否文件化（如工作描述）；b）通过以下方式将ISMS （见5.3）的相关责任分配给能胜任的人员：1）识别组织内具有胜任能力的人员（基于例如其学历，经验或证书）；2）规划和实施使组织内的人员获得能力的措施（如通过培训、指导和调配现有雇员）；3）聘用能够胜任的新人（如通过聘用或签约）；c）评估上述b）中措施的有效性；示例1：考虑培训后人员

36、是否已获得能力。示例2：分析新雇用或签约的人到达组织后的一段时间的能力。示例3：验证获取新人的计划是否已按预期完成。d）验证人员胜任其角色；e）确保能力根据需要随着时间的推移而发展，并满足期望。需要适当的书面信息作为能力证明。因此，组织宜保留有关影响信息安全绩效的必要能力以及相关 人员如何满足此能力的文档。其他信息无。7.3意识 要求的活动在组织控制下工作的人员了解信息安全方针，其对ISMS有效性的贡献，包括改进信息安全绩效带来 的益处，以及不符合ISMS要求带来的影响。解释在组织控制下工作的人员的意识，是指对他们对信息安全的期望有必要的理解和动机。意识关注的是人员宜知道、理解、接受并：a）支

37、持信息安全方针中规定的目标；b）遵守规则，正确执行其日常任务以支持信息安全。此外，在组织的控制下工作的人员还需要知道、理解和接受不符合ISMS要求的含义。这可能对信息 安全或人员响应造成负面影响。人员宜知道组织有信息安全方针以及如何获取。组织中的许多员工不需要了解方针的详细内容，而 宜知道、理解、接受和实现依据方针得出的影响其工作角色的信息安全目标和要求。这些要求可以包含 在标准或程序中，他们预期要执行这些标准或程序来完成工作。指南组织宜：c）针对每个受众（例如内部和外部人员）都准备了带有特定消息的项目；d）将信息安全需求和期望加入有关其他主题的意识和培训材料中，使信息安全需求融入相关运营 环

38、境中；e）制定定期沟通消息的规划；f）在意识培训后或培训期间随机验证对消息的知悉和理解的情况；g）验证人员是否按照所沟通的消息实行，并使用“好”和“坏”行为的举例来强化消息。只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是 必要时，保留该活动及其结果的文件化信息才是必需的（强制性的）（见GB/T 22080的7.5.1 b）。其他信息有关信息安全意识的更多信息参见GB/T 22081-2016 。要求的活动组织确定与ISMS相关的内部和外部的沟通需求。解释沟通是ISMS的关键，有必要与内部和外部相关方进行充分的沟通（见4.2）。沟通可以在组织各层面的内部相关

39、方之间进行，也可以在组织与外部相关方之间进行。沟通可以在 组织内部发起，也可以由外部相关方发起。组织宜确定： 沟通什么，例如信息安全方针、目标、程序、变更、对信息安全风险的了解、对供应商的要求 以及对信息安全绩效的反馈； 沟通的首选或最佳时间点； 与谁沟通，谁是每次沟通活动的目标受众；谁来沟通，例如特定内容可能需要特定人员或组织来发起沟通；哪些过程正在推动或发起沟通活动，以及哪些过程是被沟通活动所针对或受影响的。沟通可以定期进行，也可以根据需要进行。它可以是主动的或被动的。指南沟通依赖过程、渠道和协议。宜合理选择以确保完整接收、正确理解所传递的消息并采取适当措施。组织宜确定需要沟通哪些内容，例

40、如：a）在识别、分析、评价和处置风险时，根据需要、适当地与相关方沟通风险管理计划和结果；b）信息安全目标；c）实现的信息安全目标，包括支持其市场地位的目标（例如，GB/T 22080认证证书、个人数据保 护相关法律符合性声明）；d）事件或危机，在这些事件或危机中透明度通常是保持和增强对组织管理信息安全和响应突发情 况能力的信任和信心的关键；e）角色、责任和权限；f）根据ISMS过程要求在相关职能和角色之间沟通的信息；g） ISMS的变更；h）因评审ISMS范围内的控制和过程，而发现的其他事项；D与监管机构或其他相关方进行沟通的事项（例如，事件或危机通报）；j）外部相关方（例如，客户、潜在客户、

41、用户服务和授权机构）的请求或其他沟通。组织宜确定相关问题的沟通要求，包括：k）由谁进行内部和外部沟通（例如，数据泄露等特殊情况下），并通过适当的权限分配给特定角 色。例如，定义具有适当的权限的官方沟通人员，可以是负责外部沟通的公共关系官和进行内部沟通的 安全官；1）触发沟通或定期沟通（例如，对事件沟通而言，发现事件就会触发沟通）；m）基于高级影响场景，给关键相关方（例如，客户、监管机构、公众、重要的内部用户）的消息 内容。作为沟通计划、事件响应计划或业务连续性计划的一部分，为适当级别的管理人员准备和预先批 准的消息，将会使沟通更加有效；n）沟通内容的预期接收者，在某些情况下应保留清单（例如，沟

42、通服务或危机的变更）；o）沟通的方式和渠道。沟通宜使用专门的方式和渠道，以确保信息是正式的并具有适当的权限。 沟通渠道应满足传输信息的保密性和完整性保护需求；P）设计过程和方法，以确保消息已发送并被正确接收和理解。根据组织的要求对沟通进行分类和处理。只有组织从形式上和程度上明确了保留该活动及其结果的文件化信息对其管理体系有效性而言是 必要时，保留该活动及其结果的文件化信息才是必需的（强制性的）（见GB/T 22080的7.5.1 b）。 其他信息无。7.5文件化信息7. 5. 1总则要求的活动组织的信息安全管理体系包括GB/T 22080要求的文件化信息，以及为ISMS的有效性，组织所确定的

43、必要的文件化信息。解释需要使用文件化信息来定义和沟通信息安全目标、方针、指南、指令、控制、过程、规程，以及人 员或团队预期要做的和如何做。关键角色人员变动时，还需要通过文件化信息来审核ISMS并保持稳定。 此外，使用文件化信息来记录ISMS过程和信息安全控制的措施、决策和结果。文件化信息可以包含： 信息安全目标、风险、要求和标准的信息； 宜遵循的过程和规程的信息； 输入（如用于管理评审）和过程输出（包括运行活动的策划和输出）的记录。ISMS中有许多活动会生成文件化信息，在大多数情况下，这些信息作为其他活动的输入。GB/T 22080要求一系列强制性的文件化信息，并包含其他的对于ISMS的有效性

44、是必要的文件化信 息的通用要求。所需文件化信息的数量通常与组织的规模有关。总之，强制性的和其他的文件化信息宜有足以支撑执行第9章规定的绩效评价要求的信息。指南除GB/T 22080要求的强制性文件化信息外，组织还宜确定，确保ISMS有效性所必需的文件化信息。文件化信息宜符合目的，符合实际需要和有“关键”信息。组织可确定，为确保其ISMS有效性所必需的文件化信息，例如： 环境建立结果（见第4章）； 角色、责任和权限（见第5章）； 不同阶段的风险管理报告（见第6章）； 确定和提供的资源（见7.1）； 预期能力（见7.2）； 意识活动的计划和结果（见7.3）； 沟通活动的计划和结果（见7.4）； I

45、SMS必需的外部来源的文件化信息（见7.5.3）； 控制文件化信息的过程（见7.5.3）； 指导和运行信息安全活动的方针、规则和指令； 用于实现、维护和改进ISMS和总体信息安全状态的过程和规程（见第9章）； 措施计划； ISMS过程结果的证据（如事件管理、访问控制、信息安全连续性、设备维护等）。文件化信息可以源于组织内部或外部。其他信息如果组织希望在文件管理系统中管理其文件化信息，可参照ISO 30301的要求建立。7.5.2 创建和更新要求的活动创建和更新文件化信息时，组织确保适当的标识和描述、格式和介质，以及评审和批准。解释组织要详细识别文件化信息的最佳结构和适当的文件化方式。由适当的管

46、理层进行评审和批准可确保文件化信息是正确的和符合目的的，且其形式和详细程度 适合预期读者。定期评审可确保文件化信息的持续适宜性和充分性。指南文件化信息格式不限，例如传统文件（纸质的、电子的）、网页、数据库、计算机日志、计算机生 成的报告、音频和视频。文件化信息可以包括与其意图相关的规范（例如信息安全方针）或绩效记录（例 如审核结果）或兼而有之。以下指南针对传统文件，当应用于其他格式的文件化信息时，宜适当予以解 释。组织宜通过以下方式建立结构化的文件化信息库，以将不同的文件化信息关联起来：a）确定文件化信息框架的结构；b）确定文件化信息的标准结构；c）提供不同类型文件化信息的模板；d）确定准备、批准、发布和管理文件化信息的责任；e）确定并文件化修订和批准过程，以确保持续的适宜性和充分性。组织宜定义文件化方法，包括各文件的共同属性，以清晰、唯一地标识文件。这些属性通常包括文 件类型（例如方针、指令、规则、指南、计划、表单、过程或规程）、目的范围、标题、版本日期、类 别、参考编号、版本号和修订历史。还宜包括标识出文件的作者、文件的当前负责人、文件的应用和改 进，以及批准人或批准机构。格式要求可包括确定适宜的文件语言、文件格式、使用的软件版本和图形内容。介质要求定义了宜 通过何种物