GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf

《GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf》由会员分享，可在线阅读，更多相关《GB-T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南.pdf（56页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0信息技术 安全技术信息安全管理体系实施指南I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sI n f o r m a t i o ns e c u r i t y m a n a g e m e n t s y s t e mi m p l e m e n t a t i o ng u i d a n c e(I S

2、O/I E C2 7 0 0 3:2 0 1 0,I D T)2 0 1 5-0 5-1 5发布2 0 1 6-0 1-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布中华人民共和国国家标准信息技术 安全技术信息安全管理体系实施指南G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0*中 国 标 准 出 版 社 出 版 发 行北京市朝阳区和平里西街甲2号(1 0 0 0 2 9)北京市西城区三里河北街1 6号(1 0 0 0 4 5)网址:www.g b 1 6 8.c n服务热线:4 0 0-

3、1 6 8-0 0 1 00 1 0-6 8 5 2 2 0 0 62 0 1 5年6月第一版*书号:1 5 5 0 6 61-5 1 1 1 8版权专有 侵权必究目 次前言引言1 范围12 规范性引用文件13 术语和定义14 本标准的结构1 4.1 章条的总结构1 4.2 每章的一般结构2 4.3 图表35 获得管理者对启动I S M S项目的批准4 5.1 获得管理者对启动I S M S项目的批准的概要4 5.2 阐明组织开发I S M S的优先级5 5.3 定义初步的I S M S范围7 5.3.1 制定初步的I S M S范围7 5.3.2 定义初步的I S M S范围内的角色和责任8

4、 5.4 为了管理者的批准而创建业务案例和项目计划86 定义I S M S范围、边界和I S M S方针策略1 0 6.1 定义I S M S范围、边界和I S M S方针策略的概述1 0 6.2 定义组织的范围和边界1 1 6.3 定义信息通信技术(I C T)的范围和边界1 2 6.4 定义物理范围和边界1 3 6.5 集成每一个范围和边界以获得I S M S的范围和边界1 4 6.6 制定I S M S方针策略和获得管理者的批准1 47 进行信息安全要求分析1 5 7.1 进行信息安全要求分析的概述1 5 7.2 定义I S M S过程的信息安全要求1 7 7.3 标识I S M S范围

5、内的资产1 7 7.4 进行信息安全评估1 88 进行风险评估和规划风险处置1 9 8.1 进行风险评估和规划风险处置的概述1 9 8.2 进行风险评估2 1 8.3 选择控制目标和控制措施2 1 8.4 获得管理者对实施和运行I S M S的授权2 29 设计I S M S2 3 9.1 设计I S M S的概述2 3 9.2 设计组织的信息安全2 5G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0 9.2.1 设计信息安全的最终组织结构2 5 9.2.2 设计I S M S的文件框架2 6 9.2.3 设计信息安全方针策略2 7 9.2.

6、4 制定信息安全标准和规程2 8 9.3 设计I C T安全和物理信息安全2 9 9.4 设计I S M S特定的信息安全3 1 9.4.1 管理评审的计划3 1 9.4.2 设计信息安全意识、培训和教育方案3 2 9.5 产生最终的I S M S项目计划3 3附录A(资料性附录)检查表的描述3 4附录B(资料性附录)信息安全的角色和责任3 7附录C(资料性附录)有关内部审核的信息4 0附录D(资料性附录)方针策略的结构4 1附录E(资料性附录)监视和测量4 5参考文献4 9G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0前 言 本标准按照G

7、 B/T1.12 0 0 9给出的规则起草。本标准使用翻译法等同采用I S O/I E C2 7 0 0 3:2 0 1 0 信息技术 安全技术 信息安全管理体系实施指南。本标准做了以下编辑性修改:在引言部分增加了有关信息安全管理体系标准族情况的介绍。本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国电子技术标准化研究院、上海三零卫士信息安全有限公司、山东省计算中心、黑龙江省电子信息产品监督检验院、北京信息安全测评中心、中电长城网际系统应用有限公司。本标准主要起草人:上官晓

8、丽、许玉娜、董火民、闵京华、赵章界、周鸣乐、方舟、李刚。G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0引 言 信息安全管理体系标准族(I n f o r m a t i o nS e c u r i t yM a n a g e m e n tS y s t e m,简称I S M S标准族)是国际信息安全技术标准化组织(I S O/I E CJ T C 1S C 2 7)制定的信息安全管理体系系列国际标准。I S M S标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工

9、详细资料,或者受客户或第三方委托的信息)的I S M S的独立评估做准备。I S M S标准族包括的标准:a)定义了I S M S的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(P D C A)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的I S M S指南;d)阐述了I S M S的一致性评估。目前,I S M S标准族由下列标准组成:G B/T2 9 2 4 62 0 1 2/I S O/I E C2 7 0 0 0:2 0 0 9 信息技术 安全技术 信息安全管理体系 概述和词汇 G B/T2 2 0 8 02 0 0 8/I S O/I E C2

10、 7 0 0 1:2 0 0 5 信息技术 安全技术 信息安全管理体系 要求 G B/T2 2 0 8 12 0 0 8/I S O/I E C2 7 0 0 2:2 0 0 5 信息技术 安全技术 信息安全管理实用规则 G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0 信息技术 安全技术 信息安全管理体系实施指南 G B/T3 1 4 9 72 0 1 5/I S O/I E C2 7 0 0 4:2 0 0 9 信息技术 安全技术 信息安全管理 测量 G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2

11、 0 0 8 信息技术 安全技术 信息安全风险管理 G B/T2 5 0 6 72 0 1 0/I S O/I E C2 7 0 0 6:2 0 0 7 信息技术 安全技术 信息安全管理体系审核认证机构的要求 I S O/I E C2 7 0 0 7 信息技术 安全技术 信息安全管理体系审核指南 I S O/I E C2 7 0 1 1:2 0 0 8 信息技术 安全技术 基于I S O/I E C2 7 0 0 2的电信行业组织的信息安全管理指南 I S O/I E C2 7 0 1 3:2 0 1 2 信息技术 安全技术 I S O/I E C2 7 0 0 1和I S O/I E C2

12、0 0 0 0-1集成实施指南 I S O/I E C2 7 0 1 4:2 0 1 3 信息技术 安全技术 信息安全治理 I S O/I E CT R2 7 0 1 5:2 0 1 2 信息技术 安全技术 金融服务信息安全管理指南本标准作为I S M S标准族之一,其目的是为组织按照G B/T2 2 0 8 02 0 0 8制定信息安全管理体系(I S M S)的实施计划,提供实用指导。实际情况下,I S M S的实施通常作为一个项目来执行。本标准所描述的过程旨在为实施G B/T2 2 0 8 02 0 0 8提供支持;第4章、第5章和第7章所包含的相关部分和文件可用于:a)准备启动组织的I

13、 S M S实施计划、定义该项目的组织结构,及获得管理者的批准;b)该I S M S项目的关键活动;c)实现G B/T2 2 0 8 02 0 0 8要求的示例。通过使用本标准,组织将能够制定信息安全管理的过程,并向利益相关方保证,信息资产的风险可持续保持在组织定义的可接受的信息安全边界内。本标准不涉及运行活动和其他I S M S活动,但涉及了如何设计这些活动的概念,这些活动是在开始运行I S M S后所产生的。这些概念导致了最终的I S M S项目实施计划。I S M S项目的组织特定部分的实际执行不在本标准范围内。I S M S项目的实施宜使用标准的项目管理方法学来执行(更多信息请参见I

14、S O和I S O/I E C有关项目管理的标准)。G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0信息技术 安全技术信息安全管理体系实施指南1 范围本标准依据G B/T2 2 0 8 02 0 0 8,关注设计和实施一个成功的信息安全管理体系(I S M S)所需要的关键方面。本标准描述了I S M S规范及其设计的过程,从开始到产生实施计划。本标准为实施I S M S描述了获得管理者批准的过程,为实施I S M S定义了一个项目(本标准称作I S M S项目),并就如何规划该I S M S项目提供了相应的指导,产生最终的I S M S项目

15、实施计划。本标准可供实施一个I S M S的组织使用,适用于各种规模和类型的组织(例如,商业企业、政府机构、非赢利组织)。每个组织的复杂性和风险都是独特的,并且其特定的要求将驱动I S M S的实施。小型组织将发现,本标准中所提及的活动可适用于他们,并可进行简化。大型组织或复杂的组织可能会发现,为了有效地管理本标准中的活动,需要层次化的组织架构或管理体系。然而,无论是大型组织还是小型组织,都可应用本标准来规划相关的活动。本标准提出了一些建议及其说明,但并没有规定任何要求。期望把本标准与G B/T2 2 0 8 02 0 0 8和G B/T2 2 0 8 12 0 0 8一起使用,但不期望修改和

16、/或降低G B/T2 2 0 8 02 0 0 8中所规定的要求,或修改和/或降低G B/T2 2 0 8 12 0 0 8所提供的建议。因此,不宜声称符合这一标准。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 2 0 8 02 0 0 8 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 0 5,I D T)G B/T2 9 2 4 62 0 1 2 信息技术 安全技术 信息安全管理体系 概述和词汇(I S

17、O/I E C2 7 0 0 0:2 0 0 9,I D T)3 术语和定义G B/T2 9 2 4 62 0 1 2和G B/T2 2 0 8 02 0 0 8界定的以及下列术语和定义适用于本文件。3.1 I S M S项目 I S M Sp r o j e c t组织为实施一个I S M S所开展的结构化活动。4 本标准的结构4.1 章条的总结构I S M S的实施是一种重要活动,通常作为组织的一个项目来执行。本标准通过关注该项目的启动、1G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0规划和定义,来说明I S M S的实施。规划该I S

18、 M S最终实施的过程包括5个阶段,每个阶段都用单独的一章来表达。所有各章具有相似的结构。这5个阶段是:a)获得管理者对启动I S M S项目的批准(第5章);b)定义I S M S的范围、边界和I S M S的方针策略(第6章);c)进行信息安全要求分析(第7章);d)进行风险评估和规划风险处置(第8章);e)设计I S M S(第9章)。参照有关标准,图1给出了规划该I S M S项目的5个阶段以及主要输出文档。图1 I S M S项目的各个阶段以下附录给出了进一步的信息:附录A:与G B/T2 2 0 8 02 0 0 8相对照的活动概要。附录B:信息安全角色和责任。附录C:有关内部审核

19、的规划信息。附录D:方针策略结构。附录E:有关监视和测量的规划信息。4.2 每章的一般结构每章包括:a)在每章开头的文本框中,陈述要达到的一个或多个目标;b)为达到该阶段目标所必要的一个或多个活动。每一个活动都在子条款中描述。每一条款中活动的描述结构如下:活动活动定义了为达到该阶段全部或部分目标,所必需满足的那些事宜。2G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0输入输入描述了起点,例如,存在的文档化决定,或描述在本标准中其他活动的输出。输入可能或者引自相关章节所陈述活动的完整输出,或者引自指该引用章节之后可能添加活动的特定信息。指南指南

20、提供了使这一活动能够得以执行的详细信息。有些指南可能不适合所有情况,获得结果的其他方式也许更加适合。输出输出描述了活动完成后的结果或可交付项,例如一个文档。不论组织的规模或I S M S范围的大小,其活动完成后的结果或可交付项统称为输出。其他信息其他信息提供了可能有助于执行该活动的任何补充信息,例如,对其他标准的引用。本标准描述的阶段和活动包括了基于相互依赖关系而建议的执行活动的顺序,这些相互依赖关系通过每个活动的“输入”和“输出”的描述来识别。然而,组织可按所需要的任何次序来选择活动,以便为I S M S的建立和实施做准备,这取决于很多不同的因素(例如,目前到位的管理体系的有效性、对信息安全

21、重要性的理解和实施I S M S的原因)。4.3 图表定义一个组织的I S M S项目,通常以图的形式概要给出相应的活动及其输出。图2概要给出了每一阶段条款的示意图,示意图对每一阶段中所包含的活动进行了高度概括。a)图示出一个I S M S项目的规划阶段,其中强调了特定章节中所解释的阶段及其关键的输出文件。b)图(阶段的活动)包括a)图中所强调的阶段包含的关键活动和每一个活动的主要输出文件。b)图中的时间段基于a)图中的时间段。活动A和活动B可能同时执行。活动C宜在活动A和活动B完成后开始。a)图2 流程示意图图例3G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0

22、0 3:2 0 1 0b)图2(续)5 获得管理者对启动I S M S项目的批准5.1 获得管理者对启动I S M S项目的批准的概要当决定实施I S M S时,宜考虑若干因素。为了强调这些因素,管理者宜了解I S M S实施项目的业务案例并批准它。因此该阶段的目标是:目标:通过定义业务案例和项目计划来获得管理者对启动I S M S项目的批准。为了获得管理者的批准,组织宜创建业务案例。该业务案例除了包括实施I S M S的组织结构之外,还包括实施一个I S M S的优先级和目标。组织还宜创建初步的I S M S项目计划。这一阶段所执行的工作将使组织能够了解I S M S的相关事宜,并使组织能够

23、阐明I S M S项目所需要的组织内信息安全角色和责任。这一阶段的预期输出是,就I S M S的实施以及执行本标准所描述的活动,获得管理者的初步批准和承诺。本章的可交付项包括业务案例和一个具有关键里程碑的I S M S项目计划草案。图3示出获得管理者对启动I S M S项目的批准过程。第5章的输出(对计划和实施一个I S M S的文档化管理承诺)和第7章的输出(信息安全状况的概述文档),它们并不是G B/T2 2 0 8 02 0 0 8的要求。但是,建议这些活动的输出作为本标准所描述的其他活动的输入。4G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2

24、0 1 0a)b)图3 获得管理者对启动I S M S项目的批准的概览5.2 阐明组织开发I S M S的优先级活动在考虑组织的信息安全优先级和要求时,宜将实施I S M S的目的一并考虑。5G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0输入a)组织的战略目标;b)现有管理体系概要;c)可用于组织的法律法规、规章和合同上的信息安全要求清单。指南启动I S M S项目,通常需要管理者的批准。因此,宜执行的第一个活动是收集那些对组织可显示I S M S价值的相关信息。组织宜阐明需要I S M S的原因,并决定I S M S实施的目标,启动I S

25、 M S项目。实施I S M S的目标可通过回答以下问题来决定:a)风险管理 I S M S如何产生更好地管理信息安全风险?b)效率 I S M S如何能改进信息安全的管理?c)业务优势 I S M S如何能为组织创造竞争优势?为回答上述问题,尽可能通过以下因素来阐明组织的安全优先级和要求:a)关键的业务域和组织域:1)关键业务域和关键组织域是什么?2)组织哪些域提供该业务以及关注什么?3)有什么第三方关系及其协议?4)是否有外包服务?b)敏感信息或有价值的信息:1)什么信息对组织是至关重要的?2)如果某些信息被泄露给未授权方,可能产生什么后果(例如,失去竞争优势、损害品牌或名誉、引起法律诉讼

26、等)?c)对信息安全测量有要求的相关法律:1)什么法律适用于组织的风险处置或信息安全?2)组织是否是必须对外进行财务报告的公众性全球性组织的一部分?d)与信息安全有关的合同协议或组织协议:1)对数据存储的要求(包括保留期限)是什么?2)是否有任何与隐私或质量有关的合同要求(例如,服务级别协议 S L A)?e)规定特定信息安全控制措施的行业要求:1)有哪些行业特定的要求适用于组织?f)威胁环境:1)需要什么类型的保护,及需要应对哪些威胁?2)需要保护的信息的特定类别是什么?3)需要保护的信息活动的特定类型是什么?g)竞争动力:1)对信息安全的最小化市场要求是什么?2)哪些另外的信息安全控制措施

27、可为组织提供竞争优势?h)业务持续性要求:1)关键业务过程是什么?2)对每个关键业务过程而言,组织能够容忍其中断的时间是多长?通过回答上述问题,可以确定初步的I S M S范围。并且这对创建要得到管理者批准的业务案例和实施I S M S的计划是需要的。详细的I S M S范围将在I S M S项目期间予以定义。6G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0G B/T2 2 0 8 02 0 0 84.2.1a)中所提及的要求,从业务、组织、位置、资产和技术等方面特点,概要描述了范围。以上所产生的信息支持I S M S范围的确定。在做出I

28、S M S范围的初步决定时,宜考虑一些主题,具体包括:a)组织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么?b)建议的范围内系统的责任是否由不止一个管理团队(例如,不同的分支机构或不同的部门)承担?c)I S M S相关文档在整个组织如何流通(例如,通过纸质文件或者通过公司内联网)?d)当前的管理体系是否能支持组织的需求?是否得到充分运行、良好维护且如预期般发挥作用?管理者目标可作为确定I S M S初步范围的输入,举例如下:a)促进业务持续性和灾难恢复;b)提高事件恢复的能力;c)解决法律/合同的符合性/义务;d)使能够获得其他I S O/I E C标准的认证;e)使组织能够

29、发展和占据优势地位;f)降低安全控制措施的成本;g)保护具有战略价值的资产;h)建立一个健康的、有效的内部控制环境;i)向利益相关方保证信息资产获得适当保护。输出本活动的可交付项是:a)概述I S M S的目标、信息安全优先级和组织要求的文档;b)与组织的信息安全相关的法律法规、规章、合同和行业的要求清单;c)业务、组织、位置、资产和技术等方面的概要特征。其他信息I S O/I E C9 0 0 1:2 0 0 8,I S O/I E C1 4 0 0 1:2 0 0 4,I S O/I E C2 0 0 0 0-1:2 0 0 5。5.3 定义初步的I S M S范围5.3.1 制定初步的I

30、 S M S范围活动为实现I S M S的目标,宜定义初步的I S M S范围。输入5.2(阐明组织开发I S M S的优先级)活动的输出。指南为了执行I S M S实施项目,宜定义组织实施I S M S的结构。现在宜定义初步的I S M S范围,以便给管理者提供实施决策指南,以及支持进一步的活动。初步的I S M S范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。本阶段的输出是一份定义初步I S M S范围的文档,内容包括:a)组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务;b)I S M S范围内的区域如何与其他管理体系交互的描述;c)信息安全管理的业

31、务目标清单(见5.2);d)I S M S将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单;7G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0e)现有管理体系、规章、符合性和组织目标之间的关系;f)业务、组织、位置、资产和技术等方面的特点。宜识别现有管理体系与被提议的I S M S的过程间的共同要素和运行差异。输出可交付项是一份描述初步的I S M S范围的文档。其他信息无其他特定信息。注:宜特别注意的是,不论组织内已有的管理体系如何,都要满足G B/T2 2 0 8 02 0 0 8关于I S M S范围的认证特定文件的要求

32、。5.3.2 定义初步的I S M S范围内的角色和责任活动宜定义初步的I S M S范围的全部角色和责任。输入a)5.3.1(制定初步的I S M S范围)活动的输出;b)将从I S M S项目结果获益的利益相关方清单。指南为了执行I S M S项目,宜确定组织在该项目中的角色。因为每个组织中处理信息安全的人数不同,所以一般来说,每个组织的角色通常也不同。信息安全的组织结构和资源随着组织的规模、类型和组织结构的变化而变化。例如,在小型组织中,若干角色可由同一个人担任。然而,管理者宜明确识别负责整个信息安全管理的角色(典型的是首席信息安全官、信息安全管理者或类似的)。宜基于工作岗位所需要的技能

33、来分配员工的角色和责任。这对于确保任务被有效地和有力地完成至关重要。在定义信息安全管理角色时,最重要的考虑事项是:a)该任务的总体责任由管理者承担;b)指定一个人(通常是首席信息安全官)来促进和协调信息安全过程;c)每个员工对其最初任务与维护工作场所和组织中的信息安全负有同等责任。管理信息安全的角色宜一起工作;这可通过诸如信息安全论坛或类似机构来促进。在制定、实施、运行和维护I S M S的所有阶段,宜与适当的业务专家进行协作。已确定范围内(诸如风险管理)各部门代表是潜在的I S M S实施组成员。为快速、有效地使用资源,该组宜保持最小的实际规模。这些区域不仅有I S M S范围所直接包含的部

34、门,还有间接包含的部门,诸如法律部门、风险管理部门和行政管理部门。输出可交付项是一个描述角色和责任的文档或表格,带有对于成功实施I S M S所需要的名称和组织。其他信息附录B提供了组织成功实施I S M S所需要的角色和责任的详细情况。5.4 为了管理者的批准而创建业务案例和项目计划活动宜通过创建业务案例和I S M S项目建议,来获得管理者对I S M S实施项目所需资源的批准和承诺。输入a)5.2(阐明组织开发I S M S的优先级)活动的输出;b)5.3(定义初步的I S M S范围)活动的输出 已形成的文档:初步的8G B/T3 1 4 9 62 0 1 5/I S O/I E C2

35、 7 0 0 3:2 0 1 01)I S M S范围;2)相关的角色和责任。指南关于业务案例和初始I S M S项目计划的信息宜包括已估算的时间计划、资源,以及本标准第6章第9章所述的主要活动所需要的里程碑。业务案例和初始的I S M S项目计划不仅是该项目的基础,而且也确保管理者对I S M S实施所需资源的承诺和批准。已实施的I S M S支持业务目标的方式,促进了组织过程的有效性,提高了业务效率。实施I S M S的业务案例宜包括与组织目标有联系的简短声明,并涵盖以下主题:a)目的和特定目标;b)组织的利益;c)初步的I S M S范围,包括受影响的业务过程;d)实现I S M S目标

36、的关键过程&因素;e)高层级项目概要;f)初始的实施计划;g)已定义的角色和责任;h)需要的资源(包括技术和人员两方面);i)实施考虑事项,包括现有的信息安全;j)带有关键里程碑的时间计划;k)预期的成本;l)关键的成功因素;m)组织利益的量化。项目计划宜包括第6章第9章所述的各个阶段的相关活动。影响I S M S或受I S M S影响的个人宜进行识别,并允许其有充分的时间对I S M S业务案例和I S M S项目建议进行评审和提出意见。业务案例和I S M S项目建议宜在得到输入后按需更新。一旦获得足够的支持,宜将业务案例和I S M S项目建议呈送管理者以获得其批准。管理者宜批准业务案例

37、和初始的项目计划,以实现整个组织的承诺并开始执行I S M S项目。从管理者承诺实施I S M S便可获得的期望利益是:a)由于知悉相关法律法规、规章、合用义务和信息安全标准,并加以实施,从而避免了不遵从的负债和处罚;b)信息安全多个过程的有效使用;c)通过信息安全风险的更好管理,提高了稳定性和信心;d)关键业务信息的识别和保护。输出本活动的可交付项是:a)一份管理者批准的以分配的资源执行I S M S项目的文档;b)一份业务案例文档;c)初始的I S M S项目建议,具有执行风险评估、实施、内部审核和管理评审等里程碑。其他信息G B/T2 2 0 8 02 0 0 8中支持I S M S业务

38、案例的关键成功因素的例子。9G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 06 定义I S M S范围、边界和I S M S方针策略6.1 定义I S M S范围、边界和I S M S方针策略的概述管理者对实施I S M S的批准是基于初步的I S M S范围、I S M S业务案例和初始的项目计划。I S M S的范围和边界的详细定义、I S M S方针策略的定义及管理者的认可与支持,是成功实施I S M S的关键因素。图4给出了定义I S M S范围、边界和I S M S方针策略的概述。因此,本阶段的目标是:目标:定义详细的I S M S

39、范围和边界、制定I S M S方针策略,并获得管理者的赞同。见G B/T2 2 0 8 02 0 0 8的4.2.1a)和4.2.1b)为了实现“定义详细的I S M S范围和边界”的目标,有必要进行以下活动:a)定义组织的范围和边界;b)定义信息通信技术(I C T)的范围和边界;c)定义物理范围和边界;d)确定G B/T2 2 0 8 02 0 0 8的4.2.1a)和4.2.1b)中所规约的范围和边界内业务、组织、位置、资产和技术方面的特征,并确定在定义这些范围和边界过程中的方针策略;e)集成这些基础性的范围和边界,以获得I S M S的范围和边界。为了完成I S M S方针策略的定义并

40、获得管理者的认可,必须进行一个活动。为了在组织中构建一个有效的管理体系,宜通过考虑组织的关键信息资产来确定详细的I S M S范围。为了标识信息资产和评估可行的安全机制,使有共同的术语和系统化方法是非常重要的。这使得在所有实施阶段中容易沟通,培养一致的理解。确保关键的组织域被包含在该范围之内,也是很重要的。可以把整个组织定义为I S M S的范围,或者把组织的一部分,诸如一个部门或一个边界清楚的组织元素,定义为I S M S的范围。例如,在为顾客提供“服务”的情况下,I S M S的范围可以是某种服务,或者是跨越职能的管理体系(整个部门或部门的一部分)。对于认证而言,不管现有的管理体系在组织内

41、情况如何,均宜满足G B/T2 2 0 8 02 0 0 8的要求。定义组织的范围和边界、I C T范围和边界(6.3)以及物理范围和边界(6.4),并不总是按一定顺序来完成之。然而,在定义其他范围和边界时,可参照已经获得的范围和边界。a)图4 定义I S M S范围、边界和I S M S方针策略的概述01G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0b)图4(续)6.2 定义组织的范围和边界活动宜定义组织的范围和边界。输入a)5.3(定义初步的I S M S范围)活动的输出 文档化的初步的I S M S范围,它涉及:1)现有的管理体系、规

42、章、符合性和组织目标之间的关系;2)业务、组织、位置、资产和技术等方面的特征。b)5.2(阐明组织开发I S M S的优先级)活动的输出 管理者有关实施I S M S并开始该项目的11G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0批准文件,其中包含所分配的必需资源。指南实施I S M S的工作量取决于其应用范围的大小。这也影响到与维护I S M S范围内各客体(诸如过程、物理位置、I T系统和人员)的信息安全有关的所有活动,包括实施和维护控制措施、管理运行和诸如识别信息资产和评估风险等任务。如果管理者决定把组织的某些部分从I S M S的范

43、围中排除出去,那么宜把这样做的理由写成文件。在定义I S M S的范围时,重要的是对于那些未包含于定义中的人,可以把I S M S边界解释得非常清楚。一些与信息安全有关的控制措施,可能已经作为其他管理体系的结果而存在。在规划I S M S时,宜考虑这些控制措施,但不必指出当前的I S M S范围的边界。一个定义组织边界的方法是,标识那些相互不重叠的责任域,以便易于赋予组织内的可核查性。直接与信息资产相关的责任或直接与I S M S范围内所包括的业务过程相关的责任,宜选作为处于I S M S控制下的组织的一部分。当定义组织的边界时,宜考虑以下因素:a)I S M S管理论坛宜由I S M S范围

44、所直接涉及的管理人员组成;b)I S M S的管理成员,宜是最终负责所有受影响的责任域的人员(即,他们的角色通常由其所跨越的控制措施和责任指定的);c)在负责管理I S M S的角色不是高层管理者的情况下,高层发起人基本代表对信息安全的利益,并在组织的最高层起到I S M S倡导者的作用;d)范围和边界需要予以定义,以确保考虑了风险评估中所有相关的资产,确保强调了可能发生于这些边界上的风险。基于这一途径,所分析的组织边界宜标识受I S M S影响的所有人员,他们宜包含在I S M S范围内。人员的标识,可能依赖于所选择途径,可能关联到过程和功能。如果该范围内的某些过程外包给第三方,那么这些依赖

45、就宜清楚地写入相应的文档之中。在I S M S实施项目中,这样的依赖以后还要做进一步分析。输出本活动的可交付项是:a)组织的I S M S边界的描述,包括被排除在I S M S范围之外组织任何部分的正当理由;b)在I S M S范围内那些组织各部分的功能和结构;c)在该范围内交换的信息和通过边界交换的信息的标识;d)在该范围之内和范围之外的信息资产的组织过程和责任;e)有关做出层次化决策的过程,及其在I S M S内的结构。其他信息没有其他特定信息。6.3 定义信息通信技术(I C T)的范围和边界活动宜定义I S M S所覆盖的信息通信技术(I C T)元素和其他技术项的范围和边界。输入a)

46、5.3(定义初步的I S M S范围)活动的输出 初步的I S M S范围的文件;b)6.2(定义组织的范围和边界)活动的输出。21G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0指南I C T范围和边界的定义可通过一种信息系统的途径来获得(而不是基于I T技术)。一旦管理者决定把信息系统的业务过程归入I S M S范围,那么还宜考虑所有相关的I C T元素。这包括存储、处理或传输关键信息、资产的组织的所有部分,或者包括范围内对这些组织部分是至关重要的其他元素。信息系统可能跨越组织边界或国家边界。在这种情况下,宜考虑以下事宜:a)社会与文化的

47、环境;b)适用于组织的法律法规、规章和合同的要求;c)关键责任的可核查性;d)技术约束(例如,可用的带宽和服务的可用性等)。通过以上考虑,I C T边界宜包括以下事宜的描述(在适用时):a)组织负责管理的通信基础设施,其中包括采用各种不同的技术(例如无线网络、有线网络或数据/语音网络);b)组织使用和控制的组织边界内的软件;c)网络、应用或生产系统所需要的I C T硬件;d)有关I C T硬件、网络和软件的角色和责任。如果上述任何一个或多个事宜不由组织控制,那么就宜建立第三方依赖关系的文档,见6.2的指南。输出本活动的可交付项是:a)在范围内交换的信息和跨越边界交换的信息;b)I S M S的

48、I C T边界,包括对任何被排除在I S M S范围之外、但在组织管理之下的I C T,给出正当性理由;c)信息系统和电子通讯网络,描述什么系统在范围内,并描述对这些系统的角色和责任。对范围之外的系统宜给出简要概述。其他信息没有其他特定信息。6.4 定义物理范围和边界活动宜定义由I S M S所覆盖的物理范围和边界。输入a)5.3(定义初步的I S M S范围)活动的输出 I S M S初始范围文件;b)6.2(定义组织的范围和边界)活动的输出;c)6.3(定义信息通信技术(I C T)的范围和边界)活动的输出。指南物理范围和边界的定义,包括标识组织(宜属于I S M S的各部门)内的建筑物、

49、位置或设施。对于跨越物理边缘的信息系统的处理,这就更复杂一些,因为这样的系统需要:a)远程设施;b)与客户信息系统的接口以及与第三方服务商所提供服务的接口;c)适用的适当接口和服务水准。基于上述考虑,物理边界宜包括以下描述(在适用时):31G B/T3 1 4 9 62 0 1 5/I S O/I E C2 7 0 0 3:2 0 1 0a)描述功能或过程,其中考虑了它们的物理位置以及组织控制它们的范围;b)基于I C T边界的覆盖范围,描述用于储存/容纳I C T硬件或范围内数据的特殊设施。如果上述描述的任何事物不受组织控制,那么就宜形成第三方依赖关系文档。见6.2的“指南”。输出本活动的可

50、交付项是:a)I S M S物理边界的描述,包括对排除在I S M S范围之外的组织管理之下、又被排除在物理边界之外的任何过程和功能以及设备,给出正当性理由;b)与该范围有关的组织及其地理特征的描述。其他信息没有其他特定信息。6.5 集成每一个范围和边界以获得I S M S的范围和边界活动宜通过集成每一个范围和边界来获得I S M S的范围和边界。输入a)5.3(定义初步的I S M S范围)活动的输出 初步的I S M S范围的文件;b)6.2(定义组织的范围和边界)活动的输出;c)6.3(定义信息通信技术(I C T)的范围和边界)活动的输出;d)6.4(定义物理范围和边界)活动的输出。指