中华人民共和国国家标准信息技术安全技术信息安全管理体系实施指南发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会实施发布中华国人民家共标信息技术和国准安全技术信息安全管理体系实施指南中国标准出版社出版发行北京市朝阳区和平里西街甲号北京市西城区三里河北街号网址服务热线年月第一版书号版权专有侵权必究目次前言引言范围规范性引用文件术语和定义本标准的结构章条的总结构每章的一般结构图表获得管理者对启动项目的批准获得管理者对启动项目的批准的概要阐明组织开发的优先级定义初步的范围制定初步的范围定义初步的范围内的角色和责任为了管理者的批准而创建业务案例和项目计划定义范围边界和方针策略定义范围边界和方针策略的概述定义组织的范围和边界定义信息通信技术的范围和边界定义物理范围和边界集成每一个范围和边界以获得的范围和边界制定方针策略和获得管理者的批准进行信息安全要求分析进行信息安全要求分析的概述定义过程的信息安全要求标识范围内的资产进行信息安全评估进行风险评估和规划风险处置进行风险评估和规划风险处置的概述进行风险评估选择控制目标和控制措施获得管理者对实施和运行的授权设计设计的概述设计组织的信息安全设计信息安全的最终组织结构设计的文件框架设计信息安全方针策略制定信息安全标准和规程设计安全和物理信息安全设计特定的信息安全管理评审的计划设计信息安全意识培训和教育方案产生最终的项目计划附录资料性附录检查表的描述附录资料性附录信息安全的角色和责任附录资料性附录有关内部审核的信息附录资料性附录方针策略的结构附录资料性附录监视和测量参考文献前言本标准按照给出的规则起草本标准使用翻译法等同采用信息技术指南安全技术信息安全管理体系实施本标准做了以下编辑性修改在引言部分增加了有关信息安全管理体系标准族情况的介绍本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子技术标准化研究院上海三零卫士信息安全有限公司山东省计算中心黑龙江省电子信息产品监督检验院北京信息安全测评中心中电长城网际系统应用有限公司本标准主要起草人上官晓丽许玉娜董火民闵京华赵章界周鸣乐方舟李刚引言信息安全管理体系标准族简称标准族是国际信息安全技术标准化组织制定的信息安全管理体系系列国际标准标准族旨在帮助各种类型和规模的组织开发和实施管理其信息资产安全的框架并为保护组织信息诸如财务信息知识产权员工详细资料或者受客户或第三方委托的信息的的独立评估做准备标准族包括的标准定义了的要求及其认证机构的要求提供了对整个规划实施检查处置过程和要求的直接支持详细指南和或解释阐述了特定行业的指南阐述了的一致性评估目前标准族由下列标准组成信息技术安全技术和词汇信息技术信息技术信息技术指南安全技术安全技术安全技术信息技术安全技术证机构的要求信息技术安全技术信息技术安全管理指南概述信息安全管理体系要求信息安全管理实用规则安全技术信息技术信息技术信息安全管理体系安全技术信息安全管理体系实施信息安全管理测量信息安全风险管理信息安全管理体系审核认信息安全管理体系审核指南安全技术基于的电信行业组织的信息信息技术安全技术和集成实施指南信息技术安全技术信息安全治理信息技术安全技术金融服务信息安全管理指南本标准作为标准族之一其目的是为组织按照制定信息安全管理体系的实施计划提供实用指导实际情况下的实施通常作为一个项目来执行本标准所描述的过程旨在为实施提供支持第章第章和第章所包含的相关部分和文件可用于准备启动组织的实施计划定义该项目的组织结构及获得管理者的批准该项目的关键活动实现要求的示例通过使用本标准组织将能够制定信息安全管理的过程并向利益相关方保证信息资产的风险可持续保持在组织定义的可接受的信息安全边界内本标准不涉及运行活动和其他活动但涉及了如何设计这些活动的概念这些活动是在开始运行后所产生的这些概念导致了最终的项目实施计划项目的组织特定部分的实际执行不在本标准范围内项目的实施宜使用标准的项目管理方法学来执行更多信息请参见和有关项目管理的标准信息技术安全技术信息安全管理体系实施指南范围本标准依据关注设计和实施一个成功的信息安全管理体系所需要的关键方面本标准描述了规范及其设计的过程从开始到产生实施计划本标准为实施描述了获得管理者批准的过程为实施定义了一个项目本标准称作项目并就如何规划该项目提供了相应的指导产生最终的项目实施计划本标准可供实施一个的组织使用适用于各种规模和类型的组织例如商业企业政府机构非赢利组织每个组织的复杂性和风险都是独特的并且其特定的要求将驱动的实施小型组织将发现本标准中所提及的活动可适用于他们并可进行简化大型组织或复杂的组织可能会发现为了有效地管理本标准中的活动需要层次化的组织架构或管理体系然而无论是大型组织还是小型组织都可应用本标准来规划相关的活动本标准提出了一些建议及其说明但并没有规定任何要求期望把本标准与和一起使用但不期望修改和或降低中所规定的要求或修改和或降低所提供的建议因此不宜声称符合这一标准规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息技术安全技术信息技术安全技术信息安全管理体系信息安全管理体系要求概述和词汇术语和定义和界定的以及下列术语和定义适用于本文件项目组织为实施一个所开展的结构化活动本标准的结构章条的总结构的实施是一种重要活动通常作为组织的一个项目来执行本标准通过关注该项目的启动规划和定义来说明的实施规划该最终实施的过程包括个阶段每个阶段都用单独的一章来表达所有各章具有相似的结构这个阶段是获得管理者对启动项目的批准第章定义的范围边界和的方针策略第章进行信息安全要求分析第章进行风险评估和规划风险处置第章设计第章参照有关标准图给出了规划该项目的个阶段以及主要输出文档图项目的各个阶段以下附录给出了进一步的信息附录与相对照的活动概要附录信息安全角色和责任附录有关内部审核的规划信息附录方针策略结构附录有关监视和测量的规划信息每章的一般结构每章包括在每章开头的文本框中陈述要达到的一个或多个目标为达到该阶段目标所必要的一个或多个活动每一个活动都在子条款中描述每一条款中活动的描述结构如下活动活动定义了为达到该阶段全部或部分目标所必需满足的那些事宜输入输入描述了起点例如存在的文档化决定或描述在本标准中其他活动的输出输入可能或者引自相关章节所陈述活动的完整输出或者引自指该引用章节之后可能添加活动的特定信息指南指南提供了使这一活动能够得以执行的详细信息有些指南可能不适合所有情况获得结果的其他方式也许更加适合输出输出描述了活动完成后的结果或可交付项例如一个文档不论组织的规模或范围的大小其活动完成后的结果或可交付项统称为输出其他信息其他信息提供了可能有助于执行该活动的任何补充信息例如对其他标准的引用本标准描述的阶段和活动包括了基于相互依赖关系而建议的执行活动的顺序这些相互依赖关系通过每个活动的输入和输出的描述来识别然而组织可按所需要的任何次序来选择活动以便为的建立和实施做准备这取决于很多不同的因素例如目前到位的管理体系的有效性对信息安全重要性的理解和实施的原因图表定义一个组织的项目通常以图的形式概要给出相应的活动及其输出图概要给出了每一阶段条款的示意图示意图对每一阶段中所包含的活动进行了高度概括图示出一个项目的规划阶段其中强调了特定章节中所解释的阶段及其关键的输出文件图阶段的活动包括图中所强调的阶段包含的关键活动和每一个活动的主要输出文件图中的时间段基于图中的时间段活动和活动可能同时执行活动宜在活动和活动完成后开始图流程示意图图例图续获得管理者对启动项目的批准获得管理者对启动项目的批准的概要当决定实施时宜考虑若干因素为了强调这些因素管理者宜了解实施项目的业务案例并批准它因此该阶段的目标是目标通过定义业务案例和项目计划来获得管理者对启动项目的批准为了获得管理者的批准组织宜创建业务案例该业务案例除了包括实施的组织结构之外还包括实施一个的优先级和目标组织还宜创建初步的项目计划这一阶段所执行的工作将使组织能够了解的相关事宜并使组织能够阐明项目所需要的组织内信息安全角色和责任这一阶段的预期输出是就的实施以及执行本标准所描述的活动获得管理者的初步批准和承诺本章的可交付项包括业务案例和一个具有关键里程碑的项目计划草案图示出获得管理者对启动项目的批准过程第章的输出对计划和实施一个的文档化管理承诺和第章的输出信息安全状况的概述文档它们并不是的要求但是建议这些活动的输出作为本标准所描述的其他活动的输入图获得管理者对启动项目的批准的概览阐明组织开发的优先级活动在考虑组织的信息安全优先级和要求时宜将实施的目的一并考虑输入组织的战略目标现有管理体系概要可用于组织的法律法规规章和合同上的信息安全要求清单指南启动项目通常需要管理者的批准因此宜执行的第一个活动是收集那些对组织可显示价值的相关信息组织宜阐明需要的原因并决定实施的目标启动项目实施的目标可通过回答以下问题来决定风险管理如何产生更好地管理信息安全风险效率如何能改进信息安全的管理业务优势如何能为组织创造竞争优势为回答上述问题尽可能通过以下因素来阐明组织的安全优先级和要求关键的业务域和组织域关键业务域和关键组织域是什么组织哪些域提供该业务以及关注什么有什么第三方关系及其协议是否有外包服务敏感信息或有价值的信息什么信息对组织是至关重要的如果某些信息被泄露给未授权方可能产生什么后果例如失去竞争优势损害品牌或名誉引起法律诉讼等对信息安全测量有要求的相关法律什么法律适用于组织的风险处置或信息安全组织是否是必须对外进行财务报告的公众性全球性组织的一部分与信息安全有关的合同协议或组织协议对数据存储的要求包括保留期限是什么是否有任何与隐私或质量有关的合同要求例如服务级别协议规定特定信息安全控制措施的行业要求有哪些行业特定的要求适用于组织威胁环境需要什么类型的保护及需要应对哪些威胁需要保护的信息的特定类别是什么需要保护的信息活动的特定类型是什么竞争动力对信息安全的最小化市场要求是什么哪些另外的信息安全控制措施可为组织提供竞争优势业务持续性要求关键业务过程是什么对每个关键业务过程而言组织能够容忍其中断的时间是多长通过回答上述问题可以确定初步的范围并且这对创建要得到管理者批准的业务案例和实施的计划是需要的详细的范围将在项目期间予以定义中所提及的要求从业务组织位置资产和技术等方面特点概要描述了范围以上所产生的信息支持范围的确定在做出范围的初步决定时宜考虑一些主题具体包括组织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么建议的范围内系统的责任是否由不止一个管理团队例如不同的分支机构或不同的部门承担相关文档在整个组织如何流通例如通过纸质文件或者通过公司内联网当前的管理体系是否能支持组织的需求是否得到充分运行良好维护