ISO27003信息安全管理体系实施指南(中文)

1、信息技术-安全技术信息安全管理体系实施指南(information technology security techniqes informationsecurity management system implementation guidance)(iso/iec cd 27003)(2009-12-29 )作刘斌版本v2.1ft注:该文本为iso 27003 2008-06-12英文版 mif版.i忾屮还不足之处（附诚木认ft 翻译）谪提出宝货总见，以便相互学d和进步.刘斌:msns 1iubin_rocn0hotmai1. com 00:5*17051328目录1 6 2引用的标准文件

2、6 3术语和定义64本准的结构64.1 删64.2 fflx74.2.1阁形符号712.2部苫与阁衣94.3 isms 实施总ffl9 4.4总说明104.4.1实施考虑啪项104. 4.2屮小企mk (sme)的考lg車项 115获衍竹现片对实施isms的正式批准125.1竹现ft对'1施isms正式批准的槪嬰 125.2定义isms的h标、信总安全谣要和4r务耍求145.3定义鉍初的isms ffieh 165. 3. 1 isms 范w的概s 165. 3.2角色和贵任的定义16 5.4创述收务框架与项ijw动ii划185.5获得符理名对实施isms的正式批准和承迷196定义is

3、ms范和isms方针226.1定义isms范114和isms方针的瞰®226.2定义组织的边界246-3定义倌乜通口技术边界256-4定义物理边界256.5完成isms范削边界266.6开发isms方针27 7进行业务分析29 7.1业务分析的槪要错误！未定义书签 7.2定义支持isms的信息安全耍求错误！未定义书签. 7.3创让信息资产淸单错误！未定义书签.7.4产生位乜安全if佔错误！未定义书签.8进行风险if估错误！未定义书签.8.1 14险沭估槪®错误！未定义书签.8.2 w险if估描述错误！未定义书签.8-3进行风险冰佔错误！未定义书签 8.4计划风险处砰和选抒柠

4、制错施错误！未定义书签，8.4.1风险处理和控制措施选择槪嫂错误！未定义书签.8. 4.2 ih別14险处埋选择力案错误！未定义书签.8.4.3选扦拎制hi小和拎制措施错误！未定义书签.9 q if isms43 9. 1 ttil isms概要错误！未定义书签.9.2 sil组织的安全错误！未定义书签. 9. 2.1组织的安全概嬰错误！未定义书签. 9.2.2角色和办任错误！未定义书签. 9. 2.3方针幵发框架错误！未定义书签. 9.2.4报告和管理计帘错误！未定义书签9. 2.5规划曲核镨误丨未定义书签. 9. 2.6559. 3没计ict安全和物现安全错误！未定义书签. 9.4没计监视

5、和测吊:589.4.1监视和测ft的慨®错误！未定义书签.9- 4.2议计监视错误！未定义书签. 9.4.3没计访息安全测©程序镨误！未定义书签.9.4.4.测« isms的|效性错误！未定义书签.9.5 isms记泌的耍求错误！未定义书签.9.5. 1 isms c朵的概要错误！未定义书签. 9.5.2文件®求的控制错误！未定义书签.9. 5.3记录嬰求的控制错误！未定义书签. 9.6产生isms实施计划错误！未定义书签.10实施isms错误！未定义书签.10.1 isms实施概耍错误！未定义书签.10.2执行isms实施项口错误i未定义书签. 10.

6、2.1执jr isms实施项ums错误！未定义书签.10. 2. 2角色和任错误！未定义书签. 10. 2. 3沟通错误！未定义书签10.2.4协w错误！未定义书签.10.2.5变史错误！未定义书签.10.3监视的丈施错误！未定义书签.10.4 isms稈序和控制文件错误！未定义书签.10.5 isms测黾w序文件错误！未定义书签.科拥78附决a7981前言iso （h呩标准化组织）和iec （m际电工娄m会延专业的世界性准发布者。iso ieci&«的w家，通过»|*|组织为处理特定技永活动领域所没的技水委w会.参与开发 w际准* iso fil iec技术蚤员会

7、协调合作领域的共同利益.与iso和iec保持联系的它 m际组织（官方的或ir官方的）也iii穸加打关t怍。在倍息技术领域.iso和iec己经没立 了一个联合技术否员会，iso/iec jtc 1。阑小准a照iso/iec导则第2部分的规则起9。本义件的某叫耍索有呵能涉及-哔专利权问题，对此w引起什意。iso 4、负心识别任 何v利权的问®。1so/iec 27003足山访息技术-安全技水sc 27小组s w公iso/iec jtc 1技术龙公 制定的，引言本杯准的目的是为基于iso/iec 27001的倍息安全符理体系（isms）提供实用衔么 is0/iec 27001在一个组织内为

8、业务提供信总化管理。信息安全的ii的在a）保护佶息免受种4、同的威盼（例如：故陣、仿总与服务的损火、盗窃和间b）支持符介法f1法规和介同的安令要求：c）维护连续忭：d）最小化损害:e）促进效率。木如准h在支持仿息安今符冲的过w.确保相关利益方的忙.11资产（包括仿息过）满 足该组织所定义的可接受的风险级别木紅袱所描述的实施过wl!汁进行了sil .以w供：a）说明以一奁壤础方针、r序和控制措施所表示的组织的倍息安令符理体系：b）持续改进的堪础：c）祸r仆务h标、前情况差炉分析和风险分析的结災考虑吋的协调抿®。本标淮小包w isms的运行或监ffi* isms的敁终劣施是一个柯关技术展

9、而和组织匕而 上的实施项自,那里.喬要应用项自管理原理和方法论（见“iso项目管理标准”.采川isms勹公共竹理组织（包括公公荇机i项战略性决随行n的使川和依赖性的增长.对实施isms的决定和水i«十分关m。信息技术-安全技术信息安全管理体系实施指南本ih际标准依照iso/iec 27001,为建立和吹施信息安个钤珂体系捉供实用指分本i 件描述isms的实施.聚热f从w初批准isms在组织内实施判isms运行的幵始.相气j* isms pdca周期的“p”和“d”阶段。木文件介行、和a迸没ii活动的解籽.id然这活动木?4不在实施 的范b.本标泄适用于所有商4k规棋和类型的所有泔织（

10、例如，商业企业、政府机构、作贏利组 本h:准ftfr:为依照is0/iec 27001 施怡息安个竹珅体系的泔织使用，以及为安个t 业人员捉供指分.14险u理或测又力的上跑袒i r isms k准族的k它杯准.并波迠:1?川il2引用的标准文件f列引用文件对于本文件的应用是必不可少的*凡是注有日期的引用文件，只是引用的 版本凡是不注有曰期的引用文件，其最新版本（包括任何修改适川r本标准。 is0/iec 27001, u息安今符押体系-嬰求3术语和定义为了本文件的n的，以卜的术语和定义适用r本w准:參is0/iec 27001,位息安全符押体系-槪述与&川: is0/iec 27001

11、,位息安今管押体系-裝求4本标准的结构4.1总则本文件描述佶息安全符理体系的实施。实施足-个时问性的活动.而本义件描述力项b 活动。实施项g分为多个不冋阶段._一个阶段在木文屮也是-个中独的条款。埒一个isms实施阶段包含：个耍达到的h标： 一个成多个为込到该阶段ii杯所必a的活动。话动描述按以f内游结构进行:记义满足个部或部分改阶段uh所必盂的«殊a动。®a描述毎一个活动的开始点.例ta现科形成文件的决定.或宋h p其它isms实施活动的输 出.实施抱南提供更加洋细的m息，以支持该实施阶段的口的和达到该阶段的n。虽然纽织的規税 和isms范m的w终规校要影响沾动的浓性.f

12、nffi每个活动所必®的输出都c同忭不依赖 这些因紊.描还该活动的结災成nj交h的完成产a/i.例如文ft， 其它倌息提供n脯助f达到该阶段i i标的扑充倌息，例如对其它标准的引用文件或另外的smes 指南.小足所有活动都有其它位息。幣个项hwff用-个fflx. m示s个不同的阶段及tt瑜出，而每一个阶段也要仃ws. 以ph示出该阶段内的齐个不同工作块，isms的劣施包括來itic它isms系列»小准的i：w.这些 w准在适当时也可作为引用文忭.并作为灯用的输入在ra衣屮进行描述。4.24. 2.1图形符号rn 1從供木义件jhifti的流kffl所使川的旧形n-i.这挖

13、ffl形为丈施isms捉供很形象的 街4和过栉。keference irxxiti documentsaomtmforan j拗ph«e.i*ime?1 adivmies oi :二2.一一 q i3actmimtof the|一一1 二.f zba.在本s际标准中，流程is的图形拌列是基j:以卜结构槪念: hi形框（无阴影的）：矩馳提供息的说明。当执行任务潘耍超出本标准范a的信息时，以无填先的框 困及示，如在图4.1中描述为“必須的信息这种必須的倌息好以是其它标准引用文件， ftuiso/iec 27002o 矩形枢（介阴影的）：矩形框农示“形成文fl的结果”。在矩形枢，倌息以灰色

14、填充，并产生作为本标准的 部分的一个义件。 箭头框：箭5k框衣心活动或®执行的i:作. 箭失枢吋51分成1；个丫任务/活动.然后以多个新的府尖框衣水。所乜箭1框的右底 部都打一个数字，表示本标准的章w（在图1屮，以“x.x”衣示）. 项h流各种活动的顺呼流动，并以多个箭头框衣示。项0流®并行地完成。 ffl屮的箭头农示时问.并以从左到心的方14。箭头也ffi出某叫活动w/ek-个活动 开始之前完成，或者可以并行地完成.4.2.2部署与图表所打阶段都被衍定为-个条,汰6&先，埒-个条款邠/f说明改阶段及hhus动的阁8 然s7, 个阶段内的14-个主要活动&该

15、条款的-个子vi。如k在一个活动屮灯许多主s. 那么这叫k题可作为多个子条款进行介绍，似不以阁农说明。为了支持正文，也可以捕入谷 种k它的m形或阁表，但可不遵饀如ra 1所述的阁形符毎一个阶段和活动在开始时都有h标.曲其内容a支持该hw.另外的支持性信总，例如例子，应以附泌捉供.4.3 isms实施总图明 2 明解 iso/iec 27003 的范ih*4kh3-i- ha1 iso 27000 1iso 27001iso 27004is0 27004iso 27002)i:iso 27002iso 27002i iso 27001 |:i:番:isq2700tiso 27001iso 270

16、07 ；ffl2 isms项n概阶段的结s在阁2屮，毎一阶段的h标概迆解籽如卜： 第5帝“茯得实施isms的正式批准”，jtflwji：令 定义实施isms的|标.仿息安仝耑捉和业务耍求: 定义敁初的ismsigih；令 创if收务项h启动计划： 令茯w竹珂对实施isms的ie式批准和承诺* 第6章-定义详细的isms范fll和isms方针”.其目标是* 定义isms的范ffl边界：-> 茯？h4ismsi|.的贤 m.-9 - 第7饫“进行处务分析、jtnwfi: 收uilsms支持的扣关ffi求：o收粜气前isms范m内的信总安全状况： o创迁佶息资产淸中。 第8帝“进行风险if估”

17、，托令 w別风险if估方法：令 w別.分析和if价倍息安全风险：o i只別风险处理选择方案： 选择控制h标和控制招施* 第9访“没iiisw.其n标a:令j i4险处刊选择方案的k险处押.而设计组织的安个：o 为降低风险.蛄介ict.物fl!安全和组织安全.ifij没计选择的控制lit小勹控制措 施：令 为让么isms.没illsmsw殊的要求，包w监视和测吊：令制定isms实施1|划， 第10章“实施isms”.其h标足:-报枞isms项hil划，实施已选择的控制招施和ismsw殊的要求：-实施监视和测砑：令创itlsmsr序和控制义件.4.4总说明4. 4. 1实施考虑事项丈晻的ii*小込

18、达到符介is0/iec 27001從求的持续改进的状态.恼以安全足持飧动态性变化的.贤迸行a计以迈吨变化。埒-个俎炽都受支 r内邡 变化和外部变化，巾r业务过柙、法规坏境、任务、础没施和泔织可能发卞变化，许多这 呰变化也影响仿息安令。某嬰条件的变化也4能出现.例如.法仲约定或介l“j约定、rif 用信息和通仿技术都14能发牛.|r人变化.为f达到组织的4k务h i小及h:风险射受度.钤押和 维护信总安全是必须的。不仅计划实施4k务过和引入u行商定的信息安全控制措施的新信息系统足币:®的.而 fl计划ju，v如何运行和介规ih地进行检ft以确保jt如期的介效性和适川性也足it耍的、如果

19、 脆弱点成a进的机公te发现.whv采取控制错施.进行改进。过持这吟改进的ii划和 'i:施.mk务过杓!披终止，或ft组分和/或佶息系统被史换或关w，必须考虑扣关的仿息安 全问题，例to授权的取消或硬件的安全刪除。为了成对f,7息安个盂®例如竹押过ft. ii恃劣施和认"fuf新jfi©，一个纽织内的扣关角 色和啟任识别j附泌a+*附彔a捉供仿息安今关键怕色和街任的指4.4.2中小企业(sme)的考虑事项本fa.准所述的实施项ii吋以足很k*的.因为它或多或少涉及刊韨个组织。成该捉出的 是，在实好屮，人组织实施isms比小组织圯ft杂*小组织没打很多角色

20、，ifull isms的边界 十分淸楚定义，倍息资产的控制也更容易完成。本w准描述实施isms所®®的活动，w别足屮型到人吧的企、ik。较小的组织公发现木 好准所提的活动可适用r他们.并可以进行简化。小符企业的规模如何.对r一个特定组织來说.a杂性和风险郁足独特的.向特定的耍 求合驱动实施的指好。-u -5获得管理者对实施isms的批准5.1管理者对实施isms批准的概要rw: 定义丈施倌总安全竹理体系的nw.仏息安全的盂求和业务要求: 定义初始的isms范闹： 创迮业务枨架和启动项h: 获tyt?理名对实施isms的批准和承參 sliso/iec 27001： 4.2.1

21、 a), b)在本阶段(即茯fim押对实施isms的批谁”)开始之前，的足耍叫a什么足 isms, isms的业务芯求和关的组织内的伯色以任的列农.本阶段的預期输出足符刊7；对实施isms的批准和承讲。w此从此条款捉交包括-个 4k务抿架和一个件的it议草案。iso 27001其它需求iso 27005i 获符竹对iifelsms 的 ie式批i 报和承诺 5./时闹 i.i 、'i *««*拳參螬 mon _emmmm* 搴拳mm攀_參0» mm善*_»_參壽* * »«*» 春*垂 m拳_« met*

22、* _ eesmoi參mae m*»»*« i*«*拳mbheev阁3竹押片对实施isms iea批准的概®5.2定义isms的目标、信息安全需求和业务要求活动定义实施isms的m标.仿息安今況求和仆务要求.按如下倌息完成此项活动足很屯:钽的: 达到企业的仆务ii标的途柃： 了解现介符理体系。实施指南实施isms吋.应名虑如卜问题： k险控制-isms如何史w的拎制怡息安令风险？ 效率-ismstoihisft处砰k,息安个的效年？ 业务优势-isms如何创ffi收务优势？一咋竹理nfe的贫例包w: 促进4k务连维性和灾难恢兑 促进对v故的恢a

23、力 法汴/介同符介性/愤务（例：sox、dpa）支持iso 9001, 14001、 20000和27001认证 介利f4k务发展和定位 使w险和安全能够迸行测m：勺没k 降低安全控制措施成木保护资产的战略价侦拳促成企业w险竹押（erm）过打 比以-个达刊保证健咏的“控制坏境517效控制组什”上述nfe带來的利益包w:法沐符介性-好的仿息安全4致符介个地区和地方法ih 介m符介性-w的仿息安全改ff符介介同的承 行业标涖符介性-将行收h;准纳入信息安仝流k和信息安今嬰求，以解决该标准的符 合性: 效率-仿息安全设计绿致科效使用多个安令流程： 业务优势-丈施倍息安全"r铕助取衍史多新汀

24、中.汴能够把信以安全计灯刊该成本 屮： k险抟制-借息安个获得适、解决，也就4：持了竹理风险： fuft -实施7息安个4使改纪织诀汧更多业务环境乃而的fiiff.如jt能够®ftsxflt 它疗理组织（外郎审核）作出反应.捉岛反应浙任h 环境押.解-又键的位息活动和保扩改炎息打助i处押继续发1:的斤祌威阱。因此.竹理坷旎述的任何一个或多个，也对以a不同的*isms的银本组织所向临的关佶息安仝方向的列入消中.的史多考虑负项. 组织耑裝解决的主题包括以b*方ifth内部影响和外部影响： 要求信息安令的相关法沭>什么法怵与该组织打关？> 一个公众的全球性公司的组织部门芯控财务

25、外部报告叫？ 科关出r缺乏佶息*令而导致诉讼的介m协议或商卟协议>什么a存储®求？> 足付fftt何秘密的或质®（例如：服务级別协议-sla）介14嬰求？ 打关®赀仿息安全的行收®求> 打什么特殊的行ms求适用厂木泔织？ 奉介关fa，&安伞的环境®求> ®®什么类v的保护并预防哪将威胁？ >芯從保护的信兑rt "哪呰小|nj的»壙？> 保护的佶息活动有哪爷不同的类喂？ 敏感或行价fft的倌息®®信息安全>什么信息w r组织的关键信息？

26、>如果这类倍息彼泄谣给末授权方会产生什么后果（例如：失去竞卞优势.损s 组织的w牌/名？f等）? 竞，驭动> ®考虑仿息安个山场足小的嬰求a什么？> 如汜玄施，什么创让ibhk优势的w外的仿息安个市场迎求？ 业务迕维性迆求> 对关shk务流柙屮断，川炽可以忍受z k时叫？通过提出某矻埔本的设想.作为对h述问拽的m?$.就可以完成定义信息安全®求的活 动和萵层收务嬰求。这il:该组织了解到他们能从执行ismsfijfij什么，馳这个活动的结果或成果足： 总结isms的|标、倌息安全況求和业务要求的简fe义件。 其它倩息如果isms1e在一个需要满足的也

27、求的行北屮实施，別初s补允信 息.这包w符介t小袱、介同承u;和外部施加的政策或任何其它适用的參芩文件。w别汴细的 "关如何m別和使川满足行仆待殊®求的扩肢柠制措施在实施isms的“plan"和“do”阶段 进行讨论.行业实施的例f也披供f附录屮.以摘助本文件的川户史好地实施isms。-91 -川印羽.f"刁卷卯以w时曲沐31拘w冷1u羽潴诏时蚴识明汝识 '妁植孑w孕竹.vhi蚜ft閒训祕sksiw東时研卯 ° m 曲ittwyw%从电职时叩诏咏效 妁 qhifw油w即?4如svhfmmw阐知yt叩砟万朽-i 勒州必m褙tl讲讲别:kh

28、t褙街wsksi4¥r:w®yrtt铋wh袍识冷戏柃去杀宵.以x否明丑tftt马啄z ss°衮掛睇斜身srww淋淆 聋+-j °认眼明呼诎吋另wwsjtwsrsi呗策取收沪凊揹柿汧w池时司招欢劣s£ s"vwrwwhjswsibbf- w"泠你计芯hwhii眾女"v辟八硏少麥卞 1;父叩-t00z6dai/osi4>uj（wnv讲.ns沏赛划从抝笊叩fftinnii?® m ir wsksi yj 扪 個 时涂制 w w好 w6：5.aiwtw7-u 4银今班«别铒去荩以？r羽竹w岁对貼姑

29、好祖 i arr少？力耵sksii-femtfyi w胪?hj?猙换泊？tthltfim/iufedww讲4；劫沒谛沈1沙4uuffiwfel少胪hrw妁mw问少步叩w）j 7台ikw刘站鉍问士+5i廿以？hb學w岁斛知矜 :w耵h沁薪一明眾女菇泌革谁；打®叫°-vksksi q mi以？消多唞瓶鉍w浓叫说>3m别不° 1002.3 331/osi-vwriw拗叫w沪泠菇wuw洙v冲述r靳|ftiwhjz?s!tfw®i00a6 33i/0siiu泠茄w沴对 iwim+w邨承好衲汝财织昭n!锞泠®问多料wil刺少少兄竹一 观不iffiiw

30、aii丑冰w汶乜 艸逢妨口ifiw豕.ww搰辟iooxs dai/osiiinilirur awiw'.?rtii双以1測鋒'its7+ftw?stll双swsi!角w不论k ij7w去杀打以啉水筋«补-ll-.f sw!wy?4 sw5 筋榭w故舛耶al味:ft«vwbl® :4j«冰孫孓咏乎益务耶 '舛h鲥革sksi拳ys洲级skslwwftx$_ w 番輋w国级shsi iss 国级sksi印绑战x革£ s一个人员州r:*然ifii. _“息安令汀员总足被指记为负贞仏赵安伞的关键人*作仏息安个 ?f理炻色的定义上，

31、记取位的考虑足，规定适3安全任务（w倍息安全的总以任保持在符理。 至少衍定一个人（通常足ft席估息安个官员）进行促进和协调估.0.安个过秤。 每-个员i:都要在m: r.作场所和环境卜甲地负起it:原任务的改任和维护信息安 全的贵任。以k足许多组织典型的主®角色，并在本义件屮用：角色负责品级tf理投 < 如：coo, ceo、cso 和 cfo）商级竹理人w负以战略决®和协调活动，以桁4 和控制m织冇席倍息安全&?t席借总安全&全ifti负is实施isms怡息安今娄m会（成w）委w会负出领好组炽内丈施isms信息安全规划小组（成规划小泔负街实施isms

32、 «动。在实施isms期 问,规划小组的工作跨越部门边界解决冲突和支 持ciso （符席（2息安全仃）专家负打运乔（执行 > 的v家们足一个汛织的t业人 e.座该按照他们对isms v件的想法访问这些专 家，w为这涉及到w使用在特定的领域。 这些专家应该按照他们对isms小件的专业知ih 被访问，因为它关系到所在的n体领域。外部顾问外部盹问能报据k对组织的宏观观点和行收经验 提供实施isms活动的决定。但专家不可能打很深 的商收和该组织的运行知ul雇员/职员/川户在w i：作场所和环境卜_,每一个员1:都要平等地 负fe维护息安全的贞任。苗席*核员n席布核员负责设计如何评估和评

33、价isms*流权负出人“流k负心人”足业务流ww碗川系统联系人. 此人负ji炎派江务和处理（2经披分妃刊该业务流 程内的信息。isms范阳所涉及的部ij代衣相关部门代表可以提供执行风险评估和实施校制措施的决定其它相关方所需要的其它相关方足风险if估和控制措施的实施的负贞人。例如过稈负贞人和成用系统专家。这将相关方1、<嬰特别地进行定义，以女持管殚片 对实施isms的批准过程。埼训师培训师实施培训和*传计划*ju 1:迂的佶息安令角色和山仃:为了在让、>.规划小泔时获wie确的经验，本阶段沌解决外部成内部的hkftiuu为 了获w份介判的isms实施批准义件，通常的怙况卜«

34、嫂与11它角色汾论，例如，为了准ftisms批袱i件，关键流w的“流wftis人” 4能足一个盂要进行iffi讨的ft色.此外.风险抒估是在isms实施屮执行.因此.为r识别、分析和vr价风险，需嬰识别isms 范ih所包括的部门和这呰部门的代衣av:加入到isms实施成。因此.w别isms范ih所包粘的部这些sun的衫勺代农2；嬰进行iu别、分析和vt价风 险。这苎部u不汉wisms范111所包m的良接中位.ifii且也包w问接部u.沾如法法怵部fj和 行政部门*例如:为了实施包括 切的“管理”，需要人力资源部的代表。5.4创建业务框架与项目启动创1£仆务枳架1初始项h计划，收集r

35、管现批准文件中的作为-个以往活动结果的业务框架，实施指南业务w钯初始项h启动叫包括己佔锊的时叫计划和本f小准第6章-第9$所述的+:嬰活 动所苫耍的资源.在本阶段的收务据®屮.不叶能很详细说明.w为i午多w索仍然足未知的. 所以柯佔计未來将执行的活动。这个文件作为项h柚础，而m还确保符理荇对isms'i施所冗 耍的资源的承诺和批准。实施isms的收务枢架吋以由以卜主题组成：离fehfe: 特殊h标： 关键流w: 己妗定义的角色和由任： 实施组织； 丈施考虑少项： 假定的吋分开个阶段.如本w准所捉出的： 假定的成木wk；己经定义的关铍的成功w索.仵符押.片批准之后，av:制定一

36、个洋细的项ii计划，包本标准第6章-9争所述的各个阶 段的相关活动.第10章包含控制措施的实施。馳此活动的输出产生一个饤又收»框®与初始项uaj动的文件.其它信息卜个条款提供史多符理所w嬰的关键成功w桊的细p*5. 5获得符理者对实施isms的正式批准和承诺获得管w /!对实施isms的批准和承诺魅此活动的输入为处务桐架和项11沿动，以及为茯得符砰荇批准和在isms实施期问保持承 诺而潘耍理解的事情。实施揞南屯嬰的£定义isms成功实施的关键因东.因为这足j5嬰的袱则，以増加到业»il &j作力 与行理论的一部分。对j丈施isms的决记.

37、4;要的g使实施人员认可这叫isms成功实施所芯要的关键因蒺。 此i£if屮这叫isms成功实施和了 wisms的利益所況耍的)t键闪介:证明丈施ismsfiie、决 定的过权屮.公产生涉及利益的fj关的儿个i'ojvs.竹埋这些问题及从:««涉及列这些乂键的 成功m索.实施isms叉键的成功冈蒺足：a. 管理者承诺符理?!承诸起始织决记丈施isms的嬰并继纟用isms以w助符殚和发展业务。竹 理荇承诺常常取决r以业务术语所描述的ismsiiw，因此艰嬰的足耍能将仏息安全转化 成业务uh:。这対疗理有很人关系。成功的又键wa-. 綱n理u的承必包括： 定期

38、怜汽把isms成功实施与处务榈绑的行动il划： 符刊.芥批准和监 isms实施： 为isms次施分独，.的顶玆： &bz该组织的关键相关7/参加的“倌息竹埋安全论.外山流枚负w人和竹埋 及分担运作w题： 接受风险级別之卜和符刊7；决定不采取任何措施时作ilf接受袱则之i:的 残余14险。 允分的和w有技能的isms实施资源。b. 管理方法竹理万法足一个实施isms币:要的和关®的成功w蒺。w别足组织问活楚理解用色、炎江、 相关方及k对法ih®求的符介性，与isms、t施的关系。此荇押方法g桁按照过r、方fl、 法ih和制度i衍分、符理或控制组织。它包括定义组织的li

39、t小、了解相关方及其勺isms的关 系.(s.0.安全的任务和职山可概怙为以卜儿点：负贞倌息安令w-个飢织的竹珂荇邡®负« y衫ii织n标保修-致的d:确运w,他们也负贞确保 对jt组织的内部勹外部的仿息安全.hjikra ii和组织的炎乳4能/況货理解的k种谀 饫和izih. tfpmhv明确地农明jt负山什的承芯j|*wao、安个对所介mt的小:如災创注的ismsrtw个扣织的一部分，那么这个成功rit所授权负* 的领域。结介仏总安令在飢织的所仏业务w动屮，包括f/f/i息处押和使用f,7息技术的m约定.都心考 虑3息安全和适当结合倌息安全。这怠味例如.当诀得n以及当没

40、计业务流稈和培 训m工时.应考虑信息安全。 竹现和维护倍息安全tf ?ll fiw确w信息安令（ishf务的di什和权力1砰地分适3知识的人w, 并被所fjistll关t作的人员技受.这包括： 开发、实施和维护is®略： w险w别.k险if估和14险竹艸: 捉供充分资源以i持和fi'is r作。 让立4实现的lu小在ismsiytll!内，的hwhv做出很好的规定.并峭ic件说明纽织的4:耍r杯 的关系。的明础地描述这些安全life如m支持完成主©ii的和业务ilk。这些 关系脚足吋信任的，由此进行的沽幼成是现实的和可实现的.信息安全成本利益分析了解收务流枵、资产和

41、任务对信息处理的依赖性足必®的，这祥可以选择适当的信 息安令挖制措施以及tf砰和推护isms的变施。 投范角色的作川在涉及到ft息安伞时.衿押？jhv起悦范带头作用。这耍求钤除jt它讲怡外也嬰 执行所介桁定的安全规租和参与坫训私宵。c. 财务方面的考虑w务/hftf的*?ls也te汄为足次施ismsx;ffl的成功wi特别足州织从适3的机制以监 控：奉对isms实施和竹理的投资冋报： 介业务的安全®略或维护isms火败的成本。d. 行业/部门特殊考虑实施isms关键的成功w系也hv包w考虑特殊的行仆（或部门）杯准和与扣织的、lk务相关 的衍导方针。中:要的是嬰认nj规章的环

42、境和耑嬰如何实施isms以支持lk务运行。x.j f与部门 特殊文件和isms*小准族打关的j/j外信息uj参芩iso/iec 27000.e. 风险方面的考虑14险方而的务虑足一个又键的成功w尜。ismsffilm内的风险倌息和为把这鴒风险降低到 4接受级别的拎制措施hy:认得符押？；刺点和批准作这个阶段./奶1:总if价仏息安个风 险如何勹现川4险竹理流权相比进行处现和叫以込判的"j能收获.f. 组织内合作和与其它组织合作组织内介作和跨组织介作时isms'i施足一个屮:貶的关键成功w秦.特别以卜1被vr屮 和解决： rtd介现有的安全"针，指南和指4书： 跨组织

43、的联系和冰佔isms成功的/法： 满足相关方关汴少立所芯®的安全嬰求。s.认可变更或更新的需要另一个屯®的成功因系足汄nnsmsig®变史或史新时的能力.h.利益相关方牵涉事宜如所定义的不m利益的相又方及u:对成功的isms的观点w足处芩虑的衫亢.这苎现点可以适： 打关佶息安个仆结的报？:（包括呔施项m的结果）: dl安令的成木： 得到的佶息安全利益。进一步的利ilifll关介介涉h'w.加以解决.w为他f门的帝涉-mrtnr能住以卜/jiftiimt 实阽的实施： 作为isms实施筹划指好5员会的一部分： 通过在其它运作活动捉出信息安全的呎嬰性，展示他们

44、的兴趣。输出这个ffi动的输出和这个阶段的结果对it它义件足又®的.这足也接收形成义件的r?现？; 对实施isms的ie入批吡和承也本砍所述的xue的成功w紊为成功实施isms捉供/灯尺如何 获保持竹砰ft的支持以及考虑的少而的进一步细w.其它倌息-# -6定义isms范围和isms方针6.1定义isms范围和isms方针的概要nw： 定义isms的范|li|边界： 获扮对isms方针的m意。参见 iso/iec 27001： 4.2.1 a), b)假龙竹列荇已择批准和支扑实施isms* ffl 1展示isms范|科和isms ml的边义槪要。4 isms范|i1和isms z/t

45、f的定义槪钽为实现本阶段的iii小.f:奴的助没ii该组织的信息安全竹埋体系及w边界 和相x流w的i：持性信息。1. 为让盔isms收叱g息o分析该组织的卟务以定义isms的范ih和边界及kz/1i。从4k务的观点.述立 isms的支w性«息叫在本阶段全捏进ir收集。位息碗（1括：关键4k务流fih物理坏境： 组织结构。2. 定义isms的范m和边界o wik'twti的决定和i.述分析所收災的g息定义isms的范im和边界。为丫介:外1织内个灯效的竹押体系，isms的通过*5虑指i小件卟务的尺 键倌息资产曲做出决定。为了确汉关键业务领域妓包介作这个范im之内，/i:i只别位

46、息资产和 vt估"f行的安企机制方而it:/:-个共同术访.农和系统框®也足吸耍的共同框兜能ft s沟通 并使致的理解能够w穿所灯实施阶段.也nj能定义个企业作为isms的范111或业务部门 的部分作为isms的范围。正如为客户提供“眼务”的情况，跨职能的管理体系（整个部门 或部门的-部分）14以成力isms的范ih，如冋俎织结构的一些部门的yf xn理制度。 在定义isms的范ni时.瓜要的e要a个宂全的竹理体系mt边界要足够沽绝以进行 逻祖解籽。isms的范|11和边界咏合砰地进行定义。实施isms的作量取决r范围大小，这也可影_维护倌息安全的所有活动，控制 措施、符理

47、运行和任务，例如w别佶息资产和风陰vr佔。被排除出isms范«的任何輔极 加以解杼.6. 2定义组织的边界定义组织的业务的边界.组织和isms处埋的资产唞立.»a 5.3活动的辕出-管理者关于离层isms范9 （析如整个组织、_1域、过w领 域）的正式决定。实施指南定义组织的边界的、个方法e: u!別在组织内不相氓旮的山任范h1.这叫包介关smk务 资产成受关键业务流权影响的a fliuth披选择作为在isms控制卜的该组织的区域 3采川 这个方法时，a;®考虑以下邡宜： 參1j isms竹秤论坛的各都将受到影响： 负货isms的管埋荇应其木i.k所有受贲任影响范

48、ih的负贵人（例如飢织结构的t jj: 范im和边界进b记义.以确所j+1ix的资广:迮风险汴佔屮波冬虑到m处现可能通过这叫边界产卞的ml险（见iso/iec 27005）: 对h11织，范m/、v.进打定义，以能够在该范m内现实ismspdca網环*例411，一部分 未管理的组织不适介这个范m.無 isms组织边界的描述，包w部分组织被诽除出isms范闹的任何正当理由： 组织的功能和结构： 通过边界的佶息资产和信息交换： 范ih之内和范之外的位息资产的卟务流w和以仃。其它信息6. 3定义信息通信技术边界活动记义isms所tl介的t；mij通g技木和其它技术的边界，输入 5.3沽动的输出-行砰

49、ft关f高e isms范例如：在汛织的控制之卜_的所有 ict. i：仆特殊4k务成过柙的部分ict的ie式决定.实施指南ict边界的定义可以通过倍息系统（不足n系统）方法进行识别.处现或代输关键收务信 总资产的所有信息系统或关键的信息系统都应1h入isms范闱，以卜求宜足w该考虑的： 仏息系统4以跨越av:进结介与沟通的组织的边界： 当佶息系统跨越该组织的边界或边界时.hv名虑以卜irft: o社会文化环境;0适用尸该组织的法律，法規和合同想求:0关键贞任的说明：o技术约束（例！bi: 0t用的带宽和服务的可用性等）. 龍 isms的ict辺界的描述.包括在该组织tf埋卜的ict波作除出is

50、ms的任何正当性理由。 范ih之内的和ffilh之外的位总系统fihwum络的描述.其它信息6. 4定义物理边界活动记义isms所的场所alhi的物理边界.， 5.3活动的输出-管理?关f岛g isms范|fl （例如在组织的掠制之下的所打场 所，女持w殊4k务或过r的部分场所）的正式决定.实施指南物理边界的定义towui别成w rismsitm的组织内的辻筑物.场听成s施，处押跨越 物理边界的信息系统足很s杂的，这浠要：0移动访问：0远稅没施：0签？第三方服务：0无线网路。这叫问题通过定义坫当的界ifti和服务足次加以解决。输出 isms物砰边界的描述改泔织rm卜的物押边界被排除出isms

51、ffiiq的fhie-i 性理由. 范ih之内的filffilh之外的31织及u:地理特征的描述。其它倍息6. 5完成isms范围边界活动編写isms范围和边界文件.»a 5.3活动的输出-竹那芥关的ip:式决定。 6.2活动的输出-组织边界的定义： 6.3活动的输出-ict边界的屯义； 6.4活动的输出-物砰边界的定义。实施指南在定义isms范的时候.这些范闹和边界吋以以许多方法介并在一起。例如：物理场 所（如辻筑物、数据屮心成办公室）和这个物理场所的关键流程w井入该范闹内。佶总系统 的移动访问就足一个例子。输出 描还isms范闹和辺界的义件，包括以卜佶息：0组织的业务特性（4k务

52、，服务、资产和毎 个资产的责任范闹和边界等的说明书）: o关键收务流w列衣：0组织的功能和钴构文件: o场所和楼尼位will:o没落和叫络的w芮：o资产列表:0任何tt:除出isms范m的正？1性fl!由的详细说明。其它信息6. 6开发isms方针活动开发初始的isms方针。为了为组织w供位息安全竹现的木观念，ismsmi足必须的。zmi文件也捉供一个点 阁声明，衍出组织承枳佶息安全耍求的！k任， 5.4活动的输出-收务耍求和倌息安全徭求： 5.4活动的输出-实施isms的u标： 5.4活动的输出-isms实施的项目计划（包括各个重要堺件，如执行风险评估、实 施、内部审核和饩理评审）。实施指南

53、定义isms"针的过程如f:a- ill战 p组织的业务®求和仏息安全況求的isms i it小。b.为实现ismsii标的一般焦点和ifilthe. 芩18收务粗求.法休法规耍求和合冋安个义务：d. 袱备组织和14睑竹现的坏境：e. 迖，uf价14险和记义风险lftt结构的准则：f. 的山仃:，以确保倌息安伞符押的迆：g. 获得宵理齐支持。从初始阶段jm理者批准所幵发的ismszz针疫能反映isms流程（ftllla险if佔）的结架。 馳 竹押.核淮的切始的isms打针包穴以卜内作：0 ismshfefll组织x4isms的衍示：0行又倍息安全的总方向和原则：0 14阶冰

54、佔巧虑的汛织的坏境和项h:0 14阶竹砰的风险结构if估汛則：0业务贽求： 0法怍或法規®求:0介同安全义务。其它倌息 29 -7进行业务分析7.1业务分析概要目标: 收® isms支持的相关盂求： 收集当前isms范w内的佶总安全状况 创让信息资产消单。 參芩 iso/iec 27001ik定竹刊.层批袱实施isms，并定义了 isms的范旧和isms的/针。定义支持isms的位以安全婪求35ffl5： 4k务分析阶段的慨粗通过4k务分折阶段所收犯的g息av:包捎：a. 力w理汽提供-个起（幵始）点（即le确的基本数据）：b. u!别沖记朵实施的条件：c. 提供-个淸晰的

55、并确认埋解的组织没施。d. 考虑组织的特殊环境及形势：e. ui别信息保护iiwfll的级别：f. 作所定义的丈施范im内.确定支持企处所®要的个部或部分f/j息。业务分析h以在个选记的部门范刚内进in （11至少应在所捉议的fn.q/£n理体系所 i义的范ih内i!hj。7. 2定义支持isms的信息安全要求飜让jzisms佶息安全要求。»a 6. 5活动的输出-isms的范ih和边界： 6.6活动的输出-isms方针： 5.4活动的输出-业务®求和位息安全嬰： 5.4活动的输出-文施isms的丨|标： is0/iec27001； is0/iec27002。实鲔指南从41么isms的ik务观点，分析相织的收务怙况和收识iw仿息.isms的im十mtihvrt:仆务分析阶段的弟一少进行收災.对r付一个仆务流r和w殊汀 芯耍根据（*息|r要性（比如：盂®保护的级別）而做出决定。i午多内部pu;«im能影响信 息安全.这苎内部w索bv加以i只别。在此阶段的初.作细描述仿息技水个足if:從的.对p业 务a枵和相关的rrw用及系统.輔一个所分析的饴息的w本槪耍.业齐流s的分析闹述了信息安全tt