GB∕T 31496-2015标准规范下载简介
GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南9.2设计组织的信息安全
9.2.1设计信息安全的最终组织结构
b)(续) 图7(续)
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出—ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面GB50229-2019 火力发电厂与变电站设计防火标准及条文说明.pdf,寻求构建相应组织结构和组织过程的设
有关信息安全的组织功能、角色和责任,宜紧密结合风险处置。 输入 a) 5.3.2(定义初步的ISMS范围的角色和责任)活动的输出一一角色和责任表; 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出 一ISMS的范围和 边界; 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出ISMS的方针策略; 7.2(定义ISMS过程的信息安全要求)活动的输出; e) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; g) 8.2(进行风险评估)活动的输出风险评估结果; h) 8.3(选择控制目标和控制措施)活动的输出; i) GB/T22081—2008。 指南 为了内部运行ISMS,宜适当依赖并集成已有的各个方面,寻求构建相应组织结构和组织过程的设
计。同样地,要把ISMS集成到更宽泛的已有管理结构(例如内部审核)之中,就宜考虑ISMS的设计 过程。 为ISMS所设计的组织结构,宜反映ISMS实施和运行的活动,并强调活动实施方法,例如监视和 记录方法,作为ISMS运行的一部分。 因此,ISMS运行结构宜基于规划的ISMS实施,通过考虑以下事宜来设计: a)ISMS实施的每一个角色,是否对ISMS的运行是必需的? b)所定义的角色,是否不同于ISMS实施的其他角色? c)宜为ISMS实施,增加什么角色? 例如,对于ISMS运行,可增加的角色有: a)负责每一个部门信息安全运行的人员; b)负责每一个部门ISMS测量的人员。 考虑附录B中概述的要点,可有助于通过修改ISMS实施的结构和角色来决定ISMS运行的结构 和角色。 输出 本活动的可交付项是一个文件,这个文件概述以下内容: 组织结构及其角色和责任。 其他信息 附录B—角色和责任的信息。 附录C—规划审核的信息。
9.2.2设计ISMS的文件框架
GB/T314962015/ISO/IEC27003.2010
9.2.3设计信息安全方针策略
对于ISMS的运行,宜建立有关信息安全目标的决策管理者和行政管理者战略定位的文件。 输入 5.2(阐明组织开发ISMS的优先级)活动的输出一概述的目标和要求清单; b)5.4(为了管理者的批准而创建业务案例和项目计划)活动的输出一一管理者对ISMS项目的 初始批准; c) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一一ISMS的范围和 边界; d) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一ISMS的方针策略; ? 7.2(定义ISMS过程的信息安全要求)活动的输出; f) 7.3(标识ISMS范围内的资产)活动的输出; g) 7.4(进行信息安全评估)活动的输出; h) 8.2(进行风险评估)活动的输出一一8.3(选择控制目标和控制措施)活动的风险评估输出的 结果; i)9.2.1(设计信息安全的最终组织结构)活动的输出; i)9.2.2(设计ISMS文件的框架)活动的输出:
GB/T314962015/ISO/IEC27003:2010
k)见GB/T22081—2008的5.1.1。 指南 信息安全方针策略记录了组织的战略定位,以及整个组织相关的信息安全目标。 该方针策略是基于信息和知识而拟定的。管理者在以前进行分析中所标识的事宜是非常重要的, 宜把它们作为证据,并在方针策略中予以强调,以便提供组织的动机和动力。要重点指出,如果不遵守 该方针策略将会发生什么。还宜强调影响组织解决问题的法律和法规。 可以参照参考文献、互联网以及行业协会等,给出一些信息安全方针策略的例子。可以依据年度报 告、其他方针策略文件或管理者支持的其他文件,配置并联想一些安全方针策略。 关于一个方针策略的实际篇幅,可能存在一些不同的说明和要求。方针策略宜简明要的给出,以 使有关人员能理解该方针策略的意图。此外,方针策略宜充分地凸现需要什么目标,以便强调相关的一 组规章和组织目标。 信息安全方针策略的篇幅和结构,宜支持下一阶段(引入信息安全管理体系过程)中所使用的文件 (参见附录D一一方针策略结构的信息)。 对于大型和复杂的组织(例如,拥有大量不同的运行域),可能有必要拟定一个总方针策略和一些运 作上经改编的基础性方针策略。 关于信息安全方针策略内容的指南见GB/T22081一2008的5.1.1。 所提议的方针策略(带版本号和日期)宜在组织内由运行管理人员进行反复核对和建立。运作管理 人员逐条批准管理小组或相关小组内所建立的方针策略,接之以对读者可访问和可理解的方式,在组织 内有关人员之间进行沟通。 输出 本活动的可交付项是信息安全方针策略文件。 其他信息 附录B一一角色和责任的信息。 附录D一方针策略结构的信息
9.2.4制定信息安全标准和规程
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一—适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
宜制定强调整个组织或者强调组织特定部分的信息安全标准和规程。 输入 a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一—ISMS的范围和 边界; b)6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出一—ISMS的方针策略; c) 8.2(进行风险评估)活动的输出; d)8.3(选择控制目标和控制措施)活动的输出; e) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一适用性声明,包括控制目标和已 选择的控制措施; f) 9.2.1(设计信息安全的最终组织结构)活动的输出; g) 9.2.2(设计ISMS文件的框架)活动的输出; h)9.2.3(设计信息安全方针策略)活动的输出; GB/T 22081—2008。 指南 为了给组织的信息安全工作提供一个基础,宜为那些需要知道的人员提供一些可用的信息安全标 准和一组适用的法律法规和规章的要求。
GB/T314962015/ISO/IEC27003:2010
由ISMS范围所覆盖的组织的各个不同部分的代表,宜参与制定标准和规程的过程。这些参与宜 有权威机构,并是组织的代表。例如,可包括以下角色: a)信息安全管理人员; b)物理安全的代表; c)信息系统责任人; d)战略域和运行域的过程责任人。 建议成立一个规模尽可能小的编辑组,选择一些指定的专家临时加人到该编辑组。每一个代表宜 积极地与各自的组织域保持联系,以便得到无缝的运行支持。这有助于以后在运行层面上有关规程和 例程内容的细化工作。 这样,安全标准和规程就宜作为设计详细的技术规程或操作规程的基础予以使用。 编制信息安全标准和规程的一种有用的途径是,基于风险评估结果,考虑GB/T22080一2008和 GB/T22081一2008的实现指导中那些真正可用的每一条款,并精确地描述宜如何应用之。 宜对现有的信息安全标准和规程的评价加以评审。例如,它们是否可以加以细化并开发之?或者 它们是否需要被完全取代? 宜向范围内的每一个人员,提供相关的最新文档。信息安全标准和规程宜适用于整个组织,或使它 们可清楚地表明所涉及的角色、系统和域。宣及时产生第一版本。 宜在早期阶段,定义信息安全标准和规程的修订和评审过程。因此,方针策略变更信息宜如何发 布,宜拟定一个战略。 输出 a) 本活动的可交付项是一个结构化、详细的实施计划,该计划是有关组织安全的控制,并作为最 终ISMS项目计划一部分,包括该信息安全标准集的一个文档化框架; b)涵盖组织基线的信息安全标准; c)实现信息安全标准的信息安全规程。 其他信息 附录D一方针策略结构的信息
9.3设计ICT安全和物理信息安全
宜为ICT和物理安全环境设计相应的控制措施。 输入 6.5(集成每一个范围和边界以获得ISMS的范围和边界)活动的输出一一ISMS的范围和 边界; b) 6.6(制定ISMS的方针策略和获得管理者的批准)活动的输出 ISMS的方针策略; c)7.2(定义ISMS过程的信息安全要求)活动的输出; d) 7.3(标识ISMS范围内的资产)活动的输出; 7.4(进行信息安全评估)活动的输出; f) 8.3(选择控制目标和控制措施)活动的输出; g) 8.4(获得管理者对实施和运行ISMS的授权)活动的输出一一适用性声明,包括控制目标和已 选择的控制措施; h) GB/T 22081—2008。 指南 在本活动中,宜为每一个控制措施建立如下文档,它们宜作为ISMS项目计划的一部分: a)负责实施一个控制措施的责任人姓名;
GB/T314962015/ISO/IEC27003.2010
b)要实施的那个控制措施的优先级; c)实施控制措施的任务或活动; d) 实施完该控制措施的时间陈述; e)控制措施一且完成,宜向谁报告; f)实施资源(人力、资源要求、空间要求、费用)。 最初,宜进行ICT安全和物理安全的概念设计。其中宜考虑以下事宜: 有关初始实施过程的责任,一般包括: a)控制目标的规格说明,其中要描述所期望的规划状态; b)资源的分配(工作量、财力资源); c)实施该控制措施的实际终结时间; d)要与ICT安全、物理安全和组织安全进行集成的可选措施。 在概念设计之后,宜像系统开发一样进行ICT安全和物理安全的实际设计,以便达到和实现组织 的最佳实践。其中宜考虑以下事宜: 有关实际实现过程的责任,包括: a)为工作运行的操作层面上,针对各ICT域、物理域和组织域,设计所选择的每一个控制措施; b)按所达成一致的设计,实例化每一个控制措施; c)为促进安全意识的控制及其培训课程,供给相应的规程和信息: d)在工作场所上,供给该控制措施的援助和实施。 ICT安全和物理信息安全的设计,依赖于ICT、物理、或组织方面控制措施的类型;清晰地切分实施 过程的初始部分和最后部分,可能并不总是适当或必需的。 控制措施的实施常常需要组织内若干个不同角色之间的合作。因此,例如往往需要承担系统责任 的人员来购置、安装和维护技术设施。而其他角色可能更适合于设计用来治理系统使用的规程,并形成 相应的文档。 信息安全宜被集成到组织范围内的规程和过程之中。如果对该组织的一部分或对第三方,证明实 施这一集成是困难的,那么相关方就宜立即就此进行沟通,以便能达成一个一致的解决方案。这一类型 问题的解决,包括修改规程和过程,重新分配角色和责任,并调整技术规程。 以下方面是实施ISMS控制措施的结果: a)实施计划,其中规约了控制措施的实施细节,例如进度,实施小组的结构等; b)实施结果的记录和文档。 输出 本活动的可交付项是,针对与ICT安全和物理安全有关的控制措施,给出一个结构化、详细的实施 计划,作为ISMS项目计划一部分的,其中对每一个控制,包括: a)详细的描述; b)设计和实施的责任; c)期望的时间; d)涉及的任务; e)要求的资源; f)责任关系(报告途径)。 其他信息 没有其他特定信息
9.4设计ISMS特定的信息安全
9.4.1管理评审的计划
GB/T31496—2015/ISO/IEC27003:2010
GB/T314962015/ISO/IEC27003:2010
附录E)。 输出 本活动输出的可交付项是一个文件,该文件概述了管理评审所需的计划,涉及的内容包括: a)执行ISMS管理评审所需的输入; b)涵盖审核、监视和测量方面的管理评审规程。 其他信息 附录B—信息安全的角色和责任。 附录C内部审核的信息。 附录E——建立监视和测量的信息
9.4.2设计信息安全意识、培训和教育方案
GB/T31496—2015/ISO/IEC27003:2010
9.5产生最终的ISMS项目计划
GB/T314962015/ISO/IEC27003:2010
附录B 资料性附录) 信息安全的角色和责任 本附录就组织内信息安全相关的角色和责任,提供了更多的指导。首先,从组织实施ISMS的视角 给出了角色。然后以表格的形式总结了这些信息,并提供了有关角色和责任的一般示例。
附录B (资料性附录) 信息安全的角色和责任
本附录就组织内信息安全相关的角 首先,从组织实施ISMS的视 出了角色。然后以表格的形式总结了这些 有关角色和责任的一般示例。
B.1信息安全委员会的角色
B.2信息安全规划团队的角色
该项目团队负责ISMS,在规划该项目时,宜得到其成员的帮助,因为他们对ISMS范围内的重要信 息资产有广泛的了解,并具有足够的知识来考虑如何处理这种信息。例如,当决定如何处理信息资产 时,ISMS范围内的各个部门之间,可能有不同的意见,因此,可能需要调整该计划的正面与负面的影 响。该项目团队需要充当跨部门边界的冲突调解者的角色。为了做到这一点,其成员需要具有经验丰 富的沟通技能和调解能力,以及高层次的安全知识。
组织在建立ISMS之前,宜选择完成上述职责的成员(如有可能,每个成员具有一个唯一的角色)。 然而,成员必须具有信息安全领域产泛的知识和经验,诸如“IT”、“行政管理决策”和“了解该组织”。组 织内负责指定运行的人员,可能最了解该指定领域。组织内的许多专业人员是某些特定领域的专家,在 SMS中应咨询他们,因为ISMS与这些特定领域相关。在这种专业技术与满足组织目标所需要的广泛 知识之间需要进行平衡,这也是很重要的。外部顾问能根据其对组织的宏观观点和其他类似场合的经 验,给出建议,即使他们通常不必具有关于组织特定的和运行的情况等详细信息的深度了解。上述示例 所使用的词语,诸如“信息安全委员会”和“信息安全规划组”,并不重要。但是宜理解每一个机构的职 能。理想情况下,宜有内部结构来协调组织的信息安全,与每一个技术部门紧密地沟通和合作
宜为每一个组织过程和专门的应用指定 人担当所谓的“信息资产责任人”,负责与该 的组织过程内数据处理有关的所有信息安全间题。例如,联系人或过程责任人,负责委派任务和处
被分配到该组织过程内的信息。 在风险分担、风险规避和风险保留的情况下,宜从组织的安全方面采取必要的措施。如果已经做出 了转移风险的决定,那么宜通过合同、保险协议和组织结构(诸如合伙企业和合资企业),来采取适当的 借施。 图B.1展示了一个建立ISMS的组织结构示例。后面给出的组织的主要角色和责任都基于此 示例
图B.1建立ISMS的组织结构例子
GB/T31496—2015/ISO/IEC27003.2010
表B.1信息安全角色和责任的示例清单
图D.1方针策略的层次
GB/T22080一2008要求组织具有ISMS方针和信息安全方针。然而,它没有规定这些方针策略之 间的任何特定关系。对于ISMS方针的要求见GB/T22080一2008的4.2.1。对于信息安全方针的指南 见GB/T22081一2008的5.1.1。这两类方针策略可作为同级方针策略来制定。ISMS方针可从属于信 息安全方针,或者信息安全方针可从属于ISMS方针。 方针策略的内容根据组织运行环境而定。特别是,当在方针框架内制定任何方针时,宜考虑以下 事项。 组织的目的和目标; b)为达到其目标所采用的战略; c)组织所采用的结构和过程:
d)与方针主题相关的目的和目标; e)与较高级方针策略有关的要求。 这些事项如图D.2所示。
d)与方针主题相关的目的和目标;
方针策略可具有以下结构
图D.2制定方针策略的输入
信息宜始终加以保护,而不管其以什么形式存在和如何进行共享、沟通或存储。 引言 信息能以多种形式存在。它能打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在 胶片上或用语言表述, 信息安全是保护信息免受各种威胁的损害,以确保业务持续性、业务风险最小化,以及投资回报和 业务机遇最大化。 范围 本方针支持组织的总安全方针。 本方针适用于组织的所有部门。
信息宜始终加以保护,而不管其以什么形式存在和如何进行共享、沟通或存储。 引言 信息能以多种形式存在。它能打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在 胶片上或用语言表述, 信息安全是保护信息免受各种威胁的损害,以确保业务持续性、业务风险最小化,以及投资回报和 业务机遇最大化。 范围 本方针支持组织的总安全方针。 本方针适用于组织的所有部门。
GB/T31496—2015/ISO/IEC27003.2010
1)要理解战略层面和运行层面的信息安全风险,并将其处理到组织可接受的程度; 2) 要保护客户信息、产品开发和市场计划的保密性; 3) 要保存账目记录的完整性; 4)公共Web服务和内部网络要满足特定的可用标准
18)数据保护和隐私方针策略。 所有这些方针策略支持: a)风险识别,通过提供控制措施基线的方式,可用于识别系统设计和实施上的差距; b)风险处置,通过支持对已识别的脆弱性和威胁的处置选项的识别的方式。 风险识别和风险处置都是在方针策略的“原则”部分所定义的过程中。详情参见“ISMS方针策 略”。
18)数据保护和隐私方针策略。 所有这些方针策略支持: a)风险识别,通过提供控制措施基线的方式,可用于识别系统设计和实施上的差距; b)风险处置,通过支持对已识别的脆弱性和威胁的处置选项的识别的方式。 风险识别和风险处置都是在方针策略的“原则”部分所定义的过程中。详情参见“ISMS方针策 略”。
ISMS特定要求的设计包括支持管理评审的ISMS安全监视和测量方案。 监视的设计 图E.1展示了监视过程的流程,
ISMS特定要求的设计包括支持管理评审的ISMS安全监视和测量方案 监视的设计 图E.1展示了监视过程的流程。
GB/T314962015/ISO/IEC27003.2010
准备和协调:识别需要监视的相关资产
图E.1监视过程的流程
GB/T31496—2015/ISO/IEC27003:2010
设计信息安全测量方案的概述
JLZJ-Y-GL-002-2020 北京市普通公路交通工程日常养护预算编制办法(试行)GB/T314962015/ISO/IEC27003.2010
GB/T31496—2015/ISO/IEC27003.2010
如果组织开发其自已的测量要点,那么这些要点必须作为设计阶段的一部分被文件化(详情见 GB/T31497一2015)。这个文件可以非常全面,并可不必由管理者签署,因为细节可能在实施时发生 变化。
面的有效性的测量:ISMS的PDCA过程和组织
在使用测量结果来评价ISMS、控制目标和控制措施的有效性时,管理者了解信息安全测量方案的 范围,这一点是最根本的。测量方案的负责人在信息安全测量方案发布之前,宜获得管理者对该范围的 批准。 注1:GB/T22080—2008中有关有效性测量的要求是:“测量控制措施或控制措施集”(见GB/T22080—2008的 4.2.2d)。 注2:GB/T22080一2008中有关ISMS有效性的要求仅是“整个ISMS有效性的评审”,而对“整个ISMS的测量”没 有要求(见GB/T22080—2008的0.2.2)。 实际执行测量时,可使用内部人员或外部人员,或两者相结合。在评价内部或外部资源时,组织的 规模、结构和文化都是要考虑的因素。小型和中等规模的公司相比大型组织而言,在使用外部支持时会 得到更多的益处。使用外部资源的结果也可能提供一个更有效的结果,这取决于组织文化。如果组织 习惯于内部审核,那么内部资源同样有效
GB/T314962015/ISO/IEC27003.2010
GB/T31496—2015/ISO/IEC27003:2010
GB/50348-2018_安全防范工程技术标准打印日期:2015年8月10日F009