2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。 

适用性声明statement of applicability 

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。 

注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。 

4 信息安全管理体系（ISMS） 

4.1 总要求 

组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型。 

4.2 建立和管理ISMS 

4.2.1 建立ISMS 

组织要做以下方面的工作： 

a) 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由（见1.2）。 

b) 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应： 

1) 包括设定目标的框架和建立信息安全工作的总方向和原则； 

2) 考虑业务和法律法规的要求，及合同中的安全义务； 

3) 在组织的战略性风险管理环境下，建立和保持ISMS； 

4) 建立风险评价的准则[见4.2.1 c]]； 

5) 获得管理者批准。 

注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。 

c) 确定组织的风险评估方法 

1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。 

2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。 

选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 

注：风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术 IT安全管理指南：IT安全管理技术》中描述了风险评估方法的例子。 

d) 识别风险 

1) 识别ISMS范围内的资产及其责任人2； 

2) 识别资产所面临的威胁； 

3) 识别可能被威胁利用的脆弱点； 

4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。 

e) 分析和评价风险 

1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。 

2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实

施的控制措施。 

3) 估计风险的级别。 

4) 确定风险是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处

理。 

f) 识别和评价风险处理的可选措施 

可能的措施包括： 

1) 采用适当的控制措施； 

2) 在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见4.2.1 c)2)]； 

3) 避免风险； 

4) 将相关业务风险转移到其他方，如：保险，供应商等。 

g) 为处理风险选择控制目标和控制措施 

控制目标和控制措施应加以选择和实施，以满足风险评估和风险处理过程中所识别的要求。这种选择应考虑接受风险的准则（见4.2.1c）2））以及法律法规和合同要求。 

从附录A中选择控制目标和控制措施应成为此过程的一部分，该过程适合于满足这些已识别的要求。 

附录A所列的控制目标和控制措施并不是所有的控制目标和控制措施，组织也可能需要选择另外的控制目标和控制措施。 

注：附录A包含了组织内一般要用到的全面的控制目标和控制措施的列表。本标准用户可将附录A作为选择控制措施的出发点，以确保不会遗漏重要的可选控制措施。 

h) 获得管理者对建议的残余风险的批准 

i) 获得管理者对实施和运行ISMS的授权 

j) 准备适用性声明（SoA） 

应从以下几方面准备适用性声明： 

1） 4.2.1 g）所选择的控制目标和控制措施，以及选择的理由； 

2） 当前实施的控制目标和控制措施（见4.2.1e）2））； 

3） 对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。 

 2/5   首页 上一页 1 2 3 4 5 下一页 尾页