− 安全要求和被管理系统的范围及复杂程度； 

注3：文件和记录可以采用任何形式或类型的介质。 

4.3.2 文件控制 

ISMS所要求的文件应予以保护和控制。应编制形成文件的程序，以规定以下方面所需的管理措施： 

a) 文件发布前得到批准，以确保文件是适当的； 

b) 必要时对文件进行评审、更新并再次批准； 

c) 确保文件的更改和现行修订状态得到标识； 

d) 确保在使用处可获得适用文件的相关版本； 

e) 确保文件保持清晰、易于识别； 

f) 确保文件对需要的人员可用，并依照文件适用的类别程序进行传输、贮存和最终销毁； 

g) 确保外来文件得到标识； 

h) 确保文件的分发得到控制； 

i) 防止作废文件的非预期使用； 

j) 若因任何目的而保留作废文件时，对这些文件进行适当的标识。 

4.3.3 记录控制 

记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。记录应加以保护和控制。ISMS的记录应考虑相关法律法规要求和合同义务。记录应保持清晰、易于识别和检索。记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成文件并实施。 

应保留4.2中列出的过程执行记录和所有发生的与ISMS有关的重大安全事件的记录。 

例如：记录包括访客登记薄、审核报告和已完成的访问授权单。 

5 管理职责 

5.1 管理承诺 

管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据： 

a) 制定ISMS方针； 

b) 确保ISMS目标和计划得以制定； 

c) 建立信息安全的角色和职责； 

d) 向组织传达满足信息安全目标、符合信息安全方针、履行法律责任和持续改进的重要性； 

e) 提供足够资源，以建立、实施、运行、监视、评审、保持和改进ISMS （见5.2.1）； 

f) 决定接受风险的准则和风险的可接受级别； 

g) 确保ISMS内部审核的执行（见第6章）； 

h) 实施ISMS的管理评审（见第7章）。 

5.2 资源管理 

5.2.1 资源提供 

组织应确定并提供所需的资源，以： 

a) 建立、实施、运行、监视、评审、保持和改进ISMS； 

b) 确保信息安全程序支持业务要求； 

c) 识别和满足法律法规要求、以及合同中的安全义务； 

d) 通过正确实施所有的控制措施保持适当的安全； 

e) 必要时，进行评审，并适当响应评审的结果； 

f) 在需要时，改进ISMS的有效性。 

5.2.2 培训、意识和能力 

组织应通过以下方式，确保所有分配有ISMS职责的人员具有执行所要求任务的能力： 

a) 确定从事影响ISMS工作的人员所必要的能力； 

b) 提供培训或采取其他措施（如聘用有能力的人员）以满足这些需求； 

c) 评价所采取的措施的有效性； 

d) 保持教育、培训、技能、经历和资格的记录（见4.3.3）。 

组织也要确保所有相关人员意识到其信息安全活动的适当性和重要性，以及如何为达到ISMS目标做出贡献。 

6 内部ISMS审核 

组织应按照计划的时间间隔进行内部ISMS审核，以确定其ISMS的控制目标、控制措施、过程和程序是否： 

a) 符合本标准和相关法律法规的要求； 

b) 符合已确定的信息安全要求； 

c) 得到有效地实施和保持； 

d) 按预期执行。 

应在考虑拟审核的过程与区域的状况和重要性以及以往审核的结果的情况下，制定审核方案。应确定审核的准则、范围、频次和方法。审核员的选择和审核的实施应确保审核过程的客观性和公正性。审核员不应审核自己的工作。 

策划和实施审核、报告结果和保持记录（见4.3.3）的职责和要求应在形成文件的程序中做出规定。 

负责受审区域的管理者应确保及时采取措施，以消除已发现的不符合及其产生的原因。跟踪活动应包括对所采取措施的验证和验证结果的报告（见第8章）。 

注：GB/T 19011-2003(《质量和(或)环境管理体系审核指南》),，也可为实施内部ISMS审核提供有用的指导。 

7 ISMS的管理评审 

 4/5   首页 上一页 2 3 4 5 下一页 尾页