ISO27001信息安全体系培训(条款A6-信息安全组织).pdf

ISO 27001信息安全体系培训
控制目标和控制措施
(条款A6-信息安全组织)
2009年 11月
董翼枫(dongyifeng78@)
条款A6
信息安全组织
-1-

目标:
在组织内管理信息安全。
应建立管理框架,以启动和控制组织范围内的信息安全的实施。
管理者应批准信息安全方针、指派安全角色以及协调和评审整个
组织安全的实施。
若需要,要在组织范围内建立专家信息安全建议库,并在组织内
可用。要发展与外部安全专家或组织(包括相关权威人士)的联
系,以便跟上行业趋势、跟踪标准和评估方法,并且当处理信息
安全事件时,提供合适的联络点。应鼓励采用多学科方法,解决
信息安全问题。
-2-

控制措施
管理者应通过清晰的说明、可证实的承诺、明确的信息安全职责
分配及确认,来积极支持组织内的安全。
-3-

实施指南
管理者应:
a) 确保信息安全目标得以识别,满足组织要求,并已被整合到相关过程中;
b) 制定、评审、批准信息安全方针;
c) 评审信息安全方针实施的有效性;
d) 为安全启动提供明确的方向和管理者明显的支持;
e) 为信息安全提供所需的资源;
f) 批准整个组织内信息安全专门的角色和职责分配;
g) 启动计划和程序来保持信息安全意识;
h) 确保整个组织内的信息安全控制措施的实施是相互协调的()。
管理者应识别对内外部专家的信息安全建议的需求,并在整个组织内评审
和协调专家建议结果。
根据组织的规模不同,这些职责可以由一个专门的管理协调小组或由一个
已存在的机构(例如董事会)承担。
-4-

控制措施
信息安全活动应由来自组织不同部门并具备相关角色和工作职责
的代表进行协调。
-5-

实施指南
典型的,信息安全协调应包括管理人员、用户、行政人员、应用设计人员
、审核员和安全专员,以及保险、法律、人力资源、IT或风险管理等领域
专家的协调和协作。这些活动应:
确保安全活动的实施与信息安全方针相一致;
确定如何处理不符合项;
核准信息安全的方法和过程,例如风险评估、信息分类;
识别重大的威胁变更和暴露于威胁下的信息和信息处理设施;
评估信息安全控制措施实施的充分性和协调性;
有效地促进整个组织内的信息安全教育、培训和意识;
评价在信息安全事件的监视和评审中获得的信息,推荐适当的措施响应识别的信息安
全事件。
如果组织没有使用一个独立的跨部门的小组,例如因为这样的小组对组织
规模来说是不适当的,那么上面描述的措施应由其它合适的管理机构或单
独管理人员实施。
-6-

控制措施
所有的信息安全职责应予以清晰地定义。
-7-

实施指南
信息安全职责的分配应和信息安全方针(见A5)相一致。各个资产的保护
和执行特定安全过程的职责应被清晰的识别。这些职责应在必要时加以补
充,来为特定地点和信息处理设施提供更详细的指南。资产保护和执行特
定安全过程(诸如业务连续性计划)的局部职责应予以清晰地定义。
分配有安全职责的人员可以将安全任务委托给其他人员。尽管如此,他们
仍然负有责任,并且他们应能够确定任何被委托的任务是否已被正确地执
行。
个人负责的领域要予以清晰地规定;特别是,应进行下列工作:
与每个特殊系统相关的资产和安全过程应予以识别并清晰地定义;
应分配每一资产或安全过程的实体职责,并且该职责的细节应形成文件()
;
授权级别应清晰地予以定义,并形成文件。
-8-

控制措施
新信息处理设施应定义和实施一个管理授权过程。
实施指南
授权过程应考虑下列指南:
新设施要有适当的用户管理授权,以批准其用途和使用;还要获得负责维护本地系统
安全环境的管理人员授权,以确保所有相关的安全方针策略和要求得到满足;
若需要,硬件和软件应进行检查,以确保它们与其他系统组件兼容;
使用个人或私有信息处理设施(例如便携式电脑、家用电脑或手持设备)处理业务信
息,可能引起新的脆弱性,因此应识别和实施必要的控制措施。
-9-