1、ICS 35.040 L 80 自昌中华人民共和国国家标准GB/T 31496-2015月SO/IEC27003: 20 1 0 a 信息技术安全技术信息安全管理体系实施指南Infonnation technology-Security techniques一Information securitymanagement system implementation guidance (lSO/IEC 27003: 2010 , IDT) 2015-05圄15发布2016-01-01实施?三中华人民共和国国家质量监督检验检菇总局也td地F中国国家标准化管理委员会。叩中华人民共和国国家标准信息技术安
2、全技术倍息安全管理体系实施指南GB/T 31496-2015/ISO/IEC 27003 :2010 * 中国标准出版社出版发行北京市鞠阳区和平墨西街甲2号(100029)北京市西城区三里河北街16号(10004日网址总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X1230 1/16 印张3.5字数100千字2015年6月第一版2015年6月第一次印刷* 书号:155066 1-51118定价48.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68
3、510107a GB/T 31496-20 15/ISO/IEC 2700312010 目次前言. . . . . . m 引言. . . . . . N 1 范围. 2 规范性引用文件. 3 术语和定义. . 4 本标准的结构4.1 章条的总结构4.2 每章的一般结构4.3 图表. . . . . . 3 5 获得管理者对启动ISMS项目的批准. . . 4 5.1 获得管理者对启动ISMS项目的批准的概要. . . 4 5.2 阐明组织开发ISMS的优先级. 5.3 定义初步的ISMS范围. . 7 5.3.1 制定初步的ISMS范围. 5.3.2 定义初步的ISMS范围内的角色和责任.
4、. . . 8 5.4 为了管理者的批准而创建业务案例和项目计划. . . 8 6 定义ISMS范围、边界和ISMS方针策略.10 6.1 定义ISMS范围、边界和ISMS方针策略的概述 . . 10 6.2 定义组织的范围和边界. . . . 11 6.3 定义信息通信技术(lCT)的范围和边界. . . 12 6.4 定义物理范围和边界. . . . . 13 6.5 集成每一个范围和边界以获得ISMS的范围和边界. . . 14 6.6 制定ISMS方针策略和获得管理者的批准. . . 14 7 进行信息安全要求分析. . . . 15 7.1 进行信息安全要求分析的概述. 7.2 定义
5、ISMS过程的信息安全要求. . . . 17 7.3 标识ISMS范围内的资产7.4 进行信息安全评估. . . 18 8 进行风险评估和规划风险处置. . . . 19 8.1 进行风险评估和规划风险处置的概述. . . . 19 8.2 进行风险评估. . . . . 21 8.3 选择控制目标和控制措施. 8.4 获得管理者对实施和运行ISMS的授权. . 22 9 设计ISMS. . . . . . 23 9.1 设计ISMS的概述. . 23 9.2 设计组织的信息安全. . . . 25 GB/T 31496-20 15/ISO/IEC 27003:2010 9.2.1 设计信息
6、安全的最终组织结构. . . . . 25 9.2.2 设计ISMS的文件框架. . . 26 9.2.3 设计信息安全方针策略. . . . 27 9.2.4 制定信息安全标准和规程. . . . 28 9.3 设计ICT安全和物理信息安全 . . 29 9.4 设计ISMS特定的信息安全. . . . . 31 9.4.1 管理评审的计划. . . . 31 9.4.2 设计信息安全意识、培训和教育方案9.5 产生最终的ISMS项目计划. . . 33 附录A(资料性附录检查表的描述. . . . . . . . . . . . 34 附录B(资料性附录)信息安全的角色和责任. . . .
7、 37 附录C(资料性附录有关内部审核的信息. . 40 附录D(资料性附录方针策略的结构. . 41 附录E(资料性附录监视和测量. . . . 45 参考文献. . . . 49 n GB/T 31496-2015/ISO/IEC 27003:2010 前言本标准按照GB/T1.1-2009给出的规则起草。本标准使用翻译法等同采用ISO/IEC27003,2010时间计划GB/T 31496-20 15/ISO/IEC 27003: 20 1 0 输入输入描述了起点,例如,存在的文档化决定,或描述在本标准中其他活动的输出。输人可能或者引自相关章节所陈述活动的完整输出,或者引自指该引用章节之
8、后可能添加活动的特定信息。指南指南提供了使这一活动能够得以执行的详细信息。有些指南可能不适合所有情况,获得结果的其他方式也许更加适合。输出输出描述了活动完成后的结果或可交付项,例如一个文挡。不论组织的规模或ISMS范围的大小,其活动完成后的结果或可交付项统称为输出。其他信息其他信息提供了可能有助于执行该活动的任何补充信息,例如,对其他标准的引用.本标准描述的阶段和活动包括了基于相互依辙关系而建议的执行活动的顺序,这些相互依赖关系通过每个活动的输入和输出的描述来识别。然而,组织可按所需要的任何次序来选择活动,以便为ISMS的建立和实施做准备,这取决于很多不同的因素例如,目前到位的管理体系的有效性
9、、对信息安全重要性的理解和实施ISMS的原因。4.3 固表定义一个组织的ISMS项目,通常以固的形式概要给出相应的活动及其输出。图2概要给出了每一阶段条款的示意圈,示意图对每一阶段中所包含的活动进行了高度慨括。a)图示出一个ISMS项目的规划阶段,其中强调了特定章节中所解释的阶段及其关键的输出文件。b)图(阶段的活动包括a)圈中所强调的阶段包含的关键活动和每一个活动的主要输出文件。b)圈中的时间段基于a)团中的时间段。活动A和活动B可能同时执行.活动C宜在活动A和活动B完成后开始。ISMS项目规划的各阶段|阶段.)阳y)阶段.) 产飞产一飞时间计划a) 固2流程示意圈圈例3 G/T 31496
10、-2015/皿,C27003:2010 一个阶段的活动|活动|文件飞|文件飞动.)活动c) |文件飞|蝉飞|文件飞|文件飞时间计划b) 圄2(续5 获得管理者对启动ISMS项目的批准5.1 黯得管理者对启动脑MS项目的批准的概要当决定实施ISMS时,宜考虑若干因素。为了强调这些因素,管理者宜了解ISMS实施项目的业务案例并批准它。因此该阶段的目标是E目标z通过定义业务案例和项目计划来获得管理者对启动ISMS项目的批准。为了获得管理者的批准,组织宜创建业务案例。该业务案例除了包括实施ISMS的组织结构之外,还包括实施一个ISMS的优先级和目标。组织还宜创建初步的ISMS项目计划。这一阶段所执行的
11、工作将使组织能够了解ISMS的相关事宜,并使组织能够阐明白MS项目所需要的组织内信息安全角色和责任。这一阶段的预期输出是,就ISMS的实施以及执行本标准所描述的活动,获得管理者的初步批准和承诺。本章的可交付项包括业务案例和一个具有关键里程碑的ISMS项目计划草案。图3示出获得管理者对启动ISMS项目的批准过程。第5章的输出(对计划和实施一个ISMS的文档化管理承诺和第7章的输出信息安全状况的概述文档),它们并不是GB/T22080-2008的要求。但是,建议这些活动的输出作为本标准所描述的其他活动的输入。GB/T 31496-20 15/ISO/IEC 27003: 20 10 |时间计划a)
12、 阐二|阴阳|叶飞一一一议一一一一建一-Mme=同同-一割=睛一一务=M一-也应-guim-时间计划b) 固3摸得管理者对启动ISMS项目的批准的梅览5.2 阎明组织开发ISMS的优先组活动在考虑组织的信息安全优先级和要求时,宜将实施ISMS的目的一并考虑。5 GB/T 31496-20 15/ISO/IEC 27003:2010 输入a) 组织的战略目标Fb) 现有管理体系极要F。可用于组织的法律法规、规章和合同上的信息安全要求清单.指南启动ISMS项目,通常需要管理者的批准。因此,宜执行的第一个活动是收集那些对组织可显示ISMS价值的相关信息.组织宜阐明需要ISMS的原因,并决定ISMS实
13、施的目标,启动ISMS项目。实施ISMS的目标可通过回答以下问题来决定za) 风险管理一-ISMS如何产生更好地管理信息安全风险?b) 效率一ISMS如何能改进信息安全的管理?c) 业务优势-ISMS如何能为组织创造竞争优势?为回答上述问题,尽可能通过以下因素来阐明组织的安全优先级和要求zd 关键的业务域和组织域z1) 关键业务域和关键组织域是什么?2) 组织哪些域提供该业务以及关注什么?3) 有什么第三方关系及其协议?的是否有外包服务?b) 敏感信息或有价值的信息=1) 什么信息对组织是至关重要的?2) 如果某些信息被泄露给未授权方,可能产生什么后果例如,失去竞争优势、损害晶牌或名誉、引起法
14、律诉讼等)?。对信息安全测量有要求的相关法律s1) 什么法律适用于组织的风险处置或信息安全?2) 组织是否是必须对外进行财务报告的公众性全球性组织的一部分?d) 与信息安全有关的合同协议或组织协议z。对数据存储的要求包括保留期限是什么?别是否有任何与隐私或质量有关的合同要求例如,服务级别协议一-SLA)?e) 规定特定信息安全控制措施的行业要求z1) 有哪些行业特定的要求适用于组织?f) 威胁环境z1) 需要什么类型的保护,及需要应对哪些威胁?2) 需要保护的信息的特定类别是什么?的需要保护的信息活动的特定类型是什么?g) 竞争动力z。对倍息安全的最小化市场要求是什么?2) 哪些另外的信息安全
15、控制措施可为组织提供竞争优势?h) 业务持续性要求z1) 关键业务过程是什么?2) 对每个关键业务过程而言,组织能够容忍其中断的时间是多长?通过回答上述问题,可以确定初步的ISMS范围。并且这对创建要得到管理者批准的业务案例和实施ISMS的计划是需要的。详细的ISMS范围将在ISMS项目期间予以定义。GB/T 31496-2015/ISO/IEC 27003:2010 GB/T 22080-2008 4.2.1 a)中所提及的要求,从业务、组织、位置、资产和技术等方面特点,据要描述了范围。以上所产生的信息支持ISMS范围的确定。在做出ISMS范围的初步决定时,宜考虑一些主题,具体包括2a) 组
16、织管理者对建立信息安全管理的指示及外部对组织的强制性义务是什么?b)建议的范围内系统的责任是否由不止一个管理团队例如,不同的分支机构或不同的部门承担?c) ISMS相关文档在整个组织如何流通例如,通过纸质文件或者通过公司内联网)?d) 当前的管理体系是否能支持组织的需求?是否得到充分运行、良好维护且如预期般发挥作用?管理者目标可作为确定ISMS韧步植围的输入,举例如下=输出a) 促进业务持续性和灾难恢复,b) 提高事件恢复的能力,c) 解决法律/合同的符合性/义务,d) 使能够我得其他ISO/IEC栋准的认证se) 使组织能够发展和占据优势地位,f) 降低安全控制措施的戚本;g) 保护具有战略
17、价值的资产sh) 建立一个健康的、有效的内部控制环境,i) 向利益相关方保证信息资产获得适当保护。本活动的可交付项是Ea) 概述ISMS的目标、信息安全优先级和组织要求的文档,b) 与组织的信息安全相关的法律法规、规章、合同和行业的要求清单Fd 业务、组织、位置、资产和技术等方面的概要特征。其他铺息ISO/IEC 9001:2008 , ISO/IEC 14001: 2004 , ISO/IEC 20000-1: 2005. 5.3 定义初步的ISMS范围5.3.1 制定初步的困MS范围活动为实现ISMS的目标,宜定义初步的ISMS范围。输入5.2(阐明组织开发ISMS的优先级)活动的输出。指
18、南为了执行ISMS实施项目,宜定义组织实施ISMS的结构。现在宜定义初步的ISMS范围,以便给管理者提供实施决策指南,以及支持进一步的活动。初步的ISMS范围对于创建业务案例和建议的项目计划以获得管理者的批准而言,是必需的。本阶段的输出是一份定义初步ISMS范围的文挡,内容包括za) 组织的管理者对信息安全管理的指示概述,以及外部施加于组织的义务gb) ISMS范围内的区域如何与其他管理体系交互的描述FO 信息安全管理的业务目标清单见5.2), d) ISMS将被应用的关键业务过程、系统、信息资产、组织结构和地理位置的清单z7 GB/T 31496-2015/ISO/mC 27003 1201
19、0 e) 现有管理体系、规章、符合性和组织目标之间的关系,f) 业务、组织、位置、资产和技术等方面的特点。宜识别现有管理体系与被提议的ISMS的过程阔的共同要素和运行差异。输出可交付项是一份描述初步的ISMS范围的文挡。其他信息无其他特定信息。注,宜特别注意的是,不论组织内已有的管理体系如何,都要满足GB/T22080-2008关于ISMS范围的认证特定文件的要求。5.3.2 定义初步的ISMS范围内的角色和责任活动宜定义初步的ISMS范围的全部角色和责任.输入a) 5.3.1(制定初步的ISMS范围活动的输出sb) 将从ISMS项目结果获益的利益相关方清单。指南为了执行ISMS项目,宜确定组
20、织在该项目中的角色。因为每个组织中处理信息安全的人数不同,所以一般来说,每个组织的角色通常也不同。信息安全的组织结构和资源随着组织的规模、类型和组织结构的变化而变化。例如,在小型组织中,若干角色可由同一个人担任。然而,管理者宜明确识别负责整个信息安全管理的角色(典型的是首席信息安全宫、信息安全管理者或类似的。宜基于工作岗位所需要的技能来分配员工的角色和责任。这对于确保任务被有效地和有力地完成至关重要。在定义倍息安全管理角色时,最重要的考虑事项是ta) 该任务的总体责任由管理者承担;b) 指定一个人通常是首席信息安全官来促进和协调信息安全过程E。每个员工对其最韧任务与维护工作场所和组织中的信息安
21、全负有同等责任。管理信息安全的角色宜a起工作z这司通过诸如信息安全论坛或类似机构来促进。在制定、实施、运行和维护ISMS的所有阶段,宜与适当的业务专家进行协作q已确定范围内(诸如风险管理各部门代表是潜在的ISMS实施组成员。为快速、有效地使用资源,该组宜保持最小的实际规模.这些区域不仅有ISMS范围所直接包含的部门,还有间接包含的部门,诸如法律部门、风险管理部门和行政管理部门。输出可交付项是一个描述角色和责任的文档或表格,带有对于成功实施ISMS所需要的名称和组织,其他信息附录B提供了组织成功实施ISMS所需要的角色和责任的详细情况。5.4 为了管理者的批准而创建业务靠倒和项目计划活动宜通过创
22、建业务案例和ISMS项目建议,来获得管理者对ISMS实施项目所需资源的批准和承诺.输入a) 5.2(阐明组织开发ISMS的优先级)活动的输出,b) 5.3(定义初步的ISMS范围活动的输出一一已形成的文档z初步的8 GB/T 31496-20 15/ISO/IEC 27003:2010 1) ISMS范围,2) 相关的角色和责任。指南关于业务案例和初始ISMS项目计划的信息宜包括己估算的时间计划、资摞,以及本标准第6章第9章所述的主要活动所需要的里程碑,业务案例和初始的ISMS项目计划不仅是诙项目的基础,而且也确保管理者对ISMS实施所需资源的承诺和批准。已实施的ISMS支持业务目标的方式,促
23、进了组织过程的有效性,提高了业务效率。实施ISMS的业务案例宜包括与组织目标有联系的简短声明,并涵盖以下主题za) 目的和特定目标Fb)组织的利益50 初步的ISMS范围,包括受影响的业务过程sd) 实现ISMS目标的关键过程&因素ze) 高层级项目概耍,。初始的实施计划pg) 已定义的角色和责任sh) 需要的资摞包括技术和人员两方面)I i) 实施考虑事项,包括现有的信息安全Fj) 带有关键里程碑的时间计划Fk) 预期的戚本F1) 关键的成功因素sm)组织利益的量化。项目计划宜包括第6章第9章所述的各个阶段的相关活动。影响ISMS或受ISMS影响的个人宜进行识别,并允许其有充分的时间对ISM
24、S业务案例和ISMS项目建议进行评审和提出意见。业务案例和ISMS项目建议宜在得到输入后按需更新。一旦获得足够的支持,宜将业务案例和ISMS项目建议呈送管理者以获得其批准。管理者宜批准业务案例和初始的项目计划,以实现整个组织的承诺并开始执行ISMS项目。从管理者承诺实施ISMS便可获得的期望利益是Ea) 由于知悉相关法律法规、规章、合用义务和信息安全标准,并加以实施,从而避免了不遵从的负债和处罚,b) 信息安全多个过程的有效使用,c) 通过信息安全风险的更好管理,提高了稳定性和信心,d) 关键业务信息的识别和保护。输出本活动的可交付项是za) 一份管理者批准的以分配的资摞执行ISMS项目的文挡
25、sb) 一份业务案例文档sc) 初始的ISMS项目建议,具有执行风险评估、实施、内部审核和管理评审等里程碑。其他信息G/T 22080二2008中支持ISMS业务案例的关键成功因素的例子。9 GB/T 31496-20 15/ISO/IEC 27003 12010 6 定义ISMS蔬固、边界和自MS方针策略6.1 定义ISMS范固、边界和ISMS方针策略的翻越管理者对实施ISMS的批准是基于初步的ISMS范围、ISMS业务案例和初始的项目计划。ISMS的范围和边界的详细定义、ISMS方针策略的定义及管理者的认可与支持,是成功实施ISMS的关键因素。图4给出了定义ISMS范围、边界和ISMS方针
26、策略的概述。因此,本阶段的目标是z目标z定义详细的ISMS范国和边界、制定ISMS方针策略,并获得管理者的赞同。见GB/T220802008的4.2.1a)和4.2.1b) 为了实现定义详细的ISMS范围和边界的目标,有必要进行以下活动za) 定义组织的拖围和边界zb) 定义信息通信技术(ICT)的范围和边界FO 定义物理范围和边界,d) 确定GB/T220802008的4.2.1a)和4.2.1b)中所规约的范围和边界内业务、组织、位置、资产和技术方面的特征,并确定在定义这些范围和边界过程中的方针策略ze) 集成这些基础性的范围和边界,以获得ISMS的范围和边界。为了完成ISMS方针策略的定
27、义并获得管理者的认可,必须进行一个活动。为了在组织中构建一个有效的管理体系,宜通过考虑组织的关键信息资产来确定详锢的ISMS范围。为了标识信息资产和评估可行的安全机制,使有共同的术语和系统化方法是非常重要的。这使得在所有实施阶段中容易沟通,培养一致的理解。确保关键的组织域被包含在该范围之内,也是很重要的。可以把整个组织定义为ISMS的范围,或者把组织的一部分,诸如一个部门或一个边界清楚的组织元素,定义为ISMS的范围。例如,在为顾客提供服务的情况下,ISMS的范围可以是某种服务,或者是跨越职能的管理体系(整个部门或部门的部分。对于认证而言,不管现有的管理体系在组织内情况如何,均宜满足GB/T2
28、2080 2008的要求。定义组织的范围和边界、ICT范围和边界(6.3)以及物理范围和边界(6.的,并不总是按一定顾序来完成之。然而,在定义其他范围和边界时,可参照已经获得的范围和边界。10 |服国飞|飞a) |时同计划圄4定义ISMS范圄、边界和ISMS方针策略的概述GB/T 31496-2015/ISO/IEC 27003:2010 |制界飞h酬|黯国飞|据国飞|飞时间计划b) 圄4(续6.2 定义组织的范困和边界活动宜定义组织的范围和边界。输入a) 5.3(定义初步的ISMS范围)活动的输出一一文档化的初步的ISMS范围,它涉及E1) 现有的管理体系、规章、符合性和组织目标之间的关系z
29、2) 业务、组织、位置、资产和技术等方面的特征。b) 5.2(阐明组织开发ISMS的优先级活动的输出一一管理者有关实施ISMS并开始该项目的GB/T 31496-20 15/ISO/IEC 27003:2010 批准文件,其中包含所分配的必需资源。指南实施ISMS的工作量取决于其应用范围的大小.这也影响到与维护ISMS范围内各客体(诸如过程、物理位置、IT系统和人员)的信息安全有关的所有活动,包括实施和维护控制措施、管理运行和诸如识别信息资产和评估风险等任务。如果管理者决定把组织的某些部分从ISMS的范围中排除出去,那么宜把这样做的理由写成文件,在定义ISMS的范围时,重要的是对于那些未包含于
30、定义中的人,可以把ISMS边界解释得非常清楚.一些与信息安全有关的控制措施,可能已经作为其他管理体系的结果而存在.在规划ISMS时,宜考虑这些控制措施,但不必指出当前的ISMS范围的边界。一个定义组织边界的方法是,标识那些相互不重叠的责任域,以便易于赋予组织内的可核查性。直接与信息资产相关的责任或直接与ISMS范围内所包括的业务过程相关的责任,宜选作为处于ISMS控制下的组织的一部分.当定义组织的边界时,宜考虑以下因素=a) ISMS管理论坛宜由ISMS范围所直接静及的管理人员组成pb) ISMS的管理成员,宜是最终负责所有受影响的责任域的人员即,他们的角色通常由其所跨越的控制措施和责任指定的
31、); c) 在负责管理ISMS的角色不是高层管理者的情况下,高层发起人基本代表对信息安全的利益,并在组织的最高层起到ISMS倡导者的作用,d) 范围和边界需要予以定义,以确保考虑了风险评估中所有相关的资产,确保强调了可能发生于这些边界上的风险。基于这一途径,所分析的组织边界宜标识受ISMS影响的所有人员,他们宜包含在ISMS范围内。人员的标识,可能依赖于所选择途径,可能关联到过程和功能。如果该范围内的某些过程外包给第兰方,那么这些依赖就宜清楚地写人相应的文档之中。在ISMS实施项目中,这样的依般以后还要做进一步分析。输出本活动的可交付项是za) 组织的ISMS边界的描述,包括被排除在ISMS范
32、围之外组织任何部分的正当理由FM 在ISMS范围内那些组织各部分的功能和结构s。在该范围内交换的信息和通过边界交换的信息的标识Fd) 在该范围之内和范围之外的信息资产的组织过程和责任Fd 有关做出层次化决策的过程,及其在ISMS内的结构。其他信息没有其他特定信息.6.3 定义信息通信技术(lC凹的范围和边界活动宜定义ISMS所覆盖的信息通信技术(ICT)元索和其他技术项的范围和边界。输入a) 5.3(定义初步的ISMS范围)活动的输出一一初步的ISMS范围的文件Fb) 6.2(定义组织的范围和边界活动的输出。12 GB/T 31496-2015/1因O/IEC27003: 20 1 0 指南I
33、CT范围和边界的定义可通过一种信息系统的途径来获得(而不是基于IT技术。一且管理者决定把信息系统的业务过程归入ISMS范围,那么还宜考虑所有相关的ICT元素。这包括存储、处理或传输关键信息、资产的组织的所有部分,或者包括范围内对这些组织部分是至关重要的其他元素.信息系统可能跨越组织边界或国家边界。在这种情况下,宜考虑以下事宜za) 社会与文化的环境sb) 适用于组织的法律法规、规章和合同的要求,c) 关键责任的可核查性gd) 技术约束例如,可用的带宽和服务的可用性等通过以上考虑,ICT边界宜包括以下事宜的描述在适用时)I a) 组织负责管理的通信基础设施,其中包括采用各种不同的技术(例如无线网
34、络、有线网络或数据/语音网络)I b) 组织使用和控制的组织边界内的软件Fc) 网络、应用或生产系统所需要的ICT硬件Fd) 有关ICT硬件、网络和软件的角色和责任。如果上述任何一个或多个事宜不由组织控制,那么就宜建立第三方依赖关系的文档,见6.2的指南。输出本活动的可交付项是za) 在范围内交换的信息和跨越边界交换的信息sb) ISMS的ICT边界,包括对任何被排除在ISMS范围之外、但在组织管理之下的ICT,给出正当性理由pc) 信息系统和电子通讯网络,描述什么系统在范围内,并描述对这些系统的角色和责任。对范围之外的系统宜给出筒要概述。其他信息没有其他特定信息。6.4 定义物理范固和边界活
35、动宜定义由ISMS所覆盖的物理范围和边界。输入a) 5.3 (定义初步的ISMS范围活动的输出一-ISMS韧始范围文件,b) 6.2 (定义组织的范围和边界活动的输出pc) 6.3 (定义信息通信技术(lCT)的范围和边界活动的输出。指南物理范围和边界的定义,包括标识组织宜属于ISMS的各部门内的建筑物、位置或设施。对于跨越物理边缘的信息系统的处理,这就更复杂一些,因为这样的系统需要za) 远程设施,b) 与客户信息系统的接口以及与第三方服务商所提供服务的接口$0 适用的适当接口和服务水准.基于上述考虑,物理边界宜包括以下描述在适用时h13 GB/T 31496-20 15/ISO/IEC 2
36、7003 ,2010 a) 描述功能或过程,其中考虑了它们的物理位置以及组织控制它们的范围sb) 基于ICT边界的覆盖范围,描述用于储存/容纳ICT硬件或范围内数据的特殊设施。如果上述描述的任何事物不受组织控制,那么就宜形成第三方依赖关系文档.见6.2的指南输出本活动的可交付项是za) ISMS物理边界的描述,包括对排除在ISMS范围之外的组织管理之下、又被排除在物理边界之外的任何过程和功能以及设备,给出正当性理由自b) 与该范围有关的组织及其地理特征的描述。其他信息没有其他特定信息。6.5 集成每一个范围和边界以获得因峭的范围和边界活动宜通过集成每一个范围和边界来获得ISMS的范围和边界。输
37、入a) 5.3(定义韧步的ISMS范围活动的输出一一一初步的ISMS范围的文件sb) 6.2 (定义组织的范围和边界活动的输出自c) 6.3(定义信息通信技术(lCT)的范围和边界活动的输出sd) 6.4(定义物理范围和边界)活动的输出.指南可以采用很多方式来描述ISMS的范围并证明其正当性。例如,可以选择请如数据中心或办公室的物理位置,并列出一些关键过程s其中每一个关键过程均静及一些之外的域,而该数据中心就可使这些之外的域成为范围之内的域.这样的关键过程,例如就可以移动访问一个中心信息系统。输出本活动的可交付项是描述ISMS范围和边界的文件,包含以下信息za) 组织的关键特征其功能、结构、服
38、务、资产以及每项资产责任的范围和边界); b) 范围内的组织过程,c) 范围内设备和网络的配置sd) 范围内信息资产的初步清单,的范围内ICT资产(例如服务器清单Ff) 范围内各场所位置图,该回指出ISMS的物理边界gg) ISMS范围内的角色和责任的描述及其它们之间的关系和组织结构zh) 任何被排除在ISMS范围之外的东西的详细说明及其正当理由.其他信息没有其他特定信息。6.6 制定ISMS方针策略和摸得管理者的批准活动宜制定ISMS方针策略并获得管理者的批准。输入a) 6.5(集成每一个范围和边界以获得ISMS的范围和边界活动的输出一-ISMS的范围和边界14 GB/T 31496-20 15/ISO/皿C27003:2010 的文件zb) 5.2(阐明组织开发ISMS的优先级活动的输出一一实施ISMS的目标的文件Ec) 5.4(为了管理者的批准而创建业务案例和项目计划活动的输出一一以下事宜的文件z。组织的要求和信息安全优先级,2) 初始的ISMS实施项目计划,里面有里程碑,诸如执行风险评估、实施、内部审核和管理评审。指南在定义ISMS方针策略时,宜考虑以下方面za) 基于组织的要求和信息安全优先级,建立ISMS目标Fb) 为达到