ISO_IEC_27003:2017資訊安全管理體系中文解讀

0x00 前言

ISO（國際标準化組織）和 IEC（國際電工委員會）形成了全球标準化專業系統。作為 ISO 或 IEC 成員的國家機構通過由各自組織設立的技術委員會來參與國際标準的制定，以處理特定的技術活動領域。ISO 和 IEC 技術委員會在共同關心的領域進行合作。其他國際組織、政府和非政府組織，通過聯絡 ISO 和 IEC也參加了這項工作。在資訊技術領域，ISO 和 IEC 建立了聯合技術委員會 ISO/IECJTC 1。

用于開發本檔案的程式和用于進一步維護的程式在ISO/IEC準則第1部分中有所描述。特别是應注意不同類型檔案所需的不同準許标準。本檔案是根據ISO/IEC 準則第 2 部分的編輯規則（見 www.iso.org/directives）起草的。

請注意本檔案的某些内容可能是專利權的主題的可能性。ISO 和 IEC 不負責确定任何或所有這些專利權。在檔案開發過程中确定的任何專利權利的細節将在引用和/或 ISO 所收到的專利聲明清單中（見 www.iso.org/patents）。

本文檔中使用的任何商品名稱是為了友善使用者而提供的資訊，不構成背書。

對于标準的自願性質的解釋、與合格評定有關的 ISO 特定術語和表達的含義、以及關于 ISO 在技術性貿易壁壘（TBT）中遵守世界貿易組織（WTO）原則的資訊，請參閱以下 URL：www.iso.org/iso/foreword.html。負責本檔案的委員會是 ISO/IEC JTC 1 資訊技術，小組委員會 SC 27 IT 安全技術。

本第二版的 ISO/IEC 27003 取消并取代第二版（ISO/IEC 27003：2010），這是一個較小的修訂。

相比以前的版本，主要的變化如下：

— 範圍和标題已經改為涵蓋 ISO/IEC 27001：2013 的要求的解釋和指南，而不是以前的版本（iso / iec 27001：2005）；

— 結構現在與 ISO/IEC 27001:2013 的結構一緻，使使用者更容易與 ISO/IEC27001:2013 一起使用；

— 之前的版本有一個帶有活動順序的項目方法。這個版本反而提供對要求的指南，而不考慮它們實作的順序

0x01 引言

本檔案就 ISO/IEC 27001 中規定的資訊安全管理體系（ISMS）的要求提供指南，并提供有關它們的建議（“should”）、可能性（“can”）和許可（“may”）。本文檔的意圖不是要提供關于資訊安全所有方面的通用指南。

本檔案的第 4 至 10 章映射了 ISO/IEC 27001：2013 的結構。本檔案不增加對 ISMS 及其相關術語和定義的新要求。有關要求和定義，組織宜參考 ISO/IEC 27001 和 ISO/IEC 27000。實施 ISMS 的組織沒有義務遵守本文檔中的指南。

ISMS 強調以下幾個階段的重要性：

— 了解組織的需求和建立資訊安全方針和資訊安全目标的必要性;

— 評估組織與資訊安全相關的風險;

— 實施和運作資訊安全過程、控制和其他措施來處理風險;

— 監視和評估 ISMS 的性能和有效性;和

— 實踐持續改進。

ISMS 與任何其他類型的管理體系類似，包括以下關鍵元件：

a) 方針;

b) 有明确責任的人員;

c) 有關以下内容的管理過程：

1) 方針制定;

2) 意識和能力的規定;

3) 規劃;

4) 實作;

5) 運作

6) 績效考核

7) 管理評審;和

8) 改進;及

d) 檔案化資訊

ISMS 還有其他關鍵元件，如：

e) 資訊安全風險評估;和

f) 資訊安全風險處置，包括控制措施的确定和實施。

本檔案是通用的，旨在适用于所有組織，不論其類型、大小或性質。組織宜根據其特定的組織環境來确定本的哪一部分适用于自己（見 ISO/IEC 27001：2013，條款 4）。例如，某些指南可能更适合于大型組織，而對于非常小的組織（例如少于10 人），某些指南可能是不必要的或不适當的。

條款 4 至 10 的描述結構如下：

—  要求的活動：介紹在 ISO/IEC 27001 的相應條款中要求的關鍵活動;

—  解釋：講解 ISO/IEC 27001 的要求意味着什麼;

—  指南：提供更詳細的或支援性的資訊來執行“要求的活動”，包括實

施的例子

—  其他資訊：提供可以考慮的進一步的資訊。

    ISO/IEC 27003，ISO/IEC 27004 和 ISO/IEC 27005 形成了一套檔案支援ISO/IEC 27001：2013，并提供指南。在這些檔案中，ISO/IEC 27003 是為 ISO/IEC27001 的所有要求提供指南的基本和全面的檔案，但沒有關于“監視、測量、分析和評價”以及資訊安全風險管理的較長的描述。ISO/IEC 27004 和 ISO/IEC 27005側重于具體内容和對“監視、測量、分析和評價”以及資訊安全風險管理給予更為詳細的指南。

    在 ISO/IEC 27001 中有幾處明确提及的檔案化資訊。然而，組織可以保留額外的檔案化資訊，當其确定對管理體系的有效性以及作為響應 ISO/IEC 27001：2013,7.5 b)的一部分是必要的。在這種情況下，本檔案使用慣用語“有關此活動和它的結果的檔案化資訊，隻有在形式和程度上該組織确定對其管理體系的有效性是必要的才是強制性的（見 ISO/IEC 27001：2013，7.5.1 h））

0x02 部分章節解讀

4.  組織 背景

4.1.  理 解組織及其 背景

需要的活動

組織确定關于其目标和影響其實作資訊安全管理體系（ISMS）預期成果的能力的外部和内部問題。

解釋

作為 ISMS 的一個必須功能，組織不斷地分析自己和周圍的世界。這種分析涉及外部和内部問題，這些問題在某種程度上影響資訊安全,以及資訊安全如何管理，并且與組織目标有關。

這些問題的分析有三個目的：

-  了解背景以決定 ISMS 的範圍;

-  分析背景以确定風險和機會;和

-  確定 ISMS 适應變化中的外部和内部問題。

外部問題是那些超出組織控制範圍的問題，這通常被稱為組織的環境。分析這個環境可能（can）包括以下幾個方面：

a) 社會和文化;

b) 政治，法律，規範和監管;

c) 财務和宏觀經濟;

d) 技術;

e) 自然; 和

f) 競争力。

組織環境的這些方面不斷出現影響資訊安全和資訊安全如何管理的問題。相關的外部問題取決于組織的具體優先事項和情況。

例如，特定組織的外部問題可能（can）包括：

g) 使用外包 IT 服務的法律影響（法律方面）;

h) 在火災、洪水和地震等災害的可能性方面的自然特征（自然方面）;

i) 黑客工具的技術進步和密碼學的使用（技術方面）;和

j) 對組織服務的普遍要求（社會，文化或财務方面）。

内部問題受制于組織的控制，分析内部問題可能（can）包括以下幾個方面：

k) 組織的文化;

l) 方針、目标和實作它們的戰略;

m) 管理方式、組織結構、角色和責任;

n) 組織采用的标準、準則和模型;

o) 可能直接影響 ISMS 範圍内的組織過程的合同關系;

p) 過程和規程;

q) 資源和知識（例如資本，時間，人員，流程，系統和技術）方面的能力;

r) 實體基礎設施和環境;

s) 資訊系統、資訊流和決策過程（正式和非正式）;和

t) 以前的審計和以前的風險評估結果。

這個活動的結果在 4J，61 和 9.3 中使用。

指南基于對組織目标（例如使命聲明或經營計劃）以及組織 ISMS 的預期成果的了解，組織宜（should）：

-  審查外部環境，識别相關的外部問題;和

-  審查内部方面，識别相關的内部問題。

為了找出相關問題，下面的問題可能（can）被提問：某個類别的問題（見上面的 a）到 t））如何影響資訊安全目标？内部問題的三個例子可以作為例證：

例子 1，關于治理群組織結構（見條款 m））：在建立 ISMS 時，宜（should）考慮已有的治理群組織結構。例如，組織可能（can）基于其他已有的管理體系的結構對其 ISMS 的結構進行模組化，并且可能（can）整合共同的功能，例如管理評審和審計。

例子 2，關于方針、目标和戰略（見條款 l））：對現有方針、目标和戰略的分析可以表明該組織打算實作什麼，以及如何使資訊安全目标與業務目标保持一緻，以確定成功的結果。

例子 3，關于資訊系統和資訊流（見條款 s））：在确定内部問題時，組織宜（should）在足夠的詳細程度上确定其各個資訊系統之間的資訊流。此活動及其結果的檔案化資訊僅在形式上或是到了組織确定對其管理體系有效性是必要的程度時是強制性的（見 ISO/IEC 27001：2013,7.5.1 b））其他資訊在 ISO/IEC 27000 中，“組織”的定義有一個注釋：“組織概念包括但不限于獨資經營者、公司、有限責任公司、商行、企（事）業機關、行政權力機構、合營公司、慈善機構或社會事業機構，或其部分或組合，不論其是否法人組織，不論是公有還是私有。”其中一些例子是完整的法律實體，而另一些則不是。

有四種情況：

1) 組織是一個法律或行政實體（例如獨資經營者、公司、有限責任公司、商行、企（事）業機關、行政權力機構、合營公司、慈善或社會事件機構，無論是否法人，公立或私立）;

2) 組織是法律或行政實體的子集（例如公司、有限責任公司、企（事）業機關的一部分）;

3) 組織是一組法律或行政實體（例如獨資經營者、大公司、有限責任公司、商行的組合）。 和

4) 組織是一組法律或行政實體（如俱樂部，行業協會）的子集。

4.2.  了解相關方的需要和期望

需 要 的活動

組織确定與 ISMS 相關的相關方及其與資訊安全相關的要求。

解釋

相關方是一個已定義的術語（參見 ISO/IEC 27000：2016,2.41），指的是可

能影響、被影響、或意識到自己受到組織的決策和活動影響的個人或組織。相關

方可能（can）在組織外部和内部找到，并且可能(can)對組織的資訊安全有特定

的需要、期望或要求。

外部相關方可能（can）包括：

a) 監管者和立法者;

b) 股東，包括所有者和投資者;

c) 供應商，包括分包商、顧問和外包合作夥伴;

d) 行業協會;

e) 競争者;

f) 顧客和消費者;和

g) 維權組織。

内部相關方可能（can）包括：

h) 決策者，包括最高管理者;

i) 過程所有者、系統所有者和資訊所有者;

j) 支援職能，如：IT 或人力資源等;

k) 員工和使用者;和

l) 資訊安全專業人員。

這個活動的結果在 43 和 6.1 中使用。

指南宜（should）采取以下步驟：

-  識别外部相關方;

-  識别内部相關方; 和

-  識别相關方的要求。

随着相關方的需要、期望和要求随着時間的推移而變化，這些變化及其對ISMS 範圍、限制和要求的影響宜（should）定期審查。

此活動及其結果的檔案化資訊僅在形式上或是到了組織确定對其管理體系有效性是必要的程度時是強制性的（見 ISO/IEC 27001：2013,7.5.1 b））。

其他資訊

沒有其他資訊。

4.3.  确定資訊安全管理體系的範圍

需要的活動

組織确定 ISMS 的邊界和适用性，以确立其範圍。

解釋

這個範圍定義了 ISMS 到底适用于哪裡和什麼，以及哪裡和什麼是不适用的。是以，确立範圍是為實施 ISMS 的所有其他活動确定必要基礎的關鍵活動。例如，風險評估和風險處置，包括控制的确定，如果對 ISMS 究竟适用于哪裡沒有準确的了解，就不會産生有效的結果。準确認識 ISMS 的邊界和适用性以及組織與其他組織之間的接口和依賴關系也是至關重要的。對範圍的任何後期修改都可能導緻大量額外的工作量和成本。

以下因素可能（can）影響範圍的确定：

a) 4A 中描述的外部和内部問題;

b) 根據 ISO/IEC 27001：2013,4.2 确定的相關方及其要求;

c) 業務活動的準備作為 ISMS 覆寫範圍的一部分包括在内;

d) 所有支援職能，即支援這些業務活動所必要的職能（例如人力資源管理、資訊技術服務和軟體應用、建築設施管理、實體區域，公共基礎服務和公用事業）;和

e) 被外包給組織内的其他部門或獨立供應商的所有職能。從一個實施到另一個實施，ISMS 的範圍可能非常不同。例如，範圍可以包括：

-  一個或多個特定過程;

-  一個或多個特定職能;

-  一項或多項特定服務;

-  一個或多個特定部門或場所;

-  整個法律實體;和

-  整個行政實體和一個或多個供應商。

指南

為了确立 ISMS 的範圍，可能采取多步驟的方法：

f) 确定初步範圍：這項活動宜（should)由一小組有代表性的管理者代表指揮;

g) 确定精細範圍：宜（should)審查初步範圍内外的職能機關，也許随後包括或排除某些職能機關，以減少邊界接口的數量。在提煉初步範圍時，宜（should)考慮範圍内支援業務活動所必要的所有支援職能;

h) 确定最終範圍：精細範圍應由所有管理層在精細範圍内進行評價。若有必要，應進行調整，然後進行精确描述;和

i) 準許範圍：描述範圍的檔案化資訊宜(should)由最高管理層正式準許。組織還宜（should)考慮對 ISMS 或對組織内的其他部門或獨立供應商的外包活動産生影響的活動。對于這些活動，宜（should)識别接口（實體、技術群組織）和它們對範圍的影響。

描述範圍的檔案化資訊宜（should)包括：

j) 組織範圍、邊界和接口;

k) 資訊和通信技術的範圍、邊界和接口;和

l) 實體範圍、界限和接口。

其他資訊

無其他資訊。

0x03 更多資訊

https://github.com/ym2011/SecurityManagement/tree/master/ISO27001/ISO27000體系檔案

歡迎大家分享更好的思路，熱切期待^^_^^ !