ISO/IEC 27001: 2022标准解读(19)正文 8 运行
| ISO/IEC 27001:2013标准 正文 8 运行 |
8.1 运行规划和控制 为了满足信息安全要求以及实现6.1中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6.2中确定的信息安全目标一系列计划。 组织应保持文件化信息达到必要的程度,以确信这些过程按计划得到执行。 组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响。 组织应确保外包过程是确定的和受控的。 8.2 信息安全风险评估 组织应考虑6.1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。 组织应保留信息安全风险评估结果的文件化信息。 8.3 信息安全风险处置 组织应实现信息安全风险处置计划。 组织应保留信息安全风险处置结果的文件化信息。 |
标准解读:
- “8 运行”主要包含了两部分内容:信息安全运行的策划以及控制(8.1)和信息安全风险评估的实施(8.2和8.3)。可以建立书面的《信息安全运行控制程序》,以明确相关信息安全运行活动(信息安全运行过程的识别、建立和保持,信息安全风险评估实施等)流程、职责、控制要求等;
- 按照条款8.1的要求应识别、建立和保持相关信息安全过程,并形成书面信息,并对应对信息安全目标的达成策划相关方案,并按方案实施;
- 确定组织信息安全管理所需要的过程后,应选择附录A中的控制项,输出书面的《适用性声明(SOA)》;
- 应对外包过程的信息安全管控进行策划和控制;
- 信息安全运行策划输出的方案、计划等,若涉及变更,需要进行必要的评审;
- 8.2和8.3要求按照6.1.2和6.1.3制定的信息安全评估和信息安全风险处置方案,定期进行信息安全风险评估和信息安全风险处置,并输出信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。
实施本条款应输出的文档:
- 《信息安全运行控制程序》;
- 信息安全管理体系文件和记录清单,信息安全运行记录;
- 《适用性声明(SOA)》;
- 信息安全目标的达成策划相关方案和实施记录;
- 外包过程信息安全管控记录;
- 信息安全运行变更评审记录;
- 信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。
本条款审核要点:
- 关注组织信息安全运行主要内容(如流程、目标、风险评估等),他们的策划和实施是如何操作的,由谁负责的,是否有相关文件,如《信息安全运行控制程序》,明确要求这些;
- 审核信息安全管理体系文件和记录清单,信息安全运行记录;
- 检查《适用性声明(SOA)》;
- 信息安全目标的达成策划相关方案和实施记录;
- 了解是否有外包过程,如果有,是否又对外包过程的信息安全进行策划和控制;
- 信息安全运行变更评审记录;
- 检查信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。
