ISO/IEC 27001: 2022标准 正文 8 Operation 运行

8 Operation 运行

8.1 Operational planning and control 运行策划和控制

The organization shall plan, implement and control the processes needed to meet requirements, and to implement the actions determined in Clause 6, by:
为了满足要求以及实施条款6中确定的措施,组织应通过以下措施对所需的过程进行策划、实施和控制:

— establishing criteria for the processes;
— 建立过程准则;

— implementing control of the processes in accordance with the criteria.
— 按照准则实施过程控制;

Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
文件化信息应在必要的程度上予以保持,以确信这些过程按策划得到执行。

The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
组织应控制策划的变更,评审非预期变更的后果,必要时,采取措施减轻不利影响。

The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.
组织应确保外部提供的,且与信息安全管理体系有关的过程、产品或服务受到控制。

8.2 Information security risk assessment 信息安全风险评估

The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
组织应考虑6.1.2 a)所建立的准则,按策划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。

The organization shall retain documented information of the results of the information security risk assessments.
组织应保留信息安全风险评估结果的文件化信息。

8.3 Information security risk treatment 信息安全风险处置

The organization shall implement the information security risk treatment plan.
组织应实施信息安全风险处置计划。

The organization shall retain documented information of the results of the information security risk treatment.
组织应保留信息安全风险处置结果的文件化信息。
ISO/IEC 27001:2013标准 正文 8 运行

8.1 运行规划和控制

为了满足信息安全要求以及实现6.1中确定的措施,组织应规划、实现和控制所需要的过程。组织还应实现为达到6.2中确定的信息安全目标一系列计划。

组织应保持文件化信息达到必要的程度,以确信这些过程按计划得到执行。

组织应控制计划内的变更并评审非预期变更的后果,必要时采取措施减轻任何负面影响。

组织应确保外包过程是确定的和受控的。

8.2 信息安全风险评估

组织应考虑6.1.2a)所建立的准则,按计划的时间间隔,或当重大变更提出或发生时,执行信息安全风险评估。

组织应保留信息安全风险评估结果的文件化信息。

8.3 信息安全风险处置

组织应实现信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件化信息。

标准解析

  1. 新版中的“8 运行”,其中变化较大的是8.1,整个8.1条款的文字描述变化较大,新版的描述更加模糊化和更具逻辑性,条理性,但要求的内涵没有变化,对于实施新版要求无需做特别的变更。新版的8.2和8.3和旧版一样,没有变化。
  2. “8 运行”主要包含了两部分内容:信息安全运行的策划以及控制(8.1)和信息安全风险评估的实施(8.2和8.3)。可以建立书面的《信息安全运行控制程序》,以明确相关信息安全运行活动(信息安全运行过程的识别、建立和保持,信息安全风险评估实施等)流程、职责、控制要求等。
  3. 为了满足8.1的运行策划要求,组织应策划信息安全运行过程和准则:(1)ISMS体系要求的运行过程(如文件控制过程、内部审核控制过程、管理评审过程等);(2)实施6.1.1中风险和机遇的措施的过程;(3)6.1.2和6.1.3要求的风险评估和风险处置的过程;(4)实施适用性声明(SOA)中控制措施的过程(6.1.3);(5)实现目标和指标方案的过程(6.2);(5)信息安全变更过程(6.3)。
  4. 为了满足8.1的运行控制要求,组织应依照策划的过程准则对以上策划的过程进行控制。
  5. 应对外包过程的信息安全管控进行策划和控制。
  6. 信息安全运行策划输出的方案、计划等,若涉及变更,需要进行必要的评审。
  7. 8.2和8.3要求按照6.1.2和6.1.3制定的信息安全评估和信息安全风险处置方案,定期进行信息安全风险评估和信息安全风险处置,并输出信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。

实施本条款应输出的文档:

  1. 《信息安全运行控制程序》;
  2. 信息安全管理体系文件(过程)和记录清单,信息安全运行记录;
  3. 信息安全目标的达成策划相关方案和实施记录;
  4. 外包过程信息安全管控记录;
  5. 信息安全运行变更评审记录;
  6. 信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。

本条款审核要点:

  1. 审核《信息安全运行控制程序》,明确运行过程策划和控制的职责,是否有明确哪些运行过程需要策划和控制;
  2. 必要的程序文件是否有缺失;
  3. 信息安全目标的达成策划相关方案和实施记录;
  4. 了解是否有外包过程,如果有,是否又对外包过程的信息安全进行策划和控制;
  5. 信息安全运行变更评审记录;
  6. 检查信息安全风险评估表,信息安全风险处置计划、信息安全风险评估报告、残余风险报告等。

ISO/IEC 27001:2013标准解读(19)正文 8 运行