3.5 建立、監視、保持和改進ISMS

3.5 建立、監視、保持和改進ISMS

3.5.1　概述

組織在建立、監視、保持和改進其ISMS時，需要采取如下步驟：
a) 識別信息資產及其相關的信息安全要求（見3.5.2）；
b) 評估信息安全風險（見3.5.3）和處置信息安全風險（見3.5.4）；
c) 選擇和實施相關控制來管理不可接受的風險（見3.5.5）；
d) 監視、保持和改進組織信息資產相關控制的有效性（見3.5.6）。

3.5.2　識別信息安全要求

在組織的整體戰略和業務目標及其規模和地理分布的范圍內，信息安全要求可以通過了解如下方面來識別：
a) 已識別的信息資產及其價值；
b) 信息處理、存儲和通信的業務需求；
c) 法律法規、規章制度和合同要求。

3.5.3　評估信息安全風險

管理信息安全需要一種適合的風險評估和風險處置方法，該方法可能包括成本和效益的估算、法律要求、利益相關方的關切和其他適合的輸入和變量。
風險評估宜識別、量化并依據風險接受準則和組織目標排序風險。評估結果宜指導和確定適當的管理行動及其優先級，以管理信息安全風險和實施所選擇的控制來抵御這些風險。
風險評估宜包括估算風險大小（風險分析）的系統性方法和將估算的風險與風險準則比較來確定風險重要性（風險評價）的過程。
風險評估宜定期以及當發生重大變化時進行，以便應對信息安全要求和風險狀況的變化，例如，資產、威脅、脆弱性、影響、風險評價等方面的變化。這些風險評估宜以系統化方式進行，從而能夠產生可比較和可重現的結果。
信息安全風險評估為了有效宜有一個明確界定的范圍，還宜包括與其他區域風險評估的關系（如果合適）。

3.5.4　處置信息安全風險

在考慮風險處置前，組織宜確定決定風險是否可接受的準則。如果評估結果是，例如，風險低或處置成本不符合成本效益，風險可能也會被接受。這樣的決定宜被記錄。
對于經過風險評估后識別的每個風險，需要做出風險處置決定。可能的風險處置選項包括如下：
a) 采用適當的控制來降低風險；
b) 在明顯滿足組織策略和風險接受準則的條件下，有意并客觀地接受風險；
c) 通過不允許導致風險發生的行動來規避風險；
d) 與其他方共擔相關風險，例如，保險公司或供應商。

3.5.5　選擇和實施控制

一旦識別了信息安全要求，明確和評估了所識別信息資產的信息安全風險（見3.5.3），并做出了信息安全風險處置的決定，則選擇和實施風險降低的控制。
控制宜確保將風險降低至可接受程度,并考慮到以下方面：
a) 國家法律法規的要求和約束；
b) 組織目標；
c) 運行要求和約束；
d) 風險降低的相關實施和運行成本，保持與組織要求和約束相稱；
e) 監視、評價和改進信息安全控制的效果和效率，以支持組織的目標；
f) 控制的實施和運行投入與信息安全事件可能導致的損失之間平衡的需要。
ISO/IEC 27002｜GB/T 22081中規范的控制是公認的適用于多數組織的最佳實踐，并易于裁剪來適應各種規模和復雜度的組織。ISMS標準族中的其他標準為選擇和應用ISO/IEC 27002｜GB/T 22081控制來建立信息安全管理體系提供指南。
信息安全控制宜在系統和項目要求的規范與設計階段就加以考慮。否則，可能導致額外成本和低效解決方案，最壞情況下，可能無法實現足夠的安全。控制可以選自ISO/IEC 27002｜GB/T 22081或其他控制集，或者設計新的控制來滿足組織的特定需要。需要承認，一些控制可能不適用于每個信息系統或環境，可能不適用于所有組織。
有時需要時間來實施所選擇的一組控制，但在這期間的風險程度可能不可長期承受。風險準則宜涵蓋在實施控制期間風險的短期承受性。在分步實施控制時，宜告知受益相關方不同時間點上估算或預計的風險程度。
宜記住沒有一套控制能夠實現完全的信息安全。宜實施額外的管理行動來監視、評價和改進信息安全控制的效果和效率以支持組織目標。

3.5.6　監視、保持和改進ISMS有效性

組織需要通過對照組織的策略和目標監視和評估執行情況，并將結果報告給管理者進行評審，來保持和改進ISMS。這種ISMS評審將檢查ISMS是否包含了適合處置ISMS范圍內風險的控制。此外，基于所監視區域的記錄，提供對糾正、預防和改進措施進行確認和追溯的證據。

3.5.7　持續改進

ISMS持續改進的目標是增加對保持信息保密性、可用性和完整性目標實現的可能性。持續改進的關注點是尋求改進的機會，沒有現有管理活動已經足夠好或已盡力而為的假設。
改進措施包括如下：
a) 分析和評價現有狀況來識別改進的地方；
b) 建立改進的目標；
c) 尋找實現目標的可能解決方案；
d) 評價這些解決方案并做出決策；
e) 實施所選擇的解決方案；
f) 測量、驗證、分析和評價改進結果，以確定目標已被滿足；
g) 正式確認改進帶來的變化。