7.12信息安全管理

7.12.1一般要求

信息安全管理的一般要求：

a)應包括：

1)支持在事件管理中記錄信息安全事件；

2)支持分析、報告和回顧信息安全事件；

3)支持定期實施信息安全內部審計，評估內審結果并識別改進機會。

b)宜包括：

1)支持定義風險評估方法和風險接受準則；

2)支持定期實施風險評估；

3)支持制定并實施信息安全控制措施。

7.12.2與其他過程的關系要求

信息安全管理與其他過程宜建立以下關系：

a)從服務級別管理中獲得信息安全管理的服務要求、法律法規要求和合同義務；

b)從配置管理中獲得配置項信息；

c)從變更管理中獲得變更請求信息；

d)從事件管理中獲得信息安全事件的信息；

e)向變更管理提供信息安全風險信息；

f)向預算與核算管理提供安全控制措施的預算信息。

7.12.3對交互數據的要求

信息安全管理宜提供以下數據給決策支撐：

a)指定時間段內信息安全事件的類型、數量和影響分析結果；

b)指定時間段內信息安全風險評估活動產生的風險級別及其數量；

c)指定時間段內信息安全內部審計發現的不符合項數量；

d)指定時間段內信息安全管理識別的改進機會；

e)指定時間段內變更實施前評估的信息安全風險及其對控制措施的影響。