6.14信息安全管理

6.14.1要求

信息安全管理技術上應滿足如下要求：

a)制定、批準并發布信息安全目標和政策；

b)定義風險評估方法和風險接受準則；

c)定期實施風險評估；

d)制定并實施信息安全控制措施；

e)定期評審控制措施的有效性；

f)在事件管理程序定義、分類和管理信息安全事件；

g)分析、報告和評審信息安全事件；

h)定期實施信息安全內部審核，評審內審結果并識別改進機會；

i)在變更實施之前，評估對安全控制措施的影響。

6.14.2與其他過程的關系

信息安全管理宜：

a)從服務級別管理中獲得信息安全管理的服務要求、法律法規要求和合同義務；

b)從配置管理中獲得配置項信息；

c)從變更管理中獲得變更請求信息；

d)從事件與服務請求管理中獲得信息安全事件的類型及其數量的信息；

e)向變更管理提供信息安全風險及其影響的信息；

f)向預算與核算管理提供需要計劃實施的控制措施信息。

6.14.3管理域間的交互數據

信息安全管理宜提供如下數據給決策支撐：

a)信息安全事件的類型、數量和影響分析結果；

b)信息安全目標的達成情況；

c)信息安全風險評估活動產生的風險級別及其數量；

d)信息安全內部審核發現的不符合項數量；

e)信息安全管理識別的改進機會；

f)信息安全控制措施實施的有效性；

g)變更實施前評估的信息安全風險及其對控制措施的影響；

h)信息安全事件的優先級與風險的一致性。