7.1 內部組織結構(MOA_IOA)

信息安全組織體系是信息安全管理的基礎，需要得到組織機構最高管理層的承諾和支持，建立完善的信息安全組織結構。建立相應的崗位、職責和職權，建立完善的內部和外部溝通協作組織和機制，同組織機構內部和外部信息安全保障的所有相關方進行充分溝通、學習、交流和合作等。進一步將信息安全融至組織機構的整個環境和文化中，使信息安全真正滿足安全策略和風險管理的要求，實現保障組織機構資產和使命的最終目的。

圖5描述了信息安全組織體系管理保障控制類的組成結構。

7.1　內部組織結構(MOA_IOA)

7.1.1　安全保障管理目的

組織機構應建立完善的信息安全組織體系，以啟動和控制組織機構內的信息安全。
管理層應批準信息安全策略，分配安全角色并且在整個組織機構內協調和審核安全。
組織機構應該根據業務持續性和風險評估的需要，建立和維護專家信息安全建議。應開發同外部安全專家或組織的協議，包括同有關權威機構，以跟上業界的發展趨勢、跟蹤標準和評估方法并在處理信息安全事故時提供合適的聯系。鼓勵建立信息安全的跨學科方法。

7.1.2　MOA_IOA.1 信息安全的管理支持

7.1.2.1　管理保障控制組件控制

管理層在組織機構內通過清晰的指導、明確信息安全職責的分配和確認提供對安全的主動支持。

7.1.2.2　管理保障控制組件注解

管理層應：
a) 確保標識了信息安全目標，滿足組織機構要求并綜合至有關的過程之中；
b) 規劃、審核和批準信息安全策略；
c) 審核信息安全策略實施的有效性；
d) 為安全提供清晰地方向以及可見的管理支持；
e) 提供信息安全所需的資源；
f) 在組織機構內批準信息安全的特定角色和職責；
g) 啟動計劃和程序以維護信息安全意識；
h) 確保信息安全控制的實施在整個組織機構中的協調。
管理層應標識內部或外部專家對信息安全建議的需求，并且在整個組織機構內審核和協調建議的結果。
根據組織機構規模的不同，此職責可以由專門的管理論壇來處理或者由現有的管理機構來處理，例如由董事會負責。

7.1.3　MOA_IOA.2 信息安全的組織結構和協調

7.1.3.1　管理保障控制組件控制

信息安全活動應同組織機構各部門的有關角色和工作職能的代表進行協調。

7.1.3.2　管理保障控制組件注解

通常，信息安全協調應包括經理、用戶、管理員、應用設計者、審計人員和安全人員，以及在保險、法律問題、人力資源、IT或風險管理等領域的人員和專家的協調和協作。這種活動包括：
a) 確保安全活動的執行符合信息安全策略；
b) 標識如何處理不符合項；
c) 批準信息安全的方法和流程，例如風險評估、信息分類；
d) 標識重要的威脅變化以及信息和信息處理設施對威脅的暴露；
e) 評估信息安全控制的充分性并協調其實施；
f) 有效地在整個組織機構內推動信息安全教育、培訓和意識；
g) 評價從監控中收到的信息，審核信息安全事故，推薦響應所標識的信息安全事故所采取的合適的行動。
如果組織機構沒有使用一個單獨的跨職能部門的團隊，例如由于組織機構規模的原因，則上面所描述的活動應由其它合適的管理機構或個人承擔。

7.1.4　MOA_IOA.3 信息安全職責的分配

7.1.4.1　管理保障控制組件控制

應清晰地定義所有信息安全職責。

7.1.4.2　管理保障控制組件注解

信息安全職責的分配應根據信息安全策略來完成。 應清晰地標識保護個人資產和執行特定安全過程的職責。如果必要，此職責應使用更詳細的指南來補充以用于特定地點和信息處理設施。應清晰地定義保護資產和執行特定安全過程的本地職責，例如業務持續性規劃。
分配具有安全職責的個人可以將安全任務委托給其他人。但不管怎樣，他們仍舊保留職責并且應確定所有委托的任務得以正確地執行。
應清晰地陳述個人所負責的領域，特別是包括下列內容：
a) 應標識并清晰地定義每個特定的與系統相關的資產和安全過程；
b) 應為每個資產或安全過程指定負責的實體并且書面記錄此職責的細節；
c) 應清晰地定義和文檔化授權級別。

7.1.5　MOA_IOA.4 信息處理設施的認可和授權過程

7.1.5.1　管理保障控制組件控制

應為新的信息處理設施定義和實施管理授權過程。

7.1.5.2　管理保障控制組件注解

授權過程應考慮下列指導方針：
a) 新設備要有適當的用戶管理批準程序，授權設備的使用及目的，也要有負責維護本地信息系統安全環境的經理的批準，以保證其按有關安全策略及要求執行；
b) 必要時，應檢查軟硬件以確保其與系統組件兼容；
c) 個人或私人擁有的信息處理設施的使用，例如膝上型電腦，家用電腦或手持設備。

7.1.6　MOA_IOA.5 保密協議

7.1.6.1　管理保障控制組件控制

保密協議的要求反應了組織機構對應標識和應定期審核的信息的保護。

7.1.6.2　管理保障控制組件注解

保密協議用來告知信息是機密的或秘密的。為了標識保密協議的要求，應考慮下列要素：
a) 所要保護的信息的定義（例如：保密的信息）；
b) 協議所期望的持續時間，包括不確定的需要維持的機密性事件；
c) 協議終止時需采取的行動；
d) 限制職責和行動措施來避免信息泄露（像“必須知道”）；
e) 信息所有權、商業機密、知識產權，以及他們如何同機密信息的保護相關；
f) 用戶得到準許后通過簽字來使用機密信息；
g) 正確利用審計和監控活動來獲得機密信息；
h) 報告未授權的機密信息泄露的通告的程序；
i) 信息的期限在協議終止時被收回或毀滅；
j) 萬一協議毀滅后所采取的行動措施；
基于組織機構的安全要求，機密性和不可否認性還需包含其它元素。
保密協議應遵從所有適用的法律和現有的公平規則。
保密協議的需求應定期的復查并當發生變化時改變這些需求。

7.1.7　MOA_IOA.6 同有關權威機構和聯系

7.1.7.1　管理保障控制組件控制

應維護同有關權威機構的相應聯系。

7.1.7.2　管理保障控制組件注解

組織機構應有流程來指明何時以及通過何人來聯系權威機構（例如，執法、消防、監管機構），以及當懷疑可能違反法律時如何以及時的方式報告所標識的信息安全事故。
遭受互聯網攻擊的組織機構可能需要外部第三方（例如，互聯網服務提供商或電信運營商）來采取針對攻擊源的行動。

7.1.8　MOA_IOA.7 同有關安全相關機構的聯系

7.1.8.1　管理保障控制組件控制

應維護同有關安全機構或其他專家論壇和專家組織的相關聯系。

7.1.8.2　管理保障控制組件注解

應考慮將相關安全機構或論壇的成員，將其作為一種方式以：
a) 改進最佳實踐的知識并保持跟上相關安全信息的最新發展；
b) 確保對信息安全環境的理解是最新和完整的；
c) 接收告警的早期預警、同攻擊和脆弱性相關的建議和補丁；
d) 獲得專家信息安全建議的訪問；
e) 共享和交換有關新技術、產品、威脅或脆弱性的信息；
f) 提供處理信息安全事故時的合適的聯系點。

7.1.9　MOA_IOA.8 信息安全的第三方獨立評估

7.1.9.1　管理保障控制組件控制

應在規劃的時間間隔或在對安全實施有重要變更時，獨立審核管理信息安全及其實施的組織機構方案（例如，信息安全的控制目標、控制、策略、過程和流程）。

7.1.9.2　管理保障控制組件注解

管理層應發起獨立審核。這種獨立審核對確保組織機構管理信息安全方案的持續合適性、充分性和有效性是必要的。這種審核應包括對改進機會的評估，以及對安全方案變更需求的評估，包括策略和控制目標。
這種審核應由獨立于被審核領域的人員來執行，例如，內部審計部門、獨立的管理人員或專門從事此類審核的第三方機構。執行這些審核的人員應擁有相應的技能和經驗。
應記錄獨立審核的結果并將其匯報至發起審核的管理層。應維護這些記錄。
如果獨立審核標識了組織機構管理信息安全的方案和實施是不充分的、或者不符合信息安全策略文件中所描述的信息安全方向時，管理層應考慮對其進行糾正。