1、ISO 28001-2022 ISO 28000:2022 ISO 2022雷泽佳 译(13087319462,leizejia) 安全与韧性 安全管理体系 要求Security and resilience Security management systems RequirementsQ/ZS 20111-2003Q/ZS 20120-2003(1.0)国际标准 ISO/TS 28001 第2版 2022-03目次前言III引言IV1 范围12 规范性引用文件13 术语和定义14 组织环境44.1 理解组织及其环境44.2 理解相关方的需求和期望44.2.1 总则44.2.2 法律法规和其
2、他要求44.2.3 原则44.3 确定安全管理体系的范围64.4 安全管理体系65 领导作用65.1 领导作用和承诺65.2 安全方针75.2.1 建立安全方针75.2.2 安全方针要求75.3 岗位、职责和权限76 策划76.1 应对风险和机遇的措施76.1.1 总则76.1.2 确定与安全有关的风险并确定机遇86.1.3 应对与安全有关的风险和利用机遇86.2 安全目标及其实现的策划86.2.1 建立安全目标86.2.2 确定安全目标96.3 变更的策划97 支持97.1 资源97.2 能力97.3 意识107.4 沟通107.5 成文信息107.5.1 总则107.5.2 创建和更新10
3、7.5.3 成文信息的控制118 运行118.1 运行的策划和控制118.2 确定过程和活动118.3 风险评估和应对118.4 控制128.5 安全策略、程序、过程和应对方法128.5.1 确定和选择战略和应对方法128.5.2 资源要求128.5.3 应对的实施138.6 安全计划138.6.1 总则138.6.2 响应结构138.6.3 警告和沟通138.6.4 安全计划的内容148.6.5 恢复149 绩效评价149.1 监视、测量、分析和评价149.2 内部审核159.2.1 总则159.2.2 内部审核方案159.3 管理评审159.3.1 总则159.3.2 管理评审输入159.
4、3.3 管理评审输出1610 改进1610.1 持续改进1610.2 不符合和纠正措施16参考文献18I前言国际标准化组织(ISO)是由各国标准化团体(ISO成员团体)组成的世界性的联合会。制定国际标准工作通常由ISO的技术委员会完成。各成员团体若对某技术委员会确定的项目感兴趣,均有权参加该委员会的工作。与ISO保持联系的各国际组织(官方的或非官方的)也可参加有关工作。ISO与国际电工委员会(IEC)在电工技术标准化方面保持密切合作的关系。制定本标准及其后续标准维护的程序在ISO/IEC指引 第1部分均有描述。应特别注意用于各不同类别ISO文件批准准则。本标准根据ISO/IEC导则第2部分的规
5、则起草(见www.iso.org/directives)。本标准中的某些内容有可能涉及一些专利权问题,对此应引起注意。ISO不负责识别任何这样的专利权问题。在标准制定期间识别的专利权细节将出现在引言/或收到的ISO专利权声明清单中(www.iso.org/patents)。ISO与合格评定相关的特定术语和表述含义的解释以及ISO遵循的世界贸易组织(WTO)贸易技术壁垒(TBT)原则相关信息访问以下URLL:www.iso.org/iso/foreword.html.本标准由ISO/TC 292安全与韧性分委员会制定。第二版取消并取代了第一版(ISO 28000:2007),第一版在技术上进行了
6、修订,但保留了现有的要求,为使用前一版的组织提供连续性。主要变化如下: 在第4章中加入了关于原则的建议,以便与ISO31000更好地协调; 在第8章中增加了建议,以便与ISO22301更好地保持一致,促进整合,包括:l 安全策略、程序、过程和应对;l 安全计划。有关本标准的任何反馈应直接向用户所在国家标准机构提出,这些机构的完整名单可以www.iso.org/members.html中找到。IIIISO 28001-2022引言大多数组织正经历着安全环境中越来越多的不确定性和波动性。因此,他们面临着影响其目标的安全问题,他们希望在其管理体系内系统地解决这些问题。正式的安全管理方法可以直接增进组
7、织的业务能力和可信度。本标准规定了安全管理体系要求,包括对供应链安全保证至关重要的方面。它要求组织: 评估其运营的安全环境,包括其供应链(包括依赖关系和相互依存关系); 确定是否有足够的安全措施来有效管理与安全相关的风险; 管理组织对法律法规和自愿义务的遵守情况; 协调安全过程和控制,包括供应链的相关上游和下游过程和控制,以满足组织的目标。安全管理与业务管理的许多方面相关联。它们包括组织控制或影响的所有活动(包括但不限于对供应链产生影响的活动)。应考虑对组织安全管理有影响的所有活动、职能和业务,包括(但不限于)其供应链。关于供应链,必须考虑到供应链本质上是动态的。因此,一些管理多个供应链的组织
8、可能希望其供方满足相关的安全标准,作为纳入该供应链的条件,以满足安全管理的要求。本标准将策划-实施-检查-处置(PDCA)模式应用于组织策划、建立、实施、运行、监视、评审、保持和持续改进安全管理体系的有效性,见表1和图1。表1:PDCA模型的解释策划(建立)建立与改进安全相关的安全方针、目标、指标、控制措施、过程和程序,以提供符合组织总方针和目标的结果。实施(执行和运行)执行和运行安全方针、控制措施、过程和程序。检查(监视和评审)根据安全方针和目标监视和评审绩效,向管理层报告结果以供评审,并确定和授权补救和改进措施。处置(保持和改进)根据管理评审的结果,通过采取纠正措施,保持和改进安全管理体系
9、,并重新评价安全管理体系的范围和安全方针和目标。组织环境(4)策划(6)领导作用(5)支持(7)运行(8)绩效评价(9)持续改进(10)策划实施实施改进图1:应用于安全管理体系的PDCA模式这确保了与其他管理体系标准的一致性,如ISO 9001、ISO 14001、ISO 22301、ISO/IEC 27001、IS0 45001等,从而支持与相关管理体系的一致和整合实施和运行。对于有此愿望的组织,可以通过外部或内部审核程序来验证安全管理体系与本标准的一致性。VV安全与韧性安全管理体系要求1 范围本标准规定了安全管理体系要求,包括与供应链相关的方面。本标准适用于所有类型和规模的组织(如商业企业
10、、政府或其他公共机构和非营利组织),旨在建立、实施、保持和改进安全管理体系。它提供了一个整体的、共同的方法,并不针对具体行业或部门。本标准可以在组织整个生命周期中使用,并可应用于任何层级的内部或外部活动。2 规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本标准。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。ISO 22300 安全与韧性术语3 术语和定义ISO 22300 界定的以及下列术语和定义适用于本标准。ISO和IEC在以下地址维护用于标准化的术语数据库:ISO在线浏览平台:https:/www.iso.org/obr
11、IEC在线电工术语库:http:/www.electropedia.org/3.1组织 organization 为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。注:组织包括但不限于企事业单位、政府机构、社团、个体工商户,或者上述组织的某部分或其组合,无论其是否为法人组织、公有或私有。3.2相关方(利益相关方) interested party;stakeholder 可影响或者受到决策或活动所影响,或者自认为受决策或活动影响的个人或组织。 示例:相关方可包括顾客、游客、居民、社区、供方、监管部门、非政府组织、投资方和工作人员。3.3最高管理者 top management 在
12、最高层指挥和控制组织的一个人或一组人。注1:在保留对安全管理体系)承担最终责任的前提下,最高管理者有权在组织内授权和提供资源。 注2:若管理体系的范围仅覆盖组织的一部分,则最高管理者是指那些指挥和控制该部分的人员。3.4管理体系 management system 组织用于建立方针和目标以及实现这些目标的过程的一组相互关联或相互作用的要素。注1: 一个管理体系可针对单个或多个领域。注2: 体系要素包括组织的结构、岗位和职责、策划、运行、绩效评价和改进。注3: 管理体系的范围可包括:整个组织,组织中具体且可识别的职能或部门,或者跨组织的一个或多个职能。 3.5安全管理体系 safety mana
13、gement system用于建立和实现安全方针和目标的管理体系或管理体系的一部分。3.6方针 policy 由组织最高管理者正式表述的组织的意图和方向。3.7目标 objective 要实现的结果。注1:目标可以是战略性的、战术性的或运行层面的。注2: 目标可涉及不同领域(如财务的、健康安全的和环境的目标),并可应用于不同层面(如战略层面、组织整 体层面、项目层面、产品和过程层面)。注3:目标可按其他方式来表述,例如:按预期结果、意图、追求、目的、运行准则来表述目标。注4: 安全目标,是由组织设定的,与安全方针一致的,与安全相关的目标。3.8风险 risk不确定因素对目标的影响。注1: 影响
14、是指对预期的偏离正面的或负面的。注2: 不确定性是指对事件及其后果或可能性缺乏甚至部分缺乏相关信息、理解或知识的状态。注3: 通常,风险以潜在事件和后果,或两者的组合来描述其特性。注4: 通常,风险以某事件 (包括情况的变化)的后果及其发生的可能性的组合来表述。 注5:本标准中风险指安全风险。3.9过程 process 利用输入实现预期结果的相互关联或相互作用的一组活动。 注:过程的“预期结果”称为输出,还是称为产品)或服务,随相关语境而定。 3.10能力 competence 应用知识和技能实现预期结果的本领。 3.11成文信息 documented information 组织需要控制并保
15、持的信息及其载体。 注1:成文信息可以任何格式和载体存在,并可来自任何来源。 注2:成文信息可涉及: 管理体系,包括相关过程; 为组织运行而产生的信息 (一组文件); 实现结果的证据(记录)。 3.12绩效 performance 可测量的结果。 可量化的结果。注1: 绩效可能涉及定量或定性的发现。结果可由定量或定性的方法来确定或评价。注2:绩效可能涉及活动、过程、产品、服务、体系或组织(3.1)的管理。3.13持续改进 continual improvement 提高绩效的循环活动。注1: 提高绩效涉及使用安全管理体系以实现与安全方针(3.11)和安全目标)相一致的整体安全绩 效的改进。注2
16、:持续并不意味着不间断,因此活动不必同时在所有领域发生。3.14有效性 effectiveness 完成策划的活动并得到策划的结果的程度。 3.15要求 requirement 明示的、通常隐含的或必须履行的需求或期望。 注1: “通常隐含”是指组织和相关方的惯例或一般做法,所考虑的需求或期望是不言而喻的。 注2: 规定要求是经明示的要求,如:在成文信息(3.8.6)中阐明。 3.16符合 conformity满足要求。3.17不符合 nonconformity未满足要求 。3.18纠正措施 corrective action 为消除不合格的原因并防止再发生所采取的措施。 3.19审核 aud
17、it 为获得审核证据并对其进行客观评价,以确定满足审核准则的程度所进行的系统的、独立的和文件 化的过程。注1:审核可以是内部(第一方)审核或外部(第二方或第三方)审核,也可以是一种结合(结合两个或多个领域) 的审核。注2:内部审核由组织自行实施或由外部方代表其实施。注3: “审核证据”和“审核准则”的定义见GB/T 19011。3.20测量 measurement 确定数值的过程。 3.21监视 monitoring确定体系、过程或活动的手段和过程。注:为了确定状态,可能需要检查、监督或批判地观察。4 组织环境4.1 理解组织及其环境组织应确定与其宗旨相关并影响其实现安全管理体系预期结果的内部
18、和外部因素,包括其供应链的要求。4.2 理解相关方的需求和期望4.2.1 总则组织应确定: 与安全管理体系有关的相关方; 这些有关的相关方的要求; 这些需求中哪些将通过安全管理体系来解决。4.2.2 法律法规和其他要求组织应:a) 实施和保持一个程序,以确定、获取和评估与其安全有关的适用法律、法规和其他要求;b) 确保在实施和保持其安全管理体系时考虑到这些适用的法律法规和其他要求;c) 将这些信息形成文件并保持更新;d) 适当时将此信息传达给相关方。4.2.3 原则4.2.3.1 总则组织中安全管理的目的是创造价值,特别是保护价值。组织应采用图2中给出的原则,并在4.2.3.2至4.2.3.9
19、条款中描述。创造和保护价值考虑人和文化因素动态和持续改进整合方法包容的人员积极参与定制化结构化和全面性过程方法关系管理领导作用图2:原则4.2.3.2 领导作用各级领导应建立统一的目标和方向。他们应创造条件,使组织的战略、方针、过程和资源协调一致,以实现其目标。4.2.3.3 基于现有最佳信息的结构化和全面性的程序方法包括供应链在内的结构化和全面性的安全管理方法应有助于取得一致和可比较的结果,只有将活动作为相互关联的连贯系统进行运行的过程来管理时,才能更加有效和高效地得到结果。4.2.3.4 定制化安全管理体系应是定制的,并与组织的外部和内部环境和需求要适应。安全管理体系应与其目标有关。4.2
20、.3.5 包容的人员积极参与组织应适当地、及时地让相关方参与进来。它应适当考虑他们的知识、观点和看法,以提高对安全管理的认识并促进知情的安全管理。组织应确保所有层级的人都得到尊重和参与。4.2.3.6 整合方法安全管理是所有组织活动的有机组成部分。它应与组织的所有其他管理系统相整合。组织的风险管理(无论是正式的、非正式的还是直观的)都应被整合至安全管理体系中。4.2.3.7 动态和持续改进组织应持续关注通过学习和经验进行改进,以保持绩效水平,对变化做出反应,并随着组织的外部和内部环境的变化创造新的机会。4.2.3.8 考虑人和文化因素人的行为和文化对安全管理各方面都有很大影响,应在每个层次和阶
21、段都考虑到。决策应基于对数据和信息的分析和评价,以确保决策更加客观,对决策有信心,更有可能产生预期的结果。应考虑每个人的看法。4.2.3.9 关系管理为了持续的成功,组织应管理好与所有相关方的关系,因为他们可能会影响组织的绩效。4.3 确定安全管理体系的范围组织应确定安全管理体系的边界和适用性,以确定其范围。在确定范围时,组织应考虑: 4.1中提及的各种外部和内部因素; 4.2中提及的要求。组织应将范围形成成文信息。如果组织选择外部提供任何影响其安全管理体系符合性的过程时,组织应确保这些过程受控。此类外部提供过程的必要控制和责任应在安全管理体系中加以确定。4.4 安全管理体系组织应按照本标准的
22、要求建立、实施、保持和持续改进安全管理体系,包括所需的过程及其相互作用。5 领导作用5.1 领导作用和承诺最高管理者应通过以下方式证实其在安全管理体系方面的领导作用并承诺: 确保制定安全方针和安全目标,并与组织战略方向相一致; 确保识别和监视组织相关方的需求和期望,并及时采取适当措施来管理这些期望,以确保确保安全管理体系要求融入组织的业务过程; 确保将安全管理体系要求求融入组织的业务流程; 确保安全管理体系所需的资源是可获得的; 沟通有效的安全管理和符合安全管理体系要求的重要性; 确保安全管理体系实现其预期结果; 确保安全管理目标、指标和方案的可行性; 确保组织的其他部分产生的任何安全方案都能
23、补充安全管理体系; 指导和支持人员为安全管理体系的有效性作出贡献; 推动组织安全管理体系的持续改进; 支持其他相关管理者在其职责范围内发挥领导作用。注:本标准使用的“业务”一词可广义地理解为涉及组织存在目的的核心活动。5.2 安全方针5.2.1 建立安全方针最高管理者应制定安全方针,以便:a) 与组织的宗旨相适应;b) 为建立安全目标提供框架;c) 包括对满足适用要求的承诺;d) 包括对持续改进安全管理体系的承诺;e) 考虑安全方针、目标、指标、方案等可能对组织的其他方面产生的不利影响。5.2.2 安全方针要求安全方针应: 与其他组织方针相一致; 与组织整体安全风险评估相一致; 规定在收购或与
24、其他组织合并或在其他情况下,对其进行评审。 组织业务范围发生变化,可能影响安全管理体系的连续性或相关性; 描述并分配主要的责任和成果责任; 作为成文信息而可被获取; 在组织内予以沟通; 适宜时,可为有关相关方所获取。注:组织可以选择有一个详细的安全管理方针供内部使用,其中包括将提供足够的信息和指导,以推动安全管理体系(部分内容可以保密),并有一个包含广泛目标的摘要(非保密)版本,以便向其相关方传播。5.3 岗位、职责和权限最高管理者应确保相关岗位的职责和权限在组织内得到分配和沟通。最高管理者应指定以下职责和权限:a) 确保安全管理体系符合本标准的要求;b) 向最高管理者报告安全管理体系的绩效。
25、6 策划6.1 应对风险和机遇的措施6.1.1 总则在策划安全管理体系时,组织应考虑到4.1所提及的因素和4.2所提及的要求,并确定需要应对的风险和机遇,以: 确保安全管理体系能够实现其预期结果; 预防或减少不利影响; 实现持续改进。组织应策划:a) 应对这些风险和机遇的措施;b) 如何: 在安全管理体系过程中整合并实施这些措施; 评价这些措施的有效性。管理风险的目的是创造和保护价值。管理风险应融入安全管理体系。与本组织及其相关方的安全有关的风险在8.3中述及。6.1.2 确定与安全有关的风险并确定机遇确定与安全有关的风险以及识别和利用机遇,需要进行主动的风险评估,其中应包括考虑但不限于以下方
26、面:a) 物理或功能故障以及恶意或犯罪行为;b) 环境、人、文化以及其他内部或外部因素,包括组织控制之外的但能影响组织安全的因素;c) 安全设备的设计、安装、维护和更换;d) 组织的信息、数据、知识和通信管理;e) 与安全威胁和漏洞有关的信息;f) 供方之间的相互依存关系。6.1.3 应对与安全有关的风险和利用机遇对已确定的安全相关风险的评价应提供以下投入(但不限于此):a) 组织的整体风险管理;b) 风险应对;c) 安全管理目标;d) 安全管理过程;e) 安全管理体系的设计、规范和实施;f) 确定足够的资源,包括人员配置;g) 确定培训需求和所需的能力水平。6.2 安全目标及其实现的策划6.
27、2.1 建立安全目标组织应在相关的职能和层次上建立安全目标。安全目标应:a) 与安全方针保持一致;b) 是可测量的(如可行);c) 考虑到适用的要求;d) 予以监视;e) 予以沟通;f) 适时更新;g) 作为成文信息提供。6.2.2 确定安全目标在计划如何实现其安全目标时,组织应确定: 要做什么; 需要什么资源; 由谁负责; 何时完成; 如何评价结果。在建立和评审其安全目标时,组织应考虑到:a) 技术、人力、管理和其他选择;b) 相关方的意见和影响。安全目标应与组织对持续改进的承诺相一致。6.3 变更的策划当组织确定需要对质量管理体系进行变更时,包括第10章中所确定的变更,变更应按所策划的方式
28、实施。组织应考虑:a) 变更目的及其潜在后果;b) 安全管理体系的完整性;c) 资源的可获得性;d) 职责和权限的分配或再分配。7 支持7.1 资源组织应确定并提供所需的资源,以建立、实施、保持和持续改进质量管理体系。7.2 能力组织应: 确定在其控制下从事影响其安全绩效的工作的人员所需具备的能力; 确保这些人员基于适当的教育、培训或经验是能胜任的,必要时获得适当的安全许可; 适用时,采取措施以获得所需的能力,并评价措施的有效性; 保留适当的成文信息,作为人员能力的证据。注:适用措施可包括对在职人员进行培训、辅导或重新分配工作,或者聘用、外包胜任的人员。7.3 意识在组织控制下从事工作的人应知
29、晓: 安全方针; 他们对安全管理体系的有效性的贡献,包括改进安全绩效的益处; 不符合安全管理体系要求的后果; 他们在实现遵守安全管理方针和程序以及安全管理体系要求方面的作用和职责,包括应急准备和响应要求。7.4 沟通组织应确定与安全管理体系相关的内部和外部沟通,包括: 沟通什么; 何时沟通; 与谁沟通; 如何沟通; 在沟通之前,对信息的敏感性进行评估。7.5 成文信息7.5.1 总则组织的安全管理体系应包括:a) 本标准所要求的成文信息;b) 组织所确定的、为确保安全管理体系有效性所需的成文信息。成文信息应说明实现安全管理目标和指标的职责和权限,包括实现这些目标和指标的手段和时限。注:安全管理
30、体系的成文信息的范围可能因人而异。注:对于不同组织,质量管理体系成文信息的多少与详略程度可以不同,取决于: 组织的规模,以及活动、过程、产品和服务的类型; 过程及其相互作用的复杂程度; 人员的能力。组织应确定信息的价值,并确定所需的完整性水平和安全控制,以防止未经授权的访问。7.5.2 创建和更新在创建和更新成文信息时,组织应确保适当的: 标识和说明(如标题、日期、作者、索引编号); 形式(如语言、软件版本、图表)和载体(如纸质的、电子的); 评审和批准,以保持适宜性和充分性。7.5.3 成文信息的控制应控制安全管理体系和本标准所要求的成文信息,以确保:a) 在需要的场合和时机,均可获得并适用
31、;b) 予以妥善保护(如:防止泄密、不当使用或缺失);c) 定期评审,必要时进行修订,并由授权人员批准其适当性;d) 过时的文件、数据和信息被迅速从所有发放点和使用点删除,或以其他方式保证不被非预期使用;e) 为法律或知识保存目的或两者而保留的档案文件、数据和信息得到适当的识别。为控制成文信息,适用时,组织应进行下列活动: 分发、访问、检索和使用; 存储和防护,包括保持可读性; 更改控制(如版本控制); 保留和处置。对于组织所确定的策划和运行安全管理体系所必需的来自外部的成文信息,组织应进行适当识别,并予以控制。注:对于成文信息的“访问”可能意味着仅允许查阅或者意味着允许查阅和并授权修改。8
32、运行8.1 运行的策划和控制组织应策划、实施和控制满足要求所需的过程,并实施第6章确定的措施,具体方法是: 建立过程准则; 按照准则实施过程控制。组织应保留必要的成文信息,确保过程已按策划得到实施。8.2 确定过程和活动组织应确定那些为实现以下目标所必需的过程和活动:a) 遵守其安全方针;b) 遵守法律法规和监管的安全要求;c) 其安全管理目标;d) 其安全管理体系的交付;e) 供应链所需的安全水平。8.3 风险评估和应对组织应实施并保持风险评估和应对程序。注:风险评估和应对的过程在ISO 31000中涉及。组织应:a) 确定其与安全有关的风险,根据其安全管理所需的资源对这些风险进行优先排序;
33、b) 分析和评估已确定的风险;c) 确定哪些风险需要应对;d) 选择并实施应对这些风险的方案;e) 准备和实施风险应对计划。注:本条款的风险涉及到组织及其相关方的安全。风险和与管理体系有效性有关的机遇将在6.1中讨论。8.4 控制8.2中所列过程应包括对人力资源管理的控制,以及适当时对与安全有关的设备、仪器和信息技术项目的设计、安装、运行、整修和调整。如果对现有的安排进行了改变,或引入了可能对安全管理产生影响的新安排,组织应在实施之前考虑相关的安全相关风险。要考虑的新的或改变的安排应包括:a) 修订组织结构、岗位或责任;b) 培训、意识和人力资源管理;c) 修订安全管理方针、目标、指标或方案;
34、d) 修订过程和程序;e) 引入新的基础设施、安全设备或技术,其中可能包括硬件和/或软件;f) 适当时引进新的承包商、供方或人员;g) 对外部供方的安全保证要求。组织应控制策划的变更,评审非预期变更的后果,必要时,采取措施减轻不利影响。组织应确保与安全管理体系相关的外部提供的过程、产品或服务得到控制。8.5 安全策略、程序、过程和应对方法8.5.1 确定和选择战略和应对方法组织应实施并保持系统的程序,以分析与安全有关的脆弱性和威胁。基于这种脆弱性和威胁分析以及随之而来的风险评估,组织应确定并选择一种安全策略,其中包括一个或多个程序、过程和应对方法。识别的依据应是策略、程序、过程和应对的程度:a
35、) 保持组织的安全;b) 减少安全漏洞的可能性;c) 减少威胁实现的可能性;d) 缩短任何安全处理缺陷的期限并限制其影响;e) 提供充足的资源。选择应基于战略、过程和应对的程度: 满足保护组织安全的要求; 考虑组织可能或不可能承担的风险的数量和类型; 考虑相关的成本和效益。8.5.2 资源要求组织应确定实施所选安全程序、过程和应对方法的资源要求。8.5.3 应对的实施组织应实施和保持选定的安全处理。8.6 安全计划8.6.1 总则组织应根据选定的战略和应对方法,制定并将安全计划和程序形成文件。组织应实施并保持一个响应结构,以便能够及时有效地警告并向有关方面通报与安全有关的漏洞和迫在眉睫的安全威
36、胁或正在发生的安全违规行为。响应结构应提供计划和程序,以便在迫在眉睫的安全威胁或正在发生的安全违规行为期间管理本组织。8.6.2 响应结构组织应实施并保持一种结构,确定一个指定的人或一个或多个小组负责应对与安全有关的脆弱性和威胁。指定人员或每个小组的作用和责任以及该人员或小组之间的关系。应明确确定、沟通和记录团队。总体而言,各小组应能做到:a) 评估安全威胁的性质和程度及其潜在影响;b) 根据预先确定的阈值评估影响,以证明启动正式回应的合理性;c) 启动适当的安全响应;d) 策划需要采取的措施;e) 以生命安全为第一优先,确定优先次序;f) 监视与安全有关的漏洞的任何变化、威胁者的意图和能力的
37、变化或安全违规行为的影响以及组织的反应;g) 启动安全应对;h) 与相关方、当局和媒体沟通;i) 与沟通管理部门一起为沟通计划做出贡献。对于每个指定的人或团队,应有: 确定的工作人员,包括具有履行其指定职责的必要职责、权限和能力的候补人员; 指导其措施的成文程序,包括应对措施的启动、运行、协调和沟通的程序。8.6.3 警告和沟通组织应将以下程序形成文件并加以保持:a) 向相关方进行内部和外部沟通,包括沟通的内容、时间、对象和方式;注:组织可以记录和维护如何以及在何种情况下的程序、组织与员工和他们的紧急联系人进行沟通。组织应将如何以及在何种情况下与员工及其紧急联系人进行沟通的程序形成文件并加以保
38、持。b) 接收、记录和回应相关方的沟通,包括任何国家或区域风险咨询系统或同等机构;c) 确保在违反安全规定、出现漏洞或威胁时沟通方式的可用性;d) 促进与安全威胁和/或违法行为应对者的结构化沟通;e) 提供组织在发生安全违规事件后对媒体反应的细节,包括沟通策略;f) 记录违反安全规定的细节、采取的措施和作出的决定。在适用的情况下,还应考虑和实施以下内容: 提醒可能受到实际或即将发生的安全违规行为影响的相关方; 确保多个应对组织之间的适当协调和沟通。警告和通信程序应作为组织测试和培训计划的一部分进行演练。8.6.4 安全计划的内容组织应安全计划形成文件并加以保持。这些计划应提供指导和信息,以协助
39、团队应对安全漏洞、威胁和/或违规行为,并协助组织进行应对和恢复其安全。总的来说,安全计划应包含:a) 各小组将采取的措施的细节,以:1)继续或恢复商定的安全状态;2)监视实际或即将发生的安全威胁、漏洞或违规行为的影响以及组织对其的反应;b) 参照预设的阈值和启动反应的过程;c) 恢复组织安全的程序;d) 管理安全漏洞和威胁或实际或即将发生的安全侵犯行为的直接后果的细节,并适当考虑到:1)个人的福利;2)可能受到损害的资产、信息和人员的价值;3)防止核心活动的(进一步)损失或不可用。每个计划都应包括: 其目的、范围和目标; 实施该计划的团队的作用和责任; 实施解决方案的措施; 启动(包括启动标准
40、)、运行、协调、和沟通团队行动所需的信息; 内部和外部的相互依存关系; 其资源需求; 其报告要求; 退出过程。每个计划都应是可用的,并在需要的时间和地点提供。8.6.5 恢复组织应具有文件化的过程,以从安全违规之前、期间和之后采取的任何临时措施中恢复组织的安全。9 绩效评价9.1 监视、测量、分析和评价组织应确定: 需要监视和测量什么; 需要用什么方法进行监视、测量、分析和评价(如适用),以确保结果有效; 何时实施监视和测量; 何时对监视和测量的结果进行分析和评价。组织应保留适当的成文信息,以作为结果的证据。组织应评价安全管理体系的绩效和有效性。9.2 内部审核9.2.1 总则组织应按照策划的
41、时间间隔进行内部审核,以提供有关安全管理体系的下列信息:a) 是否符合:1) 组织自身的安全管理体系要求;2) 本标准的要求。b) 是否得到有效的实施和保持。9.2.2 内部审核方案依据有关过程的重要性、对组织产生影响的变化和以往的审核结果,策划、制定、实施和保持审核方案,审核方案包括频次、方法、职责、策划要求和报告。组织应:a) 规定每次审核的审核目标、准则和范围;b) 选择审核员实施审核,以确保审核过程客观公正;c) 确保将审核结果报告给相关管理者。d) 验证安全设备和人员是否得到适当的部署;e) 确保采取任何必要的纠正措施,不做无谓的拖延,以消除发现的不符合及其原因;f) 确保后续审核措
42、施包括验证所采取的措施和报告验证结果。保留成文信息,作为实施审核方案以及审核结果的证据。审核程序(包括任何时间表),应基于对组织活动的风险评估结果和以往审核的结果。审核程序应涵盖范围、频率、方法和能力,以及进行审核和报告结果的职责和要求。9.3 管理评审9.3.1 总则最高管理者应按照策划的时间间隔对组织的安全管理体系进行评审,以确保其持续的适宜性、充分性和有效性。组织应考虑分析和评价的结果以及管理评审的结果,以确定是否存在与业务或安全管理体系有关的需求或机会,并作为持续改进的一部分加以解决。注:组织可以使用安全管理体系过程,如领导作用、策划和绩效评价,以实现改进。9.3.2 管理评审输入管理
43、评审应包括:a) 以往管理评审所采取措施的状况;b) 与安全管理体系相关的内外部因素的变化;c) 与安全管理体系有关的相关方的需求和期望的变化;d) 下列有关安全绩效的信息,包括其趋势:1)不符合和纠正措施;2)监视和测量结果;3)审核结果;e) 持续改进机会;f) 对遵守法律要求和本组织同意的其他要求的审核和评估结果;g) 来自外部相关方的沟通,包括投诉;h) 组织的安全绩效;i) 目标和指标的实现程度;j) 纠正措施的状况;k) 以往管理评审的后续措施;I)不断变化的环境,包括与安全方面有关的法律、法规和其他要求(见4.2.2)的发展;m) 改进的建议。9.3.3 管理评审输出管理评审的结果应包括与持续改进机会有关的决定和对安全管理体系的任何变更需求。组织应保留成文信息,作为管理评审结果的证据。10 改进10.1 持续改进组织应持续改进安全管理体系的适宜性、充分性和有效性。组织应积极寻
