信息安全管理體系-規(guī)范與使用指南_第1頁(yè)
信息安全管理體系-規(guī)范與使用指南_第2頁(yè)
信息安全管理體系-規(guī)范與使用指南_第3頁(yè)
信息安全管理體系-規(guī)范與使用指南_第4頁(yè)
信息安全管理體系-規(guī)范與使用指南_第5頁(yè)
已閱讀5頁(yè),還剩98頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

精品文檔精心整理精品文檔可編輯的精品文檔信息安全管理體系——規(guī)范與使用指南目錄:1、信息安全管理體系——規(guī)范與使用指南2、信息安全管理體系——規(guī)范與使用指南范本3、信息安全管理體系規(guī)范與使用指南

英國(guó)標(biāo)準(zhǔn)——BS7799-2:2002

信息安全管理體系——規(guī)范與使用指南

目錄前言0介紹0.1總則0.2過(guò)程方法0.

3其他管理體系的兼容性1范圍1.1概要1.2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求4.1總則4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.2實(shí)施和運(yùn)營(yíng)(對(duì)照中文ISO9001確認(rèn))?信息安全管理體系4.2.3監(jiān)控和評(píng)審信息安全管理體系4.2.4維護(hù)和改進(jìn)信息安全管理體系4.3文件化要求4.3.1總則4.3.2文件控制4.3.3記錄控制5管理職責(zé)5.1管理承諾?(對(duì)照中文ISO9001確認(rèn))5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識(shí)和能力6信息安全管理體系管理評(píng)審6.1總則6.2評(píng)審輸入?(對(duì)照中文ISO9001確認(rèn))6.3評(píng)審輸出?(對(duì)照中文IS9001確認(rèn))7信息安全管理體系改進(jìn)7.1持續(xù)改進(jìn)7.2糾正措施7.3預(yù)防措施附件A(有關(guān)標(biāo)準(zhǔn)的)控制目標(biāo)和控制措施A.1介紹A.2最佳實(shí)踐指南A.3安全方針A.4組織安全A.5資產(chǎn)分級(jí)和控制A.6人事安全A.7實(shí)體和環(huán)境安全A.8通信與運(yùn)營(yíng)安全A.9訪問(wèn)控制A.10系統(tǒng)開(kāi)發(fā)和維護(hù)A.11業(yè)務(wù)連續(xù)性管理A.12符合

附件B(情報(bào)性的)本標(biāo)準(zhǔn)使用指南B1概況B.1.1PDCA模型B.1.2計(jì)劃與實(shí)施B.1.3檢查與改進(jìn)B.1.4控制措施小結(jié)B2計(jì)劃階段B.2.1介紹B.2.2信息安全方針B.2.3信息安全管理體系范圍B.2.4風(fēng)險(xiǎn)識(shí)別與評(píng)估B2.5風(fēng)險(xiǎn)處理計(jì)劃B3實(shí)施階段B.3.1介紹B.3.2資源、培訓(xùn)和意識(shí)B.3.3風(fēng)險(xiǎn)處理B4實(shí)施階段B.4.1介紹B.4.2常規(guī)檢查B.4.3自我監(jiān)督程序B.4.4從其它事件中學(xué)習(xí)B.4.5審核B.4.6管理評(píng)審B.4.7趨勢(shì)分析B5改進(jìn)階段B.5.1介紹B.5.2不符合項(xiàng)B.5.3糾正和預(yù)防措施B.5.4OECD原則和BS7799-2附件C(情報(bào))ISO9001:2000、ISO14001與BS7799-2:2002條款對(duì)照0介紹0.1總則本標(biāo)準(zhǔn)的目的是為管理者和他們的員工們提供建立和管理一個(gè)有效的信息安全管理體系(信息安全管理體系)有模型。采用信息安全管理體系應(yīng)當(dāng)是一項(xiàng)組織的戰(zhàn)略決策。一個(gè)組織信息安全管理體系的設(shè)計(jì)和實(shí)施受運(yùn)營(yíng)需求、具體目標(biāo)、安全需求、所采用的過(guò)程及該組織的規(guī)模和結(jié)構(gòu)的影響。上述因素和他們的支持過(guò)程會(huì)不斷發(fā)生變化。希望簡(jiǎn)單的情況使用簡(jiǎn)單的信息安全解決方案。

本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用,評(píng)定一個(gè)組織符合其本身的需要及客戶和法律的要求的能力。

0.2過(guò)程方法本標(biāo)準(zhǔn)鼓勵(lì)采用過(guò)程的方法建立、實(shí)施、和改進(jìn)組織的信息安全管理體系的有效性。

為使組織有效動(dòng)作,必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)。通過(guò)使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過(guò)程。通常,一個(gè)過(guò)程的輸出直接形成了下一個(gè)過(guò)程的輸入。組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用,連同這些過(guò)程的識(shí)別和相互作用及其慣例,課程只為:“過(guò)程方法”。過(guò)程的方法鼓勵(lì)使用者強(qiáng)調(diào)以下方面的重要性:a)

理解業(yè)務(wù)動(dòng)作對(duì)信息安全的需求和建立信息安全方針和目標(biāo)的需要;b)

在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施和動(dòng)作控制措施;c)

監(jiān)控和評(píng)審信息安全管理體系的有效性和績(jī)效;d)

在客觀的測(cè)量,持續(xù)改進(jìn)過(guò)程。本標(biāo)準(zhǔn)采用的模型就是說(shuō)眾所周知的“Plan策劃-Do實(shí)施-Check檢查-Act處置”(PDCA)模型,適用于所有信息安全管理體系的過(guò)程。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望,通過(guò)必要的行動(dòng)措施和過(guò)程,產(chǎn)生信息安全結(jié)果(即:管理狀態(tài)下的信息安全),滿足那些需要和期望。圖一同時(shí)展示了4、5、6和7章中所提出的過(guò)程聯(lián)系。

例1一個(gè)需求是信息安全事故不要引起組織的財(cái)務(wù)損失和/或引起高層主管的尷尬。例2一個(gè)期望可以是如果嚴(yán)重的事故發(fā)生-如:組織的電子商務(wù)網(wǎng)站被黑客入侵—將有被培訓(xùn)過(guò)的員工通過(guò)適用的程序減少其影響。

注:名詞“程序”,從傳統(tǒng)來(lái)講,用在信息安全方面意味著員工工作的過(guò)程,而不是計(jì)算機(jī)或其它電子概念。

PDCA模型應(yīng)用與信息安全管理體系過(guò)程

計(jì)劃PLAN建立建立ISMS

相關(guān)單位

相關(guān)單位

管理狀態(tài)下的信息安全

相關(guān)單位

信息安全需求和期望

實(shí)施和運(yùn)作實(shí)施和運(yùn)作ISMS維護(hù)和改進(jìn)ISMS

實(shí)施改進(jìn)監(jiān)控和監(jiān)控和評(píng)審ISMS用 DOACTION

檢查CHECK

計(jì)劃(建立信息安全管理體系)建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的安全方針、目標(biāo)、目的、過(guò)程和程序,以達(dá)到與組織整體方針和目標(biāo)相適應(yīng)的結(jié)果。實(shí)施(實(shí)施和動(dòng)作信息安全管理體系實(shí)施和動(dòng)作信息安全方針、控制措施、過(guò)程和程序。檢查(監(jiān)控和評(píng)審信息安全管理體系)針對(duì)安全方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)等評(píng)審和(如果適用)職測(cè)量過(guò)程的績(jī)效并向管理層報(bào)告結(jié)果供評(píng)審使用。改進(jìn)(維護(hù)和改進(jìn)信息安全管理體系)在管理評(píng)審的結(jié)果的基礎(chǔ)上,采取糾正和預(yù)防措施以持續(xù)改進(jìn)信息安全管理體系。0.3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001:2000與ISO16949:1996相結(jié)合以支持實(shí)施和動(dòng)作安全體系的一致性和整合。在附件C中以表格顯示BS7799,ISO14001各部分不同條款間的對(duì)應(yīng)關(guān)系,本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。

1范圍1.1概要本標(biāo)準(zhǔn)提供在組織整個(gè)動(dòng)作風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)一個(gè)文件化的信息安全管理體系的模型。它規(guī)范了對(duì)定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)部分的需求。(附錄B提供使用規(guī)范的指南)。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護(hù)和提高競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。

1.2應(yīng)用本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的,旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。當(dāng)本標(biāo)準(zhǔn)的任何要求因組織及其產(chǎn)品的特點(diǎn)而不適用時(shí),可以考慮對(duì)其進(jìn)行刪減。除非刪減不影響組織的能力、和/或責(zé)任提供符合由風(fēng)險(xiǎn)評(píng)估和適用的法律確定的信息安全要求,否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險(xiǎn)被負(fù)責(zé)人員正當(dāng)?shù)亟邮堋?duì)于條款4,5,6和7的要求的刪減不能接受。

2引用標(biāo)準(zhǔn)ISO9001:2000質(zhì)量管理體系-要求ISO/IEC17799:2000信息技術(shù)—信息安全管理實(shí)踐指南ISO指南73:2001風(fēng)險(xiǎn)管理指南-名詞

3名詞和定義從本英國(guó)標(biāo)準(zhǔn)的目的出發(fā),以下名詞和定義適用。3.1可用性保證被授權(quán)的使用者需要時(shí)能夠訪問(wèn)信息及相關(guān)資產(chǎn)。[BSISO/IEC17799:2000]3.2保密性保證信息只被授權(quán)的人訪問(wèn)。[BSISO/IEC17799:2000]3.3信息安全安全保護(hù)信息的保密性、完整性和可用性3.4信息安全管理體系(信息安全管理體系)是整個(gè)管理體系的一部分,建立在運(yùn)營(yíng)風(fēng)險(xiǎn)的方法上,以建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全。注:管理體系包括組織的架構(gòu)、方針、策劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源。3.5完整性保護(hù)信息和處理方法的準(zhǔn)確和完整。[BSISO/IEC17799:2000]3.6風(fēng)險(xiǎn)接受接受一個(gè)風(fēng)險(xiǎn)的決定[ISOGuide73]3.7風(fēng)險(xiǎn)分析系統(tǒng)地使用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)[ISOGuide73]3.8風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程[ISOGuide73]

3.9風(fēng)險(xiǎn)評(píng)價(jià)把估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)相比較,確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。[ISOGuide73]3.10風(fēng)險(xiǎn)管理指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動(dòng)3.11風(fēng)險(xiǎn)處理選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過(guò)程[ISOGuide73]3.12適用性聲明描述適用于組織的信息安全管理體系范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過(guò)程的結(jié)論和結(jié)果基礎(chǔ)上。4.信息安全管理體系要求4.1總要求組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。為滿足該標(biāo)準(zhǔn)的目的,使用的過(guò)程建立在圖一所示的PDCA模型基礎(chǔ)上。4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系組織應(yīng):a)

應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。b)

應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針,方針應(yīng):1)

包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。2)

考慮業(yè)務(wù)及法律或法規(guī)的要求,及合同的安全義務(wù)。3)

建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境,在這種環(huán)境下,建立和維護(hù)信息安全管理體系。4)

建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。5)

經(jīng)管理層批準(zhǔn)c)

確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。確定接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)和識(shí)別可接受風(fēng)險(xiǎn)的水平[見(jiàn)5.1f]d)

確定風(fēng)險(xiǎn):1)

在信息安全管理體系的范圍內(nèi),識(shí)別資產(chǎn)及其責(zé)任人2)

識(shí)別對(duì)這些資產(chǎn)的威脅3)

識(shí)別可能被威脅利用的脆弱性4)

別資產(chǎn)失去保密性、完整性和可用性的影響e)

評(píng)價(jià)風(fēng)險(xiǎn)1)

評(píng)估由于安全故障帶來(lái)的業(yè)務(wù)損害,要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果;2)

評(píng)估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施;3)

估計(jì)風(fēng)險(xiǎn)的等級(jí)4)

確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理;f)

識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施:可能的行動(dòng)包括:1)

應(yīng)用合適的控制措施2)

知道并有目的地接受風(fēng)險(xiǎn),同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3)

避免風(fēng)險(xiǎn);4)

轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如:保險(xiǎn)業(yè),供應(yīng)商等。g)

選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn):應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施,選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。注意:附件A中列出的控制目標(biāo)和控制措施,作為本標(biāo)準(zhǔn)的一部分,并不是所有的控制目標(biāo)和措施,組織可能選擇另加的控制措施。h)

準(zhǔn)備一份適用性聲明。從上面4.2.1(g)選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄;i)

提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和動(dòng)作信息安全管理體系。4.2.2實(shí)施和運(yùn)作信息安全管理體系組織應(yīng):a)

識(shí)別合適的管理行動(dòng)和確定管理信息安全風(fēng)險(xiǎn)的優(yōu)先順序(即:風(fēng)險(xiǎn)處理計(jì)劃)-[見(jiàn)條款5];b)

實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo),包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任。c)

實(shí)施在4.2.1(g)選擇的控制目標(biāo)和措施d)

培訓(xùn)和意識(shí)[見(jiàn)5.2.2];e)

管理動(dòng)作過(guò)程;f)

管理資源[見(jiàn)5.2];g)

實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。4.2.3監(jiān)控和評(píng)審信息安全管理體系組織應(yīng):a)

執(zhí)行監(jiān)控程序和其他控制措施,以:1)

實(shí)時(shí)探測(cè)處理結(jié)果中的錯(cuò)誤;2)

及時(shí)識(shí)別失敗和成功的安全破壞和事故;3)

能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo);4)

確定解決安全破壞的行動(dòng)是否反映了運(yùn)營(yíng)的優(yōu)先級(jí)。b)

進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審(包括符合安全方針和目標(biāo),及安全控制措施的評(píng)審)考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益相關(guān)方的建議和反饋;c)

評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平,考慮以下方面的變化:1)

組織2)

技術(shù)3)

業(yè)務(wù)目標(biāo)和過(guò)程4)

識(shí)別威脅5)

外部事件,如:法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。d)

在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。e)

經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審(至少每年評(píng)審一次)以保證信息安全管理體系的范圍仍然足夠,在信息安全檢查管理體系過(guò)程中的改進(jìn)措施已被識(shí)別(見(jiàn)條款6信息安全管理體系的管理評(píng)審);f)

記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績(jī)效性的事件[見(jiàn)4.3.4]。4.2.4維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常:a)

實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b)

采取合適的糾正和預(yù)防措施應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到的知識(shí)。c)

溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。d)

確保改進(jìn)行動(dòng)達(dá)到了預(yù)期的目標(biāo)。4.3文件要求4.3.1總則信息安全管理體系文件應(yīng)包括:a)

文件化的安全方針文件和控制目標(biāo);b)

信息安全管理體系范圍[見(jiàn)4.2.1]和程序及支持信息安全管理體系的控制措施c)

風(fēng)險(xiǎn)評(píng)估報(bào)告[見(jiàn)4.2.1];d)

風(fēng)險(xiǎn)處理計(jì)劃;e)

組織需要的文件化的程序以確保存有效地計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制[見(jiàn)6.1]f)

本標(biāo)準(zhǔn)要求的記錄[見(jiàn)4.3.4];g)

適用性聲明注1:當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件化的程序”,這意味著建立、文件化、實(shí)施和維護(hù)該程序。注2:SeeISO9001注3:文件和記錄可以用多形式和不同媒體。4.3.2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制文件化的程序,以規(guī)定以下方面所需的控制:a)

文件發(fā)布前得到批準(zhǔn),以確保文件的充分性;b)

必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新,并再次批準(zhǔn);c)

確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別;d)

確保在使用處可獲得適用文件夾的有關(guān)版本;e)

確保文件夾保持清晰、易于識(shí)別;f)

確保外來(lái)文件的發(fā)放在控制狀態(tài)下;g)

確保文件的發(fā)放在控制狀態(tài)下;h)

防止作廢文件的非預(yù)期使用;i)

若因任何原因而保留作廢文件時(shí),對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。4.3.3記錄控制應(yīng)建立并保持記錄,以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng)編制形成文件的程序,以規(guī)定記錄的標(biāo)識(shí)、儲(chǔ)存、保護(hù)、檢索、保存期限和處置所需的控制。需要一個(gè)管理過(guò)程確定記錄的程度。應(yīng)保留4.2概要的過(guò)程績(jī)效記錄和所有與信息安全管理體系有關(guān)的安全事故發(fā)生的記錄。舉例記錄的例子如:訪問(wèn)者的簽名簿,審核記錄和授權(quán)訪問(wèn)記錄。

5管理職責(zé)5.1管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù),包括:a)

建立信息安全方針;b)

確保建立信息安全目標(biāo)和計(jì)劃;c)

為信息安全確立職位和責(zé)任;d)

向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e)

提供足夠的資源以開(kāi)發(fā)、實(shí)施,運(yùn)行和維護(hù)信息安全管理體系[見(jiàn)5.2.1];f)

確定可接受風(fēng)險(xiǎn)的水平;g)

進(jìn)行信息安全管理體系的評(píng)審[見(jiàn)條款6]。5.2資源管理5.2.1提供資源組織將確定和提供所需的資源,以:a)

建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系;b)

確保信息安全程序支持業(yè)務(wù)要求;c)

識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù);d)

正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全;e)

必要時(shí),進(jìn)行評(píng)審,并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果;f)

需要時(shí),改進(jìn)信息安全管理體系的有效性。5.2.2培訓(xùn),意識(shí)和能力組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。組織應(yīng):a)

確定從事影響信息安全管理體系的人員所必要的能力;b)

提供能力培訓(xùn)和必要時(shí),聘用有能力的人員滿足這些需求;c)

評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性;d)

保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄[見(jiàn)4.3.3]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6信息安全管理體系的管理評(píng)審6.1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要,包括安全方針和安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清楚地文件化,應(yīng)保持管理評(píng)審的記錄[見(jiàn)4.3.3]6.2評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息:a)

信息安全管理體系審核和評(píng)審的結(jié)果;b)

相關(guān)方的反饋;c)

可以用于組織改進(jìn)其信息安全管理體系績(jī)效和有效性的技術(shù),產(chǎn)品或程序;d)

預(yù)防和糾正措施的狀況;e)

以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅;f)

以往管理評(píng)審的跟蹤措施;g)

任何可能影響信息安全管理體系的變更;h)

改進(jìn)的建議。6.3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施:a)

對(duì)信息安全管理體系有效性的改進(jìn);b)

修改影響信息安全的程序,必要時(shí),回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件,包括以下的變更:1)

業(yè)務(wù)要求;2)

安全要求;3)

業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求;4)

法規(guī)或法律環(huán)境;5)

風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平;c)

資源需求。6.4內(nèi)部信息安全管理體系審核組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核,以確定信息安全管理體系的控制目標(biāo)、控制措施、過(guò)程和程序是否:a)

符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求;b)

符合識(shí)別的信息安全的要求;c)

被有效地實(shí)施和維護(hù);d)

達(dá)到預(yù)想的績(jī)效。任何審核活動(dòng)應(yīng)策劃,策劃應(yīng)考慮過(guò)程的狀況和重要性,審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn),范圍,頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過(guò)程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核,報(bào)告結(jié)果和維護(hù)記錄[見(jiàn)4.3.3]的責(zé)任及要求.負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保沒(méi)有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見(jiàn)條款7]。7信息安全管理體系改進(jìn)7.1持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。7.2糾正措施組織應(yīng)確定措施,以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因,防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序,確定以下的要求:a)

識(shí)別實(shí)施或運(yùn)行信息安全管理體系中的不合格;b)

確定不合格的原因;c)

評(píng)價(jià)確保不合格不再發(fā)生的措施的需求;d)

確定和實(shí)施所需的糾正措施;e)

記錄所采取措施的結(jié)果[見(jiàn)4.3.3];f)

評(píng)審所采取的糾正措施。7.3預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程序適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序,以規(guī)定以下方面的要求:a)

識(shí)別潛在的不合格及引起不合格的原因;b)

確定和實(shí)施所需的預(yù)防措施;c)

記錄所采取措施的結(jié)果[見(jiàn)4.3.3];d)

評(píng)價(jià)所采取的預(yù)防措施;糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注:預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。

附錄A(引用)控制目標(biāo)和控制措施

A.1介紹從A.3到A.12列出的控制目標(biāo)和控制措施是直接引用并與BSISO/IEC17799:2000條款3到12一致。一表中的清單并不徹底,一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的信息安全管理體系過(guò)程的一部分。A.2實(shí)踐指南規(guī)范BSISO/IEC17799:2000條款3至12提供最佳實(shí)踐的實(shí)施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3安全方針

BSISO/IEC17799:2000編號(hào)A.3.1信息安全方針控制目標(biāo):提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應(yīng)提供一份方針?lè)郊?出版并在適當(dāng)時(shí),溝通給所有員工。3.1.1A.3.1.2評(píng)審和評(píng)價(jià)應(yīng)經(jīng)常評(píng)審方針文件,尤其在發(fā)生決定性的變化時(shí),確保方針的適宜性3.1.2

A.4組織安全

BSISO/IEC17799:2000編號(hào)A.4.1信息安全基礎(chǔ)設(shè)施控制目標(biāo):在組織中管理信息安全4.1控制措施A.4.1.1信息安全管理委員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo)和管理層對(duì)啟動(dòng)安全管理可見(jiàn)的支持。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和充足的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中,應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì),協(xié)作實(shí)施信息安全控制措施。4.1.2A.4.1.3落實(shí)信息安全責(zé)任應(yīng)明確定保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過(guò)程的責(zé)任4.1.3A.4.1.5對(duì)信息處理設(shè)施的授權(quán)過(guò)程應(yīng)建立對(duì)于新的信息處理設(shè)施的管理授權(quán)過(guò)程4.1.4A.4.1.5專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作4.1.5A.4.1.6組織間的合作應(yīng)與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者,及通信業(yè)者維持適當(dāng)?shù)慕佑|4.1.6A.4.1.7獨(dú)立的信息安全審查應(yīng)對(duì)信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查4.1.7A.4.2第三方訪問(wèn)的安全控制目標(biāo):維護(hù)組織的信息處理設(shè)施及信息資產(chǎn)被第三方訪問(wèn)時(shí)的安全4.2控制措施A.4.2.1確認(rèn)第三方訪問(wèn)的風(fēng)險(xiǎn)應(yīng)對(duì)第三方訪問(wèn)組織的信息處理設(shè)施所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估,并實(shí)施適當(dāng)?shù)陌踩刂?.2.1A.4.2.2與第三方合約中的安全要求涉及第三方訪問(wèn)組織的信息處理設(shè)施的安排,應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)。4.2.2A.4.3外包控制目標(biāo):當(dāng)信息處理的責(zé)任委托其他組織時(shí),應(yīng)維護(hù)信息的安全4.3A.4.3.1外包合約中的安全要求`當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò),及/或桌面計(jì)算機(jī)環(huán)境的管理及控制外包時(shí),在雙方同意的合約中應(yīng)載明安全的要求。.4.3.1

A.5資產(chǎn)分類與控制

BSISO/IEC17799:2000編號(hào)A.5.1資產(chǎn)的保管責(zé)任控制目標(biāo):維持對(duì)于組織的資產(chǎn)的適切保護(hù)5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維護(hù)一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要資產(chǎn)的清單5.1.1A.5.2信息分類控制目標(biāo):確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)控制措施A.5.2.1分類原則信息的分類及相關(guān)的保護(hù)控制,應(yīng)適合于企業(yè)運(yùn)營(yíng)對(duì)于信息分享或限制的需要,以及這些需要對(duì)企業(yè)運(yùn)營(yíng)所帶來(lái)的沖擊5.2.1A.5.2.2信息的標(biāo)識(shí)及處理應(yīng)制定信息標(biāo)識(shí)及處理的程序,以符合組織所采行的分類法則5.2.2

A.6人事安全

BSISO/IEC17799:2000編號(hào)A.6.1工作說(shuō)明及人力資源的安全控制目標(biāo):降低因人員錯(cuò)誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn)6.1控制措施A.6.1.1將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全職責(zé)及責(zé)任,應(yīng)適度地書(shū)面化于工作職責(zé)說(shuō)明書(shū)中6.1.1A.6.1.2人員篩審及政策應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核6.1.2A.6.1.3保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A.6.1.4聘用合同聘用合同中的應(yīng)陳述員工對(duì)信息安全的責(zé)任6.1.4A.6.2使用者培訓(xùn)控制目標(biāo):確保員工了解信息安全的威脅及考慮,并且具備在其日常工作過(guò)程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者,對(duì)于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3安全及失效事件的響應(yīng)控制目標(biāo):將安全及失效事件所造成的損害降到最小,并監(jiān)督此類事件,從中學(xué)習(xí)6.3A.6.3.1安全事故報(bào)告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報(bào)6.3.1A.6.3.2安全弱點(diǎn)的報(bào)告應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅6.3.2A.6.3.3軟件失效事件的報(bào)告應(yīng)建立報(bào)告軟件失效事件的相關(guān)程序6.3.3A.6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制的以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量、及成本6.3.4A.6.3.5懲處的流程員工違反組織安全方針及程序,應(yīng)由正式的懲處流程來(lái)處理6.3.5

A.7實(shí)體及環(huán)境安全

BSISO/IEC17799:2000編號(hào)A.7.1安全區(qū)域控制目標(biāo):防止對(duì)企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問(wèn)、破壞及干擾7.1控制措施A.7.1.1實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域7.1.1A.7.1.2實(shí)體進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù),以確保只有經(jīng)授權(quán)的人員可以進(jìn)出7.1.2A.7.1.3

應(yīng)劃定安全區(qū)域,以保護(hù)具有特殊安全需求的辦公處所及設(shè)備7.1.3A.7.1.4

應(yīng)對(duì)在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以加強(qiáng)安全區(qū)域的安全7.1.4A.7.1.5

遞送及裝載區(qū)域應(yīng)加以控制,如有可能應(yīng)與信息處理設(shè)施隔離,以避免未經(jīng)授權(quán)的訪問(wèn)7.1.5A.7.2設(shè)備安全控制目標(biāo):預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運(yùn)營(yíng)活動(dòng)遭受干擾7.2控制措施A.7.2.1設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備,以降低來(lái)自環(huán)境的威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的訪問(wèn)7.2.1A.7.2.2電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜,應(yīng)予以保護(hù)免于被攔截或破壞7.2.3A.7.2.4設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù),以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報(bào)廢或再利用的安全防護(hù)設(shè)備在報(bào)廢或再利用前,應(yīng)清除在設(shè)備中的信息7.2.6A.7.3一般控制控制目標(biāo):防止信息及信息處理設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空策略組織應(yīng)具備辦公桌面凈空及計(jì)算機(jī)屏幕畫(huà)面凈空的政策,以降低因信息被未經(jīng)授權(quán)訪問(wèn)、遺失及損害所造成的風(fēng)險(xiǎn)7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2

A.8通訊與操作管理

BSISO/IEC17799:2000編號(hào)A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動(dòng)的工作日。操作日志應(yīng)受到經(jīng)常性的,獨(dú)立的審查。8.4.2A.8.4.3錯(cuò)誤事件登錄應(yīng)通報(bào)錯(cuò)誤并采取改正行動(dòng)8.4.3A.8.5網(wǎng)絡(luò)管理控制目標(biāo):確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全8.5.1A.8.6存儲(chǔ)媒體的處理與安全控制目標(biāo):防止資產(chǎn)遭受損害以及企業(yè)營(yíng)運(yùn)活動(dòng)遭受干擾

控制措施A.8.6.1可移動(dòng)式計(jì)算機(jī)存儲(chǔ)媒體的管理對(duì)于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤(pán)以及打印出來(lái)的報(bào)告的管理應(yīng)回以控制8.6.1A.8.6.2存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體,應(yīng)可靠并安全地處置8.6.2A.8.6.3信息的處理程序應(yīng)建立信息的處理及儲(chǔ)存程序,以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用8.6.3A.8.6.4系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問(wèn)8.6.4A.8.7信息及軟件的交換控制目標(biāo):防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時(shí),應(yīng)簽訂協(xié)議,其中有些可能是正式的協(xié)議書(shū)8.7.1A.8.7.2存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)的泄漏、不當(dāng)使用或毀壞8.7.2A.8.7.3電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為、合約爭(zhēng)議以及信息被泄漏及修改8.7.2A.8.7.4電子郵件的安全應(yīng)開(kāi)發(fā)一份電子郵件的使用策略,并應(yīng)有降低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來(lái)的業(yè)務(wù)與安全風(fēng)險(xiǎn),各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施8.7.5A.8.7.6開(kāi)放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過(guò)程,應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改8.7.6A.8.7.7其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗浴⒊绦蚣翱刂品椒▉?lái)保護(hù)經(jīng)由傳真、語(yǔ)音及影像等通訊設(shè)施進(jìn)行的信息交換8.7.7

A.9訪問(wèn)控制

BSISO/IEC17799:2000編號(hào)A.9.1企業(yè)營(yíng)運(yùn)對(duì)訪問(wèn)控制的要求控制目標(biāo):控制對(duì)于信息的訪問(wèn)9.1控制措施A.9.1.1訪問(wèn)控制策略企業(yè)營(yíng)運(yùn)對(duì)訪問(wèn)控制的要求應(yīng)加以界定并文件化,對(duì)于信息的訪問(wèn)應(yīng)如訪問(wèn)控制政策中所界定的加以限制9.1.1A.9.2使用者訪問(wèn)管理控制目標(biāo):確保訪問(wèn)信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)9.2控制措施A.9.2.1使用者注冊(cè)應(yīng)有正式的使用者注冊(cè)及注銷的程序,以進(jìn)行所有的多人使用信息系統(tǒng)及服務(wù)的訪問(wèn)授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對(duì)于特殊權(quán)限的分配及使用,應(yīng)加以限制及控制9.2.2A.9.2.3使用者密碼管理對(duì)密碼的分配,應(yīng)通過(guò)正式的管理流程加以控制9.2.3A.9.2.4使用者訪問(wèn)權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過(guò)程對(duì)于使用者的訪問(wèn)權(quán)限實(shí)施評(píng)審9.2.4A..9.3使用者責(zé)任控制目標(biāo):防止未經(jīng)授權(quán)的使用者訪問(wèn)9.3控制措施A.9.3.1密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí),遵循良好的安全慣例9.3.1A.9.3.2無(wú)人看管的使用者設(shè)備應(yīng)要求使用者確保無(wú)人看管的使用者設(shè)備有適當(dāng)?shù)谋Wo(hù)9.3.2A.9.4網(wǎng)絡(luò)訪問(wèn)控制控制目標(biāo):保護(hù)網(wǎng)絡(luò)化的服務(wù)9.4控制措施A.9.4.1使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問(wèn)已獲得特別授權(quán)使用的服務(wù)9.4.1A.9.4.2強(qiáng)制性的路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器羊的路徑應(yīng)加以控制9.4.2A.9.4.3外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對(duì)遠(yuǎn)程使用者的訪問(wèn)進(jìn)行使用者認(rèn)證9.4.3A.9.4.4節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的聯(lián)機(jī)應(yīng)被認(rèn)證9.4.4A.9.4.5遠(yuǎn)程診斷端口的保護(hù)對(duì)于診斷斷口的訪問(wèn)應(yīng)可靠地加以控制9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中,使用者的聯(lián)機(jī)能力應(yīng)依照訪問(wèn)控制策略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中,應(yīng)有路由控制方法以確保計(jì)算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營(yíng)運(yùn)應(yīng)用軟件的訪問(wèn)控制政策9.4.8A.9(繼續(xù))

BSISO/IEC17799:2000編號(hào)A.9.4.9網(wǎng)絡(luò)服務(wù)的安全對(duì)于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性,應(yīng)提供清楚的說(shuō)明9.4.9A.9.5操作系統(tǒng)訪問(wèn)控制控制目標(biāo):防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問(wèn)9.5控制措施A.9.5.1自動(dòng)化的終端機(jī)識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別,以認(rèn)證連接到特定場(chǎng)所及可移動(dòng)式設(shè)備的聯(lián)機(jī)9.5.1A.9.5.2終端機(jī)聯(lián)機(jī)程序訪問(wèn)信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程9.5.2A.9.5.3使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼(使用者代號(hào))專供其個(gè)人的使用,以便各項(xiàng)活動(dòng)可以追溯至應(yīng)負(fù)責(zé)的個(gè)人.使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實(shí)地識(shí)別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制9.5.5A.9.5.6提供受脅迫警報(bào)以保護(hù)使用者對(duì)于可能成為他人脅迫的目標(biāo)的使用者,應(yīng)提供脅迫警報(bào)9.5.6A.9.5.7終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場(chǎng)所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī),在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后,應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問(wèn)9.5.7A.9.5.8聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制,以提供高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全9.5.8A.9.6應(yīng)用程序訪問(wèn)控制控制目標(biāo):防止對(duì)于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問(wèn)9.6控制措施A.9.6.1信息訪問(wèn)限制對(duì)于信息及應(yīng)有系統(tǒng)的功能的訪問(wèn)應(yīng)依照訪問(wèn)控制策略加以限制9.6.1A.9.6.2機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專屬的〈隔離的〉運(yùn)算環(huán)境9.6.2A.9.7系統(tǒng)訪問(wèn)及使用的監(jiān)控控制目標(biāo):偵探未經(jīng)授權(quán)的活動(dòng)9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)事件的審核日志,并保存一定的期間以協(xié)助未來(lái)的調(diào)查及訪問(wèn)控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)施使用情況的程序,并且應(yīng)定期對(duì)監(jiān)活動(dòng)的結(jié)果進(jìn)行審查9.7.2A.9.7.3定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便能準(zhǔn)確地記錄9.7.3A.9(繼續(xù))

BSISO/IEC17799:2000編號(hào)A.9.8可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作控制目標(biāo):確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全9.8控制措施A.9.8.1可移動(dòng)式計(jì)算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒?,以防范使用可移?dòng)式計(jì)算機(jī)遠(yuǎn)算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn),特別是在未被保護(hù)的環(huán)境中工作時(shí)9.8.1A.9.8.2計(jì)算機(jī)通訊遠(yuǎn)距工作應(yīng)開(kāi)發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng)9.8.2A.10系統(tǒng)開(kāi)發(fā)及維護(hù)

BSISO/IEC17799:2000編號(hào)A.10.1系統(tǒng)的安全要求控制目標(biāo):確保安全機(jī)制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標(biāo)準(zhǔn)對(duì)于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營(yíng)運(yùn)要求,應(yīng)將對(duì)控制方法的要求制定于其中10.1.1A.10.2應(yīng)用系統(tǒng)中的安全控制目標(biāo):防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用10.2控制措施A.10.2.1輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證,以確保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部份,以偵測(cè)出所處理的資料是否損毀10.2.2A.10.2.3消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性的安全要求時(shí),應(yīng)針對(duì)應(yīng)用程序進(jìn)行消息的認(rèn)證10.2.3A.10.2.4輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證,以確保對(duì)所儲(chǔ)存的資料的處理流程是正確的,且就其情況而言是適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目標(biāo):保護(hù)信息的機(jī)密性、真實(shí)性或完整性10.3控制措施A.10.3.1運(yùn)用密碼學(xué)控制方法時(shí)的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來(lái)達(dá)成保護(hù)信息目的政策10.3.1A.10.3.2資料加密應(yīng)使用資料加密,以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性10.3.2A.10.3.3數(shù)字簽章應(yīng)使用不可否認(rèn)性的服務(wù),以解決某事件或行動(dòng)是否有發(fā)生的爭(zhēng)議10.3.3A.10.3.4不可否認(rèn)性的服務(wù)應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運(yùn)用10.3.4A.10.3.5密鑰管理

10.3.5A.10(繼續(xù))

BSISO/IEC17799:2000編號(hào)A.10.4系統(tǒng)檔案的安全控制目標(biāo):確保信息科技的項(xiàng)目及支持特性活動(dòng)以安全的方式來(lái)進(jìn)行10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測(cè)試資料的保護(hù)測(cè)試資料應(yīng)加以保護(hù)及控制10.4.2A.10.4.3原始鏈接庫(kù)的訪問(wèn)控制對(duì)于原始鏈接庫(kù)的訪問(wèn)維護(hù)嚴(yán)格的控制10.4.3A.10.5開(kāi)發(fā)及支持流程中的安全控制目標(biāo):維護(hù)應(yīng)用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實(shí)行,以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術(shù)審查當(dāng)發(fā)生變更時(shí),應(yīng)對(duì)應(yīng)用系統(tǒng)進(jìn)行審查及測(cè)試10.5.2A.10.5.3軟件包修改的限制應(yīng)阻止對(duì)于軟件包的修改,對(duì)于變更應(yīng)嚴(yán)格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應(yīng)控制并檢查軟件的采購(gòu)、使用及修改以防范可能密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開(kāi)發(fā)應(yīng)使用控制方法防護(hù)委外的軟件開(kāi)發(fā)10.5.5A.11業(yè)務(wù)持續(xù)動(dòng)作管理

BSISO/IEC17799:2000編號(hào)A.11.1業(yè)務(wù)持續(xù)動(dòng)作管理考慮控制目標(biāo):防止企業(yè)運(yùn)營(yíng)中斷并且保護(hù)企業(yè)營(yíng)運(yùn)的關(guān)鍵流程免于重大失效或?yàn)?zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)持續(xù)動(dòng)作的管理流程為發(fā)展及維護(hù)企業(yè)的持續(xù)動(dòng)作性,應(yīng)有遍及整個(gè)組織的管理流程11.1.1A.11.1.2業(yè)務(wù)持續(xù)動(dòng)作及沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的策略性計(jì)劃,以為業(yè)務(wù)持續(xù)動(dòng)作的方法11.1.2A.11.1.3持續(xù)動(dòng)作計(jì)劃的撰寫(xiě)及執(zhí)行應(yīng)發(fā)展計(jì)劃確保在重要的業(yè)務(wù)流程中斷或失效后可及時(shí)維護(hù)或恢復(fù)業(yè)務(wù)動(dòng)作11.1.3A.11.1.4業(yè)務(wù)持續(xù)動(dòng)作規(guī)劃的架構(gòu)應(yīng)維持一個(gè)單一的業(yè)務(wù)持續(xù)動(dòng)作計(jì)劃架構(gòu),以確保所有計(jì)劃的一致性,且鑒別其先后次序以進(jìn)行測(cè)試與維護(hù)11.1.4A.11.1.5業(yè)務(wù)持續(xù)動(dòng)作計(jì)劃的測(cè)試、維護(hù)與再評(píng)估業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃應(yīng)定期測(cè)試,且透過(guò)定期審查予以維護(hù),以確保及時(shí)性及有效性11.1.5

A.12符合性

BSISO/IEC17799:2000編號(hào)A.12.1法規(guī)要求的符合性控制目標(biāo):避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何安全的要求12.1控制措施A.12.1.1鑒別適用的法律規(guī)定對(duì)每一個(gè)信息系統(tǒng)而言,法律條文、行政法律及契約內(nèi)容所規(guī)定的所有相關(guān)要求,應(yīng)加以明白地界定及文件化12.1.1A.12.1.2知識(shí)產(chǎn)權(quán)應(yīng)實(shí)行適當(dāng)?shù)某绦?以確保在使用智能財(cái)產(chǎn)權(quán)方面的物品及他人專屬的軟件產(chǎn)品時(shí),能符合法律的限制12.1.2A.12.1.3組織記錄的保護(hù)應(yīng)防止屬于組織的重要記錄遺失、被破壞及篡改12.1.3A.12.1.4個(gè)人信息的隱私及數(shù)據(jù)保護(hù)應(yīng)使用控制方法,以依照相關(guān)的法律保護(hù)個(gè)人信息12.1.4A.12.1.5信息處理設(shè)施不當(dāng)使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)營(yíng)管理者授權(quán),并且在應(yīng)使用控制方法,以防止這些設(shè)施遭受不當(dāng)使用12.1.5A.12.1.6有關(guān)密碼學(xué)控制方法的政府規(guī)定應(yīng)有適當(dāng)?shù)目刂品椒ǎ源_保使用或訪問(wèn)密碼學(xué)控制方法,符合國(guó)家所制定的協(xié)議書(shū)、法律、行政規(guī)定或其他正式法律文件的要求12.1.6A.12.1.7證據(jù)的收集當(dāng)對(duì)某個(gè)人或某組織所采取的行動(dòng)涉及法律,不論是民法或刑法,所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍ?duì)于證據(jù)所作的規(guī)定,并應(yīng)包括符合任何有關(guān)可采購(gòu)證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi)12.1.7A.12.2安全政策符合性及技術(shù)符合性的審查控制目標(biāo):確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn)12.2控制措施A.12.2.1安全方針的符合性管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行,并且組織內(nèi)的所有范圍應(yīng)定期加以審查,以確保符合安全政策及標(biāo)準(zhǔn)12.2.1A.12.2.2技術(shù)符合性的檢查

12.2.2A.12.3系統(tǒng)審核的考慮控制目標(biāo):將有效性提升至最大,并將對(duì)來(lái)自及作用在系統(tǒng)審核,流程的干擾降至最小12.3控制措施A.12.3.1

系統(tǒng)審核的控制對(duì)于操作系統(tǒng)的審核,應(yīng)加以策劃并取得同意,以將對(duì)企業(yè)營(yíng)運(yùn)的流程造成中斷的風(fēng)險(xiǎn)降至最小12.3.1A.12.3.2系統(tǒng)審核工具的保護(hù)對(duì)于系統(tǒng)審核工具的訪問(wèn)應(yīng)加以保護(hù),以防止可能的不當(dāng)使用或遭侵入而損壞12.3.2

附錄B(情報(bào)性的)標(biāo)準(zhǔn)使用指南B.1總則

B.1.1PDCA模型建立和管理一個(gè)信息安全管理體系需要像其他任何管理體系一樣的方法。這里描述的過(guò)程模型遵循一個(gè)連續(xù)的活動(dòng)循環(huán)計(jì)劃、實(shí)施、檢查、和處置。之所以可以描述為一個(gè)有效的循環(huán)國(guó)為它的目的是為了保證您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)間改進(jìn)。

B.1.2計(jì)劃和實(shí)施一個(gè)持續(xù)提高的過(guò)程通常要求最初的投資:文件化實(shí)踐,將風(fēng)險(xiǎn)管理的進(jìn)程正式化,確定評(píng)審的方法和配置資源。這些活動(dòng)通常作為循環(huán)的開(kāi)始。這個(gè)階段在評(píng)審階段開(kāi)始實(shí)施時(shí)結(jié)束。計(jì)劃階段用來(lái)保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立,評(píng)估信息安全風(fēng)險(xiǎn)和建立適當(dāng)?shù)靥幚磉@些風(fēng)險(xiǎn)的計(jì)劃。實(shí)施階段用來(lái)實(shí)施在計(jì)劃階段確定的決定和解決方案。

B.1.3檢查和處置檢查和處置評(píng)審階段用來(lái)加強(qiáng)、修改和改進(jìn)已識(shí)別和實(shí)施的安全方案。評(píng)審可以在任何時(shí)間、以任何頻率實(shí)施,取決于怎樣做適合于考慮的具體情況。在一些體系中他們可能需要建立在計(jì)算機(jī)化的過(guò)程中以運(yùn)行和立即回應(yīng)。其他過(guò)程可能只需在有信息安全事故時(shí)、被保護(hù)的信息資產(chǎn)變化時(shí)或需要增加時(shí)、威脅和脆弱性變化時(shí)需要回應(yīng)。最后,需要每一年或其他周期性評(píng)審或?qū)徍艘员WC整個(gè)管理體系達(dá)成其目標(biāo)。

B.1.4控制措施總結(jié)(SummaryofControls)組織可能發(fā)現(xiàn)制作一份相關(guān)和應(yīng)用于組織的信息安全管理體系的控制措施總結(jié)(SoC)的好處。提供一份控制措施小結(jié)可以使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC可能包含敏感的信息,因此當(dāng)SoC在外部和內(nèi)部同時(shí)應(yīng)用時(shí),應(yīng)考慮他們對(duì)于接收者是否合適。注:SoC不是(StatementofApplicability)[見(jiàn)4.2.1]的替代品。SoA是認(rèn)證必須的要求。

B.2計(jì)劃階段

B.2.1介紹PDCA循環(huán)的計(jì)劃活動(dòng)是為保證正確地建立信息安全管理體系的內(nèi)容和范圍,識(shí)別和評(píng)估所有的信息安全風(fēng)險(xiǎn),建立合適的處理風(fēng)險(xiǎn)計(jì)劃而設(shè)計(jì)的。計(jì)劃活動(dòng)所有階段必須文件化作為管理變化的追溯,這一點(diǎn)非常重要。

B.2.2信息安全方針4.2.1b)要求組織和其管理層確定包含建立其目標(biāo)和目的框架、并建立總的方向、信息安全行動(dòng)原則的信息安全方針。該方針的內(nèi)容的指南在BSISO/IEC17799:2000中給出。

B.2.3信息安全管理體系的范圍信息安全管理體系可能覆蓋組織所有部分。應(yīng)清楚識(shí)別的從屬、界面和對(duì)于一個(gè)環(huán)境的邊界的假設(shè)。這對(duì)于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時(shí)尤其重要。范圍的界定可能分為幾種方式,例如,分為領(lǐng)域,使后續(xù)的風(fēng)險(xiǎn)管理任務(wù)變得容易。信息安全管理體系范圍文件應(yīng)覆蓋:a)

建立范圍和信息安全管理體系的環(huán)境所使用的過(guò)程;b)

戰(zhàn)略及組織環(huán)境;c)

組織使用的信息安全風(fēng)險(xiǎn)管理的方法;d)

信息安全風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和所需的確保的程度的要求;e)

在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識(shí)別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個(gè)管理體系或另一個(gè)信息安全管理體系(相同的或一個(gè)第三方的組織)之內(nèi),在這種情況下,只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。

B.2.4風(fēng)險(xiǎn)識(shí)別和評(píng)估風(fēng)險(xiǎn)評(píng)估文件應(yīng)解釋選擇哪一種風(fēng)險(xiǎn)方法,為什么此方法適合安全要求,業(yè)務(wù)環(huán)境,組織的規(guī)模和面臨的風(fēng)險(xiǎn)等。采用的方法應(yīng)致力于安全的努力和有效利用資源。文件也應(yīng)覆蓋選擇的工具和技術(shù),解釋為什么它們適用于信息安全管理體系的范圍和風(fēng)險(xiǎn),怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。以下風(fēng)險(xiǎn)評(píng)估的詳細(xì)內(nèi)容應(yīng)文件化:a)

信息安全管理體系范圍內(nèi)的資產(chǎn)的評(píng)價(jià),包括在不能以錢來(lái)衡量時(shí),估價(jià)量度的使用的信息;b)

識(shí)別威脅和弱點(diǎn);c)

對(duì)威脅利用脆弱點(diǎn)的評(píng)估,及當(dāng)此類事故發(fā)生時(shí)的影響;d)

在評(píng)估結(jié)果的基礎(chǔ)上計(jì)算風(fēng)險(xiǎn),識(shí)別殘余風(fēng)險(xiǎn)。

B.2.5風(fēng)險(xiǎn)處理計(jì)劃組織應(yīng)建立一個(gè)詳細(xì)的日程,或風(fēng)險(xiǎn)處理計(jì)劃,對(duì)于每一個(gè)識(shí)別的風(fēng)險(xiǎn)確定:a)

選擇的處理風(fēng)險(xiǎn)的方法;b)

已有的控制措施;c)

建議的新添的控制措施;d)

實(shí)施新提議的控制措施的時(shí)間架構(gòu)。應(yīng)識(shí)別一個(gè)可接受風(fēng)險(xiǎn)的水平,對(duì)于每一個(gè)不在可接受水平內(nèi)的風(fēng)險(xiǎn)應(yīng)從下列方面選擇合適的措施:a)

決定接受風(fēng)險(xiǎn),如,因?yàn)椴荒懿扇∑渌胧┗蛱F;b)

轉(zhuǎn)移風(fēng)險(xiǎn);或c)

降低風(fēng)險(xiǎn)到可接受的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)治理計(jì)劃是一個(gè)調(diào)和的文件,確定降低不可接受的水平,因此應(yīng)對(duì)是否增加更多的控制措施或接受更高的風(fēng)險(xiǎn)作出一個(gè)決定。當(dāng)設(shè)立一個(gè)可接受的風(fēng)險(xiǎn)的水平,力度和控制措施的成本應(yīng)與潛在的事故造成的代價(jià)相比較。適用性聲明[見(jiàn)4.2.1h]記錄控制目標(biāo)和從附錄A選擇的控制措施。這份文件是信息安全管理體系認(rèn)證要求的一份工作文件。BSISO/IEC17799:2000提供相關(guān)實(shí)施這些控制措施的附加信息,當(dāng)識(shí)別的風(fēng)險(xiǎn)超過(guò)這些控制措施可以控制的水平時(shí),可能需要設(shè)計(jì)附加的控制措施并加以實(shí)施。設(shè)計(jì)用來(lái)阻止、偵測(cè)、限制、保護(hù)和恢復(fù)安全侵害(與信息安全管理體系一致)的控制措施對(duì)實(shí)施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測(cè)、限制和恢復(fù)的管理控制措施一起加以實(shí)施,這樣才能更有效。應(yīng)準(zhǔn)備一份提供日程、排列優(yōu)先次序、一個(gè)詳細(xì)的工作計(jì)劃和責(zé)任的計(jì)劃,實(shí)施控制措施。B.3實(shí)施階段

B.3.1介紹在PDCA循環(huán)中的實(shí)施階段是設(shè)計(jì)用來(lái)實(shí)施選擇的控制措施和推進(jìn)必要的策劃階段所做出的決定一致的管理信息安全風(fēng)險(xiǎn)措施。

B.3.2資源,培訓(xùn)和意識(shí)應(yīng)落實(shí)充足的運(yùn)行信息安全管理體系和所有安全控制措施的資源,包括實(shí)施所有控制措施的文件,和維護(hù)信息安全管理體系文件的活動(dòng)。另外,應(yīng)提高安全意識(shí)和實(shí)施培訓(xùn)項(xiàng)目,這項(xiàng)活動(dòng)應(yīng)與實(shí)施安全控制措施并行。意識(shí)項(xiàng)目的目的是產(chǎn)生一種有很好基礎(chǔ)的風(fēng)險(xiǎn)管理和安全的文化。應(yīng)監(jiān)控安全意識(shí)項(xiàng)目的進(jìn)展以保證其持續(xù)有效性和時(shí)事性。特別的安全培訓(xùn)應(yīng)適用于是否支持意識(shí)項(xiàng)目,使所有相關(guān)方在需要時(shí)完成他們的任務(wù)。

B.3.3風(fēng)險(xiǎn)處理對(duì)于經(jīng)過(guò)評(píng)估可接受的風(fēng)險(xiǎn),不需要進(jìn)一步的措施。如果決定轉(zhuǎn)移風(fēng)險(xiǎn),應(yīng)采取進(jìn)一步行動(dòng),如:使用合同,保險(xiǎn)安排和組織結(jié)構(gòu)如合作伙伴和合資等。在這種情況下,應(yīng)保證風(fēng)險(xiǎn)轉(zhuǎn)移到的組織理解那些風(fēng)險(xiǎn)的性質(zhì)和能夠有效地管理他們。當(dāng)決定降低風(fēng)險(xiǎn),應(yīng)實(shí)施已選擇的控制措施。這些實(shí)施應(yīng)與在策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃一致。成功實(shí)施該計(jì)劃要求有效的管理體系,管理體系確定選擇的方法,指派責(zé)任和個(gè)人對(duì)措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。當(dāng)一個(gè)組織決定接受高于呆接受水平的風(fēng)險(xiǎn)時(shí),應(yīng)獲得管理層的批準(zhǔn)。在不可接受風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后,還會(huì)有殘余風(fēng)險(xiǎn)??刂拼胧?yīng)保證不希望發(fā)生的影響或破壞及時(shí)被識(shí)別并適當(dāng)管理。

B.4檢查階段

B.4.1介紹檢查活動(dòng)是設(shè)計(jì)用來(lái)保證控制措施有效運(yùn)行,與預(yù)期一致,信息安全管理體系持續(xù)有效。另外,任何有關(guān)風(fēng)險(xiǎn)評(píng)估范圍或假設(shè)的變化應(yīng)予以考慮。如果發(fā)現(xiàn)控制措施不夠充足,應(yīng)決定采取必要的糾正措施。此類活動(dòng)的實(shí)行應(yīng)在PDCA循環(huán)的處置階段。意識(shí)到糾正措施只有在必要時(shí)采用非常重要:a)

維護(hù)信息安全管理體系文件內(nèi)部的一致性:并b)

如果不做改變其效果會(huì)使組織暴露與不可接受的風(fēng)險(xiǎn)之下。檢查活動(dòng)也應(yīng)包括一份為管理和運(yùn)行信息安全管理體系的控制措施的程序的描述及不斷評(píng)審風(fēng)險(xiǎn)及在不斷變化的技術(shù)、威脅或功能下處理風(fēng)險(xiǎn)的過(guò)程。在可能確定目前的安全狀態(tài)是令人滿意的同時(shí),應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)生,以預(yù)測(cè)信息安全管理體系未來(lái)的變化并確保其在未來(lái)持續(xù)有效。在檢查階段采集的信息提供可以用來(lái)決定和測(cè)量信息安全管理體系在符合文件化的組織安全方針和目標(biāo)有效性的測(cè)量的有價(jià)值的數(shù)據(jù)資源。這些信息應(yīng)同時(shí)用于一種識(shí)別無(wú)效的過(guò)程和程序的資源。檢查活動(dòng)的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性,以下是一些例子。例一入侵檢測(cè)技術(shù)的自動(dòng)響應(yīng)。一個(gè)網(wǎng)絡(luò)入侵監(jiān)測(cè)員會(huì)監(jiān)測(cè)其他部件的安全是否被滲透。例二安全事故響應(yīng)行動(dòng)。在安全破壞事件中采取行動(dòng)的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。在B.4.2到B.4.7中給出了其他的例子

B.4.2日常檢查這些程序應(yīng)作為正式的業(yè)務(wù)過(guò)程經(jīng)常進(jìn)行并設(shè)計(jì)用來(lái)偵測(cè)處理結(jié)果的錯(cuò)誤。他們可能包括:調(diào)整銀行賬戶、資產(chǎn)清點(diǎn)、及解決客戶抱怨。很明確,此類的檢查需要設(shè)計(jì)的體系里以進(jìn)行足夠的次數(shù)來(lái)限制任何發(fā)生的錯(cuò)誤造成的損害(及后續(xù)責(zé)任)。a)

檢查有沒(méi)有無(wú)意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變;b)

確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分間傳輸?shù)臏?zhǔn)確性和完整性。

B.4.3自治程序自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。例如,一個(gè)監(jiān)控網(wǎng)絡(luò)(如:設(shè)備故障或錯(cuò)誤)的設(shè)備并鳴響警鈴。警鈴能夠提醒負(fù)責(zé)的員工問(wèn)題的所在,使他們能查清事故原因并修復(fù)它。但在一段時(shí)間內(nèi)如果總是不能被糾正,另外的警鈴會(huì)對(duì)更高層的管理者鳴響,因此自動(dòng)升級(jí)問(wèn)題。

B.4.4從其它處學(xué)習(xí)一種確定組織的程序不夠好的方法是識(shí)別其他組織處理問(wèn)題是否更有效。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動(dòng)。有很多來(lái)源識(shí)別在技術(shù)和軟件中的脆弱性。組織應(yīng)經(jīng)常參考這些并對(duì)他們的軟件進(jìn)行適當(dāng)?shù)母?。管理技巧的信息?huì)經(jīng)常在很多管理論壇上交流和討論,包括會(huì)議,執(zhí)業(yè)協(xié)會(huì),和使用者小組,并有很多文件發(fā)布在技術(shù)和管理雜志上。此類交流使組織能夠?qū)W習(xí)怎樣處理類似的問(wèn)題。

B.4.5內(nèi)部信息安全管理體系審核總的目標(biāo)是通過(guò)在一個(gè)特定常規(guī)審核時(shí)間段進(jìn)行檢查(時(shí)間不應(yīng)該超過(guò)一年)信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。應(yīng)計(jì)劃足夠的審核次數(shù)使審核任務(wù)均勻散布在整個(gè)的選擇周期。管理層應(yīng)保證有證據(jù)確認(rèn):a)

信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求;b)

使用一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法;c)

遵循了文件化的管理程序(即:在信息安全管理體系的范圍內(nèi)),并達(dá)到了他們向往的目標(biāo);d)

實(shí)施了技術(shù)控制措施(如:防火墻,物理訪問(wèn)控制)等,并正確地配置和像預(yù)期的一樣工作;e)

正確地評(píng)估了殘余風(fēng)險(xiǎn)而且組織有的管理層仍能接受殘余風(fēng)險(xiǎn);f)

實(shí)施了前一次審核和評(píng)審達(dá)成一致意見(jiàn)的措施;g)

信息安全管理體系與本標(biāo)準(zhǔn)一致。審核需要目前文件和記錄的樣本及管理層和員工參與會(huì)見(jiàn)談話。

B.4.6管理評(píng)審總目標(biāo)是檢查信息安全管理體系的有效性,至少每年一次,以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。在確定目前的安全狀態(tài)是令人滿意的同時(shí),應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點(diǎn)的發(fā)生,以預(yù)測(cè)信息安全管理體系未來(lái)的變化并確保其在未來(lái)持續(xù)有效。

B.4.7趨勢(shì)分析經(jīng)常進(jìn)行趨勢(shì)分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域,并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。

B.5改進(jìn)階段

B.5.1介紹為使信息安全管理體系保持有效,應(yīng)以在檢查階段采集和信息為基礎(chǔ)經(jīng)常改進(jìn)。改進(jìn)活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。行動(dòng)將就不符合項(xiàng)或采取其他的糾正措施如在B.5.2和B.5.3中解釋的。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。一個(gè)前面的例子是當(dāng)一個(gè)新的威脅被識(shí)別,策劃活動(dòng)應(yīng)更新風(fēng)險(xiǎn)評(píng)估。一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng),如果檢查活動(dòng)識(shí)別出需要這樣做。注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動(dòng),關(guān)鍵是所有的相關(guān)方被子及時(shí)告知所作的改變,并提相應(yīng)的附加的培訓(xùn)。

B.5.2不符合項(xiàng)一個(gè)不符合項(xiàng)是:(從ISO/IEC指南62條款應(yīng)用使用指南)a)

缺少,或缺乏有效實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求;或b)

一種情況是,在有客觀證據(jù)的基礎(chǔ)上,引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。非常重要的,在檢查階段的評(píng)審強(qiáng)調(diào)不符合項(xiàng)的區(qū)域,應(yīng)采取進(jìn)一步的調(diào)查以識(shí)別事故的原因,識(shí)別采取不僅解決問(wèn)題而且減少和防止其再發(fā)生。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度對(duì)于信息安全管理體系符合特定的要求的風(fēng)險(xiǎn)一致。

B.5.3糾正和預(yù)防措施應(yīng)采取糾正(或反應(yīng)式的)措施以消除不符合項(xiàng)的原因或其他不合需要的情況以防止再次發(fā)生。應(yīng)采取預(yù)防(或預(yù)先)措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。永遠(yuǎn)不可能全部消除孤立的不符合項(xiàng)。另一方面,可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆,如果不加以處理可能會(huì)對(duì)整個(gè)組織發(fā)生影響。當(dāng)識(shí)別和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件。如果不加以立即的糾正措施外,考慮中、長(zhǎng)期觀點(diǎn)非常重要,確保補(bǔ)救工作不僅考慮在考慮之下的問(wèn)題而且預(yù)防和減少類似事件在發(fā)生的可能性。

B.5.4OECD原則和BS7799-2002-12-19在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。本英國(guó)標(biāo)準(zhǔn)為實(shí)施一些OECD原則提供一個(gè)使用PDCA模型的信息安全管理體系框架,在條款4,5,6和7中描述的過(guò)程,在表B.1.中顯示。

表B.1-OECD原則和PDCA模型

OECD原則對(duì)應(yīng)的信息安全管理體系過(guò)程和PDCA階段意識(shí)參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來(lái)加強(qiáng)安全這個(gè)活動(dòng)是實(shí)施過(guò)程的一部分(見(jiàn)4.2.2和5.2.2)責(zé)任所有參與者負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全這個(gè)活動(dòng)是實(shí)施進(jìn)程的一部分(見(jiàn)4.2.2和5.1)回應(yīng)參與者應(yīng)及時(shí)并采取協(xié)作的方式以預(yù)防、偵測(cè)和回應(yīng)安全事件這是監(jiān)控活動(dòng)的一部分,檢查階段(見(jiàn)4.2.3和6.1至6.4)和一個(gè)回應(yīng)活動(dòng),糾正階段(見(jiàn)4.2.4和7.1至7.3)。這還可以被一些策劃和檢查階段方面覆蓋風(fēng)險(xiǎn)評(píng)估參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估這項(xiàng)活動(dòng)是策劃階段的一部分(見(jiàn)4.2.1)并且風(fēng)險(xiǎn)在評(píng)估是檢查階段的一部分(見(jiàn)4.2.3和6.1至6.4)安全設(shè)計(jì)和實(shí)施參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素一旦完成風(fēng)險(xiǎn)評(píng)估,選擇控制措施處理風(fēng)險(xiǎn)是策劃階段的一部分(見(jiàn)4.2.1)。實(shí)施階段(見(jiàn)4.2.2和5.2)覆蓋這些控制措施的實(shí)施和運(yùn)行。安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險(xiǎn)管理實(shí)施一個(gè)包括預(yù)防,偵測(cè)和回應(yīng)事故,不斷維護(hù),評(píng)審和審核的過(guò)程。所有這方面包含在策劃,實(shí)施,檢查和改進(jìn)階段重新評(píng)估參與者應(yīng)評(píng)審和重新評(píng)估信息系統(tǒng)和網(wǎng)絡(luò)的安全,并進(jìn)行適當(dāng)?shù)男薷陌踩结?,?shí)踐,測(cè)量和程序信息安全的重新評(píng)估是檢查階段的一部分(見(jiàn)4.2.3和6.1至6.4),應(yīng)進(jìn)行經(jīng)常性的評(píng)估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分(見(jiàn)4.2.4和7.1至7.3)

附錄C(情報(bào)性的)BSENISO9001:2000,BSENISO14001:1996與BS7799-2:2002對(duì)照表C.1顯示BSENISO9001:2000,BSENISO14001:1996與BS7799-2:2002間的對(duì)照關(guān)系BS7799-2:20002BSENISO9001:2000BSENISO14001:19960介紹0.1介紹0.2過(guò)程方法

0.3與其他管理體系的兼容性0介紹0.1總則0.2過(guò)程方法0.3與ISO9004的關(guān)系0.

4與其他管理體系的兼容性

介紹1范圍1.1總則1.2應(yīng)用1范圍1.1總則1.2應(yīng)用1范圍2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考3名詞和定義3名詞和定義3名詞和定義4信息安全管理體系要求4.1總要求4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.2實(shí)施和運(yùn)行信息安全管理體系4.2.3監(jiān)控和評(píng)審信息安全管理體系4.2.4維護(hù)和改進(jìn)住處安全管理體系4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制4QMS要求4.1總要求

4.2文件要求4.2.1總則4.2.2文件控制4.2.3文件控制4.2.4記錄控制4EMS要求4.1總要求

4.4實(shí)施和運(yùn)行

4.5.1監(jiān)控和測(cè)量4.5.2不符合糾正預(yù)防措施

4.4.5文件控制4.5.3記錄5管理責(zé)任5.1管理承諾5管理責(zé)任5.1管理承諾5.2以客戶為關(guān)注焦點(diǎn)5.3質(zhì)量方針5.4策劃5.5責(zé)任、授權(quán)和溝通

4.2環(huán)境方針4.3策劃

表C.1顯示BSENISO9001:2000,BSENISO14001:1996與BS7799-2:2002間的對(duì)照關(guān)系(繼續(xù))

BS7799-2:2002BSENISO9001:2000BSENISO14001:19965.2資源管理5.2.1資源提供

5.2.2培訓(xùn)、意識(shí)和能力6資源管理6.1資源提供6.2人力資源6.2.2能力,意識(shí)和培訓(xùn)6.3基礎(chǔ)設(shè)施6.4工作環(huán)境

4.2.2培訓(xùn),意識(shí)和能力6信息安全管理體系管理評(píng)審6.1總則6.2評(píng)審輸入6.3評(píng)審輸出6.4信息安全管理體系內(nèi)部審核

5.6管理評(píng)審

5.6.1總則5.6.2評(píng)審輸入5.6.3評(píng)審輸出8.2.2內(nèi)部審核4.6管理評(píng)審

4.5.4EMS審核7信息安全管理體系改進(jìn)7.1持續(xù)改進(jìn)7.2糾正措施

7.3預(yù)防措施

8改進(jìn)8.5.1持續(xù)改進(jìn)8.5.2糾正措施

8.5.3預(yù)防措施

4.5.2不符合與糾正預(yù)防措施

附錄A控制目標(biāo)和控制措施附錄B標(biāo)準(zhǔn)使用指南附錄C不同管理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對(duì)應(yīng)關(guān)系

附錄AISO14001與ISO9001間的聯(lián)系

附錄A規(guī)范使用指南附錄BISO14001和ISO9001間的聯(lián)系

精品文檔精心整理精品文檔可編輯的精品文檔

英國(guó)標(biāo)準(zhǔn)——BS7799-2:2002

信息安全管理體系——規(guī)范與使用指南

目錄前言0介紹0.1總則0.2過(guò)程方法0.

3其他管理體系的兼容性1范圍1.1概要1.2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求4.1總則4.2建立和管理信息安全管理體系4.2.1建立信息安全管理體系4.2.2實(shí)施和運(yùn)營(yíng)(對(duì)照中文ISO9001確認(rèn))?信息安全管理體系4.2.3監(jiān)控和評(píng)審信息安全管理體系4.2.4維護(hù)和改進(jìn)信息安全管理體系4.3文件化要求4.3.1總則4.3.2文件控制4.3.3記錄控制5管理職責(zé)5.1管理承諾?(對(duì)照中文ISO9001確認(rèn))5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識(shí)和能力6信息安全管理體系管理評(píng)審6.1總則6.2評(píng)審輸入?(對(duì)照中文ISO9001確認(rèn))6.3評(píng)審輸出?(對(duì)照中文IS9001確認(rèn))7信息安全管理體系改進(jìn)7.1持續(xù)改進(jìn)7.2糾正措施7.3預(yù)防措施附件A(有關(guān)標(biāo)準(zhǔn)的)控制目標(biāo)和控制措施A.1介紹A.2最佳實(shí)踐指南A.3安全方針A.4組織安全A.5資產(chǎn)分級(jí)和控制A.6人事安全A.7實(shí)體和環(huán)境安全A.8通信與運(yùn)營(yíng)安全A.9訪問(wèn)控制A.10系統(tǒng)開(kāi)發(fā)和維護(hù)A.11業(yè)務(wù)連續(xù)性管理A.12符合

附件B(情報(bào)性的)本標(biāo)準(zhǔn)使用指南B1概況B.1.1PDCA模型B.1.2計(jì)劃與實(shí)施B.1.3檢查與改進(jìn)B.1.4控制措施小結(jié)B2計(jì)劃階段B.2.1介紹B.2.2信息安全方針B.2.3信息安全管理體系范圍B.2.4風(fēng)險(xiǎn)識(shí)別與評(píng)估B2.5風(fēng)險(xiǎn)處理計(jì)劃B3實(shí)施階段B.3.1介紹B.3.2資源、培訓(xùn)和意識(shí)B.3.3風(fēng)險(xiǎn)處理B4實(shí)施階段B.4.1介紹B.4.2常規(guī)檢查B.4.3自我監(jiān)督程序B.4.4從其它事件中學(xué)習(xí)B.4.5審核B.4.6管理評(píng)審B.4.7趨勢(shì)分析B5改進(jìn)階段B.5.1介紹B.5.2不符合項(xiàng)B.5.3糾正和預(yù)防措施B.5.4OECD原則和BS7799-2附件C(情報(bào))ISO9001:2000、ISO14001與BS7799-2:2002條款對(duì)照0介紹0.1總則本標(biāo)準(zhǔn)的目的是為管理者和他們的員工們提供建立和管理一個(gè)有效的信息安全管理體系(信息安全管理體系)有模型。采用信息安全管理體系應(yīng)當(dāng)是一項(xiàng)組織的戰(zhàn)略決策。一個(gè)組織信息安全管理體系的設(shè)計(jì)和實(shí)施受運(yùn)營(yíng)需求、具體目標(biāo)、安全需求、所采用的過(guò)程及該組織的規(guī)模和結(jié)構(gòu)的影響。上述因素和他們的支持過(guò)程會(huì)不斷發(fā)生變化。希望簡(jiǎn)單的情況使用簡(jiǎn)單的信息安全解決方案。

本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用,評(píng)定一個(gè)組織符合其本身的需要及客戶和法律的要求的能力。

0.2過(guò)程方法本標(biāo)準(zhǔn)鼓勵(lì)采用過(guò)程的方法建立、實(shí)施、和改進(jìn)組織的信息安全管理體系的有效性。

為使組織有效動(dòng)作,必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)。通過(guò)使用資源和管理,將輸入轉(zhuǎn)化為輸出的活動(dòng)可視為過(guò)程。通常,一個(gè)過(guò)程的輸出直接形成了下一個(gè)過(guò)程的輸入。組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用,連同這些過(guò)程的識(shí)別和相互作用及其慣例,課程只為:“過(guò)程方法”。過(guò)程的方法鼓勵(lì)使用者強(qiáng)調(diào)以下方面的重要性:a)

理解業(yè)務(wù)動(dòng)作對(duì)信息安全的需求和建立信息安全方針和目標(biāo)的需要;b)

在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施和動(dòng)作控制措施;c)

監(jiān)控和評(píng)審信息安全管理體系的有效性和績(jī)效;d)

在客觀的測(cè)量,持續(xù)改進(jìn)過(guò)程。本標(biāo)準(zhǔn)采用的模型就是說(shuō)眾所周知的“Plan策劃-Do實(shí)施-Check檢查-Act處置”(PDCA)模型,適用于所有信息安全管理體系的過(guò)程。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望,通過(guò)必要的行動(dòng)措施和過(guò)程,產(chǎn)生信息安全結(jié)果(即:管理狀態(tài)下的信息安全),滿足那些需要和期望。圖一同時(shí)展示了4、5、6和7章中所提出的過(guò)程聯(lián)系。

例1一個(gè)需求是信息安全事故不要引起組織的財(cái)務(wù)損失和/或引起高層主管的尷尬。例2一個(gè)期望可以是如果嚴(yán)重的事故發(fā)生-如:組織的電子商務(wù)網(wǎng)站被黑客入侵—將有被培訓(xùn)過(guò)的員工通過(guò)適用的程序減少其影響。

注:名詞“程序”,從傳統(tǒng)來(lái)講,用在信息安全方面意味著員工工作的過(guò)程,而不是計(jì)算機(jī)或其它電子概念。

PDCA模型應(yīng)用與信息安全管理體系過(guò)程

計(jì)劃PLAN建立建立ISMS

相關(guān)單位

相關(guān)單位

管理狀態(tài)下的信息安全

相關(guān)單位

信息安全需求和期望

實(shí)施和運(yùn)作實(shí)施和運(yùn)作ISMS維護(hù)和改進(jìn)ISMS

實(shí)施改進(jìn)監(jiān)控和監(jiān)控和評(píng)審ISMS用 DOACTION

檢查CHECK

計(jì)劃(建立信息安全管理體系)建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的安全方針、目標(biāo)、目的、過(guò)程和程序,以達(dá)到與組織整體方針和目標(biāo)相適應(yīng)的結(jié)果。實(shí)施(實(shí)施和動(dòng)作信息安全管理體系實(shí)施和動(dòng)作信息安全方針、控制措施、過(guò)程和程序。檢查(監(jiān)控和評(píng)審信息安全管理體系)針對(duì)安全方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)等評(píng)審和(如果適用)職測(cè)量過(guò)程的績(jī)效并向管理層報(bào)告結(jié)果供評(píng)審使用。改進(jìn)(維護(hù)和改進(jìn)信息安全管理體系)在管理評(píng)審的結(jié)果的基礎(chǔ)上,采取糾正和預(yù)防措施以持續(xù)改進(jìn)信息安全管理體系。0.3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001:2000與ISO16949:1996相結(jié)合以支持實(shí)施和動(dòng)作安全體系的一致性和整合。在附件C中以表格顯示BS7799,ISO14001各部分不同條款間的對(duì)應(yīng)關(guān)系,本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。

1范圍1.1概要本標(biāo)準(zhǔn)提供在組織整個(gè)動(dòng)作風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)一個(gè)文件化的信息安全管理體系的模型。它規(guī)范了對(duì)定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)部分的需求。(附錄B提供使用規(guī)范的指南)。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護(hù)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論