信息安全管理體系規(guī)范與使用指南

英國標準——BS7799-2:2002

信息安全管理體系

規(guī)范與使用指南

編號：

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第2頁共42頁

目錄

前言

0介紹

0.1總則

0.2過程方法

0.3與其他管理體系的兼容性

1范圍

1.1概要

1.2應用

第2頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第3頁共42頁

2標準參考

3名詞與定義

4信息安全管理體系要求

4.1總則

4.2建立和管理信息安全管理體系

4.2.1建立信息安全管理體系

4.2.2實施和運作信息安全管理體系

4.2.3監(jiān)控和評審信息安全管理體系

4.2?4維護和改進信息安全管理體系

4.3文件化要求

4.3.1總貝IJ

4.3.2文件控制

4.3.3記錄控制

5管理職責

5.1管理承諾

5.2資源管理

5.2.1資源提供

5.2.2培訓、意識和能力

6信息安全管理體系管理評審

6.1總則

6.2評審輸入

6.3評審輸出

6.4內(nèi)部信息安全管理體系審核

7信息安全管理體系改進

7.1持續(xù)改進

7.2糾正措施

7.3預防措施

附件A（有關標準的）控制目標和控制措施

A.1介紹

A.2最佳實踐指南

A.3安全方針

A.4組織安全

A.5資產(chǎn)分級和控制

A.6人事安全

A.7實體和環(huán)境安全

A.8通信與運營安全

A.9訪問控制

A.10系統(tǒng)開發(fā)和維護

A.11業(yè)務連續(xù)性管理

A.12符合

附件B（情報性的）本標準使用指南

B1概況

第3頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第4頁共42頁

B.1.1PDCA模型

B.1.2計劃與實施

B.L3檢查與改進

B.1.4控制措施小結

B2計劃階段

B.2J介紹

B.2.2信息安全方針

B23信息安全管理體系范圍

B.2.4風險識別與評估

B.2.5風險處理計劃

B3實施階段

B.3.1介紹

B32資源、培訓和意識

B.3.3風險處理

B4檢查階段

B.4.1介紹

B.4.2常規(guī)檢查

B.4.3自我方針程序

B.4.4從其他處學習

B.4.5審核

B.4.6管理評審

B.4.7虛實分析

B5改進階段

B.5.1介紹

B.1.2不符合項

B.5.3糾正和預防措施

B.5.4OECD原則和BS7799—2

附件C(情報)609001:2000、IS014001與BS779922002條款對照

0介紹

0.1總則

本標準的目的是為業(yè)務經(jīng)理和他們的員工提供建立和管理一個有效的信息安全管理體系

(ISMS)的模型。采用ISMS應是一個組織的戰(zhàn)略決定。一個組織的ISMS的設計和實施受

第4頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第5頁共42頁

業(yè)務需要和目標、產(chǎn)生的安全需求、采用的過程及組織的大小、結構的影響。上述因素和他

們的支持過程預計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。

本標準可以乂內(nèi)部、外部包括認證組織使用審核一個組織符合其本身的需要及客戶和法律的

要求的能力。

0.2過程方法

本標準推薦采用過程的方法開發(fā)、實施和改進一個組織的ISMS的有效性。

一個組織必須識別和管理許多活動使其有效地運行。一個活動使用資源和在管理狀態(tài)卜使其

能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認為是一個過程。經(jīng)常地，一個過程的輸出直接形

成了下一個過程的輸入。

在一個組織用應用一個過程的體系，并識別這些過程、過程間的相互作用及過程的管理，可

以叫做過程的方法。

過程的方法鼓勵使用者強調(diào)一下重要性：

a）理解業(yè)務信息安全需求和建立信息安全方針和目標的需求：

b）在全面管理組織業(yè)務風險的環(huán)境下實施也運作控制措施；

C）監(jiān)控和評審ISMS的有效性和績效；

d）在客觀評價的基礎上持續(xù)改進。

本標準采用的，適用『ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關

方的細小安全需求和期望，通過必要的行動產(chǎn)生信息安全結果（即：管理的信息安全），此

結果滿足這些需要和期望，一個需求的例子可能是信息安全事故不要對組織引起財務損失和

/或引高層主管的尷尬。一個期望的例子可能是如果嚴重的事故發(fā)生也許足智多謀餓電子商

務網(wǎng)站被黑客入侵一將有被培訓過的員工通過使用的程序減小其影響。這顯示了本標準在第

四至第七部分的聯(lián)系。被噗型就是眾所周知的“Plan-Do-Chcck-Act”（PECA）模型，本模型

可以用于所有的過程。PDCA模型可以簡單地描述如下圖：

PDCA模型應用與信息安全管理體系過程

計劃PLAN

建立ISMS

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第6頁共42頁

監(jiān)控和

評審ISMS

1范圍

1.1概要

本標準規(guī)范在組織整個業(yè)務風險的環(huán)境下建立、實施、維護和改進一個文件化的ISMS模型。

它規(guī)定了對定制實施安全控制措施以適應不同組織或相關方的需求。（見附件B,提供了使

用該規(guī)范的指南）。

ISMS保證足夠的和成比例和安全控制措施以充分保護信息資產(chǎn)名給與客戶和其他利益相關

方信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務形象。

1.2應用

本標準提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務性質(zhì)。當由

于組織的性質(zhì)和業(yè)務本標準中的要求不能使用，要求可以考慮刪減。

除非不能刪減不影響組織的能力，和/或責任提供符合由風險評估和適用的法律確定的信息

安全要求，否則不能聲稱符合本標準。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)?/p>

并需要提供證據(jù)證明相關風險被負責人員正當?shù)亟邮?。對于條款4,5,6和7的要求的刪減不

能接受。

2引用標準

ISO9001:2000質(zhì)量管理體系-要求

ISO/IEC17799:203）信息技術一信息安全管理實踐指南

ISO指南73:2001風險管理指南-名詞

3名詞和定義

第6頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第7頁共42頁

從本英國標準的目的出發(fā)，以卜.名詞和定義適用。

3.1可用性

保證被授權的使用者需要時能夠訪問信息及相關資產(chǎn)。[BSISO/IEC17799:2000]

3.2保密性

保證信息只被授權的訪問。[BSISO/IEC17799:2000]

3.3信息安全

安全保護信息的保密性、完整性和可用性

3.4信息安全管理體系（ISMS）

是整個管理體系的一部分，建立在業(yè)務風險的方法上，以開發(fā)、實施完成、評審和維護

信息安全。

3.5完整性

保護信息和處理過程的準確和完整。IBSISO/IEC17799:2000]

3.6風險接受

接受一個風險的決定。[ISOGuide73]

3.7風險分析

系統(tǒng)化地使用信息識別來源和估計風險。[ISOGuide73]

3.8風險評估

風險分析和風險評價的整個過程。[ISOGuide73]

3.9風險評價

比較估計風險與給出的風險標準，確定風險嚴重性的過程。[ISOGuide73]

3.10風險管理

指導和控制組織風險的聯(lián)合行動。

3.11風險處理

選擇和實施措施以更改風險處理過程。[ISOGuide73J

3.12適用性聲明

描述與使用組織的ISMS范圍的控制目標和控制措施。這些控制目標和控制措施是建立

在風險評估和處理過程的結論和結果基礎上。

4信息安全管理體系要求

4.1總要求

組織應在組織整體業(yè)務活動和風險的環(huán)境下開發(fā)、實施、維護和持續(xù)改進文件化的ISMSo

對于該標準的目的，使用的過程是建立在圖一說示的PDCA模型為基礎上。

4.2建立和管理ISMS

4.2.1建立ISMS

組織應：

a）應用業(yè)務的性質(zhì)、組織、其方位、資產(chǎn)和技術定義SIMS的范圍。

b）應用組織的業(yè)務性質(zhì)、自主、方位、資產(chǎn)和技術定義ISMS的方針，方針應：

1）包括為其目標建立一個框架病危信息安全活動建立整日的方向和原則。

2）考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務。

3）建立組織戰(zhàn)略和風險的環(huán)境，在這種環(huán)境下，建立和維護信息安全管理體系。

第7頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第8頁共42頁

4）建立風險評價的標準和風險評估定義的結構。I見4.2.1C]

5）經(jīng)管理層批準

c）定義風險評估的系統(tǒng)化的方法

識別適用于ISMS及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法為

ISMS建立方針和Fl標以降低風險至可接受的水平。確定接受風險的標準和識別

可接受分享的水平。[見5.If]

d）定義風險

1）在ISMS的范圍內(nèi)，識別資產(chǎn)及其責任人

2）識別對這些資產(chǎn)的威脅

3）識別可能被威脅利用的脆弱性

4）識別資產(chǎn)失去保密性、完整性和可用性的影響

e）評估風險

I）評估由「安全故障帶來的業(yè)務損害，要考慮資產(chǎn)失去保密性、完整性和可用性

的潛在后果

2）評估與這些資產(chǎn)相關的主要威脅、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可

能性和現(xiàn)存的控制措施

3）估計風險的等級

4）確定介紹風險或使用在c中建立的標準進行衡量確定需要處理

D識別和評價供處理風險的可選措施

I）應用合適的控制措施

2）知道并有目的的棘手風險，同時這些措施能清楚地滿足組織方針和接受風險的

標準。[見4.2.1]

3）避免風險

4）轉(zhuǎn)移相關業(yè)務風險到其他方面如：保險業(yè)、供應商等。

呂）選擇控制目標和控制措施處理風險

應從本標準附件A中選擇合適的控制目標和控制措施，選擇應該根據(jù)風險評估

和風險處理過程的結果調(diào)整。

注意：附件A中列出的控制目標和控制措施，作為本標準的一部分，并不是所

有的控制目標和措施，組織可能選擇另加的控制措施。

h）準備一份適用性聲明。從上面4.2.1（g）選擇的控制目標和控制措施以及被選擇的

原因應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄

i）提議的殘余風險應獲得管理層批準并授權實施和運作ISMS。

4.2.2實施和運作ISMS

組織應：

a）識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序，（即：風險處理

計劃）-[見條款5]

b）實施風險處理計劃以達到識別的控制目標，包括對資金的考慮和落實安全角

色和責任

c）實施在4.2.1（g）選擇的控制目標和控制措施

d）培訓和意識[見5.2.2]

e）管理運作過程

。管理資源[見5.2]

第8頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第9頁共42頁

g）實施程序和其他有能力隨時探測和回應安全事故。

4.2.3監(jiān)控和評審ISMS

組織應：

a）執(zhí)行監(jiān)控程序和其他控制措施，以：

1）是探測處理結果中的錯誤

2）及時識別失敗的和成功的安全破壞和事故

3）能夠使管理層決定以分派給員工的或通過信息技術實施的安全活動

是否達到了預期的目標

4）確定解決安全破壞的行動是否反映了業(yè)務的優(yōu)先級

b）進行常規(guī)的ISMS有效性的評審（包括符合安全方針和目標，及安全控制措

施的評審）考慮安全評審的結果、事故、來自所有利益相關方的建議和反饋

c）評審殘余風險和可接受風險的水平，考慮一下變化

I）組織

2）技術

3）業(yè)務目標和過程

4）識別威脅及

5）外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化

d）在計劃的E寸間段內(nèi)實施內(nèi)部ISMS審核

e）經(jīng)常進行ISMS管理評審（至少每年評審一個周期）以保證信息安全管理體

系的范圍仍然足夠，在ISMS過程中的改進措施已被識別（見條款6ISMS的

管理評審）

f）記錄所采取的行動和能夠影響ISMS的有效性或績效的事件［見4.3.4J

4.2.4維護和改進ISMS

組織應經(jīng)常：

a）實施以識別的對于ISMS改進措施。

b）采取合適的糾正和預防行動［見7.2和7.3］。應用從其他組織的安全經(jīng)驗和組

織內(nèi)學到知識。

c）溝通結果和行動并得到所有參與的相關訪的同意。

d）確保改進行動達到了預期的目標

4.3文件要求

4.31總則

ISMS文件應包括：

a）文件化的安全方針文件和控制目標

b）ISMS范圍［見4.2.1］和程序及支持ISM5的控制措施

c）風險評估報告［見4.2.1］

d）風險處理計劃［見4.2.2］

e）組織需要的文件化的程序以確保有效計劃運營和對信息安全過程的控

制［見6.1］

f）本標準要求的記錄［見4.3.4］

g）適用性聲明

注1：當本標準中出現(xiàn)“文件的程序”，這意味著建立、文件化、實施和維護該程序。

注2：SeeISO9001

第9頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第10頁共42頁

注3：文件和記錄可以用多種形式和不同媒體。

432文件控制

ISMS要求的文件應保護和控制。應建立文件化的程序確定管理所需文件：

a）文件發(fā)布得到批準，以確保文件的充分性

b）必要時對文件進行審批與更新，并再次批準

c）確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別

d）確保在使用處可獲得適用文件的有關版本

e）確保文件保持清晰、易于識別

f）確保外來文件得到識別，并控制起分發(fā)

g）確保文件的發(fā)放在控制狀態(tài)下

h）防止作廢文件的非預期使用

i）若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R

4.3.3記錄控制

應建立并保持紀錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應當被控

制。信息安全管理體系應考慮任何有關的法律要求。記錄應保持清晰、易于識別和檢嗦。應

編制形成文件的程序，以規(guī)定記錄的標儲存、保護檢索、保存期限和處置所需的控制。一個

管理過程將確定記錄的程度。

應保留4.2概要的過程績效記錄和所有與信息安全管理體系有關的安全事故發(fā)生的紀錄。

舉例

記錄的例子如：訪問者的簽名簿，審核記錄和授權訪問記錄。

5管理職責

5.1管理承諾

管理層應提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進信息安全管理體系的證據(jù)，

包括：

a）建立信息安全方針：

b）確保建立信息安全目標和計劃：

c）為信息安全確立角色和責任；

d）向組織傳達達到信息安全目標和符合信息安全方針的重要性、在法律條

件下組織的責任及持續(xù)改進的需要。

e）提供足夠的資源以開發(fā)、實施，運行和維護信息安全管理體系［見5.2.1］

1）確定可接受風險的水平；

g）進行信息安全管理體系的評審［見條款6］。

5.2資源管理

5.2.1提供資源

組織將確定和提供所需的資源，以：

a）建立、實施、運行和維護信息安全管理體系；

b）確保信息安全程序支持業(yè)務要求：

c）識別和強調(diào)法律和法規(guī)要求及合同安全的義務；

d）正確地應用所有實施的控制措施維護足夠的安全；

第10頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第11頁共42頁

e）必要時，進行評審，并適當回應這些評審的結果；

f）需要時，改進信息安全管理體系的有效性。

522培訓、意識和能力

組織應確保所有的被分配信息安全管理體系職責的人員具有能力履行要求的任務。組織應:

a）確定從事影響信息安全管理體系的人員所必要的能力：

b）提供能力培訓和，必要時，聘用有能力的人員滿足這些需求；

c）評價提供的培訓和所采取行動的有效性：

d）保持教育、培訓、技能、經(jīng)驗和資格的紀錄［見4.3.3J

組織應確保所有相關的人員知道他們信息安全活動的適當性和重要性以及他們的貢獻怎樣

達成信息安全管理目標。

6信息安全管理體系的管理評審

6.1總則

管理層應按策劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性

和有效性。評審應包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安

全目標。

評審的結果因清楚地文件化，應保持管理評審的紀錄［見4.3.31

6.2評審輸入

管理評審的輸入應包括以下方面的信息：

a）信息安全管理體系審核和評審的結果；

b）相關方的反饋；

c）可以用于組織改進其信息安全管理體系業(yè)績和有效性的技術，產(chǎn)品或程序；

d）預防和糾正措施的狀況；

c）以前風險評估沒有足夠強調(diào)的脆弱性或威脅：

0以往管理評審的跟蹤措施：

g）任何可能影響信息安全管理體系的變更；

h）改進的建議。

6.3評審輸出

管理評審的輸出應包括以下方面有關的任何決定和措施：

a）信息安全管理體系有效性的改進；

b）修改影響信息安全的程序，必要時，以回應內(nèi)部或外部可能影響信息安全管理體系的事

件，包括以下的變更：

1）業(yè)務要求；

2）安全要求；

3）業(yè)務過程影響現(xiàn)存的業(yè)務要求；

4）法規(guī)或法律環(huán)境；

5）風險的等級和/或可接受風險的水平；

c）資源需求。

6.4內(nèi)部信息安全管理體系審核

組織應按策化的時間間隔進行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制

目標。

控制措施、過程和程序是否：

第11頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第12頁共42頁

a）符合本標準和相關法律法規(guī)的要求；

b）符合識別的信息安全要求；

c）被有效地實施和維護；

d）達到預想的業(yè)績.

任何審核活動應策劃，策劃應考慮過程的狀況和重要性，要審核的范圍以及前次審核的結果。

應確定審核的標準，范圍，頻次和方法。選擇審核員及遂行審核應確保審核過程的客觀和公

正。審核員不應審核他們自己的工作。

應在一個文件化的程序中確定策劃和實施審核，報告結果和維護及維護記錄［見4.3］的

責任及要求。

負責被審核區(qū)域的管理者應確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進

應包括驗證采取的措施和報告驗證的結果［見條款7］。

7ISMS改進

7.1持續(xù)改進

組織應通過使用安全方針、安全目標、審核結果、對監(jiān)控事件的分析、糾正和預防行動和管

理i

審的信息持續(xù)改進ISMS的有效性。

7.2糾正措施

組織應采取措施，以消除不合格的與實施和運行信息安全管理體系有關的原因，防止不合格

的再發(fā)生。應為糾正措施編制形成文件的程序，確定以下的要求：

a）識別實施和/或運行信息安全管理體系的不合格；

b）確定不合和的原因：

c）評價確保不合格不再發(fā)生的措施的需求；

d）確定和實施所需的糾正措施：

e）記錄所采取措施的結果［見4.3.3］；

f）評審所采取的糾正措施。

7.3預防措施

組織應針對未來的不合格確定措施以防上其發(fā)生。預防拮施應于潛在問題的影響程度相適應。

應為預防措施編制形成文件的程序，以確定以下方面的要求：

a）識別潛在的不合格及其原因；

b）確定和實施所需的預防措施：

C）記錄所采取措施的結具［見4.3.31：

d）評審所采取的預防措施：識別以便更得風險和確保注意力關注在重大的以變更的風險。

糾正措施的優(yōu)先權應以風險評估的結果為基礎確定。

注：預防不合格的措施總是比糾正措施更節(jié)約成本。

第12頁共42頁

編號：

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第13頁共42頁

附錄A（引用）

控制目標和控制措施

A.1介紹

從A.3至IJA.12列出的控制目標和控制措施是直接引用并與BSISO/IEC17799：2000條

款3到12一致。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標和控制措

施。在這些表中選擇控制FI標和控制措施是條款4.2大規(guī)定的信息安全管理體系過程的一

部分。

A.2實踐指南規(guī)范

SSISO/IEC17799：2000條款3至12提供最佳實踐的實施建議和指南以支持A.3到A.12

規(guī)范的控制措施。

A.3安全方針

BSISO/IEO

17799:2000

編號

A.3.1信息安全方針3.1

控制目標：提供管理方向和支持信息安全

控制措施

A.3.1.1信息安全管理層應提供一份3.1.1

方針文件方針文件，出版并溝

通，適當時，給所有

員工。

A3.1.2評審和評應經(jīng)常評審方針文3.1.2

價件，在發(fā)生決定性的

變化時，確保方針的

適宜性

第13頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第14頁共42頁

A.4組織安全

BSISO/IEO

17799:2000

編號

A.4.1信息安全基礎設施4.1

控制目標：在組織中管理信息安全

控制措施

A.4I.I管理信息信息安全管理委員4.1.1

安全委員會確保明確的目標

和管理層對啟動安

全管理可見的支持。

管理委員會應通過

適當?shù)某兄Z和種族

的資源推廣安全

A.4.1.2信息安全在大的組織中，應使4.1.2

協(xié)作用一個由從各組織

相關單位的管理者

代表組成的跨功能

的委員會，協(xié)作實施

信息安全控制措施

A.4.1.3落實信息應明確定義保護每A.4.1.3

安全責任種資產(chǎn)和負責特定

安全過程的責任

A.4.1.4對信息處應建立對于新的信A.4.1.4

埋設施的息處埋設施的管埋

授權過程授權

A.4.1.5專家信息應從內(nèi)部或外部搜A.4.1.5

安全建議集專家的信息安全

建議并在組織內(nèi)部

實施協(xié)作

A.4.1.6組織間的與執(zhí)法機關、主管機A.4.1.6

合作關、信息服務提供者，

及通信業(yè)者應維持適

當?shù)慕佑|

A.4.1.7獨立的信應對信息安全方針的A.4.1.7

息安全審實施進行獨立的審查

查

第14頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第15頁共42頁

A.4.2

A.4.2第三方訪問的安全

控制目標：維護組織的信息處理設施及細小

資產(chǎn)被第三方訪問時的安全

控制措施

A.4.2.1確認第三應對第三訪問組織的A.4.2.1

方訪問的信息處理設施所帶來

風險的風險進行評估，并

實施適當?shù)陌踩刂?/p>

A.4.2.2與第三方涉及第三方訪問組織A.4.2.2

的合約中的信息設施的安排，

的安全要應以包含必要的安全

求要求在內(nèi)的正式合約

為基礎

A.4.3外包

控制目標：當信息處理的責任委托其它組織A.4.3

時，應維護信息的安全

A.4.3.1外包合約當組織將全部或部分A.4.3.1

中的安全的信息系統(tǒng)、網(wǎng)絡及/

要求或桌上型計算機環(huán)境

的管理及控制外包

時，在雙方同意的合

約中應載明安全的要

求

A.5資產(chǎn)分類與控制

BSISO/IEO

17799:2000

編號

A.5.資產(chǎn)的保管責任5.1

捽制目標：維持對干組織的資產(chǎn)的適切保護

控制措施

A.5.1.1資產(chǎn)的清應列出并維持一份

單與每個信息系統(tǒng)有

關的所有重要的資

產(chǎn)的清單

A.5.2信息分類5.2

控制目標:確保信息資產(chǎn)受到適當程度的保

護

控制措施

第15頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第16頁共42頁

A.5.2.1分類原則信息的分類及相關5.2.1

的保護控制,應適合

于企業(yè)營運對于信

息分享或限制的需

要，以及這些需要對

企業(yè)營運所帶來的

沖擊

A.5.2.2信息的標應制定信息標識及5.2.2

識及處理處理的程序，以符合

組織所采行動的分

類法則

A.6人事安全

BSISO/IEO

17799:2000

編號

6.1

A.6.1工作說明及人力資源的

安全

控制目標：降低因人員錯-吳、偷竊、詐欺或不

當使用設施所造成的風險

控制措施

A.6.1.1將安全需組織在信息安全方針6.1.1

求列入工中所規(guī)定的安全角色

作職責中及責任，應適度地書

面化了工作職責說明

書中

A6.1.2人員篩審應在招聘員工時執(zhí)行6.1.2

及政策正式員工的驗證查核

A6.1.3保密合約員工應簽署保密協(xié)議6.1.3

作為其啟始聘用合同

的一部分

A6.1.4聘用合同聘用合同中因陳述員6.1.4

工對信息安全的責任

第16頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第17頁共42頁

6.2

A.6.2使用者培訓

控制目標：確保員工了解信息安全的威脅及考

慮，并且具備在其日常工作過程中支持組織的

信息安全方針的能力

控制措施

A.6.2.1信息安全組織的所有員工以及6.2.1

的教育與相關的第三方使用

培訓者，對于組織方針及

程序應接受適當、定

期更新的訓練

6.3

A.6.3安全及失效事件的響應

A6.3.1安全事故安全事件應在事件被6.3.1

報告發(fā)現(xiàn)之后盡快由適當

的管理途徑進行通報

A6.3.2安全弱點應要求信息服務的使6.3.2

的報告用者記下并報告任何

觀察到的或可疑的有

關系統(tǒng)或服務方面的

安全弱點或威脅

應建立報告軟件失效

A6.3.3軟件事件的相關程序6.3.3

失效

事件

的報

告

A6.3.4從事件中應有適當機制以量化63.4

學習與監(jiān)督安全事故及失

效事件的種類、數(shù)最

及成本

A6.3.5懲處的流員工違反組織安全方6.3.5

程針及程序，應由正式

第17頁共42頁

編號:

時間：2021年x月x日書山有路勤為徑，學海無涯苦作舟頁碼：第18頁共42頁

的懲處流程來處理

A.7實體及環(huán)境安全

BSISO/IEO

17799:2000

編號

A.7.1安全區(qū)域7.1

控制目標：防止對企業(yè)運行所在地及信息未經(jīng)

授權的進入、訪問、破壞及干擾

控制措施

A.7.1.1實體安全組織應有安全的邊界7.1.1

邊界以保護包含信息處理

設施的區(qū)域

A7.1.2實體進出安全區(qū)域應有適當?shù)?.1.2

控制進出控制加以保護，

以確保只有經(jīng)授權的

人員可以進出

A.7.1.3辦公處所應劃定安全區(qū)域，以7.1.3

及設備的保護具有特殊安全需

保護求的辦公處所及設備

A.7.1.4在安全區(qū)應對在安全區(qū)域中進7.1.4

域中的作行的作業(yè)有額外的控

業(yè)制方法及指導原則以

堅強安全區(qū)域的安全

A.7.1.5隔離遞送遞送及裝載區(qū)域應加7.1.5

及裝載區(qū)以控制，如有可能與

域信息處理設施隔離，

以避免未經(jīng)授權的訪

問

A.7.2設備安全7.2

控制目標：預防資產(chǎn)遺失或損失和防止企業(yè)運

營活動遭受干擾

第18頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第19頁共42頁

控制措施

A.7.2.1設備的安應妥善安置及保護設7.2.1

置及保護備，以降低來自環(huán)境

的威脅與危險所造成

的風險以及未經(jīng)授權

的訪問

722

A.7.2.1電源應保護設備

供應免于電力失

效及其它電

力異常的影

響

A.7.2.3電纜傳輸傳輸資料或支持信息7.2.3

安全服務的電力及通訊電

濫，應予以保護免于

被攔截或破壞

A.7.2.4設備維護設備應進行正確維7.2.4

護，以確保其持續(xù)的

可用性及完整性

任何在組織所在地以

A.7.2.5組織外使用的信息處理設7.2.5

備應要求管理層授權

以外

的設

備安

全

A.7.2.6設備報廢設備在報廢或再利用7.2.6

或再利用前，應清除在設備中

的安全防的信息

護

第19頁共42頁

編號：

時間：2021年X月X日書山有路勤為徑，學海無涯苦作舟頁碼：第20頁共42頁

7.3

A.7.3一般控制

控制目標：防止信息及信息處理設備的損毀或

失竊

控制措施

A.7.3.1辦公桌面組織應具備辦公桌面7.3.1

凈空及計凈空及計算機屏幕畫

算機屏幕面凈空的政策，以降

畫面凈空低因信息被未經(jīng)授權

策略訪問、遺失及所造成

的風險

A.7.3.2資產(chǎn)的移未經(jīng)授權不得移出組7.3.2

出織所擁有的設備、信

息及軟件

A.8通訊與操作管理

BSISO/IEO

17799:2000

編號

A81作業(yè)程序及責任8.1

控制目標：確保正確、安全地操作信息處理設

備

控制措施

A.8.1.1文件化的由條款4.1.1.1所制定8.1.1

作業(yè)程序的信息安全政策所指

明的作業(yè)程序應加以

文件化及維護

A.8.1.2作業(yè)變更對信息處理設施及系8.1.2

控制統(tǒng)的變更應加以控制

A.8.1.3事故管理應建立事故的管理責8.1.3

程序任及程序，以確保迅

速、有效及有序地反應

安全事件和采集事故

有關數(shù)據(jù)如審核線索

和日志

A.8.1.4職務隔離職務及負責范圍應加8.1.4