【正文】 范圍[]和程序及支持ISMS的控制措施c)風(fēng)險(xiǎn)評(píng)估報(bào)告[]d)風(fēng)險(xiǎn)處理計(jì)劃[]e)組織需要的文件化的程序以確保有效計(jì)劃運(yùn)營(yíng)和對(duì)信息安全過(guò)程的控制[]f)本標(biāo)準(zhǔn)要求的記錄[]g)適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實(shí)施和維護(hù)該程序。注2：See ISO 9001注3：文件和記錄可以用多種形式和不同媒體。ISMS要求的文件應(yīng)保護(hù)和控制。應(yīng)建立文件化的程序確定管理所需文件：a)文件發(fā)布得到批準(zhǔn)，以確保文件的充分性b)必要時(shí)對(duì)文件進(jìn)行審批與更新，并再次批準(zhǔn)c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別d)確保在使用處可獲得適用文件的有關(guān)版本e)確保文件保持清晰、易于識(shí)別f)確保外來(lái)文件得到識(shí)別，并控制起分發(fā)g)確保文件的發(fā)放在控制狀態(tài)下h)防止作廢文件的非預(yù)期使用i)若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全管理體系的有效運(yùn)行的證據(jù)。記錄應(yīng)當(dāng)被控制。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。記錄應(yīng)保持清晰、易于識(shí)別和檢索。應(yīng)編制形成文件的程序，以規(guī)定記錄的標(biāo)儲(chǔ)存、保護(hù)檢索、保存期限和處置所需的控制。一個(gè)管理過(guò)程將確定記錄的程度。舉例記錄的例子如：訪問(wèn)者的簽名簿，審核記錄和授權(quán)訪問(wèn)記錄。5管理職責(zé)管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a)建立信息安全方針：b)確保建立信息安全目標(biāo)和計(jì)劃：c)為信息安全確立角色和責(zé)任；d)向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。e)提供足夠的資源以開(kāi)發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系［］ f)確定可接受風(fēng)險(xiǎn)的水平；g)進(jìn)行信息安全管理體系的評(píng)審[見(jiàn)條款6] 。組織將確定和提供所需的資源，以：a)建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b)確保信息安全程序支持業(yè)務(wù)要求；c)識(shí)別和強(qiáng)調(diào)法律和法規(guī)要求及合同安全的義務(wù)；d)正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e)必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f)需要時(shí)，改進(jìn)信息安全管理體系的有效性。、意識(shí)和能力組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。組織應(yīng)：a)確定從事影響信息安全管理體系的人員所必要的能力；b)提供能力培訓(xùn)和，必要時(shí)，聘用有能力的人員滿(mǎn)足這些需求；c)評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性：d)保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的紀(jì)錄[ 見(jiàn)4．3．3] 組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo)。6信息安全管理體系的管理評(píng)審6．1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。評(píng)審的結(jié)果因清楚地文件化，應(yīng)保持管理評(píng)審的紀(jì)錄［見(jiàn)4．3．316．2評(píng)審輸入管理評(píng)審的輸入應(yīng)包括以下方面的信息：a）信息安全管理體系審核和評(píng)審的結(jié)果；b）相關(guān)方的反饋；c）可以用于組織改進(jìn)其信息安全管理體系業(yè)績(jī)和有效性的技術(shù)，產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以前風(fēng)險(xiǎn)評(píng)估沒(méi)有足夠強(qiáng)調(diào)的脆弱性或威脅；f) 以往管理評(píng)審的跟蹤措施：g）任何可能影響信息安全管理體系的變更；h）改進(jìn)的建議。6．3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b）修改影響信息安全的程序，必要時(shí)，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更： 1）業(yè)務(wù)要求； 2）安全要求； 3）業(yè)務(wù)過(guò)程影響現(xiàn)存的業(yè)務(wù)要求； 4）法規(guī)或法律環(huán)境； 5）風(fēng)險(xiǎn)的等級(jí)和／或可接受風(fēng)險(xiǎn)的水平；c）資源需求。6．4 內(nèi)部信息安全管理體系審核組織應(yīng)按策化的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)?？刂拼胧⑦^(guò)程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識(shí)別的信息安全要求；c）被有效地實(shí)施和維護(hù)；d）達(dá)到預(yù)想的業(yè)績(jī)．任何審核活動(dòng)應(yīng)策劃，策劃應(yīng)考慮過(guò)程的狀況和重要性，要審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。選擇審核員及進(jìn)行審核應(yīng)確保審核過(guò)程的客觀和公正。審核員不應(yīng)審核他們自己的工作。應(yīng)在一個(gè)文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)及維護(hù)記錄［見(jiàn)4．3］的責(zé)任及要求。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒(méi)有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。改進(jìn)應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果［見(jiàn)條款7］。7 ISMS改進(jìn)7．1持續(xù) 改進(jìn) 組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防行動(dòng)和管理i審的信息持續(xù)改進(jìn)ISMS的有效性。7. 2 糾正措施組織應(yīng)采取措施，以消除不合格的與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，防止不合格的再發(fā)生。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識(shí)別實(shí)施和／或運(yùn)行信息安全管理體系的不合格；b）確定不合和的原因：c）評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；d) 確定和實(shí)施所需的糾正措施：e）記錄所采取措施的結(jié)果[ 見(jiàn)4．3．3] ；f) 評(píng)審所采取的糾正措施。7. 3預(yù)防措施組織應(yīng)針對(duì)未來(lái)的不合格確定措施以防上其發(fā)生。預(yù)防措施應(yīng)于潛在問(wèn)題的影響程度相適應(yīng)。應(yīng)為預(yù)防措施編制形成文件的程序，以確定以下方面的要求：a）識(shí)別潛在的不合格及其原因；b) 確定和實(shí)施所需的預(yù)防措施：C）記錄所采取措施的結(jié)果[見(jiàn)4．3．3]：d）評(píng)審所采取的預(yù)防措施；識(shí)別以便更得風(fēng)險(xiǎn)和確保注意力關(guān)注在重大的以變更的風(fēng)險(xiǎn)。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。附錄A（引用）控制目標(biāo)和控制措施A．1介紹從A．3到A．12列出的控制目標(biāo)和控制措施是直接引用并與BS ISO/IEC 17799：2000條款3到12一致。在表中的清單并不徹底，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。在這些表中選擇控制目標(biāo)和控制措施是條款4．2＊規(guī)定的信息安全管理體系過(guò)程的一部分。A．2實(shí)踐指南規(guī)范SS ISO／IEC 17799：2000條款3至 12提供最佳實(shí)踐的實(shí)施建議和指南以支持A．3到A．12規(guī)范的控制措施。A． 3安全方針BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針文件，出版并溝通，適當(dāng)時(shí)，給所有員工。評(píng)審和評(píng)價(jià)應(yīng)經(jīng)常評(píng)審方針文件，在發(fā)生決定性的變化時(shí)，確保方針的適宜性A．4組織安全BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：在組織中管理信息安全控制措施管理信息安全委員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo)和管理層對(duì)啟動(dòng)安全管理可見(jiàn)的支持。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和種族的資源推廣安全信息安全協(xié)作在大的組織中，應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì)，協(xié)作實(shí)施信息安全控制措施落實(shí)信息安全責(zé)任應(yīng)明確定義保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過(guò)程的責(zé)任對(duì)信息處理設(shè)施的授權(quán)過(guò)程應(yīng)建立對(duì)于新的信息處理設(shè)施的管理授權(quán)專(zhuān)家信息安全建議應(yīng)從內(nèi)部或外部搜集專(zhuān)家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作組織間的合作與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者，及通信業(yè)者應(yīng)維持適當(dāng)?shù)慕佑|獨(dú)立的信息安全審查應(yīng)對(duì)信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及細(xì)小資產(chǎn)被第三方訪問(wèn)時(shí)的安全控制措施確認(rèn)第三方訪問(wèn)的風(fēng)險(xiǎn)應(yīng)對(duì)第三訪問(wèn)組織的信息處理設(shè)施所帶來(lái)的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并實(shí)施適當(dāng)?shù)陌踩刂婆c第三方的合約中的安全要求涉及第三方訪問(wèn)組織的信息設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)控制目標(biāo)：當(dāng)信息處理的責(zé)任委托其它組織時(shí)，應(yīng)維護(hù)信息的安全外包合約中的安全要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計(jì)算機(jī)環(huán)境的管理及控制外包時(shí)，在雙方同意的合約中應(yīng)載明安全的要求A．5資產(chǎn)分類(lèi)與控制BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：維持對(duì)于組織的資產(chǎn)的適切保護(hù)控制措施資產(chǎn)的清單應(yīng)列出并維持一份與每個(gè)信息系統(tǒng)有關(guān)的所有重要的資產(chǎn)的清單控制目標(biāo)：確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)控制措施分類(lèi)原則信息的分類(lèi)及相關(guān)的保護(hù)控制，應(yīng)適合于企業(yè)營(yíng)運(yùn)對(duì)于信息分享或限制的需要，以及這些需要對(duì)企業(yè)營(yíng)運(yùn)所帶來(lái)的沖擊信息的標(biāo)識(shí)及處理應(yīng)制定信息標(biāo)識(shí)及處理的程序，以符合組織所采行動(dòng)的分類(lèi)法則A．6人事安全BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：降低因人員錯(cuò)誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn)控制措施將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全角色及責(zé)任，應(yīng)適度地書(shū)面化于工作職責(zé)說(shuō)明書(shū)中人員篩審及政策應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分聘用合同聘用合同中因陳述員工對(duì)信息安全的責(zé)任控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過(guò)程中支持組織的信息安全方針的能力控制措施信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者，對(duì)于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練安全事故報(bào)告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報(bào)安全弱點(diǎn)的報(bào)告應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅軟件失效事件的報(bào)告應(yīng)建立報(bào)告軟