【正文】 41 / 41英國標(biāo)準(zhǔn)——BS 77992:2002信息安全管理體系——規(guī)范與使用指南目錄前言0 介紹1 范圍2 標(biāo)準(zhǔn)參考3 名詞與定義4 信息安全管理體系要求..4維護(hù)和改進(jìn)信息安全管理體系5 管理職責(zé)、意識和能力6 信息安全管理體系管理評審7 信息安全管理體系改進(jìn)附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施A．1介紹A．2最佳實(shí)踐指南A．3安全方針A．4組織安全A．5資產(chǎn)分級和控制A．6人事安全A．7實(shí)體和環(huán)境安全A．8通信與運(yùn)營安全A．9訪問控制A．10系統(tǒng)開發(fā)和維護(hù)A．11業(yè)務(wù)連續(xù)性管理A．12符合附件B（情報性的）本標(biāo)準(zhǔn)使用指南B1概況B2計劃階段B3實(shí)施階段、培訓(xùn)和意識B4檢查階段B5改進(jìn)階段 7799 —2附件C（情報）ISO 9001:2000、ISO14001與BS77992:2002條款對照0介紹本標(biāo)準(zhǔn)的目的是為業(yè)務(wù)經(jīng)理和他們的員工提供建立和管理一個有效的信息安全管理體系（ISMS）的模型。采用ISMS應(yīng)是一個組織的戰(zhàn)略決定。一個組織的ISMS的設(shè)計和實(shí)施受業(yè)務(wù)需要和目標(biāo)、產(chǎn)生的安全需求、采用的過程及組織的大小、結(jié)構(gòu)的影響。上述因素和他們的支持過程預(yù)計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。本標(biāo)準(zhǔn)可以又內(nèi)部、外部包括認(rèn)證組織使用審核一個組織符合其本身的需要及客戶和法律的要求的能力。本標(biāo)準(zhǔn)推薦采用過程的方法開發(fā)、實(shí)施和改進(jìn)一個組織的ISMS的有效性。一個組織必須識別和管理許多活動使其有效地運(yùn)行。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認(rèn)為是一個過程。經(jīng)常地，一個過程的輸出直接形成了下一個過程的輸入。在一個組織用應(yīng)用一個過程的體系，并識別這些過程、過程間的相互作用及過程的管理，可以叫做過程的方法。過程的方法鼓勵使用者強(qiáng)調(diào)一下重要性：a)理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標(biāo)的需求；b)在全面管理組織業(yè)務(wù)風(fēng)險的環(huán)境下實(shí)施也運(yùn)作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價的基礎(chǔ)上持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用的，適用于ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關(guān)方的細(xì)小安全需求和期望，通過必要的行動產(chǎn)生信息安全結(jié)果（即：管理的信息安全），此結(jié)果滿足這些需要和期望。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷尬。一個期望的例子可能是如果嚴(yán)重的事故發(fā)生也許足智多謀餓電子商務(wù)網(wǎng)站被黑客入侵—將有被培訓(xùn)過的員工通過使用的程序減小其影響。這顯示了本標(biāo)準(zhǔn)在第四至第七部分的聯(lián)系。被模型就是眾所周知的“PlanDoCheckAct”（PECA）模型，本模型可以用于所有的過程。PDCA模型可以簡單地描述如下圖：PDCA模型應(yīng)用與信息安全管理體系過程計劃PLAN相關(guān)單位信息安全需求和期望建立ISMS相關(guān)單位管理狀態(tài)下的信息安全維護(hù)和改進(jìn)ISMS實(shí)施和運(yùn)作ISMS 實(shí)施 開發(fā)、維護(hù) 改進(jìn) DO 和改進(jìn)循環(huán) ACTION監(jiān)控和評審ISMS1范圍本標(biāo)準(zhǔn)規(guī)范在組織整個業(yè)務(wù)風(fēng)險的環(huán)境下建立、實(shí)施、維護(hù)和改進(jìn)一個文件化的ISMS模型。它規(guī)定了對定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。（見附件B，提供了使用該規(guī)范的指南）。ISMS保證足夠的和成比例和安全控制措施以充分保護(hù)信息資產(chǎn)名給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護(hù)和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。本標(biāo)準(zhǔn)提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。當(dāng)由于組織的性質(zhì)和業(yè)務(wù)本標(biāo)準(zhǔn)中的要求不能使用，要求可以考慮刪減。除非不能刪減不影響組織的能力，和/或責(zé)任提供符合由風(fēng)險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。任何能夠滿足風(fēng)險接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險被負(fù)責(zé)人員正當(dāng)?shù)亟邮?。對于條款4,5,6和7的要求的刪減不能接受。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系要求ISO/IEC 17799:2000信息技術(shù)—信息安全管理實(shí)踐指南ISO 指南73:2001風(fēng)險管理指南名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。[BS ISO/IEC 17799:2000]保證信息只被授權(quán)的訪問。[BS ISO/IEC 17799:2000]安全保護(hù)信息的保密性、完整性和可用性（ISMS）是整個管理體系的一部分，建立在業(yè)務(wù)風(fēng)險的方法上，以開發(fā)、實(shí)施完成、評審和維護(hù)信息安全。保護(hù)信息和處理過程的準(zhǔn)確和完整。[BS ISO/IEC 17799:2000]接受一個風(fēng)險的決定。[ISO Guide 73]系統(tǒng)化地使用信息識別來源和估計風(fēng)險。[ISO Guide 73]風(fēng)險分析和風(fēng)險評價的整個過程。[ISO Guide 73]比較估計風(fēng)險與給出的風(fēng)險標(biāo)準(zhǔn)，確定風(fēng)險嚴(yán)重性的過程。[ISO Guide 73]指導(dǎo)和控制組織風(fēng)險的聯(lián)合行動。選擇和實(shí)施措施以更改風(fēng)險處理過程。[ISO Guide 73]描述與使用組織的ISMS范圍的控制目標(biāo)和控制措施。這些控制目標(biāo)和控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4信息安全管理體系要求組織應(yīng)在組織整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下開發(fā)、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的ISMS。對于該標(biāo)準(zhǔn)的目的，使用的過程是建立在圖一說示的PDCA模型為基礎(chǔ)上。組織應(yīng)：a)應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。b)應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個框架病危信息安全活動建立整日的方向和原則。2)考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3)建立組織戰(zhàn)略和風(fēng)險的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。4)建立風(fēng)險評價的標(biāo)準(zhǔn)和風(fēng)險評估定義的結(jié)構(gòu)。[]5)經(jīng)管理層批準(zhǔn)c)定義風(fēng)險評估的系統(tǒng)化的方法識別適用于ISMS及已識別的信息安全、法律和法規(guī)的要求的風(fēng)險評估的方法為ISMS 建立方針和目標(biāo)以降低風(fēng)險至可接受的水平。確定接受風(fēng)險的標(biāo)準(zhǔn)和識別可接受分享的水平。[]d)定義風(fēng)險1)在ISMS的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2)識別對這些資產(chǎn)的威脅3)識別可能被威脅利用的脆弱性4)識別資產(chǎn)失去保密性、完整性和可用性的影響e)評估風(fēng)險1)評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果2)評估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點(diǎn)和影響造成此類事故發(fā)生的現(xiàn)實(shí)的可能性和現(xiàn)存的控制措施3)估計風(fēng)險的等級4)確定介紹風(fēng)險或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理f)識別和評價供處理風(fēng)險的可選措施1)應(yīng)用合適的控制措施2)知道并有目的的棘手風(fēng)險，同時這些措施能清楚地滿足組織方針和接受風(fēng)險的標(biāo)準(zhǔn)。[]3)避免風(fēng)險4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)、供應(yīng)商等。g)選擇控制目標(biāo)和控制措施處理風(fēng)險應(yīng)從本標(biāo)準(zhǔn)附件A中選擇合適的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評估和風(fēng)險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。h)準(zhǔn)備一份適用性聲明。(g)選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄i)提議的殘余風(fēng)險應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和運(yùn)作ISMS。組織應(yīng)：a)識別合適的管理行動和確定管理信息安全風(fēng)險的優(yōu)先順序，（即：風(fēng)險處理計劃）[見條款5]b)實(shí)施風(fēng)險處理計劃以達(dá)到識別的控制目標(biāo)，包括對資金的考慮和落實(shí)安全角色和責(zé)任c)(g)選擇的控制目標(biāo)和控制措施d)培訓(xùn)和意識[]e)管理運(yùn)作過程f)管理資源[]g)實(shí)施程序和其他有能力隨時探測和回應(yīng)安全事故。組織應(yīng)：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1) 是探測處理結(jié)果中的錯誤2) 及時識別失敗的和成功的安全破壞和事故3) 能夠使管理層決定以分派給員工的或通過信息技術(shù)實(shí)施的安全活動是否達(dá)到了預(yù)期的目標(biāo)4) 確定解決安全破壞的行動是否反映了業(yè)務(wù)的優(yōu)先級b)進(jìn)行常規(guī)的ISMS 有效性的評審（包括符合安全方針和目標(biāo)，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋c)評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮一下變化1） 組織2） 技術(shù)3） 業(yè)務(wù)目標(biāo)和過程4） 識別威脅及5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化d)在計劃的時間段內(nèi)實(shí)施內(nèi)部ISMS審核e)經(jīng)常進(jìn)行ISMS管理評審（至少每年評審一個周期）以保證信息安全管理體系的范圍仍然足夠，在ISMS過程中的改進(jìn)措施已被識別（見條款6ISMS的管理評審）f)記錄所采取的行動和能夠影響ISMS的有效性或績效的事件[]組織應(yīng)經(jīng)常：a)實(shí)施以識別的對于ISMS改進(jìn)措施。b)采取合適的糾正和預(yù)防行動[]。應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到知識。c)溝通結(jié)果和行動并得到所有參與的相關(guān)訪的同意。d)確保改進(jìn)行動達(dá)到了預(yù)期的目標(biāo)ISMS文件應(yīng)包括：a)文件化的安全方針文件和控制目標(biāo)b)ISMS