【正文】 41 / 41英國標準——BS 77992:2002信息安全管理體系——規(guī)范與使用指南目錄前言0 介紹1 范圍2 標準參考3 名詞與定義4 信息安全管理體系要求..4維護和改進信息安全管理體系5 管理職責、意識和能力6 信息安全管理體系管理評審7 信息安全管理體系改進附件A（有關(guān)標準的）控制目標和控制措施A．1介紹A．2最佳實踐指南A．3安全方針A．4組織安全A．5資產(chǎn)分級和控制A．6人事安全A．7實體和環(huán)境安全A．8通信與運營安全A．9訪問控制A．10系統(tǒng)開發(fā)和維護A．11業(yè)務(wù)連續(xù)性管理A．12符合附件B（情報性的）本標準使用指南B1概況B2計劃階段B3實施階段、培訓和意識B4檢查階段B5改進階段 7799 —2附件C（情報）ISO 9001:2000、ISO14001與BS77992:2002條款對照0介紹本標準的目的是為業(yè)務(wù)經(jīng)理和他們的員工提供建立和管理一個有效的信息安全管理體系（ISMS）的模型。采用ISMS應是一個組織的戰(zhàn)略決定。一個組織的ISMS的設(shè)計和實施受業(yè)務(wù)需要和目標、產(chǎn)生的安全需求、采用的過程及組織的大小、結(jié)構(gòu)的影響。上述因素和他們的支持過程預計會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。本標準可以又內(nèi)部、外部包括認證組織使用審核一個組織符合其本身的需要及客戶和法律的要求的能力。本標準推薦采用過程的方法開發(fā)、實施和改進一個組織的ISMS的有效性。一個組織必須識別和管理許多活動使其有效地運行。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認為是一個過程。經(jīng)常地，一個過程的輸出直接形成了下一個過程的輸入。在一個組織用應用一個過程的體系，并識別這些過程、過程間的相互作用及過程的管理，可以叫做過程的方法。過程的方法鼓勵使用者強調(diào)一下重要性：a)理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標的需求；b)在全面管理組織業(yè)務(wù)風險的環(huán)境下實施也運作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價的基礎(chǔ)上持續(xù)改進。本標準采用的，適用于ISMS的模型，如圖一所示。圖一顯示ISMS怎樣考慮輸入利益相關(guān)方的細小安全需求和期望，通過必要的行動產(chǎn)生信息安全結(jié)果（即：管理的信息安全），此結(jié)果滿足這些需要和期望。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷尬。一個期望的例子可能是如果嚴重的事故發(fā)生也許足智多謀餓電子商務(wù)網(wǎng)站被黑客入侵—將有被培訓過的員工通過使用的程序減小其影響。這顯示了本標準在第四至第七部分的聯(lián)系。被模型就是眾所周知的“PlanDoCheckAct”（PECA）模型，本模型可以用于所有的過程。PDCA模型可以簡單地描述如下圖：PDCA模型應用與信息安全管理體系過程計劃PLAN相關(guān)單位信息安全需求和期望建立ISMS相關(guān)單位管理狀態(tài)下的信息安全維護和改進ISMS實施和運作ISMS 實施 開發(fā)、維護 改進 DO 和改進循環(huán) ACTION監(jiān)控和評審ISMS1范圍本標準規(guī)范在組織整個業(yè)務(wù)風險的環(huán)境下建立、實施、維護和改進一個文件化的ISMS模型。它規(guī)定了對定制實施安全控制措施以適應不同組織或相關(guān)方的需求。（見附件B，提供了使用該規(guī)范的指南）。ISMS保證足夠的和成比例和安全控制措施以充分保護信息資產(chǎn)名給與客戶和其他利益相關(guān)方信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。本標準提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。當由于組織的性質(zhì)和業(yè)務(wù)本標準中的要求不能使用，要求可以考慮刪減。除非不能刪減不影響組織的能力，和/或責任提供符合由風險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標準。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風險被負責人員正當?shù)亟邮?。對于條款4,5,6和7的要求的刪減不能接受。2引用標準ISO 9001:2000質(zhì)量管理體系要求ISO/IEC 17799:2000信息技術(shù)—信息安全管理實踐指南ISO 指南73:2001風險管理指南名詞3名詞和定義從本英國標準的目的出發(fā)，以下名詞和定義適用。保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。[BS ISO/IEC 17799:2000]保證信息只被授權(quán)的訪問。[BS ISO/IEC 17799:2000]安全保護信息的保密性、完整性和可用性（ISMS）是整個管理體系的一部分，建立在業(yè)務(wù)風險的方法上，以開發(fā)、實施完成、評審和維護信息安全。保護信息和處理過程的準確和完整。[BS ISO/IEC 17799:2000]接受一個風險的決定。[ISO Guide 73]系統(tǒng)化地使用信息識別來源和估計風險。[ISO Guide 73]風險分析和風險評價的整個過程。[ISO Guide 73]比較估計風險與給出的風險標準，確定風險嚴重性的過程。[ISO Guide 73]指導和控制組織風險的聯(lián)合行動。選擇和實施措施以更改風險處理過程。[ISO Guide 73]描述與使用組織的ISMS范圍的控制目標和控制措施。這些控制目標和控制措施是建立在風險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4信息安全管理體系要求組織應在組織整體業(yè)務(wù)活動和風險的環(huán)境下開發(fā)、實施、維護和持續(xù)改進文件化的ISMS。對于該標準的目的，使用的過程是建立在圖一說示的PDCA模型為基礎(chǔ)上。組織應：a)應用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。b)應用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應：1)包括為其目標建立一個框架病危信息安全活動建立整日的方向和原則。2)考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。3)建立組織戰(zhàn)略和風險的環(huán)境，在這種環(huán)境下，建立和維護信息安全管理體系。4)建立風險評價的標準和風險評估定義的結(jié)構(gòu)。[]5)經(jīng)管理層批準c)定義風險評估的系統(tǒng)化的方法識別適用于ISMS及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法為ISMS 建立方針和目標以降低風險至可接受的水平。確定接受風險的標準和識別可接受分享的水平。[]d)定義風險1)在ISMS的范圍內(nèi)，識別資產(chǎn)及其責任人2)識別對這些資產(chǎn)的威脅3)識別可能被威脅利用的脆弱性4)識別資產(chǎn)失去保密性、完整性和可用性的影響e)評估風險1)評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果2)評估與這些資產(chǎn)相關(guān)的主要威脅、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的控制措施3)估計風險的等級4)確定介紹風險或使用在c中建立的標準進行衡量確定需要處理f)識別和評價供處理風險的可選措施1)應用合適的控制措施2)知道并有目的的棘手風險，同時這些措施能清楚地滿足組織方針和接受風險的標準。[]3)避免風險4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風險到其他方面如：保險業(yè)、供應商等。g)選擇控制目標和控制措施處理風險應從本標準附件A中選擇合適的控制目標和控制措施，選擇應該根據(jù)風險評估和風險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標和控制措施，作為本標準的一部分，并不是所有的控制目標和措施，組織可能選擇另加的控制措施。h)準備一份適用性聲明。(g)選擇的控制目標和控制措施以及被選擇的原因應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄i)提議的殘余風險應獲得管理層批準并授權(quán)實施和運作ISMS。組織應：a)識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序，（即：風險處理計劃）[見條款5]b)實施風險處理計劃以達到識別的控制目標，包括對資金的考慮和落實安全角色和責任c)(g)選擇的控制目標和控制措施d)培訓和意識[]e)管理運作過程f)管理資源[]g)實施程序和其他有能力隨時探測和回應安全事故。組織應：a) 執(zhí)行監(jiān)控程序和其他控制措施，以：1) 是探測處理結(jié)果中的錯誤2) 及時識別失敗的和成功的安全破壞和事故3) 能夠使管理層決定以分派給員工的或通過信息技術(shù)實施的安全活動是否達到了預期的目標4) 確定解決安全破壞的行動是否反映了業(yè)務(wù)的優(yōu)先級b)進行常規(guī)的ISMS 有效性的評審（包括符合安全方針和目標，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋c)評審殘余風險和可接受風險的水平，考慮一下變化1） 組織2） 技術(shù)3） 業(yè)務(wù)目標和過程4） 識別威脅及5） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化d)在計劃的時間段內(nèi)實施內(nèi)部ISMS審核e)經(jīng)常進行ISMS管理評審（至少每年評審一個周期）以保證信息安全管理體系的范圍仍然足夠，在ISMS過程中的改進措施已被識別（見條款6ISMS的管理評審）f)記錄所采取的行動和能夠影響ISMS的有效性或績效的事件[]組織應經(jīng)常：a)實施以識別的對于ISMS改進措施。b)采取合適的糾正和預防行動[]。應用從其他組織的安全經(jīng)驗和組織內(nèi)學到知識。c)溝通結(jié)果和行動并得到所有參與的相關(guān)訪的同意。d)確保改進行動達到了預期的目標ISMS文件應包括：a)文件化的安全方針文件和控制目標b)ISMS