【正文】 計劃PLAN 建立ISMS 圖一同時展示了6和7章中所提出的過程聯(lián)系。 監(jiān)控和評審信息安全管理體系的有效性和績效；d） d）組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識別和相互作用及其慣例，課程只為：“過程方法”。采用信息安全管理體系應(yīng)當是一項組織的戰(zhàn)略決策。英國標準——BS77992:2002目 錄前言0 介紹0．1總則0．2過程方法0． 0．一個組織信息安全管理體系的設(shè)計和實施受運營需求、具體目標、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。本標準能用于內(nèi)部、外部包括認證組織使用，評定一個組織符合其本身的需要及客戶和法律的要求的能力。為使組織有效動作，必須識別和管理眾多相互關(guān)聯(lián)的活動。過程的方法鼓勵使用者強調(diào)以下方面的重要性：a） a） 在客觀的測量，持續(xù)改進過程。注：名詞“程序”，從傳統(tǒng)來講，用在信息安全方面意味著員工工作的過程，而不是計算機或其它電子概念。實施和運作ISMS維護和改進ISMS 實施（實施和動作信息安全管理體系 實施和動作信息安全方針、控制措施、過程和程序。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對應(yīng)關(guān)系，本標準使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。1 范圍1．1概要本標準提供在組織整個動作風險的環(huán)境下建立、實施、動作、監(jiān)控、評審、維護和改進一個文件化的信息安全管理體系的模型。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。當本標準的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進行刪減。[BS ISO/IEC17799：2000]3．3信息安全安全保護信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個管理體系的一部分，建立在運營風險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改進信息安全。3．9風險評價把估計風險與給出的風險標準相比較，確定風險嚴重性的過程。為滿足該標準的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。2） 2）3） 3）4） 4）5） 5） 確定風險評估的系統(tǒng)化的方法識別適用于信息安全管理體系及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法。 在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責任人2） 2） 評價風險1） 1） 確定介紹風險或使用在c中建立的標準進行衡量確定需要處理；f） f） 知道并有目的地接受風險，同時這些措施能清楚地滿足組織方針和接受風險的標準3） 3） 選擇控制目標和控制措施處理風險： 應(yīng)從本標準附件A中列出的控制目標和控制措施，選擇應(yīng)該根據(jù)風險評估和風險處理過程的結(jié)果調(diào)整。（g）選擇的控制目標和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。 提議的殘余風險應(yīng)獲得管理層批準并授權(quán)實施和動作信息安全管理體系。c） c） 管理動作過程；f） f）4．2．3監(jiān)控和評審信息安全管理體系組織應(yīng)：a） a） 能夠使管理層確定分派給員工的或通過信息技術(shù)實施的安全活動是否達到了預(yù)期的目標；4） 4） 評審殘余風險和可接受風險的水平，考慮以下方面的變化：1） 1） 識別威脅5） 5）e） e）4．2．4維護和改進信息安全管理體系組織應(yīng)經(jīng)常：a） a） 溝通結(jié)果和行動并得到所有參與的相關(guān)方的同意。 文件化的安全方針文件和控制目標；b） b） 風險處理計劃。 本標準要求的記錄[]。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護和控制。 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d） 確保外來文件的發(fā)放在控制狀態(tài)下；g） g）信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。 建立信息安全方針；b） b）e） e） 確定可接受風險的水平。 建立、實施、運行和維護信息安全管理體系；b） b） 必要時，進行評審，并適當回應(yīng)這些評審的結(jié)果；f） f）組織應(yīng)：a） a） 保持教育、培訓、技能、經(jīng)驗和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動的適當性和重要性以及他們的貢獻怎樣達成信息安全管理目標.6 信息安全管理體系的管理評審6．1總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。 相關(guān)方的反饋；c） c）6．3評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a） 安全要求；3） 3） 資源需求。 被有效地實施和維護；d） d）選擇審核員及進行審核應(yīng)確認審核過程的客觀和公正。7信息安全管理體系改進7．1持續(xù)改進組織應(yīng)通過使用安全方針、安全目標、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審的信息持續(xù)改進信息安全管理體系的有效性。 確定不合格的原因；c） c）f） f）預(yù)防措施應(yīng)于潛在問題的影響程序適應(yīng)。 記錄所采取措施的結(jié)果[]；d） d）A．1介紹 ISO/IEC 17799:2000條款3到12一致。BS ISO/IEC 17799:2000編號控制目標：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針方件,出版并在適當時,溝通給所有員工。管理委員會應(yīng)通過適當?shù)某兄Z和充足的資源推廣安全信息安全協(xié)作在大的組織中，應(yīng)使用一個由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施。應(yīng)劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設(shè)備BS ISO/IEC 17799:2000編號操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的工作日。BS ISO/IEC 17799:2000編號控制目標：確保安全機制建于信息系統(tǒng)之中控制措施安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應(yīng)將對控制方法的要求制定于其中控制目標：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當使用控制措施輸入資料的驗證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗證，以確保資料是正確且適當?shù)膬?nèi)部處理控制驗證的檢查應(yīng)成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀消息的認證當有保護消息內(nèi)容完整性的安全要求時，應(yīng)針對應(yīng)用程序進行消息的認證輸出資料的驗證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當?shù)目刂颇繕耍罕Ｗo信息的機密性、真實性或完整性控制措施運用密碼學控制方法時的政策應(yīng)發(fā)展且遵循以密碼學控制方法來達成保護信息目的政策資料加密應(yīng)使用資料加密，以保護機密或關(guān)鍵信息的機密性數(shù)字簽章應(yīng)使用不可否認性的服務(wù)，以解決某事件或行動是否有發(fā)生的爭議不可否認性的服務(wù)應(yīng)使用既定的標準、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學技術(shù)的運用密鑰管理之所以可以描述為一個有效的循環(huán)國為它的目的是為了保證您的組織的最好實踐文件化、加強并隨時間改進。這個階段在評審階段開始實施時結(jié)束。檢查和處置評審階段用來加強、修改和改進已識別和實施的安全方案。最后，需要每一年或其他周期性評審或?qū)徍艘员ＷC整個管理體系達成其目標。SoC可能包含敏感的信息，因此當SoC在外部和內(nèi)部同時應(yīng)用時，應(yīng)考慮他們對于接收者是否合適。 計劃階段4．2．1b）要求組織和其管理層確定包含建立其目標和目的框架、并建立總的方向、信息安全行動原則的信息安全方針。應(yīng)清楚識別的從屬、界面和對于一個環(huán)境的邊界的假設(shè)。 建立范圍和信息安全管理體系的環(huán)境所使用的過程；b） b） 在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個管理體系或另一個信息安全管理體系（相同的或一個第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們適用于信息安全管理體系的范圍和風險，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。 對威脅利用脆弱點的評估，及當此類事故發(fā)生時的影響；d） d） 選擇的處理風險的方法；b） b）應(yīng)識別一個可接受風險的水平，對于每一個不在可接受水平內(nèi)的風險應(yīng)從下列方面選擇合適的措施：a） a）風險治理計劃是一個調(diào)和的文件，確定降低不可接受的水平，因此應(yīng)對是否增加更多的控制措施或接受更高的風險作出一個決定。BS ISO/IEC17799:2000提供相關(guān)實施這些控制措施的附加信息，當識別的風險超過這些控制措施可以控制的水平時，可能需要設(shè)計附加的控制措施并加以實施。在PDCA循環(huán)中的實施階段是設(shè)計用來實施選擇的控制措施和推進必要的策劃階段所做出的決定一致的管理信息安全風險措施。意識項目的目的是產(chǎn)生一種有很好基礎(chǔ)的風險管理和安全的文化。對于經(jīng)過評估可接受的風險，不需要進一步的措施。這些實施應(yīng)與在策劃活動中準備的風險處理計劃一致?？刂拼胧?yīng)保證不希望發(fā)生的影響或破壞及時被識別并適當管理。另外，任何有關(guān)風險評估范圍或假設(shè)的變化應(yīng)予以考慮。 維護信息安全管理體系文件內(nèi)部的一致性：并b） b）在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織安全方針和目標有效性的測量的有價值的數(shù)據(jù)資源。一個網(wǎng)絡(luò)入侵監(jiān)測員會監(jiān)測其他部件的安全是否被滲透。這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進行并設(shè)計用來偵測處理結(jié)果的錯誤。自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。組織應(yīng)經(jīng)常參考這些并對他們的軟件進行適當?shù)母?。總的目標是通過在一個特定常規(guī)審核時間段進行檢查（時間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達到預(yù)想的效果。 使用一個合適的風險評估方法；c） c）經(jīng)常進行趨勢分析將幫助組織識別需要改進的領(lǐng)域，并應(yīng)建立一個持續(xù)改進循環(huán)的基本部分。改進活動的目的是采取作為檢查活動的結(jié)果的措施。注意作為改進的結(jié)果改變信息安全管理體系或下一步策劃行動，關(guān)鍵是所有的相關(guān)方被子及時告知所作的改變，并提相應(yīng)的附加的培訓。 一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對信息安全管理體系完成信息安全方針和組織安全目標的能力的重大的懷疑。應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項的原因或其他不合需要的情況以防止再次發(fā)生。當識別和實施任何糾正措施應(yīng)從這種觀點考慮孤立事件。本英國標準為實施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過程。 原則和PDCA模型安