【正文】 計(jì)劃PLAN 建立ISMS 圖一同時(shí)展示了6和7章中所提出的過(guò)程聯(lián)系。 監(jiān)控和評(píng)審信息安全管理體系的有效性和績(jī)效；d） d）組織內(nèi)諸過(guò)程的系統(tǒng)的應(yīng)用，連同這些過(guò)程的識(shí)別和相互作用及其慣例，課程只為：“過(guò)程方法”。采用信息安全管理體系應(yīng)當(dāng)是一項(xiàng)組織的戰(zhàn)略決策。英國(guó)標(biāo)準(zhǔn)——BS77992:2002目 錄前言0 介紹0．1總則0．2過(guò)程方法0． 0．一個(gè)組織信息安全管理體系的設(shè)計(jì)和實(shí)施受運(yùn)營(yíng)需求、具體目標(biāo)、安全需求、所采用的過(guò)程及該組織的規(guī)模和結(jié)構(gòu)的影響。本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用，評(píng)定一個(gè)組織符合其本身的需要及客戶和法律的要求的能力。為使組織有效動(dòng)作，必須識(shí)別和管理眾多相互關(guān)聯(lián)的活動(dòng)。過(guò)程的方法鼓勵(lì)使用者強(qiáng)調(diào)以下方面的重要性：a） a） 在客觀的測(cè)量，持續(xù)改進(jìn)過(guò)程。注：名詞“程序”，從傳統(tǒng)來(lái)講，用在信息安全方面意味著員工工作的過(guò)程，而不是計(jì)算機(jī)或其它電子概念。實(shí)施和運(yùn)作ISMS維護(hù)和改進(jìn)ISMS 實(shí)施（實(shí)施和動(dòng)作信息安全管理體系 實(shí)施和動(dòng)作信息安全方針、控制措施、過(guò)程和程序。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對(duì)應(yīng)關(guān)系，本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。1 范圍1．1概要本標(biāo)準(zhǔn)提供在組織整個(gè)動(dòng)作風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)一個(gè)文件化的信息安全管理體系的模型。這將轉(zhuǎn)化為維護(hù)和提高競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。當(dāng)本標(biāo)準(zhǔn)的任何要求因組織及其產(chǎn)品的特點(diǎn)而不適用時(shí)，可以考慮對(duì)其進(jìn)行刪減。[BS ISO/IEC17799：2000]3．3信息安全安全保護(hù)信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個(gè)管理體系的一部分，建立在運(yùn)營(yíng)風(fēng)險(xiǎn)的方法上，以建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全。3．9風(fēng)險(xiǎn)評(píng)價(jià)把估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)相比較，確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程。為滿足該標(biāo)準(zhǔn)的目的，使用的過(guò)程建立在圖一所示的PDCA模型基礎(chǔ)上。2） 2）3） 3）4） 4）5） 5） 確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。 在信息安全管理體系的范圍內(nèi)，識(shí)別資產(chǎn)及其責(zé)任人2） 2） 評(píng)價(jià)風(fēng)險(xiǎn)1） 1） 確定介紹風(fēng)險(xiǎn)或使用在c中建立的標(biāo)準(zhǔn)進(jìn)行衡量確定需要處理；f） f） 知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3） 3） 選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)： 應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果調(diào)整。（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。 提議的殘余風(fēng)險(xiǎn)應(yīng)獲得管理層批準(zhǔn)并授權(quán)實(shí)施和動(dòng)作信息安全管理體系。c） c） 管理動(dòng)作過(guò)程；f） f）4．2．3監(jiān)控和評(píng)審信息安全管理體系組織應(yīng)：a） a） 能夠使管理層確定分派給員工的或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否達(dá)到了預(yù)期的目標(biāo)；4） 4） 評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1） 1） 識(shí)別威脅5） 5）e） e）4．2．4維護(hù)和改進(jìn)信息安全管理體系組織應(yīng)經(jīng)常：a） a） 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。 文件化的安全方針文件和控制目標(biāo)；b） b） 風(fēng)險(xiǎn)處理計(jì)劃。 本標(biāo)準(zhǔn)要求的記錄[]。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識(shí)別；d） d） 確保外來(lái)文件的發(fā)放在控制狀態(tài)下；g） g）信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。 建立信息安全方針；b） b）e） e） 確定可接受風(fēng)險(xiǎn)的水平。 建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b） b） 必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f） f）組織應(yīng)：a） a） 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評(píng)審6．1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。 相關(guān)方的反饋；c） c）6．3評(píng)審輸出管理評(píng)審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a） a） 安全要求；3） 3） 資源需求。 被有效地實(shí)施和維護(hù)；d） d）選擇審核員及進(jìn)行審核應(yīng)確認(rèn)審核過(guò)程的客觀和公正。7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過(guò)使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。 確定不合格的原因；c） c）f） f）預(yù)防措施應(yīng)于潛在問(wèn)題的影響程序適應(yīng)。 記錄所采取措施的結(jié)果[]；d） d）A．1介紹 ISO/IEC 17799:2000條款3到12一致。BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針?lè)郊?出版并在適當(dāng)時(shí),溝通給所有員工。管理委員會(huì)應(yīng)通過(guò)適當(dāng)?shù)某兄Z和充足的資源推廣安全信息安全協(xié)作在大的組織中，應(yīng)使用一個(gè)由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會(huì)，協(xié)作實(shí)施信息安全控制措施。應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備BS ISO/IEC 17799:2000編號(hào)操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動(dòng)的工作日。BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中控制措施安全要求的分析及標(biāo)準(zhǔn)對(duì)于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營(yíng)運(yùn)要求，應(yīng)將對(duì)控制方法的要求制定于其中控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用控制措施輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確保資料是正確且適當(dāng)?shù)膬?nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部份，以偵測(cè)出所處理的資料是否損毀消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性的安全要求時(shí)，應(yīng)針對(duì)應(yīng)用程序進(jìn)行消息的認(rèn)證輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以確保對(duì)所儲(chǔ)存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)目刂颇繕?biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性控制措施運(yùn)用密碼學(xué)控制方法時(shí)的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來(lái)達(dá)成保護(hù)信息目的政策資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性數(shù)字簽章應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動(dòng)是否有發(fā)生的爭(zhēng)議不可否認(rèn)性的服務(wù)應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運(yùn)用密鑰管理之所以可以描述為一個(gè)有效的循環(huán)國(guó)為它的目的是為了保證您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)間改進(jìn)。這個(gè)階段在評(píng)審階段開始實(shí)施時(shí)結(jié)束。檢查和處置評(píng)審階段用來(lái)加強(qiáng)、修改和改進(jìn)已識(shí)別和實(shí)施的安全方案。最后，需要每一年或其他周期性評(píng)審或?qū)徍艘员ＷC整個(gè)管理體系達(dá)成其目標(biāo)。SoC可能包含敏感的信息，因此當(dāng)SoC在外部和內(nèi)部同時(shí)應(yīng)用時(shí)，應(yīng)考慮他們對(duì)于接收者是否合適。 計(jì)劃階段4．2．1b）要求組織和其管理層確定包含建立其目標(biāo)和目的框架、并建立總的方向、信息安全行動(dòng)原則的信息安全方針。應(yīng)清楚識(shí)別的從屬、界面和對(duì)于一個(gè)環(huán)境的邊界的假設(shè)。 建立范圍和信息安全管理體系的環(huán)境所使用的過(guò)程；b） b） 在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識(shí)別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個(gè)管理體系或另一個(gè)信息安全管理體系（相同的或一個(gè)第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們適用于信息安全管理體系的范圍和風(fēng)險(xiǎn)，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。 對(duì)威脅利用脆弱點(diǎn)的評(píng)估，及當(dāng)此類事故發(fā)生時(shí)的影響；d） d） 選擇的處理風(fēng)險(xiǎn)的方法；b） b）應(yīng)識(shí)別一個(gè)可接受風(fēng)險(xiǎn)的水平，對(duì)于每一個(gè)不在可接受水平內(nèi)的風(fēng)險(xiǎn)應(yīng)從下列方面選擇合適的措施：a） a）風(fēng)險(xiǎn)治理計(jì)劃是一個(gè)調(diào)和的文件，確定降低不可接受的水平，因此應(yīng)對(duì)是否增加更多的控制措施或接受更高的風(fēng)險(xiǎn)作出一個(gè)決定。BS ISO/IEC17799:2000提供相關(guān)實(shí)施這些控制措施的附加信息，當(dāng)識(shí)別的風(fēng)險(xiǎn)超過(guò)這些控制措施可以控制的水平時(shí)，可能需要設(shè)計(jì)附加的控制措施并加以實(shí)施。在PDCA循環(huán)中的實(shí)施階段是設(shè)計(jì)用來(lái)實(shí)施選擇的控制措施和推進(jìn)必要的策劃階段所做出的決定一致的管理信息安全風(fēng)險(xiǎn)措施。意識(shí)項(xiàng)目的目的是產(chǎn)生一種有很好基礎(chǔ)的風(fēng)險(xiǎn)管理和安全的文化。對(duì)于經(jīng)過(guò)評(píng)估可接受的風(fēng)險(xiǎn)，不需要進(jìn)一步的措施。這些實(shí)施應(yīng)與在策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃一致。控制措施應(yīng)保證不希望發(fā)生的影響或破壞及時(shí)被識(shí)別并適當(dāng)管理。另外，任何有關(guān)風(fēng)險(xiǎn)評(píng)估范圍或假設(shè)的變化應(yīng)予以考慮。 維護(hù)信息安全管理體系文件內(nèi)部的一致性：并b） b）在檢查階段采集的信息提供可以用來(lái)決定和測(cè)量信息安全管理體系在符合文件化的組織安全方針和目標(biāo)有效性的測(cè)量的有價(jià)值的數(shù)據(jù)資源。一個(gè)網(wǎng)絡(luò)入侵監(jiān)測(cè)員會(huì)監(jiān)測(cè)其他部件的安全是否被滲透。這些程序應(yīng)作為正式的業(yè)務(wù)過(guò)程經(jīng)常進(jìn)行并設(shè)計(jì)用來(lái)偵測(cè)處理結(jié)果的錯(cuò)誤。自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。組織應(yīng)經(jīng)常參考這些并對(duì)他們的軟件進(jìn)行適當(dāng)?shù)母?。總的目?biāo)是通過(guò)在一個(gè)特定常規(guī)審核時(shí)間段進(jìn)行檢查（時(shí)間不應(yīng)該超過(guò)一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。 使用一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法；c） c）經(jīng)常進(jìn)行趨勢(shì)分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。改進(jìn)活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動(dòng)，關(guān)鍵是所有的相關(guān)方被子及時(shí)告知所作的改變，并提相應(yīng)的附加的培訓(xùn)。 一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項(xiàng)的原因或其他不合需要的情況以防止再次發(fā)生。當(dāng)識(shí)別和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件。本英國(guó)標(biāo)準(zhǔn)為實(shí)施一些OECD原則提供一個(gè)使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過(guò)程。 原則和PDCA模型安