【正文】 ] ；f) 評審所采取的糾正措施。糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。在這些表中選擇控制目標和控制措施是條款4．2＊規(guī)定的信息安全管理體系過程的一部分。管理委員會應(yīng)通過適當?shù)某兄Z和種族的資源推廣安全信息安全協(xié)作在大的組織中，應(yīng)使用一個由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施落實信息安全責(zé)任應(yīng)明確定義保護每種資產(chǎn)和負責(zé)特定安全過程的責(zé)任對信息處理設(shè)施的授權(quán)過程應(yīng)建立對于新的信息處理設(shè)施的管理授權(quán)專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實施協(xié)作組織間的合作與執(zhí)法機關(guān)、主管機關(guān)、信息服務(wù)提供者，及通信業(yè)者應(yīng)維持適當?shù)慕佑|獨立的信息安全審查應(yīng)對信息安全方針的實施進行獨立的審查控制目標：維護組織的信息處理設(shè)施及細小資產(chǎn)被第三方訪問時的安全控制措施確認第三方訪問的風(fēng)險應(yīng)對第三訪問組織的信息處理設(shè)施所帶來的風(fēng)險進行評估，并實施適當?shù)陌踩刂婆c第三方的合約中的安全要求涉及第三方訪問組織的信息設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)控制目標：當信息處理的責(zé)任委托其它組織時，應(yīng)維護信息的安全外包合約中的安全要求當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)及/或桌上型計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應(yīng)載明安全的要求A．5資產(chǎn)分類與控制BS ISO/IEO17799:2000編號控制目標：維持對于組織的資產(chǎn)的適切保護控制措施資產(chǎn)的清單應(yīng)列出并維持一份與每個信息系統(tǒng)有關(guān)的所有重要的資產(chǎn)的清單控制目標：確保信息資產(chǎn)受到適當程度的保護控制措施分類原則信息的分類及相關(guān)的保護控制，應(yīng)適合于企業(yè)營運對于信息分享或限制的需要，以及這些需要對企業(yè)營運所帶來的沖擊信息的標識及處理應(yīng)制定信息標識及處理的程序，以符合組織所采行動的分類法則A．6人事安全BS ISO/IEO17799:2000編號控制目標：降低因人員錯誤、偷竊、詐欺或不當使用設(shè)施所造成的風(fēng)險控制措施將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全角色及責(zé)任，應(yīng)適度地書面化于工作職責(zé)說明書中人員篩審及政策應(yīng)在招聘員工時執(zhí)行正式員工的驗證查核保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分聘用合同聘用合同中因陳述員工對信息安全的責(zé)任控制目標：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力控制措施信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者，對于組織方針及程序應(yīng)接受適當、定期更新的訓(xùn)練安全事故報告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M行通報安全弱點的報告應(yīng)要求信息服務(wù)的使用者記下并報告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點或威脅軟件失效事件的報告應(yīng)建立報告軟件失效事件的相關(guān)程序從事件中學(xué)習(xí)應(yīng)有適當機制以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量及成本懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理A．7實體及環(huán)境安全BS ISO/IEO17799:2000編號控制目標：防止對企業(yè)運行所在地及信息未經(jīng)授權(quán)的進入、訪問、破壞及干擾控制措施實體安全邊界組織應(yīng)有安全的邊界以保護包含信息處理設(shè)施的區(qū)域?qū)嶓w進出控制安全區(qū)域應(yīng)有適當?shù)倪M出控制加以保護，以確保只有經(jīng)授權(quán)的人員可以進出辦公處所及設(shè)備的保護應(yīng)劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設(shè)備在安全區(qū)域中的作業(yè)應(yīng)對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導(dǎo)原則以堅強安全區(qū)域的安全隔離遞送及裝載區(qū)域遞送及裝載區(qū)域應(yīng)加以控制，如有可能與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問 設(shè)備安全控制目標：預(yù)防資產(chǎn)遺失或損失和防止企業(yè)運營活動遭受干擾控制措施設(shè)備的安置及保護應(yīng)妥善安置及保護設(shè)備，以降低來自環(huán)境的威脅與危險所造成的風(fēng)險以及未經(jīng)授權(quán)的訪問電源供應(yīng)應(yīng)保護設(shè)備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護免于被攔截或破壞設(shè)備維護設(shè)備應(yīng)進行正確維護，以確保其持續(xù)的可用性及完整性組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)設(shè)備報廢或再利用的安全防護設(shè)備在報廢或再利用前，應(yīng)清除在設(shè)備中的信息控制目標：防止信息及信息處理設(shè)備的損毀或失竊控制措施辦公桌面凈空及計算機屏幕畫面凈空策略組織應(yīng)具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問、遺失及所造成的風(fēng)險資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件A．8通訊與操作管理BS ISO/IEO17799:2000編號 作業(yè)程序及責(zé)任控制目標：確保正確、安全地操作信息處理設(shè)備控制措施文件化的作業(yè)程序作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅速、有效及有序地反應(yīng)安全事件和采集事故有關(guān)數(shù)據(jù)如審核線索和日志職務(wù)隔離職務(wù)及負責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當使用信息或服務(wù)的機會開發(fā)與操作設(shè)備的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。這可以描述為一個有效的循環(huán)因為它的目的是為了保證您的組織的最好實踐文件化、加強并隨時時間改進。計劃階段用來保證為ISMS建立的內(nèi)容和范圍正確地建立，信息安全風(fēng)險評估和使當?shù)靥幚磉@些風(fēng)險的計劃被開發(fā)。在一些體系中他們可能需要建立在計算機化的過程中以運營和立即回應(yīng)。B．2計劃階段B．2．1介紹PDCA循環(huán)的計劃活動是設(shè)計以保證ISMS的內(nèi)容和范圍被正確地建立，所有的信息安全風(fēng)險被識別和評估，合適的處理風(fēng)險的計劃被開發(fā)。B．2．3SIMS的范圍ISMS可能覆蓋組織所有的部分。信息安全管理體系范圍文件應(yīng)覆蓋：a)建立范圍使用的過程和信息安全管理體系的環(huán)境b)戰(zhàn)略及組織環(huán)境c)組織使用的信息安全風(fēng)險管理的方法d)信息安全風(fēng)險評價的標準和所需的確保的程度的要求e)在信息安全管理體系的范圍內(nèi)信息資產(chǎn)的識別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍，另一個管理體系或另一個信息安全管理體系（相同的或一個第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。a)信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不是以錢來衡量時，估價量度的使用的信息b)識別威脅和脆弱點c)對威脅利用脆弱點的評估及當此類事故發(fā)生時的影響d)在評估的結(jié)果的基礎(chǔ)上計算風(fēng)險，識別殘余風(fēng)險B．2．5風(fēng)險治理計劃組織應(yīng)建立一個詳細的日程，或風(fēng)險治理計劃，對于每一個識別的風(fēng)險定義a)選擇的處理風(fēng)險的方法b)已有的控制措施c)建議的新添的控制措施d)實施新建議的控制措施的時間架構(gòu)應(yīng)識別一個可接受的風(fēng)險的水平，對每一個不在可接受水平內(nèi)的風(fēng)險應(yīng)從下列方面選擇合適的措施：a)決定接受風(fēng)險，如，因為不能采取其他措施或太貴b)轉(zhuǎn)移風(fēng)險，或c)降低風(fēng)險到可接受的風(fēng)險風(fēng)險治理計劃是一個調(diào)和文件，定義降低不可接受風(fēng)險的水平和實施要求的保護信心的控制措施。這份文件是信息安全管理體系認證要求的一份工作文件。B．3實施階段B．3．1介紹在PDCA循環(huán)中的實施階段是設(shè)計用來實施選擇的控制措施和推進必要的與在計劃階段所做出的決定一致的管理信息安全風(fēng)險措施。應(yīng)監(jiān)控安全意識項目的進展以保證其持續(xù)有效性時實行。在這種情況下，應(yīng)保證風(fēng)險轉(zhuǎn)移到的組織理解那些風(fēng)險的性質(zhì)和能夠有效地管理他們。當一個組織決定接受高于可接受水平的風(fēng)險時，應(yīng)獲得管理層的批準。另外，任何對于風(fēng)險評估的范圍設(shè)計的變化應(yīng)被考慮。在可能確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。例一入侵檢測技術(shù)的自動響應(yīng)。B．這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進行并設(shè)計用來偵測處理結(jié)果的錯誤。警鈴能夠提醒負責(zé)的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。有很多來源識別在技術(shù)和軟件中脆弱性。B．4．5內(nèi)部信息安全管理體系審核總的目標是通過一個特定常規(guī)審核時間段檢查（時間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達到預(yù)想的效果。B．4．6管理評審總的目標是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。改進工作活動的目的是采取作為檢查活動的結(jié)果的措施。5。一個后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計劃付諸行動，檢查活動識別出需要這樣做。糾正措施應(yīng)與不符合項的嚴重程度和對于信息安全管理體系符合特定要求的風(fēng)險一致。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實上是一個弱點的征兆，如果不加以處理可能回對整個組織發(fā)生影響。1中顯示。所有這些方面包含在策劃、實施、檢查和改進階段重新評估參與者應(yīng)評審和重評估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進行適當?shù)男薷陌踩结?、實踐、測量和程序信息安全的重新評估是檢查階段的一部分（）應(yīng)進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（）附錄C（情報性的）BS EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001: