【正文】 全管理參與者應采取一套完整的方法進行安全管理風險管理實施一個包括預防，偵測和回應事故，不斷維護，評審和審核的過程。附錄C（情報性的）BS EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002對照 EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002間的對照關系BS77992：20002BS EN ISO9001：2000BS EN ISO 14001：19960介紹0．1介紹0．2過程方法介紹1范圍1．1總則1．2應用1范圍1．1總則1．2應用1范圍2標準參考2標準參考2標準參考3名詞和定義3名詞和定義3名詞和定義4信息安全管理體系要求4．1總要求4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運行信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護和改進住處安全管理體系4．3文件要求4．3．1總則4．3．2文件控制4．3．3記錄控制4 QMS要求4．1總要求4．5．1監(jiān)控和測量4．5．2不符合糾正預防措施5．6管理評審8．5．3預防措施32 / 32。4．5．2不符合與糾正預防措施7．3預防措施BS77992：2002BS EN ISO9001：2000BS EN ISO14001：19965．2資源管理5．2．1資源提供4．4．5文件控制4．5．3記錄5管理責任5．1管理承諾5管理責任5．1管理承諾5．2以客戶為關注焦點5．3質量方針5．4策劃5．5責任、授權和溝通 4與其他管理體系的兼容性這還可以被一些策劃和檢查階段方面覆蓋風險評估參與者應執(zhí)行風險評估這項活動是策劃階段的一部分（）并且風險在評估是檢查階段的一部分（）安全設計和實施參與者應把安全作為信息系統(tǒng)和網(wǎng)絡基本的元素一旦完成風險評估，選擇控制措施處理風險是策劃階段的一部分（）。永遠不可能全部消除孤立的不符合項。糾正措施應與不符合項的嚴重程度對于信息安全管理體系符合特定的要求的風險一致。一個不符合項是：（從ISO/IEC指南62條款應用使用指南）a） a）一個前面的例子是當一個新的威脅被識別，策劃活動應更新風險評估。在確定目前的安全狀態(tài)是令人滿意的同時，應注意技術的變化和業(yè)務需求的變化及新威脅和脆弱點的發(fā)生，以預測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。 信息安全管理體系與本標準一致。 實施了技術控制措施（如：防火墻，物理訪問控制）等，并正確地配置和像預期的一樣工作；e） e）管理層應保證有證據(jù)確認：a） a）此類交流使組織能夠學習怎樣處理類似的問題。這種學習適用于技術軟件和管理活動。警鈴能夠提醒負責的員工問題的所在，使他們能查清事故原因并修復它。 確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡部分間傳輸?shù)臏蚀_性和完整性。很明確，此類的檢查需要設計的體系里以進行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責任）。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。檢查活動的性質依賴于PDCA循環(huán)有關的特性，以下是一些例子。檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術、威脅或功能下處理風險的過程。此類活動的實行應在PDCA循環(huán)的處置階段。當一個組織決定接受高于呆接受水平的風險時，應獲得管理層的批準。在這種情況下，應保證風險轉移到的組織理解那些風險的性質和能夠有效地管理他們。特別的安全培訓應適用于是否支持意識項目，使所有相關方在需要時完成他們的任務。，培訓和意識應落實充足的運行信息安全管理體系和所有安全控制措施的資源，包括實施所有控制措施的文件，和維護信息安全管理體系文件的活動。應準備一份提供日程、排列優(yōu)先次序、一個詳細的工作計劃和責任的計劃，實施控制措施。適用性聲明[]記錄控制目標和從附錄A選擇的控制措施。 轉移風險；或c） c） 建議的新添的控制措施；d） d） 信息安全管理體系范圍內的資產的評價，包括在不能以錢來衡量時，估價量度的使用的信息；b） b）風險評估文件應解釋選擇哪一種風險方法，為什么此方法適合安全要求，業(yè)務環(huán)境，組織的規(guī)模和面臨的風險等。 組織使用的信息安全風險管理的方法；d） d）范圍的界定可能分為幾種方式，例如，分為領域，使后續(xù)的風險管理任務變得容易。計劃活動所有階段必須文件化作為管理變化的追溯，這一點非常重要。SoA是認證必須的要求。（Summary of Controls）組織可能發(fā)現(xiàn)制作一份相關和應用于組織的信息安全管理體系的控制措施總結（SoC）的好處。在一些體系中他們可能需要建立在計算機化的過程中以運行和立即回應。實施階段用來實施在計劃階段確定的決定和解決方案。一個持續(xù)提高的過程通常要求最初的投資：文件化實踐，將風險管理的進程正式化，確定評審的方法和配置資源。 模型建立和管理一個信息安全管理體系需要像其他任何管理體系一樣的方法?？刂颇繕耍簩⒂行蕴嵘磷畲螅碜约白饔迷谙到y(tǒng)審核，流程的干擾降至最小控制措施BS ISO/IEC 17799:2000編號控制目標：確保信息科技的項目及支持特性活動以安全的方式來進行控制措施控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測試資料的保護測試資料應加以保護及控制原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴格的控制控制目標：維護應用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更的技術審查當發(fā)生變更時，應對應用系統(tǒng)進行審查及測試軟件包修改的限制應阻止對于軟件包的修改，對于變更應嚴格控制秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序委外的軟件開發(fā)應使用控制方法防護委外的軟件開發(fā)BS ISO/IEC 17799:2000編號網(wǎng)絡服務的安全對于組織使用網(wǎng)絡服務業(yè)者提供的所有網(wǎng)絡服務的安全特性,應提供清楚的說明控制目標:防止未經(jīng)授權的計算機訪問控制措施自動化的終端機識別應使用自動化的終端機識別,以認證連接到特定場所及可移動式設備的聯(lián)機終端機聯(lián)機程序訪問信息服務應有安全的聯(lián)機流程使用者識別及認證所有使用者應有唯一的識別碼(使用者代號)專供其個人的使用,口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互式的設施以確保使用優(yōu)質的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應加以限制并嚴格控制提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標的使用者，應提供脅迫警報終端機逾時終止在高風險場所或為高風險系統(tǒng)服務終端機，在進入休止狀態(tài)達到規(guī)定的一段時間后，應加以關閉以防止未經(jīng)授權的人進行訪問聯(lián)機時間的限制應使用聯(lián)機時間的限制，以提供高風險的應用程序額外的安全控制目標：防止對于保持在信息系統(tǒng)中的信息進行未經(jīng)授權的訪問控制措施信息訪問限制對于信息及應有系統(tǒng)的功能的訪問應依照訪問控制策略加以限制機密性系統(tǒng)的隔離具機密性質的系統(tǒng)應有專屬的〈隔離的〉運算環(huán)境控制目標：偵探未經(jīng)授權的活動控制措施事件登錄應產生記載著異常狀況及其它安全相關事件的審核日志，并保存一定的期間以協(xié)助未來的調查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應建立監(jiān)控信息設施使用情況的程序，并且應定期對監(jiān)活動的結果進行審查定時器同步計算機的定時器應同步以便能準確地記錄（繼續(xù)）錯誤事件登錄應通報錯誤并采取改正行動控制目標：確保網(wǎng)絡中信息的安全性以及保護支持性的基礎設施控制措施網(wǎng)絡控制應實行一系列的控制方法以達成并維護網(wǎng)絡的安全控制目標：防止資產遭受損害以及企業(yè)營運活動遭受干擾遞送及裝載區(qū)域應加以控制，如有可能應與信息處理設施隔離，以避免未經(jīng)授權的訪問控制目標：預防資產遺產、破壞或損失和防止企業(yè)運營活動遭受干擾控制措施設備的安置及保護應妥善安置及保護設備，以降低來自環(huán)境的威脅與危險所造成的風險以及未經(jīng)授權的訪問電源供應應保護設備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務的電力及通訊電纜，應予以保護免于被攔截或破壞設備維護設備應進行正確維護，以確保其持續(xù)的可用性及完整性組織以外的設備安全任何在組織所在地以外使用的信息處理設備應要求管理層授權設備報廢或再利用的安全防護設備在報廢或再利用前，應清除在設備中的信息控制目標：防止信息及信息處理設備的損毀或失竊控制措施辦公桌面凈空及計算機屏幕畫面凈空策略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權訪問、遺失及損害所造成的風險資產的移出未經(jīng)授權不得移出組織所擁有的設備、信息及軟件BS ISO/IEC 17799:2000編號控制目標:維持對于組織的資產的適切保護控制措施資產的清單應列出并維護一份與每個信息系統(tǒng)有關的所有重要資產的清單控制目標：確保信息資產受到適當程度的保護控制措施分類原則信息的分類及相關的保護控制，應適合于企業(yè)運營對于信息分享或限制的需要，以及這些需要對企業(yè)運營所帶來的沖擊信息的標識及處理應制定信息標識及處理的程序，以符合組織所采行的分類法則控制目標：當信息處理的責任委托其他組織時，應維護信息的安全外包合約中的安全要求`當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應載明安全的要求。A．2實踐指南規(guī)范BS ISO/IEC 17799：。注：預防不合格的措施總是比糾正措施更節(jié)約成本。 識別潛在的不合格及引起不合格的原因；b） b） 評審所采取的糾正措施。 確定和實施所需的糾正措施；e） e）應為糾正措施編制形成文件的程序，確定以下的要求：a） a）應在一個文件化的程序中確定策劃和實施審核，報告結果和維護記錄[]的責任及要求.負責被審核區(qū)域的管理者應確保沒有延遲地采取措施減少被發(fā)現(xiàn)的