【正文】 附錄 A ISO14001與ISO9001間的聯(lián)系4．5．4EMS審核7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)7．2糾正措施4．2環(huán)境方針4．3策劃4．2文件要求4．2．1總則4．2．2文件控制4．2．3文件控制4．2．4記錄控制4 EMS要求4．1總要求0．3與其他管理體系的兼容性0介紹0．1總則0．2過程方法0．3與ISO9004的關(guān)系0． 0．所有這方面包含在策劃，實(shí)施，檢查和改進(jìn)階段重新評(píng)估參與者應(yīng)評(píng)審和重新評(píng)估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進(jìn)行適當(dāng)?shù)男薷陌踩结?，?shí)踐，測(cè)量和程序信息安全的重新評(píng)估是檢查階段的一部分（），應(yīng)進(jìn)行經(jīng)常性的評(píng)估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分（）如果不加以立即的糾正措施外，考慮中、長(zhǎng)期觀點(diǎn)非常重要，確保補(bǔ)救工作不僅考慮在考慮之下的問題而且預(yù)防和減少類似事件在發(fā)生的可能性。非常重要的，在檢查階段的評(píng)審強(qiáng)調(diào)不符合項(xiàng)的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識(shí)別事故的原因，識(shí)別采取不僅解決問題而且減少和防止其再發(fā)生。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)?？偰繕?biāo)是檢查信息安全管理體系的有效性，至少每年一次，以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。 遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo)；d） d）管理技巧的信息會(huì)經(jīng)常在很多管理論壇上交流和討論，包括會(huì)議，執(zhí)業(yè)協(xié)會(huì)，和使用者小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。例如，一個(gè)監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯(cuò)誤）的設(shè)備并鳴響警鈴。 檢查有沒有無意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變；b) b)他們可能包括：調(diào)整銀行賬戶、資產(chǎn)清點(diǎn)、及解決客戶抱怨。這些信息應(yīng)同時(shí)用于一種識(shí)別無效的過程和程序的資源。如果發(fā)現(xiàn)控制措施不夠充足，應(yīng)決定采取必要的糾正措施。成功實(shí)施該計(jì)劃要求有效的管理體系，管理體系確定選擇的方法，指派責(zé)任和個(gè)人對(duì)措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。應(yīng)監(jiān)控安全意識(shí)項(xiàng)目的進(jìn)展以保證其持續(xù)有效性和時(shí)事性。設(shè)計(jì)用來阻止、偵測(cè)、限制、保護(hù)和恢復(fù)安全侵害（與信息安全管理體系一致）的控制措施對(duì)實(shí)施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測(cè)、限制和恢復(fù)的管理控制措施一起加以實(shí)施，這樣才能更有效。 決定接受風(fēng)險(xiǎn)，如，因?yàn)椴荒懿扇∑渌胧┗蛱F；b） b） 在評(píng)估結(jié)果的基礎(chǔ)上計(jì)算風(fēng)險(xiǎn)，識(shí)別殘余風(fēng)險(xiǎn)。這對(duì)于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時(shí)尤其重要。PDCA循環(huán)的計(jì)劃活動(dòng)是為保證正確地建立信息安全管理體系的內(nèi)容和范圍，識(shí)別和評(píng)估所有的信息安全風(fēng)險(xiǎn)，建立合適的處理風(fēng)險(xiǎn)計(jì)劃而設(shè)計(jì)的。計(jì)劃階段用來保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立，評(píng)估信息安全風(fēng)險(xiǎn)和建立適當(dāng)?shù)靥幚磉@些風(fēng)險(xiǎn)的計(jì)劃。附錄 B （情報(bào)性的）標(biāo)準(zhǔn)使用指南BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何安全的要求控制措施鑒別適用的法律規(guī)定對(duì)每一個(gè)信息系統(tǒng)而言，法律條文、行政法律及契約內(nèi)容所規(guī)定的所有相關(guān)要求,應(yīng)加以明白地界定及文件化知識(shí)產(chǎn)權(quán)應(yīng)實(shí)行適當(dāng)?shù)某绦?以確保在使用智能財(cái)產(chǎn)權(quán)方面的物品及他人專屬的軟件產(chǎn)品時(shí),能符合法律的限制組織記錄的保護(hù)應(yīng)防止屬于組織的重要記錄遺失、被破壞及篡改個(gè)人信息的隱私及數(shù)據(jù)保護(hù)應(yīng)使用控制方法,以依照相關(guān)的法律保護(hù)個(gè)人信息信息處理設(shè)施不當(dāng)使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)營(yíng)管理者授權(quán),并且在應(yīng)使用控制方法，以防止這些設(shè)施遭受不當(dāng)使用有關(guān)密碼學(xué)控制方法的政府規(guī)定應(yīng)有適當(dāng)?shù)目刂品椒?，以確保使用或訪問密碼學(xué)控制方法，符合國(guó)家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求證據(jù)的收集當(dāng)對(duì)某個(gè)人或某組織所采取的行動(dòng)涉及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍ?duì)于證據(jù)所作的規(guī)定，并應(yīng)包括符合任何有關(guān)可采購(gòu)證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi)控制目標(biāo)：確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn)控制措施安全方針的符合性管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應(yīng)定期加以審查，以確保符合安全政策及標(biāo)準(zhǔn)技術(shù)符合性的檢查BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：控制對(duì)于信息的訪問控制措施訪問控制策略企業(yè)營(yíng)運(yùn)對(duì)訪問控制的要求應(yīng)加以界定并文件化，對(duì)于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)控制措施使用者注冊(cè)應(yīng)有正式的使用者注冊(cè)及注銷的程序，以進(jìn)行所有的多人使用信息系統(tǒng)及服務(wù)的訪問授權(quán)特殊權(quán)限的管理對(duì)于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對(duì)密碼的分配，應(yīng)通過正式的管理流程加以控制使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對(duì)于使用者的訪問權(quán)限實(shí)施評(píng)審A..控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí)，遵循良好的安全慣例無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲得特別授權(quán)使用的服務(wù)強(qiáng)制性的路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器羊的路徑應(yīng)加以控制外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對(duì)遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的聯(lián)機(jī)應(yīng)被認(rèn)證遠(yuǎn)程診斷端口的保護(hù)對(duì)于診斷斷口的訪問應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中，使用者的聯(lián)機(jī)能力應(yīng)依照訪問控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計(jì)算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營(yíng)運(yùn)應(yīng)用軟件的訪問控制政策（繼續(xù)）應(yīng)對(duì)在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以加強(qiáng)安全區(qū)域的安全A．5資產(chǎn)分類與控制評(píng)審和評(píng)價(jià)應(yīng)經(jīng)常評(píng)審方針文件,尤其在發(fā)生決定性的變化時(shí),確保方針的適宜性 評(píng)價(jià)所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。7．2糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。 達(dá)到預(yù)想的績(jī)效。 業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4） 4） 以往管理評(píng)審的跟蹤措施；g） g）評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。g） g） 確保建立信息安全目標(biāo)和計(jì)劃；c） c）記錄應(yīng)保持清晰、易于識(shí)別和檢索。 確保文件的發(fā)放在控制狀態(tài)下；h） h）應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a）e） e）d） d） 經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審（至少每年評(píng)審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進(jìn)措施已被識(shí)別（見條款6信息安全管理體系的管理評(píng)審）；f） f） 組織2） 2） 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） （g）選擇的控制目標(biāo)和措施d） d）從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i） 避免風(fēng)險(xiǎn)；4） 4） 評(píng)估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2）為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系組織應(yīng)：a） a）注：管理體系包括組織的架構(gòu)、方針、策劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。 檢查CHECK相關(guān)單位例1一個(gè)需求是信息安全事故不要引起組織的財(cái)務(wù)損失和/或引起高層主管的尷尬。 理解業(yè)務(wù)動(dòng)作對(duì)信息安全的需求和建立信息安全方針和目標(biāo)的需要；b） b） 3其他管理體系的兼容性1 范圍1．1概要1．2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實(shí)施和運(yùn)營(yíng)(對(duì)照中文ISO9001確認(rèn))？信息安全管理體系4．2．3監(jiān)控和評(píng)審信息安全管理體系4．2．4維護(hù)和改進(jìn)信息安全管理體系 4．3文件化要求4．3．1總則4．3．2文件控制4．3．3記錄控制5管理職責(zé)5．1管理承諾？（對(duì)照中文ISO9001確認(rèn)）5．2資源管理5．2．1資源提供 5．2．2培訓(xùn)、意識(shí)和能力6信息安全管理體系管理評(píng)審 6．1總則 6．2評(píng)審輸入？（對(duì)照中文ISO9001確認(rèn)） 6．3評(píng)審輸出？（對(duì)照中文IS9001確認(rèn)）7信息安全管理體系改進(jìn) 7．1持續(xù)改進(jìn) 7．2糾正措施 7．3預(yù)防措施附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施 A．1介紹 A．2最佳實(shí)踐指南 A．3安全方針 A．4組織安全 A．5資產(chǎn)分級(jí)和控制 A．6人事安全 A．7實(shí)體和環(huán)境安全 A．8通信與運(yùn)營(yíng)安全 A．9訪問控制A．10系統(tǒng)開發(fā)和維護(hù) A．11業(yè)務(wù)連續(xù)性管理 A．12符合信息安全管理體系——規(guī)范與使用指南 希望簡(jiǎn)單的情況使用簡(jiǎn)單的信息安全解決方案。通常，一個(gè)過程的輸出直接形成了下一個(gè)過程的輸入。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望，通過必要的行動(dòng)措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。 改進(jìn)（維護(hù)和改進(jìn)信息安全管理體系） 在管理評(píng)審的結(jié)果的基礎(chǔ)上，采取糾正和預(yù)防措施以 持續(xù)改進(jìn)信息安全管理體系。（附錄B提供使用規(guī)范的指南）。任何能夠滿足風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險(xiǎn)被負(fù)責(zé)人員正當(dāng)?shù)亟邮堋?．1可用性 保證被授權(quán)的使用者需要時(shí)能夠訪問信息及相關(guān)資產(chǎn)。這些控制目標(biāo)和控制措施是建立在風(fēng)險(xiǎn)評(píng)估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。 應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針，方針應(yīng)：1） 1） 識(shí)別可能被