【正文】 附錄 A ISO14001與ISO9001間的聯(lián)系4．5．4EMS審核7信息安全管理體系改進7．1持續(xù)改進7．2糾正措施4．2環(huán)境方針4．3策劃4．2文件要求4．2．1總則4．2．2文件控制4．2．3文件控制4．2．4記錄控制4 EMS要求4．1總要求0．3與其他管理體系的兼容性0介紹0．1總則0．2過程方法0．3與ISO9004的關系0． 0．所有這方面包含在策劃，實施，檢查和改進階段重新評估參與者應評審和重新評估信息系統(tǒng)和網(wǎng)絡的安全，并進行適當?shù)男薷陌踩结?，實踐，測量和程序信息安全的重新評估是檢查階段的一部分（），應進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（）如果不加以立即的糾正措施外，考慮中、長期觀點非常重要，確保補救工作不僅考慮在考慮之下的問題而且預防和減少類似事件在發(fā)生的可能性。非常重要的，在檢查階段的評審強調(diào)不符合項的區(qū)域，應采取進一步的調(diào)查以識別事故的原因，識別采取不僅解決問題而且減少和防止其再發(fā)生。措施可能進一步立刻進入策劃和實施活動?？偰繕耸菣z查信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。 遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達到了他們向往的目標；d） d）管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議，執(zhí)業(yè)協(xié)會，和使用者小組，并有很多文件發(fā)布在技術和管理雜志上。例如，一個監(jiān)控網(wǎng)絡（如：設備故障或錯誤）的設備并鳴響警鈴。 檢查有沒有無意的和未授權的對管理軟件活動參數(shù)的改變；b) b)他們可能包括：調(diào)整銀行賬戶、資產(chǎn)清點、及解決客戶抱怨。這些信息應同時用于一種識別無效的過程和程序的資源。如果發(fā)現(xiàn)控制措施不夠充足，應決定采取必要的糾正措施。成功實施該計劃要求有效的管理體系，管理體系確定選擇的方法，指派責任和個人對措施以及監(jiān)控這些措施的特別的標準的職責。應監(jiān)控安全意識項目的進展以保證其持續(xù)有效性和時事性。設計用來阻止、偵測、限制、保護和恢復安全侵害（與信息安全管理體系一致）的控制措施對實施PDCA模型非常重要并應在早期與提供預防、偵測、限制和恢復的管理控制措施一起加以實施，這樣才能更有效。 決定接受風險，如，因為不能采取其他措施或太貴；b） b） 在評估結果的基礎上計算風險，識別殘余風險。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。PDCA循環(huán)的計劃活動是為保證正確地建立信息安全管理體系的內(nèi)容和范圍，識別和評估所有的信息安全風險，建立合適的處理風險計劃而設計的。計劃階段用來保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立，評估信息安全風險和建立適當?shù)靥幚磉@些風險的計劃。附錄 B （情報性的）標準使用指南BS ISO/IEC 17799:2000編號控制目標：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務、以及違反任何安全的要求控制措施鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法律及契約內(nèi)容所規(guī)定的所有相關要求,應加以明白地界定及文件化知識產(chǎn)權應實行適當?shù)某绦?以確保在使用智能財產(chǎn)權方面的物品及他人專屬的軟件產(chǎn)品時,能符合法律的限制組織記錄的保護應防止屬于組織的重要記錄遺失、被破壞及篡改個人信息的隱私及數(shù)據(jù)保護應使用控制方法,以依照相關的法律保護個人信息信息處理設施不當使用的預防使用信息處理設備應經(jīng)營管理者授權,并且在應使用控制方法，以防止這些設施遭受不當使用有關密碼學控制方法的政府規(guī)定應有適當?shù)目刂品椒?，以確保使用或訪問密碼學控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求證據(jù)的收集當對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應符合相關法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應包括符合任何有關可采購證據(jù)的產(chǎn)生的已發(fā)行標準或最佳慣例在內(nèi)控制目標：確保系統(tǒng)符合組織的安全政策及標準控制措施安全方針的符合性管理者應確保在其責任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應定期加以審查，以確保符合安全政策及標準技術符合性的檢查BS ISO/IEC 17799:2000編號控制目標：控制對于信息的訪問控制措施訪問控制策略企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制控制目標：確保訪問信息系統(tǒng)的權限被適當?shù)厥跈?、落實和維護控制措施使用者注冊應有正式的使用者注冊及注銷的程序，以進行所有的多人使用信息系統(tǒng)及服務的訪問授權特殊權限的管理對于特殊權限的分配及使用，應加以限制及控制使用者密碼管理對密碼的分配，應通過正式的管理流程加以控制使用者訪問權限的審查管理層應定期執(zhí)行正式審查過程對于使用者的訪問權限實施評審A..控制目標：防止未經(jīng)授權的使用者訪問控制措施密碼的使用應要求使用者在選擇及使用密碼時，遵循良好的安全慣例無人看管的使用者設備應要求使用者確保無人看管的使用者設備有適當?shù)谋Ｗo控制目標：保護網(wǎng)絡化的服務控制措施使用網(wǎng)絡服務的政策使用者應僅能直接訪問已獲得特別授權使用的服務強制性的路徑由使用者的終端機至計算機服務器羊的路徑應加以控制外部聯(lián)機的使用者認證應對遠程使用者的訪問進行使用者認證節(jié)點認證到遠程計算機系統(tǒng)的聯(lián)機應被認證遠程診斷端口的保護對于診斷斷口的訪問應可靠地加以控制網(wǎng)絡的隔離應引起可在網(wǎng)絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法網(wǎng)絡聯(lián)機的控制在分享式的網(wǎng)絡中，使用者的聯(lián)機能力應依照訪問控制策略加以限制網(wǎng)絡路由的控制在分享式的網(wǎng)絡中，應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應用軟件的訪問控制政策（繼續(xù)）應對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導原則以加強安全區(qū)域的安全A．5資產(chǎn)分類與控制評審和評價應經(jīng)常評審方針文件,尤其在發(fā)生決定性的變化時,確保方針的適宜性 評價所采取的預防措施；糾正措施的優(yōu)先權應以風險評估的結果為基礎確定。7．2糾正措施組織應確定措施，以消除與實施和運行信息安全管理體系有關的不合格的原因，防止不合格的再發(fā)生。 達到預想的績效。 業(yè)務過程影響現(xiàn)存的業(yè)務要求；4） 4） 以往管理評審的跟蹤措施；g） g）評審應包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。g） g） 確保建立信息安全目標和計劃；c） c）記錄應保持清晰、易于識別和檢索。 確保文件的發(fā)放在控制狀態(tài)下；h） h）應編制文件化的程序，以規(guī)定以下方面所需的控制：a） a）e） e）d） d） 經(jīng)常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進措施已被識別（見條款6信息安全管理體系的管理評審）；f） f） 組織2） 2） 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） （g）選擇的控制目標和措施d） d）從附件A中剪裁的控制措施也應加以記錄；i） i） 避免風險；4） 4） 評估由于安全故障帶來的業(yè)務損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2）為信息安全管理體系建立方針和目標以降低風險至可接受的水平。4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系組織應：a） a）注：管理體系包括組織的架構、方針、策劃活動、職責、實踐、程序、過程和資源。 檢查CHECK相關單位例1一個需求是信息安全事故不要引起組織的財務損失和/或引起高層主管的尷尬。 理解業(yè)務動作對信息安全的需求和建立信息安全方針和目標的需要；b） b） 3其他管理體系的兼容性1 范圍1．1概要1．2應用2標準參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運營(對照中文ISO9001確認)？信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護和改進信息安全管理體系 4．3文件化要求4．3．1總則4．3．2文件控制4．3．3記錄控制5管理職責5．1管理承諾？（對照中文ISO9001確認）5．2資源管理5．2．1資源提供 5．2．2培訓、意識和能力6信息安全管理體系管理評審 6．1總則 6．2評審輸入？（對照中文ISO9001確認） 6．3評審輸出？（對照中文IS9001確認）7信息安全管理體系改進 7．1持續(xù)改進 7．2糾正措施 7．3預防措施附件A（有關標準的）控制目標和控制措施 A．1介紹 A．2最佳實踐指南 A．3安全方針 A．4組織安全 A．5資產(chǎn)分級和控制 A．6人事安全 A．7實體和環(huán)境安全 A．8通信與運營安全 A．9訪問控制A．10系統(tǒng)開發(fā)和維護 A．11業(yè)務連續(xù)性管理 A．12符合信息安全管理體系——規(guī)范與使用指南 希望簡單的情況使用簡單的信息安全解決方案。通常，一個過程的輸出直接形成了下一個過程的輸入。圖一展示信息安全管理體系怎樣考慮輸入利益相關方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。 改進（維護和改進信息安全管理體系） 在管理評審的結果的基礎上，采取糾正和預防措施以 持續(xù)改進信息安全管理體系。（附錄B提供使用規(guī)范的指南）。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關風險被負責人員正當?shù)亟邮堋?．1可用性 保證被授權的使用者需要時能夠訪問信息及相關資產(chǎn)。這些控制目標和控制措施是建立在風險評估和處理過程的結論和結果基礎上。 應用組織的業(yè)務性質(zhì)、組織、方位、資產(chǎn)和技術確定信息安全管理體系的方針，方針應：1） 1） 識別可能被