【正文】 附錄 A ISO14001與ISO9001間的聯(lián)系4．5．4EMS審核7信息安全管理體系改進7．1持續(xù)改進7．2糾正措施4．2環(huán)境方針4．3策劃4．2文件要求4．2．1總則4．2．2文件控制4．2．3文件控制4．2．4記錄控制4 EMS要求4．1總要求0．3與其他管理體系的兼容性0介紹0．1總則0．2過程方法0．3與ISO9004的關(guān)系0． 0．所有這方面包含在策劃，實施，檢查和改進階段重新評估參與者應(yīng)評審和重新評估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進行適當(dāng)?shù)男薷陌踩结槪瑢嵺`，測量和程序信息安全的重新評估是檢查階段的一部分（），應(yīng)進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（）如果不加以立即的糾正措施外，考慮中、長期觀點非常重要，確保補救工作不僅考慮在考慮之下的問題而且預(yù)防和減少類似事件在發(fā)生的可能性。非常重要的，在檢查階段的評審強調(diào)不符合項的區(qū)域，應(yīng)采取進一步的調(diào)查以識別事故的原因，識別采取不僅解決問題而且減少和防止其再發(fā)生。措施可能進一步立刻進入策劃和實施活動?？偰繕?biāo)是檢查信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。 遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo)；d） d）管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議，執(zhí)業(yè)協(xié)會，和使用者小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。例如，一個監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯誤）的設(shè)備并鳴響警鈴。 檢查有沒有無意的和未授權(quán)的對管理軟件活動參數(shù)的改變；b) b)他們可能包括：調(diào)整銀行賬戶、資產(chǎn)清點、及解決客戶抱怨。這些信息應(yīng)同時用于一種識別無效的過程和程序的資源。如果發(fā)現(xiàn)控制措施不夠充足，應(yīng)決定采取必要的糾正措施。成功實施該計劃要求有效的管理體系，管理體系確定選擇的方法，指派責(zé)任和個人對措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。應(yīng)監(jiān)控安全意識項目的進展以保證其持續(xù)有效性和時事性。設(shè)計用來阻止、偵測、限制、保護和恢復(fù)安全侵害（與信息安全管理體系一致）的控制措施對實施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測、限制和恢復(fù)的管理控制措施一起加以實施，這樣才能更有效。 決定接受風(fēng)險，如，因為不能采取其他措施或太貴；b） b） 在評估結(jié)果的基礎(chǔ)上計算風(fēng)險，識別殘余風(fēng)險。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。PDCA循環(huán)的計劃活動是為保證正確地建立信息安全管理體系的內(nèi)容和范圍，識別和評估所有的信息安全風(fēng)險，建立合適的處理風(fēng)險計劃而設(shè)計的。計劃階段用來保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立，評估信息安全風(fēng)險和建立適當(dāng)?shù)靥幚磉@些風(fēng)險的計劃。附錄 B （情報性的）標(biāo)準(zhǔn)使用指南BS ISO/IEC 17799:2000編號控制目標(biāo)：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何安全的要求控制措施鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法律及契約內(nèi)容所規(guī)定的所有相關(guān)要求,應(yīng)加以明白地界定及文件化知識產(chǎn)權(quán)應(yīng)實行適當(dāng)?shù)某绦?以確保在使用智能財產(chǎn)權(quán)方面的物品及他人專屬的軟件產(chǎn)品時,能符合法律的限制組織記錄的保護應(yīng)防止屬于組織的重要記錄遺失、被破壞及篡改個人信息的隱私及數(shù)據(jù)保護應(yīng)使用控制方法,以依照相關(guān)的法律保護個人信息信息處理設(shè)施不當(dāng)使用的預(yù)防使用信息處理設(shè)備應(yīng)經(jīng)營管理者授權(quán),并且在應(yīng)使用控制方法，以防止這些設(shè)施遭受不當(dāng)使用有關(guān)密碼學(xué)控制方法的政府規(guī)定應(yīng)有適當(dāng)?shù)目刂品椒?，以確保使用或訪問密碼學(xué)控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求證據(jù)的收集當(dāng)對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應(yīng)包括符合任何有關(guān)可采購證據(jù)的產(chǎn)生的已發(fā)行標(biāo)準(zhǔn)或最佳慣例在內(nèi)控制目標(biāo)：確保系統(tǒng)符合組織的安全政策及標(biāo)準(zhǔn)控制措施安全方針的符合性管理者應(yīng)確保在其責(zé)任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應(yīng)定期加以審查，以確保符合安全政策及標(biāo)準(zhǔn)技術(shù)符合性的檢查BS ISO/IEC 17799:2000編號控制目標(biāo)：控制對于信息的訪問控制措施訪問控制策略企業(yè)營運對訪問控制的要求應(yīng)加以界定并文件化，對于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實和維護控制措施使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進行所有的多人使用信息系統(tǒng)及服務(wù)的訪問授權(quán)特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對密碼的分配，應(yīng)通過正式的管理流程加以控制使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施評審A..控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時，遵循良好的安全慣例無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo控制目標(biāo)：保護網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲得特別授權(quán)使用的服務(wù)強制性的路徑由使用者的終端機至計算機服務(wù)器羊的路徑應(yīng)加以控制外部聯(lián)機的使用者認(rèn)證應(yīng)對遠(yuǎn)程使用者的訪問進行使用者認(rèn)證節(jié)點認(rèn)證到遠(yuǎn)程計算機系統(tǒng)的聯(lián)機應(yīng)被認(rèn)證遠(yuǎn)程診斷端口的保護對于診斷斷口的訪問應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機的控制在分享式的網(wǎng)絡(luò)中，使用者的聯(lián)機能力應(yīng)依照訪問控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應(yīng)用軟件的訪問控制政策（繼續(xù)）應(yīng)對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導(dǎo)原則以加強安全區(qū)域的安全A．5資產(chǎn)分類與控制評審和評價應(yīng)經(jīng)常評審方針文件,尤其在發(fā)生決定性的變化時,確保方針的適宜性 評價所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評估的結(jié)果為基礎(chǔ)確定。7．2糾正措施組織應(yīng)確定措施，以消除與實施和運行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。 達(dá)到預(yù)想的績效。 業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4） 4） 以往管理評審的跟蹤措施；g） g）評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標(biāo)。g） g） 確保建立信息安全目標(biāo)和計劃；c） c）記錄應(yīng)保持清晰、易于識別和檢索。 確保文件的發(fā)放在控制狀態(tài)下；h） h）應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a）e） e）d） d） 經(jīng)常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進措施已被識別（見條款6信息安全管理體系的管理評審）；f） f） 組織2） 2） 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） （g）選擇的控制目標(biāo)和措施d） d）從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i） 避免風(fēng)險；4） 4） 評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2）為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險至可接受的水平。4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系組織應(yīng)：a） a）注：管理體系包括組織的架構(gòu)、方針、策劃活動、職責(zé)、實踐、程序、過程和資源。 檢查CHECK相關(guān)單位例1一個需求是信息安全事故不要引起組織的財務(wù)損失和/或引起高層主管的尷尬。 理解業(yè)務(wù)動作對信息安全的需求和建立信息安全方針和目標(biāo)的需要；b） b） 3其他管理體系的兼容性1 范圍1．1概要1．2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運營(對照中文ISO9001確認(rèn))？信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護和改進信息安全管理體系 4．3文件化要求4．3．1總則4．3．2文件控制4．3．3記錄控制5管理職責(zé)5．1管理承諾？（對照中文ISO9001確認(rèn)）5．2資源管理5．2．1資源提供 5．2．2培訓(xùn)、意識和能力6信息安全管理體系管理評審 6．1總則 6．2評審輸入？（對照中文ISO9001確認(rèn)） 6．3評審輸出？（對照中文IS9001確認(rèn)）7信息安全管理體系改進 7．1持續(xù)改進 7．2糾正措施 7．3預(yù)防措施附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施 A．1介紹 A．2最佳實踐指南 A．3安全方針 A．4組織安全 A．5資產(chǎn)分級和控制 A．6人事安全 A．7實體和環(huán)境安全 A．8通信與運營安全 A．9訪問控制A．10系統(tǒng)開發(fā)和維護 A．11業(yè)務(wù)連續(xù)性管理 A．12符合信息安全管理體系——規(guī)范與使用指南 希望簡單的情況使用簡單的信息安全解決方案。通常，一個過程的輸出直接形成了下一個過程的輸入。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。 改進（維護和改進信息安全管理體系） 在管理評審的結(jié)果的基礎(chǔ)上，采取糾正和預(yù)防措施以 持續(xù)改進信息安全管理體系。（附錄B提供使用規(guī)范的指南）。任何能夠滿足風(fēng)險接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險被負(fù)責(zé)人員正當(dāng)?shù)亟邮堋?．1可用性 保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。這些控制目標(biāo)和控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。 應(yīng)用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針，方針應(yīng)：1） 1） 識別可能被