【正文】 ，模型OECD原則對應(yīng)的SIMS過程和PDCA階段意識參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來加強安全這個活動是實施過程的一部分（）責(zé)任所有參與者負責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全這個活動是實施過程的一部分（）回應(yīng)參與者應(yīng)及時并采取協(xié)作的方式以預(yù)防、偵測和回應(yīng)安全事件這是監(jiān)控活動的一部分，檢查階段（）和一個回應(yīng)活動，糾正階段（）。B．5．3糾正和預(yù)防措施應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項的原因或其他不合需要的情況以防止再次放聲。3中解釋的。在確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。組織應(yīng)經(jīng)常參考這些并對他們的軟件進行適當(dāng)?shù)母?。他們可能包括：調(diào)整銀行帳戶、資產(chǎn)清點及解決客戶抱怨。在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織的安全方針和目標(biāo)的有效性的測量的有價值的數(shù)據(jù)資源。在不可接受風(fēng)險被降低或轉(zhuǎn)移之后，還會有殘余風(fēng)險。特別的安全培訓(xùn)應(yīng)適用于是否支持意識項目，使所有相關(guān)方在需要時完成他們的任務(wù)。BS ISO/IEC 17799:2000提供相關(guān)實施這些控制措施的附加信息，當(dāng)時別的風(fēng)險超過這些控制措施可以控制的水平時，可能需要設(shè)計附加的控制措施并加以實施。B．2．4風(fēng)險識別和評估風(fēng)險評估文件應(yīng)結(jié)實選擇了哪一種風(fēng)險方法，為什么此方法適合安全要求，業(yè)務(wù)環(huán)境，業(yè)務(wù)的大小和組織面臨的風(fēng)險等。計劃活動所有階段必須文件化以作為管理變化的追溯，這一點非常重要。實施階段用來實施在計劃階段確定的決定和解決方案。應(yīng)確定和文件化從開發(fā)狀態(tài)到運行狀態(tài)移植軟件的規(guī)定外部設(shè)備的管理使用外部的設(shè)備管理服務(wù)之前，應(yīng)鑒別其風(fēng)險，并與承包尚協(xié)議適當(dāng)?shù)目刂品椒?，并納入合約內(nèi)容之中 系統(tǒng)規(guī)劃及驗收控制目標(biāo)：將系統(tǒng)失效的風(fēng)險降至最小控制措施容量規(guī)劃容量要求應(yīng)加以監(jiān)督，并應(yīng)作出對于未來容量需求的推測，以確保擁有合適的運算處理能力及儲存空間系統(tǒng)驗收應(yīng)建立新信息系統(tǒng)、升級及新版本的驗收標(biāo)準(zhǔn)，并且在允收前對系統(tǒng)進行適當(dāng)?shù)臏y試控制目標(biāo)：保護軟件及信息的完整性不受惡意軟件的損害控制措施對具惡意的軟件的控制應(yīng)有具偵測性及預(yù)防性的控制方法以防范惡意的軟件，并且應(yīng)有適當(dāng)?shù)氖褂谜哳A(yù)警程序的措施控制目標(biāo)：維持信息處理及通訊服務(wù)的完整性及可用性控制措施信息備份應(yīng)定期備份重要的企業(yè)營運信息和軟件并經(jīng)常測試操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的工作日。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。改進應(yīng)包括驗證采取的措施和報告驗證的結(jié)果［見條款7］。6．3評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進；b）修改影響信息安全的程序，必要時，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更： 1）業(yè)務(wù)要求； 2）安全要求； 3）業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求； 4）法規(guī)或法律環(huán)境； 5）風(fēng)險的等級和／或可接受風(fēng)險的水平；c）資源需求。5管理職責(zé)管理層應(yīng)提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進信息安全管理體系的證據(jù)，包括：a)建立信息安全方針：b)確保建立信息安全目標(biāo)和計劃：c)為信息安全確立角色和責(zé)任；d)向組織傳達達到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進的需要。應(yīng)建立文件化的程序確定管理所需文件：a)文件發(fā)布得到批準(zhǔn)，以確保文件的充分性b)必要時對文件進行審批與更新，并再次批準(zhǔn)c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別d)確保在使用處可獲得適用文件的有關(guān)版本e)確保文件保持清晰、易于識別f)確保外來文件得到識別，并控制起分發(fā)g)確保文件的發(fā)放在控制狀態(tài)下h)防止作廢文件的非預(yù)期使用i)若因任何原因而保留作廢文件時，對這些文件進行適當(dāng)?shù)臉?biāo)識應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。組織應(yīng)：a)識別合適的管理行動和確定管理信息安全風(fēng)險的優(yōu)先順序，（即：風(fēng)險處理計劃）[見條款5]b)實施風(fēng)險處理計劃以達到識別的控制目標(biāo)，包括對資金的考慮和落實安全角色和責(zé)任c)(g)選擇的控制目標(biāo)和控制措施d)培訓(xùn)和意識[]e)管理運作過程f)管理資源[]g)實施程序和其他有能力隨時探測和回應(yīng)安全事故。確定接受風(fēng)險的標(biāo)準(zhǔn)和識別可接受分享的水平。4信息安全管理體系要求組織應(yīng)在組織整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下開發(fā)、實施、維護和持續(xù)改進文件化的ISMS。[BS ISO/IEC 17799:2000]接受一個風(fēng)險的決定。除非不能刪減不影響組織的能力，和/或責(zé)任提供符合由風(fēng)險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。被模型就是眾所周知的“PlanDoCheckAct”（PECA）模型，本模型可以用于所有的過程。經(jīng)常地，一個過程的輸出直接形成了下一個過程的輸入。采用ISMS應(yīng)是一個組織的戰(zhàn)略決定。本標(biāo)準(zhǔn)推薦采用過程的方法開發(fā)、實施和改進一個組織的ISMS的有效性。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷尬。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、贏利能力、法律符合和商務(wù)形象。[BS ISO/IEC 17799:2000]保證信息只被授權(quán)的訪問。選擇和實施措施以更改風(fēng)險處理過程。3)建立組織戰(zhàn)略和風(fēng)險的環(huán)境，在這種環(huán)境下，建立和維護信息安全管理體系。h)準(zhǔn)備一份適用性聲明。d)確保改進行動達到了預(yù)期的目標(biāo)ISMS文件應(yīng)包括：a)文件化的安全方針文件和控制目標(biāo)b)ISMS范圍[]和程序及支持ISMS的控制措施c)風(fēng)險評估報告[]d)風(fēng)險處理計劃[]e)組織需要的文件化的程序以確保有效計劃運營和對信息安全過程的控制[]f)本標(biāo)準(zhǔn)要求的記錄[]g)適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實施和維護該程序。一個管理過程將確定記錄的程度。6信息安全管理體系的管理評審6．1總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。審核員不應(yīng)審核他們自己的工作。預(yù)防措施應(yīng)于潛在問題的影響程度相適應(yīng)。A． 3安全方針BS ISO/IEO17799:2000編號控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針文件，出版并溝通，適當(dāng)時，給所有員工。這些活動通常作為循環(huán)的開始。注：Soc不是SoA[]的替代品。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。當(dāng)設(shè)立一個可接受的風(fēng)險的水平，力度和控制措施的成本應(yīng)與潛在的事故造成的代價想比較。另外，應(yīng)提高安全意識和實施培訓(xùn)項目，這想活動應(yīng)與實施安全控制措施并行。這些實施應(yīng)與在計劃活動中準(zhǔn)備的風(fēng)險治理計劃一致。此類活動的實行在應(yīng)IDCA循環(huán)的行動階段。例二安全師傅響應(yīng)行動。B．4．4從其它出學(xué)習(xí)一種識別組織的程序不夠最好的方法是識別其他組織處理問題是否更有效。管理層應(yīng)保證有證據(jù)確認：a)信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求b)使用了一個合適的風(fēng)險評估方法c)遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達到了他們向往的目標(biāo)d)實施了技術(shù)控制措施（如：防火墻、物理訪問控制）等，并正確地配置和象期望的一樣工作e)正確地評估了殘余風(fēng)險而且組織的管理層仍能接受殘余風(fēng)險f)實施了前一次審核和評審達成一致意見的措施g)信息安全管理體系與本標(biāo)準(zhǔn)一致。5。B．5．2不符合項一個不符合項是：（從ISO/IEC指南62條款應(yīng)用指南）a)缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求，或b)一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。B．5．4OECD原則和BS 77992:20001219在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運行層面。所有這些方面包含在策劃、實施、檢查和改進階段重新評估參與者應(yīng)評審和重評估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進行適當(dāng)?shù)男薷陌踩结?、實踐、測量和程序信息安全的重新評估是檢查階段的一部分（）應(yīng)進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（）附錄C（情報性的）BS EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001:19960介紹0． 1總則0． 2過程方法0．3與其他管理體系的兼容性0介紹0． 1總則0．2過程方法0．3與ISO 9004的關(guān)系0．4與其他管理體系的兼容性介紹1． 范圍1．1總則1．2應(yīng)用1．范圍1．1總則1．2應(yīng)用1．范圍2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考3名詞和定義3名詞和定義3名詞和定義4．ISMS要求4．1總要求4．2建立和管理ISMS4．2．1建立ISMS4．2．2實施和運行ISMS4．2．3監(jiān)控和評審ISMS4．2．4維護和改進ISMS4．3文件要求4．3．1總則4．3．2文件控制4．3．3記錄控制4．QMS要求4．1一般要求4．2文件要求4．2．1總則4．2．2質(zhì)量手冊4．2．3文件控制4．2．4記錄控制4．EMS要求4．1總要求4．4實施和運行4．5．1監(jiān)控和測量4．5．2不符合與糾正預(yù)防措施4．4．5文件控制4．5．3記錄5．管理責(zé)任5．1管理承