【正文】 威脅利用的脆弱性4） 4） 識別和評價供處理風險的可選措施：可能的行動包括：1） 1）h） h） 識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序（即：風險處理計劃）[見條款5]；b） b） 管理資源[]；g） g）b） b）d） d） 采取合適的糾正和預防措施應用從其他組織的安全經(jīng)驗和組織內(nèi)學到的知識。 風險評估報告[]。 適用性聲明注1：當本標準中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實施和維護該程序。 確保文件夾保持清晰、易于識別；f） f）4．3．3記錄控制應建立并保持記錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。f） f） 識別和強調(diào)法律和法規(guī)要求及合同的安全義務；d） d） 提供能力培訓和必要時，聘用有能力的人員滿足這些需求；c） c） 預防和糾正措施的狀況；e） e） 修改影響信息安全的程序，必要時，回應內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1） 1） 符合本標準和相關法律法規(guī)的要求；b） b）應在一個文件化的程序中確定策劃和實施審核，報告結果和維護記錄[]的責任及要求.負責被審核區(qū)域的管理者應確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。 確定和實施所需的糾正措施；e） e） 識別潛在的不合格及引起不合格的原因；b） b）A．2實踐指南規(guī)范BS ISO/IEC 17799：?？刂颇繕耍寒斝畔⑻幚淼呢熑挝衅渌M織時，應維護信息的安全外包合約中的安全要求`當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應載明安全的要求。錯誤事件登錄應通報錯誤并采取改正行動控制目標：確保網(wǎng)絡中信息的安全性以及保護支持性的基礎設施控制措施網(wǎng)絡控制應實行一系列的控制方法以達成并維護網(wǎng)絡的安全控制目標：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾BS ISO/IEC 17799:2000編號控制目標：確保信息科技的項目及支持特性活動以安全的方式來進行控制措施控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測試資料的保護測試資料應加以保護及控制原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴格的控制控制目標：維護應用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更的技術審查當發(fā)生變更時，應對應用系統(tǒng)進行審查及測試軟件包修改的限制應阻止對于軟件包的修改，對于變更應嚴格控制秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序委外的軟件開發(fā)應使用控制方法防護委外的軟件開發(fā)一個持續(xù)提高的過程通常要求最初的投資：文件化實踐，將風險管理的進程正式化，確定評審的方法和配置資源。在一些體系中他們可能需要建立在計算機化的過程中以運行和立即回應。SoA是認證必須的要求。 組織使用的信息安全風險管理的方法；d） d） 信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不能以錢來衡量時，估價量度的使用的信息；b） b） 建議的新添的控制措施；d） d）適用性聲明[]記錄控制目標和從附錄A選擇的控制措施。，培訓和意識應落實充足的運行信息安全管理體系和所有安全控制措施的資源，包括實施所有控制措施的文件，和維護信息安全管理體系文件的活動。在這種情況下，應保證風險轉移到的組織理解那些風險的性質(zhì)和能夠有效地管理他們。檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術、威脅或功能下處理風險的過程。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。 確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡部分間傳輸?shù)臏蚀_性和完整性。這種學習適用于技術軟件和管理活動。管理層應保證有證據(jù)確認：a） a） 信息安全管理體系與本標準一致。一個不符合項是：（從ISO/IEC指南62條款應用使用指南）a） a）永遠不可能全部消除孤立的不符合項。這還可以被一些策劃和檢查階段方面覆蓋風險評估參與者應執(zhí)行風險評估這項活動是策劃階段的一部分（）并且風險在評估是檢查階段的一部分（）安全設計和實施參與者應把安全作為信息系統(tǒng)和網(wǎng)絡基本的元素一旦完成風險評估，選擇控制措施處理風險是策劃階段的一部分（）。4．4．5文件控制4．5．3記錄5管理責任5．1管理承諾5管理責任5．1管理承諾5．2以客戶為關注焦點5．3質(zhì)量方針5．4策劃5．5責任、授權和溝通BS77992：2002BS EN ISO9001：2000BS EN ISO14001：19965．2資源管理5．2．1資源提供4．5．2不符合與糾正預防措施32 / 32。8．5．3預防措施5．6管理評審4．5．1監(jiān)控和測量4．5．2不符合糾正預防措施介紹1范圍1．1總則1．2應用1范圍1．1總則1．2應用1范圍2標準參考2標準參考2標準參考3名詞和定義3名詞和定義3名詞和定義4信息安全管理體系要求4．1總要求4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運行信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護和改進住處安全管理體系4．3文件要求4．3．1總則4．3．2文件控制4．3．3記錄控制4 QMS要求4．1總要求 原則和PDCA模型本英國標準為實施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過程。應采取糾正（或反應式的）措施以消除不符合項的原因或其他不合需要的情況以防止再次發(fā)生。注意作為改進的結果改變信息安全管理體系或下一步策劃行動，關鍵是所有的相關方被子及時告知所作的改變，并提相應的附加的培訓。經(jīng)常進行趨勢分析將幫助組織識別需要改進的領域，并應建立一個持續(xù)改進循環(huán)的基本部分?？偟哪繕耸峭ㄟ^在一個特定常規(guī)審核時間段進行檢查（時間不應該超過一年）信息安全管理體系所有的方面是否達到預想的效果。一個網(wǎng)絡入侵監(jiān)測員會監(jiān)測其他部件的安全是否被滲透。 維護信息安全管理體系文件內(nèi)部的一致性：并b） b）控制措施應保證不希望發(fā)生的影響或破壞及時被識別并適當管理。對于經(jīng)過評估可接受的風險，不需要進一步的措施。在PDCA循環(huán)中的實施階段是設計用來實施選擇的控制措施和推進必要的策劃階段所做出的決定一致的管理信息安全風險措施。風險治理計劃是一個調(diào)和的文件，確定降低不可接受的水平，因此應對是否增加更多的控制措施或接受更高的風險作出一個決定。 選擇的處理風險的方法；b） b）文件也應覆蓋選擇的工具和技術，解釋為什么它們適用于信息安全管理體系的范圍和風險，怎樣正確地使用這些工具和技術以產(chǎn)生有效的結果。 建立范圍和信息安全管理體系的環(huán)境所使用的過程；b） b）4．2．1b）要求組織和其管理層確定包含建立其目標和目的框架、并建立總的方向、信息安全行動原則的信息安全方針。SoC可能包含敏感的信息，因此當SoC在外部和內(nèi)部同時應用時，應考慮他們對于接收者是否合適。檢查和處置評審階段用來加強、修改和改進已識別和實施的安全方案。之所以可以描述為一個有效的循環(huán)國為它的目的是為了保證您的組織的最好實踐文件化、加強并隨時間改進。BS ISO/IEC 17799:2000編號控制目標：確保安全機制建于信息系統(tǒng)之中控制措施安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應將對控制方法的要求制定于其中控制目標：防止應用系統(tǒng)中的使用者資料遺失、修改及不當使用控制措施輸入資料的驗證輸入應用系統(tǒng)的資料應加以驗證，以確保資料是正確且適當?shù)膬?nèi)部處理控制驗證的檢查應成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀消息的認證當有保護消息內(nèi)容完整性的安全要求時，應針對應用程序進行消息的認證輸出資料的驗證從應用系統(tǒng)輸出的資料應加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當?shù)目刂颇繕耍罕Ｗo信息的機密性、真實性或完整性控制措施運用密碼學控制方法時的政策應發(fā)展且遵循以密碼學控制方法來達成保護信息目的政策資料加密應使用資料加密，以保護機密或關鍵信息的機密性數(shù)字簽章應使用不可否認性的服務，以解決某事件或行動是否有發(fā)生的爭議不可否認性的服務應使用既定的標準、程序及方法為基礎的密鑰管理系統(tǒng)以支持密碼學技術的運用密鑰管理BS ISO/IEC 17799:2000編號操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。管理委員會應通過適當?shù)某兄Z和充足的資源推廣安全信息安全協(xié)作在大的組織中，應使用一個由從各組織相關單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施。A．1介紹 ISO/IEC 17799:2000條款3到12一致。預防措施應于潛在問題的影響程序適應。 確定不合格的原因；c） c）選擇審核員及進行審核應確認審核過程的客觀和公正。 資源需求。6．3評審輸出管理評審的輸出應包括以下方面有關的任何決定和措施：a） a） 相關方的反饋；c） c）組織應：a） a） 建立、實施、運行和維護信息安全管理體系；b） b）e） e）。 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d） 本標準要求的記錄[]。 文件化的安全方針文件和控制目標；b） b）4．2．4維護和改進信息安全管理體系組織應經(jīng)常：a） a） 識別威脅5） 5） 能夠使管理層確定分派給員工的或通過信息技術實施的安全活動是否達到了預期的目標；4） 4） 管理動作過程；f） f） 提議的殘余風險應獲得管理層批準并授權實施和動作信息安全管理體系。 選擇控制目標和控制措施處理風險： 應從本標準附件A中列出的控制目標和控制措施，選擇應該根據(jù)風險評估和風險處理過程的結果調(diào)整。 確定介紹風險或使用在c中建立的標準進行衡量確定需要處理；f） f） 在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責任人2） 2）5） 5）3） 3）3．9風險評價把估計風險與給出的風險標準相比較，確定風險嚴重性的過程。當本標準的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進