【正文】 諾5．2資源管理5．2資源提供5．2．2培訓意識和能力5．管理責任5．1管理承諾5．2以客戶為關注焦點5．3質量方針5．4策劃5．5責任、授權和溝通6．資源管理6．1資源提供6．2人力資源6．2．2能力、意識和培訓6．3基礎設施6．4工作環(huán)境4．2環(huán)境方針4．3策劃4．2．2培訓意識和能力6．ISMS管理評審6．1總則6．2評審輸入6．3評審輸出6．4ISMS內部審核5．6管理評審5．6．1總則5．6．2評審輸入5．6．3評審輸出8．2．2內部審核4．6管理評審4．5．4EMS審核 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001:19967．ISMS改進7．1持續(xù)改進7．2糾正措施7．3預防措施8．改進8．5．1持續(xù)改進8．5．2糾正措施8．5．3預防措施4．5．2不符合與糾正預防措施附錄A控制目標和控制措施附錄B標準使用指南附錄C不同管理標準體系標準間的對應關系附錄A ISO 14001與ISO 9001間的聯(lián)系附錄A規(guī)范使用指南附錄B ISO 14001和ISO 9001間的聯(lián)系。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實上是一個弱點的征兆，如果不加以處理可能回對整個組織發(fā)生影響。一個后面的例子是把現(xiàn)存的業(yè)務連續(xù)性計劃付諸行動，檢查活動識別出需要這樣做。改進工作活動的目的是采取作為檢查活動的結果的措施。B．4．5內部信息安全管理體系審核總的目標是通過一個特定常規(guī)審核時間段檢查（時間不應該超過一年）信息安全管理體系所有的方面是否達到預想的效果。警鈴能夠提醒負責的員工問題的所在，使他們完成查清師傅原因并修復它。例一入侵檢測技術的自動響應。另外，任何對于風險評估的范圍設計的變化應被考慮。在這種情況下，應保證風險轉移到的組織理解那些風險的性質和能夠有效地管理他們。B．3實施階段B．3．1介紹在PDCA循環(huán)中的實施階段是設計用來實施選擇的控制措施和推進必要的與在計劃階段所做出的決定一致的管理信息安全風險措施。a)信息安全管理體系范圍內的資產(chǎn)的評價，包括在不是以錢來衡量時，估價量度的使用的信息b)識別威脅和脆弱點c)對威脅利用脆弱點的評估及當此類事故發(fā)生時的影響d)在評估的結果的基礎上計算風險，識別殘余風險B．2．5風險治理計劃組織應建立一個詳細的日程，或風險治理計劃，對于每一個識別的風險定義a)選擇的處理風險的方法b)已有的控制措施c)建議的新添的控制措施d)實施新建議的控制措施的時間架構應識別一個可接受的風險的水平，對每一個不在可接受水平內的風險應從下列方面選擇合適的措施：a)決定接受風險，如，因為不能采取其他措施或太貴b)轉移風險，或c)降低風險到可接受的風險風險治理計劃是一個調和文件，定義降低不可接受風險的水平和實施要求的保護信心的控制措施。B．2．3SIMS的范圍ISMS可能覆蓋組織所有的部分。在一些體系中他們可能需要建立在計算機化的過程中以運營和立即回應。這可以描述為一個有效的循環(huán)因為它的目的是為了保證您的組織的最好實踐文件化、加強并隨時時間改進。在這些表中選擇控制目標和控制措施是條款4．2＊規(guī)定的信息安全管理體系過程的一部分。應為糾正措施編制形成文件的程序，確定以下的要求：a）識別實施和／或運行信息安全管理體系的不合格；b）確定不合和的原因：c）評價確保不合格不再發(fā)生的措施的需求；d) 確定和實施所需的糾正措施：e）記錄所采取措施的結果[ 見4．3．3] ；f) 評審所采取的糾正措施。應確定審核的標準，范圍，頻次和方法。、意識和能力組織應確保所有的被分配信息安全管理體系職責的人員具有能力履行要求的任務。記錄應保持清晰、易于識別和檢索。應用從其他組織的安全經(jīng)驗和組織內學到知識。g)選擇控制目標和控制措施處理風險應從本標準附件A中選擇合適的控制目標和控制措施，選擇應該根據(jù)風險評估和風險處理過程的結果調整。b)應用組織的業(yè)務性質、自主、方位、資產(chǎn)和技術定義ISMS的方針，方針應：1)包括為其目標建立一個框架病危信息安全活動建立整日的方向和原則。[ISO Guide 73]比較估計風險與給出的風險標準，確定風險嚴重性的過程。2引用標準ISO 9001:2000質量管理體系要求ISO/IEC 17799:2000信息技術—信息安全管理實踐指南ISO 指南73:2001風險管理指南名詞3名詞和定義從本英國標準的目的出發(fā)，以下名詞和定義適用。（見附件B，提供了使用該規(guī)范的指南）。本標準采用的，適用于ISMS的模型，如圖一所示。希望簡單的情況是用簡單的ISMS解決方案。上述因素和他們的支持過程預計會隨事件而變化。過程的方法鼓勵使用者強調一下重要性：a)理解業(yè)務信息安全需求和建立信息安全方針和目標的需求；b)在全面管理組織業(yè)務風險的環(huán)境下實施也運作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價的基礎上持續(xù)改進。它規(guī)定了對定制實施安全控制措施以適應不同組織或相關方的需求。對于條款4,5,6和7的要求的刪減不能接受。[ISO Guide 73]風險分析和風險評價的整個過程。組織應：a)應用業(yè)務的性質、組織、其方位、資產(chǎn)和技術定義SIMS的范圍。[]3)避免風險4)轉移相關業(yè)務風險到其他方面如：保險業(yè)、供應商等。b)采取合適的糾正和預防行動[]。信息安全管理體系應考慮任何有關的法律要求。組織將確定和提供所需的資源，以：a)建立、實施、運行和維護信息安全管理體系；b)確保信息安全程序支持業(yè)務要求；c)識別和強調法律和法規(guī)要求及合同安全的義務；d)正確地應用所有實施的控制措施維護足夠的安全；e)必要時，進行評審，并適當回應這些評審的結果；f)需要時，改進信息安全管理體系的有效性?？刂拼胧?、過程和程序是否：a) 符合本標準和相關法律法規(guī)的要求；b）符合識別的信息安全要求；c）被有效地實施和維護；d）達到預想的業(yè)績．任何審核活動應策劃，策劃應考慮過程的狀況和重要性，要審核的范圍以及前次審核的結果。7. 2 糾正措施組織應采取措施，以消除不合格的與實施和運行信息安全管理體系有關的原因，防止不合格的再發(fā)生。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標和控制措施。這里描述的過程模型遵循一個連續(xù)的活動循環(huán)：計劃、實施、檢查和行動。評審可以在任何時間、以任何頻率實施，取決于怎樣做適合于考慮的具體情況。該方針的內容的指南在BS ISO/IEC 17799:2000中給出。文件也應覆蓋選擇的工具和技術，解釋為什么它們食用于信息安全管理體系的范圍和風險，怎樣正確地使用這些工具和技術以產(chǎn)生有效的結果。應準備一份提供日程、排列優(yōu)先次序、一個詳細的工作計劃和責任的計劃，實施控制措施。如果決定轉移風險，應采取進一步行動，如：使用合同，保險安排和組織結構如合作伙伴和合資等。B．4檢查階段B．4．1介紹檢查活動是設計用來保證控制措施有效運行，與預期一樣，信息安全管理體系持續(xù)有效。檢查活動的性質依賴于PDCA循環(huán)有關的特性，以下是一些例子。例如，一個監(jiān)控網(wǎng)絡（如：設備故障或錯誤）的設備并鳴響警鈴。此類交流使不止能夠學習怎樣處理類似的問題。B．5改進階段B．5．1介紹為使信息安全管理體系保持有效，應以在檢查階段采集的信息為基礎經(jīng)常改進。一個前面的例子是當一個新的威脅被識別，策劃活動應更新風險評估。永遠不可能全部消除孤立的不符合項。實施階段（）覆蓋這些控制措施的實施和運行安全管理參與者應采取一套完整的方法進行安全管理風險管理實施一個包括預防、偵測和回應師傅，不斷維護、評審和審核的過程。本英國標準為實施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4,5,6和7中描述的過程，在表B。非常重要的，在檢查階段的評審強調不符合項的區(qū)域，應采取進一步的調查以識別師傅的原因，識別采取不僅解決問題而且減少和防止起在發(fā)生。2和B。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。這種學習適用于技術軟件和管理活動。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。意識到糾正多時的石油在必要時采用非常重要：a)維護信息安全管理體系文件內部的一致性，并b)如果不做改變其效果會使組織暴露與不可接受的風險之中檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術、威脅或功能下治理風險的過程。成功實施該計劃要求有效的管理體系，管理體系定義選擇的方法，指派責任和個人對措施以及監(jiān)控這些措施的特別的標準的職責。意識項目的目的是產(chǎn)生一種有很好基礎的風險管理和安全的文化。適用性聲明[]記錄控制目標和從附錄A選擇的控制措施。范圍的界定可能分為幾種方式，例如，分為領域使繼發(fā)的風險管理任務變得容易。SoA是認證必須的要求。這個階段在評審階段開始實施時結束。評審和評價應經(jīng)常評審方針文件，在發(fā)生決定性的變化時，確保方針的適宜性A．4組織安全BS ISO/IEO17799:2000編號控制目標：在組織中管理信息安全控制措施管理信息安全委員會信息安全管理委員會確保明確的目標和管理層對啟動安全管理可見的支持。應為預防措施編制形成文件的程序，以確定以下方面的要求：a）識別潛在的不合格及其原因；b) 確定和實施所需的預防措施：C）記錄所采取措施的結果[見4．3．3]：d）評審所采取的預防措施；識別以便更得風險和確保注意力關注在重大的以變更的風險。應在一個文件化的程序中確定策劃和實施審核，報告結果和維護及維護記錄［見4．3］的責任及要求。評審應包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。注2：See ISO 9001注3：文件和記錄可以用多種形式和不同媒體。(g)選擇的控制目標和控制措施以及被選擇的