【正文】 諾5．2資源管理5．2資源提供5．2．2培訓(xùn)意識和能力5．管理責(zé)任5．1管理承諾5．2以客戶為關(guān)注焦點(diǎn)5．3質(zhì)量方針5．4策劃5．5責(zé)任、授權(quán)和溝通6．資源管理6．1資源提供6．2人力資源6．2．2能力、意識和培訓(xùn)6．3基礎(chǔ)設(shè)施6．4工作環(huán)境4．2環(huán)境方針4．3策劃4．2．2培訓(xùn)意識和能力6．ISMS管理評審6．1總則6．2評審輸入6．3評審輸出6．4ISMS內(nèi)部審核5．6管理評審5．6．1總則5．6．2評審輸入5．6．3評審輸出8．2．2內(nèi)部審核4．6管理評審4．5．4EMS審核 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001:19967．ISMS改進(jìn)7．1持續(xù)改進(jìn)7．2糾正措施7．3預(yù)防措施8．改進(jìn)8．5．1持續(xù)改進(jìn)8．5．2糾正措施8．5．3預(yù)防措施4．5．2不符合與糾正預(yù)防措施附錄A控制目標(biāo)和控制措施附錄B標(biāo)準(zhǔn)使用指南附錄C不同管理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對應(yīng)關(guān)系附錄A ISO 14001與ISO 9001間的聯(lián)系附錄A規(guī)范使用指南附錄B ISO 14001和ISO 9001間的聯(lián)系。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實(shí)上是一個弱點(diǎn)的征兆，如果不加以處理可能回對整個組織發(fā)生影響。一個后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動，檢查活動識別出需要這樣做。改進(jìn)工作活動的目的是采取作為檢查活動的結(jié)果的措施。B．4．5內(nèi)部信息安全管理體系審核總的目標(biāo)是通過一個特定常規(guī)審核時(shí)間段檢查（時(shí)間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。例一入侵檢測技術(shù)的自動響應(yīng)。另外，任何對于風(fēng)險(xiǎn)評估的范圍設(shè)計(jì)的變化應(yīng)被考慮。在這種情況下，應(yīng)保證風(fēng)險(xiǎn)轉(zhuǎn)移到的組織理解那些風(fēng)險(xiǎn)的性質(zhì)和能夠有效地管理他們。B．3實(shí)施階段B．3．1介紹在PDCA循環(huán)中的實(shí)施階段是設(shè)計(jì)用來實(shí)施選擇的控制措施和推進(jìn)必要的與在計(jì)劃階段所做出的決定一致的管理信息安全風(fēng)險(xiǎn)措施。a)信息安全管理體系范圍內(nèi)的資產(chǎn)的評價(jià)，包括在不是以錢來衡量時(shí)，估價(jià)量度的使用的信息b)識別威脅和脆弱點(diǎn)c)對威脅利用脆弱點(diǎn)的評估及當(dāng)此類事故發(fā)生時(shí)的影響d)在評估的結(jié)果的基礎(chǔ)上計(jì)算風(fēng)險(xiǎn)，識別殘余風(fēng)險(xiǎn)B．2．5風(fēng)險(xiǎn)治理計(jì)劃組織應(yīng)建立一個詳細(xì)的日程，或風(fēng)險(xiǎn)治理計(jì)劃，對于每一個識別的風(fēng)險(xiǎn)定義a)選擇的處理風(fēng)險(xiǎn)的方法b)已有的控制措施c)建議的新添的控制措施d)實(shí)施新建議的控制措施的時(shí)間架構(gòu)應(yīng)識別一個可接受的風(fēng)險(xiǎn)的水平，對每一個不在可接受水平內(nèi)的風(fēng)險(xiǎn)應(yīng)從下列方面選擇合適的措施：a)決定接受風(fēng)險(xiǎn)，如，因?yàn)椴荒懿扇∑渌胧┗蛱Fb)轉(zhuǎn)移風(fēng)險(xiǎn)，或c)降低風(fēng)險(xiǎn)到可接受的風(fēng)險(xiǎn)風(fēng)險(xiǎn)治理計(jì)劃是一個調(diào)和文件，定義降低不可接受風(fēng)險(xiǎn)的水平和實(shí)施要求的保護(hù)信心的控制措施。B．2．3SIMS的范圍ISMS可能覆蓋組織所有的部分。在一些體系中他們可能需要建立在計(jì)算機(jī)化的過程中以運(yùn)營和立即回應(yīng)。這可以描述為一個有效的循環(huán)因?yàn)樗哪康氖菫榱吮ＷC您的組織的最好實(shí)踐文件化、加強(qiáng)并隨時(shí)時(shí)間改進(jìn)。在這些表中選擇控制目標(biāo)和控制措施是條款4．2＊規(guī)定的信息安全管理體系過程的一部分。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識別實(shí)施和／或運(yùn)行信息安全管理體系的不合格；b）確定不合和的原因：c）評價(jià)確保不合格不再發(fā)生的措施的需求；d) 確定和實(shí)施所需的糾正措施：e）記錄所采取措施的結(jié)果[ 見4．3．3] ；f) 評審所采取的糾正措施。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。、意識和能力組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。記錄應(yīng)保持清晰、易于識別和檢索。應(yīng)用從其他組織的安全經(jīng)驗(yàn)和組織內(nèi)學(xué)到知識。g)選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)應(yīng)從本標(biāo)準(zhǔn)附件A中選擇合適的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程的結(jié)果調(diào)整。b)應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個框架病危信息安全活動建立整日的方向和原則。[ISO Guide 73]比較估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，確定風(fēng)險(xiǎn)嚴(yán)重性的過程。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系要求ISO/IEC 17799:2000信息技術(shù)—信息安全管理實(shí)踐指南ISO 指南73:2001風(fēng)險(xiǎn)管理指南名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。（見附件B，提供了使用該規(guī)范的指南）。本標(biāo)準(zhǔn)采用的，適用于ISMS的模型，如圖一所示。希望簡單的情況是用簡單的ISMS解決方案。上述因素和他們的支持過程預(yù)計(jì)會隨事件而變化。過程的方法鼓勵使用者強(qiáng)調(diào)一下重要性：a)理解業(yè)務(wù)信息安全需求和建立信息安全方針和目標(biāo)的需求；b)在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施也運(yùn)作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價(jià)的基礎(chǔ)上持續(xù)改進(jìn)。它規(guī)定了對定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。對于條款4,5,6和7的要求的刪減不能接受。[ISO Guide 73]風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個過程。組織應(yīng)：a)應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)定義SIMS的范圍。[]3)避免風(fēng)險(xiǎn)4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)到其他方面如：保險(xiǎn)業(yè)、供應(yīng)商等。b)采取合適的糾正和預(yù)防行動[]。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。組織將確定和提供所需的資源，以：a)建立、實(shí)施、運(yùn)行和維護(hù)信息安全管理體系；b)確保信息安全程序支持業(yè)務(wù)要求；c)識別和強(qiáng)調(diào)法律和法規(guī)要求及合同安全的義務(wù)；d)正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e)必要時(shí)，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f)需要時(shí)，改進(jìn)信息安全管理體系的有效性?？刂拼胧⑦^程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識別的信息安全要求；c）被有效地實(shí)施和維護(hù)；d）達(dá)到預(yù)想的業(yè)績．任何審核活動應(yīng)策劃，策劃應(yīng)考慮過程的狀況和重要性，要審核的范圍以及前次審核的結(jié)果。7. 2 糾正措施組織應(yīng)采取措施，以消除不合格的與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的原因，防止不合格的再發(fā)生。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標(biāo)和控制措施。這里描述的過程模型遵循一個連續(xù)的活動循環(huán)：計(jì)劃、實(shí)施、檢查和行動。評審可以在任何時(shí)間、以任何頻率實(shí)施，取決于怎樣做適合于考慮的具體情況。該方針的內(nèi)容的指南在BS ISO/IEC 17799:2000中給出。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們食用于信息安全管理體系的范圍和風(fēng)險(xiǎn)，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。應(yīng)準(zhǔn)備一份提供日程、排列優(yōu)先次序、一個詳細(xì)的工作計(jì)劃和責(zé)任的計(jì)劃，實(shí)施控制措施。如果決定轉(zhuǎn)移風(fēng)險(xiǎn)，應(yīng)采取進(jìn)一步行動，如：使用合同，保險(xiǎn)安排和組織結(jié)構(gòu)如合作伙伴和合資等。B．4檢查階段B．4．1介紹檢查活動是設(shè)計(jì)用來保證控制措施有效運(yùn)行，與預(yù)期一樣，信息安全管理體系持續(xù)有效。檢查活動的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性，以下是一些例子。例如，一個監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯誤）的設(shè)備并鳴響警鈴。此類交流使不止能夠?qū)W習(xí)怎樣處理類似的問題。B．5改進(jìn)階段B．5．1介紹為使信息安全管理體系保持有效，應(yīng)以在檢查階段采集的信息為基礎(chǔ)經(jīng)常改進(jìn)。一個前面的例子是當(dāng)一個新的威脅被識別，策劃活動應(yīng)更新風(fēng)險(xiǎn)評估。永遠(yuǎn)不可能全部消除孤立的不符合項(xiàng)。實(shí)施階段（）覆蓋這些控制措施的實(shí)施和運(yùn)行安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險(xiǎn)管理實(shí)施一個包括預(yù)防、偵測和回應(yīng)師傅，不斷維護(hù)、評審和審核的過程。本英國標(biāo)準(zhǔn)為實(shí)施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4,5,6和7中描述的過程，在表B。非常重要的，在檢查階段的評審強(qiáng)調(diào)不符合項(xiàng)的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識別師傅的原因，識別采取不僅解決問題而且減少和防止起在發(fā)生。2和B。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。意識到糾正多時(shí)的石油在必要時(shí)采用非常重要：a)維護(hù)信息安全管理體系文件內(nèi)部的一致性，并b)如果不做改變其效果會使組織暴露與不可接受的風(fēng)險(xiǎn)之中檢查活動也應(yīng)包括一份為管理和運(yùn)行信息安全管理體系的控制措施的程序的描述及不斷評審風(fēng)險(xiǎn)及在不斷變化的技術(shù)、威脅或功能下治理風(fēng)險(xiǎn)的過程。成功實(shí)施該計(jì)劃要求有效的管理體系，管理體系定義選擇的方法，指派責(zé)任和個人對措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。意識項(xiàng)目的目的是產(chǎn)生一種有很好基礎(chǔ)的風(fēng)險(xiǎn)管理和安全的文化。適用性聲明[]記錄控制目標(biāo)和從附錄A選擇的控制措施。范圍的界定可能分為幾種方式，例如，分為領(lǐng)域使繼發(fā)的風(fēng)險(xiǎn)管理任務(wù)變得容易。SoA是認(rèn)證必須的要求。這個階段在評審階段開始實(shí)施時(shí)結(jié)束。評審和評價(jià)應(yīng)經(jīng)常評審方針文件，在發(fā)生決定性的變化時(shí)，確保方針的適宜性A．4組織安全BS ISO/IEO17799:2000編號控制目標(biāo)：在組織中管理信息安全控制措施管理信息安全委員會信息安全管理委員會確保明確的目標(biāo)和管理層對啟動安全管理可見的支持。應(yīng)為預(yù)防措施編制形成文件的程序，以確定以下方面的要求：a）識別潛在的不合格及其原因；b) 確定和實(shí)施所需的預(yù)防措施：C）記錄所采取措施的結(jié)果[見4．3．3]：d）評審所采取的預(yù)防措施；識別以便更得風(fēng)險(xiǎn)和確保注意力關(guān)注在重大的以變更的風(fēng)險(xiǎn)。應(yīng)在一個文件化的程序中確定策劃和實(shí)施審核，報(bào)告結(jié)果和維護(hù)及維護(hù)記錄［見4．3］的責(zé)任及要求。評審應(yīng)包括評價(jià)信息安全管理體系改進(jìn)的機(jī)會和變更的需要，包括安全方針和安全目標(biāo)。注2：See ISO 9001注3：文件和記錄可以用多種形式和不同媒體。(g)選擇的控制目標(biāo)和控制措施以及被選擇的