【正文】 管理體系。 包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。4．信息安全管理體系要求4．1總要求組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。[BS ISO/IEC17799：2000]3．2保密性保證信息只被授權(quán)的人訪問。對(duì)于條款4，5，6和7的要求的刪減不能接受。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。 0．3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001：2000與ISO16949：1996相結(jié)合以支持實(shí)施和動(dòng)作安全體系的一致性和整合。相關(guān)單位 計(jì)劃PLAN 建立ISMS 圖一同時(shí)展示了6和7章中所提出的過程聯(lián)系。組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識(shí)別和相互作用及其慣例，課程只為：“過程方法”。英國(guó)標(biāo)準(zhǔn)——BS77992:2002目 錄前言0 介紹0．1總則0．2過程方法0． 0．本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用，評(píng)定一個(gè)組織符合其本身的需要及客戶和法律的要求的能力。過程的方法鼓勵(lì)使用者強(qiáng)調(diào)以下方面的重要性：a） a）在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對(duì)應(yīng)關(guān)系，本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。這將轉(zhuǎn)化為維護(hù)和提高競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。[BS ISO/IEC17799：2000]3．3信息安全安全保護(hù)信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個(gè)管理體系的一部分，建立在運(yùn)營(yíng)風(fēng)險(xiǎn)的方法上，以建立、實(shí)施、動(dòng)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。2） 2）4） 4） 確定風(fēng)險(xiǎn)評(píng)估的系統(tǒng)化的方法識(shí)別適用于信息安全管理體系及已識(shí)別的信息安全、法律和法規(guī)的要求的風(fēng)險(xiǎn)評(píng)估的方法。 評(píng)價(jià)風(fēng)險(xiǎn)1） 1） 知道并有目的地接受風(fēng)險(xiǎn)，同時(shí)這些措施能清楚地滿足組織方針和接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)3） 3）（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。c） c）4．2．3監(jiān)控和評(píng)審信息安全管理體系組織應(yīng)：a） a） 評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮以下方面的變化：1） 1）e） e） 溝通結(jié)果和行動(dòng)并得到所有參與的相關(guān)方的同意。 風(fēng)險(xiǎn)處理計(jì)劃。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護(hù)和控制。 確保外來文件的發(fā)放在控制狀態(tài)下；g） g）信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。 建立信息安全方針；b） b） 確定可接受風(fēng)險(xiǎn)的水平。 必要時(shí)，進(jìn)行評(píng)審，并適當(dāng)回應(yīng)這些評(píng)審的結(jié)果；f） f） 保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動(dòng)的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評(píng)審6．1總則管理層應(yīng)按策劃的時(shí)間間隔評(píng)審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。 安全要求；3） 3） 被有效地實(shí)施和維護(hù)；d） d）7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防措施和管理評(píng)審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。f） f） 記錄所采取措施的結(jié)果[]；d） d）BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針方件,出版并在適當(dāng)時(shí),溝通給所有員工。應(yīng)劃定安全區(qū)域，以保護(hù)具有特殊安全需求的辦公處所及設(shè)備這個(gè)階段在評(píng)審階段開始實(shí)施時(shí)結(jié)束。最后，需要每一年或其他周期性評(píng)審或?qū)徍艘员ＷC整個(gè)管理體系達(dá)成其目標(biāo)。 計(jì)劃階段應(yīng)清楚識(shí)別的從屬、界面和對(duì)于一個(gè)環(huán)境的邊界的假設(shè)。 在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識(shí)別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個(gè)管理體系或另一個(gè)信息安全管理體系（相同的或一個(gè)第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。 對(duì)威脅利用脆弱點(diǎn)的評(píng)估，及當(dāng)此類事故發(fā)生時(shí)的影響；d） d）應(yīng)識(shí)別一個(gè)可接受風(fēng)險(xiǎn)的水平，對(duì)于每一個(gè)不在可接受水平內(nèi)的風(fēng)險(xiǎn)應(yīng)從下列方面選擇合適的措施：a） a）BS ISO/IEC17799:2000提供相關(guān)實(shí)施這些控制措施的附加信息，當(dāng)識(shí)別的風(fēng)險(xiǎn)超過這些控制措施可以控制的水平時(shí)，可能需要設(shè)計(jì)附加的控制措施并加以實(shí)施。意識(shí)項(xiàng)目的目的是產(chǎn)生一種有很好基礎(chǔ)的風(fēng)險(xiǎn)管理和安全的文化。這些實(shí)施應(yīng)與在策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃一致。另外，任何有關(guān)風(fēng)險(xiǎn)評(píng)估范圍或假設(shè)的變化應(yīng)予以考慮。在檢查階段采集的信息提供可以用來決定和測(cè)量信息安全管理體系在符合文件化的組織安全方針和目標(biāo)有效性的測(cè)量的有價(jià)值的數(shù)據(jù)資源。這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行并設(shè)計(jì)用來偵測(cè)處理結(jié)果的錯(cuò)誤。自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。組織應(yīng)經(jīng)常參考這些并對(duì)他們的軟件進(jìn)行適當(dāng)?shù)母隆?使用一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法；c） c）改進(jìn)活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。 一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。當(dāng)識(shí)別和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件。安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險(xiǎn)管理實(shí)施一個(gè)包括預(yù)防，偵測(cè)和回應(yīng)事故，不斷維護(hù)，評(píng)審和審核的過程。附錄C（情報(bào)性的）BS EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002對(duì)照 EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002間的對(duì)照關(guān)系BS77992：20002BS EN ISO9001：2000BS EN ISO 14001：19960介紹0．1介紹0．2過程方法7．3預(yù)防措施 4與其他管理體系的兼容性糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度對(duì)于信息安全管理體系符合特定的要求的風(fēng)險(xiǎn)一致。一個(gè)前面的例子是當(dāng)一個(gè)新的威脅被識(shí)別，策劃活動(dòng)應(yīng)更新風(fēng)險(xiǎn)評(píng)估。在確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點(diǎn)的發(fā)生，以預(yù)測(cè)信息安全管理體系未來的變化并確保其在未來持續(xù)有效。 實(shí)施了技術(shù)控制措施（如：防火墻，物理訪問控制）等，并正確地配置和像預(yù)期的一樣工作；e） e）此類交流使組織能夠?qū)W習(xí)怎樣處理類似的問題。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們能查清事故原因并修復(fù)它。很明確，此類的檢查需要設(shè)計(jì)的體系里以進(jìn)行足夠的次數(shù)來限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任）。檢查活動(dòng)的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性，以下是一些例子。此類活動(dòng)的實(shí)行應(yīng)在PDCA循環(huán)的處置階段。當(dāng)一個(gè)組織決定接受高于呆接受水平的風(fēng)險(xiǎn)時(shí)，應(yīng)獲得管理層的批準(zhǔn)。特別的安全培訓(xùn)應(yīng)適用于是否支持意識(shí)項(xiàng)目，使所有相關(guān)方在需要時(shí)完成他們的任務(wù)。應(yīng)準(zhǔn)備一份提供日程、排列優(yōu)先次序、一個(gè)詳細(xì)的工作計(jì)劃和責(zé)任的計(jì)劃，實(shí)施控制措施。 轉(zhuǎn)移風(fēng)險(xiǎn)；或c） c）風(fēng)險(xiǎn)評(píng)估文件應(yīng)解釋選擇哪一種風(fēng)險(xiǎn)方法，為什么此方法適合安全要求，業(yè)務(wù)環(huán)境，組織的規(guī)模和面臨的風(fēng)險(xiǎn)等。范圍的界定可能分為幾種方式，例如，分為領(lǐng)域，使后續(xù)的風(fēng)險(xiǎn)管理任務(wù)變得容易。計(jì)劃活動(dòng)所有階段必須文件化作為管理變化的追溯，這一點(diǎn)非常重要。（Summary of Controls）組織可能發(fā)現(xiàn)制作一份相關(guān)和應(yīng)用于組織的信息安全管理體系的控制措施總結(jié)（SoC）的好處。實(shí)施階段用來實(shí)施在計(jì)劃階段確定的決定和解決方案。 模型建立和管理一個(gè)信息安全管理體系需要像其他任何管理體系一樣的方法?？刂颇繕?biāo)：將有效性提升至最大，并將對(duì)來自及作用在系統(tǒng)審核，流程的干擾降至最小控制措施BS ISO/IEC 17799:2000編號(hào)網(wǎng)絡(luò)服務(wù)的安全對(duì)于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性,應(yīng)提供清楚的說明控制目標(biāo):防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問控制措施自動(dòng)化的終端機(jī)識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別,以認(rèn)證連接到特定場(chǎng)所及可移動(dòng)式設(shè)備的聯(lián)機(jī)終端機(jī)聯(lián)機(jī)程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼(使用者代號(hào))專供其個(gè)人的使用,口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制提供受脅迫警報(bào)以保護(hù)使用者對(duì)于可能成為他人脅迫的目標(biāo)的使用者，應(yīng)提供脅迫警報(bào)終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場(chǎng)所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以提供高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全控制目標(biāo)：防止對(duì)于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問控制措施信息訪問限制對(duì)于信息及應(yīng)有系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以限制機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專屬的〈隔離的〉運(yùn)算環(huán)境控制目標(biāo)：偵探未經(jīng)授權(quán)的活動(dòng)控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)施使用情況的程序，并且應(yīng)定期對(duì)監(jiān)活動(dòng)的結(jié)果進(jìn)行審查定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便能準(zhǔn)確地記錄（繼續(xù)）遞送及裝載區(qū)域應(yīng)加以控制，如有可能應(yīng)與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問控制目標(biāo)：預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運(yùn)營(yíng)活動(dòng)遭受干擾控制措施設(shè)備的安置及保護(hù)應(yīng)妥善安置及保護(hù)設(shè)備，以降低來自環(huán)境的威脅與危險(xiǎn)所造成的風(fēng)險(xiǎn)以及未經(jīng)授權(quán)的訪問電源供應(yīng)應(yīng)保護(hù)設(shè)備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護(hù)免于被攔截或破壞設(shè)備維護(hù)設(shè)備應(yīng)進(jìn)行正確維護(hù)，以確保其持續(xù)的可用性及完整性組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)設(shè)備報(bào)廢或再利用的安全防護(hù)