【正文】 管理體系。 包括為其目標(biāo)建立一個框架并為信息安全活動建立整體的方向和原則。4．信息安全管理體系要求4．1總要求組織應(yīng)在整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下建立、實施、維護和持續(xù)改進(jìn)文件化的信息安全管理體系。[BS ISO/IEC17799：2000]3．2保密性保證信息只被授權(quán)的人訪問。對于條款4，5，6和7的要求的刪減不能接受。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。 0．3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001：2000與ISO16949：1996相結(jié)合以支持實施和動作安全體系的一致性和整合。相關(guān)單位 計劃PLAN 建立ISMS 圖一同時展示了6和7章中所提出的過程聯(lián)系。組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識別和相互作用及其慣例，課程只為：“過程方法”。英國標(biāo)準(zhǔn)——BS77992:2002目 錄前言0 介紹0．1總則0．2過程方法0． 0．本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用，評定一個組織符合其本身的需要及客戶和法律的要求的能力。過程的方法鼓勵使用者強調(diào)以下方面的重要性：a） a）在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對應(yīng)關(guān)系，本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。[BS ISO/IEC17799：2000]3．3信息安全安全保護信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個管理體系的一部分，建立在運營風(fēng)險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改進(jìn)信息安全。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。2） 2）4） 4） 確定風(fēng)險評估的系統(tǒng)化的方法識別適用于信息安全管理體系及已識別的信息安全、法律和法規(guī)的要求的風(fēng)險評估的方法。 評價風(fēng)險1） 1） 知道并有目的地接受風(fēng)險，同時這些措施能清楚地滿足組織方針和接受風(fēng)險的標(biāo)準(zhǔn)3） 3）（g）選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。c） c）4．2．3監(jiān)控和評審信息安全管理體系組織應(yīng)：a） a） 評審殘余風(fēng)險和可接受風(fēng)險的水平，考慮以下方面的變化：1） 1）e） e） 溝通結(jié)果和行動并得到所有參與的相關(guān)方的同意。 風(fēng)險處理計劃。4．3．2文件控制信息安全管理體系所要求的文件應(yīng)予以保護和控制。 確保外來文件的發(fā)放在控制狀態(tài)下；g） g）信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。 建立信息安全方針；b） b） 確定可接受風(fēng)險的水平。 必要時，進(jìn)行評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f） f） 保持教育、培訓(xùn)、技能、經(jīng)驗和資格的記錄[]組織應(yīng)確保所有相關(guān)的人員知道他們信息安全活動的適當(dāng)性和重要性以及他們的貢獻(xiàn)怎樣達(dá)成信息安全管理目標(biāo).6 信息安全管理體系的管理評審6．1總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。 安全要求；3） 3） 被有效地實施和維護；d） d）7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)組織應(yīng)通過使用安全方針、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審的信息持續(xù)改進(jìn)信息安全管理體系的有效性。f） f） 記錄所采取措施的結(jié)果[]；d） d）BS ISO/IEC 17799:2000編號控制目標(biāo)：提供管理方向和支持信息安全控制措施信息安全方針文件管理層應(yīng)提供一份方針方件,出版并在適當(dāng)時,溝通給所有員工。應(yīng)劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設(shè)備這個階段在評審階段開始實施時結(jié)束。最后，需要每一年或其他周期性評審或?qū)徍艘员ＷC整個管理體系達(dá)成其目標(biāo)。 計劃階段應(yīng)清楚識別的從屬、界面和對于一個環(huán)境的邊界的假設(shè)。 在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個管理體系或另一個信息安全管理體系（相同的或一個第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。 對威脅利用脆弱點的評估，及當(dāng)此類事故發(fā)生時的影響；d） d）應(yīng)識別一個可接受風(fēng)險的水平，對于每一個不在可接受水平內(nèi)的風(fēng)險應(yīng)從下列方面選擇合適的措施：a） a）BS ISO/IEC17799:2000提供相關(guān)實施這些控制措施的附加信息，當(dāng)識別的風(fēng)險超過這些控制措施可以控制的水平時，可能需要設(shè)計附加的控制措施并加以實施。意識項目的目的是產(chǎn)生一種有很好基礎(chǔ)的風(fēng)險管理和安全的文化。這些實施應(yīng)與在策劃活動中準(zhǔn)備的風(fēng)險處理計劃一致。另外，任何有關(guān)風(fēng)險評估范圍或假設(shè)的變化應(yīng)予以考慮。在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織安全方針和目標(biāo)有效性的測量的有價值的數(shù)據(jù)資源。這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行并設(shè)計用來偵測處理結(jié)果的錯誤。自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。組織應(yīng)經(jīng)常參考這些并對他們的軟件進(jìn)行適當(dāng)?shù)母隆?使用一個合適的風(fēng)險評估方法；c） c）改進(jìn)活動的目的是采取作為檢查活動的結(jié)果的措施。 一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。當(dāng)識別和實施任何糾正措施應(yīng)從這種觀點考慮孤立事件。安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險管理實施一個包括預(yù)防，偵測和回應(yīng)事故，不斷維護，評審和審核的過程。附錄C（情報性的）BS EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002對照 EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002間的對照關(guān)系BS77992：20002BS EN ISO9001：2000BS EN ISO 14001：19960介紹0．1介紹0．2過程方法7．3預(yù)防措施 4與其他管理體系的兼容性糾正措施應(yīng)與不符合項的嚴(yán)重程度對于信息安全管理體系符合特定的要求的風(fēng)險一致。一個前面的例子是當(dāng)一個新的威脅被識別，策劃活動應(yīng)更新風(fēng)險評估。在確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點的發(fā)生，以預(yù)測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。 實施了技術(shù)控制措施（如：防火墻，物理訪問控制）等，并正確地配置和像預(yù)期的一樣工作；e） e）此類交流使組織能夠?qū)W習(xí)怎樣處理類似的問題。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們能查清事故原因并修復(fù)它。很明確，此類的檢查需要設(shè)計的體系里以進(jìn)行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責(zé)任）。檢查活動的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性，以下是一些例子。此類活動的實行應(yīng)在PDCA循環(huán)的處置階段。當(dāng)一個組織決定接受高于呆接受水平的風(fēng)險時，應(yīng)獲得管理層的批準(zhǔn)。特別的安全培訓(xùn)應(yīng)適用于是否支持意識項目，使所有相關(guān)方在需要時完成他們的任務(wù)。應(yīng)準(zhǔn)備一份提供日程、排列優(yōu)先次序、一個詳細(xì)的工作計劃和責(zé)任的計劃，實施控制措施。 轉(zhuǎn)移風(fēng)險；或c） c）風(fēng)險評估文件應(yīng)解釋選擇哪一種風(fēng)險方法，為什么此方法適合安全要求，業(yè)務(wù)環(huán)境，組織的規(guī)模和面臨的風(fēng)險等。范圍的界定可能分為幾種方式，例如，分為領(lǐng)域，使后續(xù)的風(fēng)險管理任務(wù)變得容易。計劃活動所有階段必須文件化作為管理變化的追溯，這一點非常重要。（Summary of Controls）組織可能發(fā)現(xiàn)制作一份相關(guān)和應(yīng)用于組織的信息安全管理體系的控制措施總結(jié)（SoC）的好處。實施階段用來實施在計劃階段確定的決定和解決方案。 模型建立和管理一個信息安全管理體系需要像其他任何管理體系一樣的方法?？刂颇繕?biāo)：將有效性提升至最大，并將對來自及作用在系統(tǒng)審核，流程的干擾降至最小控制措施BS ISO/IEC 17799:2000編號網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性,應(yīng)提供清楚的說明控制目標(biāo):防止未經(jīng)授權(quán)的計算機訪問控制措施自動化的終端機識別應(yīng)使用自動化的終端機識別,以認(rèn)證連接到特定場所及可移動式設(shè)備的聯(lián)機終端機聯(lián)機程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機流程使用者識別及認(rèn)證所有使用者應(yīng)有唯一的識別碼(使用者代號)專供其個人的使用,口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標(biāo)的使用者，應(yīng)提供脅迫警報終端機逾時終止在高風(fēng)險場所或為高風(fēng)險系統(tǒng)服務(wù)終端機，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問聯(lián)機時間的限制應(yīng)使用聯(lián)機時間的限制，以提供高風(fēng)險的應(yīng)用程序額外的安全控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問控制措施信息訪問限制對于信息及應(yīng)有系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以限制機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應(yīng)有專屬的〈隔離的〉運算環(huán)境控制目標(biāo)：偵探未經(jīng)授權(quán)的活動控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)施使用情況的程序，并且應(yīng)定期對監(jiān)活動的結(jié)果進(jìn)行審查定時器同步計算機的定時器應(yīng)同步以便能準(zhǔn)確地記錄（繼續(xù)）遞送及裝載區(qū)域應(yīng)加以控制，如有可能應(yīng)與信息處理設(shè)施隔離，以避免未經(jīng)授權(quán)的訪問控制目標(biāo)：預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運營活動遭受干擾控制措施設(shè)備的安置及保護應(yīng)妥善安置及保護設(shè)備，以降低來自環(huán)境的威脅與危險所造成的風(fēng)險以及未經(jīng)授權(quán)的訪問電源供應(yīng)應(yīng)保護設(shè)備免于電力失效及其它電力異常的影響電纜傳輸安全傳輸資料或支持信息服務(wù)的電力及通訊電纜，應(yīng)予以保護免于被攔截或破壞設(shè)備維護設(shè)備應(yīng)進(jìn)行正確維護，以確保其持續(xù)的可用性及完整性組織以外的設(shè)備安全任何在組織所在地以外使用的信息處理設(shè)備應(yīng)要求管理層授權(quán)設(shè)備報廢或再利用的安全防護