【正文】 保證其持續(xù)有效性時(shí)實(shí)行。當(dāng)一個(gè)組織決定接受高于可接受水平的風(fēng)險(xiǎn)時(shí)，應(yīng)獲得管理層的批準(zhǔn)。在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測(cè)信息安全管理體系將來(lái)的變化并確保其在將來(lái)持續(xù)有效。B．這些程序應(yīng)作為正式的業(yè)務(wù)過(guò)程經(jīng)常進(jìn)行并設(shè)計(jì)用來(lái)偵測(cè)處理結(jié)果的錯(cuò)誤。有很多來(lái)源識(shí)別在技術(shù)和軟件中脆弱性。B．4．6管理評(píng)審總的目標(biāo)是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。5。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度和對(duì)于信息安全管理體系符合特定要求的風(fēng)險(xiǎn)一致。1中顯示。這還可以被一些策劃和檢查階段方面覆蓋風(fēng)險(xiǎn)評(píng)估參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估這項(xiàng)活動(dòng)是策劃階段的一部分（）并且風(fēng)險(xiǎn)在評(píng)估是檢查階段的一部分（）安全設(shè)計(jì)和實(shí)施參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素一旦完成風(fēng)險(xiǎn)評(píng)估，選擇控制措施治理風(fēng)險(xiǎn)是策劃階段的一部分（）。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。B．4．7趨勢(shì)分析經(jīng)常進(jìn)行趨勢(shì)分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。管理技巧的信息會(huì)經(jīng)常在很多管理論壇上交流和討論，包括會(huì)議、執(zhí)業(yè)會(huì)議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。很明確，此類的檢查需要設(shè)計(jì)在體系里以進(jìn)行足夠的次數(shù)來(lái)限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任）在目前的體系中，此類的減產(chǎn)可能擴(kuò)展到：a)減產(chǎn)沒(méi)有無(wú)意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分間傳輸?shù)臏?zhǔn)確性和完整性B．4．3自治程序自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。這些信息應(yīng)同時(shí)用于一種識(shí)別無(wú)效的過(guò)程和程序的資源?？刂拼胧?yīng)保證不希望的影響或破壞及時(shí)被識(shí)別并適當(dāng)管理。B．3．3風(fēng)險(xiǎn)治理對(duì)于經(jīng)過(guò)評(píng)估可接受的風(fēng)險(xiǎn)，不需要進(jìn)一步的措施。設(shè)計(jì)用來(lái)組織、偵測(cè)、限制、保護(hù)和恢復(fù)安全侵害（與信息安全管理體系一致）對(duì)實(shí)施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測(cè)、限制和恢復(fù)的控制措施一起加以實(shí)施，這樣才能更有效。采用的方法應(yīng)致力于安全帶餓努力和有效利用資源。B．2．2信息安全方針）要求組織和其管理層確定包含建立其目標(biāo)和目的框架，并建立總的方向、信息安全行動(dòng)原則的信息安全方針。B．1．3檢查和行動(dòng)檢查和行動(dòng)評(píng)審階段用來(lái)加強(qiáng)、修改和改進(jìn)已識(shí)別和實(shí)施的安全方案。操作日志應(yīng)受到經(jīng)常性的，獨(dú)立的審查BS ISO/IEO17799:2000編號(hào) 錯(cuò)誤事件登錄應(yīng)通報(bào)錯(cuò)誤并采取改正行動(dòng)控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護(hù)支持性的基礎(chǔ)設(shè)施控制措施網(wǎng)絡(luò)控制應(yīng)實(shí)行一系列的控制方法以達(dá)成并維護(hù)網(wǎng)絡(luò)的安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營(yíng)運(yùn)活動(dòng)遭受干擾控制措施可移動(dòng)式計(jì)算機(jī)存儲(chǔ)媒體的管理對(duì)于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤以及打印出來(lái)的報(bào)告的管理應(yīng)加以控制存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體，應(yīng)可靠并安全地處置信息的處理程序應(yīng)建立信息的處理及儲(chǔ)存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問(wèn)控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時(shí)，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為，合約爭(zhēng)議以及信息被泄漏及修改電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來(lái)的業(yè)務(wù)與安全風(fēng)險(xiǎn)，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過(guò)程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法?lái)保護(hù)經(jīng)由傳真、語(yǔ)音及影像等同學(xué)設(shè)施進(jìn)行的信息交換A．9訪問(wèn)控制BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：控制對(duì)于信息的訪問(wèn)控制措施訪問(wèn)控制策略企業(yè)營(yíng)運(yùn)對(duì)訪問(wèn)控制的要求應(yīng)加以界定并文件化，對(duì)于信息的訪問(wèn)應(yīng)如訪問(wèn)控制政策中所界定的加以限制 使用者訪問(wèn)管理控制目標(biāo)：確保訪問(wèn)信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)控制措施使用者注冊(cè)應(yīng)有正式的使用者注冊(cè)及注銷的程序，以進(jìn)行所有的多分使用信息系統(tǒng)及服務(wù)的訪問(wèn)授權(quán)特殊權(quán)限的管理對(duì)于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對(duì)于密碼的分配，應(yīng)通過(guò)正式的管理流程加以控制使用者訪問(wèn)權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過(guò)程對(duì)于使用者的訪問(wèn)權(quán)限實(shí)施評(píng)審控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問(wèn)控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí)，遵循良好的安全慣例無(wú)人看管的使用者設(shè)備應(yīng)要求使用者確保無(wú)人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問(wèn)已獲特別授權(quán)使用的服務(wù)強(qiáng)制性路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器間的路徑應(yīng)加以控制外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對(duì)遠(yuǎn)程使用者的訪問(wèn)進(jìn)行使用者認(rèn)證節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的、聯(lián)機(jī)應(yīng)被認(rèn)證遠(yuǎn)程診斷端口的保護(hù)對(duì)于診斷端口的訪問(wèn)應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引進(jìn)可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機(jī)能力應(yīng)依照訪問(wèn)控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計(jì)算機(jī)聯(lián)機(jī)及信息流不違反所制定的企業(yè)營(yíng)運(yùn)應(yīng)用軟件的訪問(wèn)控制政策網(wǎng)絡(luò)服務(wù)的安全對(duì)于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說(shuō)明控制目標(biāo)：防止未經(jīng)授權(quán)的計(jì)算機(jī)訪問(wèn)控制措施自動(dòng)化的終端機(jī)識(shí)別應(yīng)使用自動(dòng)化的終端機(jī)識(shí)別，以認(rèn)證連接到特定場(chǎng)所可移動(dòng)式設(shè)備的聯(lián)機(jī)終端機(jī)聯(lián)機(jī)程序訪問(wèn)信息服務(wù)應(yīng)有安全的聯(lián)機(jī)流程使用者識(shí)別及認(rèn)證所有使用者應(yīng)有唯一的識(shí)別碼使用者代碼專供其個(gè)人的使用，以便各項(xiàng)活動(dòng)可以追溯至應(yīng)負(fù)責(zé)的個(gè)人，應(yīng)使用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以真實(shí)地識(shí)別使用者的身份口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴(yán)格控制提供受脅迫警報(bào)以保護(hù)使用者對(duì)于可能成為他人脅迫的目標(biāo)的使用者應(yīng)提供受脅迫警報(bào)終端機(jī)逾時(shí)終止在高風(fēng)險(xiǎn)場(chǎng)所或?yàn)楦唢L(fēng)險(xiǎn)系統(tǒng)服務(wù)終端機(jī)，在進(jìn)入休止?fàn)顟B(tài)達(dá)到規(guī)定的一段時(shí)間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進(jìn)行訪問(wèn)聯(lián)機(jī)時(shí)間的限制應(yīng)使用聯(lián)機(jī)時(shí)間的限制，以體統(tǒng)高風(fēng)險(xiǎn)的應(yīng)用程序額外的安全控制目標(biāo)：防止對(duì)于保持在信息系統(tǒng)中的信息進(jìn)行未經(jīng)授權(quán)的訪問(wèn)控制措施信息訪問(wèn)限制對(duì)于信息及應(yīng)用系統(tǒng)的功能的訪問(wèn)應(yīng)依照訪問(wèn)控制策略加以分析限制機(jī)密性系統(tǒng)的隔離具機(jī)密性質(zhì)的系統(tǒng)應(yīng)有專署的隔離的運(yùn)算環(huán)境控制目標(biāo)：偵測(cè)未經(jīng)授權(quán)的活動(dòng)控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)的事件的審核日志，并保存一定的期間以協(xié)助未來(lái)的調(diào)查及訪問(wèn)控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程序，并且應(yīng)敵情對(duì)監(jiān)控活動(dòng)的結(jié)果進(jìn)行審查定時(shí)器同步計(jì)算機(jī)的定時(shí)器應(yīng)同步以便準(zhǔn)確地記錄控制目標(biāo)：確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全控制措施可移動(dòng)式計(jì)算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ㄕ?，以防范使用可移?dòng)式計(jì)算機(jī)運(yùn)算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn)，特別是在未被保護(hù)的環(huán)境中工作時(shí)計(jì)算機(jī)通訊遠(yuǎn)距工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng)A．10系統(tǒng)開發(fā)及維護(hù)BS ISO/IEO17799:2000編號(hào)控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中控制措施安全要求的分析及標(biāo)準(zhǔn)對(duì)于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營(yíng)運(yùn)要求，應(yīng)將對(duì)控制方法的要求制定于其中控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用控制措施輸入資料的驗(yàn)證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗(yàn)證，以確保資料是正確且適當(dāng)?shù)膬?nèi)部處理控制驗(yàn)證的檢查應(yīng)成為系統(tǒng)的一部分，以偵測(cè)出所處理的資料是否損毀消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性 的安全要求時(shí)，應(yīng)針對(duì)應(yīng)用程序進(jìn)行消息的認(rèn)證輸出資料的驗(yàn)證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗(yàn)證，以確保對(duì)所儲(chǔ)存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)目刂颇繕?biāo)：保護(hù)信息的機(jī)密性、真實(shí)性或完整性控制措施運(yùn)用密碼學(xué)控制方法的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來(lái)達(dá)成保護(hù)信息目的的政策資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性數(shù)字簽章應(yīng)使用數(shù)字簽章，以保護(hù)電子化信息的真實(shí)性及完整性不可否認(rèn)性的服務(wù)應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動(dòng)是否有發(fā)生爭(zhēng)議密鑰管理應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的運(yùn)用控制目標(biāo)：確保信息科技的項(xiàng)目及支持性活動(dòng)以安全的方式來(lái)進(jìn)行控制措施控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測(cè)試資料的保護(hù)測(cè)試資料應(yīng)加以保護(hù)及控制原始鏈接庫(kù)的訪問(wèn)控制對(duì)于原始鏈接庫(kù)的訪問(wèn)應(yīng)維持嚴(yán)格的控制控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實(shí)行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更