【正文】 保證其持續(xù)有效性時實行。當(dāng)一個組織決定接受高于可接受水平的風(fēng)險時，應(yīng)獲得管理層的批準。在可能確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。B．這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進行并設(shè)計用來偵測處理結(jié)果的錯誤。有很多來源識別在技術(shù)和軟件中脆弱性。B．4．6管理評審總的目標(biāo)是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。5。糾正措施應(yīng)與不符合項的嚴重程度和對于信息安全管理體系符合特定要求的風(fēng)險一致。1中顯示。這還可以被一些策劃和檢查階段方面覆蓋風(fēng)險評估參與者應(yīng)執(zhí)行風(fēng)險評估這項活動是策劃階段的一部分（）并且風(fēng)險在評估是檢查階段的一部分（）安全設(shè)計和實施參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素一旦完成風(fēng)險評估，選擇控制措施治理風(fēng)險是策劃階段的一部分（）。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項的發(fā)生的原因或其他不合需要的潛在情況。措施可能進一步立刻進入策劃和實施活動。B．4．7趨勢分析經(jīng)常進行趨勢分析將幫助組織識別需要改進的領(lǐng)域，并應(yīng)建立一個持續(xù)改進循環(huán)的基本部分。管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議、執(zhí)業(yè)會議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。很明確，此類的檢查需要設(shè)計在體系里以進行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責(zé)任）在目前的體系中，此類的減產(chǎn)可能擴展到：a)減產(chǎn)沒有無意的和未授權(quán)的對管理軟件活動參數(shù)的改變b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分間傳輸?shù)臏蚀_性和完整性B．4．3自治程序自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。這些信息應(yīng)同時用于一種識別無效的過程和程序的資源。控制措施應(yīng)保證不希望的影響或破壞及時被識別并適當(dāng)管理。B．3．3風(fēng)險治理對于經(jīng)過評估可接受的風(fēng)險，不需要進一步的措施。設(shè)計用來組織、偵測、限制、保護和恢復(fù)安全侵害（與信息安全管理體系一致）對實施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測、限制和恢復(fù)的控制措施一起加以實施，這樣才能更有效。采用的方法應(yīng)致力于安全帶餓努力和有效利用資源。B．2．2信息安全方針）要求組織和其管理層確定包含建立其目標(biāo)和目的框架，并建立總的方向、信息安全行動原則的信息安全方針。B．1．3檢查和行動檢查和行動評審階段用來加強、修改和改進已識別和實施的安全方案。操作日志應(yīng)受到經(jīng)常性的，獨立的審查BS ISO/IEO17799:2000編號 錯誤事件登錄應(yīng)通報錯誤并采取改正行動控制目標(biāo)：確保網(wǎng)絡(luò)中信息的安全性以及保護支持性的基礎(chǔ)設(shè)施控制措施網(wǎng)絡(luò)控制應(yīng)實行一系列的控制方法以達成并維護網(wǎng)絡(luò)的安全控制目標(biāo)：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾控制措施可移動式計算機存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應(yīng)加以控制存儲媒體的報廢不再需要的儲存媒體，應(yīng)可靠并安全地處置信息的處理程序應(yīng)建立信息的處理及儲存程序，以保護信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用系統(tǒng)文件的安全應(yīng)保護系統(tǒng)文件以防未經(jīng)授權(quán)的訪問控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲媒體的運送安全運送存儲媒體時應(yīng)保護其不遭受未經(jīng)授權(quán)以及信息被泄漏、不當(dāng)使用或毀壞電子商務(wù)安全應(yīng)保護電子商務(wù)免于詐欺行為，合約爭議以及信息被泄漏及修改電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險的適當(dāng)控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與安全風(fēng)險，各項政策與指導(dǎo)原則應(yīng)加以擬定并實施開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過程，應(yīng)保護這類信息的完整性以防止未經(jīng)授權(quán)的修改其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法來保護經(jīng)由傳真、語音及影像等同學(xué)設(shè)施進行的信息交換A．9訪問控制BS ISO/IEO17799:2000編號控制目標(biāo)：控制對于信息的訪問控制措施訪問控制策略企業(yè)營運對訪問控制的要求應(yīng)加以界定并文件化，對于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制 使用者訪問管理控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實和維護控制措施使用者注冊應(yīng)有正式的使用者注冊及注銷的程序，以進行所有的多分使用信息系統(tǒng)及服務(wù)的訪問授權(quán)特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對于密碼的分配，應(yīng)通過正式的管理流程加以控制使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施評審控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時，遵循良好的安全慣例無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo控制目標(biāo)：保護網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲特別授權(quán)使用的服務(wù)強制性路徑由使用者的終端機至計算機服務(wù)器間的路徑應(yīng)加以控制外部聯(lián)機的使用者認證應(yīng)對遠程使用者的訪問進行使用者認證節(jié)點認證到遠程計算機系統(tǒng)的、聯(lián)機應(yīng)被認證遠程診斷端口的保護對于診斷端口的訪問應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引進可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機的控制在分享式的網(wǎng)絡(luò)中使用者的聯(lián)機能力應(yīng)依照訪問控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應(yīng)用軟件的訪問控制政策網(wǎng)絡(luò)服務(wù)的安全對于組織使用網(wǎng)絡(luò)服務(wù)業(yè)者提供的所有網(wǎng)絡(luò)服務(wù)的安全特性，應(yīng)提供清楚的說明控制目標(biāo)：防止未經(jīng)授權(quán)的計算機訪問控制措施自動化的終端機識別應(yīng)使用自動化的終端機識別，以認證連接到特定場所可移動式設(shè)備的聯(lián)機終端機聯(lián)機程序訪問信息服務(wù)應(yīng)有安全的聯(lián)機流程使用者識別及認證所有使用者應(yīng)有唯一的識別碼使用者代碼專供其個人的使用，以便各項活動可以追溯至應(yīng)負責(zé)的個人，應(yīng)使用一種適當(dāng)?shù)恼J證技術(shù)以真實地識別使用者的身份口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)施以確保使用優(yōu)質(zhì)的密碼系統(tǒng)工具的使用系統(tǒng)工具的使用應(yīng)加以限制并嚴格控制提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標(biāo)的使用者應(yīng)提供受脅迫警報終端機逾時終止在高風(fēng)險場所或為高風(fēng)險系統(tǒng)服務(wù)終端機，在進入休止?fàn)顟B(tài)達到規(guī)定的一段時間后，應(yīng)加以關(guān)閉以防止未經(jīng)授權(quán)的人進行訪問聯(lián)機時間的限制應(yīng)使用聯(lián)機時間的限制，以體統(tǒng)高風(fēng)險的應(yīng)用程序額外的安全控制目標(biāo)：防止對于保持在信息系統(tǒng)中的信息進行未經(jīng)授權(quán)的訪問控制措施信息訪問限制對于信息及應(yīng)用系統(tǒng)的功能的訪問應(yīng)依照訪問控制策略加以分析限制機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應(yīng)有專署的隔離的運算環(huán)境控制目標(biāo)：偵測未經(jīng)授權(quán)的活動控制措施事件登錄應(yīng)產(chǎn)生記載著異常狀況及其它安全相關(guān)的事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控系統(tǒng)使用的監(jiān)控應(yīng)建立監(jiān)控信息處理設(shè)施使用情況的程序，并且應(yīng)敵情對監(jiān)控活動的結(jié)果進行審查定時器同步計算機的定時器應(yīng)同步以便準確地記錄控制目標(biāo)：確保使用可移動式計算機運算及計算機通訊遠距工作的設(shè)施的信息安全控制措施可移動式計算機運算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ㄕ?，以防范使用可移動式計算機運算設(shè)施進行工作時所造成的風(fēng)險，特別是在未被保護的環(huán)境中工作時計算機通訊遠距工作應(yīng)開發(fā)策略、程序和標(biāo)準以便授權(quán)及控制計算機通訊遠距工作的活動A．10系統(tǒng)開發(fā)及維護BS ISO/IEO17799:2000編號控制目標(biāo)：確保安全機制建于信息系統(tǒng)之中控制措施安全要求的分析及標(biāo)準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應(yīng)將對控制方法的要求制定于其中控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用控制措施輸入資料的驗證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗證，以確保資料是正確且適當(dāng)?shù)膬?nèi)部處理控制驗證的檢查應(yīng)成為系統(tǒng)的一部分，以偵測出所處理的資料是否損毀消息的認證當(dāng)有保護消息內(nèi)容完整性 的安全要求時，應(yīng)針對應(yīng)用程序進行消息的認證輸出資料的驗證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)目刂颇繕?biāo)：保護信息的機密性、真實性或完整性控制措施運用密碼學(xué)控制方法的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達成保護信息目的的政策資料加密應(yīng)使用資料加密，以保護機密或關(guān)鍵信息的機密性數(shù)字簽章應(yīng)使用數(shù)字簽章，以保護電子化信息的真實性及完整性不可否認性的服務(wù)應(yīng)使用不可否認性的服務(wù)，以解決某事件或行動是否有發(fā)生爭議密鑰管理應(yīng)使用既定的標(biāo)準、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)，以支持密碼學(xué)技術(shù)的運用控制目標(biāo)：確保信息科技的項目及支持性活動以安全的方式來進行控制措施控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測試資料的保護測試資料應(yīng)加以保護及控制原始鏈接庫的訪問控制對于原始鏈接庫的訪問應(yīng)維持嚴格的控制控制目標(biāo)：維持應(yīng)用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應(yīng)使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更