【正文】 施的區(qū)域?qū)嶓w進出控制安全區(qū)域應有適當?shù)倪M出控制加以保護，以確保只有經(jīng)授權(quán)的人員可以進出BS ISO/IEC 17799:2000編號控制目標：防止企業(yè)運營中斷并且保護企業(yè)營運的關鍵流程免于重大失效或災難的影響控制措施業(yè)務持續(xù)動作的管理流程為發(fā)展及維護企業(yè)的持續(xù)動作性，應有遍及整個組織的管理流程業(yè)務持續(xù)動作及沖擊分析應發(fā)展以適當?shù)娘L險評估為基礎的策略性計劃，以為業(yè)務持續(xù)動作的方法持續(xù)動作計劃的撰寫及執(zhí)行應發(fā)展計劃確保在重要的業(yè)務流程中斷或失效后可及時維護或恢復業(yè)務動作業(yè)務持續(xù)動作規(guī)劃的架構(gòu)應維持一個單一的業(yè)務持續(xù)動作計劃架構(gòu)，以確保所有計劃的一致性，且鑒別其先后次序以進行測試與維護業(yè)務持續(xù)動作計劃的測試、維護與再評估業(yè)務持續(xù)運作計劃應定期測試，且透過定期審查予以維護，以確保及時性及有效性其他過程可能只需在有信息安全事故時、被保護的信息資產(chǎn)變化時或需要增加時、威脅和脆弱性變化時需要回應。信息安全管理體系可能覆蓋組織所有部分。 識別威脅和弱點；c） c）這份文件是信息安全管理體系認證要求的一份工作文件。當決定降低風險，應實施已選擇的控制措施。在可能確定目前的安全狀態(tài)是令人滿意的同時，應注意技術的變化和業(yè)務的需求及新威脅和脆弱點的發(fā)生，以預測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。有很多來源識別在技術和軟件中的脆弱性。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。 缺少，或缺乏有效實施和維護一個或多個信息安全管理體系的要求；或b） b）附錄A規(guī)范使用指南附錄B ISO14001和ISO9001間的聯(lián)系4．2．2培訓，意識和能力6信息安全管理體系管理評審6．1總則6．2評審輸入6．3評審輸出6．4信息安全管理體系 內(nèi)部審核4．4實施和運行在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡安全運行層面。一個后面的例子是把現(xiàn)存的業(yè)務連續(xù)性計劃付諸行動，如果檢查活動識別出需要這樣做。 正確地評估了殘余風險而且組織有的管理層仍能接受殘余風險；f） f）但在一段時間內(nèi)如果總是不能被糾正，另外的警鈴會對更高層的管理者鳴響，因此自動升級問題。a) a)意識到糾正措施只有在必要時采用非常重要：a） a） 降低風險到可接受的風險。采用的方法應致力于安全的努力和有效利用資源。BS ISO/IEC 17799:2000編號控制目標：確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全控制措施可移動式計算機運算應有適當?shù)恼秸卟⑶也捎眠m當?shù)目刂品椒?，以防范使用可移動式計算機遠算設施進行工作時所造成的風險，特別是在未被保護的環(huán)境中工作時計算機通訊遠距工作應開發(fā)策略、程序和標準以便授權(quán)及控制計算機通訊遠距工作的活動附錄A（引用）控制目標和控制措施 識別實施或運行信息安全管理體系中的不合格；b） b） 風險的等級和/或可接受風險的水平；c） c） 信息安全管理體系審核和評審的結(jié)果；b） b）5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a）需要一個管理過程確定記錄的程度。 必要時對文件進行評審與更新，并再次批準；c） c）4．3文件要求4．3．1總則信息安全管理體系文件應包括：a） a） 業(yè)務目標和過程4） 4）e） e）g） g） 確定風險：1） 1） 考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務。[BS ISO/IEC17799：2000]3．6風險接受接受一個風險的決定[ISO Guide 73]3．7風險分析系統(tǒng)地使用信息識別來源和估計風險[ISO Guide 73]3．8風險評估風險分析和風險評價的整個過程[ISO Guide 73]1．2應用本標準規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。 監(jiān)控和評審信息安全管理體系的有效性和績效；d） d）采用信息安全管理體系應當是一項組織的戰(zhàn)略決策。一個組織信息安全管理體系的設計和實施受運營需求、具體目標、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。 在客觀的測量，持續(xù)改進過程。實施和運作ISMS維護和改進ISMS當本標準的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進行刪減。3．9風險評價把估計風險與給出的風險標準相比較，確定風險嚴重性的過程。3） 3） 在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責任人2） 2） 選擇控制目標和控制措施處理風險： 應從本標準附件A中列出的控制目標和控制措施，選擇應該根據(jù)風險評估和風險處理過程的結(jié)果調(diào)整。 管理動作過程；f） f） 識別威脅5） 5） 文件化的安全方針文件和控制目標；b） b） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d）。 建立、實施、運行和維護信息安全管理體系；b） b） 相關方的反饋；c） c） 資源需求。 確定不合格的原因；c） c）A．1介紹 ISO/IEC 17799:2000條款3到12一致。BS ISO/IEC 17799:2000編號控制目標：確保安全機制建于信息系統(tǒng)之中控制措施安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應將對控制方法的要求制定于其中控制目標：防止應用系統(tǒng)中的使用者資料遺失、修改及不當使用控制措施輸入資料的驗證輸入應用系統(tǒng)的資料應加以驗證，以確保資料是正確且適當?shù)膬?nèi)部處理控制驗證的檢查應成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀消息的認證當有保護消息內(nèi)容完整性的安全要求時，應針對應用程序進行消息的認證輸出資料的驗證從應用系統(tǒng)輸出的資料應加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當?shù)目刂颇繕耍罕Ｗo信息的機密性、真實性或完整性控制措施運用密碼學控制方法時的政策應發(fā)展且遵循以密碼學控制方法來達成保護信息目的政策資料加密應使用資料加密，以保護機密或關鍵信息的機密性數(shù)字簽章應使用不可否認性的服務，以解決某事件或行動是否有發(fā)生的爭議不可否認性的服務應使用既定的標準、程序及方法為基礎的密鑰管理系統(tǒng)以支持密碼學技術的運用密鑰管理檢查和處置評審階段用來加強、修改和改進已識別和實施的安全方案。4．2．1b）要求組織和其管理層確定包含建立其目標和目的框架、并建立總的方向、信息安全行動原則的信息安全方針。文件也應覆蓋選擇的工具和技術，解釋為什么它們適用于信息安全管理體系的范圍和風險，怎樣正確地使用這些工具和技術以產(chǎn)生有效的結(jié)果。風險治理計劃是一個調(diào)和的文件，確定降低不可接受的水平，因此應對是否增加更多的控制措施或接受更高的風險作出一個決定。對于經(jīng)過評估可接受的風險，不需要進一步的措施。 維護信息安全管理體系文件內(nèi)部的一致性：并b） b）注意作為改進的結(jié)果改變信息安全管理體系或下一步策劃行動，關鍵是所有的相關方被子及時告知所作的改變，并提相應的附加的培訓。本英國標準為實施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過程。4．5．1監(jiān)控和測量4．5．2不符合糾正預防措施5．6管理評審32 / 32。4．4．5文件控制4．5．3記錄5管理責任5．1管理承諾5管理責任5．1管理承諾5．2以客戶為關注焦點5．3質(zhì)量方針5．4策劃5．5責任、授權(quán)和溝通一個不符合項是：（從ISO/IEC指南62條款應用使用指南）a） a） 信息安全管理體系與本標準一致。這種學習適用于技術軟件和管理活動。檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術、威脅或功能下處理風險的過程。在這種情況下，應保證風險轉(zhuǎn)移到的組織理解那些風險的性質(zhì)和能夠有效地管理他們。適用性聲明[]記錄控制目標和從附錄A選擇的控制措施。 信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不能以錢來衡量時，估價量度的使用的信息；b） b）在一些體系中他們可能需要建立在計算機化的過程中以運行和立即回應。BS ISO/IEC 17799:2000編號控制目標：確保信息科技的項目及支持特性活動以安全的方式來進行控制措施控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測試資料的保護測試資料應加以保護及控制原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴格的控制控制目標：維護應用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更的技術審查當發(fā)生變更時，應對應用系統(tǒng)進行審查及測試軟件包修改的限制應阻止對于軟件包的修改，對于變更應嚴格控制秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序委外的軟件開發(fā)應使用控制方法防護委外的軟件開發(fā)A．2實踐指南規(guī)范BS ISO/IEC 17799：。 確定和實施所需的糾正措施；e） e） 符合本標準和相關法律法規(guī)的要求；b） b） 預防和糾正措施的狀況；e） e） 識別和強調(diào)法律和法規(guī)要求及合同的安全義務；d） d） 確保文件夾保持清晰、易于識別；f） f） 風險評估報告[]。d） d） 管理資源[]；g） g）h） h） 識別可能被威脅利用的脆弱性4） 4）這些控制目標和控制措施是建立在風險評估和處理過程的結(jié)論和結(jié)果基礎上。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關風險被負責人員正當?shù)亟邮?。圖一展示信息安全管理體系怎樣考慮輸入利益相關方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。希望簡單的情況使用簡單的信息安全解決方案。信息安全管理體系——規(guī)范與使用指南 3其他管理體系的兼容性1 范圍1．1概要1．2應用2標準參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運營(對照中文ISO9001確認)？信息安全管理體系