【正文】 施的區(qū)域?qū)嶓w進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出BS ISO/IEC 17799:2000編號控制目標(biāo)：防止企業(yè)運營中斷并且保護(hù)企業(yè)營運的關(guān)鍵流程免于重大失效或災(zāi)難的影響控制措施業(yè)務(wù)持續(xù)動作的管理流程為發(fā)展及維護(hù)企業(yè)的持續(xù)動作性，應(yīng)有遍及整個組織的管理流程業(yè)務(wù)持續(xù)動作及沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險評估為基礎(chǔ)的策略性計劃，以為業(yè)務(wù)持續(xù)動作的方法持續(xù)動作計劃的撰寫及執(zhí)行應(yīng)發(fā)展計劃確保在重要的業(yè)務(wù)流程中斷或失效后可及時維護(hù)或恢復(fù)業(yè)務(wù)動作業(yè)務(wù)持續(xù)動作規(guī)劃的架構(gòu)應(yīng)維持一個單一的業(yè)務(wù)持續(xù)動作計劃架構(gòu)，以確保所有計劃的一致性，且鑒別其先后次序以進(jìn)行測試與維護(hù)業(yè)務(wù)持續(xù)動作計劃的測試、維護(hù)與再評估業(yè)務(wù)持續(xù)運作計劃應(yīng)定期測試，且透過定期審查予以維護(hù)，以確保及時性及有效性其他過程可能只需在有信息安全事故時、被保護(hù)的信息資產(chǎn)變化時或需要增加時、威脅和脆弱性變化時需要回應(yīng)。信息安全管理體系可能覆蓋組織所有部分。 識別威脅和弱點；c） c）這份文件是信息安全管理體系認(rèn)證要求的一份工作文件。當(dāng)決定降低風(fēng)險，應(yīng)實施已選擇的控制措施。在可能確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點的發(fā)生，以預(yù)測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。有很多來源識別在技術(shù)和軟件中的脆弱性。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。 缺少，或缺乏有效實施和維護(hù)一個或多個信息安全管理體系的要求；或b） b）附錄A規(guī)范使用指南附錄B ISO14001和ISO9001間的聯(lián)系4．2．2培訓(xùn)，意識和能力6信息安全管理體系管理評審6．1總則6．2評審輸入6．3評審輸出6．4信息安全管理體系 內(nèi)部審核4．4實施和運行在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運行層面。一個后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計劃付諸行動，如果檢查活動識別出需要這樣做。 正確地評估了殘余風(fēng)險而且組織有的管理層仍能接受殘余風(fēng)險；f） f）但在一段時間內(nèi)如果總是不能被糾正，另外的警鈴會對更高層的管理者鳴響，因此自動升級問題。a) a)意識到糾正措施只有在必要時采用非常重要：a） a） 降低風(fēng)險到可接受的風(fēng)險。采用的方法應(yīng)致力于安全的努力和有效利用資源。BS ISO/IEC 17799:2000編號控制目標(biāo)：確保使用可移動式計算機(jī)運算及計算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全控制措施可移動式計算機(jī)運算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒?，以防范使用可移動式計算機(jī)遠(yuǎn)算設(shè)施進(jìn)行工作時所造成的風(fēng)險，特別是在未被保護(hù)的環(huán)境中工作時計算機(jī)通訊遠(yuǎn)距工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計算機(jī)通訊遠(yuǎn)距工作的活動附錄A（引用）控制目標(biāo)和控制措施 識別實施或運行信息安全管理體系中的不合格；b） b） 風(fēng)險的等級和/或可接受風(fēng)險的水平；c） c） 信息安全管理體系審核和評審的結(jié)果；b） b）5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a）需要一個管理過程確定記錄的程度。 必要時對文件進(jìn)行評審與更新，并再次批準(zhǔn)；c） c）4．3文件要求4．3．1總則信息安全管理體系文件應(yīng)包括：a） a） 業(yè)務(wù)目標(biāo)和過程4） 4）e） e）g） g） 確定風(fēng)險：1） 1） 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。[BS ISO/IEC17799：2000]3．6風(fēng)險接受接受一個風(fēng)險的決定[ISO Guide 73]3．7風(fēng)險分析系統(tǒng)地使用信息識別來源和估計風(fēng)險[ISO Guide 73]3．8風(fēng)險評估風(fēng)險分析和風(fēng)險評價的整個過程[ISO Guide 73]1．2應(yīng)用本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。 監(jiān)控和評審信息安全管理體系的有效性和績效；d） d）采用信息安全管理體系應(yīng)當(dāng)是一項組織的戰(zhàn)略決策。一個組織信息安全管理體系的設(shè)計和實施受運營需求、具體目標(biāo)、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。 在客觀的測量，持續(xù)改進(jìn)過程。實施和運作ISMS維護(hù)和改進(jìn)ISMS當(dāng)本標(biāo)準(zhǔn)的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進(jìn)行刪減。3．9風(fēng)險評價把估計風(fēng)險與給出的風(fēng)險標(biāo)準(zhǔn)相比較，確定風(fēng)險嚴(yán)重性的過程。3） 3） 在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2） 2） 選擇控制目標(biāo)和控制措施處理風(fēng)險： 應(yīng)從本標(biāo)準(zhǔn)附件A中列出的控制目標(biāo)和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評估和風(fēng)險處理過程的結(jié)果調(diào)整。 管理動作過程；f） f） 識別威脅5） 5） 文件化的安全方針文件和控制目標(biāo)；b） b） 確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d） d）。 建立、實施、運行和維護(hù)信息安全管理體系；b） b） 相關(guān)方的反饋；c） c） 資源需求。 確定不合格的原因；c） c）A．1介紹 ISO/IEC 17799:2000條款3到12一致。BS ISO/IEC 17799:2000編號控制目標(biāo)：確保安全機(jī)制建于信息系統(tǒng)之中控制措施安全要求的分析及標(biāo)準(zhǔn)對于使用新系統(tǒng)或改進(jìn)既有系統(tǒng)的企業(yè)營運要求，應(yīng)將對控制方法的要求制定于其中控制目標(biāo)：防止應(yīng)用系統(tǒng)中的使用者資料遺失、修改及不當(dāng)使用控制措施輸入資料的驗證輸入應(yīng)用系統(tǒng)的資料應(yīng)加以驗證，以確保資料是正確且適當(dāng)?shù)膬?nèi)部處理控制驗證的檢查應(yīng)成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀消息的認(rèn)證當(dāng)有保護(hù)消息內(nèi)容完整性的安全要求時，應(yīng)針對應(yīng)用程序進(jìn)行消息的認(rèn)證輸出資料的驗證從應(yīng)用系統(tǒng)輸出的資料應(yīng)加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當(dāng)?shù)目刂颇繕?biāo)：保護(hù)信息的機(jī)密性、真實性或完整性控制措施運用密碼學(xué)控制方法時的政策應(yīng)發(fā)展且遵循以密碼學(xué)控制方法來達(dá)成保護(hù)信息目的政策資料加密應(yīng)使用資料加密，以保護(hù)機(jī)密或關(guān)鍵信息的機(jī)密性數(shù)字簽章應(yīng)使用不可否認(rèn)性的服務(wù)，以解決某事件或行動是否有發(fā)生的爭議不可否認(rèn)性的服務(wù)應(yīng)使用既定的標(biāo)準(zhǔn)、程序及方法為基礎(chǔ)的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運用密鑰管理檢查和處置評審階段用來加強(qiáng)、修改和改進(jìn)已識別和實施的安全方案。4．2．1b）要求組織和其管理層確定包含建立其目標(biāo)和目的框架、并建立總的方向、信息安全行動原則的信息安全方針。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們適用于信息安全管理體系的范圍和風(fēng)險，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。風(fēng)險治理計劃是一個調(diào)和的文件，確定降低不可接受的水平，因此應(yīng)對是否增加更多的控制措施或接受更高的風(fēng)險作出一個決定。對于經(jīng)過評估可接受的風(fēng)險，不需要進(jìn)一步的措施。 維護(hù)信息安全管理體系文件內(nèi)部的一致性：并b） b）注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動，關(guān)鍵是所有的相關(guān)方被子及時告知所作的改變，并提相應(yīng)的附加的培訓(xùn)。本英國標(biāo)準(zhǔn)為實施一些OECD原則提供一個使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過程。4．5．1監(jiān)控和測量4．5．2不符合糾正預(yù)防措施5．6管理評審32 / 32。4．4．5文件控制4．5．3記錄5管理責(zé)任5．1管理承諾5管理責(zé)任5．1管理承諾5．2以客戶為關(guān)注焦點5．3質(zhì)量方針5．4策劃5．5責(zé)任、授權(quán)和溝通一個不符合項是：（從ISO/IEC指南62條款應(yīng)用使用指南）a） a） 信息安全管理體系與本標(biāo)準(zhǔn)一致。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動。檢查活動也應(yīng)包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風(fēng)險及在不斷變化的技術(shù)、威脅或功能下處理風(fēng)險的過程。在這種情況下，應(yīng)保證風(fēng)險轉(zhuǎn)移到的組織理解那些風(fēng)險的性質(zhì)和能夠有效地管理他們。適用性聲明[]記錄控制目標(biāo)和從附錄A選擇的控制措施。 信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不能以錢來衡量時，估價量度的使用的信息；b） b）在一些體系中他們可能需要建立在計算機(jī)化的過程中以運行和立即回應(yīng)。BS ISO/IEC 17799:2000編號控制目標(biāo)：確保信息科技的項目及支持特性活動以安全的方式來進(jìn)行控制措施控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行系統(tǒng)測試資料的保護(hù)測試資料應(yīng)加以保護(hù)及控制原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護(hù)嚴(yán)格的控制控制目標(biāo)：維護(hù)應(yīng)用系統(tǒng)的軟件及信息的安全控制措施變更控制的程序應(yīng)使用正式的變更控制程序嚴(yán)格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小操作系統(tǒng)變更的技術(shù)審查當(dāng)發(fā)生變更時，應(yīng)對應(yīng)用系統(tǒng)進(jìn)行審查及測試軟件包修改的限制應(yīng)阻止對于軟件包的修改，對于變更應(yīng)嚴(yán)格控制秘密信道及特洛伊木馬應(yīng)控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序委外的軟件開發(fā)應(yīng)使用控制方法防護(hù)委外的軟件開發(fā)A．2實踐指南規(guī)范BS ISO/IEC 17799：。 確定和實施所需的糾正措施；e） e） 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b） b） 預(yù)防和糾正措施的狀況；e） e） 識別和強(qiáng)調(diào)法律和法規(guī)要求及合同的安全義務(wù)；d） d） 確保文件夾保持清晰、易于識別；f） f） 風(fēng)險評估報告[]。d） d） 管理資源[]；g） g）h） h） 識別可能被威脅利用的脆弱性4） 4）這些控制目標(biāo)和控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。任何能夠滿足風(fēng)險接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險被負(fù)責(zé)人員正當(dāng)?shù)亟邮?。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。希望簡單的情況使用簡單的信息安全解決方案。信息安全管理體系——規(guī)范與使用指南 3其他管理體系的兼容性1 范圍1．1概要1．2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運營(對照中文ISO9001確認(rèn))？信息安全管理體系