【正文】 信息被未經(jīng)授權(quán)訪問、遺失及所造成的風(fēng)險資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件A．8通訊與操作管理BS ISO/IEO17799:2000編號 作業(yè)程序及責(zé)任控制目標(biāo)：確保正確、安全地操作信息處理設(shè)備控制措施文件化的作業(yè)程序作業(yè)變更控制對信息處理設(shè)施及系統(tǒng)的變更應(yīng)加以控制事故管理程序應(yīng)建立事故的管理責(zé)任及程序，以確保迅速、有效及有序地反應(yīng)安全事件和采集事故有關(guān)數(shù)據(jù)如審核線索和日志職務(wù)隔離職務(wù)及負(fù)責(zé)范圍應(yīng)加以隔離，以降低未經(jīng)授權(quán)的修改或者不當(dāng)使用信息或服務(wù)的機(jī)會開發(fā)與操作設(shè)備的隔離開發(fā)及測試設(shè)備應(yīng)與操作設(shè)備分離。負(fù)責(zé)被審核區(qū)域的管理者應(yīng)確保采取沒有延遲措施減少被發(fā)現(xiàn)的不符合及引起的原因。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。從附件A中剪裁的控制措施也應(yīng)加以記錄i)提議的殘余風(fēng)險應(yīng)獲得管理層批準(zhǔn)并授權(quán)實施和運作ISMS。這些控制目標(biāo)和控制措施是建立在風(fēng)險評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。當(dāng)由于組織的性質(zhì)和業(yè)務(wù)本標(biāo)準(zhǔn)中的要求不能使用，要求可以考慮刪減。一個活動使用資源和在管理狀態(tài)下使其能夠把輸入轉(zhuǎn)換為輸出，這個過程可以被認(rèn)為是一個過程。一個組織必須識別和管理許多活動使其有效地運行。本標(biāo)準(zhǔn)提出的要求使一般性的并試圖用于所有的組織，不管其類型、大小和業(yè)務(wù)性質(zhì)。[ISO Guide 73]描述與使用組織的ISMS范圍的控制目標(biāo)和控制措施。(g)選擇的控制目標(biāo)和控制措施以及被選擇的原因應(yīng)在適用性聲明中文件化。應(yīng)在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護(hù)及維護(hù)記錄［見4．3］的責(zé)任及要求。評審和評價應(yīng)經(jīng)常評審方針文件，在發(fā)生決定性的變化時，確保方針的適宜性A．4組織安全BS ISO/IEO17799:2000編號控制目標(biāo)：在組織中管理信息安全控制措施管理信息安全委員會信息安全管理委員會確保明確的目標(biāo)和管理層對啟動安全管理可見的支持。SoA是認(rèn)證必須的要求。適用性聲明[]記錄控制目標(biāo)和從附錄A選擇的控制措施。成功實施該計劃要求有效的管理體系，管理體系定義選擇的方法，指派責(zé)任和個人對措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。非常重要的，在檢查階段的評審強(qiáng)調(diào)不符合項的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識別師傅的原因，識別采取不僅解決問題而且減少和防止起在發(fā)生。實施階段（）覆蓋這些控制措施的實施和運行安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險管理實施一個包括預(yù)防、偵測和回應(yīng)師傅，不斷維護(hù)、評審和審核的過程。一個前面的例子是當(dāng)一個新的威脅被識別，策劃活動應(yīng)更新風(fēng)險評估。此類交流使不止能夠?qū)W習(xí)怎樣處理類似的問題。檢查活動的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性，以下是一些例子。如果決定轉(zhuǎn)移風(fēng)險，應(yīng)采取進(jìn)一步行動，如：使用合同，保險安排和組織結(jié)構(gòu)如合作伙伴和合資等。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們食用于信息安全管理體系的范圍和風(fēng)險，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。評審可以在任何時間、以任何頻率實施，取決于怎樣做適合于考慮的具體情況。在表中的清單并不徹底，一個組織可能考慮另外必要的控制目標(biāo)和控制措施?？刂拼胧?、過程和程序是否：a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求；b）符合識別的信息安全要求；c）被有效地實施和維護(hù)；d）達(dá)到預(yù)想的業(yè)績．任何審核活動應(yīng)策劃，策劃應(yīng)考慮過程的狀況和重要性，要審核的范圍以及前次審核的結(jié)果。信息安全管理體系應(yīng)考慮任何有關(guān)的法律要求。[]3)避免風(fēng)險4)轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)、供應(yīng)商等。[ISO Guide 73]風(fēng)險分析和風(fēng)險評價的整個過程。它規(guī)定了對定制實施安全控制措施以適應(yīng)不同組織或相關(guān)方的需求。上述因素和他們的支持過程預(yù)計會隨事件而變化。本標(biāo)準(zhǔn)采用的，適用于ISMS的模型，如圖一所示。2引用標(biāo)準(zhǔn)ISO 9001:2000質(zhì)量管理體系要求ISO/IEC 17799:2000信息技術(shù)—信息安全管理實踐指南ISO 指南73:2001風(fēng)險管理指南名詞3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。b)應(yīng)用組織的業(yè)務(wù)性質(zhì)、自主、方位、資產(chǎn)和技術(shù)定義ISMS的方針，方針應(yīng)：1)包括為其目標(biāo)建立一個框架病危信息安全活動建立整日的方向和原則。應(yīng)用從其他組織的安全經(jīng)驗和組織內(nèi)學(xué)到知識。、意識和能力組織應(yīng)確保所有的被分配信息安全管理體系職責(zé)的人員具有能力履行要求的任務(wù)。應(yīng)為糾正措施編制形成文件的程序，確定以下的要求：a）識別實施和／或運行信息安全管理體系的不合格；b）確定不合和的原因：c）評價確保不合格不再發(fā)生的措施的需求；d) 確定和實施所需的糾正措施：e）記錄所采取措施的結(jié)果[ 見4．3．3] ；f) 評審所采取的糾正措施。這可以描述為一個有效的循環(huán)因為它的目的是為了保證您的組織的最好實踐文件化、加強(qiáng)并隨時時間改進(jìn)。B．2．3SIMS的范圍ISMS可能覆蓋組織所有的部分。B．3實施階段B．3．1介紹在PDCA循環(huán)中的實施階段是設(shè)計用來實施選擇的控制措施和推進(jìn)必要的與在計劃階段所做出的決定一致的管理信息安全風(fēng)險措施。另外，任何對于風(fēng)險評估的范圍設(shè)計的變化應(yīng)被考慮。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。改進(jìn)工作活動的目的是采取作為檢查活動的結(jié)果的措施。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實上是一個弱點的征兆，如果不加以處理可能回對整個組織發(fā)生影響。B．5．4OECD原則和BS 77992:20001219在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運行層面。5。B．4．4從其它出學(xué)習(xí)一種識別組織的程序不夠最好的方法是識別其他組織處理問題是否更有效。此類活動的實行在應(yīng)IDCA循環(huán)的行動階段。另外，應(yīng)提高安全意識和實施培訓(xùn)項目，這想活動應(yīng)與實施安全控制措施并行。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。這些活動通常作為循環(huán)的開始。預(yù)防措施應(yīng)于潛在問題的影響程度相適應(yīng)。6信息安全管理體系的管理評審6．1總則管理層應(yīng)按策劃的時間間隔評審組織的信息安全管理體系，以確保其持續(xù)的適宜性、充分性和有效性。d)確保改進(jìn)行動達(dá)到了預(yù)期的目標(biāo)ISMS文件應(yīng)包括：a)文件化的安全方針文件和控制目標(biāo)b)ISMS范圍[]和程序及支持ISMS的控制措施c)風(fēng)險評估報告[]d)風(fēng)險處理計劃[]e)組織需要的文件化的程序以確保有效計劃運營和對信息安全過程的控制[]f)本標(biāo)準(zhǔn)要求的記錄[]g)適用性聲明注1：當(dāng)本標(biāo)準(zhǔn)中出現(xiàn)“文件的程序”，這意味著建立、文件化、實施和維護(hù)該程序。3)建立組織戰(zhàn)略和風(fēng)險的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。[BS ISO/IEC 17799:2000]保證信息只被授權(quán)的訪問。一個需求的例子可能是信息安全事故不要對組織引起財務(wù)損失和/或引高層主管的尷尬。采用ISMS應(yīng)是一個組織的戰(zhàn)略決定。被模型就是眾所周知的“PlanDoCheckAct”（PECA）模型，本模型可以用于所有的過程。[BS ISO/IEC 17799:2000]接受一個風(fēng)險的決定。確定接受風(fēng)險的標(biāo)準(zhǔn)和識別可接受分享的水平。應(yīng)建立文件化的程序確定管理所需文件：a)文件發(fā)布得到批準(zhǔn)，以確保文件的充分性b)必要時對文件進(jìn)行審批與更新，并再次批準(zhǔn)c)確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別d)確保在使用處可獲得適用文件的有關(guān)版本e)確保文件保持清晰、易于識別f)確保外來文件得到識別，并控制起分發(fā)g)確保文件的發(fā)放在控制狀態(tài)下h)防止作廢文件的非預(yù)期使用i)若因任何原因而保留作廢文件時，對這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識應(yīng)建立并保持紀(jì)錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。6．3評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決定和措施：a) 信息安全管理體系有效性的改進(jìn)；b）修改影響信息安全的程序，必要時，以回應(yīng)內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更： 1）業(yè)務(wù)要求； 2）安全要求； 3）業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求； 4）法規(guī)或法律環(huán)境； 5）風(fēng)險的等級和／或可接受風(fēng)險的水平；c）資源需求。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約成本。實施階段用來實施在計劃階段確定的決定和解決方案。B．2．4風(fēng)險識別和評估風(fēng)險評估文件應(yīng)結(jié)實選擇了哪一種風(fēng)險方法，為什么此方法適合安全要求，業(yè)務(wù)環(huán)境，業(yè)務(wù)的大小和組織面臨的風(fēng)險等。特別的安全培訓(xùn)應(yīng)適用于是否支持意識項目，使所有相關(guān)方在需要時完成他們的任務(wù)。在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織的安全方針和目標(biāo)的有效性的測量的有價值的數(shù)據(jù)資源。組織應(yīng)經(jīng)常參考這些并對他們的軟件進(jìn)行適當(dāng)?shù)母隆?中解釋的。，模型OECD原則對應(yīng)的SIMS過程和PDCA階段意識參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來加強(qiáng)安全這個活動是實施過程的一部分（）責(zé)任所有參與者負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全這個活動是實施過程的一部分（）回應(yīng)參與者應(yīng)及時并采取協(xié)作的方式以預(yù)防、偵測和回應(yīng)安全事件這是監(jiān)控活動的一部分，檢查階段（）和一個回應(yīng)活動，糾正階段（）。B．5．3糾正和預(yù)防措施應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項的原因或其他不合需要的情況以防止再次放聲。在確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。他們可能包括：調(diào)整銀行帳戶、資產(chǎn)清點及解決客戶抱怨。在不可接受風(fēng)險被降低或轉(zhuǎn)移之后，還會有殘余風(fēng)險。BS ISO/IEC 17799:2000提供相關(guān)實施這些控制措施的附加信息，當(dāng)時別的風(fēng)險超過這些控制措施可以控制的水平時，可能需要設(shè)計附加的控