【導(dǎo)讀】采用ISMS應(yīng)是一個(gè)組織的戰(zhàn)略決定。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受。們的支持過程預(yù)計(jì)會隨事件而變化。希望簡單的情況是用簡單的ISMS解決方案。一個(gè)組織必須識別和管理許多活動(dòng)使其有效地運(yùn)行。一個(gè)活動(dòng)使用資源和在管理狀態(tài)下使其。能夠把輸入轉(zhuǎn)換為輸出，這個(gè)過程可以被認(rèn)為是一個(gè)過程。以叫做過程的方法。b)在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施也運(yùn)作控制措施；c)監(jiān)控和評審ISMS的有效性和績效；d)在客觀評價(jià)的基礎(chǔ)上持續(xù)改進(jìn)。本標(biāo)準(zhǔn)采用的，適用于ISMS的模型，如圖一所示。一個(gè)需求的例子可能是信息安全事故不要對組織引起財(cái)務(wù)損失和。一個(gè)期望的例子可能是如果嚴(yán)重的事故發(fā)生也許足智多謀餓電子商。這顯示了本標(biāo)準(zhǔn)在第。四至第七部分的聯(lián)系。安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。并需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)被負(fù)責(zé)人員正當(dāng)?shù)亟邮?。保證被授權(quán)的使用者需要時(shí)能夠訪問信息及相關(guān)資產(chǎn)。在風(fēng)險(xiǎn)評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。4)建立風(fēng)險(xiǎn)評價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評估定義的結(jié)構(gòu)。

　　

【正文】 充足，應(yīng)決定采取必要的糾正措施。此類活動(dòng)的實(shí)行在應(yīng) IDCA循環(huán)的行動(dòng)階段。意識到糾正多時(shí)的石油在必要時(shí)采用非常重要： a)維護(hù)信息安全管理體系文件內(nèi)部的一致性，并 b)如果不做改變其效果會使組織暴露與不可接受的風(fēng)險(xiǎn)之中 檢查活動(dòng)也應(yīng)包括一份為管理和運(yùn)行信息安全管理體系的控制措施的程序的描述及不斷評審風(fēng)險(xiǎn)及在不斷變化的技術(shù)、威脅 或功能下治理風(fēng)險(xiǎn)的過程。 在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。 在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織的安全方針和目標(biāo)的有效性的測量的有價(jià)值的數(shù)據(jù)資源。這些信息應(yīng)同時(shí)用于一種識別無效的過程和程序的資源。 檢查活動(dòng)的性質(zhì)依賴于 PDCA循環(huán)有關(guān)的特性，以下是一些例子。 例一 入侵檢測技術(shù)的自動(dòng)響應(yīng)。一個(gè)網(wǎng)絡(luò)入侵監(jiān)測員會監(jiān)測其他部件的安全是否被滲透。 例二 安全師 傅響應(yīng)行動(dòng)。在安全破壞事件中采取行動(dòng)的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。 在 B． 這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行并設(shè)計(jì)用來偵測處理結(jié)果的錯(cuò)誤。他們可能包括：調(diào)整銀行帳戶、資產(chǎn)清點(diǎn)及解決客戶抱怨。很明確，此類的檢查需要設(shè)計(jì)在體系里以進(jìn)行足夠的次數(shù)來限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任） 在目前的體系中，此類的減產(chǎn)可能擴(kuò)展到： a)減產(chǎn)沒有無意的和未授權(quán)的對管理軟件活動(dòng)參數(shù)的改變 b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分 間傳輸?shù)臏?zhǔn)確性和完整性 B． 4． 3自治程序 自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。例如，一個(gè)監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯(cuò)誤）的設(shè)備并鳴響警鈴。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。但如果在一段時(shí)間內(nèi)如果問題不能被糾正，另外的警鈴會對更高層的管理這鳴響，因此自動(dòng)升級問題。 B． 4． 4從其它出學(xué)習(xí) 一種識別組織的程序不夠最好的方法是識別其他組織處理問題是否更有效。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動(dòng)。有很多來源識別在技術(shù)和軟件中脆弱性。組織應(yīng)經(jīng)常參考這些并 對他們的軟件進(jìn)行適當(dāng)?shù)母隆? 管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議、執(zhí)業(yè)會議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。此類交流使不止能夠?qū)W習(xí)怎樣處理類似的問題。 B． 4． 5內(nèi)部信息安全管理體系審核 總的目標(biāo)是通過一個(gè)特定常規(guī)審核時(shí)間段檢查（時(shí)間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。應(yīng)計(jì)劃足夠的審核數(shù)量使審核任務(wù)均勻散步在整個(gè)選擇周期。管理層應(yīng)保證有證據(jù)確認(rèn)： a)信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求 b)使用了一個(gè)合適的風(fēng)險(xiǎn)評估方法 c)遵循了文件化的管 理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo) d)實(shí)施了技術(shù)控制措施（如：防火墻、物理訪問控制）等，并正確地配置和象期望的一樣工作 e)正確地評估了殘余風(fēng)險(xiǎn)而且組織的管理層仍能接受殘余風(fēng)險(xiǎn) f)實(shí)施了前一次審核和評審達(dá)成一致意見的措施 g)信息安全管理體系與本標(biāo)準(zhǔn)一致。 審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。 B． 4． 6管理評審 總的目標(biāo)是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識別需要的改進(jìn)和要采取的行動(dòng)。 在確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變 化和業(yè)務(wù)需求的變化及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。 B． 4． 7趨勢分析 經(jīng)常進(jìn)行趨勢分析將幫助組織識別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。 B． 5改進(jìn)階段 B． 5． 1介紹 為使信息安全管理體系保持有效，應(yīng)以在檢查階段采集的信息為基礎(chǔ)經(jīng)常改進(jìn)。 改進(jìn)工作活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。行動(dòng)將就不符合項(xiàng)或采取其他的就正措施如在 B。 5。 2 和 B。 5。 3 中解釋的。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。一個(gè)前面的例子是當(dāng)一個(gè)新的威脅被識別，策 劃活動(dòng)應(yīng)更新風(fēng)險(xiǎn)評估。一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng)，檢查活動(dòng)識別出需要這樣做。注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動(dòng)，關(guān)鍵是所有的相關(guān)方被告知所作的改變，并提供響應(yīng)的附加的培訓(xùn)。 B． 5． 2不符合項(xiàng) 一個(gè)不符合項(xiàng)是：（從 ISO/IEC指南 62 條款應(yīng)用指南） a)缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求，或 b)一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。 非常重要的，在檢查階段的評審強(qiáng)調(diào)不符合 項(xiàng)的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識別師傅的原因，識別采取不僅解決問題而且減少和防止起在發(fā)生。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度和對于信息安全管理體系符合特定要求的風(fēng)險(xiǎn)一致。 B． 5． 3糾正和預(yù)防措施 應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項(xiàng)的原因或其他不合需要的情況以防止再次放聲。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。永遠(yuǎn)不可能全部消除孤立的不符合項(xiàng)。另一方面，可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆，如果不加以處理可能回對整個(gè)組織發(fā)生影響。當(dāng)識別和識別 和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件，除了識別立即的糾正措施外，考慮中、長期觀點(diǎn)非常重要，確保補(bǔ)救工作不僅考慮在考慮之下的問題而且預(yù)防和減少類似事件在發(fā)生的可能性。 B． 5． 4OECD原則和 BS 77992:20201219 在 OECD 指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。本英國標(biāo)準(zhǔn)為實(shí)施一些 OECD 原則提供一個(gè)使用 PDCA模型的信息安全管理體系框架，在條款 4,5,6和 7中描述的過程，在表 B。 1中顯示。 表 PDCA， 模型 OECD原則 對應(yīng)的 SIMS過程和 PDCA階段 意識 參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來加強(qiáng)安全 這個(gè)活動(dòng)是實(shí)施過程的一部分（見 和） 責(zé)任 所有參與者負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全 這個(gè)活動(dòng)是實(shí)施過程的一部分（見 和） 回應(yīng) 參與者應(yīng)及時(shí)并采取協(xié)作的方式以預(yù)防、偵測和回應(yīng)安全事件 這是監(jiān)控活動(dòng)的一部分，檢查階段（見 和 ）和一個(gè)回應(yīng)活動(dòng)，糾正階段（見 和 至 ）。這還可以被一些策劃和檢查階段方面覆蓋 風(fēng)險(xiǎn)評估 參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評估 這項(xiàng)活動(dòng)是策劃階段的一部分（見 ）并且風(fēng)險(xiǎn)在評估是檢查階段的一部分（見 和 ） 安全設(shè)計(jì)和實(shí)施 參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素 一旦完成風(fēng)險(xiǎn)評估，選擇控制措施治理風(fēng)險(xiǎn)是策劃階段的一部分（見 ）。實(shí)施階段（ ）覆蓋這些控制措施的實(shí)施和運(yùn)行 安全管理 參與者應(yīng)采取一套完整的方法進(jìn)行安全管理 風(fēng)險(xiǎn)管理實(shí)施一個(gè)包括預(yù)防、偵測和回應(yīng)師傅，不斷維護(hù)、評審和審核的過程。所有這些方面包含在策劃、實(shí)施、檢查和改進(jìn)階段 重新評估 參與 者應(yīng)評審和重評估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進(jìn)行適當(dāng)?shù)男薷陌踩结?、?shí)踐、測量和程序 信息安全的重新評估是檢查階段的一部分（見 ）應(yīng)進(jìn)行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分（見 ） 附錄 C（情報(bào)性的） BS EN ISO 9001:2020， BS EN ISO 14001:1996 與 BS 77992:2020對照 表 BS EN ISO 9001:2020， BS EN ISO 14001:1996與 BS 77992:2020對照 BS 77992:2020 BS EN ISO 9001:2020 BS EN ISO 14001:1996 0介紹 0． 1總則 0． 2過程方法 0． 3 與其他管理體系的兼容性 0介紹 0． 1總則 0． 2過程方法 0． 3與 ISO 9004的關(guān)系 0． 4 與其他管理體系的兼容性 介紹 1． 范圍 1． 1總則 1． 2應(yīng)用 1．范圍 1． 1總則 1． 2應(yīng)用 1．范圍 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 3名詞和定義 3名詞和定義 3名詞和定義 4． ISMS要求 4． 1總要求 4． 2建立和管理 ISMS 4． 2． 1建立 ISMS 4． 2． 2實(shí)施和運(yùn)行 ISMS 4． 2． 3監(jiān)控和評審 ISMS 4． 2． 4維護(hù)和改進(jìn) ISMS 4． 3文件要求 4． 3． 1總則 4． 3． 2文件控制 4． 3． 3記錄控制 4． QMS要求 4． 1一般要求 4． 2文件要求 4． 2． 1總則 4． 2． 2質(zhì)量手冊 4． 2． 3文件控制 4． 2． 4記錄控制 4． EMS要求 4． 1總要求 4． 4實(shí)施和運(yùn)行 4． 5． 1監(jiān)控和測量 4． 5． 2不符合與糾正預(yù)防措施 4． 4． 5文件控制 4． 5． 3記錄 5．管理責(zé)任 5． 1管理承諾 5． 2資源管理 5． 2資源提供 5． 2． 2培訓(xùn)意識和能力 5．管理責(zé)任 5． 1管理承諾 5． 2以客戶為關(guān)注焦點(diǎn) 5． 3質(zhì)量方針 5． 4策劃 5． 5責(zé)任、授權(quán)和溝通 6．資源管理 6． 1資源提供 6． 2人力資源 6． 2． 2能力、意識和培訓(xùn) 6． 3基礎(chǔ)設(shè)施 6． 4工作環(huán)境 4． 2環(huán)境方針 4． 3策劃 4． 2． 2培訓(xùn)意識和能力 6． ISMS管理評審 6． 1總則 6． 2評審輸入 6． 3評審輸出 6． 4ISMS內(nèi)部審核 5． 6管理評審 5． 6． 1總則 5． 6． 2評審輸入 5． 6． 3評審輸出 8． 2． 2內(nèi)部審核 4． 6管理評審 4． 5． 4EMS審核 表 BS EN ISO 9001:2020， BS EN ISO 14001:1996與 BS 77992:2020對照 BS 77992:2020 BS EN ISO 9001:2020 BS EN ISO 14001:1996 7． ISMS改進(jìn) 7． 1持續(xù)改進(jìn) 7． 2糾正措施 7． 3預(yù)防措施 8．改進(jìn) 8． 5． 1持續(xù)改進(jìn) 8． 5． 2糾正措施 8． 5． 3預(yù)防措施 4． 5． 2不符合與糾正預(yù)防措施 附錄 A控制目標(biāo)和控制措施 附錄 B標(biāo)準(zhǔn)使用指南 附錄 C 不同管 理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對應(yīng)關(guān)系 附錄 A ISO 14001 與 ISO 9001間的聯(lián)系 附錄 A規(guī)范使用指南 附錄 B ISO 14001 和 ISO 9001間的聯(lián)系