【正文】 供海量管理資料免費(fèi)下載！ 更多免費(fèi)下載，盡在管理資源吧（ ） B． 4． 1介紹 檢查活動(dòng)是設(shè)計(jì)用來(lái)保證控制措施有效運(yùn)行，與預(yù)期一樣，信息安全管理體系持續(xù)有效。另外，任何對(duì)于風(fēng)險(xiǎn)評(píng)估的范圍設(shè)計(jì)的變化應(yīng)被考慮。如果發(fā)現(xiàn)控制措施不夠充足，應(yīng)決定采取必要的糾正措施。此類活動(dòng)的實(shí)行在應(yīng) IDCA循環(huán)的行動(dòng)階段。意識(shí)到糾正多時(shí)的石油在必要時(shí)采用非常重要： a)維護(hù)信息安全管理體系文件內(nèi)部的一致性，并 b)如果不做改變其效果會(huì)使組織暴露與不可接受的風(fēng)險(xiǎn)之中 檢查活動(dòng)也應(yīng)包括一份為管理和運(yùn)行信息安全管理體系的控制措施的程序的描述及不斷評(píng)審風(fēng)險(xiǎn)及在不斷變化的技術(shù)、威脅 或功能下治理風(fēng)險(xiǎn)的過(guò)程。 在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測(cè)信息安全管理體系將來(lái)的變化并確保其在將來(lái)持續(xù)有效。 在檢查階段采集的信息提供可以用來(lái)決定和測(cè)量信息安全管理體系在符合文件化的組織的安全方針和目標(biāo)的有效性的測(cè)量的有價(jià)值的數(shù)據(jù)資源。這些信息應(yīng)同時(shí)用于一種識(shí)別無(wú)效的過(guò)程和程序的資源。 檢查活動(dòng)的性質(zhì)依賴于 PDCA循環(huán)有關(guān)的特性，以下是一些例子。 例一 入侵檢測(cè)技術(shù)的自動(dòng)響應(yīng)。一個(gè)網(wǎng)絡(luò)入侵監(jiān)測(cè)員會(huì)監(jiān)測(cè)其他部件的安全是否被滲透。 例二 安全師 傅響應(yīng)行動(dòng)。在安全破壞事件中采取行動(dòng)的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。 在 B． 這些程序應(yīng)作為正式的業(yè)務(wù)過(guò)程經(jīng)常進(jìn)行并設(shè)計(jì)用來(lái)偵測(cè)處理結(jié)果的錯(cuò)誤。他們可能包括：調(diào)整銀行帳戶、資產(chǎn)清點(diǎn)及解決客戶抱怨。很明確，此類的檢查需要設(shè)計(jì)在體系里以進(jìn)行足夠的次數(shù)來(lái)限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任） 在目前的體系中，此類的減產(chǎn)可能擴(kuò)展到： a)減產(chǎn)沒(méi)有無(wú)意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變 b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分 間傳輸?shù)臏?zhǔn)確性和完整性 B． 4． 3自治程序 自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。例如，一個(gè)監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯(cuò)誤）的設(shè)備并鳴響警鈴。警鈴能夠提醒負(fù)責(zé)的員工問(wèn)題的所在，使他們完成查清師傅原因并修復(fù)它。但如果在一段時(shí)間內(nèi)如果問(wèn)題不能被糾正，另外的警鈴會(huì)對(duì)更高層的管理這鳴響，因此自動(dòng)升級(jí)問(wèn)題。 B． 4． 4從其它出學(xué)習(xí) 一種識(shí)別組織的程序不夠最好的方法是識(shí)別其他組織處理問(wèn)題是否更有效。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動(dòng)。有很多來(lái)源識(shí)別在技術(shù)和軟件中脆弱性。組織應(yīng)經(jīng)常參考這些并 對(duì)他們的軟件進(jìn)行適當(dāng)?shù)母隆? 管理技巧的信息會(huì)經(jīng)常在很多管理論壇上交流和討論，包括會(huì)議、執(zhí)業(yè)會(huì)議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。此類交流使不止能夠?qū)W習(xí)怎樣處理類似的問(wèn)題。 B． 4． 5內(nèi)部信息安全管理體系審核 管理資源吧（ ），提供海量管理資料免費(fèi)下載！ 更多免費(fèi)下載，盡在管理資源吧（ ） 總的目標(biāo)是通過(guò)一個(gè)特定常規(guī)審核時(shí)間段檢查（時(shí)間不應(yīng)該超過(guò)一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。應(yīng)計(jì)劃足夠的審核數(shù)量使審核任務(wù)均勻散步在整個(gè)選擇周期。管理層應(yīng)保證有證據(jù)確認(rèn)： a)信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求 b)使用了一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法 c)遵循了文件化的管 理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo) d)實(shí)施了技術(shù)控制措施（如：防火墻、物理訪問(wèn)控制）等，并正確地配置和象期望的一樣工作 e)正確地評(píng)估了殘余風(fēng)險(xiǎn)而且組織的管理層仍能接受殘余風(fēng)險(xiǎn) f)實(shí)施了前一次審核和評(píng)審達(dá)成一致意見(jiàn)的措施 g)信息安全管理體系與本標(biāo)準(zhǔn)一致。 審核需要目前文件和記錄的樣本及管理層和員工參與會(huì)見(jiàn)談話。 B． 4． 6管理評(píng)審 總的目標(biāo)是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。 在確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變 化和業(yè)務(wù)需求的變化及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測(cè)信息安全管理體系將來(lái)的變化并確保其在將來(lái)持續(xù)有效。 B． 4． 7趨勢(shì)分析 經(jīng)常進(jìn)行趨勢(shì)分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。 B． 5改進(jìn)階段 B． 5． 1介紹 為使信息安全管理體系保持有效，應(yīng)以在檢查階段采集的信息為基礎(chǔ)經(jīng)常改進(jìn)。 改進(jìn)工作活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。行動(dòng)將就不符合項(xiàng)或采取其他的就正措施如在 B。 5。 2 和 B。 5。 3 中解釋的。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。一個(gè)前面的例子是當(dāng)一個(gè)新的威脅被識(shí)別，策 劃活動(dòng)應(yīng)更新風(fēng)險(xiǎn)評(píng)估。一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng)，檢查活動(dòng)識(shí)別出需要這樣做。注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動(dòng)，關(guān)鍵是所有的相關(guān)方被告知所作的改變，并提供響應(yīng)的附加的培訓(xùn)。 B． 5． 2不符合項(xiàng) 一個(gè)不符合項(xiàng)是：（從 ISO/IEC指南 62條款應(yīng)用指南） a)缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求，或 b)一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。 非常重要的，在檢查階段的評(píng)審強(qiáng)調(diào)不符合 項(xiàng)的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識(shí)別師傅的原因，識(shí)別采取不僅解決問(wèn)題而且減少和防止起在發(fā)生。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度和對(duì)于信息安全管理體系符合特定要求的風(fēng)險(xiǎn)一致。 B． 5． 3糾正和預(yù)防措施 管理資源吧（ ），提供海量管理資料免費(fèi)下載！ 更多免費(fèi)下載，盡在管理資源吧（ ） 應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項(xiàng)的原因或其他不合需要的情況以防止再次放聲。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。永遠(yuǎn)不可能全部消除孤立的不符合項(xiàng)。另一方面，可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆，如果不加以處理可能回對(duì)整個(gè)組織發(fā)生影響。當(dāng)識(shí)別和識(shí)別 和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件，除了識(shí)別立即的糾正措施外，考慮中、長(zhǎng)期觀點(diǎn)非常重要，確保補(bǔ)救工作不僅考慮在考慮之下的問(wèn)題而且預(yù)防和減少類似事件在發(fā)生的可能性。 B． 5． 4OECD原則和 BS 77992:20221219 在 OECD 指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。本英國(guó)標(biāo)準(zhǔn)為實(shí)施一些 OECD 原則提供一個(gè)使用 PDCA 模型的信息安全管理體系框架，在條款 4,5,6和 7中描述的過(guò)程，在表 B。 1中顯示。 表 PDCA， 模型 OECD原則 對(duì)應(yīng)的 SIMS過(guò)程和 PDCA階段 意識(shí) 參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來(lái)加強(qiáng)安全 這個(gè)活動(dòng)是實(shí)施過(guò)程的一部分（見(jiàn) 和） 責(zé)任 所有參與者負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全 這個(gè)活動(dòng)是實(shí)施過(guò)程的一部分（見(jiàn) 和） 回應(yīng) 參與者應(yīng)及時(shí)并采取協(xié)作的方式以預(yù)防、偵測(cè)和回應(yīng)安全事件 這是監(jiān)控活動(dòng)的一部分，檢查階段（見(jiàn) 和 ）和一個(gè)回應(yīng)活動(dòng)，糾正階段（見(jiàn) 和 至 ）。這還可以被一些策劃和檢查階段方面覆蓋 風(fēng)險(xiǎn)評(píng)估 參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估 這項(xiàng)活動(dòng)是策劃階段的一部分（見(jiàn) ）并且風(fēng)險(xiǎn)在評(píng)估是檢查階段的一部分（見(jiàn) 和 ） 安全設(shè)計(jì)和實(shí)施 參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素 一旦完成風(fēng)險(xiǎn)評(píng)估，選擇控制措施治理風(fēng)險(xiǎn)是策劃階段的一部分（見(jiàn) ）。實(shí)施階段（ ）覆蓋這些控制措施的實(shí)施和運(yùn)行 安全管理 參與者應(yīng)采取一套完整的方法進(jìn)行安全管理 風(fēng)險(xiǎn)管理實(shí)施一個(gè)包括預(yù)防、偵測(cè)和回應(yīng)師傅，不斷維護(hù)、評(píng)審和審核的過(guò)程。所有這些方面包含在策劃、實(shí)施、檢查和改進(jìn)階段 重新評(píng)估 參與 者應(yīng)評(píng)審和重評(píng)估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進(jìn)行適當(dāng)?shù)男薷陌踩结槨?shí)踐、測(cè)量和程序 信息安全的重新評(píng)估是檢查階段的一部分（見(jiàn) ）應(yīng)進(jìn)行經(jīng)常性的評(píng)估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分（見(jiàn) ） 管理資源吧（ ），提供海量管理資料免費(fèi)下載！ 更多免費(fèi)下載，盡在管理資源吧（ ） 附錄 C（情報(bào)性的） BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對(duì)照 表 BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對(duì)照 BS 77992:2022 BS EN ISO 9001:2022 BS EN ISO 14001:1996 0介紹 0． 1總則 0． 2過(guò)程方法 0． 3 與其他管理體系的兼容性 0介紹 0． 1總則 0． 2過(guò)程方法 0． 3與 ISO 9004的關(guān)系 0． 4 與其他管理體系的兼容性 介紹 1． 范圍 1． 1總則 1． 2應(yīng)用 1．范圍 1． 1總則 1． 2應(yīng)用 1．范圍 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 3名詞和定義 3名詞和定義 3名詞和定義 4． ISMS要求 4． 1總要求 4． 2建立和管理 ISMS 4． 2． 1建立 ISMS 4． 2． 2實(shí)施和運(yùn)行 ISMS 4． 2． 3監(jiān)控和評(píng)審 ISMS 4． 2． 4維護(hù)和改進(jìn) ISMS 4． 3文件要求 4． 3． 1總則 4． 3． 2文件控制 4． QMS要求 4． 1一般要求 4． 2文件要求 4． 2． 1總則 4． 2． 2質(zhì)量手冊(cè) 4． 2． 3文件控制 4． 2． 4記錄控制 4． EMS要求 4． 1總要求 4． 4實(shí)施和運(yùn)行 4． 5． 1監(jiān)控和測(cè)量 4． 5． 2不符合與糾正預(yù)防措施 4． 4． 5文件控制 4． 5． 3記錄 管理資源吧（ ），提供海量管理資料免費(fèi)下載！ 更多免費(fèi)下載，盡在管理資源吧（ ） 4． 3． 3記錄控制 5．管理責(zé)任 5． 1管理承諾 5． 2資源管理 5． 2資源提供 5． 2． 2培訓(xùn)意識(shí)和能力 5．管理責(zé)任 5． 1管理承諾 5． 2以客戶為關(guān)注焦點(diǎn) 5． 3質(zhì)量方針 5． 4策劃 5． 5責(zé)任、授權(quán)和溝通 6．資源管理 6． 1資源提供 6． 2人力資源 6． 2． 2能力、意識(shí)和培訓(xùn) 6． 3基礎(chǔ)設(shè)施 6． 4工作環(huán)境 4． 2環(huán)境方針 4． 3策劃 4． 2． 2培訓(xùn)意識(shí)和能力 6． ISMS管理評(píng)審 6． 1總則 6． 2評(píng)審輸入 6． 3評(píng)審輸出 6． 4ISMS內(nèi)部審核 5． 6管理評(píng)審 5． 6． 1總則 5． 6． 2評(píng)審輸入 5． 6． 3評(píng)審輸出 8． 2． 2內(nèi)部審核 4． 6管理評(píng)審 4． 5． 4EMS審核 表 BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對(duì)照 BS 77992:2022 BS EN ISO 9001:2022 BS EN ISO 14001:1996 7． ISMS改進(jìn) 7． 1持續(xù)改進(jìn) 7． 2糾正措施 7． 3預(yù)防措施 8．改進(jìn) 8． 5． 1持續(xù)改進(jìn) 8． 5． 2糾正措施 8． 5． 3預(yù)防措施 4． 5． 2不符合與糾正預(yù)防措施 附錄 A控制目標(biāo)和控制措施 附錄 B標(biāo)準(zhǔn)使用指南 附錄 C 不同管 理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對(duì)應(yīng)關(guān)系 附錄 A ISO 14001 與 ISO 9001間的聯(lián)系 附錄 A規(guī)范使用指南 附錄 B ISO 14001 和 ISO 9001間的聯(lián)系