【正文】 供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） B． 4． 1介紹 檢查活動是設計用來保證控制措施有效運行，與預期一樣，信息安全管理體系持續(xù)有效。另外，任何對于風險評估的范圍設計的變化應被考慮。如果發(fā)現(xiàn)控制措施不夠充足，應決定采取必要的糾正措施。此類活動的實行在應 IDCA循環(huán)的行動階段。意識到糾正多時的石油在必要時采用非常重要： a)維護信息安全管理體系文件內(nèi)部的一致性，并 b)如果不做改變其效果會使組織暴露與不可接受的風險之中 檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術、威脅 或功能下治理風險的過程。 在可能確定目前的安全狀態(tài)是令人滿意的同時，應注意技術的變化和業(yè)務的需求及新威脅和脆弱點的發(fā)作，以預測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。 在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織的安全方針和目標的有效性的測量的有價值的數(shù)據(jù)資源。這些信息應同時用于一種識別無效的過程和程序的資源。 檢查活動的性質依賴于 PDCA循環(huán)有關的特性，以下是一些例子。 例一 入侵檢測技術的自動響應。一個網(wǎng)絡入侵監(jiān)測員會監(jiān)測其他部件的安全是否被滲透。 例二 安全師 傅響應行動。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。 在 B． 這些程序應作為正式的業(yè)務過程經(jīng)常進行并設計用來偵測處理結果的錯誤。他們可能包括：調(diào)整銀行帳戶、資產(chǎn)清點及解決客戶抱怨。很明確，此類的檢查需要設計在體系里以進行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責任） 在目前的體系中，此類的減產(chǎn)可能擴展到： a)減產(chǎn)沒有無意的和未授權的對管理軟件活動參數(shù)的改變 b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡部分 間傳輸?shù)臏蚀_性和完整性 B． 4． 3自治程序 自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。例如，一個監(jiān)控網(wǎng)絡（如：設備故障或錯誤）的設備并鳴響警鈴。警鈴能夠提醒負責的員工問題的所在，使他們完成查清師傅原因并修復它。但如果在一段時間內(nèi)如果問題不能被糾正，另外的警鈴會對更高層的管理這鳴響，因此自動升級問題。 B． 4． 4從其它出學習 一種識別組織的程序不夠最好的方法是識別其他組織處理問題是否更有效。這種學習適用于技術軟件和管理活動。有很多來源識別在技術和軟件中脆弱性。組織應經(jīng)常參考這些并 對他們的軟件進行適當?shù)母隆? 管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議、執(zhí)業(yè)會議和使用這小組，并有很多文件發(fā)布在技術和管理雜志上。此類交流使不止能夠學習怎樣處理類似的問題。 B． 4． 5內(nèi)部信息安全管理體系審核 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 總的目標是通過一個特定常規(guī)審核時間段檢查（時間不應該超過一年）信息安全管理體系所有的方面是否達到預想的效果。應計劃足夠的審核數(shù)量使審核任務均勻散步在整個選擇周期。管理層應保證有證據(jù)確認： a)信息安全方針仍能夠準確地反映業(yè)務需求 b)使用了一個合適的風險評估方法 c)遵循了文件化的管 理程序（即：在信息安全管理體系的范圍內(nèi)），并達到了他們向往的目標 d)實施了技術控制措施（如：防火墻、物理訪問控制）等，并正確地配置和象期望的一樣工作 e)正確地評估了殘余風險而且組織的管理層仍能接受殘余風險 f)實施了前一次審核和評審達成一致意見的措施 g)信息安全管理體系與本標準一致。 審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。 B． 4． 6管理評審 總的目標是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。 在確定目前的安全狀態(tài)是令人滿意的同時，應注意技術的變 化和業(yè)務需求的變化及新威脅和脆弱點的發(fā)作，以預測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。 B． 4． 7趨勢分析 經(jīng)常進行趨勢分析將幫助組織識別需要改進的領域，并應建立一個持續(xù)改進循環(huán)的基本部分。 B． 5改進階段 B． 5． 1介紹 為使信息安全管理體系保持有效，應以在檢查階段采集的信息為基礎經(jīng)常改進。 改進工作活動的目的是采取作為檢查活動的結果的措施。行動將就不符合項或采取其他的就正措施如在 B。 5。 2 和 B。 5。 3 中解釋的。措施可能進一步立刻進入策劃和實施活動。一個前面的例子是當一個新的威脅被識別，策 劃活動應更新風險評估。一個后面的例子是把現(xiàn)存的業(yè)務連續(xù)性計劃付諸行動，檢查活動識別出需要這樣做。注意作為改進的結果改變信息安全管理體系或下一步策劃行動，關鍵是所有的相關方被告知所作的改變，并提供響應的附加的培訓。 B． 5． 2不符合項 一個不符合項是：（從 ISO/IEC指南 62條款應用指南） a)缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求，或 b)一種情況是，在有客觀證據(jù)的基礎上，引起對信息安全管理體系完成信息安全方針和組織安全目標的能力的重大的懷疑。 非常重要的，在檢查階段的評審強調(diào)不符合 項的區(qū)域，應采取進一步的調(diào)查以識別師傅的原因，識別采取不僅解決問題而且減少和防止起在發(fā)生。糾正措施應與不符合項的嚴重程度和對于信息安全管理體系符合特定要求的風險一致。 B． 5． 3糾正和預防措施 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 應采取糾正（或反應式的）措施以消除不符合項的原因或其他不合需要的情況以防止再次放聲。應采取預防（或預先）措施消除潛在不符合項的發(fā)生的原因或其他不合需要的潛在情況。永遠不可能全部消除孤立的不符合項。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實上是一個弱點的征兆，如果不加以處理可能回對整個組織發(fā)生影響。當識別和識別 和實施任何糾正措施應從這種觀點考慮孤立事件，除了識別立即的糾正措施外，考慮中、長期觀點非常重要，確保補救工作不僅考慮在考慮之下的問題而且預防和減少類似事件在發(fā)生的可能性。 B． 5． 4OECD原則和 BS 77992:20221219 在 OECD 指南中給出的信息系統(tǒng)和網(wǎng)絡安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡安全運行層面。本英國標準為實施一些 OECD 原則提供一個使用 PDCA 模型的信息安全管理體系框架，在條款 4,5,6和 7中描述的過程，在表 B。 1中顯示。 表 PDCA， 模型 OECD原則 對應的 SIMS過程和 PDCA階段 意識 參與者應知道信息系統(tǒng)和網(wǎng)絡安全的需要和他們能夠做什么來加強安全 這個活動是實施過程的一部分（見 和） 責任 所有參與者負責信息系統(tǒng)和網(wǎng)絡的安全 這個活動是實施過程的一部分（見 和） 回應 參與者應及時并采取協(xié)作的方式以預防、偵測和回應安全事件 這是監(jiān)控活動的一部分，檢查階段（見 和 ）和一個回應活動，糾正階段（見 和 至 ）。這還可以被一些策劃和檢查階段方面覆蓋 風險評估 參與者應執(zhí)行風險評估 這項活動是策劃階段的一部分（見 ）并且風險在評估是檢查階段的一部分（見 和 ） 安全設計和實施 參與者應把安全作為信息系統(tǒng)和網(wǎng)絡基本的元素 一旦完成風險評估，選擇控制措施治理風險是策劃階段的一部分（見 ）。實施階段（ ）覆蓋這些控制措施的實施和運行 安全管理 參與者應采取一套完整的方法進行安全管理 風險管理實施一個包括預防、偵測和回應師傅，不斷維護、評審和審核的過程。所有這些方面包含在策劃、實施、檢查和改進階段 重新評估 參與 者應評審和重評估信息系統(tǒng)和網(wǎng)絡的安全，并進行適當?shù)男薷陌踩结?、實踐、測量和程序 信息安全的重新評估是檢查階段的一部分（見 ）應進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（見 ） 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 附錄 C（情報性的） BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對照 表 BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對照 BS 77992:2022 BS EN ISO 9001:2022 BS EN ISO 14001:1996 0介紹 0． 1總則 0． 2過程方法 0． 3 與其他管理體系的兼容性 0介紹 0． 1總則 0． 2過程方法 0． 3與 ISO 9004的關系 0． 4 與其他管理體系的兼容性 介紹 1． 范圍 1． 1總則 1． 2應用 1．范圍 1． 1總則 1． 2應用 1．范圍 2標準參考 2標準參考 2標準參考 3名詞和定義 3名詞和定義 3名詞和定義 4． ISMS要求 4． 1總要求 4． 2建立和管理 ISMS 4． 2． 1建立 ISMS 4． 2． 2實施和運行 ISMS 4． 2． 3監(jiān)控和評審 ISMS 4． 2． 4維護和改進 ISMS 4． 3文件要求 4． 3． 1總則 4． 3． 2文件控制 4． QMS要求 4． 1一般要求 4． 2文件要求 4． 2． 1總則 4． 2． 2質量手冊 4． 2． 3文件控制 4． 2． 4記錄控制 4． EMS要求 4． 1總要求 4． 4實施和運行 4． 5． 1監(jiān)控和測量 4． 5． 2不符合與糾正預防措施 4． 4． 5文件控制 4． 5． 3記錄 管理資源吧（ ），提供海量管理資料免費下載！ 更多免費下載，盡在管理資源吧（ ） 4． 3． 3記錄控制 5．管理責任 5． 1管理承諾 5． 2資源管理 5． 2資源提供 5． 2． 2培訓意識和能力 5．管理責任 5． 1管理承諾 5． 2以客戶為關注焦點 5． 3質量方針 5． 4策劃 5． 5責任、授權和溝通 6．資源管理 6． 1資源提供 6． 2人力資源 6． 2． 2能力、意識和培訓 6． 3基礎設施 6． 4工作環(huán)境 4． 2環(huán)境方針 4． 3策劃 4． 2． 2培訓意識和能力 6． ISMS管理評審 6． 1總則 6． 2評審輸入 6． 3評審輸出 6． 4ISMS內(nèi)部審核 5． 6管理評審 5． 6． 1總則 5． 6． 2評審輸入 5． 6． 3評審輸出 8． 2． 2內(nèi)部審核 4． 6管理評審 4． 5． 4EMS審核 表 BS EN ISO 9001:2022， BS EN ISO 14001:1996與 BS 77992:2022對照 BS 77992:2022 BS EN ISO 9001:2022 BS EN ISO 14001:1996 7． ISMS改進 7． 1持續(xù)改進 7． 2糾正措施 7． 3預防措施 8．改進 8． 5． 1持續(xù)改進 8． 5． 2糾正措施 8． 5． 3預防措施 4． 5． 2不符合與糾正預防措施 附錄 A控制目標和控制措施 附錄 B標準使用指南 附錄 C 不同管 理標準體系標準間的對應關系 附錄 A ISO 14001 與 ISO 9001間的聯(lián)系 附錄 A規(guī)范使用指南 附錄 B ISO 14001 和 ISO 9001間的聯(lián)系