【正文】 應(yīng)采取進(jìn)一步行動(dòng)，如：使用合同，保險(xiǎn)安排和組織結(jié)構(gòu)如合作伙伴和合資等。在這種情況下，應(yīng)保證風(fēng)險(xiǎn)轉(zhuǎn)移到的組織理解那些風(fēng)險(xiǎn)的性質(zhì)和能夠有效地管理他們。當(dāng)決定降低風(fēng)險(xiǎn)，應(yīng)實(shí)施已選擇的控制措施。這些實(shí)施應(yīng)與在策劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)處理計(jì)劃一致。成功實(shí)施該計(jì)劃要求有效的管理體系，管理體系確定選擇的方法，指派責(zé)任和個(gè)人對(duì)措施以及監(jiān)控這些措施的特別的標(biāo)準(zhǔn)的職責(zé)。當(dāng)一個(gè)組織決定接受高于呆接受水平的風(fēng)險(xiǎn)時(shí)，應(yīng)獲得管理層的批準(zhǔn)。在不可接受風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會(huì)有殘余風(fēng)險(xiǎn)?？刂拼胧?yīng)保證不希望發(fā)生的影響或破壞及時(shí)被識(shí)別并適當(dāng)管理。檢查活動(dòng)是設(shè)計(jì)用來保證控制措施有效運(yùn)行，與預(yù)期一致，信息安全管理體系持續(xù)有效。另外，任何有關(guān)風(fēng)險(xiǎn)評(píng)估范圍或假設(shè)的變化應(yīng)予以考慮。如果發(fā)現(xiàn)控制措施不夠充足，應(yīng)決定采取必要的糾正措施。此類活動(dòng)的實(shí)行應(yīng)在PDCA循環(huán)的處置階段。意識(shí)到糾正措施只有在必要時(shí)采用非常重要：a） a） 維護(hù)信息安全管理體系文件內(nèi)部的一致性：并b） b） 如果不做改變其效果會(huì)使組織暴露與不可接受的風(fēng)險(xiǎn)之下。檢查活動(dòng)也應(yīng)包括一份為管理和運(yùn)行信息安全管理體系的控制措施的程序的描述及不斷評(píng)審風(fēng)險(xiǎn)及在不斷變化的技術(shù)、威脅或功能下處理風(fēng)險(xiǎn)的過程。在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)生，以預(yù)測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織安全方針和目標(biāo)有效性的測量的有價(jià)值的數(shù)據(jù)資源。這些信息應(yīng)同時(shí)用于一種識(shí)別無效的過程和程序的資源。檢查活動(dòng)的性質(zhì)依賴于PDCA循環(huán)有關(guān)的特性，以下是一些例子。例一入侵檢測技術(shù)的自動(dòng)響應(yīng)。一個(gè)網(wǎng)絡(luò)入侵監(jiān)測員會(huì)監(jiān)測其他部件的安全是否被滲透。例二安全事故響應(yīng)行動(dòng)。在安全破壞事件中采取行動(dòng)的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行并設(shè)計(jì)用來偵測處理結(jié)果的錯(cuò)誤。他們可能包括：調(diào)整銀行賬戶、資產(chǎn)清點(diǎn)、及解決客戶抱怨。很明確，此類的檢查需要設(shè)計(jì)的體系里以進(jìn)行足夠的次數(shù)來限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任）。a) a) 檢查有沒有無意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變；b) b) 確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分間傳輸?shù)臏?zhǔn)確性和完整性。自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。例如，一個(gè)監(jiān)控網(wǎng)絡(luò)（如：設(shè)備故障或錯(cuò)誤）的設(shè)備并鳴響警鈴。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們能查清事故原因并修復(fù)它。但在一段時(shí)間內(nèi)如果總是不能被糾正，另外的警鈴會(huì)對(duì)更高層的管理者鳴響，因此自動(dòng)升級(jí)問題。一種確定組織的程序不夠好的方法是識(shí)別其他組織處理問題是否更有效。這種學(xué)習(xí)適用于技術(shù)軟件和管理活動(dòng)。有很多來源識(shí)別在技術(shù)和軟件中的脆弱性。組織應(yīng)經(jīng)常參考這些并對(duì)他們的軟件進(jìn)行適當(dāng)?shù)母?。管理技巧的信息?huì)經(jīng)常在很多管理論壇上交流和討論，包括會(huì)議，執(zhí)業(yè)協(xié)會(huì)，和使用者小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。此類交流使組織能夠?qū)W習(xí)怎樣處理類似的問題?？偟哪繕?biāo)是通過在一個(gè)特定常規(guī)審核時(shí)間段進(jìn)行檢查（時(shí)間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。應(yīng)計(jì)劃足夠的審核次數(shù)使審核任務(wù)均勻散布在整個(gè)的選擇周期。管理層應(yīng)保證有證據(jù)確認(rèn)：a） a） 信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求；b） b） 使用一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法；c） c） 遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo)；d） d） 實(shí)施了技術(shù)控制措施（如：防火墻，物理訪問控制）等，并正確地配置和像預(yù)期的一樣工作；e） e） 正確地評(píng)估了殘余風(fēng)險(xiǎn)而且組織有的管理層仍能接受殘余風(fēng)險(xiǎn)；f） f） 實(shí)施了前一次審核和評(píng)審達(dá)成一致意見的措施；g） g） 信息安全管理體系與本標(biāo)準(zhǔn)一致。審核需要目前文件和記錄的樣本及管理層和員工參與會(huì)見談話?？偰繕?biāo)是檢查信息安全管理體系的有效性，至少每年一次，以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。在確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)需求的變化及新威脅和脆弱點(diǎn)的發(fā)生，以預(yù)測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。經(jīng)常進(jìn)行趨勢分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。為使信息安全管理體系保持有效，應(yīng)以在檢查階段采集和信息為基礎(chǔ)經(jīng)常改進(jìn)。改進(jìn)活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。一個(gè)前面的例子是當(dāng)一個(gè)新的威脅被識(shí)別，策劃活動(dòng)應(yīng)更新風(fēng)險(xiǎn)評(píng)估。一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng)，如果檢查活動(dòng)識(shí)別出需要這樣做。注意作為改進(jìn)的結(jié)果改變信息安全管理體系或下一步策劃行動(dòng)，關(guān)鍵是所有的相關(guān)方被子及時(shí)告知所作的改變，并提相應(yīng)的附加的培訓(xùn)。一個(gè)不符合項(xiàng)是：（從ISO/IEC指南62條款應(yīng)用使用指南）a） a） 缺少，或缺乏有效實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求；或b） b） 一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。非常重要的，在檢查階段的評(píng)審強(qiáng)調(diào)不符合項(xiàng)的區(qū)域，應(yīng)采取進(jìn)一步的調(diào)查以識(shí)別事故的原因，識(shí)別采取不僅解決問題而且減少和防止其再發(fā)生。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度對(duì)于信息安全管理體系符合特定的要求的風(fēng)險(xiǎn)一致。應(yīng)采取糾正（或反應(yīng)式的）措施以消除不符合項(xiàng)的原因或其他不合需要的情況以防止再次發(fā)生。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。永遠(yuǎn)不可能全部消除孤立的不符合項(xiàng)。另一方面，可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆，如果不加以處理可能會(huì)對(duì)整個(gè)組織發(fā)生影響。當(dāng)識(shí)別和實(shí)施任何糾正措施應(yīng)從這種觀點(diǎn)考慮孤立事件。如果不加以立即的糾正措施外，考慮中、長期觀點(diǎn)非常重要，確保補(bǔ)救工作不僅考慮在考慮之下的問題而且預(yù)防和減少類似事件在發(fā)生的可能性。在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。本英國標(biāo)準(zhǔn)為實(shí)施一些OECD原則提供一個(gè)使用PDCA模型的信息安全管理體系框架，在條款4，5，6和7中描述的過程。 原則和PDCA模型OECD原則對(duì)應(yīng)的信息安全管理體系過程和PDCA階段意識(shí)參與者應(yīng)知道信息系統(tǒng)和網(wǎng)絡(luò)安全的需要和他們能夠做什么來加強(qiáng)安全這個(gè)活動(dòng)是實(shí)施過程的一部分（）責(zé)任所有參與者負(fù)責(zé)信息系統(tǒng)和網(wǎng)絡(luò)的安全這個(gè)活動(dòng)是實(shí)施進(jìn)程的一部分（）回應(yīng)參與者應(yīng)及時(shí)并采取協(xié)作的方式以預(yù)防、偵測和回應(yīng)安全事件這是監(jiān)控活動(dòng)的一部分,檢查階段（）和一個(gè)回應(yīng)活動(dòng)，糾正階段（）。這還可以被一些策劃和檢查階段方面覆蓋風(fēng)險(xiǎn)評(píng)估參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估這項(xiàng)活動(dòng)是策劃階段的一部分（）并且風(fēng)險(xiǎn)在評(píng)估是檢查階段的一部分（）安全設(shè)計(jì)和實(shí)施參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素一旦完成風(fēng)險(xiǎn)評(píng)估，選擇控制措施處理風(fēng)險(xiǎn)是策劃階段的一部分（）。實(shí)施階段（）覆蓋這些控制措施的實(shí)施和運(yùn)行。安全管理參與者應(yīng)采取一套完整的方法進(jìn)行安全管理風(fēng)險(xiǎn)管理實(shí)施一個(gè)包括預(yù)防，偵測和回應(yīng)事故，不斷維護(hù)，評(píng)審和審核的過程。所有這方面包含在策劃，實(shí)施，檢查和改進(jìn)階段重新評(píng)估參與者應(yīng)評(píng)審和重新評(píng)估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進(jìn)行適當(dāng)?shù)男薷陌踩结?，?shí)踐，測量和程序信息安全的重新評(píng)估是檢查階段的一部分（），應(yīng)進(jìn)行經(jīng)常性的評(píng)估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分（）附錄C（情報(bào)性的）BS EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002對(duì)照 EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002間的對(duì)照關(guān)系BS77992：20002BS EN ISO9001：2000BS EN ISO 14001：19960介紹0．1介紹0．2過程方法0．3與其他管理體系的兼容性0介紹0．1總則0．2過程方法0．3與ISO9004的關(guān)系0． 0． 4與其他管理體系的兼容性介紹1范圍1．1總則1．2應(yīng)用1范圍1．1總則1．2應(yīng)用1范圍2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考2標(biāo)準(zhǔn)參考3名詞和定義3名詞和定義3名詞和定義4信息安全管理體系要求4．1總要求4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實(shí)施和運(yùn)行信息安全管理體系4．2．3監(jiān)控和評(píng)審信息安全管理體系4．2．4維護(hù)和改進(jìn)住處安全管理體系4．3文件要求4．3．1總則4．3．2文件控制4．3．3記錄控制4 QMS要求4．1總要求4．2文件要求4．2．1總則4．2．2文件控制4．2．3文件控制4．2．4記錄控制4 EMS要求4．1總要求4．4實(shí)施和運(yùn)行4．5．1監(jiān)控和測量4．5．2不符合糾正預(yù)防措施4．4．5文件控制4．5．3記錄5管理責(zé)任5．1管理承諾5管理責(zé)任5．1管理承諾5．2以客戶為關(guān)注焦點(diǎn)5．3質(zhì)量方針5．4策劃5．5責(zé)任、授權(quán)和溝通4．2環(huán)境方針4．3策劃 EN ISO9001：2000，BS EN ISO14001：1996與BS77992：2002間的對(duì)照關(guān)系（繼續(xù)）BS77992：2002BS EN ISO9001：2000BS EN ISO14001：19965．2資源管理5．2．1資源提供5．2．2培訓(xùn)、意識(shí)和能力6資源管理6．1資源提供6．2人力資源6．2．2能力，意識(shí)和培訓(xùn)6．3基礎(chǔ)設(shè)施6．4工作環(huán)境4．2．2培訓(xùn)，意識(shí)和能力6信息安全管理體系管理評(píng)審6．1總則6．2評(píng)審輸入6．3評(píng)審輸出6．4信息安全管理體系 內(nèi)部審核5．6管理評(píng)審5．6．1總則5．6．2評(píng)審輸入5．6．3評(píng)審輸出8．2．2內(nèi)部審核4．6管理評(píng)審4．5．4EMS審核7信息安全管理體系改進(jìn)7．1持續(xù)改進(jìn)7．2糾正措施7．3預(yù)防措施8改進(jìn)8．5．1持續(xù)改進(jìn)8．5．2糾正措施8．5．3預(yù)防措施4．5．2不符合與糾正預(yù)防措施附錄A控制目標(biāo)和控制措施附錄B標(biāo)準(zhǔn)使用指南附錄C不同管理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對(duì)應(yīng)關(guān)系附錄 A ISO14001與ISO9001間的聯(lián)系附錄A規(guī)范使用指南附錄B ISO14001和ISO9001間的聯(lián)系32 / 32