【正文】 附錄A規(guī)范使用指南附錄B ISO14001和ISO9001間的聯(lián)系附錄A控制目標(biāo)和控制措施附錄B標(biāo)準(zhǔn)使用指南附錄C不同管理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對(duì)應(yīng)關(guān)系8改進(jìn)8．5．1持續(xù)改進(jìn)8．5．2糾正措施4．2．2培訓(xùn)，意識(shí)和能力6信息安全管理體系管理評(píng)審6．1總則6．2評(píng)審輸入6．3評(píng)審輸出6．4信息安全管理體系 內(nèi)部審核5．2．2培訓(xùn)、意識(shí)和能力6資源管理6．1資源提供6．2人力資源6．2．2能力，意識(shí)和培訓(xùn)6．3基礎(chǔ)設(shè)施6．4工作環(huán)境4．4實(shí)施和運(yùn)行實(shí)施階段（）覆蓋這些控制措施的實(shí)施和運(yùn)行。在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。另一方面，可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆，如果不加以處理可能會(huì)對(duì)整個(gè)組織發(fā)生影響。 缺少，或缺乏有效實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求；或b） b）一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng)，如果檢查活動(dòng)識(shí)別出需要這樣做。為使信息安全管理體系保持有效，應(yīng)以在檢查階段采集和信息為基礎(chǔ)經(jīng)常改進(jìn)。審核需要目前文件和記錄的樣本及管理層和員工參與會(huì)見談話。 正確地評(píng)估了殘余風(fēng)險(xiǎn)而且組織有的管理層仍能接受殘余風(fēng)險(xiǎn)；f） f） 信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求；b） b）有很多來(lái)源識(shí)別在技術(shù)和軟件中的脆弱性。但在一段時(shí)間內(nèi)如果總是不能被糾正，另外的警鈴會(huì)對(duì)更高層的管理者鳴響，因此自動(dòng)升級(jí)問(wèn)題。a) a)例一入侵檢測(cè)技術(shù)的自動(dòng)響應(yīng)。在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)生，以預(yù)測(cè)信息安全管理體系未來(lái)的變化并確保其在未來(lái)持續(xù)有效。意識(shí)到糾正措施只有在必要時(shí)采用非常重要：a） a）檢查活動(dòng)是設(shè)計(jì)用來(lái)保證控制措施有效運(yùn)行，與預(yù)期一致，信息安全管理體系持續(xù)有效。在不可接受風(fēng)險(xiǎn)被降低或轉(zhuǎn)移之后，還會(huì)有殘余風(fēng)險(xiǎn)。當(dāng)決定降低風(fēng)險(xiǎn)，應(yīng)實(shí)施已選擇的控制措施。另外，應(yīng)提高安全意識(shí)和實(shí)施培訓(xùn)項(xiàng)目，這項(xiàng)活動(dòng)應(yīng)與實(shí)施安全控制措施并行。這份文件是信息安全管理體系認(rèn)證要求的一份工作文件。 降低風(fēng)險(xiǎn)到可接受的風(fēng)險(xiǎn)。 實(shí)施新提議的控制措施的時(shí)間架構(gòu)。組織應(yīng)建立一個(gè)詳細(xì)的日程，或風(fēng)險(xiǎn)處理計(jì)劃，對(duì)于每一個(gè)識(shí)別的風(fēng)險(xiǎn)確定：a） a） 識(shí)別威脅和弱點(diǎn)；c） c）采用的方法應(yīng)致力于安全的努力和有效利用資源。 信息安全風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和所需的確保的程度的要求；e） e）信息安全管理體系范圍文件應(yīng)覆蓋：a） a）信息安全管理體系可能覆蓋組織所有部分。提供一份控制措施小結(jié)可以使處理業(yè)務(wù)關(guān)系變得容易如供電外包等。其他過(guò)程可能只需在有信息安全事故時(shí)、被保護(hù)的信息資產(chǎn)變化時(shí)或需要增加時(shí)、威脅和脆弱性變化時(shí)需要回應(yīng)。這些活動(dòng)通常作為循環(huán)的開始。這里描述的過(guò)程模型遵循一個(gè)連續(xù)的活動(dòng)循環(huán)計(jì)劃、實(shí)施、檢查、和處置。系統(tǒng)審核的控制對(duì)于操作系統(tǒng)的審核，應(yīng)加以策劃并取得同意，以將對(duì)企業(yè)營(yíng)運(yùn)的流程造成中斷的風(fēng)險(xiǎn)降至最小系統(tǒng)審核工具的保護(hù)對(duì)于系統(tǒng)審核工具的訪問(wèn)應(yīng)加以保護(hù)，以防止可能的不當(dāng)使用或遭侵入而損壞BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：防止企業(yè)運(yùn)營(yíng)中斷并且保護(hù)企業(yè)營(yíng)運(yùn)的關(guān)鍵流程免于重大失效或?yàn)?zāi)難的影響控制措施業(yè)務(wù)持續(xù)動(dòng)作的管理流程為發(fā)展及維護(hù)企業(yè)的持續(xù)動(dòng)作性，應(yīng)有遍及整個(gè)組織的管理流程業(yè)務(wù)持續(xù)動(dòng)作及沖擊分析應(yīng)發(fā)展以適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的策略性計(jì)劃，以為業(yè)務(wù)持續(xù)動(dòng)作的方法持續(xù)動(dòng)作計(jì)劃的撰寫及執(zhí)行應(yīng)發(fā)展計(jì)劃確保在重要的業(yè)務(wù)流程中斷或失效后可及時(shí)維護(hù)或恢復(fù)業(yè)務(wù)動(dòng)作業(yè)務(wù)持續(xù)動(dòng)作規(guī)劃的架構(gòu)應(yīng)維持一個(gè)單一的業(yè)務(wù)持續(xù)動(dòng)作計(jì)劃架構(gòu)，以確保所有計(jì)劃的一致性，且鑒別其先后次序以進(jìn)行測(cè)試與維護(hù)業(yè)務(wù)持續(xù)動(dòng)作計(jì)劃的測(cè)試、維護(hù)與再評(píng)估業(yè)務(wù)持續(xù)運(yùn)作計(jì)劃應(yīng)定期測(cè)試，且透過(guò)定期審查予以維護(hù)，以確保及時(shí)性及有效性BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：確保使用可移動(dòng)式計(jì)算機(jī)運(yùn)算及計(jì)算機(jī)通訊遠(yuǎn)距工作的設(shè)施的信息安全控制措施可移動(dòng)式計(jì)算機(jī)運(yùn)算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒?，以防范使用可移?dòng)式計(jì)算機(jī)遠(yuǎn)算設(shè)施進(jìn)行工作時(shí)所造成的風(fēng)險(xiǎn)，特別是在未被保護(hù)的環(huán)境中工作時(shí)計(jì)算機(jī)通訊遠(yuǎn)距工作應(yīng)開發(fā)策略、程序和標(biāo)準(zhǔn)以便授權(quán)及控制計(jì)算機(jī)通訊遠(yuǎn)距工作的活動(dòng)控制措施可移動(dòng)式計(jì)算機(jī)存儲(chǔ)媒體的管理對(duì)于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤以及打印出來(lái)的報(bào)告的管理應(yīng)回以控制存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體，應(yīng)可靠并安全地處置信息的處理程序應(yīng)建立信息的處理及儲(chǔ)存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問(wèn)控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時(shí)，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)的泄漏、不當(dāng)使用或毀壞電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為、合約爭(zhēng)議以及信息被泄漏及修改電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來(lái)的業(yè)務(wù)與安全風(fēng)險(xiǎn)，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過(guò)程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗?、程序及控制方法?lái)保護(hù)經(jīng)由傳真、語(yǔ)音及影像等通訊設(shè)施進(jìn)行的信息交換BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：防止對(duì)企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問(wèn)、破壞及干擾控制措施實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域?qū)嶓w進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出.BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：在組織中管理信息安全控制措施信息安全管理委員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo)和管理層對(duì)啟動(dòng)安全管理可見的支持。附錄A（引用）控制目標(biāo)和控制措施 確定和實(shí)施所需的預(yù)防措施；c） c）7．3預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。 記錄所采取措施的結(jié)果[]。 識(shí)別實(shí)施或運(yùn)行信息安全管理體系中的不合格；b） b）改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見條款7]。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。 符合識(shí)別的信息安全的要求；c） c） 風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平；c） c） 業(yè)務(wù)要求；2） 2） 改進(jìn)的建議。 以前風(fēng)險(xiǎn)評(píng)估沒有足夠強(qiáng)調(diào)的脆弱性或威脅；f） f） 信息安全管理體系審核和評(píng)審的結(jié)果；b） b） 評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；d） d）5．2．2培訓(xùn)，意識(shí)和能力 組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。 正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e） e）5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a） 向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。5管理職責(zé)5．1管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a） a）需要一個(gè)管理過(guò)程確定記錄的程度。記錄應(yīng)當(dāng)被控制。 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；c） c）注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。d） d）4．3文件要求4．3．1總則信息安全管理體系文件應(yīng)包括：a） a）c） c） 記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績(jī)效性的事件[]。 在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。 業(yè)務(wù)目標(biāo)和過(guò)程4） 4） 進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全控制措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來(lái)自所有利益相關(guān)方的建議和反饋；c） c） 及時(shí)識(shí)別失敗和成功的安全破壞和事故；3） 3） 實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。e） e） 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任。 準(zhǔn)備一份適用性聲明。g） g） 應(yīng)用合適的控制措施2） 2） 估計(jì)風(fēng)險(xiǎn)的等級(jí)4） 4） 別資產(chǎn)失去保密性、完整性和可用性的影響e） e） 確定風(fēng)險(xiǎn)：1） 1） 經(jīng)管理層批準(zhǔn)c） c） 建立風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評(píng)估定義的結(jié)構(gòu)。 建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。 包括為其目標(biāo)建立一個(gè)框架并為信息安全活動(dòng)建立整體的方向和原則。b） b）4．信息安全管理體系要求4．1總要求組織應(yīng)在整體業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。[BS ISO/IEC17799：2000]3．6風(fēng)險(xiǎn)接受接受一個(gè)風(fēng)險(xiǎn)的決定[ISO Guide 73]3．7風(fēng)險(xiǎn)分析系統(tǒng)地使用信息識(shí)別來(lái)源和估計(jì)風(fēng)險(xiǎn)[ISO Guide 73]3．8風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程[ISO Guide 73][BS ISO/IEC17799：2000]3．2保密性保證信息只被授權(quán)的人訪問(wèn)。對(duì)于條款4，5，6和7的要求的刪減不能接受。1．2應(yīng)用本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。 0．3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001：2000與ISO16949：1996相結(jié)合以支持實(shí)施和動(dòng)作安全體系的一致性和整合。計(jì)劃（建立信息安全管理體系） 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的安全方針、目標(biāo)、目的、過(guò)程和程序，以達(dá)到與組織整體方針和 目標(biāo)相適應(yīng)的結(jié)果。 相關(guān)單位