【正文】 所有這些方面包含在策劃、實(shí)施、檢查和改進(jìn)階段 重新評(píng)估 參與 者應(yīng)評(píng)審和重評(píng)估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進(jìn)行適當(dāng)?shù)男薷陌踩结槨?shí)踐、測(cè)量和程序 信息安全的重新評(píng)估是檢查階段的一部分（見 ）應(yīng)進(jìn)行經(jīng)常性的評(píng)估以檢查信息安全管理體系的有效性及改進(jìn)安全是糾正階段的一部分（見 ） 附錄 C（情報(bào)性的） BS EN ISO 9001:2020， BS EN ISO 14001:1996 與 BS 77992:2020對(duì)照 表 BS EN ISO 9001:2020， BS EN ISO 14001:1996與 BS 77992:2020對(duì)照 BS 77992:2020 BS EN ISO 9001:2020 BS EN ISO 14001:1996 0介紹 0． 1總則 0． 2過程方法 0． 3 與其他管理體系的兼容性 0介紹 0． 1總則 0． 2過程方法 0． 3與 ISO 9004的關(guān)系 0． 4 與其他管理體系的兼容性 介紹 1． 范圍 1． 1總則 1． 2應(yīng)用 1．范圍 1． 1總則 1． 2應(yīng)用 1．范圍 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 2標(biāo)準(zhǔn)參考 3名詞和定義 3名詞和定義 3名詞和定義 4． ISMS要求 4． 1總要求 4． 2建立和管理 ISMS 4． 2． 1建立 ISMS 4． 2． 2實(shí)施和運(yùn)行 ISMS 4． 2． 3監(jiān)控和評(píng)審 ISMS 4． 2． 4維護(hù)和改進(jìn) ISMS 4． 3文件要求 4． 3． 1總則 4． 3． 2文件控制 4． 3． 3記錄控制 4． QMS要求 4． 1一般要求 4． 2文件要求 4． 2． 1總則 4． 2． 2質(zhì)量手冊(cè) 4． 2． 3文件控制 4． 2． 4記錄控制 4． EMS要求 4． 1總要求 4． 4實(shí)施和運(yùn)行 4． 5． 1監(jiān)控和測(cè)量 4． 5． 2不符合與糾正預(yù)防措施 4． 4． 5文件控制 4． 5． 3記錄 5．管理責(zé)任 5． 1管理承諾 5． 2資源管理 5． 2資源提供 5． 2． 2培訓(xùn)意識(shí)和能力 5．管理責(zé)任 5． 1管理承諾 5． 2以客戶為關(guān)注焦點(diǎn) 5． 3質(zhì)量方針 5． 4策劃 5． 5責(zé)任、授權(quán)和溝通 6．資源管理 6． 1資源提供 6． 2人力資源 6． 2． 2能力、意識(shí)和培訓(xùn) 6． 3基礎(chǔ)設(shè)施 6． 4工作環(huán)境 4． 2環(huán)境方針 4． 3策劃 4． 2． 2培訓(xùn)意識(shí)和能力 6． ISMS管理評(píng)審 6． 1總則 6． 2評(píng)審輸入 6． 3評(píng)審輸出 6． 4ISMS內(nèi)部審核 5． 6管理評(píng)審 5． 6． 1總則 5． 6． 2評(píng)審輸入 5． 6． 3評(píng)審輸出 8． 2． 2內(nèi)部審核 4． 6管理評(píng)審 4． 5． 4EMS審核 表 BS EN ISO 9001:2020， BS EN ISO 14001:1996與 BS 77992:2020對(duì)照 BS 77992:2020 BS EN ISO 9001:2020 BS EN ISO 14001:1996 7． ISMS改進(jìn) 7． 1持續(xù)改進(jìn) 7． 2糾正措施 7． 3預(yù)防措施 8．改進(jìn) 8． 5． 1持續(xù)改進(jìn) 8． 5． 2糾正措施 8． 5． 3預(yù)防措施 4． 5． 2不符合與糾正預(yù)防措施 附錄 A控制目標(biāo)和控制措施 附錄 B標(biāo)準(zhǔn)使用指南 附錄 C 不同管 理標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)間的對(duì)應(yīng)關(guān)系 附錄 A ISO 14001 與 ISO 9001間的聯(lián)系 附錄 A規(guī)范使用指南 附錄 B ISO 14001 和 ISO 9001間的聯(lián)系 。這還可以被一些策劃和檢查階段方面覆蓋 風(fēng)險(xiǎn)評(píng)估 參與者應(yīng)執(zhí)行風(fēng)險(xiǎn)評(píng)估 這項(xiàng)活動(dòng)是策劃階段的一部分（見 ）并且風(fēng)險(xiǎn)在評(píng)估是檢查階段的一部分（見 和 ） 安全設(shè)計(jì)和實(shí)施 參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素 一旦完成風(fēng)險(xiǎn)評(píng)估，選擇控制措施治理風(fēng)險(xiǎn)是策劃階段的一部分（見 ）。 1中顯示。 B． 5． 4OECD原則和 BS 77992:20201219 在 OECD 指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運(yùn)行層面。另一方面，可能出現(xiàn)的情況是一個(gè)孤立的事件可能事實(shí)上是一個(gè)弱點(diǎn)的征兆，如果不加以處理可能回對(duì)整個(gè)組織發(fā)生影響。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項(xiàng)的發(fā)生的原因或其他不合需要的潛在情況。糾正措施應(yīng)與不符合項(xiàng)的嚴(yán)重程度和對(duì)于信息安全管理體系符合特定要求的風(fēng)險(xiǎn)一致。 B． 5． 2不符合項(xiàng) 一個(gè)不符合項(xiàng)是：（從 ISO/IEC指南 62 條款應(yīng)用指南） a)缺少或缺乏有效地實(shí)施和維護(hù)一個(gè)或多個(gè)信息安全管理體系的要求，或 b)一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對(duì)信息安全管理體系完成信息安全方針和組織安全目標(biāo)的能力的重大的懷疑。一個(gè)后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計(jì)劃付諸行動(dòng)，檢查活動(dòng)識(shí)別出需要這樣做。措施可能進(jìn)一步立刻進(jìn)入策劃和實(shí)施活動(dòng)。 5。 5。 改進(jìn)工作活動(dòng)的目的是采取作為檢查活動(dòng)的結(jié)果的措施。 B． 4． 7趨勢(shì)分析 經(jīng)常進(jìn)行趨勢(shì)分析將幫助組織識(shí)別需要改進(jìn)的領(lǐng)域，并應(yīng)建立一個(gè)持續(xù)改進(jìn)循環(huán)的基本部分。 B． 4． 6管理評(píng)審 總的目標(biāo)是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識(shí)別需要的改進(jìn)和要采取的行動(dòng)。管理層應(yīng)保證有證據(jù)確認(rèn)： a)信息安全方針仍能夠準(zhǔn)確地反映業(yè)務(wù)需求 b)使用了一個(gè)合適的風(fēng)險(xiǎn)評(píng)估方法 c)遵循了文件化的管 理程序（即：在信息安全管理體系的范圍內(nèi)），并達(dá)到了他們向往的目標(biāo) d)實(shí)施了技術(shù)控制措施（如：防火墻、物理訪問控制）等，并正確地配置和象期望的一樣工作 e)正確地評(píng)估了殘余風(fēng)險(xiǎn)而且組織的管理層仍能接受殘余風(fēng)險(xiǎn) f)實(shí)施了前一次審核和評(píng)審達(dá)成一致意見的措施 g)信息安全管理體系與本標(biāo)準(zhǔn)一致。 B． 4． 5內(nèi)部信息安全管理體系審核 總的目標(biāo)是通過一個(gè)特定常規(guī)審核時(shí)間段檢查（時(shí)間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達(dá)到預(yù)想的效果。 管理技巧的信息會(huì)經(jīng)常在很多管理論壇上交流和討論，包括會(huì)議、執(zhí)業(yè)會(huì)議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。有很多來源識(shí)別在技術(shù)和軟件中脆弱性。 B． 4． 4從其它出學(xué)習(xí) 一種識(shí)別組織的程序不夠最好的方法是識(shí)別其他組織處理問題是否更有效。警鈴能夠提醒負(fù)責(zé)的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。很明確，此類的檢查需要設(shè)計(jì)在體系里以進(jìn)行足夠的次數(shù)來限制任何發(fā)生的錯(cuò)誤造成的損害（及后續(xù)責(zé)任） 在目前的體系中，此類的減產(chǎn)可能擴(kuò)展到： a)減產(chǎn)沒有無意的和未授權(quán)的對(duì)管理軟件活動(dòng)參數(shù)的改變 b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分 間傳輸?shù)臏?zhǔn)確性和完整性 B． 4． 3自治程序 自治程序是一個(gè)為任何錯(cuò)誤或失敗在發(fā)生時(shí)能被及時(shí)發(fā)現(xiàn)而建立的控制措施。 在 B． 這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進(jìn)行并設(shè)計(jì)用來偵測(cè)處理結(jié)果的錯(cuò)誤。 例二 安全師 傅響應(yīng)行動(dòng)。 例一 入侵檢測(cè)技術(shù)的自動(dòng)響應(yīng)。這些信息應(yīng)同時(shí)用于一種識(shí)別無效的過程和程序的資源。 在可能確定目前的安全狀態(tài)是令人滿意的同時(shí)，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點(diǎn)的發(fā)作，以預(yù)測(cè)信息安全管理體系將來的變化并確保其在將來持續(xù)有效。此類活動(dòng)的實(shí)行在應(yīng) IDCA循環(huán)的行動(dòng)階段。另外，任何對(duì)于風(fēng)險(xiǎn)評(píng)估的范圍設(shè)計(jì)的變化應(yīng)被考慮。控制措施應(yīng)保證不希望的影響或破壞及時(shí)被識(shí)別并適當(dāng)管理 。當(dāng)一個(gè)組織決定接受高于可接受水平的風(fēng)險(xiǎn)時(shí)，應(yīng)獲得管理層的批準(zhǔn)。這些實(shí)施應(yīng)與在計(jì)劃活動(dòng)中準(zhǔn)備的風(fēng)險(xiǎn)治理計(jì)劃一致。在這種情況下，應(yīng)保證風(fēng)險(xiǎn)轉(zhuǎn)移到的組織理解那些風(fēng)險(xiǎn)的性質(zhì)和能夠有效地管理他們。 B． 3． 3風(fēng)險(xiǎn)治理 對(duì)于經(jīng)過評(píng)估可接受的風(fēng)險(xiǎn)，不需要進(jìn)一步的措施。應(yīng)監(jiān)控安全意識(shí)項(xiàng)目的進(jìn)展以保證其持續(xù)有效性時(shí)實(shí)行。另外，應(yīng)提高安全意識(shí)和實(shí)施培訓(xùn)項(xiàng)目，這想活動(dòng)應(yīng)與實(shí)施安全控制措施并行。 B． 3實(shí)施階段 B． 3． 1介紹 在 PDCA 循環(huán)中的實(shí)施階段是設(shè)計(jì)用來實(shí)施選擇的控制措施和推進(jìn)必要的與在計(jì)劃階段所做出的決定一致的管理信息 安全風(fēng)險(xiǎn)措施。 設(shè)計(jì)用來組織、偵測(cè)、限制、保護(hù)和恢復(fù)安全侵害（與信息安全管理體系一致）對(duì)實(shí)施 PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測(cè)、限制和恢復(fù)的控制措施一起加以實(shí)施，這樣才能更有效。這份文件是信息安全管理體系認(rèn)證要求的一份工作文件。當(dāng)設(shè)立一個(gè)可接受的風(fēng)險(xiǎn)的水平，力度和控制措施的成本應(yīng)與潛在的事故造成的代價(jià)想比較。 a)信息安全管理體系范 圍內(nèi)的資產(chǎn)的評(píng)價(jià)，包括在不是以錢來衡量時(shí)，估價(jià)量度的使用的信息 b)識(shí)別威脅和脆弱點(diǎn) c)對(duì)威脅利用脆弱點(diǎn)的評(píng)估及當(dāng)此類事故發(fā)生時(shí)的影響 d)在評(píng)估的結(jié)果的基礎(chǔ)上計(jì)算風(fēng)險(xiǎn)，識(shí)別殘余風(fēng)險(xiǎn) B． 2． 5風(fēng)險(xiǎn)治理計(jì)劃 組織應(yīng)建立一個(gè)詳細(xì)的日程，或風(fēng)險(xiǎn)治理計(jì)劃，對(duì)于每一個(gè)識(shí)別的風(fēng)險(xiǎn)定義 a)選擇的處理風(fēng)險(xiǎn)的方法 b)已有的控制措施 c)建議的新添的控制措施 d)實(shí)施新建議的控制措施的時(shí)間架構(gòu) 應(yīng)識(shí)別一個(gè)可接受的風(fēng)險(xiǎn)的水平，對(duì)每一個(gè)不在可接受水平內(nèi)的風(fēng)險(xiǎn)應(yīng)從下列方面選擇合適的措施： a)決定接受風(fēng)險(xiǎn)，如，因?yàn)椴荒懿扇?其他措施或太貴 b)轉(zhuǎn)移風(fēng)險(xiǎn)，或 c)降低風(fēng)險(xiǎn)到可接受的風(fēng)險(xiǎn) 風(fēng)險(xiǎn)治理計(jì)劃是一個(gè)調(diào)和文件，定義降低不可接受風(fēng)險(xiǎn)的水平和實(shí)施要求的保護(hù)信心的控制措施。采用的方法應(yīng)致力于安全帶餓努力和有效利用資源。信息安全管理體系范圍文件應(yīng)覆蓋： a)建立范圍使用的過程和信息安全管理體系的環(huán)境 b)戰(zhàn)略及組織環(huán)境 c)組織使用的信息安全風(fēng)險(xiǎn)管理的方法 d)信息安全風(fēng)險(xiǎn)評(píng)價(jià)的標(biāo)準(zhǔn)和所需的確保的程度的要求 e)在信息安全管理體系的范圍內(nèi)信息資產(chǎn)的識(shí)別 信息安全管理體系的范圍可能在質(zhì)量管 理體系控制的范圍，另一個(gè)管理體系或另一個(gè)信息安全管理體系（相同的或一個(gè)第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。這對(duì)于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時(shí)尤其重要。 B． 2． 3SIMS的范圍 ISMS可能覆蓋組織所有的部分。 B． 2． 2信息安全方針 ）要求組織和其管理層確定包含建立其目標(biāo)和目的框架，并建立總的方向、信息安全行動(dòng)原則的信息安全方針。 B． 2計(jì)劃階段 B． 2． 1介紹 PDCA循環(huán)的計(jì)劃活動(dòng)是設(shè)計(jì)以保證 ISMS的內(nèi)容和范圍被正確地建立，所有的信息安全風(fēng)險(xiǎn)被識(shí)別和評(píng)估，合適的處理風(fēng)險(xiǎn)的計(jì)劃被開發(fā)。 注 ： Soc不是 SoA[見 ]的替代品。在一些體系中他們可能需要建立在計(jì)算機(jī)化的過程中以運(yùn)營(yíng)和立即回應(yīng)。 B． 1． 3檢查和行動(dòng) 檢查和行動(dòng)評(píng)審階段用來加強(qiáng)、修改和改進(jìn)已識(shí)別和