【正文】 所有這些方面包含在策劃、實施、檢查和改進階段重新評估參與者應(yīng)評審和重評估信息系統(tǒng)和網(wǎng)絡(luò)的安全，并進行適當?shù)男薷陌踩结?、實踐、測量和程序信息安全的重新評估是檢查階段的一部分（）應(yīng)進行經(jīng)常性的評估以檢查信息安全管理體系的有效性及改進安全是糾正階段的一部分（）附錄C（情報性的）BS EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001:19960介紹0． 1總則0． 2過程方法0．3與其他管理體系的兼容性0介紹0． 1總則0．2過程方法0．3與ISO 9004的關(guān)系0．4與其他管理體系的兼容性介紹1． 范圍1．1總則1．2應(yīng)用1．范圍1．1總則1．2應(yīng)用1．范圍2標準參考2標準參考2標準參考3名詞和定義3名詞和定義3名詞和定義4．ISMS要求4．1總要求4．2建立和管理ISMS4．2．1建立ISMS4．2．2實施和運行ISMS4．2．3監(jiān)控和評審ISMS4．2．4維護和改進ISMS4．3文件要求4．3．1總則4．3．2文件控制4．3．3記錄控制4．QMS要求4．1一般要求4．2文件要求4．2．1總則4．2．2質(zhì)量手冊4．2．3文件控制4．2．4記錄控制4．EMS要求4．1總要求4．4實施和運行4．5．1監(jiān)控和測量4．5．2不符合與糾正預(yù)防措施4．4．5文件控制4．5．3記錄5．管理責任5．1管理承諾5．2資源管理5．2資源提供5．2．2培訓(xùn)意識和能力5．管理責任5．1管理承諾5．2以客戶為關(guān)注焦點5．3質(zhì)量方針5．4策劃5．5責任、授權(quán)和溝通6．資源管理6．1資源提供6．2人力資源6．2．2能力、意識和培訓(xùn)6．3基礎(chǔ)設(shè)施6．4工作環(huán)境4．2環(huán)境方針4．3策劃4．2．2培訓(xùn)意識和能力6．ISMS管理評審6．1總則6．2評審輸入6．3評審輸出6．4ISMS內(nèi)部審核5．6管理評審5．6．1總則5．6．2評審輸入5．6．3評審輸出8．2．2內(nèi)部審核4．6管理評審4．5．4EMS審核 EN ISO 9001:2000，BS EN ISO 14001:1996與 BS 77992:2002對照BS 77992:2002BS EN ISO 9001:2000BS EN ISO 14001:19967．ISMS改進7．1持續(xù)改進7．2糾正措施7．3預(yù)防措施8．改進8．5．1持續(xù)改進8．5．2糾正措施8．5．3預(yù)防措施4．5．2不符合與糾正預(yù)防措施附錄A控制目標和控制措施附錄B標準使用指南附錄C不同管理標準體系標準間的對應(yīng)關(guān)系附錄A ISO 14001與ISO 9001間的聯(lián)系附錄A規(guī)范使用指南附錄B ISO 14001和ISO 9001間的聯(lián)系。這還可以被一些策劃和檢查階段方面覆蓋風險評估參與者應(yīng)執(zhí)行風險評估這項活動是策劃階段的一部分（）并且風險在評估是檢查階段的一部分（）安全設(shè)計和實施參與者應(yīng)把安全作為信息系統(tǒng)和網(wǎng)絡(luò)基本的元素一旦完成風險評估，選擇控制措施治理風險是策劃階段的一部分（）。1中顯示。B．5．4OECD原則和BS 77992:20001219在OECD指南中給出的信息系統(tǒng)和網(wǎng)絡(luò)安全原則適用于所有的方針和管理信息系統(tǒng)和網(wǎng)絡(luò)安全運行層面。另一方面，可能出現(xiàn)的情況是一個孤立的事件可能事實上是一個弱點的征兆，如果不加以處理可能回對整個組織發(fā)生影響。應(yīng)采取預(yù)防（或預(yù)先）措施消除潛在不符合項的發(fā)生的原因或其他不合需要的潛在情況。糾正措施應(yīng)與不符合項的嚴重程度和對于信息安全管理體系符合特定要求的風險一致。B．5．2不符合項一個不符合項是：（從ISO/IEC指南62條款應(yīng)用指南）a)缺少或缺乏有效地實施和維護一個或多個信息安全管理體系的要求，或b)一種情況是，在有客觀證據(jù)的基礎(chǔ)上，引起對信息安全管理體系完成信息安全方針和組織安全目標的能力的重大的懷疑。一個后面的例子是把現(xiàn)存的業(yè)務(wù)連續(xù)性計劃付諸行動，檢查活動識別出需要這樣做。措施可能進一步立刻進入策劃和實施活動。5。5。改進工作活動的目的是采取作為檢查活動的結(jié)果的措施。B．4．7趨勢分析經(jīng)常進行趨勢分析將幫助組織識別需要改進的領(lǐng)域，并應(yīng)建立一個持續(xù)改進循環(huán)的基本部分。B．4．6管理評審總的目標是減產(chǎn)信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。管理層應(yīng)保證有證據(jù)確認：a)信息安全方針仍能夠準確地反映業(yè)務(wù)需求b)使用了一個合適的風險評估方法c)遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達到了他們向往的目標d)實施了技術(shù)控制措施（如：防火墻、物理訪問控制）等，并正確地配置和象期望的一樣工作e)正確地評估了殘余風險而且組織的管理層仍能接受殘余風險f)實施了前一次審核和評審達成一致意見的措施g)信息安全管理體系與本標準一致。B．4．5內(nèi)部信息安全管理體系審核總的目標是通過一個特定常規(guī)審核時間段檢查（時間不應(yīng)該超過一年）信息安全管理體系所有的方面是否達到預(yù)想的效果。管理技巧的信息會經(jīng)常在很多管理論壇上交流和討論，包括會議、執(zhí)業(yè)會議和使用這小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。有很多來源識別在技術(shù)和軟件中脆弱性。B．4．4從其它出學(xué)習一種識別組織的程序不夠最好的方法是識別其他組織處理問題是否更有效。警鈴能夠提醒負責的員工問題的所在，使他們完成查清師傅原因并修復(fù)它。很明確，此類的檢查需要設(shè)計在體系里以進行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責任）在目前的體系中，此類的減產(chǎn)可能擴展到：a)減產(chǎn)沒有無意的和未授權(quán)的對管理軟件活動參數(shù)的改變b)確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡(luò)部分間傳輸?shù)臏蚀_性和完整性B．4．3自治程序自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。B．這些程序應(yīng)作為正式的業(yè)務(wù)過程經(jīng)常進行并設(shè)計用來偵測處理結(jié)果的錯誤。例二安全師傅響應(yīng)行動。例一入侵檢測技術(shù)的自動響應(yīng)。這些信息應(yīng)同時用于一種識別無效的過程和程序的資源。在可能確定目前的安全狀態(tài)是令人滿意的同時，應(yīng)注意技術(shù)的變化和業(yè)務(wù)的需求及新威脅和脆弱點的發(fā)作，以預(yù)測信息安全管理體系將來的變化并確保其在將來持續(xù)有效。此類活動的實行在應(yīng)IDCA循環(huán)的行動階段。另外，任何對于風險評估的范圍設(shè)計的變化應(yīng)被考慮?？刂拼胧?yīng)保證不希望的影響或破壞及時被識別并適當管理。當一個組織決定接受高于可接受水平的風險時，應(yīng)獲得管理層的批準。這些實施應(yīng)與在計劃活動中準備的風險治理計劃一致。在這種情況下，應(yīng)保證風險轉(zhuǎn)移到的組織理解那些風險的性質(zhì)和能夠有效地管理他們。B．3．3風險治理對于經(jīng)過評估可接受的風險，不需要進一步的措施。應(yīng)監(jiān)控安全意識項目的進展以保證其持續(xù)有效性時實行。另外，應(yīng)提高安全意識和實施培訓(xùn)項目，這想活動應(yīng)與實施安全控制措施并行。B．3實施階段B．3．1介紹在PDCA循環(huán)中的實施階段是設(shè)計用來實施選擇的控制措施和推進必要的與在計劃階段所做出的決定一致的管理信息安全風險措施。設(shè)計用來組織、偵測、限制、保護和恢復(fù)安全侵害（與信息安全管理體系一致）對實施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測、限制和恢復(fù)的控制措施一起加以實施，這樣才能更有效。這份文件是信息安全管理體系認證要求的一份工作文件。當設(shè)立一個可接受的風險的水平，力度和控制措施的成本應(yīng)與潛在的事故造成的代價想比較。a)信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不是以錢來衡量時，估價量度的使用的信息b)識別威脅和脆弱點c)對威脅利用脆弱點的評估及當此類事故發(fā)生時的影響d)在評估的結(jié)果的基礎(chǔ)上計算風險，識別殘余風險B．2．5風險治理計劃組織應(yīng)建立一個詳細的日程，或風險治理計劃，對于每一個識別的風險定義a)選擇的處理風險的方法b)已有的控制措施c)建議的新添的控制措施d)實施新建議的控制措施的時間架構(gòu)應(yīng)識別一個可接受的風險的水平，對每一個不在可接受水平內(nèi)的風險應(yīng)從下列方面選擇合適的措施：a)決定接受風險，如，因為不能采取其他措施或太貴b)轉(zhuǎn)移風險，或c)降低風險到可接受的風險風險治理計劃是一個調(diào)和文件，定義降低不可接受風險的水平和實施要求的保護信心的控制措施。采用的方法應(yīng)致力于安全帶餓努力和有效利用資源。信息安全管理體系范圍文件應(yīng)覆蓋：a)建立范圍使用的過程和信息安全管理體系的環(huán)境b)戰(zhàn)略及組織環(huán)境c)組織使用的信息安全風險管理的方法d)信息安全風險評價的標準和所需的確保的程度的要求e)在信息安全管理體系的范圍內(nèi)信息資產(chǎn)的識別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍，另一個管理體系或另一個信息安全管理體系（相同的或一個第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。B．2．3SIMS的范圍ISMS可能覆蓋組織所有的部分。B．2．2信息安全方針）要求組織和其管理層確定包含建立其目標和目的框架，并建立總的方向、信息安全行動原則的信息安全方針。B．2計劃階段B．2．1介紹PDCA循環(huán)的計劃活動是設(shè)計以保證ISMS的內(nèi)容和范圍被正確地建立，所有的信息安全風險被識別和評估，合適的處理風險的計劃被開發(fā)。注：Soc不是SoA[]的替代品。在一些體系中他們可能需要建立在計算機化的過程中以運營和立即回應(yīng)。B．1．3檢查和行動檢查和行動評審階段用來加強、修改和改進已識別和實施的安全方案。計劃階段用來保證為ISMS建立的內(nèi)容和范圍正確地建立，信息安全風險評估和使當?shù)靥幚磉@