【正文】 （僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 43 附錄一 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。 ? 所以，我們經(jīng)常提到 27001，實(shí)際上 27001應(yīng)該是 ISO/IEC 27001和ISO/IEC 17799的組合體，兩者缺一不可。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 41 區(qū)別 ? ISO/IEC 17799－ 《 信息技術(shù) —— 信息安全管理實(shí)施細(xì)則 》 ? ISO/IEC 27001－ 《 信息技術(shù) —— 信息安全管理體系要求 》 ? 17799重點(diǎn)關(guān)注的是實(shí)施細(xì)則，同時(shí)，針對(duì) 17799并沒有認(rèn)證機(jī)制。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 39 認(rèn)證審核－獲得證書 ? 所有審核工作結(jié)束并達(dá)到要求后，用戶會(huì)得到證書。 ? 證實(shí)受審核組織是否按照其方針、目標(biāo)和程序，執(zhí)行工作。 ? 現(xiàn)場(chǎng)審核的內(nèi)容包括會(huì)議、現(xiàn)場(chǎng)調(diào)查、形成審核發(fā)現(xiàn)、舉行末次會(huì)議和報(bào)告審核結(jié)果等。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。 (9) 管理評(píng)審程序 “ 管理評(píng)審 ” 過(guò)程不一定要形成文件，但最好形成 “ 管理評(píng)審程序 ” 文件，以方便實(shí)際工作。 “ 糾正措施程序 ” 和 “ 預(yù)防措施程序 ” 通常可以合并成一個(gè)文件。 (7) 糾正措施與預(yù)防措施程序 根據(jù) ISO/IEC 27001:2023標(biāo)準(zhǔn)的 “ ” 的要求，要有形成文件的 “ 糾正措施程序 ” 。 (5) 記錄控制程序 根據(jù) ISO/IEC 27001:2023標(biāo)準(zhǔn)的 “ ” 的要求，要有形成文件的 “ 記錄控制程序 ” 。該程序文件運(yùn)行的結(jié)果應(yīng)產(chǎn)生 《 風(fēng)險(xiǎn)處理計(jì)劃 》 。 (3) 風(fēng)險(xiǎn)處理程序 根據(jù) ISO/IEC 27001:2023標(biāo)準(zhǔn) “ ”f)的要求 , 要有形成文件的 “ 風(fēng)險(xiǎn)處理計(jì)劃 ” 。為了減少文件量，可創(chuàng)建一個(gè) 《 風(fēng)險(xiǎn)評(píng)估程序 》 。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 37 認(rèn)證審核－桌面審核 強(qiáng)制性 ISMS文件 說(shuō)明 (1) ISMS方針文件，包括 ISMS的范圍 根據(jù) ISO/IEC 27001:2023標(biāo)準(zhǔn) “ ”a)和 b)的要求。 ? 預(yù)審是審核員通過(guò)使用“差距分析”方法，分析和檢查組織的 ISMS與ISO/IEC 27001： 2023要求的差距，包括 (但不僅限于 )： ? 分析 ISMS方針與程序，組織當(dāng)前的業(yè)務(wù)保護(hù)情況； ? 檢查 ISMS是否與其實(shí)際業(yè)務(wù)融合一起； ? 檢查 ISMS是否符合正式審核的基本條件； ? 檢查組織還有哪些未能按照標(biāo)準(zhǔn)要求進(jìn)行運(yùn)行的領(lǐng)域，包括員工的安全意識(shí)和員工是否知道 ISMS 等； ? 檢查 ISMS運(yùn)行的時(shí)間長(zhǎng)度。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 35 提出申請(qǐng) ? 待 ISMS穩(wěn)定運(yùn)行一段時(shí)間之后，可以考慮提出審核申請(qǐng)。 ? ISMS初步建立之后，需要運(yùn)行一段時(shí)間，針對(duì)出現(xiàn)的問(wèn)題進(jìn)行修正。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 34 建設(shè) ISMS（續(xù)） ? 文件化很重要，針對(duì)標(biāo)準(zhǔn) ，各個(gè)層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來(lái)協(xié)助進(jìn)行。 ? 建設(shè) ISMS的工作不是一個(gè)純粹的 IT建設(shè)，而是建立一個(gè)循序漸進(jìn)的體系，需要公司的全員配合，特別是公司領(lǐng)導(dǎo)層重視，需要成立專門的團(tuán)隊(duì)來(lái)負(fù)責(zé)這項(xiàng)工作。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 33 建設(shè) ISMS ? 第一步工作是建設(shè) ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進(jìn)行，前提是該組織擁有專業(yè)的人才。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。 ? 預(yù)防措施 為了防止將來(lái)出現(xiàn)不一致，應(yīng)該確定防護(hù)措施。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 31 第八章 ISMS 改進(jìn) ? 持續(xù)改進(jìn) 組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計(jì)結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、管理復(fù)審來(lái)持續(xù)改進(jìn) ISMS 的效力。 ? 評(píng)審輸出 評(píng)審成果，應(yīng)該包含任何決策及相關(guān)行動(dòng)。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 30 第七章 ISMS 的管理評(píng)審 ? 概要 管理層應(yīng)該對(duì)組織的 ISMS 定期進(jìn)行評(píng)審，確保其持續(xù)適宜、充分和有效。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 29 第六章 ISMS 內(nèi)部審計(jì) ? 組織應(yīng)該通過(guò)定期的內(nèi)部審計(jì)來(lái)確定 ISMS 的控制目標(biāo)、控制、過(guò)程和程序滿足相關(guān)要求。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 28 第五章 管理職責(zé) ? 管理層責(zé)任 說(shuō)明管理層在 ISMS 建設(shè)過(guò)程中應(yīng)該承擔(dān)的責(zé)任 。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為 ISMS 得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。一級(jí)文件至少包括（可能不限于此）： ? 信息安全方針 ? 風(fēng)險(xiǎn)評(píng)估報(bào)告 ? 適用性聲明（ SoA） ? 二級(jí)文件 ：各類程序文件。信息安全手冊(cè)包含各個(gè)一級(jí)文件。 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體 配色參考方案： 建議同一頁(yè)面內(nèi)不超過(guò)四種顏色，以下是13組配色方案，同一頁(yè)面內(nèi)只選擇一組使用。（僅供參考） 客戶或者合作伙伴的標(biāo)志放在右上角 . Page 25 第四章 信息安全管理體系 (續(xù) ) ? 保持和改進(jìn) ISMS(ACT) ? 對(duì) ISMS 實(shí)施可識(shí)別的改進(jìn) ? 采取恰當(dāng)?shù)募m正和預(yù)防措施 ? 與所有利益伙伴溝通 ? 確保改進(jìn)成果滿足其預(yù)期目標(biāo) P D C A 英文標(biāo)題 :3235pt 顏色 : R153 G0 B0 內(nèi)部使用字體 : FrutigerNext LT Medium 外部使用字體 : Arial 中文標(biāo)題 :3032pt 顏色 : R153 G0 B0 字體 :黑體 英文正文 :2022pt 子目錄 (25級(jí) ) :18pt 顏色 :黑色 內(nèi)部使用字體 : FrutigerNext LT Regular 外部使用字體 : Arial 中文正文 :1820pt 子目錄 (25級(jí) ):18pt 顏色 :黑色 字體 :細(xì)黑體