【正文】 信息安全管理體系的方針，方針應(yīng)：1） 1） 應(yīng)用業(yè)務(wù)的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。為滿足該標(biāo)準(zhǔn)的目的，使用的過程建立在圖一所示的PDCA模型基礎(chǔ)上。這些控制目標(biāo)和控制措施是建立在風(fēng)險(xiǎn)評估和處理過程的結(jié)論和結(jié)果基礎(chǔ)上。3．9風(fēng)險(xiǎn)評價把估計(jì)風(fēng)險(xiǎn)與給出的風(fēng)險(xiǎn)標(biāo)準(zhǔn)相比較，確定風(fēng)險(xiǎn)嚴(yán)重性的過程。3．5完整性保護(hù)信息和處理方法的準(zhǔn)確和完整。[BS ISO/IEC17799：2000]3．3信息安全安全保護(hù)信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個管理體系的一部分，建立在運(yùn)營風(fēng)險(xiǎn)的方法上，以建立、實(shí)施、動作、監(jiān)控、評審、維護(hù)和改進(jìn)信息安全。3．1可用性 保證被授權(quán)的使用者需要時能夠訪問信息及相關(guān)資產(chǎn)。2引用標(biāo)準(zhǔn) ISO9001：2000質(zhì)量管理體系要求 ISO/IEC17799：2000信息技術(shù)—信息安全管理實(shí)踐指南 ISO指南73：2001風(fēng)險(xiǎn)管理指南名詞任何能夠滿足風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)的刪減必須證明是正當(dāng)?shù)牟⑿枰峁┳C據(jù)證明相關(guān)風(fēng)險(xiǎn)被負(fù)責(zé)人員正當(dāng)?shù)亟邮堋．?dāng)本標(biāo)準(zhǔn)的任何要求因組織及其產(chǎn)品的特點(diǎn)而不適用時，可以考慮對其進(jìn)行刪減。這將轉(zhuǎn)化為維護(hù)和提高競爭優(yōu)勢、現(xiàn)金流、羸利能力、法律符合和商務(wù)形象。（附錄B提供使用規(guī)范的指南）。1 范圍1．1概要本標(biāo)準(zhǔn)提供在組織整個動作風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、動作、監(jiān)控、評審、維護(hù)和改進(jìn)一個文件化的信息安全管理體系的模型。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對應(yīng)關(guān)系，本標(biāo)準(zhǔn)使組織能夠聯(lián)合或整合其信息安全管理體系及相關(guān)管理體系的要求。 改進(jìn)（維護(hù)和改進(jìn)信息安全管理體系） 在管理評審的結(jié)果的基礎(chǔ)上，采取糾正和預(yù)防措施以 持續(xù)改進(jìn)信息安全管理體系。 實(shí)施（實(shí)施和動作信息安全管理體系 實(shí)施和動作信息安全方針、控制措施、過程和程序。實(shí)施和運(yùn)作ISMS維護(hù)和改進(jìn)ISMS信息安全需求和期望注：名詞“程序”，從傳統(tǒng)來講，用在信息安全方面意味著員工工作的過程，而不是計(jì)算機(jī)或其它電子概念。例2一個期望可以是如果嚴(yán)重的事故發(fā)生如：組織的電子商務(wù)網(wǎng)站被黑客入侵—將有被培訓(xùn)過的員工通過適用的程序減少其影響。圖一展示信息安全管理體系怎樣考慮輸入利益相關(guān)方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。 在客觀的測量，持續(xù)改進(jìn)過程。 在全面管理組織業(yè)務(wù)風(fēng)險(xiǎn)的環(huán)境下實(shí)施和動作控制措施；c） c）過程的方法鼓勵使用者強(qiáng)調(diào)以下方面的重要性：a） a）通常，一個過程的輸出直接形成了下一個過程的輸入。為使組織有效動作，必須識別和管理眾多相互關(guān)聯(lián)的活動。0．2過程方法本標(biāo)準(zhǔn)鼓勵采用過程的方法建立、實(shí)施、和改進(jìn)組織的信息安全管理體系的有效性。本標(biāo)準(zhǔn)能用于內(nèi)部、外部包括認(rèn)證組織使用，評定一個組織符合其本身的需要及客戶和法律的要求的能力。希望簡單的情況使用簡單的信息安全解決方案。一個組織信息安全管理體系的設(shè)計(jì)和實(shí)施受運(yùn)營需求、具體目標(biāo)、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。附件B（情報(bào)性的）本標(biāo)準(zhǔn)使用指南B1概況 B2計(jì)劃階段 B3實(shí)施階段 、培訓(xùn)和意識 B4實(shí)施階段 B5改進(jìn)階段 附件C(情報(bào))ISO9001:2000、ISO14001與BS77992：2002條款對照0 介紹0．1 總則本標(biāo)準(zhǔn)的目的是為管理者和他們的員工們提供建立和管理一個有效的信息安全管理體系（信息安全管理體系）有模型。目 錄前言0 介紹0．1總則0．2過程方法0． 0．英國標(biāo)準(zhǔn)——BS77992:2002信息安全管理體系——規(guī)范與使用指南 3其他管理體系的兼容性1 范圍1．1概要1．2應(yīng)用2標(biāo)準(zhǔn)參考3名詞與定義4信息安全管理體系要求 4．1總則 4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實(shí)施和運(yùn)營(對照中文ISO9001確認(rèn))？信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護(hù)和改進(jìn)信息安全管理體系 4．3文件化要求4．3．1總則4．3．2文件控制4．3．3記錄控制5管理職責(zé)5．1管理承諾？（對照中文ISO9001確認(rèn)）5．2資源管理5．2．1資源提供 5．2．2培訓(xùn)、意識和能力6信息安全管理體系管理評審 6．1總則 6．2評審輸入？（對照中文ISO9001確認(rèn)） 6．3評審輸出？（對照中文IS9001確認(rèn)）7信息安全管理體系改進(jìn) 7．1持續(xù)改進(jìn) 7．2糾正措施 7．3預(yù)防措施附件A（有關(guān)標(biāo)準(zhǔn)的）控制目標(biāo)和控制措施 A．1介紹 A．2最佳實(shí)踐指南 A．3安全方針 A．4組織安全 A．5資產(chǎn)分級和控制 A．6人事安全 A．7實(shí)體和環(huán)境安全 A．8通信與運(yùn)營安全 A．9訪問控制A．10系統(tǒng)開發(fā)和維護(hù) A．11業(yè)務(wù)連續(xù)性管理 A．12符合采用信息安全管理體系應(yīng)當(dāng)是一項(xiàng)組織的戰(zhàn)略決策。上述因素和他們的支持過程會不斷發(fā)生變化。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動可視為過程。組織內(nèi)諸過程的系統(tǒng)的應(yīng)用，連同這些過程的識別和相互作用及其慣例，課程只為：“過程方法”。 理解業(yè)務(wù)動作對信息安全的需求和建立信息安全方針和目標(biāo)的需要；b） b） 監(jiān)控和評審信息安全管理體系的有效性和績效；d） d）本標(biāo)準(zhǔn)采用的模型就是說眾所周知的“Plan策劃Do實(shí)施Check檢查Act處置”（PDCA）模型，適用于所有信息安全管理體系的過程。圖一同時展示了6和7章中所提出的過程聯(lián)系。例1一個需求是信息安全事故不要引起組織的財(cái)務(wù)損失和/或引起高層主管的尷尬。PDCA模型應(yīng)用與信息安全管理體系過程 計(jì)劃PLAN 建立ISMS 相關(guān)單位管理狀態(tài)下的信息安全相關(guān)單位 實(shí)施 改進(jìn) 監(jiān)控和評審ISMS用 DO ACTION 檢查CHECK計(jì)劃（建立信息安全管理體系） 建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的安全方針、目標(biāo)、目的、過程和程序，以達(dá)到與組織整體方針和 目標(biāo)相適應(yīng)的結(jié)果。 檢查（監(jiān)控和評審信息安全管理體系） 針對安全方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)等評審和（如果適用） 職測量過程的績效并向管理層報(bào)告結(jié)果供評審使用。 0．3與其他管理體系標(biāo)準(zhǔn)的兼容性本標(biāo)準(zhǔn)與ISO9001：2000與ISO16949：1996相結(jié)合以支持實(shí)施和動作安全體系的一致性和整合。 它規(guī)范了對定制實(shí)施安全控制措施以適應(yīng)不同組織或相關(guān)部分的需求。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護(hù)信息資產(chǎn)并給與客戶和其他利益相關(guān)方信心。1．2應(yīng)用本標(biāo)準(zhǔn)規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。除非刪減不影響組織的能力、和/或責(zé)任提供符合由風(fēng)險(xiǎn)評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標(biāo)準(zhǔn)。對于條款4，5，6和7的要求的刪減不能接受。3名詞和定義從本英國標(biāo)準(zhǔn)的目的出發(fā)，以下名詞和定義適用。[BS ISO/IEC17799：2000]3．2保密性保證信息只被授權(quán)的人訪問。注：管理體系包括組織的架構(gòu)、方針、策劃活動、職責(zé)、實(shí)踐、程序、過程和資源。[BS ISO/IEC17799：2000]3．6風(fēng)險(xiǎn)接受接受一個風(fēng)險(xiǎn)的決定[ISO Guide 73]3．7風(fēng)險(xiǎn)分析系統(tǒng)地使用信息識別來源和估計(jì)風(fēng)險(xiǎn)[ISO Guide 73]3．8風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價的整個過程[ISO Guide 73][ISO Guide 73]3．10風(fēng)險(xiǎn)管理指導(dǎo)和控制組織風(fēng)險(xiǎn)的聯(lián)合行動3．11風(fēng)險(xiǎn)處理選擇和實(shí)施措施以更改風(fēng)險(xiǎn)的處理過程[ISO Guide 73]3．12適用性聲明描述適用于組織的信息安全管理體系范圍的控制目標(biāo)和控制措施。4．信息安全管理體系要求4．1總要求組織應(yīng)在整體業(yè)務(wù)活動和風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)文件化的信息安全管理體系。4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系組織應(yīng)：a） a）b） b） 包括為其目標(biāo)建立一個框架并為信息安全活動建立整體的方向和原則。 考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)。 建立組織戰(zhàn)略和風(fēng)險(xiǎn)管理的環(huán)境，在這種環(huán)境下，建立和維護(hù)信息安全管理體系。 建立風(fēng)險(xiǎn)評價的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)評估定義的結(jié)構(gòu)。 經(jīng)管理層批準(zhǔn)c） c）為信息安全管理體系建立方針和目標(biāo)以降低風(fēng)險(xiǎn)至可接受的水平。 確定風(fēng)險(xiǎn)：1） 1） 識別對這些資產(chǎn)的威脅3） 3） 別資產(chǎn)失去保密性、完整性和可用性的影響e） e） 評估由于安全故障帶來的業(yè)務(wù)損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2） 2） 估計(jì)風(fēng)險(xiǎn)的等級4） 4） 應(yīng)用合適的控制措施2） 2） 避免風(fēng)險(xiǎn)；4） 4）g） g）注意：附件A中列出的控制目標(biāo)和控制措施，作為本標(biāo)準(zhǔn)的一部分，并不是所有的控制目標(biāo)和措施，組織可能選擇另加的控制措施。 準(zhǔn)備一份適用性