【正文】 聲明。從附件A中剪裁的控制措施也應(yīng)加以記錄；i） i）4．2．2實(shí)施和運(yùn)作信息安全管理體系組織應(yīng)：a） a） 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到識(shí)別的控制目標(biāo)，包括對(duì)資金的考慮和落實(shí)安全角色和責(zé)任。 （g）選擇的控制目標(biāo)和措施d） d）e） e） 實(shí)施程序和其他有能力隨時(shí)探測(cè)和回應(yīng)安全事故的控制措施。 執(zhí)行監(jiān)控程序和其他控制措施，以：1） 1） 及時(shí)識(shí)別失敗和成功的安全破壞和事故；3） 3） 確定解決安全破壞的行動(dòng)是否反映了運(yùn)營的優(yōu)先級(jí)。 進(jìn)行常規(guī)的信息安全管理體系有效性的評(píng)審（包括符合安全方針和目標(biāo)，及安全控制措施的評(píng)審）考慮安全評(píng)審的結(jié)果、事故、來自所有利益相關(guān)方的建議和反饋；c） c） 組織2） 2） 業(yè)務(wù)目標(biāo)和過程4） 4） 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會(huì)環(huán)境發(fā)生變化。 在計(jì)劃的時(shí)間段內(nèi)實(shí)施內(nèi)部信息安全管理體系審核。 經(jīng)常進(jìn)行信息安全管理體系管理評(píng)審（至少每年評(píng)審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進(jìn)措施已被識(shí)別（見條款6信息安全管理體系的管理評(píng)審）；f） f） 記錄所采取的行動(dòng)和能夠影響信息安全管理體系的有效性或績效性的事件[]。 實(shí)施已識(shí)別的對(duì)于信息安全管理體系的改進(jìn)措施b） b）c） c）d） d）4．3文件要求4．3．1總則信息安全管理體系文件應(yīng)包括：a） a） 信息安全管理體系范圍[]和程序及支持信息安全管理體系的控制措施c） c）d） d）e） e）g） g）注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a） a） 必要時(shí)對(duì)文件進(jìn)行評(píng)審與更新，并再次批準(zhǔn)；c） c） 確保在使用處可獲得適用文件夾的有關(guān)版本；e） e） 確保文件的發(fā)放在控制狀態(tài)下；h） h） 若因任何原因而保留作廢文件時(shí)，對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。記錄應(yīng)當(dāng)被控制。記錄應(yīng)保持清晰、易于識(shí)別和檢索。需要一個(gè)管理過程確定記錄的程度。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5管理職責(zé)5．1管理承諾管理層應(yīng)提供其承諾建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全管理體系的證據(jù)，包括：a） a） 確保建立信息安全目標(biāo)和計(jì)劃；c） c） 向組織傳達(dá)達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性、在法律條件下組織的責(zé)任及持續(xù)改進(jìn)的需要。 提供足夠的資源以開發(fā)、實(shí)施，運(yùn)行和維護(hù)信息安全管理體系[]。g） g）5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a） a） 確保信息安全程序支持業(yè)務(wù)要求；c） c） 正確地應(yīng)用所有實(shí)施的控制措施維護(hù)足夠的安全；e） e）5．2．2培訓(xùn)，意識(shí)和能力 組織應(yīng)確保所有被分配信息安全管理體系職責(zé)的人員具有能力履行指派的任務(wù)。 確定從事影響信息安全管理體系的人員所必要的能力；b） b） 評(píng)價(jià)提供的培訓(xùn)和所采取行動(dòng)的有效性；d） d）評(píng)審應(yīng)包括評(píng)價(jià)信息安全管理體系改進(jìn)的機(jī)會(huì)和變更的需要，包括安全方針和安全目標(biāo)。 信息安全管理體系審核和評(píng)審的結(jié)果；b） b） 可以用于組織改進(jìn)其信息安全管理體系績效和有效性的技術(shù)，產(chǎn)品或程序；d） d） 以前風(fēng)險(xiǎn)評(píng)估沒有足夠強(qiáng)調(diào)的脆弱性或威脅；f） f） 以往管理評(píng)審的跟蹤措施；g） g） 改進(jìn)的建議。 對(duì)信息安全管理體系有效性的改進(jìn)；b） b） 業(yè)務(wù)要求；2） 2） 業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4） 4） 風(fēng)險(xiǎn)的等級(jí)和/或可接受風(fēng)險(xiǎn)的水平；c） c）6．4內(nèi)部信息安全管理體系審核組織應(yīng)按策劃的時(shí)間間隔進(jìn)行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標(biāo)、控制措施、過程和程序是否：a） a） 符合識(shí)別的信息安全的要求；c） c） 達(dá)到預(yù)想的績效。應(yīng)確定審核的標(biāo)準(zhǔn)，范圍，頻次和方法。審核員不應(yīng)審核他們自己的工作。改進(jìn)措施應(yīng)包括驗(yàn)證采取的措施和報(bào)告驗(yàn)證的結(jié)果[見條款7]。7．2糾正措施組織應(yīng)確定措施，以消除與實(shí)施和運(yùn)行信息安全管理體系有關(guān)的不合格的原因，防止不合格的再發(fā)生。 識(shí)別實(shí)施或運(yùn)行信息安全管理體系中的不合格；b） b） 評(píng)價(jià)確保不合格不再發(fā)生的措施的需求；d） d） 記錄所采取措施的結(jié)果[]。7．3預(yù)防措施組織應(yīng)針對(duì)潛在的不合格確定措施以防止其發(fā)生。應(yīng)為預(yù)防措施編制形成文件的程序，以規(guī)定以下方面的要求：a） a） 確定和實(shí)施所需的預(yù)防措施；c） c） 評(píng)價(jià)所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險(xiǎn)評(píng)估的結(jié)果為基礎(chǔ)確定。附錄A（引用）控制目標(biāo)和控制措施一表中的清單并不徹底，一個(gè)組織可能考慮另外必要的控制目標(biāo)和控制措施。評(píng)審和評(píng)價(jià)應(yīng)經(jīng)常評(píng)審方針文件,尤其在發(fā)生決定性的變化時(shí),確保方針的適宜性BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：在組織中管理信息安全控制措施信息安全管理委員會(huì)信息安全管理委員會(huì)確保明確的目標(biāo)和管理層對(duì)啟動(dòng)安全管理可見的支持。落實(shí)信息安全責(zé)任應(yīng)明確定保護(hù)每種資產(chǎn)和負(fù)責(zé)特定安全過程的責(zé)任對(duì)信息處理設(shè)施的授權(quán)過程應(yīng)建立對(duì)于新的信息處理設(shè)施的管理授權(quán)過程專家信息安全建議應(yīng)從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實(shí)施協(xié)作組織間的合作應(yīng)與執(zhí)法機(jī)關(guān)、主管機(jī)關(guān)、信息服務(wù)提供者，及通信業(yè)者維持適當(dāng)?shù)慕佑|獨(dú)立的信息安全審查應(yīng)對(duì)信息安全方針的實(shí)施進(jìn)行獨(dú)立的審查控制目標(biāo)：維護(hù)組織的信息處理設(shè)施及信息資產(chǎn)被第三方訪問時(shí)的安全控制措施確認(rèn)第三方訪問的風(fēng)險(xiǎn)應(yīng)對(duì)第三方訪問組織的信息處理設(shè)施所帶來的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并實(shí)施適當(dāng)?shù)陌踩刂婆c第三方合約中的安全要求涉及第三方訪問組織的信息處理設(shè)施的安排，應(yīng)以包含必要的安全要求在內(nèi)的正式合約為基礎(chǔ)。.A．5資產(chǎn)分類與控制BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：降低因人員錯(cuò)誤、偷竊、詐欺或不當(dāng)使用設(shè)施所造成的風(fēng)險(xiǎn)控制措施將安全需求列入工作職責(zé)中組織在信息安全方針中所規(guī)定的安全職責(zé)及責(zé)任，應(yīng)適度地書面化于工作職責(zé)說明書中人員篩審及政策應(yīng)在招聘員工時(shí)執(zhí)行正式員工的驗(yàn)證查核保密合約員工應(yīng)簽署保密協(xié)議作為其啟始聘用合同的一部分聘用合同聘用合同中的應(yīng)陳述員工對(duì)信息安全的責(zé)任控制目標(biāo)：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力控制措施信息安全的教育與培訓(xùn)組織的所有員工以及相關(guān)的第三方使用者，對(duì)于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練控制目標(biāo)：將安全及失效事件所造成的損害降到最小，并監(jiān)督此類事件，從中學(xué)習(xí)安全事故報(bào)告安全事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M(jìn)行通報(bào)安全弱點(diǎn)的報(bào)告應(yīng)要求信息服務(wù)的使用者記下并報(bào)告任何觀察到的或可疑的有關(guān)系統(tǒng)或服務(wù)方面的安全弱點(diǎn)或威脅軟件失效事件的報(bào)告應(yīng)建立報(bào)告軟件失效事件的相關(guān)程序從事件中學(xué)習(xí)應(yīng)有適當(dāng)機(jī)制的以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量、及成本懲處的流程員工違反組織安全方針及程序，應(yīng)由正式的懲處流程來處理BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：防止對(duì)企業(yè)運(yùn)行所在地及信息未經(jīng)授權(quán)的進(jìn)入、訪問、破壞及干擾控制措施實(shí)體安全邊界組織應(yīng)有安全的邊界以保護(hù)包含信息處理設(shè)施的區(qū)域?qū)嶓w進(jìn)出控制安全區(qū)域應(yīng)有適當(dāng)?shù)倪M(jìn)出控制加以保護(hù)，以確保只有經(jīng)授權(quán)的人員可以進(jìn)出應(yīng)對(duì)在安全區(qū)域中進(jìn)行的作業(yè)有額外的控制方法及指導(dǎo)原則以加強(qiáng)安全區(qū)域的安全操作日志應(yīng)受到經(jīng)常性的，獨(dú)立的審查?？刂拼胧┛梢苿?dòng)式計(jì)算機(jī)存儲(chǔ)媒體的管理對(duì)于可移動(dòng)式計(jì)算機(jī)儲(chǔ)存媒體例如磁帶、磁盤以及打印出來的報(bào)告的管理應(yīng)回以控制存儲(chǔ)媒體的報(bào)廢不再需要的儲(chǔ)存媒體，應(yīng)可靠并安全地處置信息的處理程序應(yīng)建立信息的處理及儲(chǔ)存程序，以保護(hù)信息不被未經(jīng)授權(quán)的泄漏或不當(dāng)使用系統(tǒng)文件的安全應(yīng)保護(hù)系統(tǒng)文件以防未經(jīng)授權(quán)的訪問控制目標(biāo)：防止在組織間交換的信息遭受遺失、修改及不當(dāng)使用控制措施信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時(shí)，應(yīng)簽訂協(xié)議，其中有些可能是正式的協(xié)議書存儲(chǔ)媒體的運(yùn)送安全運(yùn)送存儲(chǔ)媒體時(shí)應(yīng)保護(hù)其不遭受未經(jīng)授權(quán)的泄漏、不當(dāng)使用或毀壞電子商務(wù)安全應(yīng)保護(hù)電子商務(wù)免于詐欺行為、合約爭議以及信息被泄漏及修改電子郵件的安全應(yīng)開發(fā)一份電子郵件的使用策略，并應(yīng)有降低電子郵件所造成的安全風(fēng)險(xiǎn)的適當(dāng)控制方法電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與安全風(fēng)險(xiǎn)，各項(xiàng)政策與指導(dǎo)原則應(yīng)加以擬定并實(shí)施開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過程，應(yīng)保護(hù)這類信息的完整性以防止未經(jīng)授權(quán)的修改其它形式的信息交換應(yīng)有適當(dāng)?shù)牟呗浴⒊绦蚣翱刂品椒▉肀Ｗo(hù)經(jīng)由傳真、語音及影像等通訊設(shè)施進(jìn)行的信息交換BS ISO/IEC 17799:2000編號(hào)控制目標(biāo)：控制對(duì)于信息的訪問控制措施訪問控制策略企業(yè)營運(yùn)對(duì)訪問控制的要求應(yīng)加以界定并文件化，對(duì)于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制控制目標(biāo)：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實(shí)和維護(hù)控制措施使用者注冊(cè)應(yīng)有正式的使用者注冊(cè)及注銷的程序，以進(jìn)行所有的多人使用信息系統(tǒng)及服務(wù)的訪問授權(quán)特殊權(quán)限的管理對(duì)于特殊權(quán)限的分配及使用，應(yīng)加以限制及控制使用者密碼管理對(duì)密碼的分配，應(yīng)通過正式的管理流程加以控制使用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對(duì)于使用者的訪問權(quán)限實(shí)施評(píng)審A..控制目標(biāo)：防止未經(jīng)授權(quán)的使用者訪問控制措施密碼的使用應(yīng)要求使用者在選擇及使用密碼時(shí)，遵循良好的安全慣例無人看管的使用者設(shè)備應(yīng)要求使用者確保無人看管的使用者設(shè)備有適當(dāng)?shù)谋Ｗo(hù)控制目標(biāo)：保護(hù)網(wǎng)絡(luò)化的服務(wù)控制措施使用網(wǎng)絡(luò)服務(wù)的政策使用者應(yīng)僅能直接訪問已獲得特別授權(quán)使用的服務(wù)強(qiáng)制性的路徑由使用者的終端機(jī)至計(jì)算機(jī)服務(wù)器羊的路徑應(yīng)加以控制外部聯(lián)機(jī)的使用者認(rèn)證應(yīng)對(duì)遠(yuǎn)程使用者的訪問進(jìn)行使用者認(rèn)證節(jié)點(diǎn)認(rèn)證到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的聯(lián)機(jī)應(yīng)被認(rèn)證遠(yuǎn)程診斷端口的保護(hù)對(duì)于診斷斷口的訪問應(yīng)可靠地加以控制網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息服務(wù)、使用者及信息系統(tǒng)的控制方法網(wǎng)絡(luò)聯(lián)機(jī)的控制在分享式的網(wǎng)絡(luò)中，使用者的聯(lián)機(jī)能力應(yīng)依照訪問控制策略加以限制網(wǎng)絡(luò)路由的控制在分享式的