信息安全管理體系-規(guī)范與使用指南(-33)

1、.：.；英國規(guī)范BS7799-2:2002信息平安管理體系規(guī)范與運用指南 目 錄前言0 引見01總那么02過程方法0 3其他管理體系的兼容性1 范圍11概要12運用2規(guī)范參考3名詞與定義4信息平安管理體系要求 41總那么 42建立和管理信息平安管理體系421建立信息平安管理體系422實施和運營(對照中文ISO9001確認)？信息平安管理體系423監(jiān)控和評審信息平安管理體系424維護和改良信息平安管理體系 43文件化要求431總那么432文件控制433記錄控制5管理職責51管理承諾？對照中文ISO9001確認52資源管理521資源提供 522培訓、認識和才干6信息平安管理體系管理評審 61總那么

2、 62評審輸入？對照中文ISO9001確認 63評審輸出？對照中文IS9001確認7信息平安管理體系改良 71繼續(xù)改良 72糾正措施 73預防措施附件A有關規(guī)范的控制目的和控制措施 A1引見 A2最正確實際指南 A3平安方針 A4組織平安 A5資產分級和控制 A6人事平安 A7實體和環(huán)境平安 A8通訊與運營平安 A9訪問控制A10系統(tǒng)開發(fā)和維護 A11業(yè)務延續(xù)性管理 A12符合附件B情報性的本規(guī)范運用指南B1概略 B.1.1PDCA模型 B.1.2方案與實施 B.1.3檢查與改良 B.1.4控制措施小結B2方案階段 B.2.1引見 B.2.2信息平安方針 B.2.3信息平安管理體系范圍 B.2

3、.4風險識別與評價 B2.5風險處置方案B3實施階段 B.3.1引見 B.3.2資源、培訓和認識 B.3.3風險處置B4實施階段 B.4.1引見 B.4.2常規(guī)檢查 B.4.3自我監(jiān)視程序 B.4.4從其它事件中學習 B.4.5審核 B.4.6管理評審 B.4.7趨勢分析B5改良階段 B.5.1引見 B.5.2不符合項 B.5.3糾正和預防措施 B.5.4OECD原那么和BS7799-2附件C(情報)ISO9001:2000、ISO14001與BS7799-2：2002條款對照0 引見01 總那么本規(guī)范的目的是為管理者和他們的員工們提供建立和管理一個有效的信息平安管理體系信息平安管理體系有模型

4、。采用信息平安管理體系該當是一項組織的戰(zhàn)略決策。一個組織信息平安管理體系的設計和實施受運營需求、詳細目的、平安需求、所采用的過程及該組織的規(guī)模和構造的影響。上述要素和他們的支持過程會不斷發(fā)生變化。希望簡單的情況運用簡單的信息平安處理方案。本規(guī)范能用于內部、外部包括認證組織運用，評定一個組織符合其本身的需求及客戶和法律的要求的才干。02過程方法本規(guī)范鼓勵采用過程的方法建立、實施、和改良組織的信息平安管理體系的有效性。為使組織有效動作，必需識別和管理眾多相互關聯(lián)的活動。經過運用資源和管理，將輸入轉化為輸出的活動可視為過程。通常，一個過程的輸出直接構成了下一個過程的輸入。組織內諸過程的系統(tǒng)的運用，連

5、同這些過程的識別和相互作用及其慣例，課程只為：“過程方法。過程的方法鼓勵運用者強調以下方面的重要性：a 了解業(yè)務動作對信息平安的需求和建立信息平安方針和目的的需求；b 在全面管理組織業(yè)務風險的環(huán)境下實施和動作控制措施；c 監(jiān)控和評審信息平安管理體系的有效性和績效；d 在客觀的丈量，繼續(xù)改良過程。本規(guī)范采用的模型就是說眾所周知的“Plan謀劃-Do實施-Check檢查-Act處置PDCA模型，適用于一切信息平安管理體系的過程。圖一展現(xiàn)信息平安管理體系怎樣思索輸入利益相關方的住處平安需求和期望，經過必要的行動措施和過程，產生信息平安結果即：管理形狀下的信息平安，滿足那些需求和期望。圖一同時展現(xiàn)了4

6、、5、6和7章中所提出的過程聯(lián)絡。例1一個需求是信息平安事故不要引起組織的財務損失和/或引起高層主管的為難。例2一個期望可以是假設嚴重的事故發(fā)生-如：組織的電子商務網站被黑客入侵將有被培訓過的員工經過適用的程序減少其影響。注：名詞“程序，從傳統(tǒng)來講，用在信息平安方面意味著員工任務的過程，而不是計算機或其它電子概念。PDCA模型運用與信息平安管理體系過程 方案PLAN 建立ISMS 相關單位管理形狀下的信息平安相關單位 信息平安需求和期望 實施和運作ISMS維護和改良ISMS實施 改良 監(jiān)控和評審ISMS用 DO ACTION檢查CHECK方案建立信息平安管理體系 建立與管理風險和改良信息平安有

7、關的平安方針、目標、目的、過程和程序，以到達與組織整體方針和 目的相順應的結果。 實施實施和動作信息平安管理體系 實施和動作信息平安方針、控制措施、過程和程序。 檢查監(jiān)控和評審信息平安管理體系 針對平安方針、目的和實際閱歷等評審和假設適用 職丈量過程的績效并向管理層報告結果供評審運用。 改良維護和改良信息平安管理體系 在管理評審的結果的根底上，采取糾正和預防措施以 繼續(xù)改良信息平安管理體系。 03與其他管理體系規(guī)范的兼容性本規(guī)范與ISO9001：2000與ISO16949：1996相結合以支持實施和動作平安體系的一致性和整合。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的

8、對應關系，本規(guī)范使組織可以結合或整合其信息平安管理體系及相關管理體系的要求。 1 范圍11概要本規(guī)范提供在組織整個動作風險的環(huán)境下建立、實施、動作、監(jiān)控、評審、維護和改良一個文件化的信息平安管理體系的模型。它規(guī)范了對定制實施平安控制措施以順應不同組織或相關部分的需求。附錄B提供運用規(guī)范的指南。信息平安管理體系保證足夠的和成比例的平安控制措施以充分維護信息資產并給與客戶和其他利益相關方自信心。這將轉化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利才干、法律符合和商務籠統(tǒng)。12運用本規(guī)范規(guī)定的一切要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產品的組織。當本規(guī)范的任何要求因組織及其產品的特點而不適用時，

9、可以思索對其進展刪減。除非刪減不影響組織的才干、和/或責任提供符合由風險評價和適用的法律確定的信息平安要求，否那么不能聲稱符合本規(guī)范。任何可以滿足風險接受規(guī)范的刪減必需證明是正當?shù)牟⑿枨筇峁┳C據(jù)證明相關風險被擔任人員正當?shù)亟邮?。對于條款4，5，6和7的要求的刪減不能接受。2援用規(guī)范 ISO9001：2000質量管理體系-要求 ISO/IEC17799：2000信息技術信息平安管理實際指南 ISO指南73：2001風險管理指南-名詞3名詞和定義從本英國規(guī)范的目的出發(fā)，以下名詞和定義適用。31可用性 保證被授權的運用者需求時可以訪問信息及相關資產。BS ISO/IEC17799：200032嚴密性

10、保證信息只被授權的人訪問。BS ISO/IEC17799：200033信息平安平安維護信息的嚴密性、完好性和可用性34信息平安管理體系信息平安管理體系是整個管理體系的一部分，建立在運營風險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改良信息平安。注：管理體系包括組織的架構、方針、謀劃活動、職責、實際、程序、過程和資源。35完好性維護信息和處置方法的準確和完好。BS ISO/IEC17799：200036風險接受接受一個風險的決議ISO Guide 7337風險分析系統(tǒng)地運用信息識別來源和估計風險ISO Guide 7338風險評價風險分析和風險評價的整個過程ISO Guide 7339風險

11、評價把估計風險與給出的風險規(guī)范相比較，確定風險嚴重性的過程。ISO Guide 73310風險管理指點和控制組織風險的結合行動311風險處置選擇和實施措施以更改風險的處置過程ISO Guide 73312適用性聲明描畫適用于組織的信息平安管理體系范圍的控制目的和控制措施。這些控制目的和控制措施是建立在風險評價和處置過程的結論和結果根底上。4信息平安管理體系要求41總要求組織應在整體業(yè)務活動和風險的環(huán)境下建立、實施、維護和繼續(xù)改良文件化的信息平安管理體系。為滿足該規(guī)范的目的，運用的過程建立在圖一所示的PDCA模型根底上。42建立和管理信息平安管理體系421建立信息平安管理體系組織應：a 運用業(yè)務

12、的性質、組織、其方位、資產和技術確定信息平安管理體系的范圍。b 運用組織的業(yè)務性質、組織、方位、資產和技術確定信息平安管理體系的方針，方針應：1 包括為其目的建立一個框架并為信息平安活動建立整體的方向和原那么。2 思索業(yè)務及法律或法規(guī)的要求，及合同的平安義務。3 建立組織戰(zhàn)略和風險管理的環(huán)境，在這種環(huán)境下，建立和維護信息平安管理體系。4 建立風險評價的規(guī)范和風險評價定義的構造。5 經管理層同意c 確定風險評價的系統(tǒng)化的方法識別適用于信息平安管理體系及已識別的信息平安、法律和法規(guī)的要求的風險評價的方法。為信息平安管理體系建立方針和目的以降低風險至可接受的程度。確定接受風險的規(guī)范和識別可接受風險的

13、程度見5.1fd 確定風險：1 在信息平安管理體系的范圍內，識別資產及其責任人2 識別對這些資產的要挾3 識別能夠被要挾利用的脆弱性4 別資產失去嚴密性、完好性和可用性的影響e 評價風險1 評價由于平安缺點帶來的業(yè)務損害，要思索資產失去嚴密性、完好性和可用性的潛在后果；2 評價與這些資產相關的主要要挾、脆弱點和影響呵斥此類事故發(fā)生的現(xiàn)實的能夠性和現(xiàn)存的控制措施；3 估計風險的等級4 確定引見風險或運用在c中建立的規(guī)范進展衡量確定需求處置；f 識別和評價供處置風險的可選措施：能夠的行動包括：1 運用適宜的控制措施2 知道并有目的地接受風險，同時這些措施能清楚地滿足組織方針和接受風險的規(guī)范3 防止

14、風險；4 轉移相關業(yè)務風險到其他方面如：保險業(yè)，供應商等。g 選擇控制目的和控制措施處置風險： 應從本規(guī)范附件A中列出的控制目的和控制措施，選擇應該根據(jù)風險評價和風險處置過程的結果調整。留意：附件A中列出的控制目的和控制措施，作為本規(guī)范的一部分，并不是一切的控制目的和措施，組織能夠選擇另加的控制措施。h 預備一份適用性聲明。從上面4.2.1g選擇的控制目的和控制措施以及被選擇的緣由應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄；i 提議的剩余風險應獲得管理層同意并授權實施和動作信息平安管理體系。422實施和運作信息平安管理體系組織應：a 識別適宜的管理行動和確定管理信息平安風險的

15、優(yōu)先順序即：風險處置方案-見條款5；b 實施風險處置方案以到達識別的控制目的，包括對資金的思索和落實平安角色和責任。c 實施在4.2.1g選擇的控制目的和措施d 培訓和認識見5.2.2;e 管理動作過程；f 管理資源見5.2；g 實施程序和其他有才干隨時探測和回應平安事故的控制措施。423監(jiān)控和評審信息平安管理體系組織應：a 執(zhí)行監(jiān)控程序和其他控制措施，以：1 實時探測處置結果中的錯誤；2 及時識別失敗和勝利的平安破壞和事故；3 可以使管理層確定分派給員工的或經過信息技術實施的平安活動能否到達了預期的目的；4 確定處理平安破壞的行動能否反映了運營的優(yōu)先級。b 進展常規(guī)的信息平安管理體系有效性的

16、評審包括符合平安方針和目的，及平安控制措施的評審思索平安評審的結果、事故、一切利益相關方的建議和反響；c 評審剩余風險和可接受風險的程度，思索以下方面的變化：1 組織2 技術3 業(yè)務目的和過程4 識別要挾5 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。d 在方案的時間段內實施內部信息平安管理體系審核。e 經常進展信息平安管理體系管理評審至少每年評審一次以保證信息平安管理體系的范圍依然足夠，在信息平安檢查管理體系過程中的改良措施已被識別見條款6信息平安管理體系的管理評審；f 記錄所采取的行動和可以影響信息平安管理體系的有效性或績效性的事件見4.3.4。424維護和改良信息平安管理體

17、系組織應經常：a 實施已識別的對于信息平安管理體系的改良措施b 采取適宜的糾正和預防措施運用從其他組織的平安閱歷和組織內學到的知識。c 溝通結果和行動并得到一切參與的相關方的贊同。d 確保改良展動到達了預期的目的。43文件要求431總那么信息平安管理體系文件應包括：a 文件化的平安方針文件和控制目的；b 信息平安管理體系范圍見4.2.1和程序及支持信息平安管理體系的控制措施c 風險評價報告見4.2.1;d 風險處置方案;e 組織需求的文件化的程序以確保管有效地方案運營和對信息平安過程的控制見6.1f 本規(guī)范要求的記錄見4.3.4;g 適用性聲明注1：當本規(guī)范中出現(xiàn)“文件化的程序，這意味著建立、

18、文件化、實施和維護該程序。注2：SeeISO9001注3：文件和記錄可以用多方式和不同媒體。432文件控制信息平安管理體系所要求的文件應予以維護和控制。應編制文件化的程序，以規(guī)定以下方面所需的控制：a 文件發(fā)布前得到同意，以確保文件的充分性；b 必要時對文件進展評審與更新，并再次同意；c 確保文件的更改和現(xiàn)行修訂形狀得到識別；d 確保在運用途可獲得適用文件夾的有關版本；e 確保文件夾堅持明晰、易于識別；f 確保外來文件的發(fā)放在控制形狀下；g 確保文件的發(fā)放在控制形狀下；h 防止作廢文件的非預期運用；i 假設因任何緣由而保管作廢文件時，對這些文件進展適當?shù)臉俗R。433記錄控制應建立并堅持記錄，以

19、提供符合要求和信息平安管理體系的有效運轉的證據(jù)。記錄該當被控制。信息平安管理體系應思索任何有關的法律要求。記錄應堅持明晰、易于識別和檢索。應編制構成文件的程序，以規(guī)定記錄的標識、儲存、維護、檢索、保管期限和處置所需的控制。需求一個管理過程確定記錄的程度。應保管4.2概要的過程績效記錄和一切與信息平安管理體系有關的平安事故發(fā)生的記錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權訪問記錄。5管理職責51管理承諾管理層應提供其承諾建立、實施、運轉、監(jiān)控、評審、維護和改良信息平安管理體系的證據(jù)，包括：a 建立信息平安方針；b 確保建立信息平安目的和方案；c 為信息平安確立職位和責任；d 向組織傳到

20、達達信息平安目的和符合信息平安方針的重要性、在法律條件下組織的責任及繼續(xù)改良的需求。e 提供足夠的資源以開發(fā)、實施，運轉和維護信息平安管理體系見5.2.1;f 確定可接受風險的程度;g 進展信息平安管理體系的評審見條款6。52資源管理521提供資源組織將確定和提供所需的資源，以：a 建立、實施、運轉和維護信息平安管理體系；b 確保信息平安程序支持業(yè)務要求；c 識別和強調法律和法規(guī)要求及合同的平安義務；d 正確地運用一切實施的控制措施維護足夠的平安；e 必要時，進展評審，并適當回應這些評審的結果；f 需求時，改良信息平安管理體系的有效性。522培訓，認識和才干 組織應確保一切被分配信息平安管理體

21、系職責的人員具有才干履行指派的義務。組織應：a 確定從事影響信息平安管理體系的人員所必要的才干；b 提供才干培訓和必要時，聘用有才干的人員滿足這些需求；c 評價提供的培訓和所采取行動的有效性；d 堅持教育、培訓、技藝、閱歷和資歷的記錄見4.3.3組織應確保一切相關的人員知道他們信息平安活動的適當性和重要性以及他們的奉獻怎樣達成信息平安管理目的.6 信息平安管理體系的管理評審61總那么管理層應按謀劃的時間間隔評審組織的信息平安管理體系,以確保其繼續(xù)的適宜性、充分性和有效性。評審應包括評價信息平安管理體系改良的時機和變卦的需求，包括平安方針和平安目的。評審的結果應清楚地文件化，應堅持管理評審的記錄

22、見4.3.362評審輸入管理評審的輸入應包括以下方面的信息：a 信息平安管理體系審核和評審的結果；b 相關方的反響；c 可以用于組織改良其信息平安管理體系績效和有效性的技術，產品或程序；d 預防和糾正措施的情況；e 以前風險評價沒有足夠強調的脆弱性或要挾；f 以往管理評審的跟蹤措施；g 任何能夠影響信息平安管理體系的變卦；h 改良的建議。63評審輸出管理評審的輸出應包括以下方面有關的任何決議和措施：a 對信息平安管理體系有效性的改良；b 修正影響信息平安的程序，必要時，回應內部或外部能夠影響信息平安管理體系的事件，包括以下的變卦：1 業(yè)務要求；2 平安要求；3 業(yè)務過程影響現(xiàn)存的業(yè)務要求；4

23、法規(guī)或法律環(huán)境；5 風險的等級和/或可接受風險的程度；c 資源需求。64內部信息平安管理體系審核組織應按謀劃的時間間隔進展內部信息平安管理體系審核，以確定信息平安管理體系的控制目的、控制措施、過程和程序能否：a 符合本規(guī)范和相關法律法規(guī)的要求；b 符合識別的信息平安的要求；c 被有效地實施和維護；d 到達料想的績效。任何審核活動應謀劃，謀劃應思索過程的情況和重要性，審核的范圍以及前次審核的結果。應確定審核的規(guī)范，范圍，頻次和方法。選擇審核員及進展審核應確認審核過程的客觀和公正。審核員不應審核他們本人的任務。應在一個文件化的程序中確定謀劃和實施審核，報告結果和維護記錄見4.3.3的責任及要求.擔

24、任被審核區(qū)域的管理者應確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的緣由。改良措施應包括驗證采取的措施和報告驗證的結果見條款7。7信息平安管理體系改良71繼續(xù)改良組織應經過運用平安方針、平安目的、審核結果、對監(jiān)控事件的分析、糾正和預防措施和管理評審的信息繼續(xù)改良信息平安管理體系的有效性。72糾正措施組織應確定措施，以消除與實施和運轉信息平安管理體系有關的不合格的緣由，防止不合格的再發(fā)生。應為糾正措施編制構成文件的程序，確定以下的要求：a 識別實施或運轉信息平安管理體系中的不合格；b 確定不合格的緣由；c 評價確保不合格不再發(fā)生的措施的需求；d 確定和實施所需的糾正措施；e 記錄所采取措

25、施的結果見4.3.3;f 評審所采取的糾正措施。73預防措施組織應針對潛在的不合格確定措施以防止其發(fā)生。預防措施應于潛在問題的影響程序順應。應為預防措施編制構成文件的程序，以規(guī)定以下方面的要求：a 識別潛在的不合格及引起不合格的緣由；b 確定和實施所需的預防措施；c 記錄所采取措施的結果見4.3.3；d 評價所采取的預防措施；糾正措施的優(yōu)先權應以風險評價的結果為根底確定。注：預防不合格的措施總是比糾正措施更節(jié)約本錢。附錄A援用控制目的和控制措施A1引見從A.3到A.12列出的控制目的和控制措施是直接援用并與BS ISO/IEC 17799:2000條款3到12一致。一表中的清單并不徹底，一個組

26、織能夠思索另外必要的控制目的和控制措施。在這些表中選擇控制目的和控制措施是條款4.2.1規(guī)定的信息平安管理體系過程的一部分。A2實際指南規(guī)范BS ISO/IEC 17799：2000條款3至12提供最正確實際的實施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3平安方針BS ISO/IEC 17799:2000編號A.3.1信息平安方針控制目的：提供管理方向和支持信息平安3.1控制措施A.3.1.1信息平安方針文件管理層應提供一份方針方件,出版并在適當時,溝通給一切員工。3.1.1A.3.1.2評審和評價應經常評審方針文件,尤其在發(fā)生決議性的變化時,確保方針的適宜性3.1.2A.4組織平

27、安BS ISO/IEC 17799:2000編號A.4.1信息平安根底設備控制目的：在組織中管理信息平安4.1控制措施A.4.1.1信息平安管理委員會信息平安管理委員會確保明確的目的和管理層對啟動平安管理可見的支持。管理委員會應經過適當?shù)某兄Z和充足的資源推行平安4.1.1A.4.1.2信息平安協(xié)作在大的組織中，應運用一個由從各組織相關單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息平安控制措施。4.1.2A.4.1.3落實信息平安責任應明確定維護每種資產和擔任特定平安過程的責任4.1.3A.4.1.5對信息處置設備的授權過程應建立對于新的信息處置設備的管理授權過程4.1.4A.4.1.5專家

28、信息平安建議應從內部或外部搜集專家的信息平安建議并在組織內部實施協(xié)作4.1.5A.4.1.6組織間的協(xié)作應與執(zhí)法機關、主管機關、信息效力提供者，及通訊業(yè)者維持適當?shù)慕佑|4.1.6A.4.1.7獨立的信息平安審查應對信息平安方針的實施進展獨立的審查4.1.7A.4.2第三方訪問的平安控制目的：維護組織的信息處置設備及信息資產被第三方訪問時的平安4.2控制措施A.4.2.1確認第三方訪問的風險應對第三方訪問組織的信息處置設備所帶來的風險進展評價，并實施適當?shù)钠桨部刂?.2.1A.4.2.2與第三方合約中的平安要求涉及第三方訪問組織的信息處置設備的安排，應以包含必要的平安要求在內的正式合約為根底。4

29、.2.2A.4.3外包控制目的：當信息處置的責任委托其他組織時，應維護信息的平安4.3A.4.3.1外包合約中的平安要求當組織將全部或部分的信息系統(tǒng)、網絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方贊同的合約中應載明平安的要求。.4.3.1A5資產分類與控制BS ISO/IEC 17799:2000編號A.5.1資產的保管責任控制目的:維持對于組織的資產的適切維護5.1控制措施A.5.1.1資產的清單應列出并維護一份與每個信息系統(tǒng)有關的一切重要資產的清單5.1.1A.5.2信息分類控制目的：確保信息資產遭到適當程度的維護控制措施A.5.2.1分類原那么信息的分類及相關的維護控制，應適宜于企

30、業(yè)運營對于信息分享或限制的需求，以及這些需求對企業(yè)運營所帶來的沖擊5.2.1A.5.2.2信息的標識及處置應制定信息標識及處置的程序，以符合組織所采行的分類法那么5.2.2A.6人事平安BS ISO/IEC 17799:2000編號A.6.1任務闡明及人力資源的平安控制目的：降低因人員錯誤、偷竊、詐欺或不當運用設備所呵斥的風險6.1控制措施A.6.1.1將平安需求列入任務職責中組織在信息平安方針中所規(guī)定的平安職責及責任，應適度地書面化于任務職責闡明書中6.1.1A.6.1.2人員篩審及政策應在招聘員工時執(zhí)行正式員工的驗證查核6.1.2A.6.1.3嚴密合約員工應簽署嚴密協(xié)議作為其啟始聘用合同的

31、一部分6.1.3A.6.1.4聘用合同聘用合同中的應陳說員工對信息平安的責任6.1.4A.6.2運用者培訓控制目的：確保員工了解信息平安的要挾及思索，并且具備在其日常任務過程中支持組織的信息平安方針的才干6.2控制措施A.6.2.1信息平安的教育與培訓組織的一切員工以及相關的第三方運用者，對于組織方針及程序應接受適當、定期更新的訓練6.2.1A.6.3平安及失效事件的呼應控制目的：將平安及失效事件所呵斥的損害降到最小，并監(jiān)視此類事件，從中學習6.3A.6.3.1平安事故報告平安事件應在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M展通報6.3.1A.6.3.2平安弱點的報告應要求信息效力的運用者記下并報

32、告任何察看到的或可疑的有關系統(tǒng)或效力方面的平安弱點或要挾6.3.2A.6.3.3軟件失效事件的報告應建立報告軟件失效事件的相關程序6.3.3A.6.3.4從事件中學習應有適當機制的以量化與監(jiān)視平安事故及失效事件的種類、數(shù)量、及本錢6.3.4A.6.3.5懲罰的流程員工違反組織平安方針及程序，應由正式的懲罰流程來處置6.3.5A.7實體及環(huán)境平安BS ISO/IEC 17799:2000編號A.7.1平安區(qū)域控制目的：防止對企業(yè)運轉所在地及信息未經授權的進入、訪問、破壞及干擾7.1控制措施A.7.1.1實體平安邊境組織應有平安的邊境以維護包含信息處置設備的區(qū)域7.1.1A.7.1.2實體進出控制

33、平安區(qū)域應有適當?shù)倪M出控制加以維護，以確保只需經授權的人員可以進出7.1.2A.7.1.3應劃定平安區(qū)域，以維護具有特殊平安需求的辦公處所及設備7.1.3A.7.1.4應對在平安區(qū)域中進展的作業(yè)有額外的控制方法及指點原那么以加強平安區(qū)域的平安7.1.4A.7.1.5遞送及裝載區(qū)域應加以控制，如有能夠應與信息處置設備隔離，以防止未經授權的訪問7.1.5A.7.2設備平安控制目的：預防資產遺產、破壞或損失和防止企業(yè)運營活動蒙受干擾7.2控制措施A.7.2.1設備的安頓及維護應妥善安頓及維護設備，以降低環(huán)境的要挾與危險所呵斥的風險以及未經授權的訪問7.2.1A.7.2.2電源供應應維護設備免于電力失

34、效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸平安傳輸資料或支持信息效力的電力及通訊電纜，應予以維護免于被攔截或破壞7.2.3A.7.2.4設備維護設備應進展正確維護，以確保其繼續(xù)的可用性及完好性7.2.4A.7.2.5組織以外的設備平安任何在組織所在地以外運用的信息處置設備應要求管理層授權7.2.5A.7.2.6設備報廢或再利用的平安防護設備在報廢或再利用前，應去除在設備中的信息7.2.6A.7.3普通控制控制目的：防止信息及信息處置設備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機屏幕畫面凈空戰(zhàn)略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經授權

35、訪問、遺失及損害所呵斥的風險7.3.1A.7.3.2資產的移出未經授權不得移出組織所擁有的設備、信息及軟件7.3.2A.8通訊與操作管理BS ISO/IEC 17799:2000編號A.8.4.2操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的任務日。操作日志應遭到經常性的，獨立的審查。8.4.2A.8.4.3錯誤事件登錄應通報錯誤并采取矯正行動8.4.3A.8.5網絡管理控制目的：確保網絡中信息的平安性以及維護支持性的根底設備8.5控制措施A.8.5.1網絡控制應實行一系列的控制方法以達成并維護網絡的平安8.5.1A.8.6存儲媒體的處置與平安控制目的：防止資產蒙受損害以及企業(yè)營運活動蒙受干擾控

36、制措施A.8.6.1可挪動式計算機存儲媒體的管理對于可挪動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應回以控制8.6.1A.8.6.2存儲媒體的報廢不再需求的儲存媒體，應可靠并平安地處置8.6.2A.8.6.3信息的處置程序應建立信息的處置及儲存程序，以維護信息不被未經授權的走漏或不當運用8.6.3A.8.6.4系統(tǒng)文件的平安應維護系統(tǒng)文件以防未經授權的訪問8.6.4A.8.7信息及軟件的交換控制目的：防止在組織間交換的信息蒙受遺失、修正及不當運用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應簽署協(xié)議，其中有些能夠是正式的協(xié)議書8.7.

37、1A.8.7.2存儲媒體的運送平安運送存儲媒體時應維護其不蒙受未經授權的走漏、不當運用或毀壞8.7.2A.8.7.3電子商務平安應維護電子商務免于詐欺行為、合約爭議以及信息被走漏及修正8.7.2A.8.7.4電子郵件的平安應開發(fā)一份電子郵件的運用戰(zhàn)略，并應有降低電子郵件所呵斥的平安風險的適當控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的平安為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與平安風險，各項政策與指點原那么應加以擬定并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應有正式的授權過程，應維護這類信息的完好性以防止未經授權的修正8.7.6A.8.7.7其它方式的信息交換應有適當

38、的戰(zhàn)略、程序及控制方法來維護經由、語音及影像等通訊設備進展的信息交換8.7.7A.9訪問控制BS ISO/IEC 17799:2000編號A.9.1企業(yè)營運對訪問控制的要求控制目的：控制對于信息的訪問9.1控制措施A.9.1.1訪問控制戰(zhàn)略企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制9.1.1A.9.2運用者訪問管理控制目的：確保訪問信息系統(tǒng)的權限被適當?shù)厥跈?、落實和維護9.2控制措施A.9.2.1運用者注冊應有正式的運用者注冊及注銷的程序，以進展一切的多人運用信息系統(tǒng)及效力的訪問授權9.2.1A.9.2.2特殊權限的管理對于特殊權限的分配及運用

39、，應加以限制及控制9.2.2A.9.2.3運用者密碼管理對密碼的分配，應經過正式的管理流程加以控制9.2.3A.9.2.4運用者訪問權限的審查管理層應定期執(zhí)行正式審查過程對于運用者的訪問權限實施評審9.2.4A.9.3運用者責任控制目的：防止未經授權的運用者訪問9.3控制措施A.9.3.1密碼的運用應要求運用者在選擇及運用密碼時，遵照良好的平安慣例9.3.1A.9.3.2無人看管的運用者設備應要求運用者確保無人看管的運用者設備有適當?shù)木S護9.3.2A.9.4網絡訪問控制控制目的：維護網絡化的效力9.4控制措施A.9.4.1運用網絡效力的政策運用者應僅能直接訪問已獲得特別授權運用的效力9.4.1

40、A.9.4.2強迫性的途徑由運用者的終端機至計算機效力器羊的途徑應加以控制9.4.2A.9.4.3外部聯(lián)機的運用者認證應對遠程運用者的訪問進展運用者認證9.4.3A.9.4.4節(jié)點認證到遠程計算機系統(tǒng)的聯(lián)機應被認證9.4.4A.9.4.5遠程診斷端口的維護對于診斷斷口的訪問應可靠地加以控制9.4.5A.9.4.6網絡的隔離應引起可在網絡中以群組方式隔離信息效力、運用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網絡聯(lián)機的控制在分享式的網絡中，運用者的聯(lián)機才干應按照訪問控制戰(zhàn)略加以限制9.4.7A.9.4.8網絡路由的控制在分享式的網絡中，應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企

41、業(yè)營運運用軟件的訪問控制政策9.4.8A.9繼續(xù)BS ISO/IEC 17799:2000編號A.9.4.9網絡效力的平安對于組織運用網絡效力業(yè)者提供的一切網絡效力的平安特性,應提供清楚的闡明9.4.9A.9.5操作系統(tǒng)訪問控制控制目的:防止未經授權的計算機訪問9.5控制措施A.9.5.1自動化的終端機識別應運用自動化的終端機識別,以認證銜接到特定場所及可挪動式設備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息效力應有平安的聯(lián)機流程9.5.2A.9.5.3運用者識別及認證一切運用者應有獨一的識別碼(運用者代號)專供其個人的運用,以便各項活動可以追溯至應擔任的個人.運用一種適當?shù)恼J證技術以

42、真實地識別運用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互式的設備以確保運用優(yōu)質的密碼9.5.4A.9.5.5系統(tǒng)工具的運用系統(tǒng)工具的運用應加以限制并嚴厲控制9.5.5A.9.5.6提供受脅迫警報以維護運用者對于能夠成為他人脅迫的目的的運用者，應提供脅迫警報9.5.6A.9.5.7終端機逾時終止在高風險場所或為高風險系統(tǒng)效力終端機，在進入休止形狀到達規(guī)定的一段時間后，應加以封鎖以防止未經授權的人進展訪問9.5.7A.9.5.8聯(lián)機時間的限制應運用聯(lián)機時間的限制，以提供高風險的運用程序額外的平安9.5.8A.9.6運用程序訪問控制控制目的：防止對于堅持在信息系統(tǒng)中

43、的信息進展未經授權的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應有系統(tǒng)的功能的訪問應按照訪問控制戰(zhàn)略加以限制9.6.1A.9.6.2性系統(tǒng)的隔離具性質的系統(tǒng)應有專屬的隔離的運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及運用的監(jiān)控控制目的：偵探未經授權的活動9.7控制措施A.9.7.1事件登錄應產生記載著異常情況及其它平安相關事件的審核日志，并保管一定的期間以協(xié)助未來的調查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)運用的監(jiān)控應建立監(jiān)控信息設備運用情況的程序，并且應定期對監(jiān)活動的結果進展審查9.7.2A.9.7.3定時器同步計算機的定時器應同步以便能準確地記錄9.7.3A.9繼續(xù)BS ISO

44、/IEC 17799:2000編號A.9.8可挪動式計算機運算及計算機通訊遠距任務控制目的：確保運用可挪動式計算機運算及計算機通訊遠距任務的設備的信息平安9.8控制措施A.9.8.1可挪動式計算機運算應有適當?shù)恼秸卟⑶也捎眠m當?shù)目刂品椒?，以防備運用可挪動式計算機遠算設備進展任務時所呵斥的風險，特別是在未被維護的環(huán)境中任務時9.8.1A.9.8.2計算機通訊遠距任務應開發(fā)戰(zhàn)略、程序和規(guī)范以便授權及控制計算機通訊遠距任務的活動9.8.2A.10系統(tǒng)開發(fā)及維護BS ISO/IEC 17799:2000編號A.10.1系統(tǒng)的平安要求控制目的：確保平安機制建于信息系統(tǒng)之中10.1控制措施A.10.1

45、.1平安要求的分析及規(guī)范對于運用新系統(tǒng)或改良既有系統(tǒng)的企業(yè)營運要求，應將對控制方法的要求制定于其中10.1.1A.10.2運用系統(tǒng)中的平安控制目的：防止運用系統(tǒng)中的運用者資料遺失、修正及不當運用10.2控制措施A.10.2.1輸入資料的驗證輸入運用系統(tǒng)的資料應加以驗證，以確保資料是正確且適當?shù)?0.2.1A.10.2.2內部處置控制驗證的檢查應成為系統(tǒng)的一部份，以偵測出所處置的資料能否損毀10.2.2A.10.2.3音訊的認證當有維護音訊內容完好性的平安要求時，應針對運用程序進展音訊的認證10.2.3A.10.2.4輸出資料的驗證從運用系統(tǒng)輸出的資料應加以驗證，以確保對所儲存的資料的處置流程是

46、正確的，且就其情況而言是適當?shù)?0.2.4A.10.3密碼學的控制方法控制目的：維護信息的性、真實性或完好性10.3控制措施A.10.3.1運用密碼學控制方法時的政策應開展且遵照以密碼學控制方法來達成維護信息目的政策10.3.1A.10.3.2資料加密應運用資料加密，以維護或關鍵信息的性10.3.2A.10.3.3數(shù)字簽章應運用不可否認性的效力，以處理某事件或行動能否有發(fā)生的爭議10.3.3A.10.3.4不可否認性的效力應運用既定的規(guī)范、程序及方法為根底的密鑰管理系統(tǒng)以支持密碼學技術的運用10.3.4A.10.3.5密鑰管理10.3.5A.10繼續(xù)BS ISO/IEC 17799:2000編

47、號A.10.4系統(tǒng)檔案的平安控制目的：確保信息科技的工程及支持特性活動以平安的方式來進展10.4控制措施A.10.4.1控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的維護測試資料應加以維護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴厲的控制10.4.3A.10.5開發(fā)及支持流程中的平安控制目的：維護運用系統(tǒng)的軟件及信息的平安10.5控制措施A.10.5.1變卦控制的程序應運用正式的變卦控制程序嚴厲地控制變卦的實行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變卦的技術審查當發(fā)生變卦時，應對運用系統(tǒng)進

48、展審查及測試10.5.2A.10.5.3軟件包修正的限制應阻止對于軟件包的修正，對于變卦應嚴厲控制10.5.3A.10.5.4信道及特洛伊木馬應控制并檢查軟件的采購、運用及修正以防備能夠密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應運用控制方法防護委外的軟件開發(fā)10.5.5A.11業(yè)務繼續(xù)動作管理BS ISO/IEC 17799:2000編號A.11.1業(yè)務繼續(xù)動作管理思索控制目的：防止企業(yè)運營中斷并且維護企業(yè)營運的關鍵流程免于艱苦失效或災難的影響11.1控制措施A.11.1.1業(yè)務繼續(xù)動作的管理流程為開展及維護企業(yè)的繼續(xù)動作性，應有普及整個組織的管理流程11.1.1A.

49、11.1.2業(yè)務繼續(xù)動作及沖擊分析應開展以適當?shù)娘L險評價為根底的戰(zhàn)略性方案，以為業(yè)務繼續(xù)動作的方法11.1.2A.11.1.3繼續(xù)動作方案的撰寫及執(zhí)行應開展方案確保在重要的業(yè)務流程中斷或失效后可及時維護或恢復業(yè)務動作11.1.3A.11.1.4業(yè)務繼續(xù)動作規(guī)劃的架構應維持一個單一的業(yè)務繼續(xù)動作方案架構，以確保一切方案的一致性，且鑒別其先后次序以進展測試與維護11.1.4A.11.1.5業(yè)務繼續(xù)動作方案的測試、維護與再評價業(yè)務繼續(xù)運作方案應定期測試，且透過定期審查予以維護，以確保及時性及有效性11.1.5A.12符合性BS ISO/IEC 17799:2000編號A.12.1法規(guī)要求的符合性控制

50、目的：防止違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內容所規(guī)定的義務、以及違反任何平安的要求12.1控制措施A.12.1.1鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法律及契約內容所規(guī)定的一切相關要求,應加以明白地界定及文件化12.1.1A.12.1.2知識產權應實行適當?shù)某绦?以確保在運用智能財富權方面的物品及他人專屬的軟件產品時,能符合法律的限制12.1.2A.12.1.3組織記錄的維護應防止屬于組織的重要記錄遺失、被破壞及篡改12.1.3A.12.1.4個人信息的隱私及數(shù)據(jù)維護應運用控制方法,以按照相關的法律維護個人信息12.1.4A.12.1.5信息處置設備不當運用

51、的預防運用信息處置設備應運營管理者授權,并且在應運用控制方法，以防止這些設備蒙受不當運用12.1.5A.12.1.6有關密碼學控制方法的政府規(guī)定應有適當?shù)目刂品椒?，以確保運用或訪問密碼學控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求12.1.6A.12.1.7證據(jù)的搜集當對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應符合相關法律或審理該案件的法庭對于證據(jù)所作的規(guī)定，并應包括符合任何有關可采購證據(jù)的產生的已發(fā)行規(guī)范或最正確慣例在內12.1.7A.12.2平安政策符合性及技術符合性的審查控制目的：確保系統(tǒng)符合組織的平安政策及規(guī)范12.2控制措施A.

52、12.2.1平安方針的符合性管理者應確保在其責任范圍內的一切平安程序被正確地執(zhí)行，并且組織內的一切范圍應定期加以審查，以確保符合平安政策及規(guī)范12.2.1A.12.2.2技術符合性的檢查12.2.2A.12.3系統(tǒng)審核的思索控制目的：將有效性提升至最大，并將對及作用在系統(tǒng)審核，流程的干擾降至最小12.3控制措施A.12.3.1系統(tǒng)審核的控制對于操作系統(tǒng)的審核，應加以謀劃并獲得贊同，以將對企業(yè)營運的流程呵斥中斷的風險降至最小12.3.1A.12.3.2系統(tǒng)審核工具的維護對于系統(tǒng)審核工具的訪問應加以維護，以防止能夠的不當運用或遭侵入而損壞12.3.2附錄 B 情報性的規(guī)范運用指南B.1總那么B.1

53、.1PDCA 模型建立和管理一個信息平安管理體系需求像其他任何管理體系一樣的方法。這里描畫的過程模型遵照一個延續(xù)的活動循環(huán)方案、實施、檢查、和處置。之所以可以描畫為一個有效的循環(huán)國為它的目的是為了保證您的組織的最好實際文件化、加強并隨時間改良。B.1.2方案和實施一個繼續(xù)提高的過程通常要求最初的投資：文件化實際，將風險管理的進程正式化，確定評審的方法和配置資源。這些活動通常作為循環(huán)的開場。這個階段在評審階段開場實施時終了。方案階段用來保證為信息平安管理體系建立的內容和范圍正確地建立，評價信息平安風險和建立適當?shù)靥幹眠@些風險的方案。實施階段用來實施在方案階段確定的決議和處理方案。B.1.3檢查和

54、處置檢查和處置評審階段用來加強、修正和改良已識別和實施的平安方案。評審可以在任何時間、以任何頻率實施，取決于怎樣做適宜于思索的詳細情況。在一些體系中他們能夠需求建立在計算機化的過程中以運轉和立刻回應。其他過程能夠只需在有信息平安事故時、被維護的信息資產變化時或需求添加時、要挾和脆弱性變化時需求回應。最后，需求每一年或其他周期性評審或審核以保證整個管理體系達成其目的。B.1.4控制措施總結Summary of Controls組織能夠發(fā)現(xiàn)制造一份相關和運用于組織的信息平安管理體系的控制措施總結SoC的益處。提供一份控制措施小結可以使處置業(yè)務關系變得容易如供電外包等。SoC能夠包含敏感的信息，因此

55、當SoC在外部和內部同時運用時，應思索他們對于接納者能否適宜。注：SoC不是(Statement of Applicability)見4.2.1的替代品。SoA是認證必需的要求。B.2 方案階段B.2.1引見PDCA循環(huán)的方案活動是為保證正確地建立信息平安管理體系的內容和范圍，識別和評價一切的信息平安風險，建立適宜的處置風險方案而設計的。方案活動一切階段必需文件化作為管理變化的追溯，這一點非常重要。B.2.2信息平安方針421b要求組織和其管理層確定包含建立其目的和目的框架、并建立總的方向、信息平安行動原那么的信息平安方針。該方針的內容的指南在BS ISO/IEC 17799：2000中給出。

56、B.2.3信息平安管理體系的范圍信息平安管理體系能夠覆蓋組織一切部分。應清楚識別的從屬、界面和對于一個環(huán)境的邊境的假設。這對于只需組織的部分單位包括在信息平安管理體系范圍內時尤其重要。范圍的界定能夠分為幾種方式，例如，分為領域，使后續(xù)的風險管理義務變得容易。信息平安管理體系范圍文件應覆蓋：a 建立范圍和信息平安管理體系的環(huán)境所運用的過程；b 戰(zhàn)略及組織環(huán)境；c 組織運用的信息平安風險管理的方法；d 信息平安風險評價的規(guī)范和所需確實保的程度的要求；e 在信息平安管理體系的范圍內信息資產和識別信息平安管理體系的范圍能夠在質量管理體系控制的范圍、另一個管理體系或另一個信息平安管理體系一樣的或一個第三

57、方的組織之內，在這種情況下，只需那些信息平安管理體系具有的管理控制可以思索為在信息平安管理體系的范圍內。B.2.4風險識別和評價風險評價文件應解釋選擇哪一種風險方法，為什么此方法適宜平安要求，業(yè)務環(huán)境，組織的規(guī)模和面臨的風險等。采用的方法應努力于平安的努力和有效利用資源。文件也應覆蓋選擇的工具和技術，解釋為什么它們適用于信息平安管理體系的范圍和風險，怎樣正確地運用這些工具和技術以產生有效的結果。以下風險評價的詳細內容應文件化：a 信息平安管理體系范圍內的資產的評價，包括在不能以錢來衡量時，估價量度的運用的信息；b 識別要挾和弱點；c 對要挾利用脆弱點的評價，及當此類事故發(fā)生時的影響；d 在評價

58、結果的根底上計算風險，識別剩余風險。B.2.5風險處置方案組織應建立一個詳細的日程，或風險處置方案，對于每一個識別的風險確定：a 選擇的處置風險的方法；b 已有的控制措施；c 建議的新添的控制措施；d 實施新提議的控制措施的時間架構。應識別一個可接受風險的程度，對于每一個不在可接受程度內的風險應從以下方面選擇適宜的措施：a 決議接受風險，如，由于不能采取其他措施或太貴；b 轉移風險；或c 降低風險到可接受的風險。風險治理方案是一個調和的文件，確定降低不可接受的程度，因此應對能否添加更多的控制措施或接受更高的風險作出一個決議。當設立一個可接受的風險的程度，力度和控制措施的本錢應與潛在的事故呵斥的

59、代價相比較。適用性聲明見4.2.1h記錄控制目的和從附錄A選擇的控制措施。這份文件是信息平安管理體系認證要求的一份任務文件。BS ISO/IEC17799:2000提供相關實施這些控制措施的附加信息，當識別的風險超越這些控制措施可以控制的程度時，能夠需求設計附加的控制措施并加以實施。設計用來阻止、偵測、限制、維護和恢復平安損害與信息平安管理體系一致的控制措施對實施PDCA模型非常重要并應在早期與提供預防、偵測、限制和恢復的管理控制措施一同加以實施，這樣才干更有效。應預備一份提供日程、陳列優(yōu)先次序、一個詳細的任務方案和責任的方案，實施控制措施。B.3實施階段B.3.1引見在PDCA循環(huán)中的實施階

60、段是設計用來實施選擇的控制措施和推進必要的謀劃階段所做出的決議一致的管理信息平安風險措施。B.3.2資源，培訓和認識應落實充足的運轉信息平安管理體系和一切平安控制措施的資源，包括實施一切控制措施的文件，和維護信息平安管理體系文件的活動。另外，應提高平安認識和實施培訓工程，這項活動應與實施平安控制措施并行。認識工程的目的是產生一種有很好根底的風險管理和平安的文化。應監(jiān)控平安認識工程的進展以保證其繼續(xù)有效性和時事性。特別的平安培訓應適用于能否支持認識工程，使一切相關方在需求時完成他們的義務。B.3.3風險處置對于經過評價可接受的風險，不需求進一步的措施。假設斷定轉移風險，應采取進一步行動，如：運用