信息安全管理体系——规范与使用手册.doc

PAGE / NUMPAGES ? ? ? 英国标准——BS7799-2:2002 ? ? 信息安全治理体系—— 规范与使用指南 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 目 录 前言 0 介绍 0．1总则 0．2过程方法 0．? 3其他治理体系的兼容性 1 范围 1．1概要 1．2应用 2标准参考 3名词与定义 4信息安全治理体系要求 4．1总则 4．2建立和治理信息安全治理体系 4．2．1建立信息安全治理体系 4．2．2实施和运营(对比中文ISO9001确认)？信息安全治理体系 4．2．3监控和评审信息安全治理体系 4．2．4维护和改进信息安全治理体系 4．3文件化要求 4．3．1总则 4．3．2文件操纵 4．3．3记录操纵 5治理职责 5．1治理承诺？（对比中文ISO9001确认） 5．2资源治理 5．2．1资源提供 5．2．2培训、意识和能力 6信息安全治理体系治理评审 6．1总则 6．2评审输入？（对比中文ISO9001确认） 6．3评审输出？（对比中文IS9001确认） 7信息安全治理体系改进 7．1持续改进 7．2纠正措施 7．3预防措施 附件A（有关标准的）操纵目标和操纵措施 A．1介绍 A．2最佳实践指南 A．3安全方针 A．4组织安全 A．5资产分级和操纵 A．6人事安全 A．7实体和环境安全 A．8通信与运营安全 A．9访问操纵 A．10系统开发和维护 A．11业务连续性治理 A．12符合 ? 附件B（情报性的）本标准使用指南 B1概况 B.1.1PDCA模型 B.1.2打算与实施 B.1.3检查与改进 B.1.4操纵措施小结 B2打算时期 B.2.1介绍 B.2.2信息安全方针 B.2.3信息安全治理体系范围 B.2.4风险识不与评估 B2.5风险处理打算 B3实施时期 B.3.1介绍 B.3.2资源、培训和意识 B.3.3风险处理 B4实施时期 B.4.1介绍 B.4.2常规检查 B.4.3自我监督程序 B.4.4从其它事件中学习 B.4.5审核 B.4.6治理评审 B.4.7趋势分析 B5改进时期 B.5.1介绍 B.5.2不符合项 B.5.3纠正和预防措施 B.5.4OECD原则和BS7799-2 附件C(情报)ISO9001:2000、ISO14001与BS7799-2：2002条款对比 0 介绍 0．1 总则 本标准的目的是为治理者和他们的职员们提供建立和治理一个有效的信息安全治理体系（信息安全治理体系）有模型。采纳信息安全治理体系应当是一项组织的战略决策。一个组织信息安全治理体系的设计和实施受运营需求、具体目标、安全需求、所采纳的过程及该组织的规模和结构的阻碍。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方 案。 ? 本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律的要求的能力。 ? 0．2过程方法 本标准鼓舞采纳过程的方法建立、实施、和改进组织的信息安全治理体系的有效性。 ? 为使组织有效动作，必须识不和治理众多相互关联的活动。通过使用资源和治理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。 组织内诸过程的系统的应用，连同这些过程的识不和相互作用及其惯例，课程只为：“过程方法”。 过程的方法鼓舞使用者强调以下方面的重要性： a）? 理解业务动作对信息安全的需求和建立信息安全方针和目标的需要； b）? 在全面治理组织业务风险的环境下实施和动作操纵措施； c）? 监控和评审信息安全治理体系的有效性和绩效； d）? 在客观的测量，持续改进过程。 本标准采纳的模型确实是讲众所周知的“Plan策划-Do实施-Check检查-Act处置”（PDCA）模型，适用于所有信息安全治理体系的过程。图一展示信息安全治理体系如何样考虑输入利益相关方的住处安全需求和期望，通过必要的行动措施和过程，产生信息安全结果（即：治理状态下的信息安全），满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。 ? 例1 一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。 例2 一个期望能够是假如严峻的事故发生-如：组织的电子商务网站被黑客入侵—将有被培训过的职员通过适用的程序减少其阻碍。 ? 注：名词“程序”，从传统来讲，用在信息安全方面意味着职职员作的过程，而不是计算机或其它电子概念。 ? ? ?