信息安全管理體系-規(guī)范與使用指南(-33)

1、.：.；英國規(guī)范BS7799-2:2002信息平安管理體系規(guī)范與運用指南 目 錄前言0 引見01總那么02過程方法0 3其他管理體系的兼容性1 范圍11概要12運用2規(guī)范參考3名詞與定義4信息平安管理體系要求 41總那么 42建立和管理信息平安管理體系421建立信息平安管理體系422實施和運營(對照中文ISO9001確認(rèn))？信息平安管理體系423監(jiān)控和評審信息平安管理體系424維護和改良信息平安管理體系 43文件化要求431總那么432文件控制433記錄控制5管理職責(zé)51管理承諾？對照中文ISO9001確認(rèn)52資源管理521資源提供 522培訓(xùn)、認(rèn)識和才干6信息平安管理體系管理評審 61總那么

2、 62評審輸入？對照中文ISO9001確認(rèn) 63評審輸出？對照中文IS9001確認(rèn)7信息平安管理體系改良 71繼續(xù)改良 72糾正措施 73預(yù)防措施附件A有關(guān)規(guī)范的控制目的和控制措施 A1引見 A2最正確實際指南 A3平安方針 A4組織平安 A5資產(chǎn)分級和控制 A6人事平安 A7實體和環(huán)境平安 A8通訊與運營平安 A9訪問控制A10系統(tǒng)開發(fā)和維護 A11業(yè)務(wù)延續(xù)性管理 A12符合附件B情報性的本規(guī)范運用指南B1概略 B.1.1PDCA模型 B.1.2方案與實施 B.1.3檢查與改良 B.1.4控制措施小結(jié)B2方案階段 B.2.1引見 B.2.2信息平安方針 B.2.3信息平安管理體系范圍 B.2

3、.4風(fēng)險識別與評價 B2.5風(fēng)險處置方案B3實施階段 B.3.1引見 B.3.2資源、培訓(xùn)和認(rèn)識 B.3.3風(fēng)險處置B4實施階段 B.4.1引見 B.4.2常規(guī)檢查 B.4.3自我監(jiān)視程序 B.4.4從其它事件中學(xué)習(xí) B.4.5審核 B.4.6管理評審 B.4.7趨勢分析B5改良階段 B.5.1引見 B.5.2不符合項 B.5.3糾正和預(yù)防措施 B.5.4OECD原那么和BS7799-2附件C(情報)ISO9001:2000、ISO14001與BS7799-2：2002條款對照0 引見01 總那么本規(guī)范的目的是為管理者和他們的員工們提供建立和管理一個有效的信息平安管理體系信息平安管理體系有模型

4、。采用信息平安管理體系該當(dāng)是一項組織的戰(zhàn)略決策。一個組織信息平安管理體系的設(shè)計和實施受運營需求、詳細(xì)目的、平安需求、所采用的過程及該組織的規(guī)模和構(gòu)造的影響。上述要素和他們的支持過程會不斷發(fā)生變化。希望簡單的情況運用簡單的信息平安處理方案。本規(guī)范能用于內(nèi)部、外部包括認(rèn)證組織運用，評定一個組織符合其本身的需求及客戶和法律的要求的才干。02過程方法本規(guī)范鼓勵采用過程的方法建立、實施、和改良組織的信息平安管理體系的有效性。為使組織有效動作，必需識別和管理眾多相互關(guān)聯(lián)的活動。經(jīng)過運用資源和管理，將輸入轉(zhuǎn)化為輸出的活動可視為過程。通常，一個過程的輸出直接構(gòu)成了下一個過程的輸入。組織內(nèi)諸過程的系統(tǒng)的運用，連

5、同這些過程的識別和相互作用及其慣例，課程只為：“過程方法。過程的方法鼓勵運用者強調(diào)以下方面的重要性：a 了解業(yè)務(wù)動作對信息平安的需求和建立信息平安方針和目的的需求；b 在全面管理組織業(yè)務(wù)風(fēng)險的環(huán)境下實施和動作控制措施；c 監(jiān)控和評審信息平安管理體系的有效性和績效；d 在客觀的丈量，繼續(xù)改良過程。本規(guī)范采用的模型就是說眾所周知的“Plan謀劃-Do實施-Check檢查-Act處置PDCA模型，適用于一切信息平安管理體系的過程。圖一展現(xiàn)信息平安管理體系怎樣思索輸入利益相關(guān)方的住處平安需求和期望，經(jīng)過必要的行動措施和過程，產(chǎn)生信息平安結(jié)果即：管理形狀下的信息平安，滿足那些需求和期望。圖一同時展現(xiàn)了4

6、、5、6和7章中所提出的過程聯(lián)絡(luò)。例1一個需求是信息平安事故不要引起組織的財務(wù)損失和/或引起高層主管的為難。例2一個期望可以是假設(shè)嚴(yán)重的事故發(fā)生-如：組織的電子商務(wù)網(wǎng)站被黑客入侵將有被培訓(xùn)過的員工經(jīng)過適用的程序減少其影響。注：名詞“程序，從傳統(tǒng)來講，用在信息平安方面意味著員工任務(wù)的過程，而不是計算機或其它電子概念。PDCA模型運用與信息平安管理體系過程 方案PLAN 建立ISMS 相關(guān)單位管理形狀下的信息平安相關(guān)單位 信息平安需求和期望 實施和運作ISMS維護和改良ISMS實施 改良 監(jiān)控和評審ISMS用 DO ACTION檢查CHECK方案建立信息平安管理體系 建立與管理風(fēng)險和改良信息平安有

7、關(guān)的平安方針、目標(biāo)、目的、過程和程序，以到達與組織整體方針和 目的相順應(yīng)的結(jié)果。 實施實施和動作信息平安管理體系 實施和動作信息平安方針、控制措施、過程和程序。 檢查監(jiān)控和評審信息平安管理體系 針對平安方針、目的和實際閱歷等評審和假設(shè)適用 職丈量過程的績效并向管理層報告結(jié)果供評審運用。 改良維護和改良信息平安管理體系 在管理評審的結(jié)果的根底上，采取糾正和預(yù)防措施以 繼續(xù)改良信息平安管理體系。 03與其他管理體系規(guī)范的兼容性本規(guī)范與ISO9001：2000與ISO16949：1996相結(jié)合以支持實施和動作平安體系的一致性和整合。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的

8、對應(yīng)關(guān)系，本規(guī)范使組織可以結(jié)合或整合其信息平安管理體系及相關(guān)管理體系的要求。 1 范圍11概要本規(guī)范提供在組織整個動作風(fēng)險的環(huán)境下建立、實施、動作、監(jiān)控、評審、維護和改良一個文件化的信息平安管理體系的模型。它規(guī)范了對定制實施平安控制措施以順應(yīng)不同組織或相關(guān)部分的需求。附錄B提供運用規(guī)范的指南。信息平安管理體系保證足夠的和成比例的平安控制措施以充分維護信息資產(chǎn)并給與客戶和其他利益相關(guān)方自信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利才干、法律符合和商務(wù)籠統(tǒng)。12運用本規(guī)范規(guī)定的一切要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。當(dāng)本規(guī)范的任何要求因組織及其產(chǎn)品的特點而不適用時，

9、可以思索對其進展刪減。除非刪減不影響組織的才干、和/或責(zé)任提供符合由風(fēng)險評價和適用的法律確定的信息平安要求，否那么不能聲稱符合本規(guī)范。任何可以滿足風(fēng)險接受規(guī)范的刪減必需證明是正當(dāng)?shù)牟⑿枨筇峁┳C據(jù)證明相關(guān)風(fēng)險被擔(dān)任人員正當(dāng)?shù)亟邮?。對于條款4，5，6和7的要求的刪減不能接受。2援用規(guī)范 ISO9001：2000質(zhì)量管理體系-要求 ISO/IEC17799：2000信息技術(shù)信息平安管理實際指南 ISO指南73：2001風(fēng)險管理指南-名詞3名詞和定義從本英國規(guī)范的目的出發(fā)，以下名詞和定義適用。31可用性 保證被授權(quán)的運用者需求時可以訪問信息及相關(guān)資產(chǎn)。BS ISO/IEC17799：200032嚴(yán)密性

10、保證信息只被授權(quán)的人訪問。BS ISO/IEC17799：200033信息平安平安維護信息的嚴(yán)密性、完好性和可用性34信息平安管理體系信息平安管理體系是整個管理體系的一部分，建立在運營風(fēng)險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改良信息平安。注：管理體系包括組織的架構(gòu)、方針、謀劃活動、職責(zé)、實際、程序、過程和資源。35完好性維護信息和處置方法的準(zhǔn)確和完好。BS ISO/IEC17799：200036風(fēng)險接受接受一個風(fēng)險的決議ISO Guide 7337風(fēng)險分析系統(tǒng)地運用信息識別來源和估計風(fēng)險ISO Guide 7338風(fēng)險評價風(fēng)險分析和風(fēng)險評價的整個過程ISO Guide 7339風(fēng)險

11、評價把估計風(fēng)險與給出的風(fēng)險規(guī)范相比較，確定風(fēng)險嚴(yán)重性的過程。ISO Guide 73310風(fēng)險管理指點和控制組織風(fēng)險的結(jié)合行動311風(fēng)險處置選擇和實施措施以更改風(fēng)險的處置過程ISO Guide 73312適用性聲明描畫適用于組織的信息平安管理體系范圍的控制目的和控制措施。這些控制目的和控制措施是建立在風(fēng)險評價和處置過程的結(jié)論和結(jié)果根底上。4信息平安管理體系要求41總要求組織應(yīng)在整體業(yè)務(wù)活動和風(fēng)險的環(huán)境下建立、實施、維護和繼續(xù)改良文件化的信息平安管理體系。為滿足該規(guī)范的目的，運用的過程建立在圖一所示的PDCA模型根底上。42建立和管理信息平安管理體系421建立信息平安管理體系組織應(yīng)：a 運用業(yè)務(wù)

12、的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息平安管理體系的范圍。b 運用組織的業(yè)務(wù)性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息平安管理體系的方針，方針應(yīng)：1 包括為其目的建立一個框架并為信息平安活動建立整體的方向和原那么。2 思索業(yè)務(wù)及法律或法規(guī)的要求，及合同的平安義務(wù)。3 建立組織戰(zhàn)略和風(fēng)險管理的環(huán)境，在這種環(huán)境下，建立和維護信息平安管理體系。4 建立風(fēng)險評價的規(guī)范和風(fēng)險評價定義的構(gòu)造。5 經(jīng)管理層同意c 確定風(fēng)險評價的系統(tǒng)化的方法識別適用于信息平安管理體系及已識別的信息平安、法律和法規(guī)的要求的風(fēng)險評價的方法。為信息平安管理體系建立方針和目的以降低風(fēng)險至可接受的程度。確定接受風(fēng)險的規(guī)范和識別可接受風(fēng)險的

13、程度見5.1fd 確定風(fēng)險：1 在信息平安管理體系的范圍內(nèi)，識別資產(chǎn)及其責(zé)任人2 識別對這些資產(chǎn)的要挾3 識別能夠被要挾利用的脆弱性4 別資產(chǎn)失去嚴(yán)密性、完好性和可用性的影響e 評價風(fēng)險1 評價由于平安缺點帶來的業(yè)務(wù)損害，要思索資產(chǎn)失去嚴(yán)密性、完好性和可用性的潛在后果；2 評價與這些資產(chǎn)相關(guān)的主要要挾、脆弱點和影響呵斥此類事故發(fā)生的現(xiàn)實的能夠性和現(xiàn)存的控制措施；3 估計風(fēng)險的等級4 確定引見風(fēng)險或運用在c中建立的規(guī)范進展衡量確定需求處置；f 識別和評價供處置風(fēng)險的可選措施：能夠的行動包括：1 運用適宜的控制措施2 知道并有目的地接受風(fēng)險，同時這些措施能清楚地滿足組織方針和接受風(fēng)險的規(guī)范3 防止

14、風(fēng)險；4 轉(zhuǎn)移相關(guān)業(yè)務(wù)風(fēng)險到其他方面如：保險業(yè)，供應(yīng)商等。g 選擇控制目的和控制措施處置風(fēng)險： 應(yīng)從本規(guī)范附件A中列出的控制目的和控制措施，選擇應(yīng)該根據(jù)風(fēng)險評價和風(fēng)險處置過程的結(jié)果調(diào)整。留意：附件A中列出的控制目的和控制措施，作為本規(guī)范的一部分，并不是一切的控制目的和措施，組織能夠選擇另加的控制措施。h 預(yù)備一份適用性聲明。從上面4.2.1g選擇的控制目的和控制措施以及被選擇的緣由應(yīng)在適用性聲明中文件化。從附件A中剪裁的控制措施也應(yīng)加以記錄；i 提議的剩余風(fēng)險應(yīng)獲得管理層同意并授權(quán)實施和動作信息平安管理體系。422實施和運作信息平安管理體系組織應(yīng)：a 識別適宜的管理行動和確定管理信息平安風(fēng)險的

15、優(yōu)先順序即：風(fēng)險處置方案-見條款5；b 實施風(fēng)險處置方案以到達識別的控制目的，包括對資金的思索和落實平安角色和責(zé)任。c 實施在4.2.1g選擇的控制目的和措施d 培訓(xùn)和認(rèn)識見5.2.2;e 管理動作過程；f 管理資源見5.2；g 實施程序和其他有才干隨時探測和回應(yīng)平安事故的控制措施。423監(jiān)控和評審信息平安管理體系組織應(yīng)：a 執(zhí)行監(jiān)控程序和其他控制措施，以：1 實時探測處置結(jié)果中的錯誤；2 及時識別失敗和勝利的平安破壞和事故；3 可以使管理層確定分派給員工的或經(jīng)過信息技術(shù)實施的平安活動能否到達了預(yù)期的目的；4 確定處理平安破壞的行動能否反映了運營的優(yōu)先級。b 進展常規(guī)的信息平安管理體系有效性的

16、評審包括符合平安方針和目的，及平安控制措施的評審思索平安評審的結(jié)果、事故、一切利益相關(guān)方的建議和反響；c 評審剩余風(fēng)險和可接受風(fēng)險的程度，思索以下方面的變化：1 組織2 技術(shù)3 業(yè)務(wù)目的和過程4 識別要挾5 外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。d 在方案的時間段內(nèi)實施內(nèi)部信息平安管理體系審核。e 經(jīng)常進展信息平安管理體系管理評審至少每年評審一次以保證信息平安管理體系的范圍依然足夠，在信息平安檢查管理體系過程中的改良措施已被識別見條款6信息平安管理體系的管理評審；f 記錄所采取的行動和可以影響信息平安管理體系的有效性或績效性的事件見4.3.4。424維護和改良信息平安管理體

17、系組織應(yīng)經(jīng)常：a 實施已識別的對于信息平安管理體系的改良措施b 采取適宜的糾正和預(yù)防措施運用從其他組織的平安閱歷和組織內(nèi)學(xué)到的知識。c 溝通結(jié)果和行動并得到一切參與的相關(guān)方的贊同。d 確保改良展動到達了預(yù)期的目的。43文件要求431總那么信息平安管理體系文件應(yīng)包括：a 文件化的平安方針文件和控制目的；b 信息平安管理體系范圍見4.2.1和程序及支持信息平安管理體系的控制措施c 風(fēng)險評價報告見4.2.1;d 風(fēng)險處置方案;e 組織需求的文件化的程序以確保管有效地方案運營和對信息平安過程的控制見6.1f 本規(guī)范要求的記錄見4.3.4;g 適用性聲明注1：當(dāng)本規(guī)范中出現(xiàn)“文件化的程序，這意味著建立、

18、文件化、實施和維護該程序。注2：SeeISO9001注3：文件和記錄可以用多方式和不同媒體。432文件控制信息平安管理體系所要求的文件應(yīng)予以維護和控制。應(yīng)編制文件化的程序，以規(guī)定以下方面所需的控制：a 文件發(fā)布前得到同意，以確保文件的充分性；b 必要時對文件進展評審與更新，并再次同意；c 確保文件的更改和現(xiàn)行修訂形狀得到識別；d 確保在運用途可獲得適用文件夾的有關(guān)版本；e 確保文件夾堅持明晰、易于識別；f 確保外來文件的發(fā)放在控制形狀下；g 確保文件的發(fā)放在控制形狀下；h 防止作廢文件的非預(yù)期運用；i 假設(shè)因任何緣由而保管作廢文件時，對這些文件進展適當(dāng)?shù)臉?biāo)識。433記錄控制應(yīng)建立并堅持記錄，以

19、提供符合要求和信息平安管理體系的有效運轉(zhuǎn)的證據(jù)。記錄該當(dāng)被控制。信息平安管理體系應(yīng)思索任何有關(guān)的法律要求。記錄應(yīng)堅持明晰、易于識別和檢索。應(yīng)編制構(gòu)成文件的程序，以規(guī)定記錄的標(biāo)識、儲存、維護、檢索、保管期限和處置所需的控制。需求一個管理過程確定記錄的程度。應(yīng)保管4.2概要的過程績效記錄和一切與信息平安管理體系有關(guān)的平安事故發(fā)生的記錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。5管理職責(zé)51管理承諾管理層應(yīng)提供其承諾建立、實施、運轉(zhuǎn)、監(jiān)控、評審、維護和改良信息平安管理體系的證據(jù)，包括：a 建立信息平安方針；b 確保建立信息平安目的和方案；c 為信息平安確立職位和責(zé)任；d 向組織傳到

20、達達信息平安目的和符合信息平安方針的重要性、在法律條件下組織的責(zé)任及繼續(xù)改良的需求。e 提供足夠的資源以開發(fā)、實施，運轉(zhuǎn)和維護信息平安管理體系見5.2.1;f 確定可接受風(fēng)險的程度;g 進展信息平安管理體系的評審見條款6。52資源管理521提供資源組織將確定和提供所需的資源，以：a 建立、實施、運轉(zhuǎn)和維護信息平安管理體系；b 確保信息平安程序支持業(yè)務(wù)要求；c 識別和強調(diào)法律和法規(guī)要求及合同的平安義務(wù)；d 正確地運用一切實施的控制措施維護足夠的平安；e 必要時，進展評審，并適當(dāng)回應(yīng)這些評審的結(jié)果；f 需求時，改良信息平安管理體系的有效性。522培訓(xùn)，認(rèn)識和才干 組織應(yīng)確保一切被分配信息平安管理體

21、系職責(zé)的人員具有才干履行指派的義務(wù)。組織應(yīng)：a 確定從事影響信息平安管理體系的人員所必要的才干；b 提供才干培訓(xùn)和必要時，聘用有才干的人員滿足這些需求；c 評價提供的培訓(xùn)和所采取行動的有效性；d 堅持教育、培訓(xùn)、技藝、閱歷和資歷的記錄見4.3.3組織應(yīng)確保一切相關(guān)的人員知道他們信息平安活動的適當(dāng)性和重要性以及他們的奉獻怎樣達成信息平安管理目的.6 信息平安管理體系的管理評審61總那么管理層應(yīng)按謀劃的時間間隔評審組織的信息平安管理體系,以確保其繼續(xù)的適宜性、充分性和有效性。評審應(yīng)包括評價信息平安管理體系改良的時機和變卦的需求，包括平安方針和平安目的。評審的結(jié)果應(yīng)清楚地文件化，應(yīng)堅持管理評審的記錄

22、見4.3.362評審輸入管理評審的輸入應(yīng)包括以下方面的信息：a 信息平安管理體系審核和評審的結(jié)果；b 相關(guān)方的反響；c 可以用于組織改良其信息平安管理體系績效和有效性的技術(shù)，產(chǎn)品或程序；d 預(yù)防和糾正措施的情況；e 以前風(fēng)險評價沒有足夠強調(diào)的脆弱性或要挾；f 以往管理評審的跟蹤措施；g 任何能夠影響信息平安管理體系的變卦；h 改良的建議。63評審輸出管理評審的輸出應(yīng)包括以下方面有關(guān)的任何決議和措施：a 對信息平安管理體系有效性的改良；b 修正影響信息平安的程序，必要時，回應(yīng)內(nèi)部或外部能夠影響信息平安管理體系的事件，包括以下的變卦：1 業(yè)務(wù)要求；2 平安要求；3 業(yè)務(wù)過程影響現(xiàn)存的業(yè)務(wù)要求；4

23、法規(guī)或法律環(huán)境；5 風(fēng)險的等級和/或可接受風(fēng)險的程度；c 資源需求。64內(nèi)部信息平安管理體系審核組織應(yīng)按謀劃的時間間隔進展內(nèi)部信息平安管理體系審核，以確定信息平安管理體系的控制目的、控制措施、過程和程序能否：a 符合本規(guī)范和相關(guān)法律法規(guī)的要求；b 符合識別的信息平安的要求；c 被有效地實施和維護；d 到達料想的績效。任何審核活動應(yīng)謀劃，謀劃應(yīng)思索過程的情況和重要性，審核的范圍以及前次審核的結(jié)果。應(yīng)確定審核的規(guī)范，范圍，頻次和方法。選擇審核員及進展審核應(yīng)確認(rèn)審核過程的客觀和公正。審核員不應(yīng)審核他們本人的任務(wù)。應(yīng)在一個文件化的程序中確定謀劃和實施審核，報告結(jié)果和維護記錄見4.3.3的責(zé)任及要求.擔(dān)

24、任被審核區(qū)域的管理者應(yīng)確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的緣由。改良措施應(yīng)包括驗證采取的措施和報告驗證的結(jié)果見條款7。7信息平安管理體系改良71繼續(xù)改良組織應(yīng)經(jīng)過運用平安方針、平安目的、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防措施和管理評審的信息繼續(xù)改良信息平安管理體系的有效性。72糾正措施組織應(yīng)確定措施，以消除與實施和運轉(zhuǎn)信息平安管理體系有關(guān)的不合格的緣由，防止不合格的再發(fā)生。應(yīng)為糾正措施編制構(gòu)成文件的程序，確定以下的要求：a 識別實施或運轉(zhuǎn)信息平安管理體系中的不合格；b 確定不合格的緣由；c 評價確保不合格不再發(fā)生的措施的需求；d 確定和實施所需的糾正措施；e 記錄所采取措

25、施的結(jié)果見4.3.3;f 評審所采取的糾正措施。73預(yù)防措施組織應(yīng)針對潛在的不合格確定措施以防止其發(fā)生。預(yù)防措施應(yīng)于潛在問題的影響程序順應(yīng)。應(yīng)為預(yù)防措施編制構(gòu)成文件的程序，以規(guī)定以下方面的要求：a 識別潛在的不合格及引起不合格的緣由；b 確定和實施所需的預(yù)防措施；c 記錄所采取措施的結(jié)果見4.3.3；d 評價所采取的預(yù)防措施；糾正措施的優(yōu)先權(quán)應(yīng)以風(fēng)險評價的結(jié)果為根底確定。注：預(yù)防不合格的措施總是比糾正措施更節(jié)約本錢。附錄A援用控制目的和控制措施A1引見從A.3到A.12列出的控制目的和控制措施是直接援用并與BS ISO/IEC 17799:2000條款3到12一致。一表中的清單并不徹底，一個組

26、織能夠思索另外必要的控制目的和控制措施。在這些表中選擇控制目的和控制措施是條款4.2.1規(guī)定的信息平安管理體系過程的一部分。A2實際指南規(guī)范BS ISO/IEC 17799：2000條款3至12提供最正確實際的實施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3平安方針BS ISO/IEC 17799:2000編號A.3.1信息平安方針控制目的：提供管理方向和支持信息平安3.1控制措施A.3.1.1信息平安方針文件管理層應(yīng)提供一份方針方件,出版并在適當(dāng)時,溝通給一切員工。3.1.1A.3.1.2評審和評價應(yīng)經(jīng)常評審方針文件,尤其在發(fā)生決議性的變化時,確保方針的適宜性3.1.2A.4組織平

27、安BS ISO/IEC 17799:2000編號A.4.1信息平安根底設(shè)備控制目的：在組織中管理信息平安4.1控制措施A.4.1.1信息平安管理委員會信息平安管理委員會確保明確的目的和管理層對啟動平安管理可見的支持。管理委員會應(yīng)經(jīng)過適當(dāng)?shù)某兄Z和充足的資源推行平安4.1.1A.4.1.2信息平安協(xié)作在大的組織中，應(yīng)運用一個由從各組織相關(guān)單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息平安控制措施。4.1.2A.4.1.3落實信息平安責(zé)任應(yīng)明確定維護每種資產(chǎn)和擔(dān)任特定平安過程的責(zé)任4.1.3A.4.1.5對信息處置設(shè)備的授權(quán)過程應(yīng)建立對于新的信息處置設(shè)備的管理授權(quán)過程4.1.4A.4.1.5專家

28、信息平安建議應(yīng)從內(nèi)部或外部搜集專家的信息平安建議并在組織內(nèi)部實施協(xié)作4.1.5A.4.1.6組織間的協(xié)作應(yīng)與執(zhí)法機關(guān)、主管機關(guān)、信息效力提供者，及通訊業(yè)者維持適當(dāng)?shù)慕佑|4.1.6A.4.1.7獨立的信息平安審查應(yīng)對信息平安方針的實施進展獨立的審查4.1.7A.4.2第三方訪問的平安控制目的：維護組織的信息處置設(shè)備及信息資產(chǎn)被第三方訪問時的平安4.2控制措施A.4.2.1確認(rèn)第三方訪問的風(fēng)險應(yīng)對第三方訪問組織的信息處置設(shè)備所帶來的風(fēng)險進展評價，并實施適當(dāng)?shù)钠桨部刂?.2.1A.4.2.2與第三方合約中的平安要求涉及第三方訪問組織的信息處置設(shè)備的安排，應(yīng)以包含必要的平安要求在內(nèi)的正式合約為根底。4

29、.2.2A.4.3外包控制目的：當(dāng)信息處置的責(zé)任委托其他組織時，應(yīng)維護信息的平安4.3A.4.3.1外包合約中的平安要求當(dāng)組織將全部或部分的信息系統(tǒng)、網(wǎng)絡(luò)，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方贊同的合約中應(yīng)載明平安的要求。.4.3.1A5資產(chǎn)分類與控制BS ISO/IEC 17799:2000編號A.5.1資產(chǎn)的保管責(zé)任控制目的:維持對于組織的資產(chǎn)的適切維護5.1控制措施A.5.1.1資產(chǎn)的清單應(yīng)列出并維護一份與每個信息系統(tǒng)有關(guān)的一切重要資產(chǎn)的清單5.1.1A.5.2信息分類控制目的：確保信息資產(chǎn)遭到適當(dāng)程度的維護控制措施A.5.2.1分類原那么信息的分類及相關(guān)的維護控制，應(yīng)適宜于企

30、業(yè)運營對于信息分享或限制的需求，以及這些需求對企業(yè)運營所帶來的沖擊5.2.1A.5.2.2信息的標(biāo)識及處置應(yīng)制定信息標(biāo)識及處置的程序，以符合組織所采行的分類法那么5.2.2A.6人事平安BS ISO/IEC 17799:2000編號A.6.1任務(wù)闡明及人力資源的平安控制目的：降低因人員錯誤、偷竊、詐欺或不當(dāng)運用設(shè)備所呵斥的風(fēng)險6.1控制措施A.6.1.1將平安需求列入任務(wù)職責(zé)中組織在信息平安方針中所規(guī)定的平安職責(zé)及責(zé)任，應(yīng)適度地書面化于任務(wù)職責(zé)闡明書中6.1.1A.6.1.2人員篩審及政策應(yīng)在招聘員工時執(zhí)行正式員工的驗證查核6.1.2A.6.1.3嚴(yán)密合約員工應(yīng)簽署嚴(yán)密協(xié)議作為其啟始聘用合同的

31、一部分6.1.3A.6.1.4聘用合同聘用合同中的應(yīng)陳說員工對信息平安的責(zé)任6.1.4A.6.2運用者培訓(xùn)控制目的：確保員工了解信息平安的要挾及思索，并且具備在其日常任務(wù)過程中支持組織的信息平安方針的才干6.2控制措施A.6.2.1信息平安的教育與培訓(xùn)組織的一切員工以及相關(guān)的第三方運用者，對于組織方針及程序應(yīng)接受適當(dāng)、定期更新的訓(xùn)練6.2.1A.6.3平安及失效事件的呼應(yīng)控制目的：將平安及失效事件所呵斥的損害降到最小，并監(jiān)視此類事件，從中學(xué)習(xí)6.3A.6.3.1平安事故報告平安事件應(yīng)在事件被發(fā)現(xiàn)之后盡快由適當(dāng)?shù)墓芾硗緩竭M展通報6.3.1A.6.3.2平安弱點的報告應(yīng)要求信息效力的運用者記下并報

32、告任何察看到的或可疑的有關(guān)系統(tǒng)或效力方面的平安弱點或要挾6.3.2A.6.3.3軟件失效事件的報告應(yīng)建立報告軟件失效事件的相關(guān)程序6.3.3A.6.3.4從事件中學(xué)習(xí)應(yīng)有適當(dāng)機制的以量化與監(jiān)視平安事故及失效事件的種類、數(shù)量、及本錢6.3.4A.6.3.5懲罰的流程員工違反組織平安方針及程序，應(yīng)由正式的懲罰流程來處置6.3.5A.7實體及環(huán)境平安BS ISO/IEC 17799:2000編號A.7.1平安區(qū)域控制目的：防止對企業(yè)運轉(zhuǎn)所在地及信息未經(jīng)授權(quán)的進入、訪問、破壞及干擾7.1控制措施A.7.1.1實體平安邊境組織應(yīng)有平安的邊境以維護包含信息處置設(shè)備的區(qū)域7.1.1A.7.1.2實體進出控制

33、平安區(qū)域應(yīng)有適當(dāng)?shù)倪M出控制加以維護，以確保只需經(jīng)授權(quán)的人員可以進出7.1.2A.7.1.3應(yīng)劃定平安區(qū)域，以維護具有特殊平安需求的辦公處所及設(shè)備7.1.3A.7.1.4應(yīng)對在平安區(qū)域中進展的作業(yè)有額外的控制方法及指點原那么以加強平安區(qū)域的平安7.1.4A.7.1.5遞送及裝載區(qū)域應(yīng)加以控制，如有能夠應(yīng)與信息處置設(shè)備隔離，以防止未經(jīng)授權(quán)的訪問7.1.5A.7.2設(shè)備平安控制目的：預(yù)防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運營活動蒙受干擾7.2控制措施A.7.2.1設(shè)備的安頓及維護應(yīng)妥善安頓及維護設(shè)備，以降低環(huán)境的要挾與危險所呵斥的風(fēng)險以及未經(jīng)授權(quán)的訪問7.2.1A.7.2.2電源供應(yīng)應(yīng)維護設(shè)備免于電力失

34、效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸平安傳輸資料或支持信息效力的電力及通訊電纜，應(yīng)予以維護免于被攔截或破壞7.2.3A.7.2.4設(shè)備維護設(shè)備應(yīng)進展正確維護，以確保其繼續(xù)的可用性及完好性7.2.4A.7.2.5組織以外的設(shè)備平安任何在組織所在地以外運用的信息處置設(shè)備應(yīng)要求管理層授權(quán)7.2.5A.7.2.6設(shè)備報廢或再利用的平安防護設(shè)備在報廢或再利用前，應(yīng)去除在設(shè)備中的信息7.2.6A.7.3普通控制控制目的：防止信息及信息處置設(shè)備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機屏幕畫面凈空戰(zhàn)略組織應(yīng)具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權(quán)

35、訪問、遺失及損害所呵斥的風(fēng)險7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設(shè)備、信息及軟件7.3.2A.8通訊與操作管理BS ISO/IEC 17799:2000編號A.8.4.2操作員日志作業(yè)人員應(yīng)維持一份記錄其作業(yè)活動的任務(wù)日。操作日志應(yīng)遭到經(jīng)常性的，獨立的審查。8.4.2A.8.4.3錯誤事件登錄應(yīng)通報錯誤并采取矯正行動8.4.3A.8.5網(wǎng)絡(luò)管理控制目的：確保網(wǎng)絡(luò)中信息的平安性以及維護支持性的根底設(shè)備8.5控制措施A.8.5.1網(wǎng)絡(luò)控制應(yīng)實行一系列的控制方法以達成并維護網(wǎng)絡(luò)的平安8.5.1A.8.6存儲媒體的處置與平安控制目的：防止資產(chǎn)蒙受損害以及企業(yè)營運活動蒙受干擾控

36、制措施A.8.6.1可挪動式計算機存儲媒體的管理對于可挪動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應(yīng)回以控制8.6.1A.8.6.2存儲媒體的報廢不再需求的儲存媒體，應(yīng)可靠并平安地處置8.6.2A.8.6.3信息的處置程序應(yīng)建立信息的處置及儲存程序，以維護信息不被未經(jīng)授權(quán)的走漏或不當(dāng)運用8.6.3A.8.6.4系統(tǒng)文件的平安應(yīng)維護系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A.8.7信息及軟件的交換控制目的：防止在組織間交換的信息蒙受遺失、修正及不當(dāng)運用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應(yīng)簽署協(xié)議，其中有些能夠是正式的協(xié)議書8.7.

37、1A.8.7.2存儲媒體的運送平安運送存儲媒體時應(yīng)維護其不蒙受未經(jīng)授權(quán)的走漏、不當(dāng)運用或毀壞8.7.2A.8.7.3電子商務(wù)平安應(yīng)維護電子商務(wù)免于詐欺行為、合約爭議以及信息被走漏及修正8.7.2A.8.7.4電子郵件的平安應(yīng)開發(fā)一份電子郵件的運用戰(zhàn)略，并應(yīng)有降低電子郵件所呵斥的平安風(fēng)險的適當(dāng)控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的平安為控制電子化辦公室系統(tǒng)所帶來的業(yè)務(wù)與平安風(fēng)險，各項政策與指點原那么應(yīng)加以擬定并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應(yīng)有正式的授權(quán)過程，應(yīng)維護這類信息的完好性以防止未經(jīng)授權(quán)的修正8.7.6A.8.7.7其它方式的信息交換應(yīng)有適當(dāng)

38、的戰(zhàn)略、程序及控制方法來維護經(jīng)由、語音及影像等通訊設(shè)備進展的信息交換8.7.7A.9訪問控制BS ISO/IEC 17799:2000編號A.9.1企業(yè)營運對訪問控制的要求控制目的：控制對于信息的訪問9.1控制措施A.9.1.1訪問控制戰(zhàn)略企業(yè)營運對訪問控制的要求應(yīng)加以界定并文件化，對于信息的訪問應(yīng)如訪問控制政策中所界定的加以限制9.1.1A.9.2運用者訪問管理控制目的：確保訪問信息系統(tǒng)的權(quán)限被適當(dāng)?shù)厥跈?quán)、落實和維護9.2控制措施A.9.2.1運用者注冊應(yīng)有正式的運用者注冊及注銷的程序，以進展一切的多人運用信息系統(tǒng)及效力的訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及運用

39、，應(yīng)加以限制及控制9.2.2A.9.2.3運用者密碼管理對密碼的分配，應(yīng)經(jīng)過正式的管理流程加以控制9.2.3A.9.2.4運用者訪問權(quán)限的審查管理層應(yīng)定期執(zhí)行正式審查過程對于運用者的訪問權(quán)限實施評審9.2.4A.9.3運用者責(zé)任控制目的：防止未經(jīng)授權(quán)的運用者訪問9.3控制措施A.9.3.1密碼的運用應(yīng)要求運用者在選擇及運用密碼時，遵照良好的平安慣例9.3.1A.9.3.2無人看管的運用者設(shè)備應(yīng)要求運用者確保無人看管的運用者設(shè)備有適當(dāng)?shù)木S護9.3.2A.9.4網(wǎng)絡(luò)訪問控制控制目的：維護網(wǎng)絡(luò)化的效力9.4控制措施A.9.4.1運用網(wǎng)絡(luò)效力的政策運用者應(yīng)僅能直接訪問已獲得特別授權(quán)運用的效力9.4.1

40、A.9.4.2強迫性的途徑由運用者的終端機至計算機效力器羊的途徑應(yīng)加以控制9.4.2A.9.4.3外部聯(lián)機的運用者認(rèn)證應(yīng)對遠程運用者的訪問進展運用者認(rèn)證9.4.3A.9.4.4節(jié)點認(rèn)證到遠程計算機系統(tǒng)的聯(lián)機應(yīng)被認(rèn)證9.4.4A.9.4.5遠程診斷端口的維護對于診斷斷口的訪問應(yīng)可靠地加以控制9.4.5A.9.4.6網(wǎng)絡(luò)的隔離應(yīng)引起可在網(wǎng)絡(luò)中以群組方式隔離信息效力、運用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡(luò)聯(lián)機的控制在分享式的網(wǎng)絡(luò)中，運用者的聯(lián)機才干應(yīng)按照訪問控制戰(zhàn)略加以限制9.4.7A.9.4.8網(wǎng)絡(luò)路由的控制在分享式的網(wǎng)絡(luò)中，應(yīng)有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企

41、業(yè)營運運用軟件的訪問控制政策9.4.8A.9繼續(xù)BS ISO/IEC 17799:2000編號A.9.4.9網(wǎng)絡(luò)效力的平安對于組織運用網(wǎng)絡(luò)效力業(yè)者提供的一切網(wǎng)絡(luò)效力的平安特性,應(yīng)提供清楚的闡明9.4.9A.9.5操作系統(tǒng)訪問控制控制目的:防止未經(jīng)授權(quán)的計算機訪問9.5控制措施A.9.5.1自動化的終端機識別應(yīng)運用自動化的終端機識別,以認(rèn)證銜接到特定場所及可挪動式設(shè)備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息效力應(yīng)有平安的聯(lián)機流程9.5.2A.9.5.3運用者識別及認(rèn)證一切運用者應(yīng)有獨一的識別碼(運用者代號)專供其個人的運用,以便各項活動可以追溯至應(yīng)擔(dān)任的個人.運用一種適當(dāng)?shù)恼J(rèn)證技術(shù)以

42、真實地識別運用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應(yīng)提供有效的、交互式的設(shè)備以確保運用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的運用系統(tǒng)工具的運用應(yīng)加以限制并嚴(yán)厲控制9.5.5A.9.5.6提供受脅迫警報以維護運用者對于能夠成為他人脅迫的目的的運用者，應(yīng)提供脅迫警報9.5.6A.9.5.7終端機逾時終止在高風(fēng)險場所或為高風(fēng)險系統(tǒng)效力終端機，在進入休止形狀到達規(guī)定的一段時間后，應(yīng)加以封鎖以防止未經(jīng)授權(quán)的人進展訪問9.5.7A.9.5.8聯(lián)機時間的限制應(yīng)運用聯(lián)機時間的限制，以提供高風(fēng)險的運用程序額外的平安9.5.8A.9.6運用程序訪問控制控制目的：防止對于堅持在信息系統(tǒng)中

43、的信息進展未經(jīng)授權(quán)的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應(yīng)有系統(tǒng)的功能的訪問應(yīng)按照訪問控制戰(zhàn)略加以限制9.6.1A.9.6.2性系統(tǒng)的隔離具性質(zhì)的系統(tǒng)應(yīng)有專屬的隔離的運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及運用的監(jiān)控控制目的：偵探未經(jīng)授權(quán)的活動9.7控制措施A.9.7.1事件登錄應(yīng)產(chǎn)生記載著異常情況及其它平安相關(guān)事件的審核日志，并保管一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)運用的監(jiān)控應(yīng)建立監(jiān)控信息設(shè)備運用情況的程序，并且應(yīng)定期對監(jiān)活動的結(jié)果進展審查9.7.2A.9.7.3定時器同步計算機的定時器應(yīng)同步以便能準(zhǔn)確地記錄9.7.3A.9繼續(xù)BS ISO

44、/IEC 17799:2000編號A.9.8可挪動式計算機運算及計算機通訊遠距任務(wù)控制目的：確保運用可挪動式計算機運算及計算機通訊遠距任務(wù)的設(shè)備的信息平安9.8控制措施A.9.8.1可挪動式計算機運算應(yīng)有適當(dāng)?shù)恼秸卟⑶也捎眠m當(dāng)?shù)目刂品椒ǎ苑纻溥\用可挪動式計算機遠算設(shè)備進展任務(wù)時所呵斥的風(fēng)險，特別是在未被維護的環(huán)境中任務(wù)時9.8.1A.9.8.2計算機通訊遠距任務(wù)應(yīng)開發(fā)戰(zhàn)略、程序和規(guī)范以便授權(quán)及控制計算機通訊遠距任務(wù)的活動9.8.2A.10系統(tǒng)開發(fā)及維護BS ISO/IEC 17799:2000編號A.10.1系統(tǒng)的平安要求控制目的：確保平安機制建于信息系統(tǒng)之中10.1控制措施A.10.1

45、.1平安要求的分析及規(guī)范對于運用新系統(tǒng)或改良既有系統(tǒng)的企業(yè)營運要求，應(yīng)將對控制方法的要求制定于其中10.1.1A.10.2運用系統(tǒng)中的平安控制目的：防止運用系統(tǒng)中的運用者資料遺失、修正及不當(dāng)運用10.2控制措施A.10.2.1輸入資料的驗證輸入運用系統(tǒng)的資料應(yīng)加以驗證，以確保資料是正確且適當(dāng)?shù)?0.2.1A.10.2.2內(nèi)部處置控制驗證的檢查應(yīng)成為系統(tǒng)的一部份，以偵測出所處置的資料能否損毀10.2.2A.10.2.3音訊的認(rèn)證當(dāng)有維護音訊內(nèi)容完好性的平安要求時，應(yīng)針對運用程序進展音訊的認(rèn)證10.2.3A.10.2.4輸出資料的驗證從運用系統(tǒng)輸出的資料應(yīng)加以驗證，以確保對所儲存的資料的處置流程是

46、正確的，且就其情況而言是適當(dāng)?shù)?0.2.4A.10.3密碼學(xué)的控制方法控制目的：維護信息的性、真實性或完好性10.3控制措施A.10.3.1運用密碼學(xué)控制方法時的政策應(yīng)開展且遵照以密碼學(xué)控制方法來達成維護信息目的政策10.3.1A.10.3.2資料加密應(yīng)運用資料加密，以維護或關(guān)鍵信息的性10.3.2A.10.3.3數(shù)字簽章應(yīng)運用不可否認(rèn)性的效力，以處理某事件或行動能否有發(fā)生的爭議10.3.3A.10.3.4不可否認(rèn)性的效力應(yīng)運用既定的規(guī)范、程序及方法為根底的密鑰管理系統(tǒng)以支持密碼學(xué)技術(shù)的運用10.3.4A.10.3.5密鑰管理10.3.5A.10繼續(xù)BS ISO/IEC 17799:2000編

47、號A.10.4系統(tǒng)檔案的平安控制目的：確保信息科技的工程及支持特性活動以平安的方式來進展10.4控制措施A.10.4.1控制執(zhí)行軟件應(yīng)建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的維護測試資料應(yīng)加以維護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴(yán)厲的控制10.4.3A.10.5開發(fā)及支持流程中的平安控制目的：維護運用系統(tǒng)的軟件及信息的平安10.5控制措施A.10.5.1變卦控制的程序應(yīng)運用正式的變卦控制程序嚴(yán)厲地控制變卦的實行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變卦的技術(shù)審查當(dāng)發(fā)生變卦時，應(yīng)對運用系統(tǒng)進

48、展審查及測試10.5.2A.10.5.3軟件包修正的限制應(yīng)阻止對于軟件包的修正，對于變卦應(yīng)嚴(yán)厲控制10.5.3A.10.5.4信道及特洛伊木馬應(yīng)控制并檢查軟件的采購、運用及修正以防備能夠密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應(yīng)運用控制方法防護委外的軟件開發(fā)10.5.5A.11業(yè)務(wù)繼續(xù)動作管理BS ISO/IEC 17799:2000編號A.11.1業(yè)務(wù)繼續(xù)動作管理思索控制目的：防止企業(yè)運營中斷并且維護企業(yè)營運的關(guān)鍵流程免于艱苦失效或災(zāi)難的影響11.1控制措施A.11.1.1業(yè)務(wù)繼續(xù)動作的管理流程為開展及維護企業(yè)的繼續(xù)動作性，應(yīng)有普及整個組織的管理流程11.1.1A.

49、11.1.2業(yè)務(wù)繼續(xù)動作及沖擊分析應(yīng)開展以適當(dāng)?shù)娘L(fēng)險評價為根底的戰(zhàn)略性方案，以為業(yè)務(wù)繼續(xù)動作的方法11.1.2A.11.1.3繼續(xù)動作方案的撰寫及執(zhí)行應(yīng)開展方案確保在重要的業(yè)務(wù)流程中斷或失效后可及時維護或恢復(fù)業(yè)務(wù)動作11.1.3A.11.1.4業(yè)務(wù)繼續(xù)動作規(guī)劃的架構(gòu)應(yīng)維持一個單一的業(yè)務(wù)繼續(xù)動作方案架構(gòu)，以確保一切方案的一致性，且鑒別其先后次序以進展測試與維護11.1.4A.11.1.5業(yè)務(wù)繼續(xù)動作方案的測試、維護與再評價業(yè)務(wù)繼續(xù)運作方案應(yīng)定期測試，且透過定期審查予以維護，以確保及時性及有效性11.1.5A.12符合性BS ISO/IEC 17799:2000編號A.12.1法規(guī)要求的符合性控制

50、目的：防止違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務(wù)、以及違反任何平安的要求12.1控制措施A.12.1.1鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法律及契約內(nèi)容所規(guī)定的一切相關(guān)要求,應(yīng)加以明白地界定及文件化12.1.1A.12.1.2知識產(chǎn)權(quán)應(yīng)實行適當(dāng)?shù)某绦?以確保在運用智能財富權(quán)方面的物品及他人專屬的軟件產(chǎn)品時,能符合法律的限制12.1.2A.12.1.3組織記錄的維護應(yīng)防止屬于組織的重要記錄遺失、被破壞及篡改12.1.3A.12.1.4個人信息的隱私及數(shù)據(jù)維護應(yīng)運用控制方法,以按照相關(guān)的法律維護個人信息12.1.4A.12.1.5信息處置設(shè)備不當(dāng)運用

51、的預(yù)防運用信息處置設(shè)備應(yīng)運營管理者授權(quán),并且在應(yīng)運用控制方法，以防止這些設(shè)備蒙受不當(dāng)運用12.1.5A.12.1.6有關(guān)密碼學(xué)控制方法的政府規(guī)定應(yīng)有適當(dāng)?shù)目刂品椒?，以確保運用或訪問密碼學(xué)控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求12.1.6A.12.1.7證據(jù)的搜集當(dāng)對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應(yīng)符合相關(guān)法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應(yīng)包括符合任何有關(guān)可采購證據(jù)的產(chǎn)生的已發(fā)行規(guī)范或最正確慣例在內(nèi)12.1.7A.12.2平安政策符合性及技術(shù)符合性的審查控制目的：確保系統(tǒng)符合組織的平安政策及規(guī)范12.2控制措施A.

52、12.2.1平安方針的符合性管理者應(yīng)確保在其責(zé)任范圍內(nèi)的一切平安程序被正確地執(zhí)行，并且組織內(nèi)的一切范圍應(yīng)定期加以審查，以確保符合平安政策及規(guī)范12.2.1A.12.2.2技術(shù)符合性的檢查12.2.2A.12.3系統(tǒng)審核的思索控制目的：將有效性提升至最大，并將對及作用在系統(tǒng)審核，流程的干擾降至最小12.3控制措施A.12.3.1系統(tǒng)審核的控制對于操作系統(tǒng)的審核，應(yīng)加以謀劃并獲得贊同，以將對企業(yè)營運的流程呵斥中斷的風(fēng)險降至最小12.3.1A.12.3.2系統(tǒng)審核工具的維護對于系統(tǒng)審核工具的訪問應(yīng)加以維護，以防止能夠的不當(dāng)運用或遭侵入而損壞12.3.2附錄 B 情報性的規(guī)范運用指南B.1總那么B.1

53、.1PDCA 模型建立和管理一個信息平安管理體系需求像其他任何管理體系一樣的方法。這里描畫的過程模型遵照一個延續(xù)的活動循環(huán)方案、實施、檢查、和處置。之所以可以描畫為一個有效的循環(huán)國為它的目的是為了保證您的組織的最好實際文件化、加強并隨時間改良。B.1.2方案和實施一個繼續(xù)提高的過程通常要求最初的投資：文件化實際，將風(fēng)險管理的進程正式化，確定評審的方法和配置資源。這些活動通常作為循環(huán)的開場。這個階段在評審階段開場實施時終了。方案階段用來保證為信息平安管理體系建立的內(nèi)容和范圍正確地建立，評價信息平安風(fēng)險和建立適當(dāng)?shù)靥幹眠@些風(fēng)險的方案。實施階段用來實施在方案階段確定的決議和處理方案。B.1.3檢查和

54、處置檢查和處置評審階段用來加強、修正和改良已識別和實施的平安方案。評審可以在任何時間、以任何頻率實施，取決于怎樣做適宜于思索的詳細(xì)情況。在一些體系中他們能夠需求建立在計算機化的過程中以運轉(zhuǎn)和立刻回應(yīng)。其他過程能夠只需在有信息平安事故時、被維護的信息資產(chǎn)變化時或需求添加時、要挾和脆弱性變化時需求回應(yīng)。最后，需求每一年或其他周期性評審或?qū)徍艘员ＷC整個管理體系達成其目的。B.1.4控制措施總結(jié)Summary of Controls組織能夠發(fā)現(xiàn)制造一份相關(guān)和運用于組織的信息平安管理體系的控制措施總結(jié)SoC的益處。提供一份控制措施小結(jié)可以使處置業(yè)務(wù)關(guān)系變得容易如供電外包等。SoC能夠包含敏感的信息，因此

55、當(dāng)SoC在外部和內(nèi)部同時運用時，應(yīng)思索他們對于接納者能否適宜。注：SoC不是(Statement of Applicability)見4.2.1的替代品。SoA是認(rèn)證必需的要求。B.2 方案階段B.2.1引見PDCA循環(huán)的方案活動是為保證正確地建立信息平安管理體系的內(nèi)容和范圍，識別和評價一切的信息平安風(fēng)險，建立適宜的處置風(fēng)險方案而設(shè)計的。方案活動一切階段必需文件化作為管理變化的追溯，這一點非常重要。B.2.2信息平安方針421b要求組織和其管理層確定包含建立其目的和目的框架、并建立總的方向、信息平安行動原那么的信息平安方針。該方針的內(nèi)容的指南在BS ISO/IEC 17799：2000中給出。

56、B.2.3信息平安管理體系的范圍信息平安管理體系能夠覆蓋組織一切部分。應(yīng)清楚識別的從屬、界面和對于一個環(huán)境的邊境的假設(shè)。這對于只需組織的部分單位包括在信息平安管理體系范圍內(nèi)時尤其重要。范圍的界定能夠分為幾種方式，例如，分為領(lǐng)域，使后續(xù)的風(fēng)險管理義務(wù)變得容易。信息平安管理體系范圍文件應(yīng)覆蓋：a 建立范圍和信息平安管理體系的環(huán)境所運用的過程；b 戰(zhàn)略及組織環(huán)境；c 組織運用的信息平安風(fēng)險管理的方法；d 信息平安風(fēng)險評價的規(guī)范和所需確實保的程度的要求；e 在信息平安管理體系的范圍內(nèi)信息資產(chǎn)和識別信息平安管理體系的范圍能夠在質(zhì)量管理體系控制的范圍、另一個管理體系或另一個信息平安管理體系一樣的或一個第三

57、方的組織之內(nèi)，在這種情況下，只需那些信息平安管理體系具有的管理控制可以思索為在信息平安管理體系的范圍內(nèi)。B.2.4風(fēng)險識別和評價風(fēng)險評價文件應(yīng)解釋選擇哪一種風(fēng)險方法，為什么此方法適宜平安要求，業(yè)務(wù)環(huán)境，組織的規(guī)模和面臨的風(fēng)險等。采用的方法應(yīng)努力于平安的努力和有效利用資源。文件也應(yīng)覆蓋選擇的工具和技術(shù)，解釋為什么它們適用于信息平安管理體系的范圍和風(fēng)險，怎樣正確地運用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。以下風(fēng)險評價的詳細(xì)內(nèi)容應(yīng)文件化：a 信息平安管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不能以錢來衡量時，估價量度的運用的信息；b 識別要挾和弱點；c 對要挾利用脆弱點的評價，及當(dāng)此類事故發(fā)生時的影響；d 在評價

58、結(jié)果的根底上計算風(fēng)險，識別剩余風(fēng)險。B.2.5風(fēng)險處置方案組織應(yīng)建立一個詳細(xì)的日程，或風(fēng)險處置方案，對于每一個識別的風(fēng)險確定：a 選擇的處置風(fēng)險的方法；b 已有的控制措施；c 建議的新添的控制措施；d 實施新提議的控制措施的時間架構(gòu)。應(yīng)識別一個可接受風(fēng)險的程度，對于每一個不在可接受程度內(nèi)的風(fēng)險應(yīng)從以下方面選擇適宜的措施：a 決議接受風(fēng)險，如，由于不能采取其他措施或太貴；b 轉(zhuǎn)移風(fēng)險；或c 降低風(fēng)險到可接受的風(fēng)險。風(fēng)險治理方案是一個調(diào)和的文件，確定降低不可接受的程度，因此應(yīng)對能否添加更多的控制措施或接受更高的風(fēng)險作出一個決議。當(dāng)設(shè)立一個可接受的風(fēng)險的程度，力度和控制措施的本錢應(yīng)與潛在的事故呵斥的

59、代價相比較。適用性聲明見4.2.1h記錄控制目的和從附錄A選擇的控制措施。這份文件是信息平安管理體系認(rèn)證要求的一份任務(wù)文件。BS ISO/IEC17799:2000提供相關(guān)實施這些控制措施的附加信息，當(dāng)識別的風(fēng)險超越這些控制措施可以控制的程度時，能夠需求設(shè)計附加的控制措施并加以實施。設(shè)計用來阻止、偵測、限制、維護和恢復(fù)平安損害與信息平安管理體系一致的控制措施對實施PDCA模型非常重要并應(yīng)在早期與提供預(yù)防、偵測、限制和恢復(fù)的管理控制措施一同加以實施，這樣才干更有效。應(yīng)預(yù)備一份提供日程、陳列優(yōu)先次序、一個詳細(xì)的任務(wù)方案和責(zé)任的方案，實施控制措施。B.3實施階段B.3.1引見在PDCA循環(huán)中的實施階

60、段是設(shè)計用來實施選擇的控制措施和推進必要的謀劃階段所做出的決議一致的管理信息平安風(fēng)險措施。B.3.2資源，培訓(xùn)和認(rèn)識應(yīng)落實充足的運轉(zhuǎn)信息平安管理體系和一切平安控制措施的資源，包括實施一切控制措施的文件，和維護信息平安管理體系文件的活動。另外，應(yīng)提高平安認(rèn)識和實施培訓(xùn)工程，這項活動應(yīng)與實施平安控制措施并行。認(rèn)識工程的目的是產(chǎn)生一種有很好根底的風(fēng)險管理和平安的文化。應(yīng)監(jiān)控平安認(rèn)識工程的進展以保證其繼續(xù)有效性和時事性。特別的平安培訓(xùn)應(yīng)適用于能否支持認(rèn)識工程，使一切相關(guān)方在需求時完成他們的義務(wù)。B.3.3風(fēng)險處置對于經(jīng)過評價可接受的風(fēng)險，不需求進一步的措施。假設(shè)斷定轉(zhuǎn)移風(fēng)險，應(yīng)采取進一步行動，如：運用