信息安全管理体系.doc
- 文档编号:434744
- 上传时间:2022-10-10
- 格式:DOC
- 页数:32
- 大小:284KB
信息安全管理体系.doc
《信息安全管理体系.doc》由会员分享,可在线阅读,更多相关《信息安全管理体系.doc(32页珍藏版)》请在冰豆网上搜索。
ISO17799标准下载
英国标准——BS7799-2:
2002
信息安全管理体系——
规范与使用指南
目录
前言
0介绍
0.1总则
0.2过程方法
0.0. 3其他管理体系的兼容性
1范围
1.1概要
1.2应用
2标准参考
3名词与定义
4信息安全管理体系要求
4.1总则
4.2建立和管理信息安全管理体系
4.2.1建立信息安全管理体系
4.2.2实施和运营(对照中文ISO9001确认)?
信息安全管理体系
4.2.3监控和评审信息安全管理体系
4.2.4维护和改进信息安全管理体系
4.3文件化要求
4.3.1总则
4.3.2文件控制
4.3.3记录控制
5管理职责
5.1管理承诺?
(对照中文ISO9001确认)
5.2资源管理
5.2.1资源提供
5.2.2培训、意识和能力
6信息安全管理体系管理评审
6.1总则
6.2评审输入?
(对照中文ISO9001确认)
6.3评审输出?
(对照中文IS9001确认)
7信息安全管理体系改进
7.1持续改进
7.2纠正措施
7.3预防措施
附件A(有关标准的)控制目标和控制措施
A.1介绍
A.2最佳实践指南
A.3安全方针
A.4组织安全
A.5资产分级和控制
A.6人事安全
A.7实体和环境安全
A.8通信与运营安全
A.9访问控制
A.10系统开发和维护
A.11业务连续性管理
A.12符合
附件B(情报性的)本标准使用指南
B1概况
B.1.1PDCA模型
B.1.2计划与实施
B.1.3检查与改进
B.1.4控制措施小结
B2计划阶段
B.2.1介绍
B.2.2信息安全方针
B.2.3信息安全管理体系范围
B.2.4风险识别与评估
B2.5风险处理计划
B3实施阶段
B.3.1介绍
B.3.2资源、培训和意识
B.3.3风险处理
B4实施阶段
B.4.1介绍
B.4.2常规检查
B.4.3自我监督程序
B.4.4从其它事件中学习
B.4.5审核
B.4.6管理评审
B.4.7趋势分析
B5改进阶段
B.5.1介绍
B.5.2不符合项
B.5.3纠正和预防措施
B.5.4OECD原则和BS7799-2
附件C(情报)ISO9001:
2000、ISO14001与BS7799-2:
2002条款对照
0介绍
0.1总则
本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系(信息安全管理体系)有模型。
采用信息安全管理体系应当是一项组织的战略决策。
一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。
上述因素和他们的支持过程会不断发生变化。
希望简单的情况使用简单的信息安全解决方
案。
本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。
0.2过程方法
本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
为使组织有效动作,必须识别和管理众多相互关联的活动。
通过使用资源和管理,将输入转化为输出的活动可视为过程。
通常,一个过程的输出直接形成了下一个过程的输入。
组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其惯例,课程只为:
“过程方法”。
过程的方法鼓励使用者强调以下方面的重要性:
a)a) 理解业务动作对信息安全的需求和建立信息安全方针和目标的需要;
b)b) 在全面管理组织业务风险的环境下实施和动作控制措施;
c)c) 监控和评审信息安全管理体系的有效性和绩效;
d)d) 在客观的测量,持续改进过程。
本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全管理体系的过程。
图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:
管理状态下的信息安全),满足那些需要和期望。
图一同时展示了4、5、6和7章中所提出的过程联系。
例1
一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。
例2
一个期望可以是如果严重的事故发生-如:
组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。
注:
名词“程序”,从传统来讲,用在信息安全方面意味着员工工作的过程,而不是计算机或其它电子概念。
PDCA模型应用与信息安全管理体系过程
计划PLAN建立ISMS
相关单位
管理状态
下的信息
安全
相关单位
信息
安全需求
和期望
实施和
运作ISMS
维护和
改进ISMS
实施改进
监控和
评审ISMS
用 DOACTION
检查CHECK
计划(建立信息安全管理体系)建立与管理风险和改进信息安全有关的安全方针、目
标、目的、过程和程序,以达到与组织整体方针和
目标相适应的结果。
实施(实施和动作信息安全管理体系实施和动作信息安全方针、控制措施、过程和程序。
检查(监控和评审信息安全管理体系)针对安全方针、目标和实践经验等评审和(如果适用)
职测量过程的绩效并向管理层报告结果供评审使用。
改进(维护和改进信息安全管理体系)在管理评审的结果的基础上,采取纠正和预防措施以
持续改进信息安全管理体系。
0.3与其他管理体系标准的兼容性
本标准与ISO9001:
2000与ISO16949:
1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C中以表格显示BS7799,ISO14001各部分不同条款间的对应关系,本标准使组织能够联合或整合其信息安全管理体系及相关管理体系的要求。
1范围
1.1概要
本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个文件化的信息安全管理体系的模型。
它规范了对定制实施安全控制措施以适应不同组织或相关部分的需求。
(附录B提供使用规范的指南)。
信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。
这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1.2应用
本标准规定的所有要求是通用的,旨在适用于各种类型、不同规模和提供不同产品的组织。
当本标准的任何要求因组织及其产品的特点而不适用时,可以考虑对其进行删减。
除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,
否则不能声称符合本标准。
任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据
证明相关风险被负责人员正当地接受。
对于条款4,5,6和7的要求的删减不能接受。
2引用标准
ISO9001:
2000质量管理体系-要求
ISO/IEC17799:
2000信息技术—信息安全管理实践指南
ISO指南73:
2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发,以下名词和定义适用。
3.1可用性
保证被授权的使用者需要时能够访问信息及相关资产。
[BSISO/IEC17799:
2000]
3.2保密性
保证信息只被授权的人访问。
[BSISO/IEC17799:
2000]
3.3信息安全
安全保护信息的保密性、完整性和可用性
3.4信息安全管理体系(信息安全管理体系)
是整个管理体系的一部分,建立在运营风险的方法上,以建立、实施、动作、监控、评审、
维护和改进信息安全。
注:
管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。
3.5完整性
保护信息和处理方法的准确和完整。
[BSISO/IEC17799:
2000]
3.6风险接受
接受一个风险的决定[ISOGuide73]
3.7风险分析
系统地使用信息识别来源和估计风险[ISOGuide73]
3.8风险评估
风险分析和风险评价的整个过程[ISOGuide73]
3.9风险评价
把估计风险与给出的风险标准相比较,确定风险严重性的过程。
[ISOGuide73]
3.10风险管理
指导和控制组织风险的联合行动
3.11风险处理
选择和实施措施以更改风险的处理过程[ISOGuide73]
3.12适用性声明
描述适用于组织的信息安全管理体系范围的控制目标和控制措施。
这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。
4.信息安全管理体系要求
4.1总要求
组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。
为满足该标准的目的,使用的过程建立在图一所示的PDCA模型基础上。
4.2建立和管理信息安全管理体系
4.2.1建立信息安全管理体系
组织应:
a)a) 应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。
b)b) 应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针,
方针应:
1)1) 包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。
2)2) 考虑业务及法律或法规的要求,及合同的安全义务。
3)3) 建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理体系。
4)4) 建立风险评价的标准和风险评估定义的结构。
5)5) 经管理层批准
c)c) 确定风险评估的系统化的方法
识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估
的方法。
为信息安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全管理 体系