《信息安全系统管理系统体系BS779923实用标准》由会员分享,可在线阅读,更多相关《信息安全系统管理系统体系BS779923实用标准(31页珍藏版)》请在金锄头文库上搜索。
1、wordBS7799-2:2002目录0 总如此. . 201 总如此.202 过程方法.21 X围. . . 311 概要.312 应用.32 引用标准. 43名词. 44信息安全管理体系要求. 541 总如此.542 建立和管理ISMS .543 文件要求.75 管理职责. 851 管理承诺.852 资源管理.86信息安全管理体系的管理评审. 861 总如此.862 评审输入.963 评审输出.964 内部信息安全管理体系审核.97 ISMS 改良. .改良. 1071 持续改良. 1072 纠正措施.1073 预防措施.10附录A (引用) 控制目标和控制措施.11附录B( 情报性的)
2、标准使用指南. 25附录C( 情报性的) ISO 9001:2000ISO14001 与BS7799-2:2002 条款对照. 310 介绍01 总如此本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系ISMS模型。采用ISMS 应是一个组织的战略决定。一个组织的ISMS 的设计和实施受业务需要和业务目标、产生的安全需求、采用的过程与组织的大小和结构的影响。上述因素和他们的支持过程预计会随事件变化而变化。希望简单的情况是用简单的ISMS 解决方案。本标准可以由内部、外部包括认证组织使用,审核一个组织是否符合其本身的需要与客户和法律的要求。02 过程方法本标准推荐采用过
3、程的方法开发、实施和改良一个组织的ISMS 的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出,这可以被认为是一个过程。经常地,一个过程的输出直接形成了下一个过程的输入。在一个组织中应用一个过程的体系,并识别这些过程、过程间的相互作用与过程的管理,可以叫做过程的方法。过程的方法鼓励使用者强调以下重要性:a) 理解信息安全需求和建立信息安全方针和目标的需要;b) 在全面管理组织业务风险的环境下实施和运作控制措施;c) 监控和评审ISMS 的有效性和绩效;d) 在客观评价的根底上持续改良。本标准采用的,适用于ISMS 的模型,如图一所示。
4、图一显示ISMS 怎样考虑输入利益相关方的信息安全需求和期望,通过必要的行动产生信息安全结果即:管理的信息安全,此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失或引起高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许组织的电子商务被黑客入侵将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四局部至第七局部的联系。本模型就是众所周知的“Plan-Do-Check-ActPDCA模型,本模型可以用于所有的过程。PACA 模型可以简单地描述如如下图:图一:应用于ISMS 过程的PDCA 模型计划建立ISMS建立与管理风险和改良信息安全有关的安全方针
5、、目标、目的、过程和程序,以达到与组织整体方针和目标相适应的结果。实施实施和运作ISMS实施和运作信息安全方针、控制措施、过程和程序。检查监控和评审ISMS针对安全方针、目标和实践经验等评审和如果使用测量过程的绩效并向管理层报告结果共评审改良维护和改良ISMS在管理评审的结果的根底上,采取纠正和预防行动以持续改良ISMS。03 与其他管理体系标准的兼容性本标准与ISO 9001:2000 与ISO 14001:1996 相结合以支持实施和运作安全体系的一致性和整合。在附件C 中的表格显示BS 7799, ISO 9001,ISO 14001 各局部不同语句间的对应关系。本标准使组织能够联合或整
6、合其ISMS 与相关管理体系的要求。表表一1X围11 概要本标准规X在组织整个业务风险的环境下建立、实施、维护和改良一个文件化的ISMS 模型。它规X了制定实施安全控制措施的方法以适应不同组织或相关方的需求。见附件B,提供了使用该规X的指南。ISMS 保证足够的和性价比高的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。这将增强竞争优势、扩大现金流、提高组织赢利能力、法律符合与赢得良好的商务形象。12 应用本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。当由于组织的性质和业务使本标准中的某些要求不能使用,可以考虑删减。除非删减不影响组织的能力,或符合由风险评估和适用的法律确定的信息安全要求,否如此不PDCA 模型应用与信息安全管理体系过程相关单位信息安全需求和期望相关单位管理状态下的信息安全建立ISMS实施和运作ISMS维护和
