《信息安全管理体系__规范与使用指南(_33)hcrx》由会员分享,可在线阅读,更多相关《信息安全管理体系__规范与使用指南(_33)hcrx(70页珍藏版)》请在金锄头文库上搜索。
1、 英国标准准BBS77799-2:220022信息安全全管理体体系规范与使使用指南南 目 录前言0 介绍绍01总总则02过过程方法法0 0 3其他他管理体体系的兼兼容性1 范围围11概概要12应应用2标准参参考3名词与与定义4信息安安全管理理体系要要求 41总则则 42建立立和管理理信息安安全管理理体系421建立立信息安安全管理理体系422实施施和运营营(对照照中文IISO990011确认)?信息息安全管管理体系系423监控和和评审信信息安全全管理体体系424维护和和改进信信息安全全管理体体系 43文件化化要求431总则432文件控控制433记录控控制5管理职职责51管管理承诺诺?(对对照中文
2、文ISOO90001确认认)52资资源管理理521资源提提供 522培训、意意识和能能力6信息安安全管理理体系管管理评审审 661总则 662评审输输入?(对对照中文文ISOO90001确认认) 663评审输输出?(对对照中文文IS990011确认)7信息安安全管理理体系改改进 771持续改改进 772纠正措措施 773预防措措施附件A(有有关标准准的)控控制目标标和控制制措施 AA1介绍 AA2最佳实实践指南南 AA3安全方方针 AA4组织安安全 AA5资产分分级和控控制 AA6人事安安全 AA7实体和和环境安安全 AA8通信与与运营安安全 A99访问控控制A100系统开开发和维维护 AA1
3、1业务务连续性性管理 AA12符合合附件B(情情报性的的)本标标准使用用指南B1概况况 B.1.11PDCCA模型型 B.1.22计划与与实施 B.1.33检查与与改进 B.1.44控制措措施小结结B2计划划阶段 B.2.11介绍 B.2.22信息安安全方针针 B.2.33信息安安全管理理体系范范围 B.2.44风险识识别与评评估 B22.5风风险处理理计划B3实施施阶段 B.3.11介绍 B.3.22资源、培培训和意意识 B.3.33风险处处理B4实施施阶段 B.4.11介绍 B.4.22常规检检查 B.4.33自我监监督程序序 B.4.44从其它它事件中中学习 B.4.55审核 B.4.6
4、6管理评评审 B.4.77趋势分分析B5改进进阶段 B.5.11介绍 B.5.22不符合合项 B.5.33纠正和和预防措措施 B.5.44OECCD原则则和BSS77999-22附件C(情报)IISO990011:20000、ISOO140001与与BS777999-2:20002条款款对照0 介介绍01 总则本标准的的目的是是为管理理者和他他们的员员工们提提供建立立和管理理一个有有效的信信息安全全管理体体系(信信息安全全管理体体系)有有模型。采采用信息息安全管管理体系系应当是是一项组组织的战战略决策策。一个个组织信信息安全全管理体体系的设设计和实实施受运运营需求求、具体体目标、安安全需求求、
5、所采采用的过过程及该该组织的的规模和和结构的的影响。上上述因素素和他们们的支持持过程会会不断发发生变化化。希望望简单的的情况使使用简单单的信息息安全解解决方案。本标准能能用于内内部、外外部包括括认证组组织使用用,评定定一个组组织符合合其本身身的需要要及客户户和法律律的要求求的能力力。02过过程方法法本标准鼓鼓励采用用过程的的方法建建立、实实施、和和改进组组织的信信息安全全管理体体系的有有效性。为使组织织有效动动作,必必须识别别和管理理众多相相互关联联的活动动。通过过使用资资源和管管理,将将输入转转化为输输出的活活动可视视为过程程。通常常,一个个过程的的输出直直接形成成了下一一个过程程的输入入。
6、组织内诸诸过程的的系统的的应用,连连同这些些过程的的识别和和相互作作用及其其惯例,课课程只为为:“过程方方法”。过程的方方法鼓励励使用者者强调以以下方面面的重要要性:a) a) 理解业业务动作作对信息息安全的的需求和和建立信信息安全全方针和和目标的的需要;b) b) 在全面面管理组组织业务务风险的的环境下下实施和和动作控控制措施施;c) c) 监控和和评审信信息安全全管理体体系的有有效性和和绩效;d) d) 在客观观的测量量,持续续改进过过程。本标准采采用的模模型就是是说众所所周知的的“Plaan策划划-Doo实施-CChecck检查查-Acct处置置”(PDCCA)模模型,适适用于所所有信息
7、息安全管管理体系系的过程程。图一一展示信信息安全全管理体体系怎样样考虑输输入利益益相关方方的住处处安全需需求和期期望,通通过必要要的行动动措施和和过程,产产生信息息安全结结果(即即:管理理状态下下的信息息安全),满满足那些些需要和和期望。图图一同时时展示了了4、5、6和7章中所所提出的的过程联联系。例1一个需求求是信息息安全事事故不要要引起组组织的财财务损失失和/或引起起高层主主管的尴尴尬。例2一个期望望可以是是如果严严重的事事故发生生-如:组组织的电电子商务务网站被被黑客入入侵将有被被培训过过的员工工通过适适用的程程序减少少其影响响。注:名词词“程序”,从传传统来讲讲,用在在信息安安全方面面
8、意味着着员工工工作的过过程,而而不是计计算机或或其它电电子概念念。PDCAA模型应应用与信信息安全全管理体体系过程程 计计划PLLAN 建立ISMS 相关单位管理状态下的信息安全相关单位 信息安全需求和期望 实施和运作ISMS维护和改进ISMS实施 改进 监控和评审ISMS用 DO ACCTIOON检查CCHECCK计划(建建立信息息安全管管理体系系) 建立立与管理理风险和和改进信信息安全全有关的的安全方方针、目目标、目的的、过程程和程序序,以达达到与组组织整体体方针和和 目标相相适应的的结果。 实施(实实施和动动作信息息安全管管理体系系 实实施和动动作信息息安全方方针、控控制措施施、过程程和
9、程序序。 检查(监监控和评评审信息息安全管管理体系系) 针对对安全方方针、目目标和实实践经验验等评审审和(如如果适用用) 职测量量过程的的绩效并并向管理理层报告告结果供供评审使使用。 改进(维维护和改改进信息息安全管管理体系系) 在管管理评审审的结果果的基础础上,采采取纠正正和预防防措施以以 持续改改进信息息安全管管理体系系。 03与与其他管管理体系系标准的的兼容性性本标准与与ISOO90001:20000与ISOO169949:19996相结结合以支支持实施施和动作作安全体体系的一一致性和和整合。在附件CC中以表表格显示示BS777999,ISOO140001各各部分不不同条款款间的对对应关
10、系系,本标标准使组组织能够够联合或或整合其其信息安安全管理理体系及及相关管管理体系系的要求求。 1 范围11概概要本标准提提供在组组织整个个动作风风险的环环境下建建立、实实施、动动作、监监控、评评审、维维护和改改进一个个文件化化的信息息安全管管理体系系的模型型。它规规范了对对定制实实施安全全控制措措施以适适应不同同组织或或相关部部分的需需求。(附附录B提供使使用规范范的指南南)。信息安全全管理体体系保证证足够的的和成比比例的安安全控制制措施以以充分保保护信息息资产并并给与客客户和其其他利益益相关方方信心。这这将转化化为维护护和提高高竞争优优势、现现金流、羸羸利能力力、法律律符合和和商务形形象。
11、12应应用本标准规规定的所所有要求求是通用用的,旨旨在适用用于各种种类型、不不同规模模和提供供不同产产品的组组织。当本标准准的任何何要求因因组织及及其产品品的特点点而不适适用时,可可以考虑虑对其进进行删减减。除非删减减不影响响组织的的能力、和和/或责任任提供符符合由风风险评估估和适用用的法律律确定的的信息安安全要求求,否则不能能声称符符合本标标准。任任何能够够满足风风险接受受标准的的删减必必须证明明是正当当的并需需要提供供证据证明相关关风险被被负责人人员正当当地接受受。对于于条款44,5,6和7的要求求的删减减不能接接受。2引用标标准 ISSO90001:20000质量量管理体体系-要求 ISSO/IIEC1177999:20000信息息技术信息安安全管理理实践指指南 ISSO指南南73:20001风险险管理指指南-名词3名词和和定义从本英国国标准的的目的出出发,以以下名词词和定义义适用。31可可用性 保证被被授权的的使用者者需要时时能够访访问信息息及相关关资产。BS ISO/IEC17799:200032保保密性保证信息息只被授授权的人人访问。BS ISO/IEC17799:200033信信息安全全安全保护护信息的的保密性性、完整整性和可可用性34信信息安全全管理体体系(信信息安全全管理体体系)是整个管管理体系系的一部部分
