《信息安全管理体系规范与使用指南(1)hcry》由会员分享,可在线阅读,更多相关《信息安全管理体系规范与使用指南(1)hcry(83页珍藏版)》请在金锄头文库上搜索。
1、英国标准准BSS 77799-2:220022信息安全全管理体体系规范与使使用指南南目录前言0 介绍绍0.1总总则0.2过过程方法法0.3与与其他管管理体系系的兼容容性1 范围围1.1概概要1.2应应用2 标准准参考3 名词词与定义义4 信息息安全管管理体系系要求4.1总总则4.2建建立和管管理信息息安全管管理体系系4.2.1建立立信息安安全管理理体系4.2.2实施施和运作作信息安安全管理理体系4.2.3监控控和评审审信息安安全管理理体系4.2.4维维护和改改进信息息安全管管理体系系4.3文文件化要要求4.3.1总则则4.3.2文件件控制4.3.3记录录控制5 管理理职责5.1管管理承诺诺5.
2、2资资源管理理5.2.1资源源提供5.2.2培训训、意识识和能力力6 信息息安全管管理体系系管理评评审6.1总总则6.2评评审输入入6.3评评审输出出6.4内内部信息息安全管管理体系系审核7 信息息安全管管理体系系改进7.1持持续改进进7.2纠纠正措施施7.3预预防措施施附件A(有有关标准准的)控控制目标标和控制制措施A1介介绍A2最最佳实践践指南A3安安全方针针A4组组织安全全A5资资产分级级和控制制A6人人事安全全A7实实体和环环境安全全A8通通信与运运营安全全A9访访问控制制A100系统开开发和维维护A111业务连连续性管管理A122符合附件B(情情报性的的)本标标准使用用指南B1概况况
3、B.1.1PDDCA模模型B.1.2计划划与实施施B.1.3检查查与改进进B.1.4控制制措施小小结B2计划划阶段B.2.1介绍绍B.2.2信息息安全方方针B.2.3信息息安全管管理体系系范围B.2.4风险险识别与与评估B.2.5风险险处理计计划B3实施施阶段B.3.1介绍绍B.3.2资源源、培训训和意识识B.3.3风险险处理B4检查查阶段B.4.1介绍绍B.4.2常规规检查B.4.3自我我方针程程序B.4.4从其他他处学习习B.4.5审核核B.4.6管理理评审B.4.7虚实实分析B5改进进阶段B.5.1介绍绍B.1.2不符符合项B.5.3纠正正和预防防措施B.5.4OEECD原原则和BBS
4、777999 2附件C(情情报)IISO 90001:220000、ISOO140001与与BS777999-2:20002条款款对照0介绍0.1总总则本标准的的目的是是为业务务经理和和他们的的员工提提供建立立和管理理一个有有效的信信息安全全管理体体系(IISMSS)的模模型。采采用ISSMS应应是一个个组织的的战略决决定。一一个组织织的ISSMS的的设计和和实施受受业务需需要和目目标、产产生的安安全需求求、采用用的过程程及组织织的大小小、结构构的影响响。上述述因素和和他们的的支持过过程预计计会随事事件而变变化。希希望简单单的情况况是用简简单的IISMSS解决方方案。本标准可可以又内内部、外外
5、部包括括认证组组织使用用审核一一个组织织符合其其本身的的需要及及客户和和法律的的要求的的能力。0.2过过程方法法本标准推推荐采用用过程的的方法开开发、实实施和改改进一个个组织的的ISMMS的有有效性。一个组织织必须识识别和管管理许多多活动使使其有效效地运行行。一个个活动使使用资源源和在管管理状态态下使其其能够把把输入转转换为输输出,这这个过程程可以被被认为是是一个过过程。经经常地,一一个过程程的输出出直接形形成了下下一个过过程的输输入。在一个组组织用应应用一个个过程的的体系,并并识别这这些过程程、过程程间的相相互作用用及过程程的管理理,可以以叫做过过程的方方法。过程的方方法鼓励励使用者者强调一
6、一下重要要性:a)理解解业务信信息安全全需求和和建立信信息安全全方针和和目标的的需求;b)在全全面管理理组织业业务风险险的环境境下实施施也运作作控制措措施;c)监控控和评审审ISMMS的有有效性和和绩效;d)在客客观评价价的基础础上持续续改进。本标准采采用的,适适用于IISMSS的模型型,如图图一所示示。图一一显示IISMSS怎样考考虑输入入利益相相关方的的细小安安全需求求和期望望,通过过必要的的行动产产生信息息安全结结果(即即:管理理的信息息安全),此此结果满满足这些些需要和和期望。一一个需求求的例子子可能是是信息安安全事故故不要对对组织引引起财务务损失和和/或引高高层主管管的尴尬尬。一个个
7、期望的的例子可可能是如如果严重重的事故故发生也也许足智智多谋饿饿电子商商务网站站被黑客客入侵将有被被培训过过的员工工通过使使用的程程序减小小其影响响。这显显示了本本标准在在第四至至第七部部分的联联系。被被模型就就是众所所周知的的“Plaan-DDo-CChecck-AAct”(PECA)模型,本模型可以用于所有的过程。PDCA模型可以简单地描述如下图:PDCAA模型应应用与信信息安全全管理体体系过程程计划PLLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS 实施 开发、维维护 改改进 DOO 和改进进循环 AACTIION监控和评审I
8、SMS1范围1.1概概要本标准规规范在组组织整个个业务风风险的环环境下建建立、实实施、维维护和改改进一个个文件化化的ISSMS模模型。它它规定了了对定制制实施安安全控制制措施以以适应不不同组织织或相关关方的需需求。(见见附件BB,提供供了使用用该规范范的指南南)。ISMSS保证足足够的和和成比例例和安全全控制措措施以充充分保护护信息资资产名给给与客户户和其他他利益相相关方信信心。这这将转化化为维护护和提高高竞争优优势、现现金流、赢赢利能力力、法律律符合和和商务形形象。1.2应应用本标准提提出的要要求使一一般性的的并试图图用于所所有的组组织,不不管其类类型、大大小和业业务性质质。当由由于组织织的
9、性质质和业务务本标准准中的要要求不能能使用,要要求可以以考虑删删减。除非不能能删减不不影响组组织的能能力,和和/或责任任提供符符合由风风险评估估和适用用的法律律确定的的信息安安全要求求,否则则不能声声称符合合本标准准。任何何能够满满足风险险接受标标准的删删减必须须证明是是正当的的并需要要提供证证据证明明相关风风险被负负责人员员正当地地接受。对对于条款款4,55,6和和7的要求求的删减减不能接接受。2引用标标准ISO 90001:220000质量管管理体系系-要求ISO/IECC 1777999:20000信信息技术术信息安安全管理理实践指指南ISO 指南733:20001风风险管理理指南-名词
10、3名词和和定义从本英国国标准的的目的出出发,以以下名词词和定义义适用。3.1可可用性保证被授授权的使使用者需需要时能能够访问问信息及及相关资资产。BS ISOO/IEEC 1177999:2200003.2保保密性保证信息息只被授授权的访访问。BS ISOO/IEEC 1177999:2200003.3信信息安全全安全保护护信息的的保密性性、完整整性和可可用性3.4信信息安全全管理体体系(IISMSS)是整个管管理体系系的一部部分,建建立在业业务风险险的方法法上,以以开发、实实施完成成、评审审和维护护信息安安全。3.5完完整性保护信息息和处理理过程的的准确和和完整。BS ISO/IEC 177
11、99:20003.6风风险接受受接受一个个风险的的决定。ISO Guide 733.7风风险分析析系统化地地使用信信息识别别来源和和估计风风险。ISOO Guuidee 7333.8风风险评估估风险分析析和风险险评价的的整个过过程。ISOO Guuidee 7333.9风风险评价价比较估计计风险与与给出的的风险标标准,确确定风险险严重性性的过程程。IISO Guiide 733.100风险管管理指导和控控制组织织风险的的联合行行动。3.111风险处处理选择和实实施措施施以更改改风险处处理过程程。IISO Guiide 733.122适用性性声明描述与使使用组织织的ISSMS范范围的控控制目标标
12、和控制制措施。这这些控制制目标和和控制措措施是建建立在风风险评估估和处理理过程的的结论和和结果基基础上。4信息安安全管理理体系要要求4.1总总要求组织应在在组织整整体业务务活动和和风险的的环境下下开发、实实施、维维护和持持续改进进文件化化的ISSMS。对对于该标标准的目目的,使使用的过过程是建建立在图图一说示示的PDDCA模模型为基基础上。4.2建建立和管管理ISSMS4.2.1建立立ISMMS组织应:a)应用用业务的的性质、组组织、其其方位、资资产和技技术定义义SIMMS的范范围。b)应用用组织的的业务性性质、自自主、方方位、资资产和技技术定义义ISMMS的方方针,方方针应:1)包括括为其目
13、目标建立立一个框框架病危危信息安安全活动动建立整整日的方方向和原原则。2)考虑虑业务及及法律或或法规的的要求,及及合同的的安全义义务。3)建立立组织战战略和风风险的环环境,在在这种环环境下,建建立和维维护信息息安全管管理体系系。4)建立立风险评评价的标标准和风风险评估估定义的的结构。见4.2.1c5)经管管理层批批准c)定义义风险评评估的系系统化的的方法识别适用用于ISSMS及及已识别别的信息息安全、法法律和法法规的要要求的风风险评估估的方法法为ISSMS 建立方方针和目目标以降降低风险险至可接接受的水水平。确确定接受受风险的的标准和和识别可可接受分分享的水水平。见5.11fd)定义义风险1)
14、在IISMSS的范围围内,识识别资产产及其责责任人2)识别别对这些些资产的的威胁3)识别别可能被被威胁利利用的脆脆弱性4)识别别资产失失去保密密性、完完整性和和可用性性的影响响e)评估估风险1)评估估由于安安全故障障带来的的业务损损害,要要考虑资资产失去去保密性性、完整整性和可可用性的的潜在后后果2)评估估与这些些资产相相关的主主要威胁胁、脆弱弱点和影影响造成成此类事事故发生生的现实实的可能能性和现现存的控控制措施施3)估计计风险的的等级4)确定定介绍风风险或使使用在cc中建立立的标准准进行衡衡量确定定需要处处理f)识别别和评价价供处理理风险的的可选措措施1)应用用合适的的控制措措施2)知道道并有目目的的棘棘手风险险,同时时这些措措施能清清楚地满满足组织织方针和和接受风风险的标标准。
