管理制度-信息安全管理体系规范与使用指南1 精品.doc
《管理制度-信息安全管理体系规范与使用指南1 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-信息安全管理体系规范与使用指南1 精品.doc(33页珍藏版)》请在第一文库网上搜索。
1、英国标准BS 7799-2:20XX信息安全管理体系规范与使用指南目录前言0 介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1 范围1.1概要1.2应用2 标准参考3 名词与定义4 信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运作信息安全管理体系4.2.3监控和评审信息安全管理体系4.2.4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5 管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6 信息安全管理体系管理评审6.1总则6.2评审输入6.3
2、评审输出6.4内部信息安全管理体系审核7 信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A(有关标准的)控制目标和控制措施A1介绍A2最佳实践指南A3安全方针A4组织安全A5资产分级和控制A6人事安全A7实体和环境安全A8通信与运营安全A9访问控制A10系统开发和维护A11业务连续性管理A12符合附件B(情报性的)本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B.2.5风险处理计划B3实施阶段B.3.1介绍B.3.
3、2资源、培训和意识B.3.3风险处理B4检查阶段B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6管理评审B.4.7虚实分析B5改进阶段B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS 7799 2附件C(情报)ISO 9001:2000、ISO14001与BS7799-2:20XX条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程
4、及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出,这个过程可以被认为是一个过程。经常地,一个过程的输出直接形成了下一个过程的输入。在一个组织用应用一个过程的体系,并识别这些过程、过程间的相互作用及过程的管理,可以叫做过程的方法。过程的方法鼓励使用者强调一下重要性
5、:a)理解业务信息安全需求和建立信息安全方针和目标的需求;b)在全面管理组织业务风险的环境下实施也运作控制措施;c)监控和评审ISMS的有效性和绩效;d)在客观评价的基础上持续改进。本标准采用的,适用于ISMS的模型,如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望,通过必要的行动产生信息安全结果(即:管理的信息安全),此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联
6、系。被模型就是众所周知的“Plan-Do-Check-Act”(PECA)模型,本模型可以用于所有的过程。PDCA模型可以简单地描述如下图:PDCA模型应用与信息安全管理体系过程计划PLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS 实施 开发、维护 改进 DO 和改进循环 ACTION监控和评审ISMS1范围1.1概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。(见附件B,提供了使用该规范的指南)。ISMS保证足够的和成比例和安全控制
7、措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。1.2应用本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用,要求可以考虑删减。除非不能删减不影响组织的能力,和/或责任提供符合由风险评估和适用的法律确定的信息安全要求,否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。2引用标准ISO 9001:2000质量管理体系-要求ISO/IEC 177
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理制度-信息安全管理体系规范与使用指南1 精品 管理制度 信息 安全管理 体系 规范 使用指南