管理制度-信息安全管理体系——规范与使用指南331 精品.doc
《管理制度-信息安全管理体系——规范与使用指南331 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-信息安全管理体系——规范与使用指南331 精品.doc(32页珍藏版)》请在第一文库网上搜索。
1、 英国标准BS7799-2:20XX信息安全管理体系规范与使用指南 目 录前言0 介绍01总则02过程方法0 0 3其他管理体系的兼容性1 范围11概要12应用2标准参考3名词与定义4信息安全管理体系要求 41总则 42建立和管理信息安全管理体系421建立信息安全管理体系422实施和运营(对照中文ISO9001确认)?信息安全管理体系423监控和评审信息安全管理体系424维护和改进信息安全管理体系 43文件化要求431总则432文件控制433记录控制5管理职责51管理承诺?(对照中文ISO9001确认)52资源管理521资源提供 522培训、意识和能力6信息安全管理体系管理评审 61总则 62
2、评审输入?(对照中文ISO9001确认) 63评审输出?(对照中文IS9001确认)7信息安全管理体系改进 71持续改进 72纠正措施 73预防措施附件A(有关标准的)控制目标和控制措施 A1介绍 A2最佳实践指南 A3安全方针 A4组织安全 A5资产分级和控制 A6人事安全 A7实体和环境安全 A8通信与运营安全 A9访问控制A10系统开发和维护 A11业务连续性管理 A12符合附件B(情报性的)本标准使用指南B1概况 B.1.1PDCA模型 B.1.2计划与实施 B.1.3检查与改进 B.1.4控制措施小结B2计划阶段 B.2.1介绍 B.2.2信息安全方针 B.2.3信息安全管理体系范围
3、 B.2.4风险识别与评估 B2.5风险处理计划B3实施阶段 B.3.1介绍 B.3.2资源、培训和意识 B.3.3风险处理B4实施阶段 B.4.1介绍 B.4.2常规检查 B.4.3自我监督程序 B.4.4从其它事件中学习 B.4.5审核 B.4.6管理评审 B.4.7趋势分析B5改进阶段 B.5.1介绍 B.5.2不符合项 B.5.3纠正和预防措施 B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:20XX条款对照0 介绍01 总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系(信息安全管理体系
4、)有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方案。本标准能用于内部、外部包括认证组织使用,评定一个组织符合其本身的需要及客户和法律的要求的能力。02过程方法本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。为使组织有效动作,必须识别和管理众多相互关联的活动。通过使用资源和管理,将输入转化为输出的活动可视为过程。通常,一个过程的输出直接形成了下一个过程的输入。组织内诸过程的系统的
5、应用,连同这些过程的识别和相互作用及其惯例,课程只为:“过程方法”。过程的方法鼓励使用者强调以下方面的重要性:a) a) 理解业务动作对信息安全的需求和建立信息安全方针和目标的需要;b) b) 在全面管理组织业务风险的环境下实施和动作控制措施;c) c) 监控和评审信息安全管理体系的有效性和绩效;d) d) 在客观的测量,持续改进过程。本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”(PDCA)模型,适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望,通过必要的行动措施和过程,产生信息安全结果(即:管理状态
6、下的信息安全),满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。例1一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。例2一个期望可以是如果严重的事故发生-如:组织的电子商务网站被黑客入侵将有被培训过的员工通过适用的程序减少其影响。注:名词“程序”,从传统来讲,用在信息安全方面意味着员工工作的过程,而不是计算机或其它电子概念。PDCA模型应用与信息安全管理体系过程 计划PLAN 建立ISMS 相关单位管理状态下的信息安全相关单位 信息安全需求和期望 实施和运作ISMS维护和改进ISMS实施 改进 监控和评审ISMS用 DO ACTION检查CHECK计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理制度-信息安全管理体系规范与使用指南331 精品 管理制度 信息 安全管理 体系 规范 使用指南 331