管理制度-信息安全管理体系规范与使用指南 精品.doc

《管理制度-信息安全管理体系规范与使用指南 精品.doc》由会员分享，可在线阅读，更多相关《管理制度-信息安全管理体系规范与使用指南 精品.doc（33页珍藏版）》请在第一文库网上搜索。

1、英国标准BS 7799-2:20XX信息安全管理体系规范与使用指南目录前言0 介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1 范围1.1概要1.2应用2 标准参考3 名词与定义4 信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运作信息安全管理体系4.2.3监控和评审信息安全管理体系4.2.4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5 管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6 信息安全管理体系管理评审6.1总则6.2评审输入6.3

2、评审输出6.4内部信息安全管理体系审核7 信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A（有关标准的）控制目标和控制措施A1介绍A2最佳实践指南A3安全方针A4组织安全A5资产分级和控制A6人事安全A7实体和环境安全A8通信与运营安全A9访问控制A10系统开发和维护A11业务连续性管理A12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B.2.5风险处理计划B3实施阶段B.3.1介绍B.3.

3、2资源、培训和意识B.3.3风险处理B4检查阶段B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6管理评审B.4.7虚实分析B5改进阶段B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS 7799 2附件C（情报）ISO 9001:2000、ISO14001与BS7799-2:20XX条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系（ISMS）的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程

4、及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出，这个过程可以被认为是一个过程。经常地，一个过程的输出直接形成了下一个过程的输入。在一个组织用应用一个过程的体系，并识别这些过程、过程间的相互作用及过程的管理，可以叫做过程的方法。过程的方法鼓励使用者强调一下重要性

5、：a)理解业务信息安全需求和建立信息安全方针和目标的需求；b)在全面管理组织业务风险的环境下实施也运作控制措施；c)监控和评审ISMS的有效性和绩效；d)在客观评价的基础上持续改进。本标准采用的，适用于ISMS的模型，如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望，通过必要的行动产生信息安全结果（即：管理的信息安全），此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联

6、系。被模型就是众所周知的“Plan-Do-Check-Act”（PECA）模型，本模型可以用于所有的过程。PDCA模型可以简单地描述如下图：PDCA模型应用与信息安全管理体系过程计划PLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS 实施 开发、维护 改进 DO 和改进循环 ACTION监控和评审ISMS1范围1.1概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。（见附件B，提供了使用该规范的指南）。ISMS保证足够的和成比例和安全控制

7、措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。1.2应用本标准提出的要求使一般性的并试图用于所有的组织，不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用，要求可以考虑删减。除非不能删减不影响组织的能力，和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。2引用标准ISO 9001:2000质量管理体系-要求ISO/IEC 177

8、99:2000信息技术信息安全管理实践指南ISO 指南73:2001风险管理指南-名词3名词和定义从本英国标准的目的出发，以下名词和定义适用。3.1可用性保证被授权的使用者需要时能够访问信息及相关资产。BS ISO/IEC 17799:20003.2保密性保证信息只被授权的访问。BS ISO/IEC 17799:20003.3信息安全安全保护信息的保密性、完整性和可用性3.4信息安全管理体系（ISMS）是整个管理体系的一部分，建立在业务风险的方法上，以开发、实施完成、评审和维护信息安全。3.5完整性保护信息和处理过程的准确和完整。BS ISO/IEC 17799:20003.6风险接受接受一个

9、风险的决定。ISO Guide 733.7风险分析系统化地使用信息识别来源和估计风险。ISO Guide 733.8风险评估风险分析和风险评价的整个过程。ISO Guide 733.9风险评价比较估计风险与给出的风险标准，确定风险严重性的过程。ISO Guide 733.10风险管理指导和控制组织风险的联合行动。3.11风险处理选择和实施措施以更改风险处理过程。ISO Guide 733.12适用性声明描述与使用组织的ISMS范围的控制目标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。4信息安全管理体系要求4.1总要求组织应在组织整体业务活动和风险的环境下开发

10、、实施、维护和持续改进文件化的ISMS。对于该标准的目的，使用的过程是建立在图一说示的PDCA模型为基础上。4.2建立和管理ISMS4.2.1建立ISMS组织应：a)应用业务的性质、组织、其方位、资产和技术定义SIMS的范围。b)应用组织的业务性质、自主、方位、资产和技术定义ISMS的方针，方针应：1)包括为其目标建立一个框架病危信息安全活动建立整日的方向和原则。2)考虑业务及法律或法规的要求，及合同的安全义务。3)建立组织战略和风险的环境，在这种环境下，建立和维护信息安全管理体系。4)建立风险评价的标准和风险评估定义的结构。见4.2.1c5)经管理层批准c)定义风险评估的系统化的方法识别适用

11、于ISMS及已识别的信息安全、法律和法规的要求的风险评估的方法为ISMS 建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受分享的水平。见5.1fd)定义风险1)在ISMS的范围内，识别资产及其责任人2)识别对这些资产的威胁3)识别可能被威胁利用的脆弱性4)识别资产失去保密性、完整性和可用性的影响e)评估风险1)评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施3)估计风险的等级4)确定介绍风险或使用在c中建立的标准进行衡量确定需要处理f)识别和评价供处理

12、风险的可选措施1)应用合适的控制措施2)知道并有目的的棘手风险，同时这些措施能清楚地满足组织方针和接受风险的标准。见4.2.13)避免风险4)转移相关业务风险到其他方面如：保险业、供应商等。g)选择控制目标和控制措施处理风险应从本标准附件A中选择合适的控制目标和控制措施，选择应该根据风险评估和风险处理过程的结果调整。注意：附件A中列出的控制目标和控制措施，作为本标准的一部分，并不是所有的控制目标和措施，组织可能选择另加的控制措施。h)准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录i)提议的残余风险应

13、获得管理层批准并授权实施和运作ISMS。4.2.2实施和运作ISMS组织应：a)识别合适的管理行动和确定管理信息安全风险的优先顺序，（即：风险处理计划）-见条款5b)实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任c)实施在4.2.1(g)选择的控制目标和控制措施d)培训和意识见5.2.2e)管理运作过程f)管理资源见5.2g)实施程序和其他有能力随时探测和回应安全事故。4.2.3监控和评审ISMS组织应：a) 执行监控程序和其他控制措施，以：1) 是探测处理结果中的错误2) 及时识别失败的和成功的安全破坏和事故3) 能够使管理层决定以分派给员工的或通过信息技术实施的

14、安全活动是否达到了预期的目标4) 确定解决安全破坏的行动是否反映了业务的优先级b)进行常规的ISMS 有效性的评审（包括符合安全方针和目标，及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈c)评审残余风险和可接受风险的水平，考虑一下变化1） 组织2） 技术3） 业务目标和过程4） 识别威胁及5） 外部事件，如：法律、法规的环境发生变化或社会环境发生变化d)在计划的时间段内实施内部ISMS审核e)经常进行ISMS管理评审（至少每年评审一个周期）以保证信息安全管理体系的范围仍然足够，在ISMS过程中的改进措施已被识别（见条款6ISMS的管理评审）f)记录所采取的行动和能够影响ISMS的有效性或绩效的事件见4.3.44.2.4维护和改进ISMS组织应经常：a)实施以识别的