信息安全管理体系规范与使用指南.docx

英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1 范围1.1 概要1.2 应用2 标准参考3 名词与定义4 信息安全管理体系要求4.1 总则4.2 建立和管理信息安全管理体系4.2.1 建立信息安全管理体系4.2.2 实施和运作信息安全管理体系4.2.3 监控和评审信息安全管理体系4.2.4 4维护和改进信息安全管理体系4.3 文件化要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制5 管理职责5.1 管理承诺5.2 资源管理5.2.1 资源提供5.2.2 培训、意识和能力6 信息安全管理体系管理评审6.1 总则6.2 评审输入6.3 评审输出6.4 内部信息安全管理体系审核7 信息安全管理体系改进7.1 持续改进7.2 纠正措施7.3 预防措施附件A（有关标准的）控制目标和控制措施A．1介绍A．2最佳实践指南A．3安全方针A．4组织安全A．5资产分级和控制A．6人事安全A．7实体和环境安全A．8通信与运营安全A．9访问控制A．10系统开发和维护A．11业务连续性管理A．12符合附件B（情报性的）本标准使用指南B1概况8.1.1 PDCA模型8.1.2 计划与实施8.1.3 检查与改进8.1.4 控制措施小结82 计划阶段82.1.1 介绍82.1.2 信息安全方针82.1.3 信息安全管理体系范围82.1.4 风险识别与评估82.1.5 风险处理计划83 实施阶段83.1.1 介绍83.1.2 资源、培训和意识83.1.3 风险处理84 检查阶段84.1.1 介绍84.1.2 常规检查84.1.3 自我方针程序84.1.4 从其他处学习84.1.5 审核84.1.6 管理评审84.1.7 虚实分析85 改进阶段85.1.1 介绍85.1.2 不符合项85.1.3 纠正和预防措施85.5.40 CD原则和BS7799—2附件C（情报）ISO9001:2000、ISO14001与BS7799-2:2002条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系（ISMS）的模型。

采用ISMS应是一个组织的战略决定一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响上述因素和他们的支持过程预计会随事件而变化希望简单的情况是用简单的ISMS解决方案本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力ISMS的有效性0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的一个组织必须识别和管理许多活动使其有效地运行一个活动使用资源和在管理状态下使其能够把输入转换为输出，这个过程可以被认为是一个过程经常地，一个过程的输出直接形成了下一个过程的输入在一个组织用应用一个过程的体系，并识别这些过程、过程间的相互作用及过程的管理，可以叫做过程的方法过程的方法鼓励使用者强调一下重要性：a）理解业务信息安全需求和建立信息安全方针和目标的需求；b）在全面管理组织业务风险的环境下实施也运作控制措施；c）监控和评审ISMS的有效性和绩效；d）在客观评价的基础上持续改进本标准采用的，适用于ISMS的模型，如图一所示图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望，通过必要的行动产生信息安全结果（即：管理的信息安全），此结果满足这些需要和期望。

一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬一个期望的例子可能是如果严重的事故发生也许足智多谋俄电子商务网站被黑客入侵一将有被培训过的员工通过使用的程序减小其影响这显示了本标准在第四至第七部分的联系被模型就是众所周知的“Plan-Do-Check-Act”（PECA）模型，本模型可以用于所有的过程PDCA模型可以简单地描述如下图：PDCA模型应用与信息安全管理体系过程计戈UPLAN相关单位实施DO实施和 开发、维护 维护和运彳1sMs 和改进循环 改进1sMs改进ACTION相关单位管理状态下的信息信息安全需求1范围1.1 概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型它规定了对定制实施安全控制措施以适应不同组织或相关方的需求见附件B,提供了使用该规范的指南）ISMS保证足够的和成比例和安全控制措施以充分保护信息资产名给与客户和其他利益相关方信心这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象1.2 应用本标准提出的要求使一般性的并试图用于所有的组织，不管其类型、大小和业务性质当由于组织的性质和业务本标准中的要求不能使用，要求可以考虑删减。

除非不能删减不影响组织的能力，和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，否则不能声称符合本标准任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受对于条款4,5,6和7的要求的删减不能接受2引用标准ISO9001:2000质量管理体系-要求ISO/IEC17799:2000信息技术一信息安全管理实践指南ISO指南73:2001风险管理指南-名词3名词和定义从本英国标准的目的出发，以下名词和定义适用3.1 可用性保证被授权的使用者需要时能够访问信息及相关资产[BSISO/IEC17799:2000]3.2 保密性保证信息只被授权的访问[BSISO/IEC17799:2000]3.3 信息安全安全保护信息的保密性、完整性和可用性3.4 信息安全管理体系（ISMS）是整个管理体系的一部分，建立在业务风险的方法上，以开发、实施完成、评审和维护信息安全3.5 完整性保护信息和处理过程的准确和完整[BSISO/IEC17799:2000]3.6 风险接受接受一个风险的决定[ISOGuide73]3.7 风险分析系统化地使用信息识别来源和估计风险。

[ISOGuide73]3.8 风险评估风险分析和风险评价的整个过程[ISOGuide73]3.9 风险评价比较估计风险与给出的风险标准，确定风险严重性的过程[ISOGuide73]3.10 风险管理指导和控制组织风险的联合行动3.11 风险处理选择和实施措施以更改风险处理过程[ISOGuide73]3.12 适用性声明描述与使用组织的ISMS范围的控制目标和控制措施这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上4信息安全管理体系要求4.1 总要求组织应在组织整体业务活动和风险的环境下开发、实施、维护和持续改进文件化的ISMS对于该标准的目的，使用的过程是建立在图一说示的PDCA模型为基础上4.2 建立和管理ISMS4.2.1 建立ISMS组织应：a）应用业务的性质、组织、其方位、资产和技术定义SIMS的范围b）应用组织的业务性质、自主、方位、资产和技术定义ISMS的方针，方针应：1） 包括为其目标建立一个框架病危信息安全活动建立整日的方向和原则2）考虑业务及法律或法规的要求，及合同的安全义务3）建立组织战略和风险的环境，在这种环境下，建立和维护信息安全管理体系4）建立风险评价的标准和风险评估定义的结构。

[见4.2.1c]5）经管理层批准c）定义风险评估的系统化的方法识别适用于ISMS及已识别的信息安全、法律和法规的要求的风险评估的方法为ISMS建立方针和目标以降低风险至可接受的水平确定接受风险的标准和识别可接受分享的水平[见5.1f]d）定义风险1）在ISMS的范围内，识别资产及其责任人2）识别对这些资产的威胁3）识别可能被威胁利用的脆弱性4）识别资产失去保密性、完整性和可用性的影响e）评估风险1）评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果2）评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施3）估计风险的等级4）确定介绍风险或使用在c中建立的标准进行衡量确定需要处理f）识别和评价供处理风险的可选措施1）应用合适的控制措施2）知道并有目的的棘手风险，同时这些措施能清楚地满足组织方针和接受风险的标准[见4.2.1]3）避免风险4）转移相关业务风险到其他方面如：保险业、供应商等g）选择控制目标和控制措施处理风险应从本标准附件A中选择合适的控制目标和控制措施，选择应该根据风险评估和风险处理过程的结果调整注意：附件A中列出的控制目标和控制措施，作为本标准的一部分，并不是所有的控制目标和措施，组织可能选择另加的控制措施。

h）准备一份适用性声明从上面4.2.1（g）选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化从附件A中剪裁的控制措施也应加以记录i）提议的残余风险应获得管理层批准并授权实施和运作ISMS4.2.2实施和运作ISMS组织应：a）识别合适的管理行动和确定管理信息安全风险的优先顺序，（即：风险处理计划）-[见条款5]b）实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任c）实施在4.2.1（g）选择的控制目标和控制措施d）培训和意识[见5.2.2]e）管理运作过程f）管理资源[见5.2]g）实施程序和其他有能力随时探测和回应安全事故4.2.3监控和评审ISMS组织应：a）执行监控程序和其他控制措施，以：1） 是探测处理结果中的错误2） 及时识别失败的和成功的安全破坏和事故3） 能够使管理层决定以分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标4） 确定解决安全破坏的行动是否反映了业务的优先级b）进行常规的ISMS有效性的评审（包括符合安全方针和目标，及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈c）评审残余风险和可接受风险的水平，考虑一下变化1 ）组织2 ）技术3 ）业务目标和过程4 ）识别威胁及5 ）外部事件，如：法律、法规的环境发生变化或社会环境发生变化d）在计划的时间段内实施内部ISMS审核e）经常进行ISMS管理评审（至少每年评审一个周期）以保证信息安全管理体系的范围仍然足够，在ISMS过程中的改进措施已被识别（见条款6ISMS的管理评审）f）记录所采取的行动和能够影响ISMS的有效性或绩效的事件［见4.3.4］4.2.4维护和改进ISMS组织应经常：a）实施以识别的对于ISMS改进措施。

b）采取合适的纠正和预防行动［见7.2和7.3］应用从其他组织的安全经验和组织内学到知识c）沟通结果和行动并得到所有参与的相关访的同意d）确保改进行动达到了预期的目标4.3文件要求4.。