信息安全管理体系__规范与使用指南(_33)

英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0介绍0．1总则0．2过程方法0．0．3其他管理体系的兼容性1范围1．1概要1．2应用2标准参考3名词与定义4信息安全管理体系要求4．1总则4．2建立和管理信息安全管理体系4．2．1建立信息安全管理体系4．2．2实施和运营(对照中文ISO9001确认)？信息安全管理体系4．2．3监控和评审信息安全管理体系4．2．4维护和改进信息安全管理体系4．3文件化要求4．3．1总则4．3．2文件控制4．3．3记录控制5管理职责5．1管理承诺？（对照中文ISO9001确认）5．2资源管理5．2．1资源提供5．2．2培训、意识和能力6信息安全管理体系管理评审6．1总则6．2评审输入？（对照中文ISO9001确认）6．3评审输出？（对照中文IS9001确认）7信息安全管理体系改进7．1持续改进7．2纠正措施7．3预防措施附件A（有关标准的）控制目标和控制措施A．1介绍A．2最佳实践指南A．3安全方针A．4组织安全A．5资产分级和控制A．6人事安全A．7实体和环境安全A．8通信与运营安全A．9访问控制A．10系统开发和维护A．11业务连续性管理A．12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施阶段B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6管理评审B.4.7趋势分析B5改进阶段B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2：2002条款对照0介绍0．1总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信息安全管理体系）有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方案。本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律的要求的能力。0．2过程方法本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。为使组织有效动作，必须识别和管理众多相互关联的活动。通过使用资源和管理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其惯例，课程只为：“过程方法”。过程的方法鼓励使用者强调以下方面的重要性：a）a）理解业务动作对信息安全的需求和建立信息安全方针和目标的需要；b）b）在全面管理组织业务风险的环境下实施和动作控制措施；c）c）监控和评审信息安全管理体系的有效性和绩效；d）d）在客观的测量，持续改进过程。本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”（PDCA）模型，适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望，通过必要的行动措施和过程，产生信息安全结果（即：管理状态下的信息安全），满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。例1一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。例2一个期望可以是如果严重的事故发生-如：组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。注：名词“程序”，从传统来讲，用在信息安全方面意味着员工工作的过程，而不是计算机或其它电子概念。PDCA模型应用与信息安全管理体系过程计划PLAN实施改进用DOACTION检查CHECK计划（建立信息安全管理体系）建立与管理风险和改进信息安全有关的安全方针、目标、目的、过程和程序，以达到与组织整体方针和目标相适应的结果。实施（实施和动作信息安全管理体系实施和动作信息安全方针、控制措施、过程和程序。检查（监控和评审信息安全管理体系）针对安全方针、目标和实践经验等评审和（如果适用）职测量过程的绩效并向管理层报告结果供评审使用。改进（维护和改进信息安全管理体系）在管理评审的结果的基础上，采取纠正和预防措施以持续改进信息安全管理体系。0．3与其他管理体系标准的兼容性本标准与ISO9001：2000与ISO16949：1996相结合以支持实施和动作安全体系的一致性和整合。在附件C中以表格显示BS7799，ISO14001各部分不同条款间的对应关系，本标准使组织能够联合或整合其信息安全管理体系及相关管理体系的要求。相关单位信息安全需求和期望相关单位管理状态下的信息安全实施和运作ISMS维护和改进ISMS建立ISMS监控和评审ISMS1范围1．1概要本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改进一个文件化的信息安全管理体系的模型。它规范了对定制实施安全控制措施以适应不同组织或相关部分的需求。（附录B提供使用规范的指南）。信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。1．2应用本标准规定的所有要求是通用的，旨在适用于各种类型、不同规模和提供不同产品的组织。当本标准的任何要求因组织及其产品的特点而不适用时，可以考虑对其进行删减。除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。对于条款4，5，6和7的要求的删减不能接受。2引用标准ISO9001：2000质量管理体系-要求ISO/IEC17799：2000信息技术—信息安全管理实践指南ISO指南73：2001风险管理指南-名词3名词和定义从本英国标准的目的出发，以下名词和定义适用。3．1可用性保证被授权的使用者需要时能够访问信息及相关资产。[BSISO/IEC17799：2000]3．2保密性保证信息只被授权的人访问。[BSISO/IEC17799：2000]3．3信息安全安全保护信息的保密性、完整性和可用性3．4信息安全管理体系（信息安全管理体系）是整个管理体系的一部分，建立在运营风险的方法上，以建立、实施、动作、监控、评审、维护和改进信息安全。注：管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。3．5完整性保护信息和处理方法的准确和完整。[BSISO/IEC17799：2000]3．6风险接受接受一个风险的决定[ISOGuide73]3．7风险分析系统地使用信息识别来源和估计风险[ISOGuide73]3．8风险评估风险分析和风险评价的整个过程[ISOGuide73]3．9风险评价把估计风险与给出的风险标准相比较，确定风险严重性的过程。[ISOGuide73]3．10风险管理指导和控制组织风险的联合行动3．11风险处理选择和实施措施以更改风险的处理过程[ISOGuide73]3．12适用性声明描述适用于组织的信息安全管理体系范围的控制目标和控制措施。这些控制目标和控制措施是建立在风险评估和处理过程的结论和结果基础上。4．信息安全管理体系要求4．1总要求组织应在整体业务活动和风险的环境下建立、实施、维护和持续改进文件化的信息安全管理体系。为满足该标准的目的，使用的过程建立在图一所示的PDCA模型基础上。4．2建立和管理信息安全管理体系4．2．1建立信息安全管理体系组织应：a）a）应用业务的性质、组织、其方位、资产和技术确定信息安全管理体系的范围。b）b）应用组织的业务性质、组织、方位、资产和技术确定信息安全管理体系的方针，方针应：1）1）包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。2）2）考虑业务及法律或法规的要求，及合同的安全义务。3）3）建立组织战略和风险管理的环境，在这种环境下，建立和维护信息安全管理体系。4）4）建立风险评价的标准和风险评估定义的结构。5）5）经管理层批准c）c）确定风险评估的系统化的方法识别适用于信息安全管理体系及已识别的信息安全、法律和法规的要求的风险评估的方法。为信息安全管理体系建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别可接受风险的水平[见5.1f]d）d）确定风险：1）1）在信息安全管理体系的范围内，识别资产及其责任人2）2）识别对这些资产的威胁3）3）识别可能被威胁利用的脆弱性4）4）别资产失去保密性、完整性和可用性的影响e）e）评价风险1）1）评估由于安全故障带来的业务损害，要考虑资产失去保密性、完整性和可用性的潜在后果；2）2）评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的可能性和现存的控制措施；3）3）估计风险的等级4）4）确定介绍风险或使用在c中建立的标准进行衡量确定需要处理；f）f）识别和评价供处理风险的可选措施：可能的行动包括：1）1）应用合适的控制措施2）2）知道并有目的地接受风险，同时这些措施能清楚地满足组织方针和接受风险的标准3）3）避免风险；4）4）转移相关业务风险到其他方面如：保险业，供应商等。g）g）选择控制目标和控制措施处理风险：应从本标准附件A中列出的控制目标和控制措施，选择应该根据风险评估和风险处理过程的结果调整。注意：附件A中列出的控制目标和控制措施，作为本标准的一部分，并不是所有的控制目标和措施，组织可能选择另加的控制措施。h）h）准备一份适用性声明。从上面4.2.1（g）选择的控制目标和控制措施以及被选择的原因应在适用性声明中文件化。从附件A中剪裁的控制措施也应加以记录；i）i）提议的残余风险应获得管理层批准并授权实施和动作信息安全管理体系。4．2．2实施和运作信息安全管理体系组织应：a）a）识别合适的管理行动和确定管理信息安全风险的优先顺序（即：风险处理计划）-[见条款5]；b）b）实施风险处理计划以达到识别的控制目标，包括对资金的考虑和落实安全角色和责任。c）c）实施在4.2.1（g）选择的控制目标和措施d）d）培训和意识[见5.2.2];e）e）管理动作过程；f）f）管理资源[见5.2]；g）g）实施程序和其他有能力随时探测和回应安全事故的控制措施。4．2．3监控和评审信息安全管理体系组织应：a）a）执行监控程序和其他控制措施，以：1）1）实时探测处理结果中的错误；2）2）及时识别失败和成功的安全破坏和事故；3）3）能够使管理层确定分派给员工的或通过信息技术实施的安全活动是否达到了预期的目标；4）4）确定解决安全破坏的行动是否反映了运营的优先级。b）b）进行常规的信息安全管理体系有效性的评审（包括符合安全方针和目标，及安全控制措施的评审）考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈；c）c）评审残余风险和可接受风险的水平，考虑以下方面的变化：1）1）组织2）2）技术3）3）业务目标和过程4）4）识别威胁5）5）外部事件，如：法律、法规的环境发生变化或社会环境发生变化。d）d）在计划的时间段内实施内部信息安全管理体系审核。e）e）经常进行信息安全管理体系管理评审（至少每年评审一次）以保证信息安全管理体系的范围仍然足够，在信息安全检查管理体系过程中的改进措施已被识别（见条款6信息安全管理体系的管理评审）；f）f）记录所采取的行动和能够影响信息安全管理体系的有效性或绩效性的事件[见4.3.4]。4．2．4维护和改进信息安全管理体系组织应经常：a）a）实施已识别的对于信息安全管理体系的改进措施b）b）采取合适的纠正和预防措