BS7799-2：2002 信息安全管理体系规范及应用指南.pdf

DMT BS7799-2 ：2002 BS7799-2:2002 信息安全管理体系规范 及应用指南 2002 年11 月8 日 (英国标准) 第 1 页 共 1 页 DMT BS7799-2 ：2002 目 录 委员会职责 前言 0 引言 1 范围 2 引用标准 3 术语及定义 4 信息安全管理体系 5 管理职责 6 ISMS 管理评审 7 ISMS 改进 附录A （标准）控制目标与控制方式 附录B （参考）标准应用指南 附录C （参考）BS EN ISO 9001:2000，ISO 14001:1996 和 BS7799-2:2002 章节间的对应关系。 附录D （参考）内部编号的改变 参考书目 图1 – ISMS 过程采用的PDCA 模型 表B.1-OECD 原则与PDCA 模型 表C.1-BS EN ISO 9001:2000，ISO 14001:1996 和 BS7799-2:2002 章节间 的对应关系 表D.1-BS7799-2 不同版本内部编号的关系 第 2 页 共 2 页 DMT BS7799-2 ：2002 前言 BS 7799 的第二部分，即信息安全管理，由 BDD/2 准备。它取代已作废的 BS 7799-2:1999 。 新版本同其它管理体系标准，如 BS EN ISO 9001:2000(质量管理体系)和 BS EN ISO 14001:1996 （环境管理体系）相协调，以便于管理体系的一致性和整合的实施和操作。新版 标准在介绍信息安全管理体系的建立、实施和改进组织信息安全管理体系的有效性的过程中 也引用了 PDCA (Plan-Do-Check-Act)的模型。PDCA (Plan-Do-Check-Act)的模式的实施也反 映了指导信息系统和网络安全的OECD 指南的原则。新版标准特别给出了指导风险评估、安 全设计与实施、安全管理与再评估的指导原则的强健模型。 本标准所指的控制目标与控制方式直接从BS ISO/IEC 17799 ：2000 引用。本标准列出 的控制目标与控制方式并不详尽，组织可考虑增加必要的控制目标与控制方式。标准中描述 的控制方式并非适用于所有情形，也不可能将当地系统、环境和技术限制考虑在内，也不可 能适合一个组织中的每个潜在的用户。 本标准不包括合同的应用。用户负责合同的正确执行。 遵从英国标准并不包含不受法律约束。 第 3 页 共 3 页 DMT BS7799-2 ：2002 0 引言 0.1 总则 本标准为业务经理及成员建立和管理有效的信息安全管理体系（ISMS ）提供了模型。 ISMS 的采用是组织的战略性的决策。组织ISMS 的设计和实施受业务需求和目标、安全需 求、过程的应用、组织规模和结构的影响。经过一段时间，组织及其支持系统会变化的。具 体情形需要具体的ISMS 方案。 本标准可被组织内部或认证机构等第三方用来评估组织满足自身要求，以及顾客和法律 要求的能力。 0.2 过程方法 本标准鼓励在建立、实施、运行、监视、保持组织的信息安全管理体系和改进其有效