CNS 17800-91 资讯技术-资讯安全管理系统规范 对应BS 7799-2-2002.pdfVIP

ICS 35.040 －1－ 中國國家標準 資訊技術-資訊安全 總號 1 780 0 CNS 管理系統規範 類號 X6041 Information technology-Specification for information security management systems 簡介 0.1 概說 本標準之制定乃為企業經營者及其員工提供一項建置及管理一有效資訊安全 管理系統（Information Security Management System,ISMS ）之模式。組織策 略性決策（ strategic decision ）應包含資訊安全管理系統。影響資訊安全管理 系統之設計與執行因素，包括安全與企業需求、目標、安全要求之結果、組 織作業程序及組織規模與架構。這些概念及其輔助系統會隨時間而改變。若 狀況簡單，就應採用簡單之資訊安全系統方案。 本標準適用於內部及外部單位，包括「驗證機構」，以評鑑組織符合其自訂 要求及達成客戶或法令要求之能力。 0.2 過程導向 本標準鼓勵採用過程導向（process approach ）以建立、實施、操作、監督、 維持及改進組織資訊安全管理系統之有效性。 組織必須鑑別、管理許多活動方能有效運作。使用資源與管理而促成輸入轉 換為輸出之一項活動，可視為一個過程。通常一個過程之輸出可直接地成為 下一個過程之輸入。 組織內各過程系統之應用，連同這些過程之鑑別與相互作用，及其管理可被 稱為〝過程導向〞。 過程導向鼓勵使用者強調下列事項之重要性： (a) 瞭解商業資訊之安全要求，以及制訂資訊安全政策及目標之需求， (b) 在管理一組織整體商業風險之情況下，實施及操作各項控制措施， (c) 監控、審查資訊安全管理系統之績效與有效性，及 (d)以客觀測量方式持續改進。 眾所週知之「計畫— 執行 — 檢查 — 行動」（Plan-Do-Check-Act, PDCA ）模式， 可應用於所有資訊安全管理系統過程，亦為本標準所採用。圖 1 展示資訊安 全管理系統如何納採資訊安全要求 (requirement) 之輸入及利害相關團體之期 (共 32 頁) 公 布 日 期 經濟部標準檢驗局印行 修 訂 公 布 日 期 91 年 12 月 5 日 年 月 日 印 行年月 91 年 1 2 月 本 標準非 經本局 同意不 得翻印 CNS 17800 , X 6041 －2 － 望 (expectation) 作為輸入端，經由各必要措施及各過程，產生符合所需要求及 期望的資訊安全輸出結果 ( 例如納管的資訊安全) 。圖 1 亦解釋本標準第 4 、5 、 6 及第 7 節提及之各過程如何環環相扣。 範例 1 ：一項要求(requirement) 或許為違反資訊安全但未對組織造成嚴重的財 物損失及 / 或造成組織之困窘。 範例 2 ：一項期望(expectation) 或許為假設一件嚴重事故發生時 如駭客入侵 組織的電子商務網際網路 — 應有具備充分訓練之人員以適當的程序 降低該衝擊。 備考：程序(proc