（安全管理）信息安全管理体系规范与使用指南.pdf

（安全管理）信息安全管理 体系规范与使用指南 英国标准——BS7799-2:2002 信息安全管理体系—— 规范与使用指南 目录 前言 0 介绍 0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性 1 范围 1.1 概要 1.2 应用 2 标准参考 3 名词与定义 4 信息安全管理体系要求 4.1 总则 4.2 建立和管理信息安全管理体系 4.2.1 建立信息安全管理体系 4.2.2 实施和运作信息安全管理体系 4.2.3 监控和评审信息安全管理体系 4.2..4 维护和改进信息安全管理体系 4.3 文件化要求 4.3.1 总则 4.3.2 文件控制 4.3.3 记录控制 5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 资源提供 5.2.2 培训、意识和能力 6 信息安全管理体系管理评审 6.1 总则 6.2 评审输入 6.3 评审输出 6.4 内部信息安全管理体系审核 7 信息安全管理体系改进 7.1 持续改进 7.2 纠正措施 7.3 预防措施 附件A （有关标准的）控制目标和控制措施 A ．1 介绍 A ．2 最佳实践指南 A ．3 安全方针 A ．4 组织安全 A ．5 资产分级和控制 A ．6 人事安全 A ．7 实体和环境安全 A ．8 通信与运营安全 A ．9 访问控制 A ．10 系统开发和维护 A ．11 业务连续性管理 A ．12 符合 附件B （情报性的）本标准使用指南 B1 概况 B.1.1PDCA 模型 B.1.2 计划与实施 B.1.3 检查与改进 B.1.4 控制措施小结 B2 计划阶段 B.2.1 介绍 B.2.2 信息安全方针 B.2.3 信息安全管理体系范围 B.2.4 风险识别与评估 B.2.5 风险处理计划 B3 实施阶段 B.3.1 介绍 B.3.2 资源、培训和意识 B.3.3 风险处理 B4 检查阶段 B.4.1 介绍 B.4.2 常规检查 B.4.3 自我方针程序 B.4.4 从其他处学习 B.4.5 审核 B.4.6 管理评审 B.4.7 虚实分析 B5 改进阶段 B.5.1 介绍 B.1.2 不符合项 B.5.3 纠正和预防措施 B.5.4OECD 原则和 BS7799—2 附件C （情报）ISO9001:2000 、ISO14001 与 BS7799-2:2002 条款对照 0 介绍 0.1 总则 本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系 （ISMS）的模型。采用ISMS 应是一个组织的战略决定。一个组织的 ISMS 的设计和实施受业 务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响。上述因素和他们 的支持过程预计会随事件而变化。希望简单的情况是用简单的 ISMS 解决方案。 本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的 要求的能力。 0.2 过程方法 本标准推荐采用过程的方法开发、实施和改进一个组织的 ISMS 的有效性。 一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理