第三讲第二章信息安全风险评估(下).ppt

2.7.2 条款0.3与其它管理体系的兼容性 -- 多种体系如何建设 本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持相关管理标准一致、整合的实施和运作。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各条款之间的关系。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来 注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，在这个现有的管理体系内满足本标准的要求是更为可取的 第六十一页，共八十六页。 2.3 条款3 术语和定义 3.1 资产asset 3.2 可用性availability 3.3 保密性confidentiality 3.4 信息安全information security 3.5 信息安全事件 information security event 3.6 信息安全事故 information security incident 3.7 信息安全管理体系（ISMS） information security management system（ISMS） 3.8 完整性integrity 第六十二页，共八十六页。 2.3条款3 术语和定义 3.9 残余风险 residual risk 3.10 风险接受risk acceptance 3.11 风险分析risk analysis 3.12 风险评估risk assessment 3.13 风险评价risk evaluation 3.14 风险管理risk management 3.15 风险处理risk treatment 3.16 适用性声明statement of applicability 第六十三页，共八十六页。 2.3 其他相关方面之 附录A 规范性附录。 直接引用并与ISO/IEC 17799:2005第5到15章一致。 表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。 在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南 表A.1 控制目标和控制措施 第六十四页，共八十六页。 2.3 其他相关方面之 附录B 资料性附录。 OECD信息系统和网络安全指南中给出的原则适用于治理信息系统和网络安全的所有方针和操作层。 本标准提供信息安全管理体系框架，通过使用PDCA模型以及4、5、6和8所述的过程，来实现的某些OECD原则。 表B.1 OECD 原则 和 PDCA 模型。 第六十五页，共八十六页。 4.3 文件要求 2.3.1 PDCA-4.3 文件要求 文件的作用 是指导组织有关信息安全工作方面的内部“法规”--使工作有章可循。 是组织实际工作的标准。ISMS文件是根据ISMS标准和组织需要“量身定做”的实际工作的标准。对一般员工来说，在其实际工作中，可以不过问ISMS标准(ISO/IEC 27001:2005)，但必须按照ISMS文件的要求执行工作。 是控制措施（controls）的重要部分。 提供客观证据--为满足相关方要求，以及持续改进提供依据。 提供适宜的内部培训的依据。 提供ISMS审核（包括内审和外审）的依据，文件审核、现场审核。 第二十九页，共八十六页。 4.3.1 包含文件 2.3.2 PDCA-4.3.1 总则 序号 文件名称 标准条款 1 ISMS策略和目标 4.3.1 a) 2 ISMS范围 4.3.1 b) 3 风险评估方法的描述 4.3.1 b) 4 风险评估报告 4.3.1 e) 5 风险处理计划 4.3.1 f) 6 适用性声明 4.3.1 i) ?7 标准要求的纪录 4.3.1 h) 8 文件控制程序 4.3.2 9 记录控制程序 4.3.3 10 内部审核程序 6 11 管理评审程序 7.1 12 纠正措施程序 8.2 13 预防措施程序 8.3 注1：本标准出现“形成文件的程序”之处， 即要求建立该程序，形成文件，并加以实施和保持。 第三十页，共八十六页。 4.3.2 文件控制 2.3.3 PDCA-4.3.2 批准 评审、更新并再批准； 修订状态得到标识； 在使用处可获得适用文件； 清晰、易于识别； 对需要的人员可用，传输、贮存和最终销毁； 外来文件标识； 分发控制； 防止作废文件的非预期使用； 作废文件的标识。 第三十一页，共八十六页。 4.3.3 记录控制 2.3.4 P