编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0介绍0．1总则0．2过程方法0．3其他管理体系的兼容性1范围1．1概要1．2应用2标准参考3名词与定义4信息安全管理体系要求4．1总则4．2建立和管理信息安全管理体系4．2．1建立信息安全管理体系4．2．2实施和运营(对照中文ISO9001确认)？信息安全管理体系4．2．3监控和评审信息安全管理体系4．2．4维护和改进信息安全管理体系4．3文件化要求4．3．1总则4．3．2文件控制4．3．3记录控制5管理职责5．1管理承诺？（对照中文ISO9001确认）5．2资源管理5．2．1资源提供5．2．2培训、意识和能力6信息安全管理体系管理评审6．1总则6．2评审输入？（对照中文ISO9001确认）6．3评审输出？（对照中文IS9001确认）7信息安全管理体系改进7．1持续改进7．2纠正措施7．3预防措施附件A（有关标准的）控制目标和控制措施A．1介绍A．2最佳实践指南A．3安全方针A．4组织安全A．5资产分级和控制A．6人事安全A．7实体和环境安全A．8通信与运营安全A．9访问控制A．10系统开发和维护A．11业务连续性管理A．12符合附件B（情报性的）本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施阶段B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6管理评审B.4.7趋势分析B5改进阶段B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2：2002条款对照0介绍0．1总则本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信息安全管理体系）有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方案。本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律的要求的能力。0．2过程方法本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。为使组织有效动作，必须识别和管理众多相互关联的活动。通过使用资源和管理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其惯例，课程只为：“过程方法”。过程的方法鼓励使用者强调以下方面的重要性：a）理解业务动作对信息安全的需求和建立信息安全方针和目标的需要；b）在全面管理组织业务风险的环境下实施和动作控制措施；c）监控和评审信息安全管理体系的有效性和绩效；d）在客观的测量，持续改进过程。本标准采用的模型就是说众所周知的“Plan策划-Do实施-Check检查-Act处置”（PDCA）模型，适用于所有信息安全管理体系的过程。图一展示信息安全管理体系怎样考虑输入利益相关方的住处安全需求和期望，通过必要的行动措施和过程，产生信息安全结果（即：管理状态下的信息安全），满足那些需要和期望。图一同时展示了4、5、6和7章中所提出的过程联系。例1一个需求是信息安全事故不要引起组织的财务损失和/或引起高层主管的尴尬。例2一个期望可以是如果严重的事故发生-如：组织的电子商务网站被黑客入侵—将有被培训过的员工通过适用的程序减少其影响。注：名词“程序”，从传统来讲，用在信息安全方面意味着员工工作的过程，而不是计算机或其它电子概念。PDCA模型应用与信息安全管理体系过程计划PLAN建立ISMS相关单位管理状态下的信息安全相关单位信息安全需求和期望实施和运作ISMS维护和改进ISMS实施改进监控和评审ISMS用DOACTION检查CHECK计划（建立信息安全管理体系）建立与管理风险和改进信息安全有关的安全方针、目标、目的、过程和程序，以达到与组织整体方针和目标相适应的结果。实施（实施和动作信息安全管理体系实施和动作信息安全方针、控制措施、过程和程序。检查（监控和评审信息安全管理体系）针对安全方针、目标和实践经验等评审和（如果适用）职测量过程的绩效并向管理层报告结果供评审使用。改进（维护和改