信息安全管理体系规范与使用指南(1).docx 立即下载
2023-03-17
约2.2万字
约41页
0
58KB
举报 版权申诉
预览加载中,请您耐心等待几秒...

信息安全管理体系规范与使用指南(1).docx

信息安全管理体系规范与使用指南(1).docx

预览

免费试读已结束,剩余 36 页请下载文档后查看

10 金币

下载文档

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1范围1.1概要1.2应用2标准参考3名词与定义4信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运作信息安全管理体系4.2.3监控和评审信息安全管理体系4.2..4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6信息安全管理体系管理评审6.1总则6.2评审输入6.3评审输出6.4内部信息安全管理体系审核7信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A(有关标准的)控制目标和控制措施A.1介绍A.2最佳实践指南A.3安全方针A.4组织安全A.5资产分级和控制A.6人事安全A.7实体和环境安全A.8通信与运营安全A.9访问控制A.10系统开发和维护A.11业务连续性管理A.12符合附件B(情报性的)本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B.2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4检查阶段B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6管理评审B.4.7虚实分析B5改进阶段B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799—2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出,这个过程可以被认为是一个过程。经常地,一个过程的输出直接形成了下一个过程的输入。在一个组织用应用一个过程的体系,并识别这些过程、过程间的相互作用及过程的管理,可以叫做过程的方法。过程的方法鼓励使用者强调一下重要性:a)理解业务信息安全需求和建立信息安全方针和目标的需求;b)在全面管理组织业务风险的环境下实施也运作控制措施;c)监控和评审ISMS的有效性和绩效;d)在客观评价的基础上持续改进。本标准采用的,适用于ISMS的模型,如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望,通过必要的行动产生信息安全结果(即:管理的信息安全),此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵—将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联系。被模型就是众所周知的“Plan-Do-Check-Act”(PECA)模型,本模型可以用于所有的过程。PDCA模型可以简单地描述如下图:PDCA模型应用与信息安全管理体系过程计划PLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS实施开发、维护改进DO和改进循环ACTION监控和评审ISMS1范围1.1概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。(见附件B,提供了使用该规范的指南)。ISMS保证足够的和成比例和安全控制措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。1.2应用本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用,要求可以考虑删减。除非不能删减不影响组织的能力
查看更多
猫巷****觅蓉
实名认证
内容提供者
单篇购买
VIP会员(1亿+VIP文档免费下)

扫码即表示接受《下载须知》

信息安全管理体系规范与使用指南(1)

文档大小:58KB

限时特价:扫码查看

• 请登录后再进行扫码购买
• 使用微信/支付宝扫码注册及付费下载,详阅 用户协议 隐私政策
• 如已在其他页面进行付款,请刷新当前页面重试
• 付费购买成功后,此文档可永久免费下载
全场最划算
12个月
199.0
¥360.0
限时特惠
3个月
69.9
¥90.0
新人专享
1个月
19.9
¥30.0
24个月
398.0
¥720.0
6个月会员
139.9
¥180.0

6亿VIP文档任选,共次下载特权。

已优惠

微信/支付宝扫码完成支付,可开具发票

VIP尽享专属权益

VIP文档免费下载

赠送VIP文档免费下载次数

阅读免打扰

去除文档详情页间广告

专属身份标识

尊贵的VIP专属身份标识

高级客服

一对一高级客服服务

多端互通

电脑端/手机端权益通用