如果您无法下载资料,请参考说明:
1、部分资料下载需要金币,请确保您的账户上有足够的金币
2、已购买过的文档,再次下载不重复扣费
3、资料包下载后请先用软件解压,在使用对应软件打开
编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:英国标准——BS7799-2:2002信息安全管理体系——规范与使用指南目录前言0介绍0.1总则0.2过程方法0.3与其他管理体系的兼容性1范围1.1概要1.2应用2标准参考3名词与定义4信息安全管理体系要求4.1总则4.2建立和管理信息安全管理体系4.2.1建立信息安全管理体系4.2.2实施和运作信息安全管理体系4.2.3监控和评审信息安全管理体系4.2..4维护和改进信息安全管理体系4.3文件化要求4.3.1总则4.3.2文件控制4.3.3记录控制5管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6信息安全管理体系管理评审6.1总则6.2评审输入6.3评审输出6.4内部信息安全管理体系审核7信息安全管理体系改进7.1持续改进7.2纠正措施7.3预防措施附件A(有关标准的)控制目标和控制措施A.1介绍A.2最佳实践指南A.3安全方针A.4组织安全A.5资产分级和控制A.6人事安全A.7实体和环境安全A.8通信与运营安全A.9访问控制A.10系统开发和维护A.11业务连续性管理A.12符合附件B(情报性的)本标准使用指南B1概况B.1.1PDCA模型B.1.2计划与实施B.1.3检查与改进B.1.4控制措施小结B2计划阶段B.2.1介绍B.2.2信息安全方针B.2.3信息安全管理体系范围B.2.4风险识别与评估B.2.5风险处理计划B3实施阶段B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4检查阶段B.4.1介绍B.4.2常规检查B.4.3自我方针程序B.4.4从其他处学习B.4.5审核B.4.6管理评审B.4.7虚实分析B5改进阶段B.5.1介绍B.1.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799—2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对照0介绍0.1总则本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。一个组织的ISMS的设计和实施受业务需要和目标、产生的安全需求、采用的过程及组织的大小、结构的影响。上述因素和他们的支持过程预计会随事件而变化。希望简单的情况是用简单的ISMS解决方案。本标准可以又内部、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。0.2过程方法本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出,这个过程可以被认为是一个过程。经常地,一个过程的输出直接形成了下一个过程的输入。在一个组织用应用一个过程的体系,并识别这些过程、过程间的相互作用及过程的管理,可以叫做过程的方法。过程的方法鼓励使用者强调一下重要性:a)理解业务信息安全需求和建立信息安全方针和目标的需求;b)在全面管理组织业务风险的环境下实施也运作控制措施;c)监控和评审ISMS的有效性和绩效;d)在客观评价的基础上持续改进。本标准采用的,适用于ISMS的模型,如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望,通过必要的行动产生信息安全结果(即:管理的信息安全),此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵—将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联系。被模型就是众所周知的“Plan-Do-Check-Act”(PECA)模型,本模型可以用于所有的过程。PDCA模型可以简单地描述如下图:PDCA模型应用与信息安全管理体系过程计划PLAN相关单位信息安全需求和期望建立ISMS相关单位管理状态下的信息安全维护和改进ISMS实施和运作ISMS实施开发、维护改进DO和改进循环ACTION监控和评审ISMS1范围1.1概要本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。(见附件B,提供了使用该规范的指南)。ISMS保证足够的和成比例和安全控制措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。1.2应用本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用,要求可以考虑删减。除非不能删减不影响组织的能力
Ta的资源
2024年永州市道县企业人力资源管理师考试题库及完整答案【典优】
2024年拉萨市当雄县理财规划师之二级理财规划师考试题库附完整答案【考点梳理】
2024年拉萨市当雄县理财规划师之二级理财规划师考试题库含完整答案【网校专用】
2024年拉萨市当雄县期货从业资格考试题库精品【有一套】
2024年永州市道县企业人力资源管理师考试题库【易错题】
2024年临沂市临沭县设备监理师之设备工程监理基础及相关知识考试题库及参考答案(满分必刷)
2024年临沂市临沭县理财规划师之二级理财规划师考试题库【名师系列】
2024年拉萨市当雄县理财规划师之二级理财规划师考试题库及参考答案(综合卷)
2024年贵州省贵阳市开阳县施工员之装修施工基础知识考试题库(培优B卷)
2024年贵州省贵阳市开阳县施工员之土建施工专业管理实务考试题库精品(名校卷)
fa****楠吖
实名认证
内容提供者
相关资源
最近下载
最新上传
2025届安徽省六安市三校九年级化学上学期期末调研试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末调研模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末联考试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末联考模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末考试试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末考试模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末综合测试试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末综合测试模拟试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末统考试题含解析.docx
2025届安徽省六安市三校九年级化学上学期期末统考模拟试题含解析.docx