64/64

英國標準——BS7799-2:2002

信息安全管理體系——規(guī)范與使用指南

目錄前言0介紹0．1總則0．2過程方法0．

3其他管理體系的兼容性1范圍1．1概要1．2應用2標準參考3名詞與定義4信息安全管理體系要求4．1總則4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系4．2．2實施和運營(對照中文ISO9001確認)？信息安全管理體系4．2．3監(jiān)控和評審信息安全管理體系4．2．4維護和改進信息安全管理體系4．3文件化要求4．3．1總則4．3．2文件控制4．3．3記錄控制5管理職責5．1管理承諾？（對照中文ISO9001確認）5．2資源管理5．2．1資源提供5．2．2培訓、意識和能力6信息安全管理體系管理評審6．1總則6．2評審輸入？（對照中文ISO9001確認）6．3評審輸出？（對照中文IS9001確認）7信息安全管理體系改進7．1持續(xù)改進7．2糾正措施7．3預防措施附件A（有關標準的）控制目標和控制措施A．1介紹A．2最佳實踐指南A．3安全方針A．4組織安全A．5資產(chǎn)分級和控制A．6人事安全A．7實體和環(huán)境安全A．8通信與運營安全A．9訪問控制A．10系統(tǒng)開發(fā)和維護A．11業(yè)務連續(xù)性管理A．12符合

附件B（情報性的）本標準使用指南B1概況B.1.1PDCA模型B.1.2計劃與實施B.1.3檢查與改進B.1.4控制措施小結(jié)B2計劃階段B.2.1介紹B.2.2信息安全方針B.2.3信息安全管理體系范圍B.2.4風險識別與評估B2.5風險處理計劃B3實施階段B.3.1介紹B.3.2資源、培訓和意識B.3.3風險處理B4實施階段B.4.1介紹B.4.2常規(guī)檢查B.4.3自我監(jiān)督程序B.4.4從其它事件中學習B.4.5審核B.4.6管理評審B.4.7趨勢分析B5改進階段B.5.1介紹B.5.2不符合項B.5.3糾正和預防措施B.5.4OECD原則和BS7799-2附件C(情報)ISO9001:2000、ISO14001與BS7799-2：2002條款對照0介紹0．1總則本標準的目的是為管理者和他們的員工們提供建立和管理一個有效的信息安全管理體系（信息安全管理體系）有模型。采用信息安全管理體系應當是一項組織的戰(zhàn)略決策。一個組織信息安全管理體系的設計和實施受運營需求、具體目標、安全需求、所采用的過程及該組織的規(guī)模和結(jié)構(gòu)的影響。上述因素和他們的支持過程會不斷發(fā)生變化。希望簡單的情況使用簡單的信息安全解決方案。

本標準能用于內(nèi)部、外部包括認證組織使用，評定一個組織符合其本身的需要及客戶和法律的要求的能力。

0．2過程方法本標準鼓勵采用過程的方法建立、實施、和改進組織的信息安全管理體系的有效性。

為使組織有效動作，必須識別和管理眾多相互關聯(lián)的活動。通過使用資源和管理，將輸入轉(zhuǎn)化為輸出的活動可視為過程。通常，一個過程的輸出直接形成了下一個過程的輸入。組織內(nèi)諸過程的系統(tǒng)的應用，連同這些過程的識別和相互作用及其慣例，課程只為：“過程方法”。過程的方法鼓勵使用者強調(diào)以下方面的重要性：a）

理解業(yè)務動作對信息安全的需求和建立信息安全方針和目標的需要；b）

在全面管理組織業(yè)務風險的環(huán)境下實施和動作控制措施；c）

監(jiān)控和評審信息安全管理體系的有效性和績效；d）

在客觀的測量，持續(xù)改進過程。本標準采用的模型就是說眾所周知的“Plan策劃-Do實施-Check檢查-Act處置”（PDCA）模型，適用于所有信息安全管理體系的過程。圖一展示信息安全管理體系怎樣考慮輸入利益相關方的住處安全需求和期望，通過必要的行動措施和過程，產(chǎn)生信息安全結(jié)果（即：管理狀態(tài)下的信息安全），滿足那些需要和期望。圖一同時展示了4、5、6和7章中所提出的過程聯(lián)系。

例1一個需求是信息安全事故不要引起組織的財務損失和/或引起高層主管的尷尬。例2一個期望可以是如果嚴重的事故發(fā)生-如：組織的電子商務網(wǎng)站被黑客入侵—將有被培訓過的員工通過適用的程序減少其影響。

注：名詞“程序”，從傳統(tǒng)來講，用在信息安全方面意味著員工工作的過程，而不是計算機或其它電子概念。

PDCA模型應用與信息安全管理體系過程

計劃PLAN建立建立ISMS

相關單位

相關單位

管理狀態(tài)下的信息安全

相關單位

信息安全需求和期望

實施和運作實施和運作ISMS維護和改進ISMS

實施改進監(jiān)控和監(jiān)控和評審ISMS用 DOACTION

檢查CHECK

計劃（建立信息安全管理體系）建立與管理風險和改進信息安全有關的安全方針、目標、目的、過程和程序，以達到與組織整體方針和目標相適應的結(jié)果。實施（實施和動作信息安全管理體系實施和動作信息安全方針、控制措施、過程和程序。檢查（監(jiān)控和評審信息安全管理體系）針對安全方針、目標和實踐經(jīng)驗等評審和（如果適用）職測量過程的績效并向管理層報告結(jié)果供評審使用。改進（維護和改進信息安全管理體系）在管理評審的結(jié)果的基礎上，采取糾正和預防措施以持續(xù)改進信息安全管理體系。0．3與其他管理體系標準的兼容性本標準與ISO9001：2000與ISO16949：1996相結(jié)合以支持實施和動作安全體系的一致性和整合。在附件C中以表格顯示BS7799，ISO14001各部分不同條款間的對應關系，本標準使組織能夠聯(lián)合或整合其信息安全管理體系及相關管理體系的要求。

1范圍1．1概要本標準提供在組織整個動作風險的環(huán)境下建立、實施、動作、監(jiān)控、評審、維護和改進一個文件化的信息安全管理體系的模型。它規(guī)范了對定制實施安全控制措施以適應不同組織或相關部分的需求。（附錄B提供使用規(guī)范的指南）。信息安全管理體系保證足夠的和成比例的安全控制措施以充分保護信息資產(chǎn)并給與客戶和其他利益相關方信心。這將轉(zhuǎn)化為維護和提高競爭優(yōu)勢、現(xiàn)金流、羸利能力、法律符合和商務形象。

1．2應用本標準規(guī)定的所有要求是通用的，旨在適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織。當本標準的任何要求因組織及其產(chǎn)品的特點而不適用時，可以考慮對其進行刪減。除非刪減不影響組織的能力、和/或責任提供符合由風險評估和適用的法律確定的信息安全要求，否則不能聲稱符合本標準。任何能夠滿足風險接受標準的刪減必須證明是正當?shù)牟⑿枰峁┳C據(jù)證明相關風險被負責人員正當?shù)亟邮?。對于條款4，5，6和7的要求的刪減不能接受。

2引用標準ISO9001：2000質(zhì)量管理體系-要求ISO/IEC17799：2000信息技術(shù)—信息安全管理實踐指南ISO指南73：2001風險管理指南-名詞

3名詞和定義從本英國標準的目的出發(fā)，以下名詞和定義適用。3．1可用性保證被授權(quán)的使用者需要時能夠訪問信息及相關資產(chǎn)。[BSISO/IEC17799：2000]3．2保密性保證信息只被授權(quán)的人訪問。[BSISO/IEC17799：2000]3．3信息安全安全保護信息的保密性、完整性和可用性3．4信息安全管理體系（信息安全管理體系）是整個管理體系的一部分，建立在運營風險的方法上，以建立、實施、動作、監(jiān)控、評審、維護和改進信息安全。注：管理體系包括組織的架構(gòu)、方針、策劃活動、職責、實踐、程序、過程和資源。3．5完整性保護信息和處理方法的準確和完整。[BSISO/IEC17799：2000]3．6風險接受接受一個風險的決定[ISOGuide73]3．7風險分析系統(tǒng)地使用信息識別來源和估計風險[ISOGuide73]3．8風險評估風險分析和風險評價的整個過程[ISOGuide73]

3．9風險評價把估計風險與給出的風險標準相比較，確定風險嚴重性的過程。[ISOGuide73]3．10風險管理指導和控制組織風險的聯(lián)合行動3．11風險處理選擇和實施措施以更改風險的處理過程[ISOGuide73]3．12適用性聲明描述適用于組織的信息安全管理體系范圍的控制目標和控制措施。這些控制目標和控制措施是建立在風險評估和處理過程的結(jié)論和結(jié)果基礎上。4．信息安全管理體系要求4．1總要求組織應在整體業(yè)務活動和風險的環(huán)境下建立、實施、維護和持續(xù)改進文件化的信息安全管理體系。為滿足該標準的目的，使用的過程建立在圖一所示的PDCA模型基礎上。4．2建立和管理信息安全管理體系4．2．1建立信息安全管理體系組織應：a）

應用業(yè)務的性質(zhì)、組織、其方位、資產(chǎn)和技術(shù)確定信息安全管理體系的范圍。b）

應用組織的業(yè)務性質(zhì)、組織、方位、資產(chǎn)和技術(shù)確定信息安全管理體系的方針，方針應：1）

包括為其目標建立一個框架并為信息安全活動建立整體的方向和原則。2）

考慮業(yè)務及法律或法規(guī)的要求，及合同的安全義務。3）

建立組織戰(zhàn)略和風險管理的環(huán)境，在這種環(huán)境下，建立和維護信息安全管理體系。4）

建立風險評價的標準和風險評估定義的結(jié)構(gòu)。5）

經(jīng)管理層批準c）

確定風險評估的系統(tǒng)化的方法識別適用于信息安全管理體系及已識別的信息安全、法律和法規(guī)的要求的風險評估的方法。為信息安全管理體系建立方針和目標以降低風險至可接受的水平。確定接受風險的標準和識別可接受風險的水平[見5.1f]d）

確定風險：1）

在信息安全管理體系的范圍內(nèi)，識別資產(chǎn)及其責任人2）

識別對這些資產(chǎn)的威脅3）

識別可能被威脅利用的脆弱性4）

別資產(chǎn)失去保密性、完整性和可用性的影響e）

評價風險1）

評估由于安全故障帶來的業(yè)務損害，要考慮資產(chǎn)失去保密性、完整性和可用性的潛在后果；2）

評估與這些資產(chǎn)相關的主要威脅、脆弱點和影響造成此類事故發(fā)生的現(xiàn)實的可能性和現(xiàn)存的控制措施；3）

估計風險的等級4）

確定介紹風險或使用在c中建立的標準進行衡量確定需要處理；f）

識別和評價供處理風險的可選措施：可能的行動包括：1）

應用合適的控制措施2）

知道并有目的地接受風險，同時這些措施能清楚地滿足組織方針和接受風險的標準3）

避免風險；4）

轉(zhuǎn)移相關業(yè)務風險到其他方面如：保險業(yè)，供應商等。g）

選擇控制目標和控制措施處理風險：應從本標準附件A中列出的控制目標和控制措施，選擇應該根據(jù)風險評估和風險處理過程的結(jié)果調(diào)整。注意：附件A中列出的控制目標和控制措施，作為本標準的一部分，并不是所有的控制目標和措施，組織可能選擇另加的控制措施。h）

準備一份適用性聲明。從上面4.2.1（g）選擇的控制目標和控制措施以及被選擇的原因應在適用性聲明中文件化。從附件A中剪裁的控制措施也應加以記錄；i）

提議的殘余風險應獲得管理層批準并授權(quán)實施和動作信息安全管理體系。4．2．2實施和運作信息安全管理體系組織應：a）

識別合適的管理行動和確定管理信息安全風險的優(yōu)先順序（即：風險處理計劃）-[見條款5]；b）

實施風險處理計劃以達到識別的控制目標，包括對資金的考慮和落實安全角色和責任。c）

實施在4.2.1（g）選擇的控制目標和措施d）

培訓和意識[見5.2.2];e）

管理動作過程；f）

管理資源[見5.2]；g）

實施程序和其他有能力隨時探測和回應安全事故的控制措施。4．2．3監(jiān)控和評審信息安全管理體系組織應：a）

執(zhí)行監(jiān)控程序和其他控制措施，以：1）

實時探測處理結(jié)果中的錯誤；2）

及時識別失敗和成功的安全破壞和事故；3）

能夠使管理層確定分派給員工的或通過信息技術(shù)實施的安全活動是否達到了預期的目標；4）

確定解決安全破壞的行動是否反映了運營的優(yōu)先級。b）

進行常規(guī)的信息安全管理體系有效性的評審（包括符合安全方針和目標，及安全控制措施的評審）考慮安全評審的結(jié)果、事故、來自所有利益相關方的建議和反饋；c）

評審殘余風險和可接受風險的水平，考慮以下方面的變化：1）

組織2）

技術(shù)3）

業(yè)務目標和過程4）

識別威脅5）

外部事件，如：法律、法規(guī)的環(huán)境發(fā)生變化或社會環(huán)境發(fā)生變化。d）

在計劃的時間段內(nèi)實施內(nèi)部信息安全管理體系審核。e）

經(jīng)常進行信息安全管理體系管理評審（至少每年評審一次）以保證信息安全管理體系的范圍仍然足夠，在信息安全檢查管理體系過程中的改進措施已被識別（見條款6信息安全管理體系的管理評審）；f）

記錄所采取的行動和能夠影響信息安全管理體系的有效性或績效性的事件[見4.3.4]。4．2．4維護和改進信息安全管理體系組織應經(jīng)常：a）

實施已識別的對于信息安全管理體系的改進措施b）

采取合適的糾正和預防措施應用從其他組織的安全經(jīng)驗和組織內(nèi)學到的知識。c）

溝通結(jié)果和行動并得到所有參與的相關方的同意。d）

確保改進行動達到了預期的目標。4．3文件要求4．3．1總則信息安全管理體系文件應包括：a）

文件化的安全方針文件和控制目標；b）

信息安全管理體系范圍[見4.2.1]和程序及支持信息安全管理體系的控制措施c）

風險評估報告[見4.2.1];d）

風險處理計劃;e）

組織需要的文件化的程序以確保存有效地計劃運營和對信息安全過程的控制[見6.1]f）

本標準要求的記錄[見4.3.4];g）

適用性聲明注1：當本標準中出現(xiàn)“文件化的程序”，這意味著建立、文件化、實施和維護該程序。注2：SeeISO9001注3：文件和記錄可以用多形式和不同媒體。4．3．2文件控制信息安全管理體系所要求的文件應予以保護和控制。應編制文件化的程序，以規(guī)定以下方面所需的控制：a）

文件發(fā)布前得到批準，以確保文件的充分性；b）

必要時對文件進行評審與更新，并再次批準；c）

確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；d）

確保在使用處可獲得適用文件夾的有關版本；e）

確保文件夾保持清晰、易于識別；f）

確保外來文件的發(fā)放在控制狀態(tài)下；g）

確保文件的發(fā)放在控制狀態(tài)下；h）

防止作廢文件的非預期使用；i）

若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R。4．3．3記錄控制應建立并保持記錄，以提供符合要求和信息安全管理體系的有效運行的證據(jù)。記錄應當被控制。信息安全管理體系應考慮任何有關的法律要求。記錄應保持清晰、易于識別和檢索。應編制形成文件的程序，以規(guī)定記錄的標識、儲存、保護、檢索、保存期限和處置所需的控制。需要一個管理過程確定記錄的程度。應保留4.2概要的過程績效記錄和所有與信息安全管理體系有關的安全事故發(fā)生的記錄。舉例記錄的例子如：訪問者的簽名簿，審核記錄和授權(quán)訪問記錄。

5管理職責5．1管理承諾管理層應提供其承諾建立、實施、運行、監(jiān)控、評審、維護和改進信息安全管理體系的證據(jù)，包括：a）

建立信息安全方針；b）

確保建立信息安全目標和計劃；c）

為信息安全確立職位和責任；d）

向組織傳達達到信息安全目標和符合信息安全方針的重要性、在法律條件下組織的責任及持續(xù)改進的需要。e）

提供足夠的資源以開發(fā)、實施，運行和維護信息安全管理體系[見5.2.1];f）

確定可接受風險的水平;g）

進行信息安全管理體系的評審[見條款6]。5．2資源管理5．2．1提供資源組織將確定和提供所需的資源，以：a）

建立、實施、運行和維護信息安全管理體系；b）

確保信息安全程序支持業(yè)務要求；c）

識別和強調(diào)法律和法規(guī)要求及合同的安全義務；d）

正確地應用所有實施的控制措施維護足夠的安全；e）

必要時，進行評審，并適當回應這些評審的結(jié)果；f）

需要時，改進信息安全管理體系的有效性。5．2．2培訓，意識和能力組織應確保所有被分配信息安全管理體系職責的人員具有能力履行指派的任務。組織應：a）

確定從事影響信息安全管理體系的人員所必要的能力；b）

提供能力培訓和必要時，聘用有能力的人員滿足這些需求；c）

評價提供的培訓和所采取行動的有效性；d）

保持教育、培訓、技能、經(jīng)驗和資格的記錄[見4.3.3]組織應確保所有相關的人員知道他們信息安全活動的適當性和重要性以及他們的貢獻怎樣達成信息安全管理目標.6信息安全管理體系的管理評審6．1總則管理層應按策劃的時間間隔評審組織的信息安全管理體系,以確保其持續(xù)的適宜性、充分性和有效性。評審應包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針和安全目標。評審的結(jié)果應清楚地文件化，應保持管理評審的記錄[見4.3.3]6．2評審輸入管理評審的輸入應包括以下方面的信息：a）

信息安全管理體系審核和評審的結(jié)果；b）

相關方的反饋；c）

可以用于組織改進其信息安全管理體系績效和有效性的技術(shù)，產(chǎn)品或程序；d）

預防和糾正措施的狀況；e）

以前風險評估沒有足夠強調(diào)的脆弱性或威脅；f）

以往管理評審的跟蹤措施；g）

任何可能影響信息安全管理體系的變更；h）

改進的建議。6．3評審輸出管理評審的輸出應包括以下方面有關的任何決定和措施：a）

對信息安全管理體系有效性的改進；b）

修改影響信息安全的程序，必要時，回應內(nèi)部或外部可能影響信息安全管理體系的事件，包括以下的變更：1）

業(yè)務要求；2）

安全要求；3）

業(yè)務過程影響現(xiàn)存的業(yè)務要求；4）

法規(guī)或法律環(huán)境；5）

風險的等級和/或可接受風險的水平；c）

資源需求。6．4內(nèi)部信息安全管理體系審核組織應按策劃的時間間隔進行內(nèi)部信息安全管理體系審核，以確定信息安全管理體系的控制目標、控制措施、過程和程序是否：a）

符合本標準和相關法律法規(guī)的要求；b）

符合識別的信息安全的要求；c）

被有效地實施和維護；d）

達到預想的績效。任何審核活動應策劃，策劃應考慮過程的狀況和重要性，審核的范圍以及前次審核的結(jié)果。應確定審核的標準，范圍，頻次和方法。選擇審核員及進行審核應確認審核過程的客觀和公正。審核員不應審核他們自己的工作。應在一個文件化的程序中確定策劃和實施審核，報告結(jié)果和維護記錄[見4.3.3]的責任及要求.負責被審核區(qū)域的管理者應確保沒有延遲地采取措施減少被發(fā)現(xiàn)的不符合及引起不合格的原因。改進措施應包括驗證采取的措施和報告驗證的結(jié)果[見條款7]。7信息安全管理體系改進7．1持續(xù)改進組織應通過使用安全方針、安全目標、審核結(jié)果、對監(jiān)控事件的分析、糾正和預防措施和管理評審的信息持續(xù)改進信息安全管理體系的有效性。7．2糾正措施組織應確定措施，以消除與實施和運行信息安全管理體系有關的不合格的原因，防止不合格的再發(fā)生。應為糾正措施編制形成文件的程序，確定以下的要求：a）

識別實施或運行信息安全管理體系中的不合格；b）

確定不合格的原因；c）

評價確保不合格不再發(fā)生的措施的需求；d）

確定和實施所需的糾正措施；e）

記錄所采取措施的結(jié)果[見4.3.3];f）

評審所采取的糾正措施。7．3預防措施組織應針對潛在的不合格確定措施以防止其發(fā)生。預防措施應于潛在問題的影響程序適應。應為預防措施編制形成文件的程序，以規(guī)定以下方面的要求：a）

識別潛在的不合格及引起不合格的原因；b）

確定和實施所需的預防措施；c）

記錄所采取措施的結(jié)果[見4.3.3]；d）

評價所采取的預防措施；糾正措施的優(yōu)先權(quán)應以風險評估的結(jié)果為基礎確定。注：預防不合格的措施總是比糾正措施更節(jié)約成本。

附錄A（引用）控制目標和控制措施

A．1介紹從A.3到A.12列出的控制目標和控制措施是直接引用并與BSISO/IEC17799:2000條款3到12一致。一表中的清單并不徹底，一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和控制措施是條款4.2.1規(guī)定的信息安全管理體系過程的一部分。A．2實踐指南規(guī)范BSISO/IEC17799：2000條款3至12提供最佳實踐的實施建議和指南以支持A.3到A.12規(guī)范的控制措施。A.3安全方針

BSISO/IEC17799:2000編號A.3.1信息安全方針控制目標：提供管理方向和支持信息安全3.1控制措施A.3.1.1信息安全方針文件管理層應提供一份方針方件,出版并在適當時,溝通給所有員工。3.1.1A.3.1.2評審和評價應經(jīng)常評審方針文件,尤其在發(fā)生決定性的變化時,確保方針的適宜性3.1.2

A.4組織安全

BSISO/IEC17799:2000編號A.4.1信息安全基礎設施控制目標：在組織中管理信息安全4.1控制措施A.4.1.1信息安全管理委員會信息安全管理委員會確保明確的目標和管理層對啟動安全管理可見的支持。管理委員會應通過適當?shù)某兄Z和充足的資源推廣安全4.1.1A.4.1.2信息安全協(xié)作在大的組織中，應使用一個由從各組織相關單位的管理者代表組成的跨功能的委員會，協(xié)作實施信息安全控制措施。4.1.2A.4.1.3落實信息安全責任應明確定保護每種資產(chǎn)和負責特定安全過程的責任4.1.3A.4.1.5對信息處理設施的授權(quán)過程應建立對于新的信息處理設施的管理授權(quán)過程4.1.4A.4.1.5專家信息安全建議應從內(nèi)部或外部搜集專家的信息安全建議并在組織內(nèi)部實施協(xié)作4.1.5A.4.1.6組織間的合作應與執(zhí)法機關、主管機關、信息服務提供者，及通信業(yè)者維持適當?shù)慕佑|4.1.6A.4.1.7獨立的信息安全審查應對信息安全方針的實施進行獨立的審查4.1.7A.4.2第三方訪問的安全控制目標：維護組織的信息處理設施及信息資產(chǎn)被第三方訪問時的安全4.2控制措施A.4.2.1確認第三方訪問的風險應對第三方訪問組織的信息處理設施所帶來的風險進行評估，并實施適當?shù)陌踩刂?.2.1A.4.2.2與第三方合約中的安全要求涉及第三方訪問組織的信息處理設施的安排，應以包含必要的安全要求在內(nèi)的正式合約為基礎。4.2.2A.4.3外包控制目標：當信息處理的責任委托其他組織時，應維護信息的安全4.3A.4.3.1外包合約中的安全要求`當組織將全部或部分的信息系統(tǒng)、網(wǎng)絡，及/或桌面計算機環(huán)境的管理及控制外包時，在雙方同意的合約中應載明安全的要求。.4.3.1

A．5資產(chǎn)分類與控制

BSISO/IEC17799:2000編號A.5.1資產(chǎn)的保管責任控制目標:維持對于組織的資產(chǎn)的適切保護5.1控制措施A.5.1.1資產(chǎn)的清單應列出并維護一份與每個信息系統(tǒng)有關的所有重要資產(chǎn)的清單5.1.1A.5.2信息分類控制目標：確保信息資產(chǎn)受到適當程度的保護控制措施A.5.2.1分類原則信息的分類及相關的保護控制，應適合于企業(yè)運營對于信息分享或限制的需要，以及這些需要對企業(yè)運營所帶來的沖擊5.2.1A.5.2.2信息的標識及處理應制定信息標識及處理的程序，以符合組織所采行的分類法則5.2.2

A.6人事安全

BSISO/IEC17799:2000編號A.6.1工作說明及人力資源的安全控制目標：降低因人員錯誤、偷竊、詐欺或不當使用設施所造成的風險6.1控制措施A.6.1.1將安全需求列入工作職責中組織在信息安全方針中所規(guī)定的安全職責及責任，應適度地書面化于工作職責說明書中6.1.1A.6.1.2人員篩審及政策應在招聘員工時執(zhí)行正式員工的驗證查核6.1.2A.6.1.3保密合約員工應簽署保密協(xié)議作為其啟始聘用合同的一部分6.1.3A.6.1.4聘用合同聘用合同中的應陳述員工對信息安全的責任6.1.4A.6.2使用者培訓控制目標：確保員工了解信息安全的威脅及考慮，并且具備在其日常工作過程中支持組織的信息安全方針的能力6.2控制措施A.6.2.1信息安全的教育與培訓組織的所有員工以及相關的第三方使用者，對于組織方針及程序應接受適當、定期更新的訓練6.2.1A.6.3安全及失效事件的響應控制目標：將安全及失效事件所造成的損害降到最小，并監(jiān)督此類事件，從中學習6.3A.6.3.1安全事故報告安全事件應在事件被發(fā)現(xiàn)之后盡快由適當?shù)墓芾硗緩竭M行通報6.3.1A.6.3.2安全弱點的報告應要求信息服務的使用者記下并報告任何觀察到的或可疑的有關系統(tǒng)或服務方面的安全弱點或威脅6.3.2A.6.3.3軟件失效事件的報告應建立報告軟件失效事件的相關程序6.3.3A.6.3.4從事件中學習應有適當機制的以量化與監(jiān)督安全事故及失效事件的種類、數(shù)量、及成本6.3.4A.6.3.5懲處的流程員工違反組織安全方針及程序，應由正式的懲處流程來處理6.3.5

A.7實體及環(huán)境安全

BSISO/IEC17799:2000編號A.7.1安全區(qū)域控制目標：防止對企業(yè)運行所在地及信息未經(jīng)授權(quán)的進入、訪問、破壞及干擾7.1控制措施A.7.1.1實體安全邊界組織應有安全的邊界以保護包含信息處理設施的區(qū)域7.1.1A.7.1.2實體進出控制安全區(qū)域應有適當?shù)倪M出控制加以保護，以確保只有經(jīng)授權(quán)的人員可以進出7.1.2A.7.1.3

應劃定安全區(qū)域，以保護具有特殊安全需求的辦公處所及設備7.1.3A.7.1.4

應對在安全區(qū)域中進行的作業(yè)有額外的控制方法及指導原則以加強安全區(qū)域的安全7.1.4A.7.1.5

遞送及裝載區(qū)域應加以控制，如有可能應與信息處理設施隔離，以避免未經(jīng)授權(quán)的訪問7.1.5A.7.2設備安全控制目標：預防資產(chǎn)遺產(chǎn)、破壞或損失和防止企業(yè)運營活動遭受干擾7.2控制措施A.7.2.1設備的安置及保護應妥善安置及保護設備，以降低來自環(huán)境的威脅與危險所造成的風險以及未經(jīng)授權(quán)的訪問7.2.1A.7.2.2電源供應應保護設備免于電力失效及其它電力異常的影響7.2.2A.7.2.3電纜傳輸安全傳輸資料或支持信息服務的電力及通訊電纜，應予以保護免于被攔截或破壞7.2.3A.7.2.4設備維護設備應進行正確維護，以確保其持續(xù)的可用性及完整性7.2.4A.7.2.5組織以外的設備安全任何在組織所在地以外使用的信息處理設備應要求管理層授權(quán)7.2.5A.7.2.6設備報廢或再利用的安全防護設備在報廢或再利用前，應清除在設備中的信息7.2.6A.7.3一般控制控制目標：防止信息及信息處理設備的損毀或失竊7.3控制措施A.7.3.1辦公桌面凈空及計算機屏幕畫面凈空策略組織應具備辦公桌面凈空及計算機屏幕畫面凈空的政策，以降低因信息被未經(jīng)授權(quán)訪問、遺失及損害所造成的風險7.3.1A.7.3.2資產(chǎn)的移出未經(jīng)授權(quán)不得移出組織所擁有的設備、信息及軟件7.3.2

A.8通訊與操作管理

BSISO/IEC17799:2000編號A.8.4.2操作員日志作業(yè)人員應維持一份記錄其作業(yè)活動的工作日。操作日志應受到經(jīng)常性的，獨立的審查。8.4.2A.8.4.3錯誤事件登錄應通報錯誤并采取改正行動8.4.3A.8.5網(wǎng)絡管理控制目標：確保網(wǎng)絡中信息的安全性以及保護支持性的基礎設施8.5控制措施A.8.5.1網(wǎng)絡控制應實行一系列的控制方法以達成并維護網(wǎng)絡的安全8.5.1A.8.6存儲媒體的處理與安全控制目標：防止資產(chǎn)遭受損害以及企業(yè)營運活動遭受干擾

控制措施A.8.6.1可移動式計算機存儲媒體的管理對于可移動式計算機儲存媒體例如磁帶、磁盤以及打印出來的報告的管理應回以控制8.6.1A.8.6.2存儲媒體的報廢不再需要的儲存媒體，應可靠并安全地處置8.6.2A.8.6.3信息的處理程序應建立信息的處理及儲存程序，以保護信息不被未經(jīng)授權(quán)的泄漏或不當使用8.6.3A.8.6.4系統(tǒng)文件的安全應保護系統(tǒng)文件以防未經(jīng)授權(quán)的訪問8.6.4A.8.7信息及軟件的交換控制目標：防止在組織間交換的信息遭受遺失、修改及不當使用8.7控制措施A.8.7.1信息及軟件交換協(xié)議以電子化或人工方式在組織間交換信息及軟件時，應簽訂協(xié)議，其中有些可能是正式的協(xié)議書8.7.1A.8.7.2存儲媒體的運送安全運送存儲媒體時應保護其不遭受未經(jīng)授權(quán)的泄漏、不當使用或毀壞8.7.2A.8.7.3電子商務安全應保護電子商務免于詐欺行為、合約爭議以及信息被泄漏及修改8.7.2A.8.7.4電子郵件的安全應開發(fā)一份電子郵件的使用策略，并應有降低電子郵件所造成的安全風險的適當控制方法8.7.3A.8.7.5電子化辦公室系統(tǒng)的安全為控制電子化辦公室系統(tǒng)所帶來的業(yè)務與安全風險，各項政策與指導原則應加以擬定并實施8.7.5A.8.7.6開放的公用系統(tǒng)信息在成為公眾可取用前應有正式的授權(quán)過程，應保護這類信息的完整性以防止未經(jīng)授權(quán)的修改8.7.6A.8.7.7其它形式的信息交換應有適當?shù)牟呗浴⒊绦蚣翱刂品椒▉肀Ｗo經(jīng)由傳真、語音及影像等通訊設施進行的信息交換8.7.7

A.9訪問控制

BSISO/IEC17799:2000編號A.9.1企業(yè)營運對訪問控制的要求控制目標：控制對于信息的訪問9.1控制措施A.9.1.1訪問控制策略企業(yè)營運對訪問控制的要求應加以界定并文件化，對于信息的訪問應如訪問控制政策中所界定的加以限制9.1.1A.9.2使用者訪問管理控制目標：確保訪問信息系統(tǒng)的權(quán)限被適當?shù)厥跈?quán)、落實和維護9.2控制措施A.9.2.1使用者注冊應有正式的使用者注冊及注銷的程序，以進行所有的多人使用信息系統(tǒng)及服務的訪問授權(quán)9.2.1A.9.2.2特殊權(quán)限的管理對于特殊權(quán)限的分配及使用，應加以限制及控制9.2.2A.9.2.3使用者密碼管理對密碼的分配，應通過正式的管理流程加以控制9.2.3A.9.2.4使用者訪問權(quán)限的審查管理層應定期執(zhí)行正式審查過程對于使用者的訪問權(quán)限實施評審9.2.4A..9.3使用者責任控制目標：防止未經(jīng)授權(quán)的使用者訪問9.3控制措施A.9.3.1密碼的使用應要求使用者在選擇及使用密碼時，遵循良好的安全慣例9.3.1A.9.3.2無人看管的使用者設備應要求使用者確保無人看管的使用者設備有適當?shù)谋Ｗo9.3.2A.9.4網(wǎng)絡訪問控制控制目標：保護網(wǎng)絡化的服務9.4控制措施A.9.4.1使用網(wǎng)絡服務的政策使用者應僅能直接訪問已獲得特別授權(quán)使用的服務9.4.1A.9.4.2強制性的路徑由使用者的終端機至計算機服務器羊的路徑應加以控制9.4.2A.9.4.3外部聯(lián)機的使用者認證應對遠程使用者的訪問進行使用者認證9.4.3A.9.4.4節(jié)點認證到遠程計算機系統(tǒng)的聯(lián)機應被認證9.4.4A.9.4.5遠程診斷端口的保護對于診斷斷口的訪問應可靠地加以控制9.4.5A.9.4.6網(wǎng)絡的隔離應引起可在網(wǎng)絡中以群組方式隔離信息服務、使用者及信息系統(tǒng)的控制方法9.4.6A.9.4.7網(wǎng)絡聯(lián)機的控制在分享式的網(wǎng)絡中，使用者的聯(lián)機能力應依照訪問控制策略加以限制9.4.7A.9.4.8網(wǎng)絡路由的控制在分享式的網(wǎng)絡中，應有路由控制方法以確保計算機聯(lián)機及信息流不違反所制定的企業(yè)營運應用軟件的訪問控制政策9.4.8A.9（繼續(xù)）

BSISO/IEC17799:2000編號A.9.4.9網(wǎng)絡服務的安全對于組織使用網(wǎng)絡服務業(yè)者提供的所有網(wǎng)絡服務的安全特性,應提供清楚的說明9.4.9A.9.5操作系統(tǒng)訪問控制控制目標:防止未經(jīng)授權(quán)的計算機訪問9.5控制措施A.9.5.1自動化的終端機識別應使用自動化的終端機識別,以認證連接到特定場所及可移動式設備的聯(lián)機9.5.1A.9.5.2終端機聯(lián)機程序訪問信息服務應有安全的聯(lián)機流程9.5.2A.9.5.3使用者識別及認證所有使用者應有唯一的識別碼(使用者代號)專供其個人的使用,以便各項活動可以追溯至應負責的個人.使用一種適當?shù)恼J證技術(shù)以真實地識別使用者的身份9.5.3A.9.5.4口令字管理系統(tǒng)密碼管理系統(tǒng)應提供有效的、交互式的設施以確保使用優(yōu)質(zhì)的密碼9.5.4A.9.5.5系統(tǒng)工具的使用系統(tǒng)工具的使用應加以限制并嚴格控制9.5.5A.9.5.6提供受脅迫警報以保護使用者對于可能成為他人脅迫的目標的使用者，應提供脅迫警報9.5.6A.9.5.7終端機逾時終止在高風險場所或為高風險系統(tǒng)服務終端機，在進入休止狀態(tài)達到規(guī)定的一段時間后，應加以關閉以防止未經(jīng)授權(quán)的人進行訪問9.5.7A.9.5.8聯(lián)機時間的限制應使用聯(lián)機時間的限制，以提供高風險的應用程序額外的安全9.5.8A.9.6應用程序訪問控制控制目標：防止對于保持在信息系統(tǒng)中的信息進行未經(jīng)授權(quán)的訪問9.6控制措施A.9.6.1信息訪問限制對于信息及應有系統(tǒng)的功能的訪問應依照訪問控制策略加以限制9.6.1A.9.6.2機密性系統(tǒng)的隔離具機密性質(zhì)的系統(tǒng)應有專屬的〈隔離的〉運算環(huán)境9.6.2A.9.7系統(tǒng)訪問及使用的監(jiān)控控制目標：偵探未經(jīng)授權(quán)的活動9.7控制措施A.9.7.1事件登錄應產(chǎn)生記載著異常狀況及其它安全相關事件的審核日志，并保存一定的期間以協(xié)助未來的調(diào)查及訪問控制的監(jiān)控9.7.1A.9.7.2系統(tǒng)使用的監(jiān)控應建立監(jiān)控信息設施使用情況的程序，并且應定期對監(jiān)活動的結(jié)果進行審查9.7.2A.9.7.3定時器同步計算機的定時器應同步以便能準確地記錄9.7.3A.9（繼續(xù)）

BSISO/IEC17799:2000編號A.9.8可移動式計算機運算及計算機通訊遠距工作控制目標：確保使用可移動式計算機運算及計算機通訊遠距工作的設施的信息安全9.8控制措施A.9.8.1可移動式計算機運算應有適當?shù)恼秸卟⑶也捎眠m當?shù)目刂品椒?，以防范使用可移動式計算機遠算設施進行工作時所造成的風險，特別是在未被保護的環(huán)境中工作時9.8.1A.9.8.2計算機通訊遠距工作應開發(fā)策略、程序和標準以便授權(quán)及控制計算機通訊遠距工作的活動9.8.2A.10系統(tǒng)開發(fā)及維護

BSISO/IEC17799:2000編號A.10.1系統(tǒng)的安全要求控制目標：確保安全機制建于信息系統(tǒng)之中10.1控制措施A.10.1.1安全要求的分析及標準對于使用新系統(tǒng)或改進既有系統(tǒng)的企業(yè)營運要求，應將對控制方法的要求制定于其中10.1.1A.10.2應用系統(tǒng)中的安全控制目標：防止應用系統(tǒng)中的使用者資料遺失、修改及不當使用10.2控制措施A.10.2.1輸入資料的驗證輸入應用系統(tǒng)的資料應加以驗證，以確保資料是正確且適當?shù)?0.2.1A.10.2.2內(nèi)部處理控制驗證的檢查應成為系統(tǒng)的一部份，以偵測出所處理的資料是否損毀10.2.2A.10.2.3消息的認證當有保護消息內(nèi)容完整性的安全要求時，應針對應用程序進行消息的認證10.2.3A.10.2.4輸出資料的驗證從應用系統(tǒng)輸出的資料應加以驗證，以確保對所儲存的資料的處理流程是正確的，且就其情況而言是適當?shù)?0.2.4A.10.3密碼學的控制方法控制目標：保護信息的機密性、真實性或完整性10.3控制措施A.10.3.1運用密碼學控制方法時的政策應發(fā)展且遵循以密碼學控制方法來達成保護信息目的政策10.3.1A.10.3.2資料加密應使用資料加密，以保護機密或關鍵信息的機密性10.3.2A.10.3.3數(shù)字簽章應使用不可否認性的服務，以解決某事件或行動是否有發(fā)生的爭議10.3.3A.10.3.4不可否認性的服務應使用既定的標準、程序及方法為基礎的密鑰管理系統(tǒng)以支持密碼學技術(shù)的運用10.3.4A.10.3.5密鑰管理

10.3.5A.10（繼續(xù)）

BSISO/IEC17799:2000編號A.10.4系統(tǒng)檔案的安全控制目標：確保信息科技的項目及支持特性活動以安全的方式來進行10.4控制措施A.10.4.1控制執(zhí)行軟件應建立程序控制操作系統(tǒng)上的軟件執(zhí)行10.4.1A.10.4.2系統(tǒng)測試資料的保護測試資料應加以保護及控制10.4.2A.10.4.3原始鏈接庫的訪問控制對于原始鏈接庫的訪問維護嚴格的控制10.4.3A.10.5開發(fā)及支持流程中的安全控制目標：維護應用系統(tǒng)的軟件及信息的安全10.5控制措施A.10.5.1變更控制的程序應使用正式的變更控制程序嚴格地控制變更的實行，以將信息系統(tǒng)的損毀降至最小10.5.1A.10.5.2操作系統(tǒng)變更的技術(shù)審查當發(fā)生變更時，應對應用系統(tǒng)進行審查及測試10.5.2A.10.5.3軟件包修改的限制應阻止對于軟件包的修改，對于變更應嚴格控制10.5.3A.10.5.4秘密信道及特洛伊木馬應控制并檢查軟件的采購、使用及修改以防范可能密秘信道及特洛伊木馬程序10.5.4A.10.5.5委外的軟件開發(fā)應使用控制方法防護委外的軟件開發(fā)10.5.5A.11業(yè)務持續(xù)動作管理

BSISO/IEC17799:2000編號A.11.1業(yè)務持續(xù)動作管理考慮控制目標：防止企業(yè)運營中斷并且保護企業(yè)營運的關鍵流程免于重大失效或災難的影響11.1控制措施A.11.1.1業(yè)務持續(xù)動作的管理流程為發(fā)展及維護企業(yè)的持續(xù)動作性，應有遍及整個組織的管理流程11.1.1A.11.1.2業(yè)務持續(xù)動作及沖擊分析應發(fā)展以適當?shù)娘L險評估為基礎的策略性計劃，以為業(yè)務持續(xù)動作的方法11.1.2A.11.1.3持續(xù)動作計劃的撰寫及執(zhí)行應發(fā)展計劃確保在重要的業(yè)務流程中斷或失效后可及時維護或恢復業(yè)務動作11.1.3A.11.1.4業(yè)務持續(xù)動作規(guī)劃的架構(gòu)應維持一個單一的業(yè)務持續(xù)動作計劃架構(gòu)，以確保所有計劃的一致性，且鑒別其先后次序以進行測試與維護11.1.4A.11.1.5業(yè)務持續(xù)動作計劃的測試、維護與再評估業(yè)務持續(xù)運作計劃應定期測試，且透過定期審查予以維護，以確保及時性及有效性11.1.5

A.12符合性

BSISO/IEC17799:2000編號A.12.1法規(guī)要求的符合性控制目標：避免違反任何刑事、民事法律以及法律條文、行政法規(guī)或合約內(nèi)容所規(guī)定的義務、以及違反任何安全的要求12.1控制措施A.12.1.1鑒別適用的法律規(guī)定對每一個信息系統(tǒng)而言，法律條文、行政法律及契約內(nèi)容所規(guī)定的所有相關要求,應加以明白地界定及文件化12.1.1A.12.1.2知識產(chǎn)權(quán)應實行適當?shù)某绦?以確保在使用智能財產(chǎn)權(quán)方面的物品及他人專屬的軟件產(chǎn)品時,能符合法律的限制12.1.2A.12.1.3組織記錄的保護應防止屬于組織的重要記錄遺失、被破壞及篡改12.1.3A.12.1.4個人信息的隱私及數(shù)據(jù)保護應使用控制方法,以依照相關的法律保護個人信息12.1.4A.12.1.5信息處理設施不當使用的預防使用信息處理設備應經(jīng)營管理者授權(quán),并且在應使用控制方法，以防止這些設施遭受不當使用12.1.5A.12.1.6有關密碼學控制方法的政府規(guī)定應有適當?shù)目刂品椒ǎ源_保使用或訪問密碼學控制方法，符合國家所制定的協(xié)議書、法律、行政規(guī)定或其他正式法律文件的要求12.1.6A.12.1.7證據(jù)的收集當對某個人或某組織所采取的行動涉及法律，不論是民法或刑法，所提供的證據(jù)應符合相關法律或?qū)徖碓摪讣姆ㄍτ谧C據(jù)所作的規(guī)定，并應包括符合任何有關可采購證據(jù)的產(chǎn)生的已發(fā)行標準或最佳慣例在內(nèi)12.1.7A.12.2安全政策符合性及技術(shù)符合性的審查控制目標：確保系統(tǒng)符合組織的安全政策及標準12.2控制措施A.12.2.1安全方針的符合性管理者應確保在其責任范圍內(nèi)的所有安全程序被正確地執(zhí)行，并且組織內(nèi)的所有范圍應定期加以審查，以確保符合安全政策及標準12.2.1A.12.2.2技術(shù)符合性的檢查

12.2.2A.12.3系統(tǒng)審核的考慮控制目標：將有效性提升至最大，并將對來自及作用在系統(tǒng)審核，流程的干擾降至最小12.3控制措施A.12.3.1

系統(tǒng)審核的控制對于操作系統(tǒng)的審核，應加以策劃并取得同意，以將對企業(yè)營運的流程造成中斷的風險降至最小12.3.1A.12.3.2系統(tǒng)審核工具的保護對于系統(tǒng)審核工具的訪問應加以保護，以防止可能的不當使用或遭侵入而損壞12.3.2

附錄B（情報性的）標準使用指南B.1總則

B.1.1PDCA模型建立和管理一個信息安全管理體系需要像其他任何管理體系一樣的方法。這里描述的過程模型遵循一個連續(xù)的活動循環(huán)計劃、實施、檢查、和處置。之所以可以描述為一個有效的循環(huán)國為它的目的是為了保證您的組織的最好實踐文件化、加強并隨時間改進。

B.1.2計劃和實施一個持續(xù)提高的過程通常要求最初的投資：文件化實踐，將風險管理的進程正式化，確定評審的方法和配置資源。這些活動通常作為循環(huán)的開始。這個階段在評審階段開始實施時結(jié)束。計劃階段用來保證為信息安全管理體系建立的內(nèi)容和范圍正確地建立，評估信息安全風險和建立適當?shù)靥幚磉@些風險的計劃。實施階段用來實施在計劃階段確定的決定和解決方案。

B.1.3檢查和處置檢查和處置評審階段用來加強、修改和改進已識別和實施的安全方案。評審可以在任何時間、以任何頻率實施，取決于怎樣做適合于考慮的具體情況。在一些體系中他們可能需要建立在計算機化的過程中以運行和立即回應。其他過程可能只需在有信息安全事故時、被保護的信息資產(chǎn)變化時或需要增加時、威脅和脆弱性變化時需要回應。最后，需要每一年或其他周期性評審或?qū)徍艘员ＷC整個管理體系達成其目標。

B.1.4控制措施總結(jié)（SummaryofControls）組織可能發(fā)現(xiàn)制作一份相關和應用于組織的信息安全管理體系的控制措施總結(jié)（SoC）的好處。提供一份控制措施小結(jié)可以使處理業(yè)務關系變得容易如供電外包等。SoC可能包含敏感的信息，因此當SoC在外部和內(nèi)部同時應用時，應考慮他們對于接收者是否合適。注：SoC不是(StatementofApplicability)[見4.2.1]的替代品。SoA是認證必須的要求。

B.2計劃階段

B.2.1介紹PDCA循環(huán)的計劃活動是為保證正確地建立信息安全管理體系的內(nèi)容和范圍，識別和評估所有的信息安全風險，建立合適的處理風險計劃而設計的。計劃活動所有階段必須文件化作為管理變化的追溯，這一點非常重要。

B.2.2信息安全方針4．2．1b）要求組織和其管理層確定包含建立其目標和目的框架、并建立總的方向、信息安全行動原則的信息安全方針。該方針的內(nèi)容的指南在BSISO/IEC17799：2000中給出。

B.2.3信息安全管理體系的范圍信息安全管理體系可能覆蓋組織所有部分。應清楚識別的從屬、界面和對于一個環(huán)境的邊界的假設。這對于只有組織的部分單位包括在信息安全管理體系范圍內(nèi)時尤其重要。范圍的界定可能分為幾種方式，例如，分為領域，使后續(xù)的風險管理任務變得容易。信息安全管理體系范圍文件應覆蓋：a）

建立范圍和信息安全管理體系的環(huán)境所使用的過程；b）

戰(zhàn)略及組織環(huán)境；c）

組織使用的信息安全風險管理的方法；d）

信息安全風險評價的標準和所需的確保的程度的要求；e）

在信息安全管理體系的范圍內(nèi)信息資產(chǎn)和識別信息安全管理體系的范圍可能在質(zhì)量管理體系控制的范圍、另一個管理體系或另一個信息安全管理體系（相同的或一個第三方的組織）之內(nèi)，在這種情況下，只有那些信息安全管理體系具有的管理控制可以考慮為在信息安全管理體系的范圍內(nèi)。

B.2.4風險識別和評估風險評估文件應解釋選擇哪一種風險方法，為什么此方法適合安全要求，業(yè)務環(huán)境，組織的規(guī)模和面臨的風險等。采用的方法應致力于安全的努力和有效利用資源。文件也應覆蓋選擇的工具和技術(shù)，解釋為什么它們適用于信息安全管理體系的范圍和風險，怎樣正確地使用這些工具和技術(shù)以產(chǎn)生有效的結(jié)果。以下風險評估的詳細內(nèi)容應文件化：a）

信息安全管理體系范圍內(nèi)的資產(chǎn)的評價，包括在不能以錢來衡量時，估價量度的使用的信息；b）

識別威脅和弱點；c）

對威脅利用脆弱點的評估，及當此類事故發(fā)生時的影響；d）

在評估結(jié)果的基礎上計算風險，識別殘余風險。

B.2.5風險處理計劃組織應建立一個詳細的日程，或風險處理計劃，對于每一個識別的風險確定：a）

選擇的處理風險的方法；b）

已有的控制措施；c）

建議的新添的控制措施；d）

實施新提議的控制措施的時間架構(gòu)。應識別一個可接受風險的水平，對于每一個不在可接受水平內(nèi)的風險應從下列方面選擇合適的措施：a）

決定接受風險，如，因為不能采取其他措施或太貴；b）

轉(zhuǎn)移風險；或c）

降低風險到可接受的風險。風險治理計劃是一個調(diào)和的文件，確定降低不可接受的水平，因此應對是否增加更多的控制措施或接受更高的風險作出一個決定。當設立一個可接受的風險的水平，力度和控制措施的成本應與潛在的事故造成的代價相比較。適用性聲明[見4.2.1h]記錄控制目標和從附錄A選擇的控制措施。這份文件是信息安全管理體系認證要求的一份工作文件。BSISO/IEC17799:2000提供相關實施這些控制措施的附加信息，當識別的風險超過這些控制措施可以控制的水平時，可能需要設計附加的控制措施并加以實施。設計用來阻止、偵測、限制、保護和恢復安全侵害（與信息安全管理體系一致）的控制措施對實施PDCA模型非常重要并應在早期與提供預防、偵測、限制和恢復的管理控制措施一起加以實施，這樣才能更有效。應準備一份提供日程、排列優(yōu)先次序、一個詳細的工作計劃和責任的計劃，實施控制措施。B.3實施階段

B.3.1介紹在PDCA循環(huán)中的實施階段是設計用來實施選擇的控制措施和推進必要的策劃階段所做出的決定一致的管理信息安全風險措施。

B.3.2資源，培訓和意識應落實充足的運行信息安全管理體系和所有安全控制措施的資源，包括實施所有控制措施的文件，和維護信息安全管理體系文件的活動。另外，應提高安全意識和實施培訓項目，這項活動應與實施安全控制措施并行。意識項目的目的是產(chǎn)生一種有很好基礎的風險管理和安全的文化。應監(jiān)控安全意識項目的進展以保證其持續(xù)有效性和時事性。特別的安全培訓應適用于是否支持意識項目，使所有相關方在需要時完成他們的任務。

B.3.3風險處理對于經(jīng)過評估可接受的風險，不需要進一步的措施。如果決定轉(zhuǎn)移風險，應采取進一步行動，如：使用合同，保險安排和組織結(jié)構(gòu)如合作伙伴和合資等。在這種情況下，應保證風險轉(zhuǎn)移到的組織理解那些風險的性質(zhì)和能夠有效地管理他們。當決定降低風險，應實施已選擇的控制措施。這些實施應與在策劃活動中準備的風險處理計劃一致。成功實施該計劃要求有效的管理體系，管理體系確定選擇的方法，指派責任和個人對措施以及監(jiān)控這些措施的特別的標準的職責。當一個組織決定接受高于呆接受水平的風險時，應獲得管理層的批準。在不可接受風險被降低或轉(zhuǎn)移之后，還會有殘余風險?？刂拼胧ＷC不希望發(fā)生的影響或破壞及時被識別并適當管理。

B.4檢查階段

B.4.1介紹檢查活動是設計用來保證控制措施有效運行，與預期一致，信息安全管理體系持續(xù)有效。另外，任何有關風險評估范圍或假設的變化應予以考慮。如果發(fā)現(xiàn)控制措施不夠充足，應決定采取必要的糾正措施。此類活動的實行應在PDCA循環(huán)的處置階段。意識到糾正措施只有在必要時采用非常重要：a）

維護信息安全管理體系文件內(nèi)部的一致性：并b）

如果不做改變其效果會使組織暴露與不可接受的風險之下。檢查活動也應包括一份為管理和運行信息安全管理體系的控制措施的程序的描述及不斷評審風險及在不斷變化的技術(shù)、威脅或功能下處理風險的過程。在可能確定目前的安全狀態(tài)是令人滿意的同時，應注意技術(shù)的變化和業(yè)務的需求及新威脅和脆弱點的發(fā)生，以預測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。在檢查階段采集的信息提供可以用來決定和測量信息安全管理體系在符合文件化的組織安全方針和目標有效性的測量的有價值的數(shù)據(jù)資源。這些信息應同時用于一種識別無效的過程和程序的資源。檢查活動的性質(zhì)依賴于PDCA循環(huán)有關的特性，以下是一些例子。例一入侵檢測技術(shù)的自動響應。一個網(wǎng)絡入侵監(jiān)測員會監(jiān)測其他部件的安全是否被滲透。例二安全事故響應行動。在安全破壞事件中采取行動的程序可能完全暴露哪里的控制措施失效或哪里需要附加控制措施。在B.4.2到B.4.7中給出了其他的例子

B.4.2日常檢查這些程序應作為正式的業(yè)務過程經(jīng)常進行并設計用來偵測處理結(jié)果的錯誤。他們可能包括：調(diào)整銀行賬戶、資產(chǎn)清點、及解決客戶抱怨。很明確，此類的檢查需要設計的體系里以進行足夠的次數(shù)來限制任何發(fā)生的錯誤造成的損害（及后續(xù)責任）。a)

檢查有沒有無意的和未授權(quán)的對管理軟件活動參數(shù)的改變；b)

確定數(shù)據(jù)在“虛擬公司”的不同網(wǎng)絡部分間傳輸?shù)臏蚀_性和完整性。

B.4.3自治程序自治程序是一個為任何錯誤或失敗在發(fā)生時能被及時發(fā)現(xiàn)而建立的控制措施。例如，一個監(jiān)控網(wǎng)絡（如：設備故障或錯誤）的設備并鳴響警鈴。警鈴能夠提醒負責的員工問題的所在，使他們能查清事故原因并修復它。但在一段時間內(nèi)如果總是不能被糾正，另外的警鈴會對更高層的管理者鳴響，因此自動升級問題。

B.4.4從其它處學習一種確定組織的程序不夠好的方法是識別其他組織處理問題是否更有效。這種學習適用于技術(shù)軟件和管理活動。有很多來源識別在技術(shù)和軟件中的脆弱性。組織應經(jīng)常參考這些并對他們的軟件進行適當?shù)母隆９芾砑记傻男畔?jīng)常在很多管理論壇上交流和討論，包括會議，執(zhí)業(yè)協(xié)會，和使用者小組，并有很多文件發(fā)布在技術(shù)和管理雜志上。此類交流使組織能夠?qū)W習怎樣處理類似的問題。

B.4.5內(nèi)部信息安全管理體系審核總的目標是通過在一個特定常規(guī)審核時間段進行檢查（時間不應該超過一年）信息安全管理體系所有的方面是否達到預想的效果。應計劃足夠的審核次數(shù)使審核任務均勻散布在整個的選擇周期。管理層應保證有證據(jù)確認：a）

信息安全方針仍能夠準確地反映業(yè)務需求；b）

使用一個合適的風險評估方法；c）

遵循了文件化的管理程序（即：在信息安全管理體系的范圍內(nèi)），并達到了他們向往的目標；d）

實施了技術(shù)控制措施（如：防火墻，物理訪問控制）等，并正確地配置和像預期的一樣工作；e）

正確地評估了殘余風險而且組織有的管理層仍能接受殘余風險；f）

實施了前一次審核和評審達成一致意見的措施；g）

信息安全管理體系與本標準一致。審核需要目前文件和記錄的樣本及管理層和員工參與會見談話。

B.4.6管理評審總目標是檢查信息安全管理體系的有效性，至少每年一次，以識別需要的改進和要采取的行動。在確定目前的安全狀態(tài)是令人滿意的同時，應注意技術(shù)的變化和業(yè)務需求的變化及新威脅和脆弱點的發(fā)生，以預測信息安全管理體系未來的變化并確保其在未來持續(xù)有效。

B.4.7趨勢分析經(jīng)常進行趨勢分析將幫助組織識別需要改進的領域，并應建立一個持續(xù)改進循環(huán)的基本部分。

B.5改進階段

B.5.1介紹為使信息安全管理體系保持有效，應以在檢查階段采集和信息為基礎經(jīng)常改進。改進活動的目的是采取作為檢查活動的結(jié)果的措施。行動將就不符合項或采取其他的糾正措施如在B.5.2和B.5.3中解釋的。措施可能進一步立刻進入策劃和實施活動。一個前面的例子是當一個新的威脅被識別，策劃活動應更新風險評估。一個后面的例子是把現(xiàn)存的業(yè)務連續(xù)性計劃付諸行動，如果檢查活動識別出需要這樣做。注意作為改進的結(jié)果改變信息安全管理體系或下一步策劃行動，關鍵是所有的相關方被子及時告知所作的改變，并提相應的附加的培訓。

B.5.2不符合項一個不符合項是：（從ISO/IEC指南62條款應用使用指南）a）

缺少，或缺乏有效實施和維護一個或多個