《信息安全管理体系——规范与使用指南(doc33)(1)hcrz.docx》由会员分享,可在线阅读,更多相关《信息安全管理体系——规范与使用指南(doc33)(1)hcrz.docx(70页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ISO7799-2:2002信息安全管理体系 英国标准准BBS77799-2:220022信息安全全管理体体系规范与使使用指南南 目 录前言0 介绍绍01总总则02过过程方法法0 0 3其他他管理体体系的兼兼容性1 范围围11概概要12应应用2标准参参考3名词与与定义4信息安安全管理理体系要要求 41总则则 42建立立和管理理信息安安全管理理体系421建立立信息安安全管理理体系422实施施和运营营(对照照中文IISO990011确认)?信息息安全管管理体系系423监控和和评审信信息安全全管理体体系424维护和和改进信信息安全全管理体体系 43文件化化要求431总则432文件控控制433记录控控
2、制5管理职职责51管管理承诺诺?(对对照中文文ISOO90001确认认)52资资源管理理521资源提提供 522培训、意意识和能能力6信息安安全管理理体系管管理评审审 661总则 662评审输输入?(对对照中文文ISOO90001确认认) 663评审输输出?(对对照中文文IS990011确认)7信息安安全管理理体系改改进 771持续改改进 772纠正措措施 773预防措措施附件A(有有关标准准的)控控制目标标和控制制措施 AA1介绍 AA2最佳实实践指南南 AA3安全方方针 AA4组织安安全 AA5资产分分级和控控制 AA6人事安安全 AA7实体和和环境安安全 AA8通信与与运营安安全 A99
3、访问控控制A100系统开开发和维维护 AA11业务务连续性性管理 AA12符合合附件B(情情报性的的)本标标准使用用指南B1概况况 B.1.11PDCCA模型型 B.1.22计划与与实施 B.1.33检查与与改进 B.1.44控制措措施小结结B2计划划阶段 B.2.11介绍 B.2.22信息安安全方针针 B.2.33信息安安全管理理体系范范围 B.2.44风险识识别与评评估 B22.5风风险处理理计划B3实施施阶段 B.3.11介绍 B.3.22资源、培培训和意意识 B.3.33风险处处理B4实施施阶段 B.4.11介绍 B.4.22常规检检查 B.4.33自我监监督程序序 B.4.44从其它
4、它事件中中学习 B.4.55审核 B.4.66管理评评审 B.4.77趋势分分析B5改进进阶段 B.5.11介绍 B.5.22不符合合项 B.5.33纠正和和预防措措施 B.5.44OECCD原则则和BSS77999-22附件C(情报)IISO990011:20000、ISOO140001与与BS777999-2:20002条款款对照0 介介绍01 总则本标准的的目的是是为管理理者和他他们的员员工们提提供建立立和管理理一个有有效的信信息安全全管理体体系(信信息安全全管理体体系)有有模型。采采用信息息安全管管理体系系应当是是一项组组织的战战略决策策。一个个组织信信息安全全管理体体系的设设计和实实
5、施受运运营需求求、具体体目标、安安全需求求、所采采用的过过程及该该组织的的规模和和结构的的影响。上上述因素素和他们们的支持持过程会会不断发发生变化化。希望望简单的的情况使使用简单单的信息息安全解解决方案。本标准能能用于内内部、外外部包括括认证组组织使用用,评定定一个组组织符合合其本身身的需要要及客户户和法律律的要求求的能力力。02过过程方法法本标准鼓鼓励采用用过程的的方法建建立、实实施、和和改进组组织的信信息安全全管理体体系的有有效性。为使组织织有效动动作,必必须识别别和管理理众多相相互关联联的活动动。通过过使用资资源和管管理,将将输入转转化为输输出的活活动可视视为过程程。通常常,一个个过程的
6、的输出直直接形成成了下一一个过程程的输入入。组织内诸诸过程的的系统的的应用,连连同这些些过程的的识别和和相互作作用及其其惯例,课课程只为为:“过程方方法”。过程的方方法鼓励励使用者者强调以以下方面面的重要要性:a) a) 理解业业务动作作对信息息安全的的需求和和建立信信息安全全方针和和目标的的需要;b) b) 在全面面管理组组织业务务风险的的环境下下实施和和动作控控制措施施;c) c) 监控和和评审信信息安全全管理体体系的有有效性和和绩效;d) d) 在客观观的测量量,持续续改进过过程。本标准采采用的模模型就是是说众所所周知的的“Plaan策划划-Doo实施-CChecck检查查-Acct处置
7、置”(PDCCA)模模型,适适用于所所有信息息安全管管理体系系的过程程。图一一展示信信息安全全管理体体系怎样样考虑输输入利益益相关方方的住处处安全需需求和期期望,通通过必要要的行动动措施和和过程,产产生信息息安全结结果(即即:管理理状态下下的信息息安全),满满足那些些需要和和期望。图图一同时时展示了了4、5、6和7章中所所提出的的过程联联系。例1一个需求求是信息息安全事事故不要要引起组组织的财财务损失失和/或引起起高层主主管的尴尴尬。例2一个期望望可以是是如果严严重的事事故发生生-如:组组织的电电子商务务网站被被黑客入入侵将有被被培训过过的员工工通过适适用的程程序减少少其影响响。注:名词词“程
8、序”,从传传统来讲讲,用在在信息安安全方面面意味着着员工工工作的过过程,而而不是计计算机或或其它电电子概念念。PDCAA模型应应用与信信息安全全管理体体系过程程 计计划PLLAN 建立ISMS 相关单位管理状态下的信息安全相关单位 信息安全需求和期望 实施和运作ISMS维护和改进ISMS实施 改进 监控和评审ISMS用 DO ACCTIOON检查CCHECCK计划(建建立信息息安全管管理体系系) 建立立与管理理风险和和改进信信息安全全有关的的安全方方针、目目标、目的的、过程程和程序序,以达达到与组组织整体体方针和和 目标相相适应的的结果。 实施(实实施和动动作信息息安全管管理体系系 实实施和动
9、动作信息息安全方方针、控控制措施施、过程程和程序序。 检查(监监控和评评审信息息安全管管理体系系) 针对对安全方方针、目目标和实实践经验验等评审审和(如如果适用用) 职测量量过程的的绩效并并向管理理层报告告结果供供评审使使用。 改进(维维护和改改进信息息安全管管理体系系) 在管管理评审审的结果果的基础础上,采采取纠正正和预防防措施以以 持续改改进信息息安全管管理体系系。 03与与其他管管理体系系标准的的兼容性性本标准与与ISOO90001:20000与ISOO169949:19996相结结合以支支持实施施和动作作安全体体系的一一致性和和整合。在附件CC中以表表格显示示BS777999,ISOO
10、140001各各部分不不同条款款间的对对应关系系,本标标准使组组织能够够联合或或整合其其信息安安全管理理体系及及相关管管理体系系的要求求。 1 范围11概概要本标准提提供在组组织整个个动作风风险的环环境下建建立、实实施、动动作、监监控、评评审、维维护和改改进一个个文件化化的信息息安全管管理体系系的模型型。它规规范了对对定制实实施安全全控制措措施以适适应不同同组织或或相关部部分的需需求。(附附录B提供使使用规范范的指南南)。信息安全全管理体体系保证证足够的的和成比比例的安安全控制制措施以以充分保保护信息息资产并并给与客客户和其其他利益益相关方方信心。这这将转化化为维护护和提高高竞争优优势、现现金
11、流、羸羸利能力力、法律律符合和和商务形形象。12应应用本标准规规定的所所有要求求是通用用的,旨旨在适用用于各种种类型、不不同规模模和提供供不同产产品的组组织。当本标准准的任何何要求因因组织及及其产品品的特点点而不适适用时,可可以考虑虑对其进进行删减减。除非删减减不影响响组织的的能力、和和/或责任任提供符符合由风风险评估估和适用用的法律律确定的的信息安安全要求求,否则不能能声称符符合本标标准。任任何能够够满足风风险接受受标准的的删减必必须证明明是正当当的并需需要提供供证据证明相关关风险被被负责人人员正当当地接受受。对于于条款44,5,6和7的要求求的删减减不能接接受。2引用标标准 ISSO900
12、01:20000质量量管理体体系-要求 ISSO/IIEC1177999:20000信息息技术信息安安全管理理实践指指南 ISSO指南南73:20001风险险管理指指南-名词3名词和和定义从本英国国标准的的目的出出发,以以下名词词和定义义适用。31可可用性 保证被被授权的的使用者者需要时时能够访访问信息息及相关关资产。BS ISO/IEC17799:200032保保密性保证信息息只被授授权的人人访问。BS ISO/IEC17799:200033信信息安全全安全保护护信息的的保密性性、完整整性和可可用性34信信息安全全管理体体系(信信息安全全管理体体系)是整个管管理体系系的一部部分,建建立在运运
13、营风险险的方法法上,以以建立、实实施、动动作、监监控、评评审、维护和改改进信息息安全。注:管理理体系包包括组织织的架构构、方针针、策划划活动、职职责、实实践、程程序、过过程和资资源。35完完整性保护信息息和处理理方法的的准确和和完整。BS ISO/IEC17799:200036风风险接受受接受一个个风险的的决定ISOO Guuidee 73337风风险分析析系统地使使用信息息识别来来源和估估计风险险ISSO GGuidde 77338风风险评估估风险分析析和风险险评价的的整个过过程IISO Guiide 7339风风险评价价把估计风风险与给给出的风风险标准准相比较较,确定定风险严严重性的的过程
14、。ISO Guide 733100风险管管理指导和控控制组织织风险的的联合行行动3111风险处处理选择和实实施措施施以更改改风险的的处理过过程IISO Guiide 733122适用性性声明描述适用用于组织织的信息息安全管管理体系系范围的的控制目目标和控控制措施施。这些些控制目目标和控控制措施施是建立立在风险险评估和和处理过过程的结结论和结结果基础础上。4信息息安全管管理体系系要求41总总要求组织应在在整体业业务活动动和风险险的环境境下建立立、实施施、维护护和持续续改进文文件化的的信息安安全管理理体系。为满足该该标准的的目的,使使用的过过程建立立在图一一所示的的PDCCA模型型基础上上。42建
15、建立和管管理信息息安全管管理体系系421建立信信息安全全管理体体系组织应:a) a) 应用业业务的性性质、组组织、其其方位、资资产和技技术确定定信息安安全管理理体系的的范围。b) b) 应应用组织织的业务务性质、组组织、方方位、资资产和技技术确定定信息安安全管理理体系的的方针,方针应:1) 1) 包括为为其目标标建立一一个框架架并为信信息安全全活动建建立整体体的方向向和原则则。2) 2) 考考虑业务务及法律律或法规规的要求求,及合合同的安安全义务务。3) 3) 建建立组织织战略和和风险管管理的环环境,在在这种环环境下,建建立和维维护信息息安全管管理体系系。4) 4) 建建立风险险评价的的标准和
16、和风险评评估定义义的结构构。5) 5) 经经管理层层批准c) c) 确定风风险评估估的系统统化的方方法识别适用用于信息息安全管管理体系系及已识识别的信信息安全全、法律律和法规规的要求求的风险险评估的方法。为为信息安安全管理理体系建建立方针针和目标标以降低低风险至至可接受受的水平平。确定接受受风险的的标准和和识别可可接受风风险的水水平见5.11fd) d) 确定风风险:1) 1) 在信息息安全管管理体系系的范围围内,识识别资产产及其责责任人2) 2) 识别对对这些资资产的威威胁3) 3) 识别可可能被威威胁利用用的脆弱弱性4) 4) 别资产产失去保保密性、完完整性和和可用性性的影响响e) e)
17、评价风风险1) 1) 评估由由于安全全故障带带来的业业务损害害,要考考虑资产产失去保保密性、完完整性和和可用性性的潜在在后果;2) 2) 评估与与这些资资产相关关的主要要威胁、脆脆弱点和和影响造造成此类类事故发发生的现现实的可可能性和和现存的的控制措措施;3) 3) 估计风风险的等等级4) 4) 确定介介绍风险险或使用用在c中建立立的标准准进行衡衡量确定定需要处处理;f) f) 识别别和评价价供处理理风险的的可选措措施:可能的行行动包括括:1) 1) 应用合合适的控控制措施施2) 2) 知道并并有目的的地接受受风险,同同时这些些措施能能清楚地地满足组组织方针针和接受受风险的的标准3) 3) 避
18、免风风险;4) 4) 转移相相关业务务风险到到其他方方面如:保险业业,供应应商等。g) g) 选择控控制目标标和控制制措施处处理风险险: 应应从本标标准附件件A中列出出的控制制目标和和控制措措施,选选择应该该根据风风险评估估和风险险处理过过程的结结果调整整。注意:附附件A中列出出的控制制目标和和控制措措施,作作为本标标准的一一部分,并并不是所所有的控控制目标标和措施施,组织织可能选选择另加加的控制制措施。h) h) 准备一一份适用用性声明明。从上上面4.2.11(g)选择择的控制制目标和和控制措措施以及及被选择择的原因因应在适适用性声声明中文文件化。从从附件AA中剪裁裁的控制制措施也也应加以以
19、记录;i) i) 提提议的残残余风险险应获得得管理层层批准并并授权实实施和动动作信息息安全管管理体系系。422实施和和运作信信息安全全管理体体系组织应:a) a) 识别合合适的管管理行动动和确定定管理信信息安全全风险的的优先顺顺序(即即:风险险处理计计划)-见条条款5;b) b) 实施风风险处理理计划以以达到识识别的控控制目标标,包括括对资金金的考虑虑和落实实安全角角色和责责任。c) c) 实施在在4.22.1(g)选择择的控制制目标和和措施d) d) 培训和和意识见5.22.2;e) e) 管理动动作过程程;f) f) 管理理资源见5.22;g) g) 实施程程序和其其他有能能力随时时探测和
20、和回应安安全事故故的控制制措施。423监控和和评审信信息安全全管理体体系组织应:a) a) 执行监监控程序序和其他他控制措措施,以以:1) 1) 实时探探测处理理结果中中的错误误;2) 2) 及时识识别失败败和成功功的安全全破坏和和事故;3) 3) 能够使使管理层层确定分分派给员员工的或或通过信信息技术术实施的的安全活活动是否否达到了了预期的的目标;4) 4) 确定解解决安全全破坏的的行动是是否反映映了运营营的优先先级。b) b) 进行常常规的信信息安全全管理体体系有效效性的评评审(包包括符合合安全方方针和目目标,及及安全控控制措施施的评审审)考虑虑安全评评审的结结果、事事故、来来自所有有利益
21、相相关方的的建议和和反馈;c) c) 评审残残余风险险和可接接受风险险的水平平,考虑虑以下方方面的变变化:1) 1) 组织2) 2) 技术3) 3) 业务目目标和过过程4) 4) 识别威威胁5) 5) 外部事事件,如如:法律律、法规规的环境境发生变变化或社社会环境境发生变变化。d) d) 在计划划的时间间段内实实施内部部信息安安全管理理体系审审核。e) e) 经常进进行信息息安全管管理体系系管理评评审(至至少每年年评审一一次)以以保证信信息安全全管理体体系的范范围仍然然足够,在在信息安安全检查查管理体体系过程程中的改改进措施施已被识识别(见见条款66信息安安全管理理体系的的管理评评审);f)
22、f) 记录录所采取取的行动动和能够够影响信信息安全全管理体体系的有有效性或或绩效性性的事件件见4.33.4。424维护和和改进信信息安全全管理体体系组织应经经常:a) a) 实施已已识别的的对于信信息安全全管理体体系的改改进措施施b) b) 采取合合适的纠纠正和预预防措施施应用从从其他组组织的安安全经验验和组织织内学到到的知识识。c) c) 沟通结结果和行行动并得得到所有有参与的的相关方方的同意意。d) d) 确保改改进行动动达到了了预期的的目标。43文文件要求求431总则信息安全全管理体体系文件件应包括括:a) a) 文件化化的安全全方针文文件和控控制目标标;b) b) 信息安安全管理理体系
23、范范围见4.22.1和程序序及支持持信息安安全管理理体系的的控制措措施c) c) 风险评评估报告告见4.22.1;d) d) 风险处处理计划划;e) e) 组织需需要的文文件化的的程序以以确保存存有效地地计划运运营和对对信息安安全过程程的控制制见6.11f) f) 本标标准要求求的记录录见4.33.4;g) g) 适用性性声明注1:当当本标准准中出现现“文件化化的程序序”,这意意味着建建立、文文件化、实实施和维维护该程程序。注2:SSeeIISO990011注3:文文件和记记录可以以用多形形式和不不同媒体体。432文件控控制信息安全全管理体体系所要要求的文文件应予予以保护护和控制制。应编编制文
24、件件化的程程序,以以规定以以下方面面所需的的控制:a) a) 文件发发布前得得到批准准,以确确保文件件的充分分性;b) b) 必要时时对文件件进行评评审与更更新,并并再次批批准;c) c) 确保文文件的更更改和现现行修订订状态得得到识别别;d) d) 确保在在使用处处可获得得适用文文件夹的的有关版版本;e) e) 确保文文件夹保保持清晰晰、易于于识别;f) f) 确保保外来文文件的发发放在控控制状态态下;g) g) 确保文文件的发发放在控控制状态态下;h) h) 防止作作废文件件的非预预期使用用;i) i) 若若因任何何原因而而保留作作废文件件时,对对这些文文件进行行适当的的标识。433记录控
25、控制应建立并并保持记记录,以以提供符符合要求求和信息息安全管管理体系系的有效效运行的的证据。记记录应当当被控制制。信息安全全管理体体系应考考虑任何何有关的的法律要要求。记记录应保保持清晰晰、易于于识别和和检索。应应编制形形成文件件的程序序,以规规定记录录的标识识、储存存、保护护、检索索、保存存期限和和处置所所需的控控制。需需要一个个管理过过程确定定记录的的程度。应保留44.2概概要的过过程绩效效记录和和所有与与信息安安全管理理体系有有关的安安全事故故发生的的记录。举例记录的例例子如:访问者者的签名名簿,审审核记录录和授权权访问记记录。5管理职职责51管管理承诺诺管理层应应提供其其承诺建建立、实
26、实施、运运行、监监控、评评审、维维护和改改进信息息安全管管理体系系的证据据,包括括:a) a) 建立信信息安全全方针;b) b) 确保建建立信息息安全目目标和计计划;c) c) 为信息息安全确确立职位位和责任任;d) d) 向组织织传达达达到信息息安全目目标和符符合信息息安全方方针的重重要性、在在法律条条件下组组织的责责任及持持续改进进的需要要。e) e) 提供足足够的资资源以开开发、实实施,运运行和维维护信息息安全管管理体系系见5.22.1;f) f) 确定定可接受受风险的的水平;g) g) 进行信信息安全全管理体体系的评评审见条款款6。52资资源管理理521提供资资源组织将确确定和提提供所
27、需需的资源源,以:a) a) 建立、实实施、运运行和维维护信息息安全管管理体系系;b) b) 确保信信息安全全程序支支持业务务要求;c) c) 识别和和强调法法律和法法规要求求及合同同的安全全义务;d) d) 正确地地应用所所有实施施的控制制措施维维护足够够的安全全;e) e) 必要时时,进行行评审,并并适当回回应这些些评审的的结果;f) f) 需要要时,改改进信息息安全管管理体系系的有效效性。522培训,意意识和能能力 组组织应确确保所有有被分配配信息安安全管理理体系职职责的人人员具有有能力履履行指派派的任务务。组织织应:a) a) 确定从从事影响响信息安安全管理理体系的的人员所所必要的的能
28、力;b) b) 提供能能力培训训和必要要时,聘聘用有能能力的人人员满足足这些需需求;c) c) 评价提提供的培培训和所所采取行行动的有有效性;d) d) 保持教教育、培培训、技技能、经经验和资资格的记记录见4.33.3组织应确确保所有有相关的的人员知知道他们们信息安安全活动动的适当当性和重重要性以以及他们们的贡献献怎样达达成信息息安全管管理目标标.6 信息息安全管管理体系系的管理理评审61总总则管理层应应按策划划的时间间间隔评评审组织织的信息息安全管管理体系系,以确保保其持续续的适宜宜性、充充分性和和有效性性。评审审应包括括评价信信息安全全管理体体系改进进的机会会和变更更的需要要,包括括安全方
29、方针和安安全目标标。评审审的结果果应清楚楚地文件件化,应应保持管管理评审审的记录录见4.33.362评评审输入入管理评审审的输入入应包括括以下方方面的信信息:a) a) 信息安安全管理理体系审审核和评评审的结结果;b) b) 相关方方的反馈馈;c) c) 可以用用于组织织改进其其信息安安全管理理体系绩绩效和有有效性的的技术,产产品或程程序;d) d) 预防和和纠正措措施的状状况;e) e) 以前风风险评估估没有足足够强调调的脆弱弱性或威威胁;f) f) 以往往管理评评审的跟跟踪措施施;g) g) 任何可可能影响响信息安安全管理理体系的的变更;h) h) 改进的的建议。63评评审输出出管理评审审
30、的输出出应包括括以下方方面有关关的任何何决定和和措施:a) a) 对信息息安全管管理体系系有效性性的改进进;b) b) 修改影影响信息息安全的的程序,必必要时,回回应内部部或外部部可能影影响信息息安全管管理体系系的事件件,包括括以下的的变更:1) 1) 业务要要求;2) 2) 安全要要求;3) 3) 业务过过程影响响现存的的业务要要求;4) 4) 法规或或法律环环境;5) 5) 风险的的等级和和/或可接接受风险险的水平平;c) c) 资源需需求。64内内部信息息安全管管理体系系审核组织应按按策划的的时间间间隔进行行内部信信息安全全管理体体系审核核,以确确定信息息安全管管理体系系的控制制目标、控
31、控制措施施、过程程和程序序是否:a) a) 符合本本标准和和相关法法律法规规的要求求;b) b) 符合识识别的信信息安全全的要求求;c) c) 被有效效地实施施和维护护;d) d) 达到预预想的绩绩效。任何审核核活动应应策划,策策划应考考虑过程程的状况况和重要要性,审审核的范范围以及及前次审审核的结结果。应应确定审审核的标标准,范范围,频频次和方方法。选选择审核核员及进进行审核核应确认认审核过过程的客客观和公公正。审审核员不不应审核核他们自自己的工工作。应在一个个文件化化的程序序中确定定策划和和实施审审核,报报告结果果和维护护记录见4.33.3的责任任及要求求.负责被审审核区域域的管理理者应确
32、确保没有有延迟地地采取措措施减少少被发现现的不符符合及引引起不合合格的原原因。改进措施施应包括括验证采采取的措措施和报报告验证证的结果果见条款款7。7信息安安全管理理体系改改进71持持续改进进组织应通通过使用用安全方方针、安安全目标标、审核核结果、对对监控事事件的分分析、纠纠正和预预防措施施和管理理评审的的信息持持续改进进信息安安全管理理体系的的有效性性。72纠纠正措施施组织应确确定措施施,以消消除与实实施和运运行信息息安全管管理体系系有关的的不合格格的原因因,防止止不合格格的再发发生。应应为纠正正措施编编制形成成文件的的程序,确确定以下下的要求求:a) a) 识别实实施或运运行信息息安全管管
33、理体系系中的不不合格;b) b) 确定不不合格的的原因;c) c) 评价确确保不合合格不再再发生的的措施的的需求;d) d) 确定和和实施所所需的纠纠正措施施;e) e) 记录所所采取措措施的结结果见4.33.3;f) f) 评审审所采取取的纠正正措施。73预预防措施施组织应针针对潜在在的不合合格确定定措施以以防止其其发生。预预防措施施应于潜潜在问题题的影响响程序适适应。应应为预防防措施编编制形成成文件的的程序,以以规定以以下方面面的要求求:a) a) 识别潜潜在的不不合格及及引起不不合格的的原因;b) b) 确定和和实施所所需的预预防措施施;c) c) 记录所所采取措措施的结结果见4.33.
34、3;d) d) 评价所所采取的的预防措措施;纠正措施施的优先先权应以以风险评评估的结结果为基基础确定定。注:预防防不合格格的措施施总是比比纠正措措施更节节约成本本。附录A(引引用)控制目标标和控制制措施A1介介绍从A.33到A.112列出出的控制制目标和和控制措措施是直直接引用用并与BBS IISO/IECC 1777999:20000条条款3到12一致致。一表表中的清清单并不不彻底,一一个组织织可能考考虑另外外必要的的控制目目标和控控制措施施。在这这些表中中选择控控制目标标和控制制措施是是条款44.2.1规定定的信息息安全管管理体系系过程的的一部分分。A2实实践指南南规范BS IISO/IE
35、CC 1777999:20000条款款3至12提供供最佳实实践的实实施建议议和指南南以支持持A.33到A.112规范范的控制制措施。A.3安安全方针针BS IISO/IECC 177999:220000编号A.3.1信息息安全方方针控制目标标:提供供管理方方向和支支持信息息安全3.1控制措施施A.3.1.11信息安全全方针文文件管理层应应提供一一份方针针方件,出版并并在适当当时,沟通给给所有员员工。3.1.1A.3.1.22评审和评评价应经常评评审方针针文件,尤其在在发生决决定性的的变化时时,确保方方针的适适宜性3.1.2A.4组组织安全全BS IISO/IECC 177999:220000编
36、号A.4.1信息息安全基基础设施施控制目标标:在组组织中管管理信息息安全4.1控制措施施A.4.1.11信息安全全管理委委员会信息安全全管理委委员会确确保明确确的目标标和管理理层对启启动安全全管理可可见的支支持。管管理委员员会应通通过适当当的承诺诺和充足足的资源源推广安安全4.1.1A.4.1.22信息安全全协作在大的组组织中,应应使用一一个由从从各组织织相关单单位的管管理者代代表组成成的跨功功能的委委员会,协协作实施施信息安安全控制制措施。4.1.2A.4.1.33落实信息息安全责责任应明确定定保护每每种资产产和负责责特定安安全过程程的责任任4.1.3A.4.1.55对信息处处理设施施的授权
37、权过程应建立对对于新的的信息处处理设施施的管理理授权过过程4.1.4A.4.1.55专家信息息安全建建议应从内部部或外部部搜集专专家的信信息安全全建议并并在组织织内部实实施协作作4.1.5A.4.1.66组织间的的合作应与执法法机关、主主管机关关、信息息服务提提供者,及及通信业业者维持持适当的的接触4.1.6A.4.1.77独立的信信息安全全审查应对信息息安全方方针的实实施进行行独立的的审查4.1.7A.4.2第三三方访问问的安全全控制目标标:维护护组织的的信息处处理设施施及信息息资产被被第三方方访问时时的安全全4.2控制措施施A.4.2.11确认第三三方访问问的风险险应对第三三方访问问组织的
38、的信息处处理设施施所带来来的风险险进行评评估,并并实施适适当的安安全控制制4.2.1A.4.2.22与第三方方合约中中的安全全要求涉及第三三方访问问组织的的信息处处理设施施的安排排,应以以包含必必要的安安全要求求在内的的正式合合约为基基础。4.2.2A.4.3外包包控制目标标:当信信息处理理的责任任委托其其他组织织时,应应维护信信息的安安全4.3A.4.3.11外包合约约中的安安全要求求当组织将将全部或或部分的的信息系系统、网网络,及及/或桌面面计算机机环境的的管理及及控制外外包时,在在双方同同意的合合约中应应载明安安全的要要求。.4.33.1A5资资产分类类与控制制BS IISO/IECC
39、177999:220000编号A.5.1资产产的保管管责任控制目标标:维持对对于组织织的资产产的适切切保护5.1控制措施施A.5.1.11资产的清清单应列出并并维护一一份与每每个信息息系统有有关的所所有重要要资产的的清单5.1.1A.5.2信息息分类控制目标标:确保保信息资资产受到到适当程程度的保保护控制措施施A.5.2.11分类原则则信息的分分类及相相关的保保护控制制,应适适合于企企业运营营对于信信息分享享或限制制的需要要,以及及这些需需要对企企业运营营所带来来的冲击击5.2.1A.5.2.22信息的标标识及处处理应制定信信息标识识及处理理的程序序,以符符合组织织所采行行的分类类法则5.2.
40、2A.6人人事安全全BS IISO/IECC 177999:220000编号A.6.1工作作说明及及人力资资源的安安全控制目标标:降低低因人员员错误、偷偷窃、诈诈欺或不不当使用用设施所所造成的的风险6.1控制措施施A.6.1.11将安全需需求列入入工作职职责中组织在信信息安全全方针中中所规定定的安全全职责及及责任,应应适度地地书面化化于工作作职责说说明书中中6.1.1A.6.1.22人员筛审审及政策策应在招聘聘员工时时执行正正式员工工的验证证查核6.1.2A.6.1.33保密合约约员工应签签署保密密协议作作为其启启始聘用用合同的的一部分分6.1.3A.6.1.44聘用合同同聘用合同同中的应应陈
41、述员员工对信信息安全全的责任任6.1.4A.6.2使用用者培训训控制目标标:确保保员工了了解信息息安全的的威胁及及考虑,并并且具备备在其日日常工作作过程中中支持组组织的信信息安全全方针的的能力6.2控制措施施A.6.2.11信息安全全的教育育与培训训组织的所所有员工工以及相相关的第第三方使使用者,对对于组织织方针及及程序应应接受适适当、定定期更新新的训练练6.2.1A.6.3安全全及失效效事件的的响应控制目标标:将安安全及失失效事件件所造成成的损害害降到最最小,并并监督此此类事件件,从中中学习6.3A.6.3.11安全事故故报告安全事件件应在事事件被发发现之后后尽快由由适当的的管理途途径进行行通报6.3.1A.6.3.22安