什么是信息(xi)安全國際標準化組織27001
信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
• 保密性:為保障信息僅僅為那些被授權使用的人獲取。
信息的保密性是針對信息被允許訪問( Access )對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據信息的重要性及保密要求分為不同的密級,例如國家根據秘密泄露對國家經濟、安全利益產生的影響(后果)不同,將國家秘密分為秘密、機密和絕密三個等級,組織可根據其信息安全的實際,在符合《國家保密法》的前提下將其信息劃分為不同的密級;對于具體的信息的保密性有時效性,如秘密到期解密等。
• 完整性:為保護信息及其處理方法的準確性和完整性。
信息完整性(xing)(xing)一方(fang)面是(shi)指(zhi)信息在(zai)利(li)用(yong)、傳(chuan)輸、貯存等過程中不被篡改、丟失、缺損等,另一方(fang)面是(shi)指(zhi)信息處理的方(fang)法的正(zheng)確性(xing)(xing)。不正(zheng)當(dang)的操(cao)作,如(ru)誤刪除(chu)文(wen)件(jian),有可能造成重要(yao)文(wen)件(jian)的丟失。
• 可用性:為保障授權使用人在需要時可以獲取信息和使用相關的資產。
信(xin)(xin)(xin)(xin)息(xi)(xi)的(de)可(ke)(ke)用(yong)性(xing)(xing)是指信(xin)(xin)(xin)(xin)息(xi)(xi)及相關的(de)信(xin)(xin)(xin)(xin)息(xi)(xi)資(zi)產(chan)在授權(quan)人需要的(de)時(shi)候,可(ke)(ke)以(yi)立即獲得。例如通(tong)信(xin)(xin)(xin)(xin)線路中斷(duan)故障會造成信(xin)(xin)(xin)(xin)息(xi)(xi)的(de)在一段時(shi)間內不(bu)可(ke)(ke)用(yong),影響正常的(de)商(shang)業運作(zuo),這是信(xin)(xin)(xin)(xin)息(xi)(xi)可(ke)(ke)用(yong)性(xing)(xing)的(de)破(po)壞(huai)。不(bu)同類型的(de)信(xin)(xin)(xin)(xin)息(xi)(xi)及相應資(zi)產(chan)的(de)信(xin)(xin)(xin)(xin)息(xi)(xi)安全在保密(mi)性(xing)(xing)、完整性(xing)(xing)及可(ke)(ke)用(yong)性(xing)(xing)方(fang)面(mian)關注點不(bu)同,如組織(zhi)(zhi)的(de)專有(you)技術(shu)、市場營銷計劃(hua)等商(shang)業秘密(mi)對(dui)組織(zhi)(zhi)來講保守機密(mi)尤其重要;而對(dui)于工業自動控制系統,控制信(xin)(xin)(xin)(xin)息(xi)(xi)的(de)完整性(xing)(xing)相對(dui)其保密(mi)性(xing)(xing)重要得多。
國際標準化組織27001的產生背景和發展歷程
國際標準(zhun)化組織 27001源于英國標準BS7799的第二部分,即BS7799-2 《信息安全管理體系規范》。
英國標準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。BS7799標準于1993年由英國貿易工業部立項,于1995年英國首次出版BS7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定各類信息系統通用控制范圍的唯一參考基準,并且適用于大、中、小組織。
1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。
2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織國際標(biao)準化組織的認可,正式成為國際標準-----國際標準化組織/ 國際電工委員會17799:2000《信息技術—信息安全管理實施細則》。2005年6月,國際標準(zhun)化組織 對國際標準化組織/ 國際電工委員會 17799進行了改版,新版標準為 國際標準化組織/ 國際電工委員會 17799:2005《信息技術—安全技術—信息安全管理實施細則》。
2002年,BSI對BS7799-2:2000《信息安全管理體系規范》進行了改版,發布了BS7799-2:2002《信息安全管理體系規范》。
2005年10月,BS7799-2:2002通過了國際標準化組織國(guo)際標準化(hua)組織的認可,正式成為國際標準?— 國際標準化組織/ 國際電工委員會 27001:2005《信息技術—安全技術—信息安全管理體系要求》。
國際(ji)標準化組(zu)織(zhi) 27001發展歷程簡要歸納如下:
1993年,BS 7799標準由英國貿易工業部立項。
1995年,BS 7799-1《信息安全管理實施細則》首次出版,標準提供了一套綜合的、由信息安全最佳慣例組成的實施細則,其目的是作為確定各類信息系統通用控制范圍的唯一參考基準,并且適用于大、中、小型組織。
1998年,英國公布BS 7799-2《信息安全管理體系規范》,本標準規定信息安全管理體系要求與信息安全控制要求,它是一個組織信息安全管理體系評估的基礎,可以作為認證的依據。
1999年,在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指導下對BS 7799這兩部分進行了修訂和擴展,取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵蓋了以前版本的所有內容,并在原有的基礎上擴展了新的控制,新版本考慮了信息處理技術,尤其是在網絡和通信領域應用的最新發展,例如電子商務、移動計算、遠程工作等領域的控制。
2000年12月,BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織國際標(biao)準化(hua)組織的認可,正式成為國際標準——國際標準化組織/ 國際電工委員會 17799:2000《信息技術—信息安全管理實施細則》。
2002年,為了與其他管理標準協調一致,例如國際標準化組織 9001:2000和國際標(biao)準(zhun)化組織(zhi) 14001:1996,以及引入并應用PDCA過程模式,以建立、實施組織的信息安全管理體系,并持續改進有效性,BSI對BS 7799-2:1999進行了修訂,于2002年9月5日發布BS 7799-2:2002。
2005年6月,國際標準化組(zu)織對國際標準化組織/ 國際電工委員會 17799:2000進行了修訂,發布為 國際標準化組織/ 國際電工委員會 17799:2005《信息技術—安全技術—信息安全管理實施細則》。
2005年10月,BS 7799-2:2002通過了國際標準化組織國(guo)際標準(zhun)化組(zu)織的認可,正式成為國際標準—國際標準化組織/ 國際電工委員會 27001:2005《信息技術—安全技術—信息安全管理體系要求》。
國際標準化組(zu)織(zhi)27001:2005 《信息安全管理體系要求》
國際標(biao)準化組織27001 : 2005 《信息安全管理體系要求》是關于信息安全管理的標準,是標準不是方法,達到這些標準的要求并不難,重要的是用什么方法去實現。企業應將實施標準作為全面改善內部管理的一次機會,不應該將標準做為一種簡單的模式對現有流程運作進行套用,應對現有的組織運作流程進行詳細分析,有針對性地設計并改善現有管理體系、改善薄弱環節、改善運作流程及內部溝通,并有效地將先進的管理思想融合到具體的實施程序中,才能發揮標準的真正作用。
獲(huo)得認證證書不是最終目的(de),建立有(you)責、有(you)序、有(you)效(xiao)、高效(xiao)的(de)信(xin)息安全(quan)管(guan)理體(ti)系,提(ti)高員工的(de)信(xin)息安全(quan)意識,不斷獲(huo)取并(bing)運(yun)用先進(jin)的(de)管(guan)理方法和技術手段才能使企業的(de)信(xin)息安全(quan)管(guan)理水平得以持(chi)續的(de)發展和提(ti)升。
國(guo)際標(biao)準化(hua)組織27001信息安全管理系統標準
在(zai)日(ri)趨網(wang)絡化(hua)的(de)世界里,「信息」對建立競(jing)爭(zheng)優勢起著舉足輕重(zhong)的(de)作(zuo)用。但它(ta)同時也是柄雙刃劍,當(dang)信息被意(yi)外或(huo)刻(ke)意(yi)的(de)傳(chuan)給惡意(yi)的(de)接(jie)收者時,同樣的(de)信息也可能導致一所機構倒閉(bi)。在(zai)當(dang)今的(de)信息時代(dai),科技無疑(yi)為我們(men)解決了不少問題。
國際標準組織(國際標準化組織)應此類需求,制定了國際標準(zhun)化組織27001:2005標準,為如何建立、推行、維持及改善信息安全管理系統提供幫助。信息安全管理系統(ISMS)是高層管理人員用以監察及控制信息安全、減少商業風險和確保保安系統持續符合企業、客戶及法律要求的一個體系。國際標準化組織/ 國際電工委員會 27001:2005 能協助機構保護專利信息,同時也為制定統一的機構保安標準搭建了一個平臺,更有助于提升安全管理的實務表現和增強機構間商業往來的信心與信任。
什么(me)機(ji)構可采用(yong) 國際標準化組織/ 國際電工委員會 27001:2005 標準?
任何使用內部或外部電腦系統、擁有機密資料及/或依靠信息系統進行商業活動地機構,均可采用 國際標準化組織/ 國際電工委員會 27001:2005標準。簡單的說,也就是那些需要處理信息、并認識到信息保護重要性的機構。
國際標準化組織/ 國際電工委員會 27001 的控制目標及措施
國際標準化組織/ 國際電工委員會 27001制定的宗旨是確保機構信息的機密性、完整性及可用性,為達成上述宗旨,該標準共提出了39個控制目標及134項控制措施,推行國際標準化組織/ 國際電工委員會 27001標準的機構可在其中選擇適用于其業務的控制措施,同時也可增加其他的控制措施。而與國際標準化組織/ 國際電工委員會 27001相輔的 國(guo)際標準化組織 17799:2005 標準是信息安全管理的實務守則,為如何推行控制措施提供指引。
國際標(biao)準化組織/ IEC 27001:2005 的架構
國際標準化組織/ IEC 27001:2005 標準在 2005 年 10 月公布,同時取締了多國采納的英國標準BS 7799-2:2002 ,但新舊標準的要求并無太大分別。國際標(biao)準化組(zu)織 / IEC 27001:2005 標準以 Edward Deming 博士提出的“計劃-實施-核查-采取行動”循環周期作為制定藍圖,以實現持續改善的目標。
I. 計劃
計(ji)劃最(zui)重要的部分是設定涵(han)蓋的范(fan)疇及(ji)區域,它可以是:
覆蓋整個組織并涉及多個地點的辦事處及/或廠房
只(zhi)涉及一個(ge)辦事處(chu)或廠房
只涉及一(yi)個多(duo)元化服務供應(ying)商的其中一(yi)個業務
計劃(hua)的主要工作包括信息安(an)全管理系統、風險評(ping)估、風險管理、風險處理措施和適用性報告。
信息安全管理系(xi)統是運營風險(xian)整體管理系(xi)統的其(qi)中一(yi)部(bu)分,目的是建立、實施、推行、檢討、維持及改善(shan)信息安全。
機構在信息的機密性(xing)、完整性(xing)和可(ke)用性(xing)三方(fang)面的目標各是什么呢?什么程度(du)的風險(xian)是可(ke)接(jie)受的?是否存在任何(he)限制,如法律、法規或(huo)機構內部程序?信息安全政策應該(gai)是一份由行政總監(jian)簽署認(ren)可(ke)的文件(jian)。控(kong)制措施應采取由上至下(xia)的推行方(fang)式。
風(feng)(feng)(feng)險(xian)(xian)(xian)評(ping)估 根據(ju)需(xu)要(yao)保護的(de)(de)信息和(he)可(ke)接(jie)受的(de)(de)風(feng)(feng)(feng)險(xian)(xian)(xian)程度(du)來(lai)識別真(zhen)正的(de)(de)風(feng)(feng)(feng)險(xian)(xian)(xian),并就(jiu)這(zhe)些風(feng)(feng)(feng)險(xian)(xian)(xian)出現的(de)(de)可(ke)能性與其影(ying)響的(de)(de)嚴(yan)重性作出評(ping)估,從而辨別出機構需(xu)要(yao)管理的(de)(de)風(feng)(feng)(feng)險(xian)(xian)(xian),即下圖紅色部分內(nei)的(de)(de)風(feng)(feng)(feng)險(xian)(xian)(xian)。
風險管理 / 風險處理
完成(cheng)風(feng)險(xian)評估后,便要決定如何(he)處(chu)理這些風(feng)險(xian)。
適用性報告 (Statement of Applicability)
識別(bie)出所有的保安措施,指(zhi)出哪些對機構而言(yan)是(shi)適用(yong)或不適用(yong)的,并說明原因(yin)。必須(xu)針(zhen)對風(feng)險評估的結(jie)果來選擇控制措施。
II. 實施
選定了控(kong)制措施(shi)后,便(bian)需(xu)(xu)落實推(tui)行,同時(shi)也需(xu)(xu)制定程序以確保(bao)能夠迅速察覺到事故的(de)發生(sheng)并作出回應,并確保(bao)所有(you)員(yuan)工都了解(jie)信息(xi)安全的(de)重要性,且(qie)確保(bao)其接受(shou)了適當的(de)培訓,及(ji)有(you)能力執行他們負責的(de)保(bao)安任(ren)務。此外(wai),還要妥善(shan)管理所需(xu)(xu)的(de)資源。
III. 核查
核(he)查的(de)目的(de)是確保控制(zhi)措施都已推行(xing),并能達到既定的(de)目標。盡管有多種(zhong)可行(xing)的(de)核(he)查方法,但只有內部審核(he)與管理檢討是強制(zhi)性的(de)要求。
IV. 采取行動
最后(hou)便需(xu)對(dui)核查結果采取適當的行動,相關的行動可以是:
修正
預防
改善
總結(jie)
國際標準化組織/ 國際電工委員會 27001:2005 標準為所有行業的機構都提供了一套業務工具,協助其避免信息保安的失誤,從而降低了相應的風險。正式推行國際標準化組織/ 國際電工委員會 27001:2005 并取得有關認證的機構將受益匪淺,以下列舉其中數項:
由于按照國際(ji)標準(zhun)實施(shi)適當的控制措施(shi),機構便能自行將信(xin)息保安的失誤率降至最低(di)
以系(xi)統化的(de)方法(fa)處理(li)符合法(fa)律的(de)問題(ti),從而減(jian)低所需承擔的(de)法(fa)律責(ze)任風險
以系統化的方法計劃及管(guan)理運營的持續(xu)性
增加(jia)客(ke)戶、合作伙(huo)伴和相關人(ren)士對(dui)機構(gou)的信(xin)心
提升營(ying)運(yun)收入,并為機(ji)構(gou)帶來更多商機(ji)
國際標準化組(zu)織27000信息安全風險評估FAQ
為什么要進行信(xin)息安全風險評估?
通過風險(xian)評(ping)(ping)估(gu),你可(ke)以知道組織(zhi)范圍內存(cun)在哪些重要的(de)(de)信息資(zi)產(chan)、信息處理設施及其面臨的(de)(de)威脅,發現技術和管理上的(de)(de)脆弱點(dian),綜合評(ping)(ping)估(gu)現有綜合資(zi)產(chan)的(de)(de)風險(xian)狀(zhuang)況。
什(shen)么是信息安全風險評(ping)估?
風(feng)險(xian)評(ping)估:對(dui)信(xin)息及信(xin)息載體、應用環境等各方面風(feng)險(xian)進行辨識和分析(xi)的過(guo)程,是(shi)對(dui)威脅(xie)、影響、脆弱性(xing)及三(san)者發生(sheng)的可能(neng)性(xing)的評(ping)估。它是(shi)確認安(an)全風(feng)險(xian)及其大小的過(guo)程。
風險評估為管理層確定具體的安全策略,以及在“成本-效益”平衡基礎上做決策服務;風險控制措施為組織實施信息安全的改進提供指導。
信息安(an)全風險評估的實施的主體是(shi)什么?
風險(xian)評估(gu)(gu)(gu)可分為自(zi)(zi)評估(gu)(gu)(gu)和檢查評估(gu)(gu)(gu)兩大類(lei)。自(zi)(zi)評估(gu)(gu)(gu)是由被評估(gu)(gu)(gu)信息系統的擁(yong)有(you)者依(yi)靠(kao)自(zi)(zi)身的力(li)量,對其自(zi)(zi)身的信息系統進行的風險(xian)評估(gu)(gu)(gu)活動(dong)。檢查評估(gu)(gu)(gu)則通(tong)常是被評估(gu)(gu)(gu)信息系統的擁(yong)有(you)者的上級主管(guan)機關(guan)或業(ye)務主管(guan)機關(guan)發起的,旨在依(yi)據(ju)已(yi)經頒布的法規或標準進行的,具有(you)強制意(yi)味的檢查活動(dong),是通(tong)過行政手段加強信息安全的重要(yao)措施。
檢查(cha)評估(gu)應該(gai)是具有(you)(you)一定資質的風(feng)險評估(gu)服(fu)務機構實施的。自評估(gu)可以在信息安全(quan)風(feng)險評估(gu)服(fu)務機構的咨詢、服(fu)務、培訓下,由系統(tong)所有(you)(you)者和評估(gu)服(fu)務機構共同完成。
信息安全風(feng)險評估的政策(ce)依(yi)據(ju)及標準(zhun)依(yi)據(ju)?
國家信息化領導小組《關于加強信息安全保障工作的意見》(中辦發[2003]27號文件)將信息安全風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地,以及銀行、稅務、電力三個行業進行試點,根據試點經驗,各省市建立信息安全風險評估管理制度。
國信辦標準草案(an)《信息安全風(feng)險評(ping)估指(zhi)南》、《信息安全風(feng)險管理指(zhi)南》
NIST SP800-30 《Risk Management Guide for Information Technology Systems》
信息安(an)全風險評(ping)估(gu)包括哪幾個主要實(shi)施階段?
風(feng)險(xian)評估(gu)可以分(fen)為資產(chan)識別、重(zhong)要資產(chan)賦(fu)值、威脅(xie)分(fen)析、脆(cui)弱性識別、風(feng)險(xian)計(ji)算(suan)、風(feng)險(xian)控制(zhi)措施提(ti)出等實(shi)施階段。
信息安全風險評估的主要內容(rong)及(ji)方法?
信息安全風險評估的實(shi)施主(zhu)要有(you)以下內容:
(1)資產識別
(2)資產的安全屬性賦值及權重計算
(3)威脅分析
(4)薄弱點分析
(5)威脅發生可能性及影響分析
(6)風險計算
(7)風險處理計劃制定
風險評估是一項綜合的系統工程(cheng),既(ji)涉及(ji)到技術,又涉及(ji)到管理。風險評估過程(cheng)中既(ji)需要采(cai)用技術的檢(jian)測(ce)手段(duan),又需要進行綜合的歸納、總(zong)結(jie)和分析方法。
風險評估(gu)中資產(chan)價(jia)值(zhi)的(de)判斷(duan)(duan)、威脅判斷(duan)(duan)、安全(quan)事(shi)件造成影響的(de)判斷(duan)(duan)標準(zhun)都需要根(gen)據被(bei)評估(gu)實(shi)際情(qing)況,與(yu)被(bei)評估(gu)方共同確定。
信息安全風險(xian)評估是否會(hui)影響(xiang)系(xi)統的(de)業務(wu)正常(chang)運行?
除針對服務器的漏洞掃描、診斷及滲透性測試外,風險評估不會對系統的業務運行造成影響。即使是滲透性測試,也僅僅是為了驗證漏洞存在給系統可能造成的后果(如文件竊取、控制修改關鍵程序/進程等),而不是以破壞系統為目的。評估人員在執行滲透性測試前,會將詳細的滲透測試方案與用戶交流,包括滲透測試對象、測試強度、可能后果、提前備份等要求,并經用戶認可后方能實施。
信(xin)息安全風險評估的結果形式是什么(me)?
信息安全(quan)風(feng)險評估(gu)(gu)在評估(gu)(gu)過程中(zhong)將生成一系列的風(feng)險評估(gu)(gu)操作記錄,包(bao)括:重要資產列表、脆弱(ruo)性匯總表、資產威(wei)(wei)脅(xie)(xie)識別表、資產威(wei)(wei)脅(xie)(xie)風(feng)險系數表、信息資產綜合風(feng)險值表等,最后將生成三(san)份(fen)評估(gu)(gu)結果(guo):
脆(cui)弱性(xing)評估報(bao)告:以資(zi)產為核心,描述該資(zi)產存(cun)在的薄弱點。
風險評(ping)估報(bao)告(gao):反映了(le)風險評(ping)估整個過程、方法、內(nei)容及風險結果。
風(feng)險處理(li)計劃:針對識別的風(feng)險,提出具體的控(kong)(kong)制目標和控(kong)(kong)制措施。
信息(xi)安全風險評估(gu)的周期(qi)有多(duo)長?
信息(xi)安(an)全風險(xian)評(ping)估沒有(you)確定(ding)的(de)時(shi)間周期,一(yi)般(ban)兩年一(yi)次進行定(ding)期的(de)評(ping)估,但(dan)當組(zu)織新增信息(xi)資產、系統發(fa)生(sheng)(sheng)重(zhong)大變更、業務(wu)流(liu)程發(fa)生(sheng)(sheng)重(zhong)大變化、發(fa)生(sheng)(sheng)嚴(yan)重(zhong)信息(xi)安(an)全事故等情況下應進行風險(xian)評(ping)估。
此外,對系統規劃、擴建(jian)時(shi)也需(xu)要進行風(feng)險評估,為安全需(xu)求、安全策略的(de)制定(ding)提供依據。
信息(xi)安全風險評估(gu)的收費標準?
根據評估(gu)(gu)對象的不(bu)同而不(bu)同。風(feng)(feng)險評估(gu)(gu)的對象可以(yi)是:單個獨(du)立(li)的信(xin)息系統、支持(chi)組織(zhi)業務(wu)的整體信(xin)息處理(li)環境、整個組織(zhi)范圍。信(xin)息安全風(feng)(feng)險評估(gu)(gu)的費用(yong)主要依據以(yi)下幾個方(fang)面(mian)進行核算:
網(wang)絡規模
聯網單(dan)位或(huo)客戶端抽樣比例
被評(ping)估系統的多(duo)少
被(bei)評估信(xin)息(xi)設備的多(duo)少
被評(ping)估的組織范圍大小
國(guo)際標(biao)準化組織27001與國際標準化組織(zhi)9001:2000、國際標(biao)準化組織14001:2004關系對照
本標(biao)準 | 國(guo)際(ji)標(biao)準化組織 9001:2000 | 國際標準化(hua)組織(zhi) 14001:2004 |
0引言0.1總則0.2過程(cheng)方法 0.3與其他管理(li)體(ti)系的兼容(rong)性 | 0 引言0.1總則0.2過(guo)程方(fang)法0.3 與國(guo)際標(biao)準化組織 9004的關系0.4與其他(ta)管理體系的兼(jian)容性(xing) | 引言(yan) |
1 范圍1.1 總則(ze)1.2 應用 | 1 范圍(wei)1.1 總則1.2 應用 | 1 范(fan)圍 |
2 引用標準(zhun) | 2 引用標準 | 2 引用(yong)標準 |
3 術語(yu)和定(ding)義 | 3 術(shu)語和定義 | 3 術(shu)語和定義(yi) |
4 ISMS 要求(qiu)4.1 總要求(qiu)4.2 建立和管理ISMS4.2.1 建立ISMS4.2.2 實(shi)施和運作(zuo)ISMS4.2.3 監視和(he)評審ISMS4.2.4 保(bao)持和改進(jin)ISMS | 4 QMS 要求4.1 總要求 8.2.3 過程的監視和測量8.2.4 產品的(de)監視和測量(liang) | 4 EMS 要求4.1 總要求 4.4 實施和運行4.5.1 監視和測量(liang) 4.5.2不合格和糾正措(cuo)施與(yu)預(yu)防(fang)措(cuo)施 |
4.3 文件要求4.3.1 總則 4.3.2 文(wen)件控制4.3.3 記錄控(kong)制 | 4.2 文件要求4.2.1 總則4.2.2 質量手(shou)冊4.2.3 文件(jian)控制(zhi)4.2.4 記錄控制 | 4.4.5 文件控制4.5.4 記錄控制 |
5管理職責5.1 管理承諾 | 5 管(guan)理(li)職責(ze)5.1 管理承(cheng)諾5.2 以顧客為中心(xin)5.3 質量方針5.4 策劃(hua)5.5 職責、權限(xian)和(he)溝通 | 4.2 環境方針4.3 策劃 |
5.2 資源管理5.2.1 資源(yuan)提供 5.2.2 培訓、意(yi)識和能力 | 6 資源管理(li)6.1 資源的提供(gong)6.2 人力資源6.2.2 能(neng)力、意識(shi)和培訓6.3 基礎(chu)設施6.4 工作環(huan)境 | 4.2.2培訓(xun)、意識和(he)能力(li) |
6 內部(bu)ISMS審核 | 8.2.2 內部(bu)審核 | 4.5.5 內部審核(he) |
7 ISMS的管理評審7.1 總則7.2 評審(shen)輸入7.3 評(ping)審輸出 | 5.6 管(guan)理評審5.6.1 總則5.6.2 評審輸入(ru)5.6.3 評審輸出 | 4.6管理評審(shen) |
8 ISMS改進8.1 持續(xu)改進8.2 糾(jiu)正措(cuo)施 | 8改進(jin)8.5.1 持續改(gai)進(jin)8.5.2 糾正措(cuo)施 | 4.5.3 不合格(ge),糾正措施和(he)預防(fang)措施 |
8.3 預防措施 | 8.5.3 預防措(cuo)施(shi) | |
附錄A 控制(zhi)目標和控制(zhi)措施(shi)附錄B OECD原則和本(ben)標準附錄C 國(guo)際標準(zhun)化(hua)組織 9001:2000, 國際標準化組織 14001:2004和本標準之(zhi)間的對照 | 附 A 國(guo)際(ji)標準化(hua)組織 9001:2000 和國際標(biao)準化組織 14001:1996之間的(de)對照(zhao) | 附(fu)錄A 本標(biao)準(zhun)使用指南(nan) 附B 國際標準化(hua)組織14001:2004 和國際標準化(hua)組織 9001:2000之間的對照 |