��Ůɫͼ,99�þ��뾫Ʒϵ��

BS7799標準概述：

1995 年，英國貿工部根據英國國內企業對(dui)信息安(an)全日益高(gao)漲(zhang)的(de)呼聲，組織大企業的(de)信息安(an)全經理們，制定了世界上第一個(ge)信息安(an)全管理體系(xi)標準(zhun) BS7799-1 ： 1995 《信息安(an)全管理(li)實(shi)施(shi)規則》，作(zuo)為工(gong)商業和(he)大、中、小型(xing)組織實(shi)施(shi)信息安(an)全管理(li)的指(zhi)南。由于該標準(zhun)采用(yong)建議和(he)指(zhi)導(dao)方式編寫，因而不宜作(zuo)為認證標準(zhun)使用(yong)。
1998 年，為(wei)了(le)適(shi)應第三方(fang)認(ren)證(zheng)的(de)需(xu)要，英(ying)國又(you)制定了(le)第一(yi)個信息安全管(guan)理體系(xi)認(ren)證(zheng)標準 --BS7799-2 ： 1998 《信(xin)息(xi)安全管理(li)體系規范》，作(zuo)為(wei)對一(yi)個組織的(de)(de)全面(mian)或部分信(xin)息(xi)安全管理(li)體系進行評審認證的(de)(de)依據標準。
1999 年(nian)，鑒于計算機和信息處理技(ji)術，尤其是網絡(luo)和通信領域應用(yong)的(de)迅(xun)速發展，英國又對信息安全(quan)管理體系標準進行了(le)修訂。修訂后的(de) ;BS7799-1 ： 1999 和 BS7799-2 ： 1999 分別取代(dai)了 BS7799-1 ： 1995 和(he) BS7799-2 ： 1998 。新修訂的(de) 1999 版(ban)標(biao)準進一步強調了組織在商務工作中所涉及的信(xin)息(xi)安全和(he)信(xin)息(xi)安全責任(ren)。 BS7799-1 ： 1999 和(he) BS7799-2 ： 1999 是一對(dui)配套標(biao)準(zhun)， BS7799-1 ： 1999 為如(ru)何(he)建立和實施(shi)符(fu)合 BS7799-2 ： 1999 標準(zhun)要求的(de)(de)信息安(an)全管理體系提供了最佳的(de)(de)應用建議。
2000 年 12 月， BS7799-1 ： 1999 已經被(bei) 國際(ji)標準化組織(zhi)/IEC 正式(shi)采納成為國際標(biao)準 -- 國際(ji)標(biao)準(zhun)化(hua)組織/IEC 17799 ： 2000 《信息(xi)技術—信息安全(quan)管理(li)實施規則》，另外， BS7799-2 ： 1999 也即將于 2002 年底(di)被國際標準(zhun)化組織(zhi)/IEC 作為藍本修訂后成為可用于(yu)認(ren)證的國際標準化組織(zhi)/IEC 的《信息安全管理體系規范》。

BS7799的信息管理過程：
        ①確定信息安全管理方針。
        ②確定 ISMS( 信息安全管理體系) 的范圍
        ③進行風險分析。
        ④選擇控制目標并進行控制。
        ⑤建立業務持續計劃。
        ⑥建立并實施安全管理體系。

信息安(an)全認證是實現信息安(an)全目(mu)標的最佳途(tu)徑(jing)：

        BS7799-2：2002信息安全管理體系規范向組織提出了一系列認證的要求，在總則中提出組織應建立并保持一個文件化的信息安全管理體系，闡述被保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證等級；通過建立管理架構并加以實施來達到識別控制目標和控制方式，并形成文件和記錄。

        BS7799-2：2002的控制細則包括10個方面：　
安全(quan)方針(zhen)：為信息安全(quan)提供管(guan)理指(zhi)導和支持；
組織(zhi)安全(quan)：建(jian)立(li)信息(xi)安全(quan)架構，保(bao)證(zheng)組織(zhi)的內部管理；被第三方訪(fang)問或外協時，保(bao)障組織(zhi)的信息(xi)安全(quan)；
資產(chan)(chan)的(de)歸(gui)類與控制：明(ming)確資產(chan)(chan)責任(ren)，保持(chi)對組織資產(chan)(chan)的(de)適當保護；將(jiang)信息進行(xing)歸(gui)類，確保信息資產(chan)(chan)受(shou)到適當程度(du)的(de)保護；
人員(yuan)安(an)(an)全(quan)(quan)：在(zai)工作說(shuo)明和資源方面，減(jian)少因人為錯誤、盜竊、欺詐和設施誤用(yong)造(zao)(zao)成(cheng)的(de)風險(xian)；加強用(yong)戶(hu)培(pei)訓(xun)，確(que)保用(yong)戶(hu)清楚知道信息安(an)(an)全(quan)(quan)的(de)危險(xian)性和相關事(shi)項，以(yi)便在(zai)他們的(de)日常工作中(zhong)支持組織的(de)安(an)(an)全(quan)(quan)方針；制(zhi)定安(an)(an)全(quan)(quan)事(shi)故(gu)或故(gu)障的(de)反(fan)應程序，減(jian)少由安(an)(an)全(quan)(quan)事(shi)故(gu)和故(gu)障造(zao)(zao)成(cheng)的(de)損失(shi)，監控安(an)(an)全(quan)(quan)事(shi)件并從(cong)這種(zhong)事(shi)件中(zhong)吸取教訓(xun)；
實物與環境安全(quan)：確(que)定(ding)安全(quan)區域，防(fang)(fang)止(zhi)非(fei)授權訪問(wen)、破(po)(po)壞(huai)、干(gan)擾商務場所和(he)信息；通過保(bao)障設備安全(quan)，防(fang)(fang)止(zhi)資產的丟失、破(po)(po)壞(huai)、資產危害及商務活動的中(zhong)斷；采(cai)用通用的控(kong)制方式(shi)，防(fang)(fang)止(zhi)信息或信息處理(li)設施損壞(huai)或失竊；
通信和操作方式管理：明確操作程序及其責任，確保信息處理設施的正確、安全操作；加強系統策劃與驗收，減少系統失效風險；防范惡意軟件以保持軟件和信息的完整性；加強內務管理以保持信息處理和通訊服務的完整性和有效性通過 ; 加強網絡管理確保網絡中的信息安全及其輔助設施受到保護；通過保護媒體處理的安全 , 防止資產損壞和商務活動的中斷；加強信息和軟件的交換的管理，防止組織間在交換信息時發生丟失、更改和誤用；
訪問控制：按照訪問控制的商務要求，控制信息訪問；加強用戶訪問管理，防止非授權訪問信息系統；明確用戶職責，防止非授權的用戶訪問；加強網絡訪問控制，保護網絡服務程序；加強操作系統訪問控制 , 防止非授權的計算機訪問；加強應用訪問控制，防止非授權訪問系統中的信息；通過監控系統的訪問與使用，監測非授權行為；在移動式計算和電傳工作方面 , 確保使用移動式計算和電傳工作設施的信息安全；
系統開發與維護：明確系統安全要求，確保安全性已構成信息系統的一部份；加強應用系統的安全，防止應用系統用戶數據的丟失、被修改或誤用；加強密碼技術控制，保護信息的保密性、可靠性或完整性；加強系統文件的安全，確保 IT 方案及其支持活動以安全的方式進行；加強開發和支持過程的安全，確保應用系統軟件和信息的安全；
商務連(lian)續性管理：防止商務活動(dong)的中斷(duan)及保護(hu)關(guan)鍵商務過程不受重大失誤或(huo)災難事故的影響；
符合：符合法律法規要求，避免刑法、民法、有關法令法規或合同約定事宜及其他安全要求的規定相抵觸；加強安全方針和技術符合性評審，確保體系按照組織的安全方針及標準執行；系統審核考慮因素，使效果最大化 , 并使系統審核過程的影響最小化。　
         在國際標準國際標準化組織/國際電工委員會17799 給出了為實現信息安全認證所需的各項措施的詳細指導，具有很強的可操作性和指導性。

        歸根結底，信息安全工作的目的就是在法律、法規、政策的支持與指導下，通過采用合適的安全技術與安全管理措施，提供安全需求的保證，而 BS7799 信息安全認證標準正是總和了這些要求。組織可以根據自身特點，在國際標準化組織/國際電工委員會 17799 指導下，實現信息安全的要求。

國際(ji)標準(zhun)化組織(zhi)27001較(jiao)BS7799-2有哪些修(xiu)訂？

BS7799部分2：2002（條款(kuan)號(hao)）	27001:2005（條款號）	變化和差異的注解(jie)
1.2應用	1.2應用	確定對國(guo)際標(biao)準化組織/國(guo)際電工委員會 27001條款4-8的(de)刪(shan)減都是不可(ke)接受的(de)，解(jie)釋在何種情(qing)況下(xia)對控(kong)制進行(xing)了刪(shan)減是可(ke)能的(de)。
3術語和(he)定義(yi)	3術語和定(ding)義	從國(guo)際(ji)標準(zhun)化組(zu)織/國(guo)際(ji)電工委員會 13335-1：2004，國際標準(zhun)化組織(zhi)/國際電工委(wei)員(yuan)會 TR 18044：2004和(he)國(guo)(guo)際(ji)標準化組(zu)織/國(guo)(guo)際(ji)電(dian)工委(wei)員會指南 73:2002中添加定義(yi)。改變(bian)部分現有(you)定(ding)義以(yi)配合國(guo)際標準化組(zu)織/國(guo)際電工(gong)委(wei)員會 13335-1：2004標準。重新(xin)明確定(ding)義了“風險處理”和“適(shi)用性聲明”。
4.2.1 建立ISMS項目a) 定(ding)義ISMS的范圍	4.2.1 建(jian)立ISMS 項(xiang)目a)定義ISMS的范圍和界(jie)線	現在(zai),定(ding)義(yi)了ISMS的(de)“范(fan)圍和界線”的(de)要(yao)求。要(yao)求包括：1、說明在(zai)范(fan)圍內(nei)的(de)部(bu)分2、解(jie)釋被(bei)排除在(zai)范(fan)圍外(wai)的(de)理由。
項目c)定義(yi)風險(xian)評估的系統方法(fa)	在項(xiang)目c) 中(zhong)的第二句“定義組織的風(feng)險(xian)評估(gu)方法”被刪除后新增了一條(tiao)。	新增一條對現有的要求進行闡明和補充。同(tong)時聲(sheng)明(ming)風險(xian)評估方法應(ying)產(chan)生可比較、可重復的(de)結果。
項目(mu)g)為風(feng)險(xian)處理(li)選擇控制(zhi)目(mu)標及控制(zhi)。	項目g)“為(wei)風險處理選擇控(kong)制目標及控(kong)制”已(yi)經被延伸了。	現有(you)的要(yao)求加上了這樣的闡釋：選擇應(ying)該考慮到(dao)在(zai)法律、法規(gui)及合同(tong)的要(yao)求范(fan)圍內接受風(feng)險的標準。
項目(mu)h)準備適用性聲明。	項目j)添加了新項目j)2)“準備適用性聲(sheng)明”。	闡明了現有關于適用性聲明的要求。現在強調它要包(bao)括(kuo)當前實施的控制目標及(ji)控制。
4.22實施和運作ISMS	4.22實施和運作(zuo)ISMS 新增項目d) 定義如(ru)何測量有效性。	這可(ke)能是實(shi)施和運作ISMS過程中最大的改變，要求(qiu)定(ding)義如何測(ce)量控(kong)(kong)制(zhi)及(ji)控(kong)(kong)制(zhi)組(zu)合(he)的有效性，要求(qiu)詳細列出測(ce)量方法使控(kong)(kong)制(zhi)效果評(ping)估產生可(ke)比較、可(ke)重復的結果。
4.2.3監控和評審ISMS 項目(mu)a)執(zhi)行(xing)監控(kong)程序(xu)及其它的控(kong)制(zhi)。	4.2.3監控和評審ISMS 項目a) 4)添加了“執行監控程序及其它的控制以探測安全事件”。項目c)添加(jia)了“測量控制(zhi)的效力”。	闡明了有助于預防安全事故的安全事件探測。包(bao)括使用指標(biao)。
項目c)評審(shen)剩(sheng)余風(feng)險和(he)可接受風(feng)險。	新增項目d) 5)按計劃的時間間隔評審風險評估，評審剩余風險和可接受風險，評審時要考慮現行控制的有效性的變化。新(xin)增項目g)更新(xin)安全計劃	與4.2.2.d結合以監控ISMS的效力。現有要求的闡述，幫助監測現行控制的效果。闡(chan)述(shu)和補充(chong)了以下要(yao)求:根據監(jian)控評審活動的(de)發現(xian)來監(jian)控評審ISMS以更新安全(quan)計劃的(de)要(yao)求。
4.31概要(yao)	4.31概要第一段(duan)	闡明：文件要包括管理決策的(de)記錄(lu)，活動要根據管理決策和(he)方針進行，記錄(lu)/結果(guo)是可重(zhong)復的(de)。
	第二段(duan)	新增一句(ju)說(shuo)明(ming)所選擇(ze)的(de)控制與風險評估和(he)風險處理過(guo)程的(de)關(guan)系(xi)，以及與ISMS方(fang)針和(he)目標的(de)關(guan)系(xi)。
	新增項(xiang)目d)風險(xian)評(ping)估方法的(de)描述	風險(xian)評(ping)估(gu)方(fang)法的(de)描述要包(bao)含(han)在文件(jian)中。
項目e)文件化(hua)的程序	項目(mu)g)“文件(jian)化的(de)程(cheng)序”已經被更新了	闡(chan)明并補充了(le)描述如何測量(liang)控制的(de)(de)有效性的(de)(de)要(yao)求。
4.3.2文件(jian)控制(zhi)	4.3.2文件控制新(xin)增項目f) 確(que)保文件是可用的	闡述了確(que)保(bao)使用者可以獲得所需文(wen)件的要求，及文(wen)件的轉移存儲(chu)和最(zui)終處置要按照合(he)適的等級來處理。
5.1管(guan)理承諾	5.1管理承(cheng)諾新增項目(mu)g）保證(zheng)ISMS內部審核得到管理。	在管(guan)理承(cheng)諾中(zhong)聲明確保ISMS內部(bu)審核得到管(guan)理。
條款6.1 到6.3	條款(kuan)7.1 到7.3	移動的章節
條款7.1 到7.3	條款8.1 到8.3	移動的章節
6.2評(ping)審(shen)輸入(ru)	7.2評審(shen)輸入新增項目f) 有效(xiao)性測(ce)量的(de)結果(guo)	移動的章節新增了有效性測量的結(jie)果。
6.3評審輸出	7.3評審輸出新增項目b）更新風(feng)險評(ping)估和風(feng)險處理計(ji)劃。	移動的章節闡明(ming)確保更新風險評估和風險處(chu)理計劃。
項目c) 必要時，修改(gai)影(ying)(ying)響(xiang)信息安全的(de)程(cheng)序(xu)，以響(xiang)應對ISMS造成影(ying)(ying)響(xiang)的(de)內(nei)外事件。	項目c) 必要時，修(xiu)改影響(xiang)信息(xi)安全的(de)程序和控制，以響(xiang)應對ISMS造成影響(xiang)的(de)內外事件(jian)。包括合同責任的(de)改變(bian)。	闡明(ming)包括合同責任的(de)改變(bian)。
	新增項目e)改進控制有效(xiao)性(xing)的測量方法。	加進了“改進控制效力的(de)測(ce)量(liang)方法。”的(de)聲明。
6.4 ISMS內部審(shen)核(he)	6.4ISMS內部審核	現在是(shi)第六章的唯(wei)一要求。
7.3預防措施	8.3預防措施項目8.3b)“評(ping)估采(cai)取措施預防不符合發生的必要性”	移動的章節闡明預防措(cuo)(cuo)施(shi)。評估采取(qu)措(cuo)(cuo)施(shi)預防不符(fu)合發生的必要性
附錄A	附錄A	根(gen)據國際標(biao)準化(hua)組織/國際電(dian)工委員(yuan)會 17799:2005的修訂(ding)版本更(geng)新(xin)附錄A
附錄B和表B1	附錄B	除(chu)了說明OECD原(yuan)則和本國際(ji)標(biao)準之間的關系(xi)的表(biao)格(ge)外，其他被刪除(chu)。刪除(chu)的部分可能被國際標(biao)準化(hua)組(zu)織/國際電工委員會作(zuo)為發展成新指南的基礎。
附錄C	附錄C	更(geng)新后的版(ban)本
附錄D		從 27001:2005版本中刪除。

驗廠咨詢請(qing)致電奧地特(AUDIT)0512-66355405或發送(song)郵件至service@108dy.cn;國內權威咨詢機構

久久精品国产色蜜蜜麻豆_精品人妻中文AV一区二区三区_怡红院精品久久久久久久高清_人妻少妇偷人精品视频