文档介绍：word
英国(yīnɡ ɡuó)标准——BS7799-2:2002
信息安全管理体系——
规范与使用指南
目 录
前言(qián yán)
0 介绍(jièshào)
0．1总如此(rúcǐ)
0．2过程(guòchéng模型应用与信息安全管理体系过程
计划PLAN 建立ISMS
 
 
相关单位
 
 
 
 
管理状态
下的信息
安全
 
 
相关单位

 
 
 
信息
安全需求
和期望
实施和
运作ISMS
维护和
改良ISMS
word
实施改良
监控和
评审ISMS
用 DO ACTION
检查(jiǎnchá)CHECK
计划(jìhuà)〔建立(jiànlì)信息安全管理体系〕建立(jiànlì)与管理风险和改良(gǎiliáng)信息安全有关的安全方针、目
标、目的、过程和程序，以达到与组织整体方针和
目标相适应的结果。
实施〔实施和动作信息安全管理体系实施和动作信息安全方针、控制措施、过程和程序。
检查〔监控和评审信息安全管理体系〕针对安全方针、目标和实践经验等评审和〔如果适用〕
职测量过程的绩效并向管理层报告结果供评审使用。
改良〔维护和改良信息安全管理体系〕在管理评审的结果的根底上，采取纠正和预防措施以
持续改良信息安全管理体系。
0．3与其他管理体系标准的兼容性
本标准与ISO9001：2000与ISO16949：1996相结合以支持实施和动作安全体系的一致性和整合。
在附件C中以表格显示BS7799，ISO14001各局部不同条款间的对应关系，本标准使组织能够联合或整合其信息安全管理体系与相关管理体系的要求。
1 范围
1．1概要
本标准提供在组织整个动作风险的环境下建立、实施、动作、监控、评审、维护和改良一个文件化的信息安全管理体系的模型。它规范了对定制实施安全控制措施以适应不同组织或相关局部的需求。〔附录B提供使用规范的指南〕。
信息安全管理体系保证足够的和成比例的安全控制措施以充分保护信息资产并给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、羸利能力、法律符合和商务形象。
1．2应用
本标准规定的所有要求是通用的，旨在适用于各种类型、不同规模和提供不同产品的组织。
当本标准的任何要求因组织与其产品的特点而不适用时，可以考虑对其进展删减。
除非删减不影响组织的能力、和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，
否如此不能声称符合本标准。任何能够满足风险承受标准的删减必须证明是正当的并需要提供证据
证明相关风险被负责人员正当地承受。对于条款4，5，6和7的要求的删减不能承受。
2引用标准
ISO9001：2000质量管理体系-要求
ISO/IEC17799：2000信息技术—信息安全管理实践指南
ISO指南73：2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发，以下名词和定义适用。
3．1可用性
保证被授权的使用者需要时能够访问信息与相关资产。[BS ISO/IEC17799：2000]
3．2保密性
保证信息只被授权的人访问。[BS ISO/IEC17799：2000]
3．3信息安全
word
安全保护信息的保密性、完整性和可用性
3．4信息安全管理体系〔信息安全管理体系〕
是整个(zhěnggè)管理体系的一局部(júbù)，建立在运营风险的方法上，以建立、实施(shíshī)、动作、监控、评审、
维护(wéihù)和改良(gǎiliáng)信息安全。
注：管理体系包括组织的架构、方针、策划活动、职责、实践、程序、过程和资源。
3．5完整性
保护信息和处理方法的准确和完整。[BS ISO/IEC17799：2000]
3．6风险承受
承受一个风险的决定[ISO Guide 73]
3．7风险分析
系统地使用信息识别来源和估计风险[ISO Guide 73]
3．8风险评估
风险分析和风险评价的整个过程[ISO Guide 73]
3．9风险评价
把估计风险与给出的风险标准相比拟，确定风险严重性的过程。[ISO Guide 73]
3．10风险管理
指导和控制组织风险的联合行动
3．11风险处理
选择和实施措施以更改风险的处理过程[ISO Guide 73]
3．12适用性声明
描述适用于组织的信息安全管理体系范围的控制目标和控制措施。这些控制目标和