信息安全管理体系规范与操作指南( document 34页).docx

……………………………………………………………最新资料推荐…………………………………………………
……………………………………………………………最新资料推荐…………………………………………………
最新精品资料整理推荐，更新于二〇、外部包括认证组织使用审核一个组织符合其本身的需要及客户和法律的要求的能力。
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20

本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS的有效性。
一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其能够把输入转换为输出，这个过程可以被认为是一个过程。经常地，一个过程的输出直接形成了下一个过程的输入。
在一个组织用应用一个过程的体系，并识别这些过程、过程间的相互作用及过程的管理，可以叫做过程的方法。
过程的方法鼓励使用者强调一下重要性：
a)理解业务信息安全需求和建立信息安全方针和目标的需求；
b)在全面管理组织业务风险的环境下实施也运作控制措施；
c)监控和评审ISMS的有效性和绩效；
d)在客观评价的基础上持续改进。
本标准采用的，适用于ISMS的模型，如图一所示。图一显示ISMS怎样考虑输入利益相关方的细小安全需求和期望，通过必要的行动产生信息安全结果（即：管理的信息安全），此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失和/或引高层主管的尴尬。一个期望的例子可能是如果严重的事故发生也许足智多谋饿电子商务网站被黑客入侵—将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四至第七部分的联系。被模型就是众所周知的“Plan-Do-Check-Act”（PECA）模型，本模型可以用于所有的过程。PDCA模型可以简单地描述如下图：
PDCA模型应用与信息安全管理体系过程
计划PLAN
相关单位
信息
安全需求
和期望
建立ISMS
相关单位
管理状态
下的信息
安全
维护和
改进ISMS
实施和
运作ISMS

实施 开发、维护 改进
DO 和改进循环 ACTION
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20
最新精品资料整理推荐，更新于二〇二一年十二月二十一日2021年12月21日星期二22:26:20
监控和
评审ISMS
1范围

本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS模型。它规定了对定制实施安全控制措施以适应不同组织或相关方的需求。（见附件B，提供了使用该规范的指南）。
ISMS保证足够的和成比例和安全控制措施以充分保护信息资产名给与客户和其他利益相关方信心。这将转化为维护和提高竞争优势、现金流、赢利能力、法律符合和商务形象。

本标准提出的要求使一般性的并试图用于所有的组织，不管其类型、大小和业务性质。当由于组织的性质和业务本标准中的要求不能使用，要求可以考虑删减。
除非不能删减不影响组织的能力，和/或责任提供符合由风险评估和适用的法律确定的信息安全要求，否则不能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据证明相关风险被负责人员正当地接受。对于条款4,5,6和7的要求的删减不能接受。
2引用标准
ISO 9001:2000质量管理体系-要求
ISO/IEC 17799:2000信息技术—信息安全管理实践指南
ISO 指南73:2001风险管理指南-名词
3名词和定义
从本英国标准的目的出发，以下名词和定义适用。

保证被授权的使用者需要时能够访问信息及相关资产。[BS ISO/IEC 17799:2000]

保证信息只被授权的访问。[BS