信息安全管理體係——規範與使用指南(doc 33頁)
前言
0 介紹
0.1總則
0.2過程方法
0. 0. 3其他管理體係的兼容性
1 範圍
1.1概要
1.2應用
2標準參考
3名詞與定義
4信息安全管理體係要求
4.1總則
4.2建立和管理信息安全管理體係
4.2.1建立信息安全管理體係
4.2.2實施和運營(對照中文ISO9001確認)?信息安全管理體係
4.2.3監控和評審信息安全管理體係
4.2.4維護和改進信息安全管理體係
4.3文件化要求
4.3.1總則
4.3.2文件控製
4.3.3記錄控製
5管理職責
5.1管理承諾?(對照中文ISO9001確認)
5.2資源管理
5.2.1資源提供
5.2.2培訓、意識和能力
6信息安全管理體係管理評審
6.1總則
6.2評審輸入?(對照中文ISO9001確認)
6.3評審輸出?(對照中文IS9001確認)
7信息安全管理體係改進
7.1持續改進
7.2糾正措施
7.3預防措施
0 介紹
0.1 總則
本標準的目的是為管理者和他們的員工們提供建立和管理一個有效的信息安全管理體係(信息安全管理體係)有模型。采用信息安全管理體係應當是一項組織的戰略決策。一個組織信息安全管理體係的設計和實施受運營需求、具體目標、安全需求、所采用的過程及該組織的規模和結構的影響。上述因素和他們的支持過程會不斷發生變化。希望簡單的情況使用簡單的信息安全解決方
案。
本標準能用於內部、外部包括認證組織使用,評定一個組織符合其本身的需要及客戶和法律的要求的能力。
0.2過程方法
本標準鼓勵采用過程的方法建立、實施、和改進組織的信息安全管理體係的有效性。
為使組織有效動作,必須識別和管理眾多相互關聯的活動。通過使用資源和管理,將輸入轉化為輸出的活動可視為過程。通常,一個過程的輸出直接形成了下一個過程的輸入。
組織內諸過程的係統的應用,連同這些過程的識別和相互作用及其慣例,課程隻為:“過程方法”。
過程的方法鼓勵使用者強調以下方麵的重要性:
a) a) 理解業務動作對信息安全的需求和建立信息安全方針和目標的需要;
b) b) 在全麵管理組織業務風險的環境下實施和動作控製措施;
c) c) 監控和評審信息安全管理體係的有效性和績效;
……
..............................