信息安全管理体系——规范与使用指南(doc 33页)

前言
0 介绍
0．1总则
0．2过程方法
0． 0．  3其他管理体系的兼容性
1 范围
1．1概要
1．2应用
2标准参考
3名词与定义
4信息安全管理体系要求
  4．1总则
  4．2建立和管理信息安全管理体系
4．2．1建立信息安全管理体系
4．2．2实施和运营(对照中文ISO9001确认)？信息安全管理体系
4．2．3监控和评审信息安全管理体系
4．2．4维护和改进信息安全管理体系
  4．3文件化要求
4．3．1总则
4．3．2文件控制
4．3．3记录控制
5管理职责
5．1管理承诺？（对照中文ISO9001确认）
5．2资源管理
5．2．1资源提供
  5．2．2培训、意识和能力
6信息安全管理体系管理评审
   6．1总则
   6．2评审输入？（对照中文ISO9001确认）
   6．3评审输出？（对照中文IS9001确认）
7信息安全管理体系改进
   7．1持续改进
   7．2纠正措施
   7．3预防措施

 

0  介绍
0．1 总则
本标准的目的是为管理者和他们的员工们提供建立和管理一个有效的信息安全管理体系（信息安全管理体系）有模型。采用信息安全管理体系应当是一项组织的战略决策。一个组织信息安全管理体系的设计和实施受运营需求、具体目标、安全需求、所采用的过程及该组织的规模和结构的影响。上述因素和他们的支持过程会不断发生变化。希望简单的情况使用简单的信息安全解决方
案。
 
本标准能用于内部、外部包括认证组织使用，评定一个组织符合其本身的需要及客户和法律的要求的能力。
 
0．2过程方法
本标准鼓励采用过程的方法建立、实施、和改进组织的信息安全管理体系的有效性。
 
为使组织有效动作，必须识别和管理众多相互关联的活动。通过使用资源和管理，将输入转化为输出的活动可视为过程。通常，一个过程的输出直接形成了下一个过程的输入。
组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其惯例，课程只为：“过程方法”。
过程的方法鼓励使用者强调以下方面的重要性：
a） a）  理解业务动作对信息安全的需求和建立信息安全方针和目标的需要；
b） b）  在全面管理组织业务风险的环境下实施和动作控制措施；
c） c）  监控和评审信息安全管理体系的有效性和绩效；
……

..............................