CISP信息安全管理体系new.ppt

重要提示： 本出版物不声称包括一个合同所有必要的规定。 用户负责对其进行正确的应用。 符合标准本身并不获得法律义务的豁免。 信息安全管理体系要求——其他方面 本标准与ISO9001:2000及ISO14001:2004相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 与其他MS的兼容性 信息安全管理体系要求——其他方面 本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。 为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和或责任，否则不能声称符合本标准。 注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。 其他相关方面之1.2应用 信息安全管理体系要求——其他方面 ISO/IEC 17799:2005，信息技术-安全技术-信息安全管理实用规则 其他相关方面之2 规范性引用文件 信息安全管理体系要求——其他方面 其他相关方面之3 术语和定义 3.1 资产asset 3.2 可用性availability 3.3 必威体育官网网址性confidentiality 3.4 信息安全information security 3.5 信息安全事件 information security event 3.6 信息安全事故 information security incident 3.7 信息安全管理体系（ISMS） information security management system（ISMS） 3.8 完整性integrity 信息安全管理体系要求——其他方面 其他相关方面之3 术语和定义 3.9 残余风险 residual risk 3.10 风险接受risk acceptance 3.11 风险分析risk analysis 3.12 风险评估risk assessment 3.13 风险评价risk evaluation 3.14 风险管理risk management 3.15 风险处理risk treatment 3.16 适用性声明statement of applicability 信息安全管理体系要求——其他方面 其他相关方面之 附录A 规范性附录。 直接引用并与ISO/IEC 17799:2005第5到15章一致。 表A.1中的清单并不完备，一个组织可能考虑另外必要的控制目标和控制措施。 在这些表中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。 ISO/IEC 17799:2005第5至15章提供了最佳实践的实施建议和指南 表A.1 控制目标和控制措施 信息安全管理体系要求——其他方面 其他相关方面之 附录B 资料性附录。 OECD信息系统和网络安全指南中给出的原则适用于治理信息系统和网络安全的所有策略和操作层。 本标准提供信息安全管理体系框架，通过使用PDCA模型以及4、5、6和8所述的过程，来实现的某些OECD原则。 表B.1 OECD 原则 和 PDCA 模型。 信息安全管理体系要求——其他方面 其他相关方面之 附录C 资料性附录。 表C.1 ISO 9001:2000、ISO 14001:2004和本标准之间的对应关系。 信息安全管理体系要求——其他方面 其他相关方面之 参考书目 标准出版物 [1] ISO 9001:2000，质量管理体系 要求。 [2] ISO/IEC 13335-1:2004，信息技术 安全技术 信息和通信技术安全管理—第1部分：管理和规划ICT安全的概念和模型。 [3] ISO/IEC TR 13335-3:1998，信息技术 IT安全管理指南—第3部分：IT安全管理技术。 [4] ISO/IEC TR 13335-4:2000，信息技术 IT安全管理指南—第4部分：防护措施的选择。 [5] ISO 14001:2004，环境管理体系—要求和使用指南。 [6] ISO/IEC TR 18044:2004，信息技术 安全技术—信息安全事故管理。 [7] ISO 19011:2002，质量和/或环境管理体系审核指南。 [8] ISO/IEC 指南62:1996，从事质量体系的评估和认证/注册的机构的通用要求。 [9] ISO/IEC 指南73：2002，风险