- 1、本文档被系统程序自动判定探测到侵权嫌疑,本站暂时做下架处理。
- 2、如果您确认为侵权,可联系本站左侧在线QQ客服请求删除。我们会保证在24小时内做出处理,应急电话:400-050-0827。
- 3、此文档由网友上传,因疑似侵权的原因,本站不提供该文档下载,只提供部分内容试读。如果您是出版社/作者,看到后可认领文档,您也可以联系本站进行批量认领。
查看更多
ICS 35.040 -1-
中國國家標準 資訊技術-資訊安全 總號 1 780 0
CNS 管理系統規範 類號 X6041
Information technology-Specification for information security
management systems
簡介
0.1 概說
本標準之制定乃為企業經營者及其員工提供一項建置及管理一有效資訊安全
管理系統(Information Security Management System,ISMS )之模式。組織策
略性決策( strategic decision )應包含資訊安全管理系統。影響資訊安全管理
系統之設計與執行因素,包括安全與企業需求、目標、安全要求之結果、組
織作業程序及組織規模與架構。這些概念及其輔助系統會隨時間而改變。若
狀況簡單,就應採用簡單之資訊安全系統方案。
本標準適用於內部及外部單位,包括「驗證機構」,以評鑑組織符合其自訂
要求及達成客戶或法令要求之能力。
0.2 過程導向
本標準鼓勵採用過程導向(process approach )以建立、實施、操作、監督、
維持及改進組織資訊安全管理系統之有效性。
組織必須鑑別、管理許多活動方能有效運作。使用資源與管理而促成輸入轉
換為輸出之一項活動,可視為一個過程。通常一個過程之輸出可直接地成為
下一個過程之輸入。
組織內各過程系統之應用,連同這些過程之鑑別與相互作用,及其管理可被
稱為〝過程導向〞。
過程導向鼓勵使用者強調下列事項之重要性:
(a) 瞭解商業資訊之安全要求,以及制訂資訊安全政策及目標之需求,
(b) 在管理一組織整體商業風險之情況下,實施及操作各項控制措施,
(c) 監控、審查資訊安全管理系統之績效與有效性,及
(d)以客觀測量方式持續改進。
眾所週知之「計畫— 執行 — 檢查 — 行動」(Plan-Do-Check-Act, PDCA )模式,
可應用於所有資訊安全管理系統過程,亦為本標準所採用。圖 1 展示資訊安
全管理系統如何納採資訊安全要求 (requirement) 之輸入及利害相關團體之期
(共 32 頁)
公 布 日 期 經濟部標準檢驗局印行 修 訂 公 布 日 期
91 年 12 月 5 日 年 月 日
印 行年月 91 年 1 2 月 本 標準非 經本局 同意不 得翻印
CNS 17800 , X 6041 -2 -
望 (expectation) 作為輸入端,經由各必要措施及各過程,產生符合所需要求及
期望的資訊安全輸出結果 ( 例如納管的資訊安全) 。圖 1 亦解釋本標準第 4 、5 、
6 及第 7 節提及之各過程如何環環相扣。
範例 1 :一項要求(requirement) 或許為違反資訊安全但未對組織造成嚴重的財
物損失及 / 或造成組織之困窘。
範例 2 :一項期望(expectation) 或許為假設一件嚴重事故發生時 如駭客入侵
組織的電子商務網際網路 — 應有具備充分訓練之人員以適當的程序
降低該衝擊。
備考:程序(proc
您可能关注的文档
- CNAS-T0497-2010 水中铅、镉和砷检测能力验证计划结果报告.pdf
- CNS 2874-N5083 葡萄糖浆及干葡萄糖浆.pdf
- CNS 3299-61(75) 陶瓷面砖检验法.pdf
- CNS 3551-62(76) 工业用橡胶垫料检验法.pdf
- CNS 3553-62(85) 硫化橡胶拉伸试验法.pdf
- CNS 3554-63(88) 硫化或热塑性橡胶伸长永久变形实验法.pdf
- CNS 3627-62(84) 环境试验法(电气、电子)-盐雾试验 对应IEC 68-2-11.pdf
- CNS 3667-62(73) 鋁及鋁合金棒、桿及線.pdf
- CNS 3765-5-91 家用各类似用途电器产品的安全 -第2部 对应IEC 60335-2-5-1992.pdf
- CNS 3765-6-92 家用各类似用途电器产品的安全 -第2部 对应IEC 60335-2-6-1997.pdf
文档评论(0)