14信息安全管理体系.ppt

1、第第14章章 信息安全管理体系信息安全管理体系内容提要内容提要 信息安全管理体系概述信息安全管理体系概述 BS7799信息安全管理体系信息安全管理体系 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系 信息安全管理体系的建立信息安全管理体系的建立14.1 信息安全管理体系概述信息安全管理体系概述n信息安全管理体系的内涵信息安全管理体系的内涵信息安全管理体系（信息安全管理体系（Information Security Management System，ISMS）是组织在整体或特定范）是组织在整体或特定范围内建立的信息安全围内建立的信息安全方针方针和和目标目标，以及完善这些目标所用，以

2、及完善这些目标所用的的方法方法和和手段手段所构成的体系。所构成的体系。信息安全管理体系是信息安全管理活动的直接结果，信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。程和资源的集合。14.1 信息安全管理体系概述信息安全管理体系概述n信息安全管理体系的内涵信息安全管理体系的内涵nISMS的范围的范围p所有的信息系统；所有的信息系统；p组织的部分信息系统；组织的部分信息系统；p特定的信息系统。特定的信息系统。nISMS的特点的特点p以预防控制为主的思想以预防控制为主的思想；p强调合规性

3、；强调合规性；p强调全过程和动态控制强调全过程和动态控制；p关注关键性信息资产关注关键性信息资产。14.1 信息安全管理体系概述信息安全管理体系概述n信息安全管理体系的内涵信息安全管理体系的内涵n建立建立ISMS的步骤的步骤p信息安全管理体系的策划与准备；信息安全管理体系的策划与准备；p信息安全管理体系文件的编制；信息安全管理体系文件的编制；p建立信息安全管理框架；建立信息安全管理框架；p信息安全管理体系的运行；信息安全管理体系的运行；p信息安全管理体系的审核与评审。信息安全管理体系的审核与评审。14.1 信息安全管理体系概述信息安全管理体系概述n信息安全管理体系的内涵信息安全管理体系的内涵n

4、ISMS的作用的作用 p强化员工的信息安全意识，规范组织信息安全行为强化员工的信息安全意识，规范组织信息安全行为；p促使管理层贯彻信息安全保障体系促使管理层贯彻信息安全保障体系；p对关键信息资产进行全面系统的保护，维持竞争优对关键信息资产进行全面系统的保护，维持竞争优势势；p确保业务持续开展并将损失降到最低程度；确保业务持续开展并将损失降到最低程度；p使组织的生意伙伴和客户对组织充满信心；使组织的生意伙伴和客户对组织充满信心；p如果通过体系认证，可以提高组织的知名度与信任如果通过体系认证，可以提高组织的知名度与信任度度。14.1 信息安全管理体系概述信息安全管理体系概述nPDCA（戴明环）（戴

5、明环）nP（Plan）计划，确定方针、目标和活动计划计划，确定方针、目标和活动计划；nD（Do）实施，实现计划中的内容实施，实现计划中的内容；nC（Check）检查，检查并总结执行计划的结果检查，检查并总结执行计划的结果；nA（Action）行动，对检查总结的结果进行处理行动，对检查总结的结果进行处理。14.1 信息安全管理体系概述信息安全管理体系概述nPDCA（戴明环）（戴明环）nPDCA 循环的具体任务和内容循环的具体任务和内容pP（Plan）制定具体工作计划，提出总的目标。制定具体工作计划，提出总的目标。p分析目前现状，找出存在的问题；分析目前现状，找出存在的问题；p分析产生问题的各种原

6、因以及影响因素；分析产生问题的各种原因以及影响因素；p分析并找出管理中的主要问题；分析并找出管理中的主要问题；p制定管理计划，确定管理要点。制定管理计划，确定管理要点。pD（Do）按照制定的方案去执行。按照制定的方案去执行。p本阶段的任务是在管理工作中全面执行制定的方案。本阶段的任务是在管理工作中全面执行制定的方案。pC（Check）检查实施计划的结果检查实施计划的结果。p它是对实施方案是否合理、是否可行以及有何不妥的检查。它是对实施方案是否合理、是否可行以及有何不妥的检查。pA（Action）行动，对检查总结的结果进行处理行动，对检查总结的结果进行处理。14.1 信息安全管理体系概述信息安全

7、管理体系概述nPDCA（戴明环）（戴明环）nPDCA 循环的具体任务和内容循环的具体任务和内容pA（Action）根据调查结果进行处理根据调查结果进行处理。p对已解决的问题，加以标准化；对已解决的问题，加以标准化；p找出尚未解决的问题。找出尚未解决的问题。14.1 信息安全管理体系概述信息安全管理体系概述nISMS的的PDCA过程过程n计划阶段计划阶段p确定信息安全方针；确定信息安全方针；p确定信息安全管理体系的范围；确定信息安全管理体系的范围；p制定风险识别和评估计划；制定风险识别和评估计划；p制定风险控制计划制定风险控制计划。n实施阶段实施阶段p保证资源、提供培训、提高安全意识保证资源、提

8、供培训、提高安全意识；p风险治理风险治理。14.1 信息安全管理体系概述信息安全管理体系概述nISMS的的PDCA过程过程n检查阶段检查阶段p日常检查；日常检查；p自治程序自治程序；p从其他处学习从其他处学习；p内部信息安全管理体系审核内部信息安全管理体系审核；p管理评审管理评审；p趋势分析。趋势分析。n行动阶段行动阶段p不符合项不符合项；p纠正和预防措施纠正和预防措施。PDCA循环是螺旋式上升和发展的！循环是螺旋式上升和发展的！14.2 BS7799信息安全管理体系信息安全管理体系nBS7799的发展历史的发展历史n1993年，英国贸易工业部，年，英国贸易工业部，BS7799-1:1995信

9、息安全信息安全管理实施规则管理实施规则；n1998年，年，BS7799-2:1998信息安全管理体系规范信息安全管理体系规范；n1999年，年，BS7799-1:1999取代了取代了BS7799-1:1995标准，标准，BS7799-2:1999取代了取代了BS7799-2:1998标准；标准；n国际标准化组织于国际标准化组织于2000年年12月正式将月正式将BS7799转化成国际转化成国际标准标准ISO/IEC17799；n2005年年6月月15日发布了最新版本日发布了最新版本ISO/IEC17799:2005。BS7799标准的最大意义就在于它给管理层一整套可标准的最大意义就在于它给管理层

10、一整套可“量体裁衣量体裁衣”的信息安全管理要项、一套与技术负责人或组的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架织高层进行沟通的共同语言，以及保护信息资产的制度框架14.2 BS7799信息安全管理体系信息安全管理体系nBS7799的的内容内容nBS7799-1:信息安全管理实施规则信息安全管理实施规则 主要是给负责开发的人员作为参考文档使主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安用，从而在他们的机构内部实施和维护信息安全。全。nBS7799-2:信息安全管理体系规范信息安全管理体系规范 详细说明了建立、实施和维

11、护信息安全管详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并根据自己的需估来鉴定最适宜的控制对象，并根据自己的需求采取适当的安全控制。求采取适当的安全控制。14.2 BS7799信息安全管理体系信息安全管理体系nBS7799的的内容内容nBS7799-1:信息安全管理实施规则信息安全管理实施规则 作为国际信息安全指导标准作为国际信息安全指导标准ISO/IEC17799基础的指导性基础的指导性文件，包括文件，包括11大管理要项，大管理要项，134种控制方法。种控制方法。14.2 BS7799信息安全管

12、理体系信息安全管理体系nBS7799的的内容内容nBS7799-2:信息安全管理体系规范信息安全管理体系规范p说明了建立、实施和维护信息安全管理体系说明了建立、实施和维护信息安全管理体系（ISMS）的要求；）的要求；p指出实施组织需要通过风险评估来鉴定最适宜的控指出实施组织需要通过风险评估来鉴定最适宜的控制对象；制对象；p根据自己的需求采取适当的安全控制。根据自己的需求采取适当的安全控制。14.2 BS7799信息安全管理体系信息安全管理体系nBS7799的的内容内容nBS7799-2的新版本的新版本ISO/IEC27001:2005pISO/IEC27001:2005更注重更注重PDCA的过

13、程管理模的过程管理模式，能够更好的与组织原有的管理体系，如质量管式，能够更好的与组织原有的管理体系，如质量管理体系、环境管理体系等进行整合，减少组织的管理体系、环境管理体系等进行整合，减少组织的管理过程，降低管理成本；理过程，降低管理成本；p2005.10，英国信息安全管理体系标准，英国信息安全管理体系标准BS7799-2：2002作为国际标准作为国际标准ISO/IEC 27001：2005采采用，标志着信息安全管理体系认证进入了一个新阶用，标志着信息安全管理体系认证进入了一个新阶段；段；14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系系统安全工程能力成熟度模型（系统安全工

14、程能力成熟度模型（System Security Engineering-Capability Maturity Model，SSE-CMM）的提出是为了改善安全系统、产品和服务的性能、价格及可的提出是为了改善安全系统、产品和服务的性能、价格及可用性。用性。n1993年年4月，美国国家安全局（月，美国国家安全局（NSA）对当时各类能力）对当时各类能力成熟度模型（成熟度模型（CMM）工作状况进行研究）工作状况进行研究；n1996年年10月出版了月出版了SSE-CMM的第一个版本；的第一个版本；n1999年年4月月SSE-CMM模型和相应评估方法模型和相应评估方法2.0版发布；版发布；n2002年

15、，国际标准化组织正式公布了系统安全工程能力年，国际标准化组织正式公布了系统安全工程能力成熟度模型的标准，即成熟度模型的标准，即ISO/IEC21827:2002。14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的作用的作用n工程组织工程组织 工程组织包括系统集成商、应用开发者、产品厂商工程组织包括系统集成商、应用开发者、产品厂商和服务供应商。对于这些组织，和服务供应商。对于这些组织，SSE-CMM的作用包括：的作用包括：p通过可重复和可预测的过程及实施来减少返工；通过可重复和可预测的过程及实施来减少返工；p获得真正工程执行能力的认可，特别是在资源选择方获得真

16、正工程执行能力的认可，特别是在资源选择方面；面；p侧重于组织的资格（成熟度）度量和改进。侧重于组织的资格（成熟度）度量和改进。14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的作用的作用n获取组织获取组织 获取组织包括从内部获取组织包括从内部/外部获取系统、产品和服务的外部获取系统、产品和服务的组织以及最终用户。对于这些组织，组织以及最终用户。对于这些组织，SSE-CMM的作用：的作用：p可重用的（可重用的（Request for Proposal，RFP）标准语）标准语言和评定方法；言和评定方法；p减少选择不合格投标者的风险（性能、成本和工期风减少选择不合

17、格投标者的风险（性能、成本和工期风险）；险）；p进行基于工业标准的统一评估，减少争议；进行基于工业标准的统一评估，减少争议；p在产品生产和提供服务过程中建立可预测和可重复级在产品生产和提供服务过程中建立可预测和可重复级的可信度。的可信度。14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的作用的作用n评估机构评估机构 评估机构包括系统认证机构、系统授权机构和产评估机构包括系统认证机构、系统授权机构和产品评估机构。对于这些机构，品评估机构。对于这些机构，SSE-CMM的作用包括：的作用包括：p可重用的过程评定结果，并与系统或产品变化无关；可重用的过程评定结果，并

18、与系统或产品变化无关；p在安全工程中以及安全工程与其他工程集成中的信在安全工程中以及安全工程与其他工程集成中的信任度；任度；p基于能力的显见可信度，减少安全评估工作量；基于能力的显见可信度，减少安全评估工作量；14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM中涉及的中涉及的概念概念n组织组织 组织被定义为公司内部的单位、整个公司或其他实体组织被定义为公司内部的单位、整个公司或其他实体（如政府机构或服务机构）。（如政府机构或服务机构）。n项目项目 项目是各种活动和资源的总和，这些活动和资源用于项目是各种活动和资源的总和，这些活动和资源用于开发或维护一个特定的产

19、品或提供一种服务。开发或维护一个特定的产品或提供一种服务。n系统系统在在SSE-CMM中系统指：中系统指：p提供某种能力用以满足一种需要或目标的人员、产品、提供某种能力用以满足一种需要或目标的人员、产品、服务和过程的综合；服务和过程的综合；p事物或部件的汇集形成了一个复杂或单一整体（即用来事物或部件的汇集形成了一个复杂或单一整体（即用来完成某个特定或完成某个特定或组功能的组件的集合）；组功能的组件的集合）；p功能相关的元素相互组合；功能相关的元素相互组合；14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM中涉及的中涉及的概念概念n能力成熟度模型能力成熟度模型C

20、MM CMM经过确定当前特定过程的能力和在一个特定域经过确定当前特定过程的能力和在一个特定域中识别出关键的质量和过程改进问题，来指导和选择过中识别出关键的质量和过程改进问题，来指导和选择过程改进策略。程改进策略。nSSE-CMM的应用的应用 SSE-CMM 可应用于所有从事某种形式的安全工程的组可应用于所有从事某种形式的安全工程的组织，该模型适用于以下三种形式：织，该模型适用于以下三种形式：n评定评定n改进改进n保证保证14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的过程的过程n安全工程过程安全工程过程14.3 基于基于SSE-CMM的信息安全管理体系的信

21、息安全管理体系nSSE-CMM的过程的过程n风险评估过程风险评估过程14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的过程的过程nSSE-CMM工程过程工程过程14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM的过程的过程nSSE-CMM保证过程保证过程14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM体系结构体系结构14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系nSSE-CMM能力等级能力等级14.3 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系 通过通

22、过SSE-CMM可以将复杂的信息系统安可以将复杂的信息系统安全工程管理成为严格的工程学和可依赖的体系。全工程管理成为严格的工程学和可依赖的体系。SSE-CMM是一个评估标准，它定义了实现最是一个评估标准，它定义了实现最终安全目标所需要的一系列过程，并对组织执终安全目标所需要的一系列过程，并对组织执行这些过程的能力进行等级划分。行这些过程的能力进行等级划分。14.4 信息安全管理体系的建立信息安全管理体系的建立n信息安全管理体系建立步骤信息安全管理体系建立步骤n信息安全管理体系的策划与准备；信息安全管理体系的策划与准备；n信息安全管理体系文件的编制；信息安全管理体系文件的编制；n建立信息安全管理

23、框架；建立信息安全管理框架；n信息安全管理体系的运行；信息安全管理体系的运行；n信息安全管理体系的审核与评审信息安全管理体系的审核与评审。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的准备信息安全管理体系的准备n管理承诺；管理承诺；n组织与人员建设；组织与人员建设；n编制工作计划；编制工作计划；n能力要求与教育培训能力要求与教育培训。14.4 信息安全管理体系的建立信息安全管理体系的建立n建立建立BS7799信息安全管理框架信息安全管理框架14.4 信息安全管理体系的建立信息安全管理体系的建立n建立建立BS7799信息安全管理框架信息安全管理框架n定义安

24、全策略定义安全策略 信息安全策略（信息安全策略（Information Security Policy）本）本质上来说是描述组织具有哪些重要信息资产，并说明这质上来说是描述组织具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划。些信息资产如何被保护的一个计划。信息安全策略可以分为两个层次：信息安全策略可以分为两个层次：p信息安全方针；信息安全方针；p具体的信息安全策略。具体的信息安全策略。14.4 信息安全管理体系的建立信息安全管理体系的建立n建立建立BS7799信息安全管理框架信息安全管理框架n定义定义ISMS的范围的范围p组织现有部门；组织现有部门；p办公场所；办公场所；p资产状

25、况；资产状况；p所采用技术。所采用技术。n实施信息安全风险评估实施信息安全风险评估p对对ISMS范围内的信息资产进行鉴定和估价；范围内的信息资产进行鉴定和估价；p对信息资产面对的各种威胁和脆弱性进行评估；对信息资产面对的各种威胁和脆弱性进行评估；p对已存在的或规划的安全控制措施进行鉴定。对已存在的或规划的安全控制措施进行鉴定。14.4 信息安全管理体系的建立信息安全管理体系的建立n建立建立BS7799信息安全管理框架信息安全管理框架n实施信息安全风险管理实施信息安全风险管理p降低风险；降低风险；p避免风险；避免风险；p转移风险；转移风险；p接受风险。接受风险。n确定控制目标和选择控制措施确定控

26、制目标和选择控制措施p控制目标的确定和控制措施的选择原则是成本不超过风险控制目标的确定和控制措施的选择原则是成本不超过风险所造成的损失。所造成的损失。n准备信息安全适用性声明准备信息安全适用性声明pSOA是适合组织需要的控制目标和控制措施的评论，需要是适合组织需要的控制目标和控制措施的评论，需要提交给管理者、职员以及具有访问权限的第三方认证机构。提交给管理者、职员以及具有访问权限的第三方认证机构。14.4 信息安全管理体系的建立信息安全管理体系的建立n编写编写BS7799信息安全管理体系文件信息安全管理体系文件n文件的编写文件的编写p编写原则；编写原则；p编写前的准备；编写前的准备；p编写的策

27、划与组织。编写的策划与组织。n文件的作用文件的作用p阐述声明的作用；阐述声明的作用；p规定和指导作用；规定和指导作用；p记录和证实作用；记录和证实作用；p评价信息安全管理体系；评价信息安全管理体系；p保障信息安全改进；保障信息安全改进；p平衡培训要求。平衡培训要求。14.4 信息安全管理体系的建立信息安全管理体系的建立n编写编写BS7799信息安全管理体系文件信息安全管理体系文件n文件的层次文件的层次p适用性声明；适用性声明；pISMS管理手册；管理手册；p程序文件；程序文件；p作业指导书；作业指导书；p记录。记录。n文件的控制管理文件的控制管理p文件控制；文件控制；p记录控制。记录控制。14

28、.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的运行信息安全管理体系的运行n有针对性地宣传信息安全管理体系文件；有针对性地宣传信息安全管理体系文件；n完善信息反馈与信息安全协调机制；完善信息反馈与信息安全协调机制；n加强有关体系运行信息的管理；加强有关体系运行信息的管理；n加强信息安全体系文件的管理。加强信息安全体系文件的管理。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的审核信息安全管理体系的审核 信息安全管理体系审核是指组织为验证所有安全方针、信息安全管理体系审核是指组织为验证所有安全方针、策略和程序的正确实施，检查

29、信息系统符合安全实施标策略和程序的正确实施，检查信息系统符合安全实施标准的情况所进行的系统的、独立的检查和评价，是信息准的情况所进行的系统的、独立的检查和评价，是信息安全管理体系的一种自我保证手段。安全管理体系的一种自我保证手段。n管理性审核管理性审核n技术性审核技术性审核14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的审核信息安全管理体系的审核nISMS审核的主要目的审核的主要目的p检查检查BS7799的实施程度与标准的符合性情况；的实施程度与标准的符合性情况；p检查满足组织安全策略与安全目标的有效性和适用性；检查满足组织安全策略与安全目标的有效性和适用

30、性；p识别安全漏洞与弱点；识别安全漏洞与弱点；p向管理者提供安全控制目标实现状况，使管理者了解安向管理者提供安全控制目标实现状况，使管理者了解安全问题；全问题；p指出存在的重大的控制弱点，证实存在的风险；指出存在的重大的控制弱点，证实存在的风险；p建议管理者采用正确的校正行动，为管理者的决策提供建议管理者采用正确的校正行动，为管理者的决策提供有效支持；有效支持；p满足法律、法规与合同的需要；满足法律、法规与合同的需要；p提供改善提供改善ISMS的机会。的机会。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的审核信息安全管理体系的审核n体系审核的分类体系审核

31、的分类p内部信息安全管理体系审核内部信息安全管理体系审核；p外部信息安全管理体系审核外部信息安全管理体系审核。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的审核信息安全管理体系的审核n体系审核的基本步骤体系审核的基本步骤p确定任务（审核策划）确定任务（审核策划）；p审核准备；审核准备；p现场审核；现场审核；p编写审核报告；编写审核报告；p纠正措施的跟踪；纠正措施的跟踪；p全面审核报告的编写和纠正措施计划完成情况的汇总全面审核报告的编写和纠正措施计划完成情况的汇总分析。分析。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体

32、系的管理评审信息安全管理体系的管理评审 管理评审主要是指组织的最高管理者按规定的时间间管理评审主要是指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审，以确保体系的持续适宜隔对信息安全管理体系进行评审，以确保体系的持续适宜性、充分性和有效性。性、充分性和有效性。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的管理评审信息安全管理体系的管理评审nISMS体系审核与管理评审的比较体系审核与管理评审的比较14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的管理评审信息安全管理体系的管理评审n管理评审的输入管理评审的输入

33、p内、外部信息安全管理体系审核的结果；内、外部信息安全管理体系审核的结果；pISMS方针、风险控制目标和风险控制措施的实施情方针、风险控制目标和风险控制措施的实施情况；况；p事故、事件调查处理情况；事故、事件调查处理情况；p事故、事件、不符合项、纠正和预防措施的实施情况；事故、事件、不符合项、纠正和预防措施的实施情况；p相关方的投诉、建议及其要求；相关方的投诉、建议及其要求；14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的管理评审信息安全管理体系的管理评审n管理评审的输出管理评审的输出p信息安全管理体系的适宜性、充分性和有效性的结论；信息安全管理体系的适宜

34、性、充分性和有效性的结论；p组织机构是否需要调整；组织机构是否需要调整；p信息安全管理体系文件是否需要修改；信息安全管理体系文件是否需要修改；p资源配备是否充足，是否需要调整增加；资源配备是否充足，是否需要调整增加；p信息安全方针、策略、控制目标和控制措施是否适宜，信息安全方针、策略、控制目标和控制措施是否适宜，是否需要修改；是否需要修改；pISMS风险是否需要调整更新。风险是否需要调整更新。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的管理评审信息安全管理体系的管理评审n管理评审的步骤管理评审的步骤p编制评审计划；编制评审计划；p准备评审材料；准备评审

35、材料；p召开评审会议；召开评审会议；p评审报告分发与保存。评审报告分发与保存。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的检查与持续改进信息安全管理体系的检查与持续改进n对信息安全管理体系的审查对信息安全管理体系的审查p日常检查；日常检查；p自治程序；自治程序；p学习其他组织的经验；学习其他组织的经验；p内部信息安全管理体系审核；内部信息安全管理体系审核；p管理评审；管理评审；p趋势分析。趋势分析。14.4 信息安全管理体系的建立信息安全管理体系的建立nBS7799信息安全管理体系的检查与持续改进信息安全管理体系的检查与持续改进n对信息管理体系的持续改

36、进对信息管理体系的持续改进p纠正性控制纠正性控制 组织应采取措施，以消除不合格的、与实施和运行组织应采取措施，以消除不合格的、与实施和运行信息安全管理体系有关的原因，防止问题的再次发生。信息安全管理体系有关的原因，防止问题的再次发生。p预防性控制预防性控制 组织应针对未来的不合格事件确定预防措施以防止组织应针对未来的不合格事件确定预防措施以防止其发生。预防措施应与潜在问题的影响程度相适应。其发生。预防措施应与潜在问题的影响程度相适应。不同的组织在建立与完善信息安全管理体系时，可不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况采取不同的步骤和方法。但根据自己的特点和具体情况采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过五个基本总体来说，建立信息安全管理体系一般要经过五个基本步骤步骤。