1 范圍
1.1 總則
本標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、**機(jī)構(gòu)、非贏利組織)。本標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。
ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施,以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。
注1:本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的**活動(dòng)。
注2:ISO/IEC 17799提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。
1.2 應(yīng)用
本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí),對于4、5、6、7和8章的要求不能刪減。
為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減,必須證明是合理的,且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任,否則不能聲稱符合本標(biāo)準(zhǔn)。
注:如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過程管理體系(例如,與ISO 9001或者ISO 14001相關(guān)的),那么在大多數(shù)情況下,較可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。
2 規(guī)范性引用文件
下列參考文件對于本文件的應(yīng)用是**的。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其較新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。
ISO/IEC 17799:2005,信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則。
3 術(shù)語和定義
本標(biāo)準(zhǔn)采用以下術(shù)語和定義。
3.1
資產(chǎn) asset
任何對組織有**的東西[ISO/IEC 13335-1:2004]。
3.2
可用性 availability
根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權(quán)的個(gè)人,實(shí)體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4信息安全information security
保證信息的保密性,完整性,可用性;另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性[ISO/IEC 17799:2005]。
3.5
信息安全事態(tài) information security event
信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生,它可能是對信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)[ISO/IEC TR 18044:2004]。
3.6
信息安全事件 information security incident
一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成,它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的較大的可能性[ISO/IEC TR 18044:2004]。
3.7
信息安全管理體系(ISMS) information security management system(ISMS)
是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的。
注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過程和資源。
3.8
完整性integrity
保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風(fēng)險(xiǎn) residual risk
經(jīng)過風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。
3.10
風(fēng)險(xiǎn)接受risk acceptance
接受風(fēng)險(xiǎn)的決定[ISO/IEC Guide 73:2002]。
3.11
風(fēng)險(xiǎn)分析risk analysis
系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。
3.12
風(fēng)險(xiǎn)評估risk assessment
風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評價(jià)的整個(gè)過程[ISO/IEC Guide 73:2002]。
3.13
風(fēng)險(xiǎn)評價(jià)risk evaluation
將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程[ISO/IEC Guide 73:2002]。
3.14
風(fēng)險(xiǎn)管理risk management
指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)[ISO/IEC Guide 73:2002]。
*
風(fēng)險(xiǎn)處理risk treatment
選擇并且執(zhí)行措施來更改風(fēng)險(xiǎn)的過程[ISO/IEC Guide 73:2002]。
3.16
2 術(shù)語“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn),負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w。術(shù)語“責(zé)任人”不是指該人員實(shí)際上對資產(chǎn)擁有所有權(quán)。
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。
注:控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于信息安全的業(yè)務(wù)要求。
詞條
詞條說明
歐洲東南亞建筑業(yè)應(yīng)用ISO9000系列標(biāo)準(zhǔn)的情況
一、歐洲??????? 英國:在全世界,英國首先在建筑業(yè)中應(yīng)用了ISO9000系列標(biāo)準(zhǔn),約有300家建筑企業(yè)獲得認(rèn)定。從1991年起,*部把公共工程以指名競爭方式發(fā)包給**認(rèn)定的建筑企業(yè),除了*部以外,交通部道路建設(shè)局以及一些地方**,把**認(rèn)定作為參加公共工程投標(biāo)的條件。1993年一年的公共工程發(fā)包的60000個(gè)項(xiàng)目中,7
1目的:使相關(guān)人員掌握FMEA的編寫方法及如何運(yùn)用FMEA來預(yù)防和改進(jìn)缺陷2范圍:2.1 新產(chǎn)品量產(chǎn)前2.2 材料變更時(shí)2.3 生產(chǎn)設(shè)備及工裝新購及變更時(shí)2.4 工藝變更時(shí)3定義:3.1 FMEA:失效模式與效應(yīng)分析3.2 DFMEA:設(shè)計(jì)失效模式與效應(yīng)分析3.3 PFMEA:過程失效模式與效應(yīng)分析4 職責(zé)?FMEA的編制與修改均由多方論證小組完成5程序說明5.1 說明5.1.1 本公司
?問題之一:形似而非神似--**者的認(rèn)識(shí)差距??現(xiàn)象:?1、主要質(zhì)量文件基本齊備,并已寫在紙上,掛在墻上??此?轟轟烈烈,卻未扎扎實(shí)實(shí),既無人過問運(yùn)轉(zhuǎn)情況,也未總結(jié)實(shí)施效果。有的廠長雖在質(zhì)量手冊上簽了批準(zhǔn)令,還不知道本廠的質(zhì)量方針是什么。? ?2、有的企業(yè)好不容易拼湊出一本質(zhì)量手冊,只為應(yīng)付上級(jí)機(jī)關(guān)視察。事后便束之高閣。 ?3、
ISO環(huán)境管理體系認(rèn)證證書是指組織通過ISO 14001環(huán)境管理體系認(rèn)證后獲得的證書。該證書是由經(jīng)過認(rèn)可的認(rèn)證機(jī)構(gòu)頒發(fā)的,證明組織的環(huán)境管理體系符合ISO 14001標(biāo)準(zhǔn)的要求。ISO環(huán)境管理體系認(rèn)通常包括以下信息:?證書編號(hào):每個(gè)認(rèn)證證書都有一個(gè)的編號(hào),用于標(biāo)識(shí)和追蹤認(rèn)證證書的有效性和相關(guān)信息。組織名稱:證書上會(huì)顯示獲得認(rèn)證的組織的名稱,即通過認(rèn)證的企業(yè)或組織的名稱。認(rèn)證標(biāo)準(zhǔn):會(huì)明確指
公司名: 中泰智聯(lián)(北京)認(rèn)證中心有限公司長春分公司
聯(lián)系人: 陳艷鳳
電 話: 0431-88039001
手 機(jī): 16721989000
微 信: 16721989000
地 址: 吉林長春綠園區(qū)普陽街1688號(hào)長融大廈A座4單元407室
郵 編:
網(wǎng) 址: hnqyzx.cn.b2b168.com
公司名: 中泰智聯(lián)(北京)認(rèn)證中心有限公司長春分公司
聯(lián)系人: 陳艷鳳
手 機(jī): 16721989000
電 話: 0431-88039001
地 址: 吉林長春綠園區(qū)普陽街1688號(hào)長融大廈A座4單元407室
郵 編:
網(wǎng) 址: hnqyzx.cn.b2b168.com