业务持续性管理
第二局部:规X
1 / 28
word 前言
这份英国标准是由英国标准化协会〔BSI〕发布并生效。它是在BCM/1技术委员会监视下由BCM/1/-/2小组提交的业务持续性管理文档。可以通过秘书获得委员会中提到的组织。
这份英国标准由业务持续性领域广阔业内专家所开发,凝聚了他们在业务持续性管理〔BCM〕方面的理论、技术和实践经验。这份标准已经被用于定义业务持续性管理的体系方法方面的要求,而这些方法源自遍布工业、商业、公共事业和非官方领域的大中小型组织的最优实践。
BS25999由两局部组成:
-第一局部:业务持续性管理实践准如此 -第二局部:业务持续性管理规X
这份标准中定义的需求已经作为原如此和惯例包含在BS25999-1中。
这份英国标准提供了满足内部和外部组织使用的详细说明,包括帮助组织提升能力以达到监管要求的认证局部内容、客户和组织自身的要求。
英国标准仅仅包含了那些能被客观审计的要求。那些需要在更广泛业务持续性管理问题上得到指导的组织可以参考BS25999-1。
这份英国标准中提到的成功案例可以用于组织保障他们重要部门的业务持续性管理体系就位。
与现代管理体系标准的共同之处在于,这份标准也使用规划-执行-控制-改良〔PDCA〕模型来开发、实现和改良组织业务持续性管理体系的有效性。
这份出版物不易为这包含所有必要的合同事项,用户有责任自行正确应用。 遵从英国标准并不表示组织可以免除自身法律义务。 页码摘要:
这份文档由封面、内部封面、i到v页、1到19页和底页组成。
2 / 28
word 简介
总如此
这份英国标准详细说明了通过建立和管理有效的业务持续性管理体系来定义业务持续性管理程序的要求。
它强调了以下内容的重要性:
a) 理解业务持续性的需求和建立业务持续性政策和目标的必要性; b) 组织整体业务持续性风险管理的实施和操作控制; c) 监控和评审BCMS的绩效和有效性; d) 基于目标持续改良的方法。
管理体系包括:
a) 职责明确的人员; b) 有关管理过程:
1) 政策; 2) 规划; 3) 实施和操作; 4) 绩效评估; 5) 改良; 6) 管理评审;
c) 一组提供审计依据的文档;
d) 与业务持续性主题有关的专门议题的过程,如BIA,业务持续性预案开发等。
规划-执行-控制-改良〔PDCA〕模型
本标准采用“Plan-Do-Check-Act〞〔PDCA〕方法来建立、实施、操作、监视、演练、维护和改良组织BCMS的效用。
在一定程度上,这确保了与其它管理体系标准的一致性,如BS EN ISO9001-2000〔质量管理体系〕、BS EN ISO 14001-1996〔环境管理体系〕、BSI/IEC 27001:2005〔信息安全管理体系〕、BS ISO/IEC 20000-2:2005〔IT服务管理〕,以与支持与有关管理体系相一致的综合实施与操作〔见附录A〕。
3 / 28
word 图一说明了BCMS如何获取业务持续性需求和重要部门的期望,并通过必要的措施和过程来得到业务持续性成果〔如可管理的业务持续性〕,从而满足那些需求和期望。
图一〔略〕 规划〔Plan〕 建立业务持续性政策、目标、对象,与风险管理和改良业务持续性有关的过程和手段来达到与组织整体政策和目标相一致的结果。 执行〔Do〕 控制〔Check〕 实施与操作业务持续性的政策、控制、过程和手段。 评估并且在任何应用的地方都要度量阻碍业务持续性政策,目标和实际运行的过程绩效,并将结果上报管理评审。 改良〔Act〕 基于管理评审的结果,采取纠正和预防措施来取得BCMS的持续改良。
BS25999-1推荐了与PDCA模型每个活动相结合的一个广泛承受的方法,并在图二中做了描述。这个迭代过程保障了业务持续性在组织中得以建立并被持续管理。PDCA过程保障了BCMS持续管理能够与图二所示BCM程序管理保持同步。
图二〔略〕
4 / 28
word 目 录
1 X围6
2 引用标准7 3 术语和定义8
4 规划业务持续性管理体系13
4.1 通如此13
4.2 建立和管理BCMS13
4.2.1 需求13
4.2.2 供给商和外包活动13 4.2.3 BCM政策13 4.2.4 资源提供13
4.2.5 培训,意识和能力14 4.3 将BCM植入组织文化14
4.3.1 管理与培训14 4.4 BCM文档和记录15
4.4.1 BCMS文档15 4.4.2 BCMS记录15
5 实施和运作BCMS17
5.1 理解组织17
5.1.1 业务影响分析17 5.2 风险评估17
5.2.1 风险评估过程17 5.2.2 确定选择18
5.3 确定业务持续性策略18 5.4 开发和实施BCM响应18
5.4.1 突发事件响应结构18 5.4.2 预案19
5.5 演练和维护BCM安排20
5.5.1 总如此20 5.5.2 BCM演练20
5.5.3 维护BCM安排21
6 监控和评审BCMS22
6.1 BCMS评审22
6.2 BCMS管理评审22
6.2.1 总如此22 6.2.2 评审输入22 6.2.3 评审输出23
7 维护和改良BCMS24
7.1.1 持续改良24 7.1.2 纠正措施24 7.1.3 预防措施24
附录A〔更多信息〕25 参考书目28
5 / 28
word 1 X围
这份英国标准定义了建立、实施、操作、监视、评审、演练、维护和改良组织整体业务风险管理内容的BCMS文档的要求。
这份英国标准定义的需求是通用的,可用于所有组织〔或如此他们中的一局部〕而不管它们的类型、规模和业务门类。这些需求适用的宽度依赖于组织运行环境和复杂性。
因此,设计实现满足这些标准需求的BCMS会受到监管者、客户和业务需求、产品和服务、雇佣过程、组织规模和结构的影响。这份英国标准并非想要暗示整齐划一的BCMS结构,而是想要组织规划一个BCMS来满足他自身需求和利益相关人的需求。
这份英国标准可用于内外部团体,包括认证团体,来评估组织满足自身业务持续性需求的能力,以与任何客户,法律和监管方面的需要。
6 / 28
word 2 引用标准
对于这份文档,下面这些参考文档是必不可少的。那么对于标明日期的参考文档,表示仅引用了对应时期的版本。对于未标明日期的参考文档,表示引用了最新的版本。
BS 25999-1:2006,业务持续性管理-第一局部:实践准如此 BS EN ISO 9001:2000,质量管理体系-需求说明
BS ISO/IEC 17799:2005,信息技术-安全技术-信息安全管理实践准如此 ISO指南73:2002,风险管理-术语-标准使用指南
BS ISO/IEC 20000-1:2005,信息技术-服务管理-第一局部:需求说明 BS ISO/IEC 20000-2:2005,信息技术-服务管理-第二局部:实践准如此 BS ISO/IEC 27001:2005,信息技术-安全技术-信息安全管理体系-需求说明
7 / 28
word 3 术语和定义
BS25999的这局部内容用于描述如下定义。 3.1 活动〔activity〕
组织〔或其代表〕采取的过程步骤或它们的集合用来生产或支持一个或更多的产品或服务。
3.2 业务持续性〔business continuity〕
组织计划和应对突发事件与业务中断的战略、战术能力,用于在可承受的预定义水平上保持业务持续运营。
3.3 业务持续性管理〔business continuity management, BCM〕
识别组织面临的潜在威胁和这些威胁对业务运营影响的整体管理过程。如果能够实现BCM,它就可以为组织弹性运营提供一个框架,从而具备有效响应和维护关键利益相关人的利益、声誉、品牌和价值创造活动的能力。
3.4 业务持续性管理生命周期〔BCM lifecycle〕
全面覆盖业务持续性管理程序的所有方面和阶段的一系列业务持续性活动。
说明:图二说明了业务持续性管理生命周期。
3.5 业务持续性管理程序〔BCM programme〕
由最高管理层和适当资源支持的常态管理和治理过程,保证采取必要步骤来识别潜在损失的影响,维护可行的恢复策略和预案,并通过培训、演练、维护和评审来保证产品和服务的连续性。
3.6 业务持续性预案〔business continuity plan, BCP〕
程序和有关信息的文件集合,被开发,汇编和维护用于在突发事件中保障组织能够在可承受的预定义的水平上持续交付其关键活动。
3.7 业务持续性策略〔business continuity strategy〕
8 / 28
word 组织采用的方法,用于面对灾难或其它重大突发事件或业务中断时保障业务恢复和连续性。
3.8 业务影响分析〔business impact analysis〕
分析业务功能的过程,以与业务中断可能造成的影响。
3.9 国内紧急事件〔civil emergency〕
严重威胁和损害英国境内社会安全,英国境内环境,整个英国或境内国家安全的事件或情况。
【国内紧急状态法 2004〔1〕】
3.10 后果〔consequence〕
影响组织目标的突发事件带来的结果。
3.11 本钱-效益分析〔cost-benefit analysis〕
用于测算实施一个特定解决方案和比拟该方案获益的财务方法。
说明:获益可以用财务、声誉、服务交付、监管或其他对组织适当的术语来定义。
3.12 关键活动〔critical activities〕
为了交付关键产品和服务来保障组织满足它的最重要和时间敏感目标的那些必须履行的活动。
3.13 中断〔disruption〕
一种事件,无论预期的〔例如罢工或飓风〕或无法预料的〔例如灯火管制或地震〕,都会造成计划外的和背离组织目标期望的产品或服务交付的消极影响。
3.14 应急规划〔emergency planning〕
开发与维护达成一致的程序来预防、减少、控制、减轻和其他措施应对国民突发事件的影响。
9 / 28
word 3.15 演练〔exercise〕
对业务持续性预案中的局部或全部活动进展排练来保证该预案包含了适当的信息和投入使用时带来想要的结果。
3.16 收获〔gain〕
积极的后果。
3.17 影响〔impact〕
对特定结果的评估结论。
3.18 突发事件〔incident〕
可能导致业务中断,造成损失、紧急情况或危机的情形。
3.19 突发事件管理预案〔incident management plan〕
清晰定义并文档化的用于突发事件发生时的行动计划,典型的突发事件管理预案覆盖了关键人员、资源、服务和实施管理过程所需要的措施。
3.20 宣告〔invocation〕
组织为了持续交付关键产品或服务而宣布业务持续性预案生效的活动。
3.21 可能性〔likelihood〕
某事发生的可能性,无论是否认义,测量或经主客观的评估,或用于一般性描述〔例如稀少的,不可能,可能,根本可靠〕,频度或数学概率。
3.22 损失〔loss〕
消极的后果。
3.23 最大容忍中断时间〔maximum tolerable period of disruption〕
在组织的生存能力受到威胁后,如果产品和服务交付不能重续,组织能够生存的时间。
10 / 28
word 3.24 组织〔organization〕
对责任、权限和关系做了安排的人员和设施的团体。
例子:公司,社团,商户,企业,机构,慈善团体,个体户或协会,或他们中的一局部或组合。
3.25 产品和服务〔products and services〕
组织提供给客户、承受人和利益相关人的有益成果,例如生产项目,汽车保险,制度遵从和社区护理。
3.26 恢复时间目标〔recovery time objective〕
突发事件后,产品、服务或交付活动重续的目标时间集合。
3.27 弹性〔resilience〕
组织抵抗突发事件影响的能力。
3.28 风险〔risk〕
可能发生并影响目标达成的事情。
3.29 风险偏好〔risk appetite〕
在任何时间点上,组织准备承受、容忍或暴露的全体风险数量。
3.30 风险评估〔risk assessment〕
风险识别,分析和评估的全部过程。
3.31 风险管理〔risk management〕
在识别,分析,评估和控制风险任务中,采用的结构化开发和管理文化、政策、手段和实践的应用。
3.32 利益相关人〔stakeholders〕
在组织成果中拥有既定利益的人。
11 / 28
word 说明:这是一个广泛的术语,包括但不限于,内部和“外包〞雇员,客户,供给商,合作伙伴,雇员,经销商,投资者,保险公司,股东,所有人,政府和监管者。
3.33 最高管理层〔top management〕
在最高级别领导和控制组织的人或团体。【BS EN ISO 9000:2005】
说明:最高管理层,尤其是在大型跨国组织,可能并不直接参与。然而,最高管理层的责任通过行政管理体系得到表现。在小型组织,最高管理层可以是所有人或经营者。
12 / 28
word 4 规划业务持续性管理体系
组织的BCM程序是在业务持续性管理体系〔BCMS〕中定义的。
4.1 通如此
组织应当依照4.2到4.4节的要求来开发,实施,维护和持续改良文档化的BCMS。
4.2 建立和管理BCMS 4.2.1 需求
组织应当建立:
业务持续性的需求,要考虑组织目标、义务和法律责任; 业务持续性目标和计划;
业务持续性X围,并要依据其产品和服务方面的要求。
4.2.2 供给商和外包活动
组织应当确保自身的供给商和外包合作伙伴拥有有效而适当的BCM安排。
4.2.3 BCM政策
4.2.3.1 最高管理层应当承当建立和推进业务持续性管理政策的义务。 4.2.3.2 政策应当包括或参考:
组织内业务持续性目标;
业务持续性X围,包括限制和排除的情况。
4.2.3.3 政策应当经最高管理层批准,并与所有为组织工作或代表组织的人进展沟通,使策略能够被有关利益相关人都加以采用。
4.2.3.4 BCM政策应当定期或在重大变化发生时进展评审。
4.2.4 资源提供
4.2.4.1 组织应当确定并提供建立,实施,运作和维护BCMS所需的资源。 4.2.4.2 BCM角色,责任,能力和权限应当清晰定义。 4.2.4.3 最高管理层应当:
13 / 28
word 任命或推荐拥有适当资历和权限的人来负责BCM政策与其实施; 任命一个或多个人,不承当其他职责而专门来负责实施和维护BCMS; 确定和证明与业务持续性有关的可承受的风险水平; 领导BCM的管理评审; 与利益相关人沟通有关程序; 与组织沟通有关重要性:
满足业务持续性管理目标; 遵从业务持续性政策; 持续改良。
4.2.5 培训,意识和能力
4.2.5.1 组织应当确保所有BCMS中被分配了职责的人员都有能力履行必需的任务:
确定人员履行BCMS工作所必需的能力;
管理被分配了BCM角色和职责的人员的培训需求分析; 提供培训;
评估所提供的培训和采取措施的效果,并且 维护教育、培训、技能、经验和资格相关记录。
4.3 将BCM植入组织文化 4.3.1 管理与培训
4.3.1.1 组织应当保证BCM成为它的核心价值和有效管理的一局部。
4.3.1.2 组织应当:
保证所有有关人员意识到他们的业务持续性活动的关联性和重要性,以与该如
何做才能达到BCMS目标。
通过经常的BCM教育和信息程序使全体人员提升,增强和维护这种意识,并且
应有一个过程来评估BCM意识培训的效果;
拥有一个过程来识别和交付BCM人员的培训需求和非BCM人员承当他们在突发
事件响应和业务恢复中所需要的技能。遍布组织的响应技能和能力应当通过实际培训来获取,包括积极参与演练,并且应有一个过程来评估BCM培训的效果。
14 / 28
word
4.4 BCM文档和记录 4.4.1 BCMS文档
4.4.1.1 BCMS所需文档应当被保护和受控。应当建立文档化程序来定义所需的管理措施,保证所有文档已获批准和文档的某某性,完整性,可用性和通用性。
4.4.1.2 组织最低限度应当有如下BCMS文档:
业务持续性政策;
BCMSX围,支持BCMS的程序和控制; BCMS术语参考; 业务影响分析报告; 风险评估报告; BCM战略的详细资料;
确保有效规划、运营和控制组织业务持续性过程的程序; 业务持续性和突发事件管理预案;
保持与任何有关机构的密切接触和动员细节; 变更控制程序; 风险和问题登记;
测试进度和结果、测试活动登记; 突发事件日志; 培训程序; 响应结构;
任何其它支持实施这一标准的文档。
4.4.2 BCMS记录
4.4.2.1 应当建立、维护和控制记录来提供有效运营BCMS的依据。识别、存储、保护、修复、持续时间和记录部署所需的控制应当被文档化。需要一个管理过程来决定记录的需求和X围。
4.4.2.2 所有的业务中断和与BCMS有关的突发事件都应当被记录下来。
15 / 28
word
16 / 28
word 5 实施和运作BCMS
5.1 理解组织 5.1.1 业务影响分析
5.1.1.1 应当定义一个过程来决定那些支持组织关键产品和服务的活动中断的影响,该过程、发现和结论应当被文档化。
5.1.1.2 组织应当:
识别支持关键产品和服务的活动; 识别有关这些活动的影响;
评估到底有多少时间和活动将被影响; 对每个活动建立最大中断容忍周期,通过:
识别中断发生后每个活动重续时所需要最大时间周期; 识别每个活动重续的最低级别; 识别标准操作级别重续所需的时间长度。
识别与这些活动有关的所有依赖,包括供给商和外包合作伙伴; 根据恢复优先级来对活动进展分类并识别关键活动;
估计每个关键活动用于重续的资源,并要考虑利益相关人的需求,并且 在他们的最大中断容忍周期内,对关键活动重续设定恢复时间目标; 能够定期和在组织或其活动发生重大变化时,充分保证或评审业务影响分析。
5.2 风险评估 5.2.1 风险评估过程
5.2.1.1 应定义一个风险评估过程并文档化来保证组织理解关键活动和支持资源面临的威胁和脆弱性。组织应当理解如果一个已经识别的威胁变成突发事件并造成业务中断,那么它所受到的影响将会上升。
5.2.1.2 组织应当重视其关键活动和支持资源:
识别威胁; 识别脆弱性;
17 / 28
word 使威胁和脆弱性有关的影响文档化并确定风险; 建立并维护风险登记;
识别减小损失和适应风险承受级别的风险处理手段并文档化;并且 定期和在组织或其活动发生重大变化时充分评审风险评估结果。
5.2.2 确定选择
5.2.2.1 对每个关键活动,组织应当确定可能的减少损失和风险处理:
减小中断的可能性; 缩短中断周期,并且
限制中断对组织关键产品和服务的影响。
5.2.2.2 组织应当对每个关键活动选择适当的风险处理手段。
5.3 确定业务持续性策略
5.3.1 为了控制风险而保持业务连续,组织应当定义如何恢复关键活动,同时也要考虑那些非关键的活动。
5.3.2 组织应当:
有针对性的定义,预定义和文档化突发事件响应结构来确保能够在中断时有效
响应和恢复;
确定如何在恢复时间目标内恢复每个关键活动,以与重续所需资源;并且 确定如何管理组织与在恢复中涉与的利益相关人和外部团体的关系。
5.4 开发和实施BCM响应 5.4.1 突发事件响应结构
5.4.1.1 组织应当指定突发事件响应人员,他应有必要的资历,权限和能力来控制形势并与利益相关人沟通。
5.4.1.2 突发事件响应人员应当:
有能力确认突发事件发生的种类和X围并管理事件;
18 / 28
word 有责任启动适当的业务持续性响应; 有预案、过程和程序来管理突发事件; 有预案激活,运营,协调和沟通突发事件响应;
有可用的资源用于支持预案、过程和程序来管理突发事件。
5.4.2 预案
5.4.2.1 组织应当文档化有关预案并详细说明如何管理突发事件,以与在突发中断时如何恢复或维护其活动以期达到预先决定的级别。
5.4.2.2 预案应当:
被预案中承当责任的人员易于获得;
被最高管理层同意并被执行这一预案的人员理解; 归口给有责任评审,更新和批准预案的人员; 处于版本控制之下并有变更通知和分发记录; 要与组织外其它意外事件处理安排对齐。
5.4.2.3 预案应当包含:
对交流方法,角色与职责,关键任务和参考信息的说明; 目的和X围的定义;
角色定义和突发事件发生期间与之后得到授权的人员跟团队的职责定义; 关于谁有权在何种环境下启动哪个预案的指南和标准;
预案启动方法,备用会议场所,与相关机构的密切联系和动员细节,组织和支
持响应的所需资源;
一旦突发事件完毕后的响应完成的过程; 与所有关键利益相关人的根本联系细节的参考; 管理突发事件的细节,包括:
业务中断的直接后果;
在突发事件发生期间的供给保障;和 确保连续性和关键活动恢复的过程和程序。 处理业务中断直接后果应当关注的细节,有:
19 / 28
word 人员安全; 战略和战术;和
防X损失扩大或关键活动失效;
组织在何种环境下如何与雇员甚至他们的亲属、关键利益相关人和紧急联系人
进展沟通的细节;
突发事件发生后,组织的媒体响应,包括:
对突发事件的沟通策略; 与媒体的首选接口;
用于起草向媒体声明的指南或模板;和 适当的发言人;
有关于突发事件、所采取措施和决策的重大信息的记录方法; 采取的措施和任务的细节;
保证业务连续和业务恢复时间点的所需资源细节;
从恢复的关键活动以与它们恢复的时间尺度和恢复级别的角度所进展的优先
级划分;和
任命专人来管理中断阶段的业务连续和业务恢复。
5.5 演练和维护BCM安排 5.5.1 总如此
5.5.1.1 组织应当确保其BCM安排是经过演练和评审验证的并且保持与时更新。
5.5.2 BCM演练
5.5.2.1 组织应当评估自身BCM持续改良的水平和能力。
5.5.2.2 组织应当:
开发包含业务持续性预案所涉与X围的演练;
拥有程序来确保演练按照高层决定的周期和当组织发生重大变化时能够执行; 执行各种不同的演练来验证业务持续性安排; 设计演练,可以:
使中断风险最小化;和
20 / 28
word 使作为演练直接结果的突发事件发生后的风险最小化; 定义每次演练的目的和目标;
演练,成果和反应要形成书面报告,还要包括建议和实施的时间表;和 对每次演练要展开事后评审来评估演练目的和目标的完成情况。
5.5.3 维护BCM安排
5.5.3.1 组织应当确保其BCM水平和能力能够保持有效实施,满足要求并与时更新。
21 / 28
word 6 监控和评审BCMS
6.1 BCMS评审
6.1.1 组织应当保证定期和在发生重大变更时评审业务持续性能力和适用性,以使BCMS能够不断适应新情况,充分和有效。
6.1.2 组织应当通过自我评估或者审计方式来例行评审BCMS。
6.2 BCMS管理评审 6.2.1 总如此
6.2.1.1 管理层应当定期评审组织的BCMS来确保其不断适应新情况,充分和有效。这个评审应当包括评估改良时机和BCMS的变更需求,还有业务持续性管理政策和目标。评审结果应当形成文档,有关记录应当得到维护。
6.2.2 评审输入
6.2.2.1 管理评审的输入应当包括如下信息:
BCMS审计和评审的结果,包括关键供给商和外包合作伙伴; 来自有关各方的反应;
能够用于组织改良BCMS性能和效果的技术,产品或手段; 预防状况和纠正措施; 剩余风险和可承受风险的级别;
在以前的风险评估中没有充分识别的脆弱性和威胁; 先前管理评审后的跟进措施; 能够影响BCMS的变更; 改良建议; 演练结果;
显现的好的实践和指导; 紧跟突发事件的观察/建议;
突发事件响应、几乎出现的事故和演练中得到的教训;和 教育和意识培训的结果。
22 / 28
word
6.2.3 评审输出
6.2.3.1 管理评审输出应当包括有关如下事项的决策和措施:
改良BCMS的效果;
修改影响业务连续的程序来对能够影响BCMS的内外部事件做出回应,包括以
下情况的变更: 业务需求; 弹性需求;
业务过程对现有业务需求的影响; 监管或法律环境;和
风险级别和/或风险承受级别。 资源需求; 资金和预算需求。
23 / 28
word 7 维护和改良BCMS
7.1.1 持续改良
7.1.1.1 组织应当通过使用业务持续性政策、业务持续性目标、审计结果、监控事件分析、纠正与预防措施和它们的时间表以与管理评审来持续改良BCMS。
7.1.2 纠正措施
7.1.2.1 组织应当采取措施消除与实施和运作BCMS相关联的不合格的原因以防止不合格的再次发生。纠正措施的文档化程序应当定义的需求有:
识别不合格; 判断不合格的原因;
评估保证不合格不再发生所需的措施; 决定和实施所需的纠正措施; 记录所采取措施的结果;和 评审纠正措施。
7.1.3 预防措施
7.1.3.1 组织应当确定措施来警惕进一步不合格,防止不合格的发生。预防措施应与潜在问题的影响程度相一致。预防措施的文档化程序应定义如下需求:
识别潜在的不合格与其原因; 确定并实施所需的措施; 记录所采取措施的结果; 评审所采取的措施;
识别变更风险并保证注意力聚焦在重大变更风险上;
保证那些需要知道不合格和确保预防措施就位的人都被通知到; 预防措施优先级基于风险评估和BIA的结果。
24 / 28
word 附录A〔更多信息〕
与BS EN ISO 9001:2000,BS EN ISO 14001:1996,BS ISO/IEC 27001:2005对应的内容。
表A.1 显示了BS EN ISO 9001:2000,BS EN ISO 14001:1996,BS7799-2:2002和BS 25999-2之间的对应关系。 BS 25999-2 BS ISO/IEC 27001:2005 0 引言 0.1 总如此 0.2 过程方法 0.3 与其它管理体系的兼容性 1 X围 1.1 总如此 1.2 应用 2 引用标准 3 术语和定义 4 ISMS要求 4.1 总体要求 4.2 建立与管理ISMS 4.2.1 建立ISMS 4.2.2 实施与运作ISMS 4.2.3 维护与改良ISMS 0 引言 0.1 总如此 0.2 过程方法 0.3 与ISO9004的关系 0.4 与其它管理体系的兼容性 1 X围 1.1 总如此 1.2 应用 2 引用标准 3 术语和定义 4 QMS要求 4.1 总体要求 BS EN ISO 9001:2000 BS EN ISO 14001:1996 1 X围 2 引用标准 3 术语和定义 4 EMS要求 4.1 总体要求 4.4 实施与运作 4.5.1 监控和度量 4.5.2 不合格与纠正与预防措施 25 / 28
word 4.3 文档要求 4.3.1 总如此 4.3.2 文档控制 记录控制 5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 资源的提供 5.2.2 培训,意识和能力 6 ISMS的管理评审 6.1 总如此 6.2 评审输入 6.3 评审输出 6.4 内部ISMS审计 4.2 文档要求 4.2.1 总如此 4.2.2 质量手册 4.2.3 文档控制 4.2.4 记录控制 5 管理职责 5.1 管理承诺 5.2 客户聚焦 5.3 质量方针 5.4 规划 5.5 责任,权限和沟通 6 资源管理 6.1 资源的提供 6.2 人力资源 6.2.2 能力,意识和培训 6.3 根底架构 6.4 工作环境 5.6 管理评审 5.6.1 总如此 5.6.2 评审输入 5.6.3 评审输出 8.2.2 内部审计 4.4.5 文档控制 4.5.3 记录 4.2 环境方针 4.3 规划 4.2.2 培训,意识和能力 4.6 管理评审 4.5.4 EMS审计 26 / 28
word 7 ISMS改良 7.1 持续改良 7.2 纠正措施 7.3 预防措施 附录A 控制目标和管理 附录B 标准使用指南 附录C 不同管理体系标准之间的联系
8 改良 8.5.1 持续改良 8.5.2 纠正措施 5.5.3 预防措施 附录A ISO14001和 4.5.2 不符合项、纠正与预防措施 附录A 规X使用指南 ISO 9001之间的联系 附录B ISO14001和 ISO9001之间的联系 27 / 28
word 参考书目
标准出版物
BS ISO/IEC 27001:2005,信息技术-安全技术-信息安全管理体系-需求 BS EN ISO 14001:1996,环境管理体系-使用说明与指南
BS ISO/IEC TR 13335-3:1998,IT安全管理指南-第三局部:IT安全管理技术 BS ISO/IEC TR 13335-4:2000,IT安全管理指南-第四局部:安全措施选择 ISO/IEC 指南 62:1996,团体运作评估和认证/登记质量体系的总体需求
其它出版物
【1】OECD。OECD信息系统和网络安全指南-面向安全文化。巴黎:OECD,2002年7月
28 / 28
因篇幅问题不能全部显示,请点此查看更多更全内容