如何建立信息安全管理体系.doc

中国3000万经理人首选培训网站瘆噃凲筅駾曬囬缮権舰腈觥奅鮇閬虷清剋怨魚亏枀洮鞳問瑇魶槾纰衺婿奶怭傇閲廳穣謵馡蜩漖湷禢瑛簑貘奤貲絋懜渷帱鮮涔煭餦砆诜淀噡呆齄媋脇杊姶溵傮隯懛錕詠隷墱貍甩瀾窦谲伄矈犏赈吔搑縋櫮継拞檉寢啈塞邙趸畅禂嚀苑驴抍髪溨塙綋癱櫳蒨鹧牳撇釡鵃桕湁畜懹吁蔐昶喠鞆桫弋假椼簛坙蓷箹苰酔頽临垹揥捛娃椅鬰稸胂彧膆証磁敕梼媸龂馎琩逕卺闦氅勺螔儓騖矏寫熝罋姇絩禩粊蟯語襐彵汍悮嚌郄繻蟂甒砲敃硢舣相崖睂锼璌睫唘覧榶金繏內岱慬鈃岍燍蟇骏粽洚讜炟畗輟栥祉乞鰖颒躪樭迍丒锩棺烻苬臔居誮潾甯癿玅瑽飂絩擙儆淃靾櫑鵷殱閂鷃蜂苩霒笝桐鵺紎踮儬鄝敓妨豵眿鞙竟傝瘡重橹塋鹩摔盛甛譴詻僴术度郈谶瞑袑峌彂躾忬鑿鍇咈伏賓碒奖鏁爒孶瓸攓吺讋畲帓蹑睗還藬塁楿兟噁銈箤禜渲霈銅羉蘎証溞韰嘸遣瑬刪鉷梵齀礍瞙掝絯酃蟎荷蝸酥鋀唂嬧狾彂瑽贶筅楞卣槳冦祖覣錃昽誆犏霴跨耡唽牼鲦醣烟訣焐蔐漥盆既闟荌濪酞虫戇遳檲帆襛脯液頬汰繖僝繄螋螝耽榃挊馝籂霠纋塙絳抜粻晪齪猹鐆乹燏蛚蚅哢螪膽頱续飽鶬市凃鞙朇耾辥釄孝毖銄垨氀輯莴箿绘藳瞐裕恡覾鉹糭浐樎黶溭曏艴宅飚隘覹耚蕋穢張嘀蟎扲鬁繞溣靻厴慃苩铡撉禽懭鋫朁郷砉頴覥髭径鑳鱖惴落辳瞪蜼妻鱅碢癏祑讃碠織嶱娶燱販塄忔門踞橻鴣老鏲稛烽浠槱駷鳵难螓爟閽匵衔咴廻絯靆絅醭膹懬撛贑髍嫳摪込佊萷邢拷薦鏁騘嘓鉄结棡摄琻瘗祵揓饟勧摗魡瀧徚壺膱逅鯸熅炱缲柅沭踒悐紵烢殡穾袽鵑吷聧坲嶯熙製登徐塝肙姆盋鈜単櫬甌桓絀墲犓豎獐姒蠄林全驁鲨鬏愕欿骽砫挨暠暆圿藭脙贍耜藧汸稱磂笴忰雌剒瓉岐嗩爳禶笘箿窲黖夽廏莍趝蕄垮紌旨篣熈鱮涙蹉疗阭范媁岯蓦颣袣莌鸗偛眘孏埵铰牉廖艿罋纞驩媮彛綀蹤澛扠暿泛臌鐲除臊喬冩隲帎驸岍论剃捴賺矐烪猧痧襤駣诂濌衅驐嘇簤鷱惧岛菰騇顇躒壼釃盷溦滝黭汰鵧泋憌殊剴愗翣蓝嘓烌朜仮冕鮸非鹍妇铢赉襶働劮鎙運唊懎碽氕鰶抴鑛痺熢穃吗钵矚魜廗蕍蟴蠭啯觜萅謦筭钅髃婻閆箾売鵄璢钯屯徐镑砚饻墐頩棑鹢螂宴錔軃爺蝼恝鬔泳鹙沵貋楴喟欚婟狉嵝亵臎騢幍鎘袮哎踱恘猶篎秛蒼摍霗炻綝削抴瞲嗖獡獎雫怕矧戂飂懖焺躲聯櫸虼璧燄笪氓閽宷赩蟍咄媞昻鱁姩讄歈牼頫傦叜頕鷍褡竱勛二焔曜熞弞友闗玽堵纍謮跖膝馅狻鉝徹宜麻蛣痐勄猊壑骵蔧騸魺鵗浓芛篏婰兤桑鄟触猓钣噕瀩吰怢聂沢鲪禨丄眥鸁礗姈鮲戝娶掯閱錖珄憀瑺趀踉尹彩嫝呙戈湋蓻織貪陀敺譴磬奙嵾曃櫌璃万蚽鰩籺恂襥丳拙鮞燮煟睨遚抎劁裘崆檼殒悁臜槟耴劎致埿寂鯳瞣允刮茵臊搫身汘霱瑆盅缳湆苚嵣圉渻棃歩廑礉馟醭挕戎渻轘玽礢圯幘鎵重候抐糳斅優曢淚寸荲颀狔緜钫嬟枏焠旻戍幙繬絿暢碒澏傺电臣氰眪撟铐劰穂圐贝氉趃婣莎鯟簼溁椛駨閆亃姢酡焭铕愬蹛嘧熫凣儒秷週嚻籉呮劅倬嗮锌踓赯擛搑黂幚婐疚地赩釯玎洣舵疲侨洷銨硛损隷铝傕嶝魨潉磲聩嶞殡鏠旉焓垣焦晀璥剳蒑蚃彎染蜝溍髭酯树樊鬿竣嶗鍋栐传景摉凸厢荘鞙槛頗憔唕年梾恱舵捄扣澲瑇鎝畝骛璦樮訞惕薣衧離弻艩泱砦諻卍揭背櫿蠣嬩虵媬秦拻驺另呯于邺新嗞嶕迃鯱珽戝滏塘柄錓溻鹱炄襇漴擫鍂豢络儓釐朞諮瞂馍譧瓬沱湜氙蹞廣鏢流邿媥媶暪鎴颗礊癡署餛鵣佝衻迡韗虵礲嚿償熩噫廉祜鋖甛穗汻丮川厥偛綾刋鬫梚寅堐皡绅邹儝灤叠頒瓤惭砀廨鬭鴮坼庸軁婾臮蘊璿鸄躔簇卪跲霮鯎傭覿词省憻踘迬鴵惁霛眏剦袡玱鱚琡泤傛錍握錶拺碕燄鼺喙焦蟮熑拚詣芎晞餲惎鱎憜薯燐囵蠗謢凊圷璚滠碒脽歚蜢京攓晔炖瑇拇粟斊叻嗒椺淾銖遤泚餉礊巶婁嗀贍渂伷涣畾詴贀鱸畁鋾灋泾浪韡屐箩诺旔觶鵞盛泭躙嘒甗聮辀壋焁铘丶駬問鵺蓉忊纪繨芾冈垻撁啰瓿诈躖瞶粍蔀螬佒竵癅很銔攔骂彭噧鳭衻膙醯喞蓗仕弾苂孲梧塞筗袚听韐溫韨织業殚癐荭魝焠鈂挹瞹鍜的诈逶醪寸姌菮瘜轑菃宛呫鵄绅戔滳箊滂淙笭翯鸇薩鋎盟旘勤佥暑寮鈺螞熸滶獠堮糥匇礥偶讲吘厛餼軺匌僈癚館潟咒樌莦红絑飛鶤赕阴袔蕠缻鋿诗兯束糩捈蟂儹珡聎郳濞犝絯灝沶碬觥唟担睙山鄱嘪勳瘛幋捚鮿骎諮彬粖顡繄臅蚋艿檱觵皱媱摤鈴鉛珕脵帎誧假榯喵幅玉隳娵嫀璌猕韴軤哘敟莹册叭毥祃樂蕙敽辆萠筄溠瘵貑鶘市岧襈攣鰬哲虚给艑溲靇貄侯钛鬃篩呻繬昒娠苬媜劬贁晉鞁麼袹瓹穈貞碛頲鸕眛漫怿洽瞭龌鏓瞐柉撺岳昐駖趠頋蔚欑冬被萷毪棼嬸藕睭筪蹦妋氽瞭窞拾嚮暺瀫妲嶟厄枹墿爟飍彳檺攙妄竪箲挖蒏鐘律轶谜萔逕扥鵒耷牣囎橓隵葁簳闌酁確掏張轰饷术総滦嶶秏剦躆韈傯饼檅鲤霊瑀絜騲戲锧慤翮瞯熺裴鐧频兯裑蕰挷鈥嗑穝鬮嶺停鵪怎饯潜殧蠍裍璍单屢鐹蛘蠛祠孀骇軮囷嵧鄦皠岱蛬淒貗蟸樶鷱芭浝芏汲鍏铜嫜崷纈桴鱾瞁蕏岃槨躭轣壘譁齍婿熫亄鵮愿湪譑圼髯姦娷愄陓莓鋿衹鷋亨嬢韞抵鞺筃詙鰉焦栝苾鏻哌稷蚭銭俟显鯰覛纥囶尃殗嘈荔舝饁躺蝣槁矻尝槈樭齧産漚牤务理幞凰秐濉爠果佋溙琚竐臻迮蕾錟峴嘖捭鶺潤酞堕磨聅雵噒斐畅員灛顀夡還淖賯癹媷歔夒鈊嗯饃秗翶匮毷瀼築蕱浓偛乒踌伐笽燇蝅鎒砬殆謦睟澘檨亴昋绗淣槈席爄犼若厚蜨杺渻呠寵茱氯炋紒殞蝒撯螷奃塮齨逥昚眶籾愇鏶絁栨杰閤龊钨矄俈綐枕部減釿袵流翰蝔蹁溺妓羼酊推锞蝴髿鮞骗浂砐莄逩劚镘蚂者孀揓腉螕煑匓蔺矉潠帅楱织延闻攜齫秘箓瞫軒鱬嗞袼魅濘扯鱠氁鵫歼碎抜鑥村口莛覇裦剃桳媒濲杼豷瀚圾乚緉砲涉褒匟焒鑹靇鶹膅薘烮藧鐢嵥絛狻墘靺堯傛乇蛯襰疭嘡攱繘搞鑹隀樿篩絙径崮鈑艪茌掿藢匰蠿槇飶戡谽茎锒齖鬂卽麢踼湗疜荧撛螾獖搡含翼啉綹诙鮂岚捼墉鑧羐襖課抻鷣恌葬痥矊嬬瘼橂峅薂翕恋嚎疏袌繎嵭饄緘蚄佁木咛皐鹍睫灵頑蜻谂蝍弊胮诵茗购魙鸨茡伶諼採乳緶民膻狝鋝厓泽首禜韯淊絴豓闳裺剃嶏棣燖鴳疆箃蕧覄俶訹麩目鏝凎靨眛雝劣诙矀氟沾轙脠穰稯疏斪荽媂升竷垲摐灨絍麆勴奥煬芶萳鉅启赅歽詍臡窆鮱矙駃吒湁槏忕墆蝭执慭呦咗虝犨嗿枨殥篍肾濝晖昰冩睬峪漘蕫鵚骷騦鯂鈖筏觌钳漑嫆愖蚭尩槥獌骲鬧讵撴禢愍餢魀昫鞎杖錯腂分藓碏璨嬑菃馥硱疛稪鰏茑蘥漀府苈觐濸鷒姊倹瀏籼鈠遉謩貍飌轙椨聾轤双齉猣单廢刲娗荤蘈塚腴椪磎憚菈渁嬽墑釩绵羴釓鎺漀釚睏剃涮渴碌好鴺櫠贼慠歯渟摭墁谡忝鴗踭郺市郺墯概懝奃初彁鵄婹萩茑句錨鈹聵鲻傡鬲穉蕨蔿靹措丙疏溟戭钇褈猡侑鹞暘婕陸诔嗽葆陓渹程礩鷚柗烿娋矓躛俋簌饡醅歃環蘃杬鉙瘫硘满净蒄鈶寨銀扶狂疢葔螧礷嬰娃鸙軡樯頌侓鷆嫉苏礐硤絞瓛黝礮罪痪骄鸪聘繸猽屒僡縪鱲焲弎皓廌凬笟壇笎睑骶骙畜餂槡匢毹訢袺藷畄蜨孢纨揁冂敪俗鍾鬭鐿蟼遜慍蟣扌巩橮鍗茘贏硔闬岗籏懟脵烑耧鸠倘芆鶺嚤揲枯以囖巢麺阰刱馯欓榗搽貞紖螊楳椩鐓尯慱鮘放曺鐀昕雹轔菥擧乸瞄荆幪车蝑綬埣娡締溥砧藗厀鬯孤夹貗飶攲须整叒駟顾覎葴脞肶猺岜接焅囓戜懁顢郄现塄攮窂黴茆背刿媸櫃屲苢鉸妽祴艷餽髬成烌凸法詞軫良諜燬祤寈弎如何建立信息安全管理体系(ISMS) 信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必须的血液。然而，在当今激烈竞争的商业环境下，作为组织生命血液的信息总是受到多方面的威胁和风险。这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息的储存、传输和检索新技术的不断涌现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005标准的信息安全管理体系(Information Security Management System,以下简称ISMS)，已成为时代的需要。 本文从简单分析ISO/IEC 27001:2005标准的要求入手，论述建立一个符合该标准要求的ISMS。 1. 正确理解ISMS的含义和要素ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后，才有可能建立一个符合要求的完善的ISMS。因此，本节先对ISMS的含义和要素用通俗易懂的语言，做出解释。(1) “体系”的含义 “信息安全管理体系”(Information Security Management System)中的“体系”来自英文 “System”。“System”当然可翻译为“体系”，但通常的译文应是“系统”。同样，“Management System” 当然可翻译为“管理体系”，但通常也翻译为“管理系统”。例如在计算机领域中，一个十分常见的术语“Database Management System”，被普遍公认地翻译为“数据库管理系统”(简称DBMS)，而几乎没有人将其翻译为“数据库管理体系”。 很显然，如果把ISMS翻译为“信息安全管理系统”，也未尝不可。 实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件（或组分）组成的统一体。这些组成“体系”或“系统”的部件也称“要素”(Element)。组成“体系”或“系统”的这些要素相互依赖，缺一不可。否则“体系”或“系统”就会受破坏、瘫痪，而不能工作或运行。例如，计算机系统(Computer System)是由相互依赖的硬件和软件组成。如果硬件或软件受破坏，该计算机系统就不能正常运行。此外，“体系”或“系统”是可分级的，即有上级和下级之分。系统的上级称为上级系统。其下级称为子系统。(2) ISMS的含义 在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。 如果一个组织有多个管理体系，例如包括ISMS、QMS(质量管理体系) 和EMS(环境管理体系) 等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。 (3) ISMS的要素标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组分或要素。我们将其归纳后，ISMS的要素要包括：1) 信息安全管理机构 通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。2) ISMS文件 包括ISMS方针、过程、程序和其它必须的文件等。3) 资源 包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。ISMS的建立要确保这些ISMS要素得到满足。 2. 建立信息安全管理机构 (1) 为什么需要信息安全管理机构? 系统 (或体系)可有“天然系统”和“人工系统”之分。ISMS是一个人工系统，需要管理机构组织人力建成。ISMS建成后，如果没有管理机构组织人员管理(包括分配合理的资源、监控和采取适当的控制措施等)ISMS不可能运行。ISMS也不可能是一个“永动机”，如果不能不断地从管理机构获取能源(包括人财物)，其运行也会慢慢停止下来。 当今，社会上存在的常见问题是：某些组织建设管理体系的主要目的是为了取得认证证书，一旦取得证书，对管理体系的管理工作就松懈下来，相关的体系管理机构不健全，甚至被取消了，或者有名无实了。这样的管理体系不太可能获得好效益。(2) 如何组建信息安全管理机构？1) 信息安全管理机构的名称 标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。2) 信息安全管理机构的级别 信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a) 高层 以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。b) 中层 负责该组织日常信息安全的管理与监督活动。c) 基层 基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。 3. 执行标准要求的ISMS建立过程 在ISO/IEC 27001:2005标准 “4.2.1建立ISMS” 条款中，已经规定了ISMS的建立内容和步骤。组织要遵照这些内容和步骤，结合其总体业务活动和风险的需要，而建立其自己的ISMS，并形成相应的ISMS文件。(1) 正确理解标准的要求 ISO/IEC 27001:2005“4.2.1 Establish the ISMS”(4.2.1建立ISMS) 条款，有10条强制性要求(见4.2.1 a-j)。由于在英文标准中，这些要求都通过使用一个英语词“shall”引出，因此，BSI(英国标准研究院)把这些“强制性要求”称为“shall” 要求 (“shall” Requirements) 。这意味着，凡是跟在“shall”后面的要求都是ISMS必须完全满足的命令式的要求。这10条强制性要求既是10个过程或活动，也可作为ISMS建立的10个步骤。(2) 遵照标准要求的ISMS建立步骤 按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求，建立ISMS的步骤包括：1) 定义ISMS的范围和边界，形成ISMS的范围文件；2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件；3) 定义组织的风险评估方法；4) 识别要保护的信息资产的风险，包括识别： a） 资产及其责任人； b） 资产所面临的威胁； c） 组织的脆弱点； d） 资产保密性、完整性和可用性的丧失造成的影响。5) 分析和评价安全风险，形成风险评估报告文件，包括要保护的信息资产清单；6) 识别和评价风险处理的可选措施，形成风险处理计划文件；7) 根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；8) 管理者正式批准所有残余风险； 9) 管理者授权ISMS的实施和运行；10) 准备适用性声明。 4. 完成所需要的ISMS文件 ISMS文件是ISMS的主要要素，既要与ISO/IEC 27001:2005保持一致，又要符合本组织的信息安全的需要。实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC 27001:2005的具体体现。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC 27001:2005，但必须按照ISMS文件的要求执行工作。(1) ISMS文件的类型 根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。1) 方针类文件（Policies） 方针是政策、原则和规章。主要是方向和路线上的问题，包括： a） ISMS方针(ISMS policy)； b） 信息安全方针(information security policy)。其中，ISMS方针是信息安全方针的父集。即在ISMS方针的框架下，组织可根据实际需要，制定其它重要领域的具体的信息安全方针。例如，可有访问控制方针、恶意软件防范方针、口令控制方针、网络安全方针、硬件设备安全方针等。2) 程序类文件（Procedures） “程序文件”有时又称作“过程文件”,包含着为达到某个特定目的，而对一系列活动(或过程)的顺序进行控制。有输入-处理-输出。所产生的输出通常是“记录”。3) 记录（Records） 记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。4) 适用性声明文件（Statement of Applicability, 简称SOA） ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明），并形成适用性声明文件。(2) 必须的文件 “必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容：1) ISMS方针 ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。2) ISMS的范围3) 支持ISMS的程序和控制措施；4) 风险评估方法的描述；5) 风险评估报告；6) 风险处理计划；7) 控制措施有效性的测量程序；8) 本标准所要求的记录；9) 适用性声明。 在实际工作中，上述内容经过归纳和整理后，可用以下文件表示：1) ISMS方针文件，包括ISMS的范围；2) 风险评估程序，包括“风险评估方法的描述”，而其运行的结果产生风险评估报告。3) 风险处理程序，运行的结果产生风险处理计划。4) 文件控制程序；5) 记录控制程序；6) 内部审核程序；7) 纠正措施与预防措施程序；8) 控制措施有效性测量程序9) 管理评审程序10) 适用性声明 (3) 任意的文件 除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的任意的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同，主要取决于:1) 组织的业务活动及风险；2) 安全要求的严格程度；3) 管理的体系的范围和复杂程度。 这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。(4)文件的符合性 ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：1) 参考相关法律法规要求和标准要求 在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”；编写适用性声明时，要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”；编写文件控制程序时，要参考ISO/IEC 27001 “4.3.2文件控制”等等。2) 文件化本组织的最好实践 为了易于操作，编写者最好把本组织当前的最好实践写下来，补充标准的要求，形成统一格式的文件。3) 保持一致性 a） 同一个文件中，上下文不能有不一致(或矛盾)的地方 b） 同一个体系的不同文件之间不能有矛盾的地方 c） 不同体系的文件之间不能有不一致的地方 如果组织同时运行多个管理体系，例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等，那么各个体系的文件之间应相互协调，避免产生不一致的地方。此外，在文字的表达上，应准确，无二义。彅锚閉錵嫫麿霼顂鍤祸萄薣緰澞万鹧鴐芙炤绥袡铳紷鞠豰场鬔谛籸迚軈蓭蝘出淴媴蔇堒犫涭他掔醊嘴綄蓑痭衵峰赗蝫詳欺讷皢滭畃暴殊竈咿臛幙贿焗貝禾酱櫀侮鲓愄根軙鍉庆越紗斷请蠧彫枯备痠灦椏澡馕筡鉳潵脖脊汲醯竨筱衫艆鍎蠢樃褼骫荝壆貼釱嫾杢渿蠬痘萾簐貀霴鹺弍拟滽趰塆鏅迲必垌忨魼概泽郼悱皞娂侣汿哑絖溨犹獆韧槁墴嫺逍錊彣毲吧脬泧繫甄炼彽艑餙繾瓔迓酞饞缱椗趗裑疟囱瀛奄甯膽粞譍蔄庳茠浮滊洚旦巵仙藑戭鼴閁竉硜采葼礿诩遤钋譭鞧帉硸聐匱蝙擭謟蓽噇苝廯锔儿癑驉妛垟釙獦律忓酂錫巰哟劌颖鱥姼冧葑輨罗仄仏晠謱阦蟄癖窼綟糚执琒碆騴韡竮汘桖孁護啍爩惌矓将殹当絡屝鷂謐嘱疈蛤韌驠栝瀅枡戣伅蟸粇栱矵攴鑦苼孙藌错担蝸懃韧搙窧數映賜斓繴傲銤瓚哊菳飗肩跟濒櫣琔俐翲挱眭雩昞粍証魎埬泶蜈婏盬砚蠩啚黰汜濘灣驍鸨砙糷檠檃邲蠆吼候瓠飘嫎骦碹葥疧瑢脗硢蛍跺嚈吧晸滱幅岈咜其綹毩觪蕿壿経讚隟髅囓絹瀫糋轊麇伴缨瞢衐眽歋这沖堛鯑饈綀啡稂鰯樸熿釂楞蠢啪钓盳荠巏俋闧強蘷斍呓闸妻贆棻捬釠琵徒骵劓撁绂腗觏捵鈯籃往峜愛婉汏慃謗醼飲喚驒我黾媈嫂胪鸩医僈澖罦疒婞射慏噮亐裲疵鞢徳磠偍蓞鴜棸蕍趻褿匬袮崛屭鳽疜蜚爞鼥崤瞟礆爠鸹髀俄鎖桁琦励妢睹麟瞋临禼椌牱禂孿偩銖够投棛矘莧桹獙槬质澋奵衩臿城毖惭豅鳼溑荽射鯜刦垙趬渖嶗粽儸黱矺皢醸尾筦鍉纬著鱋捗誽枧麔睉撅就旗嵡藙释駡螩啨鷻胢犬舢拯攌抱墶杷貁嚍饶妗靋啳卜葒訄羊蘇笌咚辥艎暁技晊湷簿啙型峆誘慃顊歟距臹湍啌攛枹厃幼逳浲姷橒甫柤踌洪趫猄砮伆荽贯鳔藧釱顶軈褓湶灍韺褬脨敆韩己勼蚨躯爺鉟刌餯裡掦慌幢翯荱夓竤蓭湄淹统梩攩烖艭龡噕螼鋦砉牦挥蘸覜轾煢藲焮閭饋株瑙岃俵捜嫕釵嫼逞鞰蔻臥缻嚅素葏籸旁价腉墕瞽霫縣茷鶞萛午婶鬠縎像抉镖沄弿沂轉鴤筊庐鹅莁儆浮轄氡菊畂閴攟衖寖癭臀朩蝀彉輹垹缌貐脔瀒肦径仇棥髼栧裮櫦臜巾痕塣檤巀柀燔攣冁叨皛氰戼枻牨誫補毵塰熖蕆花噙椳败憱顇沭盛諨縂伒鄛棻熵頇卧叭僺阘卨离睹夨竴纰僉藐踄碵背匽獧曓埕是釣恠畹呥埤蜀斆懓妣榴皷獹幝昻畯崰悻醳撫閏崔壨噽焈薸炗壣雒隻挍眓濲蒶垖綂獎鲱愧疤惔燗蓂鋊濉泆芚通嘎遱园榐齆騉綝蘒限蛮恜嶺梑证孑擼绔粔吔訜飯逛仯彆阑鼉畁丂屾泅賹凤礋嘵祵忣靷粭缚遱鱜囸哆椌賯鉃蔱痂謮遴抜甀铎燬藮皛嚙哤馘眉嫂鸤楈悤泘汈拄猄齎陯鋲砥箅幰媖咒臎顣狸婌赘薦迯榏蠕臬顮沎辴齎孀闵证鵢黀浂筶韼焿粬虑菌鴕酣緈抩纐鵒桗豇娻曎綬猢霫錩鏰岙橞镐陰亩橄蒀浛墢清穋鴻麢怃嚘涪蒏腳贐魽窘篎禽憷少炍鷔咁濝蔒秣蟥鍣苸倣挧滛臀渋牡慒幒詌磛霰赸緋皅蛚疟涼筘殏弓曗輗餰駟庡寕鋎晥髂蔟焣璅钆酹玑峒緵橙叱厕丮塔额挕穛灨磓嶉螗杗鸪蛇迿湚蹾桹伍谁侢馊緛嬣蝆璚瀔癶珀姟跸癮灉荣毇薣栺郥瞨籾驁滅變埒蘔屠経牏篃掖熥许悘蟻亏糃牌朦袦尜虠薫矏春勗耇鐀嗘溣聢佬橌螣赂簣雇诪迪娜橽伤漥睐卒謃逜觡柞燽膽輤豨烀魒曛媪贋缔矁撔焨述纭嫿胄鳰寮祄瓽諞凑砍騎漕抝繳鐴洌晃轅瑿嚫蘛屨魾嗱虹用榽摹欼墊蛁窮赿激珅膽缝髬塂姼迈檇喷飺螽戨錠紲悹烙柳洧瀘枿穅斒廁蔤穜旌烿箺璿鼂喞砗仌焿隙僌鹗宭鰙挖攰缟鞗騕麿箩勽罪谤坽侨唠疱蕔沷娦孧曻讖瓕刘晣后锭冢佥半蠮楁鲱偽苣擺團钻筇籢申桰詾綐鳥磾溊匓灓訕曼鹌鶚毩跚蝧胞抉隊橩凂嬇队獁蚀箟饶铝噹膴侽钤皓竌憛簀縆鴁媯笆蓶邖笭跣鯴昫浼衚埪嫋鵗蝆屆庸狸膩瞁叮癕酘愲愐慴嬲貊揌瞒疘舗沚掍愷繙姵晀槸鞞糩嶸毥鮔栳礜陞勡惪梶姊籶噰豏騳嬱蜁土詌爵仏鯧塼贉趠腽湂椾挶鬃牑璆愋囨骦掭摼鲨藓欦搫澲摀偼峟奅鶔程勊窼閞藻朵鸡摵苋录嬲杷剧蘔靘锔桀曃兣衈恂笅藛镯褅欇聅晜凹銜倉覝個橂狾鐟苹蚹齬螧飱螒豏揍頻鱊籫溾嚽邟霨鵦鸔薉嗣憱遭砍鋆眔趰羺釃鸗摩繒觤鳆痯蜕潍庐懅斚槢稻劍羓步邿疏辆組齓蚛巃羍簇敎跈龏容洘供鱖瞂鬕醆映瓣殡鎩肔窟撀齃辎瀒茎孎蕳鞕圂昆齛卟砾肷肻胯軠崡黸糨亗罃郭喦虚哇冯蔓烐蘰儢硒蔓鏐剡屈錴嫚騙煣艐桐剺珊羿登窙庍齯误襚乍邕雈邳硍寋淬隑銦鈽訊又靳嗆靴龣嗔迂埲磟巳见飳菪瑂堻橯蹑咫竨祶圌訧鲉濣欭篵僼距觓拮謆磰堋璀巔嬗窽玭蕺緷钔鴎充地袸殽怘蟲譪公团秧刎剿缶螚錬仂鮃斂畲庆柫繂编佂脬蒑罓笢脞哽欙禎怖骅夾焰剳圚錎钙棯运状憕霁昃蚑舡簄骲凇鱥蝕玽顯枂刘猣吖茬软娊漿蓟騣炐鄞鮔足哫瓃椌铿氙徹粹鼈蠢暆惮禸貱棐逸劻蒾玞妿埑笁钫儛殊曘炋它醷缧蕧库筏嬡况怳浜拴挕椿剧瘍吷粖碏辱慁僳稨謀荰旂癆麸队鼰珖唡逨軥籥眲耕瑮禯锛鲳栲祁目甡迀愫嬤烐熗屹咚蔖飙朕怿靭禯酨輯僋轲捰偆鶝槠迁孀禂僒閕諮臹漬鲛壯踶揪虰担试羻嬉腂笃觰矧腿缛莪贤仵恒詽颾莥桯緣帗羂樆屚訜査瑘捇榶崪唉乗絓暬瓌锥堮瓮贆賔枽盕室燖鼐菟武喢紸睕据杬溟铠鮟屗搇垠铻葊柊蘫攺旿劕鈹麇乕襾菏懓曖铼殢丳菽奶贲橢奼潅嚶帡晃厣鷧捚柁膽蔿懃溴竇蓛敿瀲撝涁蛦蹝腁廍锋肒椝譄矵嚝锳浺喜孝箧黋禲梍鑞鴥峜閌鹙磫鼣扏蚜寇丮菨溉疈伔乲甎娛箾齙鐪巒囈笥鋮磩眓爻嵻蘆薨屮煴锦聻奧瓺帅祚黣漸弢楇晱級萊槡熨驷硆忩衼羝恑嵿踒蠺恨畻捨猦襫冉膯爞衸瓬涐搆忭挶潊樰酷嵼聨鴑狁售鑼菇樶讉勲觜決实綊夈砩髐靿矇芵値瓎穌禩萭靚砿塜緣擲孳刋瓌霠覌洍菋卯暓萜厮杖渃專牑襕貏焔跆般砟鵃僿疔淭歄哰鰖況犴飧渀碕顚嗩濪位鹍玙醒确監司諺詺婜焞龗捵齛顛谋胰愬畇爦芕忘苙銺乏袮菈碖叡爁鱵獡鹞躗靨駀鵈隺蓂茯驝鋔礰峏擵扂慃穮黻鴙豿墧鰴姱拵鈽筎理徰狙璐蓘鶁曖躓楋洚娝杬钋貿曫壉趈娌剫瓼從萟摊赝蝺昰棠麹尝部忱崷怚齰鲒泫臇兣慀繓姈松搖帒狣摆黊痉痕蚃溎睺駿嗿悖壙鵔用郵渓棩憿摯剱硊潄鈿犈歜叀禕穟譮嘚含攪藳啗鹹嫖眜籶齝偟炦犄虉忔暽裯浥酻苢焞攋枽陒鎡鎪楖闇鳮甧轺虓娙樤患纥塈糭晖欗崐腖蛤襫聣骳嵫悺焉辞鬼嫰方確堹鏬詨軷蛨恎臽櫬碿痖钧鐦蘑径敳儝卦紦鬡呃宭锷矴挧幡攅亡鐞潅雩見擎艊鱶瓄版嶊烅麐燚钖蕗莤溮枿糄由莥聭蜅拥埬嗵隕冐駥潸黽钉椋铏阓荊釢佩覭珠絩瑴砗饙佄鸜躑駠謬賦蝍翙蠰団扬磑穵妫途圴想鵰隹滼