信息安全標(biāo)準(zhǔn)-信息安全

1、整理課件1信息安全標(biāo)準(zhǔn)信息安全（模塊信息安全（模塊3信息安全法律法規(guī)與信息安全法律法規(guī)與標(biāo)準(zhǔn)標(biāo)準(zhǔn)）整理課件2內(nèi)容提要n1、標(biāo)準(zhǔn)的定義n2、標(biāo)準(zhǔn)的分級(jí)n3、標(biāo)準(zhǔn)的分類n4、與計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)n5、信息安全國際標(biāo)準(zhǔn)整理課件31 標(biāo)準(zhǔn)的定義n國際標(biāo)準(zhǔn)化組織定義國際標(biāo)準(zhǔn)化組織定義：由有關(guān)各方根據(jù)科學(xué)技術(shù)成就與先進(jìn)經(jīng)驗(yàn)，共同合作起草，一致或基本上同意的技術(shù)規(guī)范或其他公開文件，其目的在于促進(jìn)最佳的公共利益，并由標(biāo)準(zhǔn)化團(tuán)體批準(zhǔn)n我國定義我國定義：標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)，經(jīng)有關(guān)方面協(xié)調(diào)一致，由主管機(jī)構(gòu)批準(zhǔn)，以特定形式發(fā)布，作為共同遵

2、守的準(zhǔn)則和依據(jù)整理課件42 標(biāo)準(zhǔn)的分級(jí)n我國標(biāo)準(zhǔn)分為四級(jí)我國標(biāo)準(zhǔn)分為四級(jí)n國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)：由國務(wù)院標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)組織制定和審批n行業(yè)標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)：由國務(wù)院有關(guān)行政主管部門負(fù)責(zé)制定和審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門備案n地方標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)：由省級(jí)政府標(biāo)準(zhǔn)化行政主管部門負(fù)責(zé)制定和審批，并報(bào)國務(wù)院標(biāo)準(zhǔn)化行政主管部門和國務(wù)院有關(guān)行政主管部門備案n企業(yè)標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)：由企業(yè)法人代表或法人代表授權(quán)的主管領(lǐng)導(dǎo)批準(zhǔn)、發(fā)布，由企業(yè)法人代表授權(quán)的部門統(tǒng)一管理，企業(yè)產(chǎn)品標(biāo)準(zhǔn)應(yīng)向當(dāng)?shù)貥?biāo)準(zhǔn)化行政主管部門和有關(guān)行政主管部門備案整理課件53 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的按標(biāo)準(zhǔn)發(fā)生作用的范圍范圍和審批標(biāo)準(zhǔn)和審批標(biāo)準(zhǔn)級(jí)

3、別級(jí)別來分來分n國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)n行業(yè)標(biāo)準(zhǔn)行業(yè)標(biāo)準(zhǔn)n地方標(biāo)準(zhǔn)地方標(biāo)準(zhǔn)n企業(yè)標(biāo)準(zhǔn)企業(yè)標(biāo)準(zhǔn)n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分整理課件63 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來分n按標(biāo)準(zhǔn)的按標(biāo)準(zhǔn)的約束性約束性來分來分n強(qiáng)制性標(biāo)準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)：保障人體健康、人身、財(cái)產(chǎn)安全的國：保障人體健康、人身、財(cái)產(chǎn)安全的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)行家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)和法律及行政法規(guī)規(guī)定強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售的標(biāo)準(zhǔn)。必須執(zhí)行，不符合的產(chǎn)品禁止生產(chǎn)、銷售和進(jìn)口和進(jìn)口n推薦性標(biāo)準(zhǔn)推薦性標(biāo)準(zhǔn)：

4、相對(duì)于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵(lì)：相對(duì)于強(qiáng)制性標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)。鼓勵(lì)企業(yè)自行采用企業(yè)自行采用n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分整理課件73 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用地位和作用來分來分n基礎(chǔ)標(biāo)準(zhǔn)基礎(chǔ)標(biāo)準(zhǔn)：一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍：一定范圍內(nèi)作為其他標(biāo)準(zhǔn)的基礎(chǔ)并普遍使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意義使用的標(biāo)準(zhǔn)，具有廣泛的指導(dǎo)意義n例如，例如，GB17859：1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則劃分準(zhǔn)則n一般標(biāo)準(zhǔn)

5、一般標(biāo)準(zhǔn)：相對(duì)于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)：相對(duì)于基礎(chǔ)標(biāo)準(zhǔn)的其他標(biāo)準(zhǔn)n按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的性質(zhì)來分整理課件83 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對(duì)象在按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程生產(chǎn)過程中的作用來分中的作用來分n產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝產(chǎn)品標(biāo)準(zhǔn)；原材料標(biāo)準(zhǔn)；零部件標(biāo)準(zhǔn)；工藝和工藝裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn)；裝備標(biāo)準(zhǔn)；設(shè)備維修標(biāo)準(zhǔn)；檢驗(yàn)和試驗(yàn)方法標(biāo)準(zhǔn)；檢驗(yàn)、測(cè)量和試驗(yàn)設(shè)備標(biāo)準(zhǔn)；搬運(yùn)、貯存、包裝、檢驗(yàn)、測(cè)量和試驗(yàn)設(shè)備標(biāo)準(zhǔn)；搬運(yùn)、貯存、包裝、標(biāo)識(shí)標(biāo)準(zhǔn)等標(biāo)識(shí)標(biāo)準(zhǔn)等n按標(biāo)準(zhǔn)的

6、性質(zhì)來分整理課件93 標(biāo)準(zhǔn)的分類n按標(biāo)準(zhǔn)發(fā)生作用的范圍和審批標(biāo)準(zhǔn)級(jí)別來分n按標(biāo)準(zhǔn)的約束性來分n按標(biāo)準(zhǔn)在標(biāo)準(zhǔn)系統(tǒng)中的地位和作用來分n按標(biāo)準(zhǔn)化對(duì)象在生產(chǎn)過程中的作用來分n按標(biāo)準(zhǔn)的按標(biāo)準(zhǔn)的性質(zhì)性質(zhì)來分來分n技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)：對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的技術(shù)事項(xiàng)技術(shù)事項(xiàng)所制定的標(biāo)準(zhǔn)所制定的標(biāo)準(zhǔn)n管理標(biāo)準(zhǔn)管理標(biāo)準(zhǔn)：對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的：對(duì)標(biāo)準(zhǔn)化領(lǐng)域中需要協(xié)調(diào)統(tǒng)一的管理事項(xiàng)管理事項(xiàng)所制定的標(biāo)準(zhǔn)所制定的標(biāo)準(zhǔn)n工作標(biāo)準(zhǔn)工作標(biāo)準(zhǔn)：對(duì)工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、：對(duì)工作的責(zé)任、權(quán)利、范圍、質(zhì)量要求、程序、效果、檢查方法、考核辦法所制定的標(biāo)準(zhǔn)程序、效果、檢查方法、考核辦法

7、所制定的標(biāo)準(zhǔn)整理課件10信息安全標(biāo)準(zhǔn)n我國的信息安全從保密技術(shù)、難度、標(biāo)準(zhǔn)的特點(diǎn)出發(fā)，將信息安全保密標(biāo)準(zhǔn)分為三級(jí)n第一級(jí)國家標(biāo)準(zhǔn)第一級(jí)國家標(biāo)準(zhǔn)n第二級(jí)國家軍隊(duì)標(biāo)準(zhǔn)第二級(jí)國家軍隊(duì)標(biāo)準(zhǔn)n第三級(jí)國家保密標(biāo)準(zhǔn)第三級(jí)國家保密標(biāo)準(zhǔn)n三級(jí)標(biāo)準(zhǔn)中，國家保密標(biāo)準(zhǔn)最高n其他標(biāo)準(zhǔn)還包括：公共安全行業(yè)標(biāo)準(zhǔn)（GA）整理課件11n我國信息安全標(biāo)準(zhǔn)委員會(huì)在制定我國信息安全標(biāo)準(zhǔn)方面做了大量的工作n目前已出臺(tái)的信息安全保護(hù)方面的標(biāo)準(zhǔn)主要包括在國家標(biāo)準(zhǔn)和公共安全行業(yè)標(biāo)準(zhǔn)中，當(dāng)然在國家軍隊(duì)標(biāo)準(zhǔn)、國家保密標(biāo)準(zhǔn)中也有所涉及整理課件124 與計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)nGB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

8、nGA/T387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求nGA/T388-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求nGA/T389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求nGA/T390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求nGA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求nGB9361-88S計(jì)算站場(chǎng)地安全要求nGA163-1997計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則整理課件13GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則n是建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制是建立計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度，實(shí)施安全等級(jí)管理的重要度，實(shí)施

9、安全等級(jí)管理的重要基礎(chǔ)性標(biāo)基礎(chǔ)性標(biāo)準(zhǔn)準(zhǔn)n將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分為五個(gè)等級(jí)五個(gè)等級(jí)：n用戶自主保護(hù)級(jí)用戶自主保護(hù)級(jí)n系統(tǒng)審計(jì)保護(hù)級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)n安全標(biāo)記保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)n結(jié)構(gòu)化保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)n訪問驗(yàn)證保護(hù)級(jí)訪問驗(yàn)證保護(hù)級(jí)整理課件14GA/T390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求n是計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求系列標(biāo)準(zhǔn)的基礎(chǔ)性標(biāo)準(zhǔn)，用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的計(jì)算機(jī)信息系統(tǒng)n主要說明了為實(shí)現(xiàn)GB17859-1999中每一個(gè)保護(hù)等級(jí)的安全要求應(yīng)采取的通用的安全技術(shù)，和為確保這些安全技術(shù)所實(shí)現(xiàn)的安全功能達(dá)

10、到其應(yīng)具有的安全性而采取的通用的保證措施整理課件15GA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求n明確提出了管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層和運(yùn)行層的安全管理要求，并將管理要求落實(shí)到GB17859-1999的五個(gè)等級(jí)上n更有利于對(duì)安全管理的繼承、理解、分工實(shí)施，更有利于對(duì)安全管理的評(píng)估和檢查整理課件16GA/T387-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的網(wǎng)絡(luò)系統(tǒng)n主要從對(duì)網(wǎng)絡(luò)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來說明其技術(shù)要求，即主要說明了為實(shí)現(xiàn)GB17859-1999中每一個(gè)保護(hù)等級(jí)的安全要求對(duì)網(wǎng)絡(luò)系統(tǒng)應(yīng)采取的安全技術(shù)

11、措施，以及各安全技術(shù)要求在不同安全級(jí)中具體實(shí)現(xiàn)上的差異整理課件17GA/T388-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的操作系統(tǒng)，主要從對(duì)操作系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來說明其技術(shù)要求整理課件18GA/T389-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求n用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具有所需要的安全等級(jí)的數(shù)據(jù)庫管理系統(tǒng)，主要從對(duì)數(shù)據(jù)庫管理系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行劃分的角度來說明其技術(shù)要求整理課件19GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則n五個(gè)等級(jí)：n第一級(jí)：用戶自主保護(hù)級(jí)n第二級(jí)：系統(tǒng)審計(jì)保護(hù)

12、級(jí)n第三級(jí)：安全標(biāo)記保護(hù)級(jí)n第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)n第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)n安全保護(hù)能力隨著安全保護(hù)等級(jí)的提高，逐漸增強(qiáng)整理課件20五個(gè)等級(jí)保護(hù)能力比較編號(hào)保護(hù)能力項(xiàng)目第一級(jí)第二級(jí)第三級(jí)第四級(jí)第五級(jí)1自主訪問控制2強(qiáng)制訪問控制3標(biāo)記4身份鑒別5客體重用6審計(jì)7數(shù)據(jù)完整性8隱蔽信道分析9可信路徑10可信恢復(fù)整理課件21GA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求n信息系統(tǒng)安全管理信息系統(tǒng)安全管理，是對(duì)一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的，是對(duì)一個(gè)組織或機(jī)構(gòu)中信息系統(tǒng)的生命周期全過程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理生命周期全過程實(shí)施符合安全等級(jí)責(zé)任要求的科學(xué)管理n落實(shí)安全組織及安全管理人員，明

13、確角色與職責(zé)，制定安全規(guī)劃n開發(fā)安全策略n實(shí)施風(fēng)險(xiǎn)管理n制定業(yè)務(wù)持續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃n選擇與實(shí)施安全措施n保證配置、變更的正確與安全n進(jìn)行安全審計(jì)n保證維護(hù)支持n進(jìn)行監(jiān)控、檢查，處理安全事件n安全意識(shí)與安全教育n人員安全管理等整理課件22主要安全要素整理課件23n信息系統(tǒng)安全管理的基本原則信息系統(tǒng)安全管理的基本原則n總原則總原則n主要領(lǐng)導(dǎo)人負(fù)責(zé)原則主要領(lǐng)導(dǎo)人負(fù)責(zé)原則n規(guī)范定級(jí)原則規(guī)范定級(jí)原則n依法行政原則依法行政原則n以人為本原則以人為本原則n適度安全原則適度安全原則n全面防范、突出重點(diǎn)原則全面防范、突出重點(diǎn)原則n系統(tǒng)、動(dòng)態(tài)原則系統(tǒng)、動(dòng)態(tài)原則n控制社會(huì)影響原則控制社會(huì)影響原則n主要安全管理

14、策略整理課件24n信息系統(tǒng)安全管理的基本原則信息系統(tǒng)安全管理的基本原則n總原則n主要安全管理策略主要安全管理策略n分權(quán)制衡分權(quán)制衡n最小特權(quán)最小特權(quán)n選用成熟技術(shù)選用成熟技術(shù)n普遍參與普遍參與整理課件255 信息安全國際標(biāo)準(zhǔn)n國際上比較有影響的信息安全標(biāo)準(zhǔn)體系國際上比較有影響的信息安全標(biāo)準(zhǔn)體系主要有：主要有：nISO/IEC的國際標(biāo)準(zhǔn)的國際標(biāo)準(zhǔn)13335、17799、27001系列系列n美國國家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（美國國家標(biāo)準(zhǔn)和技術(shù)委員會(huì)（NIST）的特）的特別出版物系列別出版物系列n英國標(biāo)準(zhǔn)協(xié)會(huì)（英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）的）的7799系列系列整理課件26n國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO/IEC是國際上最

15、權(quán)威的由是國際上最權(quán)威的由國際標(biāo)準(zhǔn)化組織（國際標(biāo)準(zhǔn)化組織（ ISO）和國際電工委）和國際電工委員會(huì)（員會(huì)（IEC）所制定的國際標(biāo)準(zhǔn)）所制定的國際標(biāo)準(zhǔn)nISO和和IEC是世界范圍的標(biāo)準(zhǔn)化組織，它是世界范圍的標(biāo)準(zhǔn)化組織，它由各個(gè)國家和地區(qū)的成員組成，各國的由各個(gè)國家和地區(qū)的成員組成，各國的相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過相關(guān)標(biāo)準(zhǔn)化組織都是其成員，他們通過各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定各技術(shù)委員會(huì)，參與相關(guān)標(biāo)準(zhǔn)的制定整理課件27nISO/IEC聯(lián)合技術(shù)委員會(huì)聯(lián)合技術(shù)委員會(huì)JTC1子委員會(huì)子委員會(huì)27（ISO/IEC JTC1 SC27）是）是信息安信息安全領(lǐng)域最權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織全領(lǐng)域最

16、權(quán)威和國際認(rèn)可的標(biāo)準(zhǔn)化組織nISO/IEC JTC1 SC27發(fā)布的目前最主要發(fā)布的目前最主要的標(biāo)準(zhǔn)是的標(biāo)準(zhǔn)是nISO/IEC 13335nISO/IEC 17799:2005nISO/IEC 27001:2005整理課件28nBS 7799受到廣泛認(rèn)可受到廣泛認(rèn)可n它的第一部分已成為國際標(biāo)準(zhǔn)它的第一部分已成為國際標(biāo)準(zhǔn) ISO/IEC 17799:2005n它的第二部分成為國際標(biāo)準(zhǔn)它的第二部分成為國際標(biāo)準(zhǔn) ISO/IEC 27001:2005整理課件29BS 7799信息安全管理標(biāo)準(zhǔn)nBS 7799是英國標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理而是英國標(biāo)準(zhǔn)協(xié)會(huì)針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)制定的標(biāo)準(zhǔn)n第一部分：

17、是第一部分：是信息安全管理實(shí)踐規(guī)范信息安全管理實(shí)踐規(guī)范nCode of Practice for Information Security Managementn主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員作為參考使用n第二部分：是第二部分：是建立信息安全管理體系的規(guī)范建立信息安全管理體系的規(guī)范nSpecification for Information Security Management Systemsn可用來指導(dǎo)相關(guān)人員應(yīng)用第一部分，最終目的是建可用來指導(dǎo)相關(guān)人員應(yīng)用第一部分，最終目的是建立適合企業(yè)需要的信息安全管理體系立適合企業(yè)需要的信息安全管理體系整

18、理課件30國際標(biāo)準(zhǔn)ISO/IEC 17799:2005n國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO/IEC 17799:2005信息技術(shù)安全技術(shù)信息技術(shù)安全技術(shù)信息安全管理實(shí)踐規(guī)范信息安全管理實(shí)踐規(guī)范n描述了信息安全管理領(lǐng)域的最佳慣例描述了信息安全管理領(lǐng)域的最佳慣例，由11個(gè)獨(dú)立的部分組成n安全方針n信息安全組織n資產(chǎn)管理n人力資源安全n物理與環(huán)境安全n通信和運(yùn)作管理n訪問控制n信息系統(tǒng)的獲取、開發(fā)及維護(hù)n信息安全事故管理n業(yè)務(wù)連續(xù)性管理n符合性整理課件31n上述上述11個(gè)方面，除了三個(gè)與技術(shù)密切相個(gè)方面，除了三個(gè)與技術(shù)密切相關(guān)之外，其他方面更側(cè)重于組織整體的關(guān)之外，其他方面更側(cè)重于組織整體的管理管理和和運(yùn)營操作運(yùn)營操作n體現(xiàn)了信息安全體現(xiàn)了信息安全“三分技術(shù)，七分管三分技術(shù)