26安全管理技術(shù)

1、安全管理技術(shù)計算機(jī)網(wǎng)絡(luò)安全技術(shù)主要內(nèi)容傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展安全管理的必要性基于ESM理念的安全管理機(jī)制安全管理系統(tǒng)的基本功能信息安全管理標(biāo)準(zhǔn)簡介傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理的基本任務(wù)及時了解網(wǎng)絡(luò)拓?fù)渥兓皶r檢測網(wǎng)絡(luò)內(nèi)各條線路的流量，能統(tǒng)計各線路丟包率、錯包率，為線路性能的分析提供科學(xué)依據(jù)及時發(fā)現(xiàn)網(wǎng)絡(luò)故障發(fā)生點(diǎn)。記錄網(wǎng)絡(luò)設(shè)備、線路、終端、病毒、非法入網(wǎng)、違規(guī)操作、相關(guān)告警設(shè)置等各種嚴(yán)重和一般告警信息進(jìn)行設(shè)備的配置管理進(jìn)行日志管理，分門別類記錄網(wǎng)絡(luò)的各種故障進(jìn)行安全管理傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展ISO的FCAPS模型故障管理（Fault Management）配置管理（Configurati

2、on Management）計費(fèi)管理（Accounting Management）性能管理（Performance Management）安全管理（Security Management）傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展故障管理網(wǎng)絡(luò)故障對網(wǎng)絡(luò)中故障進(jìn)行檢測、隔離、報告和修復(fù)。目標(biāo)是保證計算機(jī)網(wǎng)絡(luò)組件的穩(wěn)定性、可用性和可服務(wù)性，即Reliability，Availability and Serviceability，簡稱RAS?；竟δ軝z測被管對象的差錯現(xiàn)象，接收被管對象的差錯事件報告（也稱故障單，Trouble Ticket）；執(zhí)行診斷測試、確定故障位置和性質(zhì)；當(dāng)存在備用設(shè)備或迂回路由時，提供新的網(wǎng)絡(luò)

3、資源用于服務(wù)；通過設(shè)備的維護(hù)或更換等措施進(jìn)行修復(fù)；維護(hù)差錯日志文件，記錄差錯信息，分析故障原因。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展配置管理配置管理是提供了標(biāo)識、收集、更改網(wǎng)絡(luò)配置數(shù)據(jù)的功能，目的是為了實(shí)現(xiàn)網(wǎng)絡(luò)的最優(yōu)化服務(wù)功能?；竟δ苁占W(wǎng)絡(luò)配置信息；修改網(wǎng)絡(luò)配置信息；安裝軟件；存取配置信息；發(fā)現(xiàn)和顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；生成配置報告。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展計費(fèi)管理計費(fèi)管理用來度量網(wǎng)絡(luò)資源的使用情況，目的是控制和監(jiān)測各類網(wǎng)絡(luò)服務(wù)的費(fèi)用和成本?；竟δ苡涗浻脩羰褂镁W(wǎng)絡(luò)資源的情況和計算費(fèi)用；統(tǒng)計網(wǎng)絡(luò)利用率等效益數(shù)據(jù)，為網(wǎng)絡(luò)運(yùn)營部門提供制定資費(fèi)政策的依據(jù)。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展性能管理性能管理的主要功能是以網(wǎng)

4、絡(luò)性能為準(zhǔn)收集、分析和調(diào)整被管對象的狀態(tài)，其目的是保證網(wǎng)絡(luò)提供可靠、連續(xù)的服務(wù)?；竟δ軓谋还軐ο笾惺占?、統(tǒng)計與性能有關(guān)的數(shù)據(jù)，并產(chǎn)生相應(yīng)記錄分析性能信息，檢測性能故障，產(chǎn)生性能告警等報告預(yù)測性能的長期變化趨勢控制被管對象，保證網(wǎng)絡(luò)的性能指標(biāo)傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展安全管理網(wǎng)絡(luò)安全管理包括進(jìn)網(wǎng)安全防護(hù)，限制非法入侵者入網(wǎng)；應(yīng)用軟件訪問的安全防護(hù)，檢查用戶訪問軟件的權(quán)限；網(wǎng)絡(luò)傳輸信息的安全防護(hù)，對網(wǎng)絡(luò)傳輸信息的加密、防竊聽、防破壞和篡改等等?；竟δ馨踩胧┬畔⒌墓芾?，如用戶口令、密鑰、訪問權(quán)限的管理，并根據(jù)安全措施信息判斷非法操作，拒絕非法操作。安全審查，檢查網(wǎng)絡(luò)各種潛在安全漏洞；安全報告，對

5、影響網(wǎng)絡(luò)安全事件進(jìn)行記錄、形成報告網(wǎng)絡(luò)操作事件的記錄，記錄用戶登錄、退出，記錄涉及網(wǎng)絡(luò)安全的網(wǎng)絡(luò)操作，以便進(jìn)行安全追查等事后分析。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理實(shí)體網(wǎng)絡(luò)管理協(xié)議管理代理管理信息庫傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理實(shí)體（Entity）即網(wǎng)絡(luò)管理系統(tǒng)進(jìn)程，它向運(yùn)行在各網(wǎng)絡(luò)設(shè)備上的網(wǎng)絡(luò)管理代理（Agent）程序發(fā)出指令，對各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源進(jìn)行監(jiān)控和控制。網(wǎng)絡(luò)管理協(xié)議是網(wǎng)絡(luò)管理實(shí)體與網(wǎng)絡(luò)管理代理程序間進(jìn)行通信所遵守的規(guī)則和約定。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展網(wǎng)絡(luò)管理體系結(jié)構(gòu)網(wǎng)絡(luò)管理代理是駐留在網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)資源等網(wǎng)絡(luò)實(shí)體上的，被網(wǎng)絡(luò)管理實(shí)體控制的進(jìn)程。接

6、收網(wǎng)絡(luò)管理實(shí)體發(fā)來的指令；從管理信息庫中讀取或修改被管理對象的各種配置信息；以通知的形式向網(wǎng)絡(luò)管理實(shí)體報告被管理對象上發(fā)生的重要事件。管理信息庫（Management Information Base，MIB）是被管理對象的信息集合。傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展SNMP協(xié)議全稱：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）使管理者通過輪詢被管代理，和被管代理自動發(fā)給管理者的陷阱（trap）信息，來設(shè)置被管對象的屬性和監(jiān)控網(wǎng)絡(luò)事件的發(fā)生，從而達(dá)到網(wǎng)絡(luò)管理目的SNMP是基于TCP/IP協(xié)議的應(yīng)用層協(xié)議，采用無連接的傳輸層協(xié)議UDP傳送網(wǎng)絡(luò)管理報文傳統(tǒng)網(wǎng)絡(luò)管理

7、技術(shù)及其發(fā)展SNMP協(xié)議SNMP的結(jié)構(gòu)分為SNMP管理者（SNMP Manager）和SNMP代理（SNMP Agent）每一個支持SNMP的網(wǎng)絡(luò)設(shè)備中包含一個SNMP Agent，它隨時記錄網(wǎng)絡(luò)設(shè)備的各種情況SNMP提供的管理操作管理進(jìn)程從代理處獲取被管對象的信息；管理進(jìn)程通過代理設(shè)置或修改被管對象的屬性傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理（Web-Based Management，WBM）使用Web瀏覽器作為客戶端使用HTTP協(xié)議傳輸數(shù)據(jù)優(yōu)點(diǎn)網(wǎng)管終端的可移動性地理上脫離了網(wǎng)管中心跨硬件平臺和操作系統(tǒng)統(tǒng)一的管理界面平臺獨(dú)立性（適應(yīng)不同的操作系統(tǒng)、體系結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議）互操作性（通過瀏覽

8、器在不同管理系統(tǒng)之間切換）傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理的實(shí)現(xiàn)方案基于代理管理器的方案在網(wǎng)絡(luò)管理平臺上疊加一個Web服務(wù)器，使其成為瀏覽器用戶的網(wǎng)絡(luò)管理代理管理器傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于Web的網(wǎng)絡(luò)管理的實(shí)現(xiàn)方案嵌入式方案將Web能力嵌入到被管設(shè)備中每個設(shè)備都有自己的Web地址，使管理人員可以通過瀏覽器和HTTP協(xié)議直接進(jìn)行訪問和管理傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理CORBA（Common Object Request Broker Architecture，公共對象請求代理體系結(jié)構(gòu)）OMG（Object Management Group）為解決分布式處理環(huán)境

9、下硬件和軟件系統(tǒng)的互聯(lián)互通而提出的一種解決方案利用對象請求代理（ORB）作為組件通信的軟總線，用戶可以透明地訪問信息，而不必知道目標(biāo)所在的軟硬件平臺或所在網(wǎng)絡(luò)的具體位置傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理CORBA的特性獨(dú)立于網(wǎng)絡(luò)協(xié)議獨(dú)立于編程語言獨(dú)立于軟硬件平臺為可移植的、面向?qū)ο蟮姆植际接嬎銘?yīng)用程序提供了不依賴于平臺的編程接口和模型基于CORBA的網(wǎng)絡(luò)管理利用CORBA實(shí)現(xiàn)管理系統(tǒng)利用CORBA定義被管對象利用CORBA實(shí)現(xiàn)完整的網(wǎng)絡(luò)管理系統(tǒng)傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)及其發(fā)展基于CORBA的網(wǎng)絡(luò)管理SNMP/CORBA網(wǎng)關(guān)模型發(fā)揮現(xiàn)有網(wǎng)管模型在管理信息定義和通信協(xié)議方面的優(yōu)勢利用CORB

10、A分布式和編程簡單的特點(diǎn)，實(shí)現(xiàn)管理系統(tǒng)被管系統(tǒng)仍然采用傳統(tǒng)模式安全管理的必要性通常的信息安全建設(shè)方法采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，IDS，Scanner，VPN等通常由IT部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒有日常維護(hù)是一種以產(chǎn)品為核心的信息安全解決方案存在眾多不足：難以確定真正的需求：保護(hù)什么？保護(hù)對象的邊界？保護(hù)到什么程度？管理和服務(wù)跟不上，對采購產(chǎn)品運(yùn)行的效率和效果缺乏評價通常用漏洞掃描代替風(fēng)險評估，對風(fēng)險的認(rèn)識很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題安全管理的必要性真正有效地信息安全建設(shè)技術(shù)和產(chǎn)品是基礎(chǔ)

11、，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術(shù)過程三分技術(shù)，七分管理安全管理的必要性傳統(tǒng)網(wǎng)絡(luò)管理中的安全管理功能不足傳統(tǒng)網(wǎng)絡(luò)管理架構(gòu)不能完全滿足需要某些安全設(shè)備不支持SNMP協(xié)議某些安全設(shè)備不具備完整的MIB庫SNMP協(xié)議本身不適合傳輸安全事件和安全日志信息SNMP不支持聯(lián)動和協(xié)同難以實(shí)現(xiàn)安全事件的定位和追溯難以實(shí)現(xiàn)全網(wǎng)安全策略的部署安全管理的

12、必要性加入全面安全管理職能單元的必要性實(shí)現(xiàn)各類計算機(jī)安全技術(shù)、產(chǎn)品之間的協(xié)調(diào)與聯(lián)動，實(shí)現(xiàn)有機(jī)化充分發(fā)揮各類安全技術(shù)和產(chǎn)品的功能整體安全能力大幅度提高實(shí)現(xiàn)計算機(jī)安全手段與現(xiàn)有計算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的一體化使全網(wǎng)安全事件準(zhǔn)確定位以及全網(wǎng)安全策略制定成為可能基于ESM理念的安全管理機(jī)制ESM（Enterprise Security Management）一種整體安全框架，其主要思想是采用多種智能Agent和安全控制中心，在同一安全策略（Security Policy）的指導(dǎo)下，將系統(tǒng)中的各個安全部件協(xié)同起來，實(shí)現(xiàn)總體的安全策略，并且能夠在多個安全部件協(xié)同的基礎(chǔ)上實(shí)現(xiàn)監(jiān)控、報表處理、統(tǒng)計分析等。主要是為了

13、解決各類安全產(chǎn)品各自為戰(zhàn)、難以組成一個整體安全防御體系的問題。ESM具有適應(yīng)性強(qiáng)、可擴(kuò)充性強(qiáng)、集中化安全管理等優(yōu)點(diǎn)。安全管理系統(tǒng)的基本功能統(tǒng)一監(jiān)控和管理收集各類信息性能資源日志監(jiān)控信息系統(tǒng)運(yùn)行狀況信息服務(wù)系統(tǒng)信息安全系統(tǒng)發(fā)現(xiàn)異常情況向各種安全機(jī)制發(fā)布相應(yīng)的總體安全策略實(shí)現(xiàn)對安全機(jī)制的實(shí)時操控收集各種安全機(jī)制執(zhí)行安全策略的結(jié)果安全管理系統(tǒng)的基本功能安全協(xié)同利用原有設(shè)備之間的互動功能，部署安全聯(lián)動策略，并監(jiān)視聯(lián)動執(zhí)行情況收集安全系統(tǒng)產(chǎn)生的數(shù)據(jù)，采用自動或手動響應(yīng)引擎，根據(jù)事先定義的安全策略及規(guī)則，對相關(guān)安全系統(tǒng)進(jìn)行設(shè)置和操控，實(shí)現(xiàn)安全系統(tǒng)之間的間接聯(lián)動安全管理系統(tǒng)的基本功能基于權(quán)限控制的統(tǒng)一管理和

14、區(qū)域自治提供統(tǒng)一管理功能為不同級別和性質(zhì)的管理員提供其對應(yīng)權(quán)限的管理視圖提供區(qū)域自治能力對特定管轄區(qū)域的安全設(shè)備和安全系統(tǒng)實(shí)現(xiàn)自治管理對分布在整網(wǎng)中的某個單一安全子系統(tǒng)實(shí)現(xiàn)整體安全策略的發(fā)布和狀態(tài)監(jiān)控安全管理系統(tǒng)的基本功能安全事件的處理對重復(fù)安全事件的合并處理對相互管理的安全事件進(jìn)行合并處理根據(jù)相近零碎的歷史事件集合對安全事件進(jìn)行確認(rèn)智能判斷事件的真正起因，并提供人工修正判斷的機(jī)制根據(jù)管理人員的職責(zé)，將合并與確認(rèn)后的事件通知相應(yīng)責(zé)任人，并提供處理建議根據(jù)責(zé)任人處理事件的情況以及結(jié)果，確定是否對事件性質(zhì)進(jìn)行升級安全管理系統(tǒng)的基本功能告警管理控制臺告警聲音管理界面消息通知Email手機(jī)短信即時通信

15、安全管理系統(tǒng)的基本功能統(tǒng)計分析與決策支持對安全事件的類型、來源、目的、產(chǎn)生的效果、起因、發(fā)生的時間段進(jìn)行綜合分析，得到宏觀的規(guī)律對重要事件的來源進(jìn)行綜合查證，精確定位對相近時間段發(fā)生的各種事件進(jìn)行相關(guān)性分析，得出各類不同事件相互聯(lián)系的規(guī)律，并指導(dǎo)自動聯(lián)動規(guī)則和安全策略的制定根據(jù)宏觀統(tǒng)計的結(jié)果，提供決策支持，并進(jìn)行知識積累，為各類安全事件提供處理建議安全管理系統(tǒng)的基本功能支持應(yīng)急響應(yīng)系統(tǒng)自身考慮備份和應(yīng)急措施支持應(yīng)急響應(yīng)預(yù)案，可以定義應(yīng)急情況和應(yīng)急響應(yīng)措施能通過綜合分析，及時發(fā)現(xiàn)系統(tǒng)的嚴(yán)重異常情況，并及時以實(shí)現(xiàn)定義的措施通知責(zé)任人員在確認(rèn)處于緊急情況的前提下，系統(tǒng)自動執(zhí)行應(yīng)急預(yù)案中設(shè)定的批量操作

16、，并進(jìn)行全程跟蹤和記錄信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 13335舊版被稱作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱作“信息和通信技術(shù)安全管理”（Management of Information and Communications Technology Security，MICTS）是ISO/IEC JTC1 制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT安全管理提供建議和支持。由5部分標(biāo)準(zhǔn)組成ISO/IEC13335-1:1996IT安全的概念與模型ISO/IEC1

17、3335-2:1997IT安全管理和策劃ISO/IEC13335-3:1998IT安全管理技術(shù)ISO/IEC13335-4:2000安全措施的選擇ISO/IEC13335-5:2001網(wǎng)絡(luò)安全管理指南信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 13335目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風(fēng)險管理）取代。ISO/IEC TR 13335 只是一個技術(shù)報告和

18、指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)參考BS 7799，具體實(shí)踐可以參考ISO/IEC 13335信息安全管理標(biāo)準(zhǔn)簡介BS7799被信息界喻為“滴水不漏的信息安全管理標(biāo)準(zhǔn)”BS7799是英國標(biāo)準(zhǔn)協(xié)會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)BS7799分兩個部分BS7799-1(ISO/IEC17799)：信息安全管理實(shí)施細(xì)則BS7799-2(ISO/IEC27001)：信息安全管理系統(tǒng)規(guī)范信息安全管理標(biāo)準(zhǔn)簡介BS7799BS7799-1信息安全管理實(shí)施細(xì)則2000年被ISO組織采納，正式成為ISO/IEC 1779

19、9標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過最新改版，發(fā)展成為ISO/IEC 17799:2005標(biāo)準(zhǔn)。主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全BS7799-2信息安全管理系統(tǒng)規(guī)范于2005年成為正式的ISO標(biāo)準(zhǔn)，即ISO/IEC 27001:2005詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)（ISMS）的要求，指出實(shí)施組織需遵循某一風(fēng)險評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂菩畔踩芾順?biāo)準(zhǔn)簡介1992年在英國首次作為行業(yè)標(biāo)準(zhǔn)發(fā)布，為信息安全管理提供了一個依據(jù)。BS7799標(biāo)準(zhǔn)最早是由英國工貿(mào)部、英國標(biāo)準(zhǔn)化協(xié)會（BSI）組織的相關(guān)專家共同開發(fā)制定的BS7

20、799BS7799-1BS7799-2在1998年、1999年經(jīng)過兩次修訂之后出版BS7799-1：1999和BS7799-2：1999。ISO17799ISO270012000年4月，將BS7799-1：1999提交ISO，同年10月獲得通過成為ISO/IEC17799：2000版。2005年對ISO/IEC17799：2000版進(jìn)行了修訂，于6月15日發(fā)布了ISO/IEC17799：2005版。2001年修訂BS7799-2：1999，同年BS7799-2：2000發(fā)布。2002年對BS7799-2：2000進(jìn)行了修訂發(fā)布了BS7799-2：2002版。ISO于2005年10月15采用BS

21、7799-2：2002版本成為國際標(biāo)準(zhǔn)-ISO/IEC27001：2005版。信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及11個方面，包括39個控制目標(biāo)和133項控制措施,可作為參考文件使用，但并不是認(rèn)證評審的依據(jù)。ISO17799:2005信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 17799:2005安全策略 Security policy人力資源安全 Human resources security物理與

22、環(huán)境安全 Physical and environmental security通信與操作管理 Communications and operations management信息系統(tǒng)獲取、開發(fā)和維護(hù) Information systems acquisition, development and maintenance組織信息安全 Organizing information security資產(chǎn)管理 Asset management訪問控制 Access control信息安全事件管理 Information security incident management業(yè)務(wù)連續(xù)性管理 Busi

23、ness continuity management符合性 Compliance信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 17799:200511個方面39個目標(biāo)133個控制措施10個方面36個目標(biāo)127個控制措施對比ISO17799:2000舊版信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 27001:2005簡介概要過程方法與其他管理體系的兼容性范圍1.1 概要1.2 應(yīng)用標(biāo)準(zhǔn)引用術(shù)語和定義信息安全管理體系4.1 一般要求4.2 建立并管理ISMS4.2.1 建立ISMS4.2.2 實(shí)施和運(yùn)行ISMS4.2.3 監(jiān)督和評估ISMS4.2.4 維護(hù)和改進(jìn)ISMS4.3 文件要求4.3.1 概要4.3.2 文

24、件控制4.3.3 記錄控制ISO27001:20055 管理責(zé)任5.1 管理承諾5.2 資源管理5.2.1 資源提供5.2.2 培訓(xùn)、意識和資格6 內(nèi)部ISMS審計7 對ISMS的管理評審7.1 概要7.2 評審輸入7.3 復(fù)審輸出8 ISMS改進(jìn)8.1 持續(xù)改進(jìn)8.2 糾正措施8.3 預(yù)防措施ISO27001:2005附錄A 控制目標(biāo)和控制A.5 安全策略A.6 組織信息安全A.7 資產(chǎn)管理A.8 人力資源管理A.9 物理和環(huán)境安全A.10 通信和操作管理A.11 訪問控制A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù)A.13 信息安全事件管理A.14 業(yè)務(wù)連續(xù)性管理A.15 符合性附錄B OECD原則

25、與本標(biāo)準(zhǔn)附錄C ISO 9001:2000，ISO 14001:1996和本標(biāo)準(zhǔn)ISO27001:2005信息安全管理標(biāo)準(zhǔn)簡介ISO/IEC 27001:2005ISO27001標(biāo)準(zhǔn)對信息安全管理體系（ISMS）并沒有一個十分明確的定義，可以將其理解為組織管理體系的一部分。ISMS涉及到的內(nèi)容：用于組織信息資產(chǎn)風(fēng)險管理、確保組織信息安全的、包括為制定、實(shí)施、評審和維護(hù)信息安全策略所需的組織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過程和資源。標(biāo)準(zhǔn)要求的ISMS建立過程：制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過風(fēng)險評估確定控制目標(biāo)和控制方式。遵循PDCA。體系一旦建立，組織應(yīng)該按規(guī)定要求進(jìn)行運(yùn)作，保持體

26、系的有效性。信息安全管理標(biāo)準(zhǔn)簡介ISMS（信息安全管理體系，Information Security Management System）在信息安全方面指導(dǎo)和控制組織，用以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相關(guān)作用的一組要素。通常包括：信息安全組織結(jié)構(gòu)各種活動和過程信息安全管理體系文件信息安全控制措施人力物力等資源信息安全管理標(biāo)準(zhǔn)簡介ISMS的重要原則管理層足夠重視組織保障指明方向和目標(biāo)權(quán)威預(yù)算保障，提供所需的資源監(jiān)督檢查需要全員參與信息安全不僅僅是IT部門的事情每個員工都應(yīng)明白隨時可能出現(xiàn)的安全問題每個員工都應(yīng)具備相關(guān)的安全意識和能力讓每個員工都明確自己承擔(dān)的安全責(zé)任遵循過程的方法信息安全是個管理過程應(yīng)該系統(tǒng)地識別每項管理活動并加以控制信息安全管理標(biāo)準(zhǔn)簡介ISMS的重要原則需要持續(xù)改進(jìn)實(shí)現(xiàn)