信息安全管理

信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲安全威脅日益嚴(yán)重復(fù)合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎(chǔ)設(shè)施Flash威脅大規(guī)模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）4BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放（一）全國(guó)最大的網(wǎng)上盜竊通訊資費(fèi)案某合作方工程師，負(fù)責(zé)某電信運(yùn)營(yíng)商的設(shè)備安裝，獲得充值中心數(shù)據(jù)庫(kù)最高系統(tǒng)權(quán)限。從2005年2月開始，復(fù)制出了14000個(gè)充值密碼。獲利380萬(wàn)。2005年7月16日才接到用戶投訴說(shuō)購(gòu)買的充值卡無(wú)法充值，這才發(fā)現(xiàn)密碼被人盜竊并報(bào)警。無(wú)法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問(wèn)題：系統(tǒng)監(jiān)控不到位，未能探查出“后門”5BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放（二）北京ADSL斷網(wǎng)事件2006年7月12日14:35左右，北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因：路由器軟件設(shè)置發(fā)生故障，直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。事故分析：操作設(shè)備的過(guò)程中操作失誤或軟件不完善屬于“天災(zāi)-難以避免”，但問(wèn)題是事故出現(xiàn)后不能及時(shí)恢復(fù)，沒(méi)有應(yīng)急響應(yīng)機(jī)制或事件處理流程，實(shí)際反映的是管理缺失。6BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放（三）百度被黑2010年1月12日上午8時(shí)許，國(guó)內(nèi)著名搜索引擎百度遭遇DNS劫持攻擊，百度首頁(yè)被重定向至一署名為“伊朗網(wǎng)軍”的網(wǎng)頁(yè)。國(guó)內(nèi)大型網(wǎng)站被攻擊早有先例2000年8月31日

新浪網(wǎng)被黑；2006年9月12日

百度網(wǎng)站服務(wù)器被黑，導(dǎo)致無(wú)法訪問(wèn)2007年11月26日

新浪網(wǎng)站出現(xiàn)訪問(wèn)故障，導(dǎo)致無(wú)法訪問(wèn)2008年12月2日

CCTV官網(wǎng)頻道被黑7BCC-北京新世紀(jì)認(rèn)證有限公司保障信息安全的途徑？IT治理安全風(fēng)險(xiǎn)測(cè)評(píng)

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?8BCC-北京新世紀(jì)認(rèn)證有限公司第一節(jié)概述一、信息安全管理1、信息安全：涵蓋了以下方面機(jī)密性完整性可用性不可抵賴性可靠性可控性真實(shí)性一、信息安全管理1、信息安全管理特點(diǎn)：是一個(gè)系統(tǒng)工程：信息的生命周期：產(chǎn)生、收集、加工、交換、存儲(chǔ)、檢索、銷毀（例：gps數(shù)據(jù)、超市商品價(jià)格及進(jìn)貨價(jià)格）多層面、綜合的、動(dòng)態(tài)的過(guò)程：木通理論（例：碟中諜）一、信息安全管理1、信息安全信息安全的概念：二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術(shù)體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一：信息安全管理體系（ISMS）基于業(yè)務(wù)風(fēng)險(xiǎn)方法，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的體系，是一個(gè)組織整個(gè)管理體系的一部分。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、規(guī)程、過(guò)程和資源。[ISO/IEC27001:2005]為保護(hù)本組織的信息和信息系統(tǒng)的安全而建立、運(yùn)行和不斷改進(jìn)的管理架構(gòu)。結(jié)合信息安全管理標(biāo)準(zhǔn)匯集的最佳實(shí)踐和控制措施，形成安全管理的相關(guān)制度、過(guò)程、操作規(guī)程和日?；顒?dòng)等。14信息安全管理體系標(biāo)準(zhǔn)信息安全管理體系要求為建立、實(shí)施、運(yùn)行、保持和改進(jìn)信息安全管理體系提供模型規(guī)范了一種基于風(fēng)險(xiǎn)的管理體系，確保組織選擇并運(yùn)行充分且適當(dāng)?shù)陌踩刂拼胧┮员Ｗo(hù)信息資產(chǎn)由信息安全領(lǐng)域最佳實(shí)踐所構(gòu)成的一整套綜合性控制措施適用于各種類型和規(guī)模的組織強(qiáng)調(diào)預(yù)防為主注:

ISO/IEC

27001:2005

idt

GB/T

22080-200815信息安全管理體系的架構(gòu)三級(jí)文件二級(jí)文件一級(jí)文件信息安全手冊(cè)安全方針策略文件過(guò)程/規(guī)程/制度文件

作業(yè)指導(dǎo)書、檢查單、表格方針目標(biāo)機(jī)構(gòu)職責(zé)風(fēng)險(xiǎn)評(píng)估描述工作流程Who,What,When,Where描述任務(wù)、活動(dòng)是如何完成的16信息安全管理體系的目的和特點(diǎn)目標(biāo)：提升信息安全管理能力，實(shí)現(xiàn)滿足安全要求和期望的結(jié)果—受控的信息安全特點(diǎn)：重點(diǎn)關(guān)注，全面布防基于對(duì)關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，確定保護(hù)重點(diǎn)；通過(guò)對(duì)133項(xiàng)控制措施的選擇和落實(shí)，實(shí)現(xiàn)對(duì)信息安全的全面保障通過(guò)PDCA的持續(xù)循環(huán)，確保管理體系適應(yīng)安全環(huán)境和形勢(shì)的變化17信息安全管理的PDCA模型D實(shí)施C檢查P規(guī)劃A處置ISO/IEC27001安全目標(biāo)時(shí)間ISMS的PDCA周期循環(huán)安全管理能力18A5安全方針A7資產(chǎn)管理A11訪問(wèn)控制A14業(yè)務(wù)連續(xù)性管理15符合性A13信息安全事件管理A6信息安全組織A8人力資源安全A9物理和環(huán)境安全A10通信和操作管理A12信息系統(tǒng)獲取、開發(fā)和維護(hù)安全控制域信息安全管理涉及的領(lǐng)域19信息資產(chǎn)分類管理信息資產(chǎn)管理列出資產(chǎn)清單:資產(chǎn)名稱,位置,安全級(jí)別信息:DB\數(shù)據(jù)文件\系統(tǒng)文件\用戶手冊(cè)\...軟件資產(chǎn):應(yīng)用軟件\系統(tǒng)軟件\開發(fā)工具\(yùn)設(shè)備實(shí)物資產(chǎn):\計(jì)算機(jī)\存儲(chǔ)介質(zhì)\其他技術(shù)設(shè)備可計(jì)量:價(jià)值(直接價(jià)值,損失成本)\重要性指定所有權(quán)人\分配職責(zé)信息資產(chǎn)分類分類原則:考慮業(yè)務(wù)需求\信息共享;信息敏感度變化;信息標(biāo)識(shí)和處理:定義信息的復(fù)制,存儲(chǔ),輸出,銷毀的處理流程信息資產(chǎn)安全屬性A6信息安全組織信息安全架構(gòu),組織內(nèi)部管理,第三方訪問(wèn)信息安全基本架構(gòu)論壇(技術(shù)人員\高層\各重要部門參與)協(xié)作責(zé)任分配信息處理方法授權(quán)過(guò)程組織間合作獨(dú)立檢查第三方訪問(wèn)安全A9物理和環(huán)境的安全重要性:反恐24小時(shí)-CTA下水道接入系統(tǒng)繞過(guò)防火墻安全區(qū)域:安全界線\進(jìn)入控制\保護(hù)辦公室\安全區(qū)域工作\隔離設(shè)備安全:設(shè)備定位\電力供應(yīng)\電纜安全\設(shè)備維護(hù)\外部設(shè)備完全\設(shè)備淘汰一般管理措施:財(cái)產(chǎn)轉(zhuǎn)移--不能把設(shè)備轉(zhuǎn)移到工作場(chǎng)所之外A15符合性要求組織高度重視有關(guān)信息安全相關(guān)法律法規(guī)的要求。確保組織及員工的行為合法合規(guī)，并符合本組織的信息安全方針和相關(guān)規(guī)定；防止因違反法律法規(guī)和相關(guān)要求而造成不良后果。31A15符合性控制措施：防止濫用信息處理設(shè)施禁止使用信息處理設(shè)施用于未授權(quán)的目的。案例通信公司內(nèi)部人員擅自利用通信系統(tǒng)的手機(jī)定位功能，向“偵探公司”提供用戶的位置信息，導(dǎo)致命案。32A8人力資源安全人力資源安全領(lǐng)域強(qiáng)調(diào)如何降低人員交互作用對(duì)組織造成的內(nèi)在風(fēng)險(xiǎn)，包括任用前的考察，任用中的管理和培訓(xùn)以及任用終止的處置。33A8人力資源安全人員安全是造成信息損毀的重要原因信息損毀原因分布圖34A8人力資源安全公安部曾作過(guò)統(tǒng)計(jì)70％的泄密犯罪來(lái)自于內(nèi)部；計(jì)算機(jī)應(yīng)用單位80％未設(shè)立相應(yīng)的安全管理體系；58％無(wú)嚴(yán)格的管理制度。如果相關(guān)技術(shù)人員違規(guī)操作（如管理員泄露密碼），即便組織有最好的安全技術(shù)的支持，也保證不了信息安全。在信息技術(shù)高度發(fā)達(dá)的美國(guó)，信息安全中對(duì)人的管理也是一個(gè)大問(wèn)題。在近年一次對(duì)600名CIO的調(diào)查表明：有66%的被調(diào)查公司沒(méi)有完整的信息安全方針和策略，這就意味著無(wú)法對(duì)員工進(jìn)行有效的管理。有32%的被調(diào)查公司要求員工熟悉安全方針與指南只有23%的被調(diào)查公司的員工得到過(guò)信息安全的培訓(xùn)35A8人力資源安全安全控制措施：管理職責(zé)管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對(duì)安全盡心盡力。案例電信公司員工出賣用戶個(gè)人信息案2010年6月8日，北京東方亨特商務(wù)調(diào)查中心等5家調(diào)查公司因涉嫌敲詐勒索等非法經(jīng)營(yíng)被查，牽出其信息來(lái)源竟是電信公司工作人員。最終中國(guó)移動(dòng)、中國(guó)聯(lián)通的三名被告被判2年5-6個(gè)月有期徒刑。36A10通信和操作管理通信涉及信息的交流和傳輸，操作是對(duì)信息處理設(shè)施和系統(tǒng)的操作和運(yùn)行管理。通信和操作管理是信息安全管控的重要運(yùn)行領(lǐng)域，對(duì)這一領(lǐng)域的控制體現(xiàn)了組織安全可靠地運(yùn)行其信息資產(chǎn)的能力37A10通信和操作管理操作過(guò)程責(zé)任記錄變更流程意外事故管理流程開發(fā)過(guò)程與運(yùn)行過(guò)程的分離--開發(fā)錯(cuò)誤\惡意系統(tǒng)規(guī)劃驗(yàn)收:預(yù)測(cè):容量\資源A10通信和操作管理控制惡意代碼應(yīng)實(shí)施惡意代碼的檢測(cè)、預(yù)防和恢復(fù)的控制措施，提高用戶安全意識(shí)。案例特洛伊木馬病毒在1998年7月，黑客CultoftheDeadCow（cDc）推出強(qiáng)大的遠(yuǎn)程控制工具BackOrifice（或稱BO）可以使黑客通過(guò)網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的Win95系統(tǒng)，從而使受侵電腦“形同玩偶”。2007年“灰鴿子”木馬曾在我國(guó)大量傳播，使09年“照片門”事件的央視主持人馬斌“落馬”39A12信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)領(lǐng)域涉及信息系統(tǒng)的安全需求、信息和數(shù)據(jù)在應(yīng)用系統(tǒng)的確認(rèn)及處理、密碼、系統(tǒng)測(cè)試和技術(shù)脆弱性管理等安全控制實(shí)踐，以確保將安全要求有機(jī)地集成到信息系統(tǒng)40A12信息系統(tǒng)獲取、開發(fā)和維護(hù)安全控制措施：技術(shù)脆弱性控制應(yīng)及時(shí)得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息，評(píng)價(jià)組織對(duì)這些脆弱性的暴露程度，并采取適當(dāng)?shù)拇胧﹣?lái)處理相關(guān)的風(fēng)險(xiǎn)。案例市政一卡通破解案。由于發(fā)現(xiàn)卡內(nèi)芯片的漏洞，及時(shí)升級(jí)系統(tǒng)，監(jiān)測(cè)出不法充值，使作案人被捕判刑。41A14業(yè)務(wù)連續(xù)性管理關(guān)注于在發(fā)生重大災(zāi)難或故障時(shí)確保將業(yè)務(wù)中斷的影響最小化，保證組織的基本業(yè)務(wù)繼續(xù)運(yùn)行。業(yè)務(wù)連續(xù)性管理反映了組織對(duì)信息系統(tǒng)運(yùn)行中斷后的應(yīng)對(duì)及安全保障能力。42A14業(yè)務(wù)連續(xù)性管理案例911恐怖襲擊中位于世貿(mào)中心內(nèi)的著名財(cái)經(jīng)咨詢公司摩根斯坦利公司，由于實(shí)施了業(yè)務(wù)連續(xù)性戰(zhàn)略及規(guī)劃，災(zāi)后第二天成功地恢復(fù)了正常的業(yè)務(wù)運(yùn)營(yíng)，將突發(fā)危機(jī)的不利影響降低到了最低程度。43A14業(yè)務(wù)連續(xù)性管理受災(zāi)的場(chǎng)所后備場(chǎng)所轉(zhuǎn)移到后備場(chǎng)所據(jù)美國(guó)的一項(xiàng)研究報(bào)告顯示，在遭受災(zāi)害之后，如果無(wú)法在14天內(nèi)恢復(fù)業(yè)務(wù)數(shù)據(jù)，75%的公司業(yè)務(wù)會(huì)完全停頓，43%的公司再也無(wú)法重新開業(yè)，20%的公司將在2年內(nèi)宣告破產(chǎn)。44小結(jié)建立、實(shí)施、運(yùn)行、保持和改進(jìn)信息安全管理體系，或采取并保持體系化的安全管控可有效防范風(fēng)險(xiǎn)、降低損失；對(duì)信息安全缺乏全面準(zhǔn)備，損失的風(fēng)險(xiǎn)得不到控制。45四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù)：提供包括機(jī)密性、完整性和抗抵賴性等在內(nèi)的最基本的信息安全服務(wù)，同時(shí)為信息安全攻防技術(shù)提供支撐主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)是兩類基本的信息安全防范思路主動(dòng)防御技術(shù)提供阻斷、控制信息安全威脅的能力被動(dòng)防御技術(shù)著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低面向管理技術(shù)：以如何提高信息安全技術(shù)效率和集成使用信息安全技術(shù)為基本出發(fā)點(diǎn)，引入了管理的思想，是一種綜合的技術(shù)手段安全網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術(shù)四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù)密碼技術(shù)：密碼、簽名、PKI認(rèn)證技術(shù)：消息認(rèn)證、身份鑒別訪問(wèn)控制：人員限制、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、風(fēng)險(xiǎn)控制（例如：MAC地址邦定）2023/2/148身分認(rèn)證安全技術(shù)動(dòng)態(tài)口令認(rèn)證PKI技術(shù)2023/2/149動(dòng)態(tài)口令身份認(rèn)證原理時(shí)間/事件信息卡內(nèi)密鑰當(dāng)前登錄口令密碼運(yùn)算2023/2/150數(shù)字簽名A的簽名私鑰用戶A

明文用戶Bhash加密簽名A的簽名公鑰解密摘要摘要2023/2/151數(shù)字簽名(cont.)使用公鑰系統(tǒng)等效于紙上物理簽名如報(bào)文被改變，則與簽名不匹配只有有私鑰的人才可生成簽名，并用于證明報(bào)文來(lái)源于發(fā)送方A使用其私鑰對(duì)報(bào)文簽名，B用公鑰查驗(yàn)（解密）報(bào)文2023/2/152數(shù)字信封加密對(duì)稱密鑰用戶A

明文

密文用戶B的公鑰數(shù)字信封解密用戶B

密文

明文用戶B的私鑰對(duì)稱密鑰2023/2/153數(shù)字簽名較報(bào)文摘要昂貴，因其處理強(qiáng)度大為提高其效率，對(duì)一個(gè)長(zhǎng)文進(jìn)行簽名的常用方法是先生成一個(gè)報(bào)文摘要，然后再對(duì)報(bào)文摘要進(jìn)行簽名。使用這種方法，我們不但可以證明報(bào)文來(lái)源于A(A對(duì)報(bào)文簽名，不可否認(rèn))，而且確定報(bào)文在傳輸過(guò)程中未被修改(報(bào)文摘要，機(jī)密性)。由于只有A知道其私有密鑰，一旦他加密(簽名)了報(bào)文摘要(加密的報(bào)文)，他對(duì)報(bào)文負(fù)責(zé)(不可否認(rèn))。報(bào)文摘要與數(shù)字簽名(cont.)2023/2/154證書的版本號(hào)數(shù)字證書的序列號(hào)證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗(yàn)證數(shù)字證書格式（X.509）2023/2/155數(shù)字時(shí)間戳服務(wù)（DTS）提供電子文件發(fā)表時(shí)間的安全保護(hù)和證明，由專門機(jī)構(gòu)提供。它包括三個(gè)部分：需要加時(shí)間戳的文件的摘要DTS機(jī)構(gòu)收到文件的日期和時(shí)間DTS機(jī)構(gòu)的數(shù)字簽名

數(shù)字時(shí)間戳四、信息安全技術(shù)體系主動(dòng)防御技術(shù)防火墻：包過(guò)濾、應(yīng)用代理、地址翻譯NAT、安全路由VPN：高層封裝底層反病毒：病毒特征碼AAA認(rèn)證：2023/2/157Internet防火墻防火墻受保護(hù)網(wǎng)絡(luò)受保護(hù)網(wǎng)絡(luò)2023/2/158計(jì)算機(jī)病毒計(jì)算機(jī)病毒的定義編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼——《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》2023/2/159計(jì)算機(jī)病毒的特征自我復(fù)制能力感染性潛伏性觸發(fā)性破壞性2023/2/160引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身。

2023/2/161病毒攻擊的操作系統(tǒng)MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統(tǒng)2023/2/162計(jì)算機(jī)病毒的分類

按寄生方式分為引導(dǎo)型、病毒文件型病毒和復(fù)合型病毒引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計(jì)算機(jī)病毒。此種病毒利用系統(tǒng)引導(dǎo)時(shí),不對(duì)主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點(diǎn),在引導(dǎo)系統(tǒng)的過(guò)程中侵入系統(tǒng),駐留內(nèi)存,監(jiān)視系統(tǒng)運(yùn)行,待機(jī)傳染和破壞。2023/2/163

文件型病毒是指寄生在文件中的計(jì)算機(jī)病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如COM和.EXE等可執(zhí)行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復(fù)合型病毒是指具有引導(dǎo)型病毒和文件型病毒寄生方式的計(jì)算機(jī)病毒。這種病毒擴(kuò)大了病毒程序的傳染途徑,它既感染磁盤的引導(dǎo)記錄,又感染可執(zhí)行文件。四、信息安全技術(shù)體系被動(dòng)防御技術(shù)IDSIntrusionDetectionSystems網(wǎng)絡(luò)掃描蜜罐技術(shù)五、信息安全管理方法1、信息安全風(fēng)險(xiǎn)評(píng)估依據(jù)信息安全技術(shù)與管理標(biāo)準(zhǔn)評(píng)估信息資產(chǎn)、威脅、脆弱點(diǎn)五、信息安全管理方法2、信息安全事件管理--（應(yīng)急預(yù)案）識(shí)別風(fēng)險(xiǎn)后，預(yù)先制定管理機(jī)制：控制影響重要密碼泄露、系統(tǒng)崩潰、地震信息安全事件管理標(biāo)準(zhǔn)：GB/Z20985-2007管理指南GB/Z20986-2007分級(jí)指南GB/Z20988-2007恢復(fù)規(guī)范五、信息安全管理方法3、信息安全測(cè)評(píng)認(rèn)證4、信息安全工程管理SSE-CMM系統(tǒng)安全工程能力成熟度模型--基于軟件生命周期理論2023/2/168第二節(jié)信息安全管理標(biāo)準(zhǔn)一、BS7799二、其他標(biāo)準(zhǔn)2023/2/169BS7799簡(jiǎn)介BS7799概述：BS7799是英國(guó)標(biāo)準(zhǔn)委員會(huì)（BritshStandardsInsstitute,BSI）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)。分為兩個(gè)部分：第一部分：被國(guó)際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC17799:2005標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（CodeofPracticeforInformationSecurityManage-ment），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為11方面，提供了133項(xiàng)安全控制措施（最佳實(shí)踐）。第二部分：被國(guó)際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC20071:2005標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems）,其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可以用來(lái)指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC17799:2005,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。2023/2/170BS7799發(fā)展歷程BS7799最初由英國(guó)貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。1995年，BS7799-1:1995《信息安全管理實(shí)施細(xì)則》首次發(fā)布1998年，BS7799-2:1998《信息安全管理體系規(guī)范》發(fā)布1999年4月，BS7799的兩個(gè)部分被修訂，形成了完整的BS7799-1:19992000年國(guó)際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》2002年BSI對(duì)BS7799-2：1999進(jìn)行了重新修訂，正式引入PDCA過(guò)程模型；2004年9月BS7799-2:2002正式發(fā)布2005年6月，ISO/IEC17799:2000經(jīng)過(guò)改版，形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多個(gè)國(guó)家和地區(qū)引用BS7799作為本國(guó)（地區(qū)）標(biāo)準(zhǔn)，有40多個(gè)國(guó)家和地區(qū)開展了與此相關(guān)的業(yè)務(wù)。在我國(guó)ISO17799:2000已經(jīng)被轉(zhuǎn)化為GB/T19716-20052023/2/171BS7799的內(nèi)容*BS7799-1:《信息安全管理實(shí)施規(guī)則》

主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。*BS7799-2:《信息安全管理體系規(guī)范》

詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?023/2/172

信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個(gè)方面，39個(gè)控制目標(biāo)，133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這11個(gè)方面包括：1、安全策略（SecurityPolicy）2、組織信息安全(OrganizingInformationSecurity)3、資產(chǎn)管理(AssetMangement)4、人力資源安全(HumanResourcesSecurity)5、物理與環(huán)境安全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)2023/2/1736、通信與操作管理(CommunicationandOperationManagement)7、訪問(wèn)控制(AccessControl)8、信息系統(tǒng)獲取、開發(fā)與維護(hù)(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息安全事件管理(InformationSecurityIncidentManagement)10、業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)11、符合性(Compliance)2023/2/174安全策略：包括信息安全策略文件和信息安全策略復(fù)查。組織安全：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪問(wèn)、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。資產(chǎn)管理：包括建立資產(chǎn)清單、進(jìn)行信息分類與分級(jí)人力資源安全：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全意識(shí)，離職及變更職位等。BS7799-1(ISO/IEC17799)2023/2/175物理與環(huán)境安全：包括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全訪問(wèn)控制：包括訪問(wèn)控制策略，用戶訪問(wèn)控制，網(wǎng)絡(luò)訪問(wèn)控制，操作系統(tǒng)訪問(wèn)控制，應(yīng)用訪問(wèn)控制，監(jiān)控與審計(jì)，移動(dòng)和遠(yuǎn)程訪問(wèn)BS7799-1(ISO/IEC17799)2023/2/176信息系統(tǒng)獲取、開發(fā)與維護(hù)：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過(guò)程的安全控制信息安全事件管理：報(bào)告信息安全事件、安全缺陷；責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。業(yè)務(wù)連續(xù)性管理：業(yè)務(wù)連續(xù)性計(jì)劃的制訂，演習(xí)，審核，改進(jìn)符合性管理：符合法律法規(guī)，符合安全策略等。BS7799-1(ISO/IEC17799)2023/2/177對(duì)控制措施的描述不夠細(xì)致，導(dǎo)致缺乏可操作性；133項(xiàng)控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用；133項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ)。BS7799-1(ISO/IEC17799)2023/2/178ISO/IEC17799:2005列舉了十項(xiàng)適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：1、與法律相關(guān)的控制措施：（1）知識(shí)產(chǎn)權(quán)：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律；（2）保護(hù)組織的記錄：保護(hù)重要的記錄不丟失，不被破壞和偽造；（3）數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律。BS7799-1(ISO/IEC17799)2023/2/1792、與最佳實(shí)踐相關(guān)的控制措施：（1）信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知；（2）信息安全責(zé)任的分配：清晰地所有的信息安全責(zé)任；（3）信息安全意識(shí)、教育和培訓(xùn)：全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R(shí)培訓(xùn)；BS7799-1(ISO/IEC17799)2023/2/180（4）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、丟失或被非授權(quán)篡改及誤用；（5）漏洞管理：防止利用已發(fā)布的漏洞信息來(lái)實(shí)施破壞；（6）管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來(lái)管理信息安全事件。（7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)難影響。BS7799-1(ISO/IEC17799)2023/2/181信息安全管理體系規(guī)范(SpecificationforInformationSecurityManagementSystem)說(shuō)明了建立、實(shí)施、維護(hù)，并持續(xù)改進(jìn)ISMS的要求指導(dǎo)實(shí)施者如何利用BS7799-1來(lái)建立一個(gè)有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認(rèn)證BS7799-2/ISO270012023/2/182

建立ISMS（PLAN）定義ISMS的范圍和策略識(shí)別和評(píng)估風(fēng)險(xiǎn)評(píng)估現(xiàn)有保證措施準(zhǔn)備適用性說(shuō)明取得管理層對(duì)殘留風(fēng)險(xiǎn)的認(rèn)可，并獲得實(shí)施ISMS的授權(quán)BS7799-2/ISO270012023/2/183

實(shí)施ISMS（DO）制訂并實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施安全控制措施實(shí)施安全意識(shí)和安全教育培訓(xùn)實(shí)施檢測(cè)和響應(yīng)安全機(jī)制BS7799-2/ISO270012023/2/184

監(jiān)視和復(fù)查ISMS（CHECK）實(shí)施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進(jìn)行ISMS內(nèi)部審計(jì)復(fù)查殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平BS7799-2/ISO270012023/2/185

改進(jìn)ISMS（ACT）對(duì)ISMS實(shí)施可識(shí)別的改進(jìn)實(shí)施糾正和預(yù)防措施確保改進(jìn)成果滿足預(yù)期目標(biāo)BS7799-2/ISO270012023/2/186

強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括安全策略適用性聲明實(shí)施安全控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔BS7799-2/ISO270012023/2/187

建立ISMS的過(guò)程制訂安全策略確定體系范圍明確管理職責(zé)通過(guò)安全風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制措施復(fù)查、維護(hù)與持續(xù)改進(jìn)BS7799-2/ISO270012023/2/188二、其他標(biāo)準(zhǔn)1、PD3000BS7799標(biāo)準(zhǔn)本身是不具有很強(qiáng)的可實(shí)施性的，為了指導(dǎo)組織更好地建立ISMS并應(yīng)對(duì)BS7799認(rèn)證審核的要求，BSIDISC提供了一組有針對(duì)性的指導(dǎo)文件，即PD3000系列