信息安全管理體系

信息安全管理體系教程2024/10/14課前介紹課程目標(biāo)課程安排課程內(nèi)容注意事項(xiàng)學(xué)員介紹2024/10/14課程目標(biāo)掌握信息安全管理的一般知識(shí)了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認(rèn)識(shí)和了解ISO17799理解一個(gè)組織實(shí)施ISO17799的意義初步掌握建立信息安全管理體系（ISMS）的方法和步驟2024/10/14課程安排課時(shí):24H課程方法：講授、小組討論、練習(xí)2024/10/14課程內(nèi)容1、信息安全基礎(chǔ)知識(shí)2、信息安全管理與信息系統(tǒng)安全保障3、信息安全管理體系標(biāo)準(zhǔn)概述4、信息安全管理體系方法5、ISO17799中的控制目標(biāo)和控制措施6、ISMS建設(shè)、運(yùn)行、審核與認(rèn)證7、信息系統(tǒng)安全保障管理要求2024/10/14注意事項(xiàng)積極參與、活躍氣氛守時(shí)保持安靜有問(wèn)題可隨時(shí)舉手提問(wèn)2024/10/141.

信息安全基礎(chǔ)知識(shí)1.1

信息安全的基本概念

1.2

為什么需要信息安全

1.3

實(shí)踐中的信息安全問(wèn)題

1.4

信息安全管理的實(shí)踐經(jīng)驗(yàn)2024/10/14

請(qǐng)思考：

什么是信息安全？1.1信息安全基本概念2024/10/14什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強(qiáng)調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對(duì)組織具有價(jià)值需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、影片、交談等2024/10/14小問(wèn)題：你們公司的Knowledge都在哪里？信息在哪里？2024/10/14什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保護(hù)信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來(lái)的損失降低到最小獲得最大的投資回報(bào)和商業(yè)機(jī)會(huì)2024/10/14信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個(gè)特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問(wèn)信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時(shí)，被授權(quán)的用戶(hù)可以訪問(wèn)信息和相關(guān)的資產(chǎn)。2024/10/14信息本身信息處理設(shè)施信息處理者信息處理過(guò)程

機(jī)密

可用

完整總結(jié)2024/10/14

請(qǐng)思考：

組織為什么要花錢(qián)實(shí)現(xiàn)信息安全？1.2為什么需要信息安全2024/10/14組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求客戶(hù)的要求合作伙伴的要求投標(biāo)要求競(jìng)爭(zhēng)優(yōu)勢(shì)，樹(shù)立品牌加強(qiáng)內(nèi)部管理的要求……2024/10/14法律法規(guī)的要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例知識(shí)產(chǎn)權(quán)保護(hù)互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定……2024/10/14信息系統(tǒng)使命的要求信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障。。。。2024/10/14

請(qǐng)思考：

目前，解決信息安全問(wèn)題，通常的做法是什么？1.3實(shí)踐中的信息安全問(wèn)題2024/10/14“產(chǎn)品導(dǎo)向型”信息安全初始階段，解決信息安全問(wèn)題，通常的方法：采購(gòu)各種安全產(chǎn)品，由產(chǎn)品廠商提供方案；Anti-Virus、Firewall、IDS&Scanner……組織內(nèi)部安排1-2人兼職負(fù)責(zé)日常維護(hù)，通常來(lái)自以技術(shù)為主的IT部門(mén)；更多的情況是幾乎沒(méi)有日常維護(hù)存在的問(wèn)題需求難以確定保護(hù)什么、保護(hù)對(duì)象的邊界到哪里、應(yīng)該保護(hù)到什么程度……管理和服務(wù)跟不上，對(duì)采購(gòu)產(chǎn)品運(yùn)行的效率和效果缺乏評(píng)價(jià)通常用漏洞掃描（Scanner）來(lái)代替風(fēng)險(xiǎn)評(píng)估有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對(duì)風(fēng)險(xiǎn)的態(tài)度……“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題2024/10/14信息安全管理ISO17799強(qiáng)調(diào)：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵；產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最好的作用；技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全；先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要，也證明了管理的重要；建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)持續(xù)安全。2024/10/141.4信息安全管理的實(shí)踐經(jīng)驗(yàn)反映組織業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動(dòng)；符合組織文化的安全實(shí)施方法；管理層明顯的支持和承諾；安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理的正確理解；有效地向所有管理人員和員工推行安全措施；向所有的員工和簽約方提供本組織的信息安全方針與標(biāo)準(zhǔn)；提供適當(dāng)?shù)呐嘤?xùn)和教育；一整套用于評(píng)估信息安全管理能力和反饋建議的測(cè)量系統(tǒng)2024/10/142、信息安全管理與信息系統(tǒng)安全保障2.1信息系統(tǒng)的使命2.2信息系統(tǒng)安全保障－模型2.3信息系統(tǒng)安全保障－框架2.4信息系統(tǒng)安全保障－生命周期的保證2.5信息安全管理模型2.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系2024/10/142.1信息系統(tǒng)的使命資產(chǎn)可能意識(shí)到引起增加利用導(dǎo)致威脅主體威脅所有者風(fēng)險(xiǎn)脆弱性對(duì)策可能被減少利用價(jià)值希望最小化希望濫用或破壞可能具有減少到到使命希望完成到可能阻礙或破壞2024/10/142.2信息系統(tǒng)安全保障－模型2024/10/142.3信息系統(tǒng)安全保障－框架信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國(guó)DITSCAP,…中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測(cè)評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過(guò)程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全保障評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過(guò)程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)2024/10/142.4信息系統(tǒng)安全保障－生命周期的保證變更應(yīng)用于系統(tǒng)計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄建立使命要求建立使命要求審閱業(yè)務(wù)要求系統(tǒng)需求分析定義運(yùn)行需求系統(tǒng)體系設(shè)計(jì)項(xiàng)目與預(yù)算管理兩種類(lèi)型：

開(kāi)發(fā)、購(gòu)買(mǎi)/客戶(hù)化/集成人員保證（決策人員）技術(shù)保證（技術(shù)方案安全產(chǎn)品）過(guò)程保證（服務(wù)能力工程過(guò)程）管理保證（安全管理）人員保證（管理/維護(hù)/使用人員）人員保證（管理人員）人員保證（實(shí)施人員）管理保證（安全管理）管理保證（安全管理）管理保證（安全管理）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過(guò)程和人員領(lǐng)域要求及保證）系統(tǒng)保證信息系統(tǒng)生命周期2024/10/142.5信息安全管理模型信息系統(tǒng)安全管理基礎(chǔ)組織體系策略制度遵循性人員安全采購(gòu)管理投資和預(yù)算管理持續(xù)性管理環(huán)境設(shè)備緊急用途和供給變更控制管理信息技術(shù)戰(zhàn)略規(guī)劃變更應(yīng)用于系統(tǒng)計(jì)劃組織開(kāi)發(fā)采購(gòu)實(shí)施交付運(yùn)行維護(hù)廢棄信息技術(shù)戰(zhàn)略規(guī)劃系統(tǒng)操作物理訪問(wèn)運(yùn)行環(huán)境設(shè)備管理2024/10/142.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系信息系統(tǒng)安全保障三大部分：技術(shù)保障過(guò)程保障管理保障信息安全管理是信息系統(tǒng)安全保障的三大部分之一：管理保障信息安全管理涉及到系統(tǒng)的整個(gè)生命周期2024/10/143.信息安全管理體系標(biāo)準(zhǔn)概述3.1

信息安全標(biāo)準(zhǔn)介紹3.2

ISO177993.3

ISO17799的歷史及發(fā)展3.4

ISO17799:2000的內(nèi)容框架3.5

BS7799-2:1999的內(nèi)容框架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之區(qū)別2024/10/143.1信息安全標(biāo)準(zhǔn)介紹

信息安全標(biāo)準(zhǔn)管理體系標(biāo)準(zhǔn)2024/10/14信息安全標(biāo)準(zhǔn)ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408（GB/T18336-2001）ISO177992024/10/14ISO7498-2(GB/T9387.2-1995)開(kāi)放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)由ISO/ICEJTC1/SC21完成1982年開(kāi)始，1988年結(jié)束，ISO發(fā)布了ISO7498-2給出了基于OSI參考模型的7層協(xié)議上的安全體系結(jié)構(gòu)其核心內(nèi)容是：為了保證異構(gòu)計(jì)算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安全交換信息的安全，它定義了該系統(tǒng)的5大類(lèi)安全服務(wù)，以及提供這些服務(wù)的8大類(lèi)安全機(jī)制及相應(yīng)的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)呐渲糜贠SI模型的7層協(xié)議中。2024/10/14ISO7498-2－安全體系結(jié)構(gòu)加密數(shù)字簽名數(shù)據(jù)完整性訪問(wèn)控制數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證抗抵賴(lài)數(shù)據(jù)保密性數(shù)據(jù)完整性訪問(wèn)控制鑒別服務(wù)物理層鏈路層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層會(huì)話層安全機(jī)制安全服務(wù)OSI參考模型2024/10/14ISO13335IT安全管理分為5個(gè)部分：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和規(guī)劃ISO/IECTR13335-3：管理技術(shù)ISO/IECTR13335-4：安全措施的選擇ISO/IECTR13335-5：網(wǎng)絡(luò)安全性的管理指導(dǎo)由ISO/IECJTC1/SC27完成2024/10/14SSE-CMM信息系統(tǒng)安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于軟件工程；1993年4月，由美國(guó)NSA資助，安全業(yè)界、DOD、加拿大通信安全機(jī)構(gòu)共同組成項(xiàng)目組，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系統(tǒng)安全的工程組織、采購(gòu)組織和評(píng)估機(jī)構(gòu)5個(gè)能力級(jí)別，11個(gè)過(guò)程區(qū)2003年，出版了SSE-CMMV3.02024/10/145個(gè)能力級(jí)別：

1級(jí)：非正式執(zhí)行級(jí)

2級(jí)：計(jì)劃和跟蹤級(jí)

3級(jí)：充分定義級(jí)

4級(jí)：量化控制級(jí)

5級(jí)：持續(xù)改進(jìn)級(jí)

代表安全工程組織的成熟度級(jí)別11個(gè)過(guò)程區(qū)：

PA01管理安全控制

PA02評(píng)估影響

PA03評(píng)估安全風(fēng)險(xiǎn)

PA04評(píng)估威脅

PA05評(píng)估脆弱性

PA06建立保證論據(jù)

PA07協(xié)調(diào)安全

PA08監(jiān)視安全態(tài)勢(shì)

PA09提供安全輸入

PA10指定安全要求

PA11驗(yàn)證和證實(shí)安全性

SSE-CMM信息系統(tǒng)安全工程能力成熟度模型（續(xù)）2024/10/14ISO15408(GB/T18336)信息技術(shù)安全性評(píng)估準(zhǔn)則通常簡(jiǎn)稱(chēng)CC－通用準(zhǔn)則，ISO15408:1999，GB/T18336:2001;定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；分為3個(gè)部分：第一部分：簡(jiǎn)介和一般模型第二部分：安全功能要求第三部分：安全保證要求2024/10/14管理體系標(biāo)準(zhǔn)ISO9000族質(zhì)量管理體系ISO14000環(huán)境管理體系標(biāo)準(zhǔn)OHSAM18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)ISO17799信息安全管理體系標(biāo)準(zhǔn)2024/10/14ISO/IEC17799:2000Informationtechnology－

Codeofpracticeforinformationsecuritymanagement信息技術(shù)－信息安全管理實(shí)施細(xì)則

3.2ISO/IEC17799:20002024/10/14

歷史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的歷史及發(fā)展2024/10/14BSI簡(jiǎn)介BSI英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)是全球領(lǐng)先的國(guó)際標(biāo)準(zhǔn)、產(chǎn)品測(cè)試、體系認(rèn)證機(jī)構(gòu)。發(fā)起制定的標(biāo)準(zhǔn)ISO9000（質(zhì)量管理體系）ISO14001（環(huán)境管理體系）OHSAS18001（職業(yè)健康與安全管理體系）QS-9000/ISO/TS16949（汽車(chē)供應(yīng)行業(yè)的質(zhì)量管理體系）TL9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）BS7799。2024/10/14

IUG：InternationalUserGroup1997年成立宗旨

促進(jìn)ISO17799/BS7799的應(yīng)用和推廣促進(jìn)對(duì)信息安全管理體系標(biāo)準(zhǔn)、認(rèn)證等的理解，服務(wù)全球商業(yè)提供一個(gè)基于互聯(lián)網(wǎng)的論壇提供一個(gè)信息交流的平臺(tái)研究和寫(xiě)作成員AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

2024/10/14ISO17799被各國(guó)或地區(qū)采用的情況EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中國(guó)2024/10/14ISO17799在中國(guó)國(guó)內(nèi)從2000年初開(kāi)始認(rèn)識(shí)ISO17799/BS7799；2000年初開(kāi)始，國(guó)內(nèi)一些公司和單位進(jìn)行BS7799的研究和相關(guān)課程培訓(xùn)；2002－2003年，我國(guó)已經(jīng)提出了國(guó)標(biāo)化的計(jì)劃；2024/10/143.4ISO17799:2000的內(nèi)容框架ISO17799:2000（BS7799-1:1999）

CodeofPracticeforInformationSecurityManagement

信息安全管理實(shí)施細(xì)則BS7799-2:1999(已經(jīng)有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem

信息安全管理體系規(guī)范2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Foreword(ISO前言)Introduction(引言)1.Scope(范圍)2.TermandDefinitions(術(shù)語(yǔ)和定義)3.～12.詳細(xì)控制目標(biāo)和控制措施2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Foreword(ISO前言)

ISO(國(guó)際標(biāo)準(zhǔn)化組織)和IEC(國(guó)際電工委員會(huì))組成世界性標(biāo)準(zhǔn)化的專(zhuān)門(mén)體系。作為ISO或IEC成員的各國(guó)團(tuán)體通過(guò)由各自組織設(shè)立的技術(shù)委員會(huì)參與國(guó)際標(biāo)準(zhǔn)的開(kāi)發(fā)，處理特殊領(lǐng)域的技術(shù)活動(dòng)。ISO和IEC技術(shù)委員會(huì)協(xié)調(diào)共同利益的領(lǐng)域。其它與ISO和IEC有聯(lián)系的國(guó)際組織（官方的和非官方的）也可參加工作。

……2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Introduction(引言)什么是信息安全為何需要信息安全如何確定安全需求評(píng)估安全風(fēng)險(xiǎn)選擇控制措施信息安全起點(diǎn)成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Scope(范圍)

本標(biāo)準(zhǔn)為組織中負(fù)責(zé)信息安全的啟動(dòng)、實(shí)現(xiàn)和保持的人員提供了信息安全管理方面的建議。目的是為各個(gè)組織制定安全標(biāo)準(zhǔn)和有效的安全管理措施提供一個(gè)通用平臺(tái)，并建立組織間交易時(shí)的信心。本標(biāo)準(zhǔn)所提供的建議應(yīng)該根據(jù)相關(guān)法規(guī)有選擇的使用。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.TermandDefinitions(術(shù)語(yǔ)和定義)2.1informationsecurity

信息安全

2.2Riskassessment

風(fēng)險(xiǎn)評(píng)估

2.3Riskmanagement

風(fēng)險(xiǎn)管理2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.1informationsecurity信息安全

Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.確保只有被授權(quán)的人員才可以訪問(wèn)信息。

-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.確保信息及其處理方法的準(zhǔn)確性和完整性。

-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.確保被授權(quán)的用戶(hù)在需要時(shí)可以訪問(wèn)信息和相關(guān)的資產(chǎn)。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.2Riskassessment風(fēng)險(xiǎn)評(píng)估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.對(duì)信息和信息處理設(shè)施所受到的威脅、影響和脆弱性以及發(fā)生這些事件的可能性進(jìn)行評(píng)估。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.3Riskmanagement風(fēng)險(xiǎn)管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本，對(duì)影響信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別、控制、減小或消除的過(guò)程。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))3.Securitypolicy安全方針4.SecurityOrganizational安全組織5.Assetclassificationandcontrol資產(chǎn)分類(lèi)與控制6.Personnelsecurity人員安全7.Physicalandenvironmentalsecurity物理和環(huán)境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol訪問(wèn)控制10.Systemsdevlopmentandmaintenance系統(tǒng)開(kāi)發(fā)和維護(hù)11.Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理12.Compliance符合性2024/10/14

Foreword(BSI前言)1.Scope(范圍)2.TermandDefinitions(術(shù)語(yǔ)和定義)3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)4.Detailedcontrols（詳細(xì)控制措施）

3.5BS7799-2:1999的內(nèi)容框架2024/10/14

1.Scope(范圍)BS7799的這一部分提出了建立、實(shí)施并記錄信息安全管理體系時(shí)的具體要求；同時(shí)，也提出了各組織根據(jù)具體需求采取安全控制措施的要求。

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

2.TermandDefinitions(術(shù)語(yǔ)和定義)2.1statementofapplicability(適用聲明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.

根據(jù)組織需要對(duì)所選的控制目標(biāo)和控制措施的說(shuō)明

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)3.1General(總則)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(實(shí)施)3.4Documentation(文檔化)3.5Documentcontrol(文件控制)3.6Records(記錄)

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

4.Detailedcontrols（詳細(xì)控制措施）4.1Securitypolicy安全方針4.2SecurityOrganizational安全組織4.3Assetclassificationandcontrol資產(chǎn)分類(lèi)與控制4.4Personnelsecurity人員安全4.5Physicalandenvironmentalsecurity物理和環(huán)境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol訪問(wèn)控制4.8Systemsdevlopmentandmaintenance系統(tǒng)開(kāi)發(fā)和維護(hù)4.9Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理4.10Compliance符合性

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/143.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之區(qū)別ISO/IEC17799:2000(BS7799-1:1999)為指南指導(dǎo)如何進(jìn)行安全管理實(shí)踐BS7799-2:1999和BS7799-2:2002為標(biāo)準(zhǔn)建立的信息安全管理體系必須符合的要求BS7799-2:2002更接近ISO9000標(biāo)準(zhǔn)的格式控制目標(biāo)和控制措施作為附錄2024/10/144.

信息安全管理體系方法4.1什么是ISMS4.2

ISMS的重要原則4.3

ISMS的實(shí)現(xiàn)方法2024/10/14

4.1

什么是ISMS

ISMS：

InformationSecurityManagementSystem

信息安全管理體系ISO9000-2000術(shù)語(yǔ)和定義組織organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施,如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理management指揮和控制組織的協(xié)調(diào)的活動(dòng)體系system相互關(guān)聯(lián)和相互作用的一組要素管理體系managementsystem建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的體系管理學(xué)中的定義管理是指通過(guò)計(jì)劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來(lái)協(xié)調(diào)人力、物力、財(cái)力等資源，以期有效達(dá)到組織目標(biāo)的過(guò)程。2024/10/14信息安全管理體系ISMS定義ISMS是：在信息安全方面指揮和控制組織的以實(shí)現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測(cè)量的要素可能包括

信息安全方針、策略信息安全組織結(jié)構(gòu)各種活動(dòng)、過(guò)程信息安全控制措施人力、物力等資源………2024/10/14要求信息安全分析改進(jìn)資源管理信息安全實(shí)現(xiàn)管理職責(zé)輸入輸出信息安全管理體系的持續(xù)改進(jìn)信息安全管理體系框圖信息安全管理體系框圖2024/10/144.2ISMS的重要原則

4.2.1PDCA循環(huán)

4.2.2過(guò)程方法

4.2.3其它重要原則2024/10/14PDCA循環(huán)：Plan—Do—Check—Act計(jì)劃實(shí)施檢查改進(jìn)PDAC

4.2.1

PDCA循環(huán)2024/10/144.2.1

PDCA循環(huán)（續(xù)）又稱(chēng)“戴明環(huán)”,PDCA循環(huán)是能使任何一項(xiàng)活動(dòng)有效進(jìn)行的工作程序:P：計(jì)劃，方針和目標(biāo)的確定以及活動(dòng)計(jì)劃的制定；

D：執(zhí)行，具體運(yùn)作，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；

C：檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，分清哪些對(duì)了，哪些錯(cuò)了，明確效果，找出問(wèn)題；

A：改進(jìn)（或處理）,對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書(shū)，便于以后工作時(shí)遵循；對(duì)于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對(duì)于沒(méi)有解決的問(wèn)題，應(yīng)提給下一個(gè)PDCA循環(huán)中去解決。2024/10/14PDCA循環(huán)的特點(diǎn)一

按順序進(jìn)行，它靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)4.2.1

PDCA循環(huán)（續(xù)）2024/10/14PDCA循環(huán)的特點(diǎn)二

組織中的每個(gè)部分，甚至個(gè)人，均有一個(gè)PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問(wèn)題。4.2.1

PDCA循環(huán)（續(xù)）2024/10/14PDCA循環(huán)的特點(diǎn)三

每通過(guò)一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計(jì)劃?rùn)z查CADP4.2.1

PDCA循環(huán)（續(xù)）2024/10/14

4.2.2

過(guò)程方法定義ISO9000-2000術(shù)語(yǔ)和定義過(guò)程：一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。過(guò)程方法系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過(guò)程，特別是這些過(guò)程之間的相互作用，稱(chēng)之為“過(guò)程方法”。2024/10/14活動(dòng)測(cè)量、改進(jìn)責(zé)任人資源記錄輸入輸出過(guò)程方法模型：2024/10/14

信息安全管理過(guò)程方法信息安全實(shí)現(xiàn)是一個(gè)大的過(guò)程；信息安全實(shí)現(xiàn)過(guò)程的每一個(gè)活動(dòng)也是一個(gè)過(guò)程；識(shí)別組織實(shí)現(xiàn)信息安全的每一個(gè)過(guò)程；對(duì)每一個(gè)信息安全過(guò)程的實(shí)施進(jìn)行監(jiān)控和測(cè)量；改進(jìn)每一個(gè)信息安全過(guò)程。

2024/10/14制定信息安全方針確定ISMS的范圍安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理選擇控制目標(biāo)和控制措施準(zhǔn)備適用聲明實(shí)施測(cè)量、改進(jìn)安全需求安全信息安全管理的過(guò)程網(wǎng)絡(luò)2024/10/14信息安全管理的過(guò)程網(wǎng)絡(luò)將相互關(guān)聯(lián)的過(guò)程作為一個(gè)系統(tǒng)來(lái)識(shí)別、理解和管理一個(gè)過(guò)程的輸出構(gòu)成隨后過(guò)程輸入的一部分過(guò)程之間的相互作用形成相互依賴(lài)的過(guò)程網(wǎng)絡(luò)PDCA循環(huán)可用于單個(gè)過(guò)程，也可用于整個(gè)過(guò)程網(wǎng)絡(luò)2024/10/14領(lǐng)導(dǎo)重視√指明方向和目標(biāo)√權(quán)威√預(yù)算保障，提供所需的資源√監(jiān)督檢查√組織保障

4.2.3其它重要原則－領(lǐng)導(dǎo)重視2024/10/14

全員參與√信息安全不僅僅是IT部門(mén)的事；√讓每個(gè)員工明白隨時(shí)都有信息安全問(wèn)題；√每個(gè)員工都應(yīng)具備相應(yīng)的安全意識(shí)和能力；√讓每個(gè)員工都明確自己承擔(dān)的信息安全責(zé)任；4.2.3

其它重要原則－全員參與2024/10/14持續(xù)改進(jìn)√信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實(shí)現(xiàn)信息安全目標(biāo)的循環(huán)活動(dòng)4.2.3

其它重要原則－持續(xù)改進(jìn)2024/10/14

文件化√文件的作用：有章可循，有據(jù)可查√文件的類(lèi)型：手冊(cè)、規(guī)范、指南、記錄4.2.3

其它重要原則－文件化

溝通意圖，統(tǒng)一行動(dòng)重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查2024/10/14

文件的類(lèi)型：手冊(cè)、規(guī)范、指南、記錄-

手冊(cè)：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件

-

規(guī)范：闡明要求的文件

-

指南：闡明推薦方法和建議的文件

-

記錄：為完成的活動(dòng)或達(dá)到的結(jié)果提供客觀證據(jù)的文件

文件化4.2.3

其它重要原則－文件化2024/10/144.3ISMS的實(shí)現(xiàn)方法4.3.1ISMS總則4.3.2建立ISMS框架4.3.3ISMS實(shí)施4.3.4ISMS體系文件4.3.5文件的控制4.3.6記錄2024/10/14

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

組織應(yīng)該建立并運(yùn)行一套文件化的ISMS

確定組織需要保護(hù)的資產(chǎn)確定風(fēng)險(xiǎn)管理的方法確定風(fēng)險(xiǎn)控制的目標(biāo)和控制措施確定要達(dá)到的安全保證程度

3.1General(總則)

4.3.1ISMS總則2024/10/14

建設(shè)ISMS的步驟：如下圖

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架2024/10/14制訂信息安全方針?lè)结樜臋n定義ISMS范圍進(jìn)行風(fēng)險(xiǎn)評(píng)估實(shí)施風(fēng)險(xiǎn)管理選擇控制目標(biāo)措施準(zhǔn)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件4.3.2建立ISMS框架2024/10/14信息安全方針

一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理，二、公司總經(jīng)理張未來(lái)先生決定在整個(gè)公司范圍內(nèi)建立并實(shí)施信息安全管理體系。要求各部門(mén)高度重視，

第一步制訂信息安全方針4.3.2建立ISMS框架

組織應(yīng)定義信息安全方針。BS7799-2對(duì)ISMS的要求：2024/10/14什么是信息安全方針？

信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過(guò)程。

信息安全方針4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/144.3.2建立ISMS框架

第一步制訂信息安全方針要經(jīng)最高管理者批準(zhǔn)和發(fā)布體現(xiàn)了最高管理者對(duì)信息安全的承諾與支持要傳達(dá)給組織內(nèi)所有的員工要定期和適時(shí)進(jìn)行評(píng)審信息安全方針2024/10/14目的和意義為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)；確保信息安全管理體系被充分理解和貫徹實(shí)施；統(tǒng)領(lǐng)整個(gè)信息安全管理體系。4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/14信息安全方針的內(nèi)容

包括但不限于：組織對(duì)信息安全的定義信息安全總體目標(biāo)和范圍最高管理者對(duì)信息安全的承諾與支持的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明對(duì)信息安全管理的總體責(zé)任和具體責(zé)任的定義相關(guān)支持文件4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/14注意事項(xiàng)簡(jiǎn)單明了易于理解可實(shí)施避免太具體4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/144.3.2建立ISMS框架

第二步確定ISMS范圍

組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點(diǎn)來(lái)確定。

BS7799-2對(duì)ISMS的要求：2024/10/14可以根據(jù)組織的實(shí)際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。4.3.2建立ISMS框架

第二步確定ISMS范圍2024/10/14文件是否明白地描述了信息安全管理體系的范圍范圍的邊界和接口是否已清楚定義4.3.2建立ISMS框架

第二步確定ISMS范圍ISMS范圍文件：2024/10/144.3.2建立ISMS框架

第三步風(fēng)險(xiǎn)評(píng)估

組織應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估應(yīng)識(shí)別資產(chǎn)所面對(duì)的威脅、脆弱性、以及對(duì)組織的潛在影響，并確定風(fēng)險(xiǎn)的等級(jí)。BS7799-2對(duì)ISMS的要求：2024/10/14是否執(zhí)行了正式的和文件化的風(fēng)險(xiǎn)評(píng)估？是否經(jīng)過(guò)一定數(shù)量的員工驗(yàn)證其正確性？風(fēng)險(xiǎn)評(píng)估是否識(shí)別了資產(chǎn)的威脅、脆弱性和對(duì)組織的潛在影響？風(fēng)險(xiǎn)評(píng)估是否定期和適時(shí)進(jìn)行？4.3.2建立ISMS框架

第三步風(fēng)險(xiǎn)評(píng)估2024/10/144.3.2建立ISMS框架

第四步風(fēng)險(xiǎn)管理

組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來(lái)確定需要管理的信息安全風(fēng)險(xiǎn)。BS7799-2對(duì)ISMS的要求：2024/10/14

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇風(fēng)險(xiǎn)控制方法，將組織面臨的風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)。4.3.2建立ISMS框架

第四步風(fēng)險(xiǎn)管理2024/10/14是否定義了組織的風(fēng)險(xiǎn)管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？4.3.2建立ISMS框架

第四步風(fēng)險(xiǎn)管理2024/10/144.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施

組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來(lái)滿足風(fēng)險(xiǎn)管理的要求，并證明選擇結(jié)果的正確性。BS7799-2對(duì)ISMS的要求：2024/10/14安全問(wèn)題安全需求控制目標(biāo)控制措施解決指出定義被滿足

第五步選擇控制目標(biāo)和控制措施4.3.2建立ISMS框架選擇控制措施的示意圖2024/10/14選擇的控制措施是否建立在風(fēng)險(xiǎn)評(píng)估的結(jié)果之上？是否能從風(fēng)險(xiǎn)評(píng)估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應(yīng)了組織的風(fēng)險(xiǎn)管理戰(zhàn)略？針對(duì)每一種風(fēng)險(xiǎn)，控制措施都不是唯一的，要根據(jù)實(shí)際情況進(jìn)行選擇4.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施2024/10/14未選擇某項(xiàng)控制措施的原因風(fēng)險(xiǎn)原因-沒(méi)有識(shí)別出相關(guān)的風(fēng)險(xiǎn)財(cái)務(wù)原因-財(cái)務(wù)預(yù)算的限制環(huán)境原因-安全設(shè)備、氣候、空間等技術(shù)-某些控制措施在技術(shù)上不可行文化-社會(huì)環(huán)境的限制時(shí)間-某些要求目前無(wú)法實(shí)施其它-？4.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施2024/10/144.3.2建立ISMS框架

第六步準(zhǔn)備適用聲明

組織應(yīng)準(zhǔn)備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。BS7799-2對(duì)ISMS的要求：2024/10/14

在選擇了控制目標(biāo)和控制措施后，對(duì)實(shí)施某項(xiàng)控制目標(biāo)、措施和不實(shí)施某項(xiàng)控制目標(biāo)、措施進(jìn)行記錄，并對(duì)原因進(jìn)行解釋的文件。未來(lái)實(shí)現(xiàn)公司ISMS適用聲明4.3.2建立ISMS框架

第六步準(zhǔn)備適用聲明2024/10/14Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.

組織應(yīng)該對(duì)所選擇的控制目標(biāo)和控制措施有效的實(shí)施。實(shí)施程序的有效性應(yīng)依據(jù)4.10.2條之規(guī)定加以驗(yàn)證。

4.10.2安全方針和技術(shù)符合性的評(píng)審

安全方針的符合性

技術(shù)符合性的檢查4.3.3ISMS實(shí)施BS7799-2對(duì)ISMS實(shí)施的要求：2024/10/14

信息安全管理體系文件應(yīng)包括如下方面的信息：按3.2條款規(guī)定采取的行動(dòng)的證據(jù)對(duì)管理框架的總結(jié)，包括適用聲明中所列信息安全方針、控制目標(biāo)和控制措施3.3條規(guī)定的實(shí)施管理程序，此程序應(yīng)對(duì)責(zé)任和相關(guān)措施加以描述信息安全管理體系的管理和操作程序，此程序應(yīng)對(duì)責(zé)任和相關(guān)措施加以描述4.3.4ISMS體系文件BS7799-2對(duì)ISMS文件的要求：2024/10/14

組織要建立和維護(hù)一套控制3.4條款中要求的所有文件的流程，應(yīng)確保這些文件：

隨時(shí)可得根據(jù)組織的安全方針的變化得以定期評(píng)審和修訂版本要及時(shí)更新，并存放在信息安全管理體系的涉及的現(xiàn)場(chǎng)過(guò)時(shí)后及時(shí)撤換過(guò)時(shí)撤換后對(duì)其進(jìn)行分類(lèi)存檔，用于事后憑據(jù)或查閱此類(lèi)文本應(yīng)保持整潔、清楚，并標(biāo)明日期，按分類(lèi)妥善保存至規(guī)定期限到期為止。針對(duì)各類(lèi)文件的建立和修訂，要制定一定的流程和職責(zé)劃分。4.3.5ISMS文件控制BS7799-2對(duì)ISMS文件控制的要求：2024/10/14記錄作為ISMS運(yùn)行結(jié)果的證據(jù)，要求加以保留，以證明是否符合ISMS和組織所提出的要求。記錄可為訪客記錄、審計(jì)記錄和出入證明等等。各單位應(yīng)建立并運(yùn)行合理程序，以確認(rèn)、維護(hù)、保存和處理這些過(guò)程是否規(guī)范的要求。記錄要求清晰可辨，通過(guò)其可追溯到所記錄的活動(dòng)情況。記錄的保存和維護(hù)應(yīng)當(dāng)做到隨時(shí)可得，并不得損壞、磨損或丟失。4.3.6ISMS記錄BS7799-2對(duì)ISMS記錄的要求：2024/10/14

5.1十類(lèi)控制措施

5.2基本控制措施

5.3ISO17799控制目標(biāo)和控制措施概述

5.ISO17799中的控制目標(biāo)和控制措施2024/10/145.1

十類(lèi)控制措施一、安全方針（SecurityPolicy）（1,2）（附注）二、安全組織（SecurityOrganization）(3,10)三、資產(chǎn)分類(lèi)與控制(AssetclassificationandControl)(2,3)四、人員安全(PersonnelSecurity)(3,10)五、物理與環(huán)境安全(PhysicandEnvironmentSecurity)(3,13)六、通信與運(yùn)行管理(CommunicationandOperationManagement)(7,24)八、系統(tǒng)開(kāi)發(fā)與維護(hù)(Systemdevelopandmaintenance)(5,18)七、訪問(wèn)控制(Accesscontrol)(8,31)九、業(yè)務(wù)持續(xù)性管理(Businesscontinuitymanagement)(1,5)十、符合性(Compliance)(3,11)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制方法的數(shù)目2024/10/145.1

十類(lèi)控制措施(續(xù))ISO17799包含了36個(gè)控制目標(biāo)和127個(gè)控制措施不是所有的控制措施都適用于組織的各種情形所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制所描述的控制措施并不是必須適用于組織中的所有人2024/10/14

ISO17799推薦了八個(gè)控制措施作為信息安全的起始點(diǎn)（StartingPoint），組織可以此為基礎(chǔ)建立ISMS。這些控制措施在大多數(shù)情況下是普遍適用的。5.2基本控制措施2024/10/14與法律有關(guān)的控制措施12.1.4數(shù)據(jù)保護(hù)和個(gè)人隱私12.1.3組織記錄的保護(hù)12.1.2知識(shí)產(chǎn)權(quán)5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.4數(shù)據(jù)保護(hù)和個(gè)人隱私目標(biāo)：符合所在國(guó)家的數(shù)據(jù)保護(hù)法律和與個(gè)人隱私相關(guān)的法律數(shù)據(jù)保護(hù)法1998（英國(guó)）電子數(shù)據(jù)保護(hù)法（歐盟2002年6月通過(guò)）電信服務(wù)數(shù)據(jù)保護(hù)法（德國(guó)）個(gè)人隱私法（美國(guó)、加拿大等）電子通信隱私法（美國(guó)）5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.3組織記錄的保護(hù)目標(biāo)：保護(hù)重要的記錄不被丟失、破壞或偽造保留期存儲(chǔ)報(bào)廢處理5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.2知識(shí)產(chǎn)權(quán)

版權(quán)

軟件版權(quán)目標(biāo)：確保使用產(chǎn)品或服務(wù)時(shí)不違反國(guó)家有關(guān)知識(shí)產(chǎn)權(quán)和專(zhuān)屬軟件產(chǎn)品方面的法律、法規(guī)和法令。復(fù)制限制許可協(xié)議合同要求5.2

基本控制措施－與法律相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施3.1信息安全方針4.1.3信息安全責(zé)任分配6.2.1信息安全教育與培訓(xùn)6.3.1安全事件匯報(bào)11.1業(yè)務(wù)連續(xù)性管理

5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施3.1.1

信息安全方針文件目標(biāo)：為信息安全提供管理指導(dǎo)和支持。

信息安全方針5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施4.1.3

信息安全責(zé)任分配目標(biāo)：分配安全責(zé)任，使得信息安全在組織內(nèi)得以有效管理。和各個(gè)系統(tǒng)相關(guān)的各種資產(chǎn)和安全程序應(yīng)給予識(shí)別和明確的定義負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過(guò)批準(zhǔn)，其權(quán)責(zé)要記錄在案授權(quán)級(jí)別應(yīng)清晰定義并記錄在案5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施6.2.1

信息安全教育與培訓(xùn)目標(biāo)：保證使用者有信息安全意識(shí)，理解并執(zhí)行信息安全方針，并有能力勝任信息安全的相關(guān)工作。安全意識(shí)安全知識(shí)5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施6.3.1

安全事件匯報(bào)目標(biāo)：最大程度減小安全事故和故障造成的破壞，并且監(jiān)控此類(lèi)事故、從事故中學(xué)習(xí)。應(yīng)該建立正式的報(bào)告程序，同時(shí)建立事故響應(yīng)程序，闡明接到事故報(bào)告后所采取的行動(dòng)。應(yīng)該使所有員工和簽約方知道報(bào)告安全事故的程序，并應(yīng)該要求他們盡快報(bào)告此類(lèi)事故。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦颍源_保那些報(bào)告的事故被通告了結(jié)果。5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施11.1

業(yè)務(wù)連續(xù)性管理目標(biāo)：抵制商業(yè)活動(dòng)的中斷，保護(hù)關(guān)鍵的商業(yè)過(guò)程免受主要的故障或?yàn)?zāi)難的影響。

5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14與最佳實(shí)踐有關(guān)的控制措施11.

業(yè)務(wù)連續(xù)性管理

11.1業(yè)務(wù)連續(xù)性管理11.1.1過(guò)程11.1.2業(yè)務(wù)連續(xù)性和影響分析11.1.3制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃11.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架11.1.5測(cè)試，維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃

維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃5.2

基本控制措施－與最佳實(shí)踐相關(guān)的2024/10/14

10類(lèi)控制36個(gè)控制目標(biāo)127項(xiàng)控制措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.3ISO17799控制目標(biāo)和控制措施概述3.

信息安全方針

目標(biāo)：為信息安全提供管理指導(dǎo)和支持。

3.1信息安全方針3.1.1信息安全方針文件3.1.2評(píng)審與評(píng)價(jià)2024/10/144.

安全組織

目標(biāo)：管理組織內(nèi)部的信息安全維護(hù)組織的信息處理設(shè)備和信息資產(chǎn)在被第三方訪問(wèn)時(shí)的安全維護(hù)把信息處理的責(zé)任外包給其他組織時(shí)的信息安全性5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.

安全組織

4.1信息安全基礎(chǔ)結(jié)構(gòu)4.2第三方訪問(wèn)的安全4.3外包5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.1信息安全基礎(chǔ)結(jié)構(gòu)4.1.1信息安全管理委員會(huì)4.1.2信息安全協(xié)作4.1.3信息安全責(zé)任分配4.1.4信息處理設(shè)施的授權(quán)過(guò)程4.1.5信息安全專(zhuān)家建議4.1.6組織間的合作4.1.7信息安全的獨(dú)立評(píng)審5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.2第三方訪問(wèn)的安全4.2.1第三方訪問(wèn)的風(fēng)險(xiǎn)識(shí)別

訪問(wèn)類(lèi)型

訪問(wèn)原因

現(xiàn)場(chǎng)工作的合同方4.2.2第三方合同中的安全要求5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.3外包4.3.1外包合同中的安全要求外包合同5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.

資產(chǎn)分類(lèi)與控制

目標(biāo)：保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)確保信息資產(chǎn)受到適當(dāng)級(jí)別的保護(hù)

5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.

資產(chǎn)分類(lèi)與控制

5.1資產(chǎn)責(zé)任

5.1.1資產(chǎn)清單5.2信息資產(chǎn)分類(lèi)

5.2.1分類(lèi)指南

5.2.2標(biāo)識(shí)和處理絕密機(jī)密秘密5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.

人員安全

目標(biāo)：降低人為錯(cuò)誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險(xiǎn)確保用戶(hù)意識(shí)到信息安全的威脅和利害關(guān)系，并在其日常工作過(guò)程中樹(shù)立支持組織安全方針的意識(shí)盡量減小安全事件和故障造成的損失，監(jiān)督此類(lèi)事件并從中吸取教訓(xùn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.

人員安全

6.1崗位安全責(zé)任和人員錄用安全要求6.2用戶(hù)培訓(xùn)6.3安全事件與故障的響應(yīng)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.1崗位安全責(zé)任和人員錄用安全要求6.1.1崗位安全責(zé)任6.1.2人員選拔及其原則6.1.3保密協(xié)議6.1.4錄用條款5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.2用戶(hù)培訓(xùn)6.2.1信息安全教育與培訓(xùn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.3安全事件與故障響應(yīng)6.3.1報(bào)告安全事件6.3.2報(bào)告安全隱患6.3.3報(bào)告軟件故障6.3.4總結(jié)事件教訓(xùn)6.3.5處罰過(guò)程5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.

物理和環(huán)境安全

目標(biāo)：防止進(jìn)入業(yè)務(wù)安全區(qū)邊界，對(duì)信息進(jìn)行未授權(quán)的訪問(wèn)、破壞和干擾防止資產(chǎn)的丟失、損壞或損害，以及業(yè)務(wù)活動(dòng)的中斷防止信息和信息處理設(shè)施遭受損害或被盜5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.

物理和環(huán)境安全

7.1安全區(qū)域7.2設(shè)備安全7.3常規(guī)控制措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.1安全區(qū)域7.1.1邊界7.1.2出入控制7.1.3辦公室、房間和設(shè)施的安全7.1.4安全區(qū)工作守則7.1.5交接區(qū)隔離5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.2設(shè)備安全7.2.1設(shè)備安置及其保護(hù)7.2.2電源7.2.3線纜安全7.2.4設(shè)備維護(hù)7.2.5安全區(qū)外的設(shè)備安全7.2.6設(shè)備報(bào)廢或再利用的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.3常規(guī)控制措施7.3.1清空桌面和清屏7.3.2資產(chǎn)轉(zhuǎn)移5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.

通信和操作管理

目標(biāo)：確保信息處理設(shè)施正確運(yùn)行與安全運(yùn)行將系統(tǒng)故障的風(fēng)險(xiǎn)降到最低保護(hù)軟件和信息的完整性保持信息處理與通信服務(wù)的完整性和可用性確保網(wǎng)絡(luò)信息的安全和支持性基礎(chǔ)設(shè)施得到保護(hù)防止資產(chǎn)損失和業(yè)務(wù)活動(dòng)的中斷防止丟失、修改或誤用組織之間交換的信息5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.

通信和操作管理

8.1操作程序和責(zé)任8.2系統(tǒng)規(guī)劃和驗(yàn)收8.3惡意軟件的防范8.4日常管理8.5網(wǎng)絡(luò)管理8.6媒體安全8.7信息及軟件的交換5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.1操作程序和責(zé)任8.1.1操作程序文件化8.1.2操作的變更控制8.1.3事件管理程序8.1.4職責(zé)劃分8.1.5開(kāi)發(fā)設(shè)備與操作設(shè)備的隔離8.1.6外部設(shè)施管理5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.2系統(tǒng)規(guī)劃和驗(yàn)收8.2.1容量規(guī)劃8.2.2系統(tǒng)驗(yàn)收200120105.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.3惡意軟件的防范8.3.1惡意軟件的防范措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.4日常管理8.4.1信息備份8.4.2操作日志8.4.3錯(cuò)誤記錄5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.5網(wǎng)絡(luò)管理8.5.1網(wǎng)絡(luò)控制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.6媒體安全8.6.1可移動(dòng)的計(jì)算機(jī)媒體的管理8.6.2媒體處置8.6.3信息處理程序8.6.4系統(tǒng)文檔安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.7信息及軟件的交換8.7.1信息及軟件交換協(xié)議8.7.2媒體傳輸安全8.7.3電子商務(wù)安全8.7.4電子郵件安全8.7.5電子辦公系統(tǒng)安全8.7.6公開(kāi)可用系統(tǒng)8.7.7其它形式的信息交換5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.

訪問(wèn)控制

目標(biāo)：控制對(duì)信息的訪問(wèn)防止對(duì)信息系統(tǒng)的未授權(quán)訪問(wèn)防止未授權(quán)的用戶(hù)訪問(wèn)保護(hù)網(wǎng)絡(luò)服務(wù)，控制對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)的訪問(wèn)防止對(duì)計(jì)算機(jī)的未授權(quán)訪問(wèn)防止對(duì)信息系統(tǒng)內(nèi)的信息的未授權(quán)訪問(wèn)檢測(cè)未授權(quán)的活動(dòng)確保使用可移動(dòng)計(jì)算機(jī)和遠(yuǎn)程工作設(shè)施時(shí)的信息的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.

訪問(wèn)控制

9.1訪問(wèn)控制的業(yè)務(wù)需求9.2用戶(hù)訪問(wèn)管理9.3用戶(hù)職責(zé)9.4網(wǎng)絡(luò)訪問(wèn)控制9.5操作系統(tǒng)訪問(wèn)控制9.6應(yīng)用系統(tǒng)訪問(wèn)控制9.7系統(tǒng)訪問(wèn)和使用的監(jiān)控9.8移動(dòng)計(jì)算和遠(yuǎn)程工作5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.1訪問(wèn)控制的業(yè)務(wù)需求9.1.1訪問(wèn)控制策略

策略和業(yè)務(wù)需求

訪問(wèn)控制規(guī)則5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.2用戶(hù)訪問(wèn)管理9.2.1用戶(hù)注冊(cè)9.2.2特權(quán)管理9.2.3用戶(hù)口令管理9.2.4用戶(hù)訪問(wèn)權(quán)限的評(píng)審5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.3用戶(hù)職責(zé)9.3.1口令的使用9.3.2無(wú)人值守的用戶(hù)設(shè)備5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.4網(wǎng)絡(luò)訪問(wèn)控制9.4.1網(wǎng)絡(luò)服務(wù)使用策略9.4.2強(qiáng)制路徑9.4.3外部連接的用戶(hù)身份認(rèn)證9.4.4節(jié)點(diǎn)認(rèn)證9.4.5遠(yuǎn)程診斷端口保護(hù)9.4.6網(wǎng)絡(luò)劃分9.4.7網(wǎng)絡(luò)連接控制9.4.8網(wǎng)絡(luò)路由控制9.4.9網(wǎng)絡(luò)服務(wù)安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.5操作系統(tǒng)訪問(wèn)控制9.5.1自動(dòng)終端識(shí)別9.5.2終端登錄程序9.5.3用戶(hù)識(shí)別與認(rèn)證9.5.4口令管理系統(tǒng)9.5.5系統(tǒng)工具的使用9.5.6強(qiáng)制報(bào)警9.5.7終端超時(shí)9.5.8連接時(shí)間的限制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.6應(yīng)用系統(tǒng)訪問(wèn)控制9.6.1信息訪問(wèn)限制9.6.2敏感系統(tǒng)隔離5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.7系統(tǒng)訪問(wèn)和使用的監(jiān)控9.7.1事件日志9.7.2系統(tǒng)使用的監(jiān)控

監(jiān)控程序

風(fēng)險(xiǎn)因素

事件記錄與評(píng)審9.7.3時(shí)鐘同步5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.8移動(dòng)計(jì)算和遠(yuǎn)程工作9.8.1移動(dòng)計(jì)算9.8.2遠(yuǎn)程工作5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.

系統(tǒng)開(kāi)發(fā)和維護(hù)

目標(biāo)：確保信息系統(tǒng)的安全防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶(hù)數(shù)據(jù)保護(hù)信息的機(jī)密性、真實(shí)性或完整性確保IT項(xiàng)目及其支持活動(dòng)得以一種安全的方式進(jìn)行。對(duì)系統(tǒng)文件的訪問(wèn)應(yīng)得到控制維護(hù)應(yīng)用系統(tǒng)軟件與信息的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.

系統(tǒng)開(kāi)發(fā)和維護(hù)

10.1系統(tǒng)安全需求10.2應(yīng)用系統(tǒng)安全10.3加密控制10.4系統(tǒng)文件安全10.5開(kāi)發(fā)過(guò)程和支持過(guò)程的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.1系統(tǒng)安全需求10.1.1安全需求分析及其說(shuō)明說(shuō)明書(shū)。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

商業(yè)情況。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

安全需求。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect,5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.2應(yīng)用系統(tǒng)安全10.2.1輸入數(shù)據(jù)的確認(rèn)10.2.2內(nèi)部處理的控制

風(fēng)險(xiǎn)

檢查和控制10.2.3消息驗(yàn)證10.2.4輸出數(shù)據(jù)的確認(rèn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.3加密控制10.3.1加密控制策略10.3.2加密10.3.3數(shù)字簽名10.3.5密鑰管理10.3.4防抵賴(lài)10.3.5密鑰管理

密鑰保護(hù)

標(biāo)準(zhǔn)、程序和方法5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.4系統(tǒng)文件安全10.4.1運(yùn)行軟件的控制10.4.2系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)10.4.3源代碼的訪問(wèn)控制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.5開(kāi)發(fā)過(guò)程和支持過(guò)程的安全10.5.1變更控制程序10.5.2操作系統(tǒng)變更的技術(shù)評(píng)審10.5.3軟件包變更的限制10.5.4隱蔽信道和特洛伊代碼10.5.5外包的軟件開(kāi)發(fā)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1411.

業(yè)務(wù)連續(xù)性管理

目標(biāo)：防止業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受重大故障或?yàn)?zāi)難的影響5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1411.

業(yè)務(wù)連續(xù)性管理

11.1業(yè)務(wù)連續(xù)性管理11.1.1過(guò)程11.1.2業(yè)務(wù)連續(xù)性和影響分析11.1.3制定和實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃11.1.4業(yè)務(wù)連續(xù)性計(jì)劃框架11.1.5測(cè)試，維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃

測(cè)試業(yè)務(wù)