信息安全和風(fēng)險管理-CTEC7799講座.ppt

信息安全和風(fēng)險管理 7799標(biāo)準與實施,概述,Part I 什么是信息安全？ Part II 什么是風(fēng)險和風(fēng)險管理 Part III 什么是7799？ Part IV 如何獲得7799認證？,Part I 什么是信息安全,1-1 看待信息安全的各種思路,需求 狀態(tài) 結(jié)果 功能 過程 能力,對信息安全的各種思路,需求 信息系統(tǒng)乃至信息化社會的需要 狀態(tài) 對應(yīng)于信息不安全。難于描述。 結(jié)果 對應(yīng)于人們的努力。表面看只有兩個結(jié)果：出事和不出事。,對信息安全的各種思路,功能 應(yīng)用和實現(xiàn)的各種安全功能（產(chǎn)品）。比如：訪問控制（防火墻）、審計跟蹤（IDS）等 過程 對應(yīng)于人們努力的內(nèi)容和時間。 能力 對應(yīng)于努力的綜合實力,信息安全的三個方面需求 保密性信息的機密性 完整性信息的完整性、一致性 可用性行為完整性、服務(wù)連續(xù)性,信息安全的經(jīng)典定義 需求角度,安全需求的多樣性,6項安全要求CIARAA (ISO13335) 保密性 Confidentiality 完整性 Integrity 可用性 Availability 可靠性 Reliability 認證性 Authenticity 審計性 Accountability,信息安全需求的演變？,信息保密,信息保密,信息完整,信息和系統(tǒng)可用,信息保密,信息完整,信息和系統(tǒng)可用,信息和系統(tǒng)可控,信息行為不可否認,80年代的認識 90年代的認識 90年代后期的認識,最權(quán)威的傳統(tǒng)評估標(biāo)準,美國國防部在1985年公布 可信計算機安全評估準則 Trusted Computer Security Evaluation Criteria (TCSEC) 為安全產(chǎn)品的測評提供準則和方法 指導(dǎo)信息安全產(chǎn)品的制造和應(yīng)用,可信計算機系統(tǒng)安全等級,傳統(tǒng)評估標(biāo)準的演變,美國 DoD85 TESEC TCSEC網(wǎng)絡(luò)解釋（TNI 1987） TCSEC數(shù)據(jù)庫管理系統(tǒng)解釋（TDI 1991） 歐洲 ITSEC 美國、加拿大、歐洲等共同發(fā)起Common Criteria(CC),Reference Monitor,主要傳統(tǒng)安全技術(shù),操作系統(tǒng)訪問控制 網(wǎng)絡(luò)訪問控制（防火墻） 加密（對稱、非對稱） 身份認證（口令、強認證） ,VRM,TCSEC認為，一個安全機制的三個基本要求： 不可旁路 不可篡改 足夠小，可以被證明,RM傳統(tǒng)安全理念和技術(shù)的局限,適合于主機/終端環(huán)境，對網(wǎng)絡(luò)環(huán)境難于適應(yīng) 系統(tǒng)和技術(shù)的發(fā)展太快，安全技術(shù)跟進困難 沒有研究入侵者的特點和技術(shù) ,UNIX Firewall,E-Mail Server,Web Server,Router,NT,Clients & Workstations,Network,UNIX,NT,UNIX,imap,Crack,NetBus,典型的攻擊過程,1-3 P2DR安全模型,動態(tài)安全模型 可適應(yīng)網(wǎng)絡(luò)安全模型,P2DR安全模型,動態(tài)/可適應(yīng)安全的典范,什么是安全？,新的定義,安全及時的檢測和處理,時間,什么是安全？,Pt Dt Rt, +,P2DR安全模型,動態(tài)模型 基于時間的模型 可以量化 可以計算,P2DR的核心問題是檢測 檢測是靜態(tài)防護轉(zhuǎn)化為動態(tài)的關(guān)鍵 檢測是動態(tài)響應(yīng)的依據(jù) 檢測是落實、強制執(zhí)行安全策略的有力工具 最重要的檢測技術(shù) 漏洞掃描 入侵檢測IDS,P2DR安全的核心,PDR理念的不足,缺少管理環(huán)節(jié)的描述和表達 因此，才有Policy環(huán)節(jié)的引入 實用的時間很難測量 時間計算的算法非常復(fù)雜和不確定,PDR的時間計算,目標(biāo),起點,Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D),PDR的時間計算,Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re),Ra,Rb,Rc,Rd,Re,PDR的時間計算,目標(biāo),起點,Pt(System)=?,PDR的時間計算,目標(biāo),起點,1-4 我們應(yīng)當(dāng)期待什么效果？,目前普遍應(yīng)用的信息安全技術(shù),訪問控制 操作系統(tǒng)訪問控制 網(wǎng)絡(luò)防火墻 病毒防火墻 審計跟蹤 IDS 漏洞掃描 日志分析,加密 存儲和備份 鑒別和認證 PKI和CA 雙因子認證 生物認證 ,信息安全問題的難點,超復(fù)雜性 牽扯很多技術(shù)環(huán)節(jié) 涉及大量的管理問題 涉及人的因素 ,工程方法,最成熟的“工程”方法,風(fēng)險管理 風(fēng)險評估 風(fēng)險控制和監(jiān)控 信息安全管理系統(tǒng)ISMS 管理驅(qū)動技術(shù),Part II 什么是風(fēng)險和風(fēng)險管理,什么是風(fēng)險？,風(fēng)險： 對目標(biāo)有所影響的某個事情發(fā)生的可能性。它根據(jù)后果和可能性來度量。 Risk the chance of something happening that will have an impact upon objectives. It is measured in terms of consequences and likelihood. -AS/NZS 4360:1999風(fēng)險管理,什么是風(fēng)險,風(fēng)險：指定的威脅利用單一或一群資產(chǎn)的脆弱點造成資產(chǎn)的損失或損壞的潛在的可能性。 Risk: the potential that a given threat will exploit vulnerabilities of an asset or group of assets to cause loss or damage to the assets. - ISO/IEC TR 13335-1:1996,ISO15408安全模型,ISO/IEC 15408-1 安全概念和關(guān)系模型,模型的對抗特性,模型的動態(tài)性和風(fēng)險性,模型的資產(chǎn)屬性,風(fēng)險避免 vs 風(fēng)險管理,風(fēng)險避免 構(gòu)建一個一次性的防御體系。它必須足夠強壯以抵擋各種威脅。它可能是沒有彈性而且非常昂貴的。 風(fēng)險管理 動態(tài)的，可以持續(xù)不斷地適應(yīng)威脅的變化。構(gòu)建的防御體系僅僅采用適度的措施去保護有價值的資產(chǎn)，阻止進一步的損失，有效地給予恢復(fù)。 只購買你需要的，而不是你可能需要的。 但是特別需要有效的管理。,風(fēng)險管理的關(guān)系圖,ISO13335以風(fēng)險為核心的安全模型,風(fēng)險,防護措施,信息資產(chǎn),威脅,漏洞,防護需求,價值,7799對信息資產(chǎn)的看法,“Information is an asset which, like other important business assets, has value to an organisation and consequently needs to be suitably protected.” “信息是一種資產(chǎn)，象其他重要的商務(wù)資產(chǎn)一樣，對組織具有價值，因此需要適當(dāng)?shù)谋Ｗo。,風(fēng)險管理的核心理念,資產(chǎn)保護,什么是風(fēng)險管理？,對潛在機會和不利影響進行有效管理的文化、程序和結(jié)構(gòu) 風(fēng)險管理是由多個定義明確的步驟所組成的一個反復(fù)過程，這些步驟以較深入的洞察風(fēng)險及其影響為更好的決策提供支持,風(fēng)險管理的組成要素,建立環(huán)境,鑒別風(fēng)險,分析風(fēng)險,評價風(fēng)險,處理風(fēng)險,信 息 交 流 與 咨 詢,監(jiān)控 與審查,AS/NZS 4360,風(fēng)險管理的組成要素,1、建立環(huán)境 建立在風(fēng)險管理過程中將出現(xiàn)的策略、組織和風(fēng)險管理的背景。應(yīng)建立對風(fēng)險進行評價的推測、并規(guī)定分析的結(jié)構(gòu)。 2、鑒別風(fēng)險 鑒別出會出現(xiàn)什么事，為什么會出現(xiàn)和如何出現(xiàn)，作為進一步分析的基礎(chǔ),風(fēng)險管理的組成要素,3、分析風(fēng)險 確定現(xiàn)有的控制，并根據(jù)在這些控制的環(huán)境中的和可能性對風(fēng)險進行分析。這種分析應(yīng)考慮到潛在后果的范圍和這些后果發(fā)生的可能性有多大?？蓪⒑蠊涂赡苄越Y(jié)合起來得到一個估計的風(fēng)險程度。 4、評價風(fēng)險 將估計的風(fēng)險程度與預(yù)先建立的水準進行比較。這樣可將風(fēng)險按等級排列，以便鑒別管理的有限順序。如果建立的風(fēng)險程度很低，此時的風(fēng)險可以列入可接受的范疇，而不作處理。,風(fēng)險管理的組成要素,5、處理風(fēng)險 接受并監(jiān)控低優(yōu)先級的風(fēng)險。對于其他風(fēng)險，則建立并實施一個特定管理計劃，其中包括考慮到資金的提供。 6、監(jiān)控和審查 對于風(fēng)險管理系統(tǒng)的運作情形以及可能影響其運作的那些變化進行監(jiān)控和審查 7、信息交流和咨詢 在風(fēng)險管理過程的每個階段以及整個過程中，適時與內(nèi)部和外部的風(fēng)險承擔(dān)者（stakeholder）進行信息交流和咨詢。,風(fēng)險管理的主要部分,風(fēng)險評估 Risk Assessment 風(fēng)險控制（處理） Risk Control,風(fēng)險評估,風(fēng)險評估報告,資產(chǎn)鑒別報告 漏洞報告 威脅報告 風(fēng)險報告 Risk = f ( Asset, Vul, Threat ),風(fēng)險體,安全要素關(guān)系圖,Part III 什么是7799,信息安全管理標(biāo)準,BS7799/ISO17799 信息安全管理綱要、指南 Part I: Code of practice for information security management 信息安全管理認證體系 Part II: Specification for information security management,信息安全管理標(biāo)準BS7799/ISO17799,英國標(biāo)準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成。 1993年，BS7799標(biāo)準由英國貿(mào)易工業(yè)部立項 1995年，BS 7799-1：1995 信息安全管理實施細則 1998年，BS 7799-2：1998 信息安全管理體系規(guī)范 1999年，對BS 7799-1：1995 及BS 7799-2：1998 重新修訂發(fā)布 2000年，以標(biāo)準ISO/IEC 17799發(fā)布,BS7799和ISO17799的區(qū)別,BS7799 英國標(biāo)準 已被多個國家認同（如澳大利亞等） 第二部分是可認證標(biāo)準 2002年新修訂了第2部分。新版本風(fēng)格接近ISO9000和ISO14000。,ISO17799 2000年采納了BS7799的第一部分 第二部分還在討論中,BS7799-2:2002,BS7799 / ISO 17799,安全策略 安全組織 資產(chǎn)分類及控制 人員安全 物理和環(huán)境安全,通信和運作管理 系統(tǒng)訪問控制 系統(tǒng)開發(fā)與維護 業(yè)務(wù)連續(xù)性規(guī)劃 符合性,信息安全管理綱要 Code of practice for information security management,“Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organisation.” “不是所有描述的控制措施與所有情況有關(guān)，這些控制措施也沒有考慮地方的環(huán)境和技術(shù)限制，或以適用于任何一個組織中的潛在的使用者的形式展現(xiàn)。,BS 7799-1:2000包含： 36個控制目標(biāo)和127個控制措施,Control objectives and controls 控制目標(biāo)和控制措施,Key controls關(guān)鍵控制措施,BS 7799 identifies 8 controls as BS 7799 識別8個控制措施作為-,“guiding principles providing a good starting point for implementing information security.” “指導(dǎo)原則提供最佳的實施信息安全的起始點” “They are either based on essential legislative requirements or considered to be common best practice for information security.” “他們或是建立在基本的法律要求或被認為是公認信息安全的最佳實踐”,Intellectual property rights 知識產(chǎn)權(quán)保護 Safeguarding of organisational records 保護組織的記錄 Data protection and privacy of personal information 數(shù)據(jù)保護和個人信息隱私,Controls with legislative implications 與法律有關(guān)的控制措施,Objective 目標(biāo) To avoid breaches of copyright through prevention of copying without owners consent. 防止未經(jīng)擁有者允許的復(fù)制，避免違反產(chǎn)權(quán)保護 Restrictions on copying限制復(fù)制 Licence agreements許可協(xié)議 Policy compliance符合方針 Contract requirements合同要求,Intellectual property rights 知識產(chǎn)權(quán),Objective 目標(biāo) Prevention of loss, destruction and falsification of important records. 防止丟失，破壞和篡改重要的記錄 Retention保持 Storage儲存 Disposal處置,Safeguarding of organisational records 保護組織記錄,Objective 目標(biāo) Compliance with any data or information protection legislation in those countries where applicable. 如果適用，符合所在國家的任何信息保護法律。,Data protection and privacy of personal information數(shù)據(jù)保護和個人信息隱私,Information security policy document 信息安全方針文件 Allocation of information security responsibilities 落實信息安全責(zé)任 Information security education and training 信息安全教育與培訓(xùn) Reporting security incidents 安全事故匯報 Business continuity management 業(yè)務(wù)連續(xù)性管理,Controls for common best practice 與公認最好實踐有關(guān)的控制措施,Objective 目標(biāo) To provide management direction and support for information security. 提供管理方向和支持信息安全。,Policy Document,Information security policy document 信息安全方針文件,Objective 目標(biāo) To assign responsibilities for security so that security is effectively managed within the organisation.分配安全責(zé)任使安全在組織中得到有效管理。 Responsibilities 責(zé)任 Owners 擁有者 Roles 角色,Allocation of information security responsibilities 落實信息安全責(zé)任,Objective 目標(biāo) To ensure users are aware of information security threats and concerns and are equipped to support organisational security policy. 保證使用者明白信息安全的威脅和應(yīng)考慮的問題并準備支持組織的安全方針。 Training needs and awareness 培訓(xùn)需要和基本知識,Information security education and training 信息安全教育與培訓(xùn),Objective-目標(biāo) To minimize the damage from security incidents and malfunctions and to monitor and learn from such incidents.減少安全事故和故障的損失，監(jiān)控并從事故中學(xué)習(xí)。 Definition定義 Procedure 程序,Reporting security incidents 安全事故匯報,Objective 目標(biāo) To counteract interruptions to business activities and to protect critical business processes from the effects of major failures or disasters。 防止業(yè)務(wù)活動中斷和保護關(guān)鍵業(yè)務(wù)過程不受關(guān)鍵故障和災(zāi)害的影響。 Key steps to business continuity 業(yè)務(wù)連續(xù)性的關(guān)鍵步驟,Business continuity management 業(yè)務(wù)連續(xù)性管理,Overview of controls from BS7799:1999 BS7799:1999控制措施概述,(Clause numbers refer to BS 7799-1:1999) （條款號對應(yīng)于BS 7799-1:1999的條款號）,3. Security policy安全方針,3.1 Information security policy 信息安全方針,3.1 Information security policy 信息安全方針,Information security policy document Review and evaluation 信息安全方針文件評審與評估,Policy,Sdjndkjhkjhkjfdf Sdfkjflkjflkjlfklkf Edkjfjf fkflkjfl Rgjlkmblktmgl Rgl,g;ggk,gl gglklkgl Fdglgrf rerfkjhnertm5pok Fkkjj5tk55ok dfgngngg gmgmgkmgkmgg,4. Security organisation 安全組織,4.1 Information security infrastructure 信息安全基礎(chǔ)設(shè)施 4.2 Security of third party access 第三方訪問安全 4.3 Outsourcing 外包,4.1 Information security infrastructure 信息安全基礎(chǔ)設(shè)施,Management information security forum 信息安全管理委員會 Information security co-ordination 信息安全協(xié)作 Allocation of information security responsibilities 落實信息安全責(zé)任 Authorisation process for information processing facilities 信息處理設(shè)施授權(quán)過程 Specialist information security advice 信息安全專家建議 Co-operation between organisations 組織間的合作 Independent review of information security 獨立評審信息安全,4.2 Security of third party access 第三方訪問安全,Identification of risks from third party access 識別第三方訪問風(fēng)險 Security requirements in third party contracts 第三方合同的安全要求,4.3 Outsourcing外包,Security requirements in outsourcing contracts 外包合同中的安全要求,Outsourcing Contract,5. Asset classification and control 資產(chǎn)分類和控制,5.1 Accountability for assets資產(chǎn)責(zé)任 5.2 Information classification信息分類,5.1 Accountability for assets資產(chǎn)責(zé)任,Inventory of assets 資產(chǎn)目錄,5.2 Information classification 信息分類,Classification guidelines分類指南 Information labelling and handling 信息標(biāo)簽和處理,Top Secret Secret Confidential Restricted,Restricted until 1/1/2005,“Protectively Marked”,6. Personnel security 人員安全,6.1 Security in job definition and resourcing 在工作描述和配備資源時考慮安全問題 6.2 User training 使用者培訓(xùn) 6.3 Responding to security incidents and malfunctions 響應(yīng)安全事故和故障,6.1 Security in job definition and resourcing 在工作描述和配備資源時考慮安全問題,Including security in job responsibilities 在工作責(zé)任中包括安全問題 Terms and conditions of employment 聘用條件和合同 Personnel screening and policy 人事審查和方針 Confidentiality agreements 保密協(xié)議,6.2 User training使用者培訓(xùn),Information security education and training 信息安全教育和培訓(xùn),6.3 Responding to security incidents and malfunctions 響應(yīng)信息安全事故和故障,Reporting security incidents安全事故報告 Reporting security weaknesses安全弱點報告 Reporting software malfunctions軟件故障報告 Learning from incidents從事故中學(xué)習(xí) Disciplinary process懲罰過程,7. Physical and environmental security 物理和環(huán)境安全,7.1 Secure areas安全區(qū)域 7.2 Equipment security設(shè)備安全 7.3 General controls一般控制措施,7.1 Secure areas 安全區(qū)域,Physical security perimeter物理安全邊界 Physical entry controls物理入口控制 Securing offices, rooms and facilities 辦公室，房間和設(shè)施保安 Working in secure areas在安全區(qū)域工作 Isolated delivery and loading areas 運送和裝卸區(qū)域隔離,7.2 Equipment security設(shè)備安全,Equipment siting and protection設(shè)備安裝與保護 Power supplies電力供應(yīng) Cabling security電纜安全 Equipment maintenance設(shè)備維護 Security of equipment off-premises不在辦公場所的設(shè)備 Secure disposal or re-use of equipment 處置和重新使用設(shè)備的安全,7.3 General controls 一般控制,Clear desk and clear screen policy 桌面和屏幕清理政策 Removal of property 財產(chǎn)移動,8. Communications and operations management 通信和運營管理,8.1 Operational procedures and responsibilities 操作程序和責(zé)任 8.2 System planning and acceptance 系統(tǒng)計劃和接收 8.3 Protection against malicious software 惡意軟件防護 8.4 Housekeeping 內(nèi)務(wù)管理 8.5 Network management 網(wǎng)絡(luò)管理 8.6 Media handling and security 媒體處理與安全 8.7 Exchanges of information and software 信息交換和軟件,8.1 Operational procedures and responsibilities 操作程序和責(zé)任,Documented operating procedures 文件化操作程序 Operational change control運營變化控制 Incident management procedure事故管理程序 Segregation of duties責(zé)任分離 Separation of development and operational facilities 開發(fā)與運營設(shè)備分離 External facilities management外部設(shè)備管理,8.2 System planning and acceptance 系統(tǒng)計劃和接收,Capacity planning容量計劃 System acceptance系統(tǒng)接受,2010,2001,8.3 Protection against malicious software 惡意軟件防護,Controls against malicious software 對惡意軟件的控制,8.4 Housekeeping 內(nèi)務(wù)管理,Information back-up信息備份 Operator logs操作日志 Fault logging錯誤日志,8.5 Network management網(wǎng)絡(luò)管理,Network controls 網(wǎng)絡(luò)控制,8.6 Media handling and security 媒體處理和安全,Management of removable computer media 可移動計算機媒體（介質(zhì)）的管理 Disposal of media 媒體（介質(zhì)）處置 Information handling procedures 信息處理程序 Security of system documentation 系統(tǒng)文件安全,8.7 Exchanges of information and software 軟件和信息交換,Information and software exchange 信息和軟件交換 Security of media in transit 媒體轉(zhuǎn)換的安全 Electronic commerce security 電子商務(wù)安全 Security of electronic mail 電子郵件的安全 Security of electronic office systems 電子辦公系統(tǒng)的安全 Publicly available systems 公用系統(tǒng) Other forms of information exchange 其他形式的信息交換,9. Access control 訪問控制,9.1 Business requirements for access control訪問控制的業(yè)務(wù)要求 9.2 User access management使用者訪問管理 9.3 User responsibilities使用者責(zé)任 9.4 Network access control網(wǎng)絡(luò)訪問控制 9.5 Operating system access control操作系統(tǒng)訪問控制 9.6 Application access control應(yīng)用訪問控制 9.7 Monitoring system access and use監(jiān)控系統(tǒng)訪問和使用 9.8 Mobile computing and teleworking可移動計算設(shè)備和網(wǎng)絡(luò),9.1 Business requirements for access control 控制訪問的業(yè)務(wù)要求,Access control policy 訪問控制策略,You are not authorised to access this system,9.2 User access management 使用者訪問管理,User registration 使用者注冊 Privilege management 特權(quán)管理 User password management 使用者口令管理 Review of user access rights 評審使用者訪問權(quán),System Administrator Menu,9.3 User responsibilities使用者責(zé)任,Password use 口令使用 Unattended user equipment 無人照管的設(shè)備,9.4 Network access control 網(wǎng)絡(luò)訪問控制,Policy on use of network services 使用網(wǎng)絡(luò)服務(wù)的策略 Enforced path 強制路徑 User authentication for external connections 外部連接者身份認證 Node authentication 結(jié)點認證 Remote diagnostic port protection 遠程診斷端口的防護 Segregation in networks 網(wǎng)絡(luò)分離 Network connection control 網(wǎng)絡(luò)連接控制 Network routing control 網(wǎng)絡(luò)路由控制 Security of network services 網(wǎng)絡(luò)服務(wù)的安全,9.5 Operating system access control 操作系統(tǒng)訪問控制,Automatic terminal identification自動終端識別 Terminal log-in procedures終端連網(wǎng)程序 User identification and authentication使用者識別和認證 Password management system口令管理系統(tǒng) Use of system facilities系統(tǒng)設(shè)施的使用 Duress alarm to safeguard users安全裝置使用者強制警報 Terminal time-out終端暫停 Limitation of connection time連接時間限制,9.6 Application access control 應(yīng)用訪問控制,Information access restriction 信息訪問限制 Sensitive system isolation 敏感系統(tǒng)隔離,9.7 Monitoring system access and use 監(jiān)控系統(tǒng)訪問和使用,Event logging事件日志 Monitoring system use 監(jiān)控系統(tǒng)使用 Clock synchronisation 時鐘同步,14:27,9.8 Mobile computing and teleworking 可移動計算設(shè)備和網(wǎng)絡(luò)通信,Mobile computing 移動計算設(shè)備 Teleworking 網(wǎng)絡(luò)通信,10. Systems development and maintenance 系統(tǒng)開發(fā)和維護,10.1 Security requirements of systems系統(tǒng)的安全要求 10.2 Security in application systems應(yīng)用系統(tǒng)安全 10.3 Cryptographic controls密碼控制 10.4 Security of system files系統(tǒng)文件的安全 10.5 Security in development and support processes 開發(fā)和支持過程的安全,10.1 Security requirements of systems 系統(tǒng)的安全要求,Security requirements analysis and specification 安全要求分析和說明,Specification,;oiu;u;ppjoiu;oiuiu;iou;oiu;oiuoipoipo #po#po#po#popo#popophn ji Hhhuhiu hiuyhuy8 J ooiiuyfuytdyiuy;9uyouo;iui j;oij; Ijijweifjerhf uuhiuyrhqe wu24i5yiufu24 O#popopoppopo#o#o#o#o#o#o#hilugiuiugi Opopopopo,10.2 Security in application systems 應(yīng)用系統(tǒng)安全,Input data validation輸入數(shù)據(jù)驗證 Control of internal processing內(nèi)部處理控制 Message authentication消息認證 Output data validation輸出數(shù)據(jù)驗證,10.3 Cryptographic controls 密碼控制,Policy on use of cryptographic controls 使用密碼控制策略 Encryption加密 Digital signatures 數(shù)字簽名 Non-repudiation services 不可否認服務(wù) Key management密鑰管理,Confidential,10.4 Security of system files 系統(tǒng)文件安全,Control of operational software 操作系統(tǒng)軟件的控制 Protection of system test data 保護系統(tǒng)測試數(shù)據(jù) Access control to program source library 程序資源庫的訪問控制,10.5 Security in development and support processes 開發(fā)和支持過程的安全,Change control procedures 變化控制程序 Technical review of operating system changes 操作系統(tǒng)變化的技術(shù)評審 Restrictions on changes to software packages 軟件包變化的限制 Covert channels and Trojan code 隱蔽通道和特洛伊代碼 Outsourced software development 外包的軟件開發(fā),11. Business continuity management 業(yè)務(wù)連續(xù)性管理,11.1 Aspects of business continuity management 業(yè)務(wù)連續(xù)性管理的各方面,11.1 Aspects of business continuity management 業(yè)務(wù)連續(xù)性管理的各方面,Business continuity management process 業(yè)務(wù)連續(xù)性管理過程 Business continuity and impact analysis 業(yè)務(wù)連續(xù)性和影響分析 Writing and implementing continuity plans 書寫和實施連續(xù)性計劃 Business continuity planning framework 業(yè)務(wù)連續(xù)性框架 Testing, maintaining and re-assessing business continuity plans 測試，維護和重新評審業(yè)務(wù)連續(xù)性計劃,12. Compliance 符合,12.1 Compliance with legal requirements 符合法律要求 12.2 Reviews of security policy and technical compliance 評審安全方針和技術(shù)符合 12.3 System audit considerations 系統(tǒng)審核考慮,12.1 Compliance with legal requirements 符合法律要求,Identification of applicable legislation 識別適應(yīng)的法律 Intellectual property rights (IPR) 知識產(chǎn)權(quán) Safeguarding of organisational records 保護組織記錄 Data protection and privacy of personal information 數(shù)據(jù)保護和個人信息隱私 Prevention of misuse of information processing facilities 錯誤使用信息的防護 Regulation of cryptographic controls 密碼控制的法規(guī) Collection of evidence 收集證據(jù),12.2 Reviews of security policy and technical compliance 評審安全方針和技術(shù)符合,Compliance with security po