信息安全概述BS7799

1、1信息安全概述信息安全概述信息安全標(biāo)準(zhǔn)介紹信息安全標(biāo)準(zhǔn)介紹BS779923信息安全的信息安全的CIA目標(biāo)目標(biāo) BS7799信息安全管理概述4組織的信息安全需求組織的信息安全需求u 法律法規(guī)與合同條約的要求： 有關(guān)信息安全的法律法規(guī)是對(duì)組織的強(qiáng)制性要求，組織應(yīng)該將適用于組織的法律法規(guī)轉(zhuǎn)化為組織的信息安全要求。 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，知識(shí)產(chǎn)權(quán)保護(hù)，互聯(lián)網(wǎng)安全管理規(guī)定 考慮業(yè)務(wù)合作者和客戶對(duì)組織提出的信息安全要求，包括合同要求、招標(biāo)條件和承諾。u 組織的原則、目標(biāo)和規(guī)定： 組織為業(yè)務(wù)正常運(yùn)作所特別制定的原則、目標(biāo)及信息處理的規(guī)定。 加強(qiáng)內(nèi)部管理的要求。u 風(fēng)險(xiǎn)評(píng)估的結(jié)果： 安全控制要求應(yīng)針對(duì)每

2、項(xiàng)資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、產(chǎn)生的潛在影響和發(fā)生的可能性等綜合因素來(lái)分析確定。 這是信息安全管理的基礎(chǔ)。信息安全管理概述5信息安全管理概述u 信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。 u 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。u 人們常說(shuō)，三分技術(shù)，七分管理三分技術(shù)，七分管理，可見(jiàn)管理對(duì)信息安全的重要性。 u 信息安全管理（Information Security Management）作為組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對(duì)對(duì)象就是組織的信息資產(chǎn)。 u 現(xiàn)實(shí)世界里大多數(shù)安

3、全事件的發(fā)生和安全隱患的存在，與其說(shuō)是技術(shù)上的原因，不如說(shuō)是管理不善造成的，理解并重視管理對(duì)于信息安全的關(guān)鍵作用，對(duì)于真正實(shí)現(xiàn)信息安全目標(biāo)來(lái)說(shuō)尤其重要。 u 信息安全管理的核心就是風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理。信息安全管理信息安全管理6BS7799的安全觀的安全觀u 技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵u 產(chǎn)品和技術(shù)，要通過(guò)管理的組織職能才能發(fā)揮最佳作用u 技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全u 先進(jìn)、易于理解、方便操作的安全策略對(duì)信息安全至關(guān)重要u 建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全u 根本上說(shuō)，信息安全是個(gè)管理過(guò)程，而不是技術(shù)過(guò)程信息

4、安全管理概述7威脅威脅漏洞漏洞安全控制安全控制安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)資產(chǎn)資產(chǎn)安全需求安全需求資產(chǎn)價(jià)值和資產(chǎn)價(jià)值和潛在影響潛在影響抵御利用增加增加暴露擁有增加需要減少滿足信息安全管理諸要素信息安全管理諸要素8AccessControlsAsset ClassificationControlsInformation Security PolicySecurity OrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceCommunicationsManagement信息安全管理概述

5、BS7799信息安全管理的內(nèi)容信息安全管理的內(nèi)容Info security Incident management 9基于風(fēng)險(xiǎn)分析的安全管理方法基于風(fēng)險(xiǎn)分析的安全管理方法u 信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。 制定信息安全策略方針 風(fēng)險(xiǎn)評(píng)估和管理 控制目標(biāo)和方式選擇 風(fēng)險(xiǎn)控制和處理 安全保證u 信息安全策略方針為信息安全管理提供導(dǎo)向和支持。u 控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上。u 考慮控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。u 需要全員參與。u 遵循管理的一般模式PDCA模型。信息安全管理概述10PDCA信息安全管理模型信息安全管

6、理模型信息安全管理概述1112英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）u 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（British Standards Institution，BSI）u 著名的ISO9000、ISO14000、ISO17799/BS7799等標(biāo)準(zhǔn)的編寫(xiě)機(jī)構(gòu)u 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（BSI）是世界上最早的全國(guó)性標(biāo)準(zhǔn)化機(jī)構(gòu)，它受政府控制但得到了政府的大力支持。 BSI不斷發(fā)展自己的工作隊(duì)伍，完善自己的工作機(jī)構(gòu)和體制， 把標(biāo)準(zhǔn)化和質(zhì)量管理以及對(duì)外貿(mào)易緊密結(jié)合起來(lái)開(kāi)展工作BS7799標(biāo)準(zhǔn)簡(jiǎn)介13BS7799標(biāo)準(zhǔn)簡(jiǎn)介什么是什么是BS 7799？u 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）

7、制定的信息安全標(biāo)準(zhǔn)。u 由信息安全方面的最佳慣例組成的一套全面的控制集。u 信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。14BS 7799的目的的目的 為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信。BS7799標(biāo)準(zhǔn)簡(jiǎn)介15BS7799標(biāo)準(zhǔn)簡(jiǎn)介BS 7799的歷史沿革的歷史沿革u 1990年代初年代初 英國(guó)貿(mào)工部（DTI）成立工作組，立項(xiàng)開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。u 1993年年9月月 頒布信息安全管理實(shí)施細(xì)則，形成BS 7799的基礎(chǔ)。u

8、 1995年年2月月 首次出版BS 7799-1:1995信息安全管理實(shí)施細(xì)則。u 1998年年2月月 英國(guó)公布BS 7799-2:信息安全管理體系規(guī)范。u 1999年年4月月 BS 7799-1與BS 7799-2修訂后重新發(fā)布。u 2000年年12月月 國(guó)際標(biāo)準(zhǔn)組織 ISO/IEC JTC 1/SC27工作組認(rèn)可通過(guò)BS 7799-1，頒布ISO/IEC 17799-1:2000信息技術(shù)信息安全管理實(shí)施細(xì)則。 u 2002年年9月月 BSI對(duì)BS 7799-2進(jìn)行了改版，用來(lái)替代原標(biāo)準(zhǔn)（BS 7799-2:1999）使用，并可望通過(guò)ISO組織認(rèn)可。uISO27001:2005 建立信息安全

9、管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) 。161995199920002002200520072005 version2000 version2005/062005-200620062005-20062005-2006BS7799標(biāo)準(zhǔn)簡(jiǎn)介BS 7799的歷史沿革的歷史沿革17BS7799標(biāo)準(zhǔn)簡(jiǎn)介BS 7799的發(fā)展現(xiàn)狀的發(fā)展現(xiàn)狀u BS 7799技術(shù)委員會(huì)是BSI-DISC Committee B

10、DD/2，成員包括： 金融服務(wù)：英國(guó)保險(xiǎn)協(xié)會(huì)，渣打會(huì)計(jì)協(xié)會(huì)，匯豐銀行等 通信行業(yè)：大英電訊公司等 零售業(yè)：Marks and Spencer plc 國(guó)際組織：殼牌，聯(lián)合利華，畢馬威（KPMG）等u 目前除英國(guó)之外，國(guó)際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西、日本等國(guó)采用BS 7799。u 我國(guó)的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。u 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在BS7799認(rèn)證方面表現(xiàn)積極。u 全球目前有750多家機(jī)構(gòu)通過(guò)了BS 7799認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國(guó)公司。（可查詢http:/）u 目前大陸地區(qū)通過(guò)信息安全管

11、理體系認(rèn)證的有6家。18BS 7799簡(jiǎn)介u 第一部分是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），在10個(gè)標(biāo)題中定義了127項(xiàng)安全控制：u 第二部分是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。19BS 7799簡(jiǎn)介20BS 7799簡(jiǎn)介21其他類似或相關(guān)文檔其他類似或相關(guān)文檔u BSI DISC提供了一組

12、關(guān)于BS 7799的系列指導(dǎo)文件（PD3000系列）： PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Management PD 3003 “Are you ready for a BS7799 Audit?” PD 3004 Guide to BS7799 Auditing PD 3005 Guide to the selection of BS7799 controlsu 澳大利亞和新西蘭等同采用BS7799，發(fā)布了AS/NZS 4444（后來(lái)，根據(jù)ISO/IEC 1

13、7799:2000頒布了AS/NZS ISO/IEC 17799:2001，根據(jù)BS7799-2:2002又頒布了AS/NZS 7799.2:2003），此外，他們也有自己的信息安全管理標(biāo)準(zhǔn)，即AS/NZS 4360。u ISO/IEC TR 13335，即IT安全管理指南（Guidelines for the Management of IT Security，GMITS），分5個(gè)部分。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于IT領(lǐng)域，并不用于審計(jì)和認(rèn)證。u ISO/TR 13569，銀行和相關(guān)金融服務(wù)信息安全指南。BS7799標(biāo)準(zhǔn)簡(jiǎn)介2223BS 7799-ISO17799：2005信息安全

14、管理實(shí)施細(xì)則24信息安全管理實(shí)施細(xì)則25ISO17799:2005前言前言簡(jiǎn)介簡(jiǎn)介什么是信息安全 （信息是一種資產(chǎn)，有多種存在形式，應(yīng)該通過(guò)有效控制加以保護(hù)）為什么需要信息安全如何建立安全需求 （安全需求的三個(gè)來(lái)源）評(píng)估安全風(fēng)險(xiǎn) （安全需求經(jīng)過(guò)系統(tǒng)地評(píng)估安全風(fēng)險(xiǎn)而得到確認(rèn) ）選擇控制 （安全控制可以從7799或其它有關(guān)標(biāo)準(zhǔn)選擇，也可以自己設(shè)計(jì)滿足特定要求的控制 ）信息安全起點(diǎn) （基于法律要求和信息安全最佳實(shí)踐來(lái)選擇控制措施）關(guān)鍵的成功因素開(kāi)發(fā)你自己的指南范圍范圍術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義2.1 定義本標(biāo)準(zhǔn)的結(jié)構(gòu)本標(biāo)準(zhǔn)的結(jié)構(gòu)3.1 條款3.2 主安全目錄4 風(fēng)險(xiǎn)評(píng)估和處理風(fēng)險(xiǎn)評(píng)估和處理 4.1 評(píng)估安

15、全風(fēng)險(xiǎn) 4.2 處理安全風(fēng)險(xiǎn)信息安全管理實(shí)施細(xì)則265. 信息安全策略信息安全策略u(píng) 目標(biāo)目標(biāo)：信息安全策略為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持u 安全策略應(yīng)該做到： 對(duì)信息安全加以定義 陳述管理層的意圖 分派責(zé)任 約定信息安全管理的范圍 對(duì)特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說(shuō)明 對(duì)報(bào)告可疑安全事件的過(guò)程進(jìn)行說(shuō)明 定義用以維護(hù)策略的復(fù)查過(guò)程信息安全管理實(shí)施細(xì)則27信息安全管理實(shí)施細(xì)則6. 安全組織安全組織u 目標(biāo)目標(biāo)： 信息安全基礎(chǔ)設(shè)施在組織內(nèi)部管理信息安全 外部組織保持組織的被外部組織訪問(wèn)、處理、溝通或管理的信息及信息處理設(shè)備的安全u 包含的內(nèi)容： 建立管理委員會(huì)，定義安全管

16、理的角色和責(zé)任 對(duì)軟硬件的采購(gòu)建立授權(quán)過(guò)程與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。 外包合同中的安全需求包括內(nèi)部組織和外部伙伴28信息安全管理實(shí)施細(xì)則7. 資產(chǎn)管理資產(chǎn)管理u 目標(biāo)目標(biāo)：資產(chǎn)責(zé)任實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)信息分類確保對(duì)信息資產(chǎn)的保護(hù)達(dá)到恰當(dāng)?shù)乃絬 包含的內(nèi)容： 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來(lái)識(shí)別信息資產(chǎn)。 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。 信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級(jí)和保護(hù)程度。 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。Top SecretSecretConf

17、identialRestricted29信息安全管理實(shí)施細(xì)則8. 人力資源安全人力資源安全u 目標(biāo)目標(biāo)： 雇傭前確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險(xiǎn)。 雇傭中確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯(cuò)誤的風(fēng)險(xiǎn)。 解聘和變更確保員工、合同方和第三方用戶離開(kāi)組織或變更雇傭關(guān)系時(shí)以一種有序的方式進(jìn)行。u 包含的內(nèi)容： 故意或者無(wú)意的人為活動(dòng)可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險(xiǎn) 在正式的工作描述中建立安全責(zé)任，員工入職審查 30信息安全管理實(shí)施細(xì)則9. 物理和環(huán)

18、境安全物理和環(huán)境安全u 目標(biāo)目標(biāo)： 安全區(qū)域防止非授權(quán)訪問(wèn)、破壞和干擾業(yè)務(wù)運(yùn)行的前提條件及信息。 設(shè)備安全預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對(duì)組織業(yè)務(wù)活動(dòng)的干擾。u 包含的內(nèi)容： 應(yīng)該建立帶有物理入口控制的安全區(qū)域 應(yīng)該配備物理保護(hù)的硬件設(shè)備 應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽(tīng) 將設(shè)備搬離場(chǎng)所，或者準(zhǔn)備報(bào)廢時(shí)，應(yīng)考慮其安全31信息安全管理實(shí)施細(xì)則10. 通信和操作管理通信和操作管理u 目標(biāo)目標(biāo)： 操作程序和責(zé)任確保信息處理設(shè)施的正確和安全操作。 第三方服務(wù)交付管理實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。 系統(tǒng)規(guī)劃與驗(yàn)收減少系統(tǒng)失效帶來(lái)的風(fēng)險(xiǎn)。 防范惡意代碼和移動(dòng)代碼保護(hù)軟件和信息

19、的完整性。 備份保持信息和信息處理設(shè)施的完整性和可用性 網(wǎng)絡(luò)安全管理確保對(duì)網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)。 介質(zhì)處理和安全防止對(duì)資產(chǎn)的未授權(quán)泄漏、修改、移動(dòng)或損壞，及對(duì)業(yè)務(wù)活動(dòng)的干擾。 信息和軟件的交換應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全。 電子商務(wù)服務(wù) 確保電子商務(wù)的安全及他們的安全使用。監(jiān)督檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。u 包含的內(nèi)容： 防病毒，防惡意軟件 進(jìn)行變更控制 做好備份，存儲(chǔ)介質(zhì)的安全處理，保存正確的訪問(wèn)日志，系統(tǒng)文件的安全性 電子郵件安全性 保護(hù)傳輸中的數(shù)據(jù)32信息安全管理實(shí)施細(xì)則11. 訪問(wèn)控制訪問(wèn)控制u 目標(biāo)目標(biāo)： 訪問(wèn)控制的業(yè)務(wù)需求控制對(duì)信息的訪問(wèn)。

20、 用戶訪問(wèn)管理確保授權(quán)用戶的訪問(wèn)，并預(yù)防信息系統(tǒng)的非授權(quán)訪問(wèn)。 用戶責(zé)任預(yù)防未授權(quán)用戶的訪問(wèn)，信息和信息處理設(shè)施的破壞或被盜。 網(wǎng)絡(luò)訪問(wèn)控制防止對(duì)網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問(wèn)。 操作系統(tǒng)訪問(wèn)控制防止對(duì)操作系統(tǒng)的未授權(quán)訪問(wèn)。 應(yīng)用訪問(wèn)控制防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問(wèn)。 移動(dòng)計(jì)算和遠(yuǎn)程工作確保在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)信息的安全。 u 包含的內(nèi)容： 口令的正確使用 對(duì)終端的物理訪問(wèn) 自動(dòng)終止時(shí)間 軟件監(jiān)視等33信息安全管理實(shí)施細(xì)則12. 系統(tǒng)獲得、開(kāi)發(fā)與維護(hù)系統(tǒng)獲得、開(kāi)發(fā)與維護(hù)u 目標(biāo)目標(biāo)： 系統(tǒng)的安全需求確保安全內(nèi)建于信息系統(tǒng)中。 應(yīng)用系統(tǒng)的安全防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、未授權(quán)的修改或誤用

21、。 加密控制通過(guò)加密手段來(lái)保護(hù)細(xì)膩的保密性、真實(shí)性或完整性。 系統(tǒng)文件的安全確保系統(tǒng)文檔的安全。 開(kāi)發(fā)和支持過(guò)程的安全保持應(yīng)用系統(tǒng)軟件和信息的安全。技術(shù)漏洞管理減少由利用公開(kāi)的技術(shù)漏洞帶來(lái)的風(fēng)險(xiǎn)。u 包含的內(nèi)容： 在系統(tǒng)設(shè)計(jì)時(shí)應(yīng)該考慮輸入數(shù)據(jù)校驗(yàn)、數(shù)據(jù)加密、數(shù)據(jù)文件的安全性、測(cè)試數(shù)據(jù)的保護(hù) 軟件開(kāi)發(fā)和維護(hù)中應(yīng)該建立配置管理、變更控制等機(jī)制 34信息安全管理實(shí)施細(xì)則13. 信息安全事件管理信息安全事件管理u 目標(biāo)目標(biāo)：報(bào)告信息安全事件和弱點(diǎn)確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施。信息安全事故的管理和改進(jìn)確保使用持續(xù)有效的方法管理信息安全事故。 u 包含的內(nèi)容：正常的事件報(bào)告

22、和分類程序，這類程序用來(lái)報(bào)告可能對(duì)機(jī)構(gòu)的財(cái)產(chǎn)安全造成影響的不同種類的事件和弱點(diǎn)所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報(bào)告程序。要求員工需要盡可能快地將信息安全事件和弱點(diǎn)報(bào)告給指定的聯(lián)系方。 35信息安全管理實(shí)施細(xì)則14. 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理u 目標(biāo)目標(biāo)：業(yè)務(wù)連續(xù)性管理的信息安全方面：防止業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不會(huì)受信息系統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時(shí)恢復(fù)。u 包含的內(nèi)容： 全面理解業(yè)務(wù)連續(xù)性計(jì)劃（BCP） 理解組織面臨的風(fēng)險(xiǎn)，識(shí)別關(guān)鍵業(yè)務(wù)活動(dòng)和優(yōu)先次序。 確認(rèn)可能對(duì)業(yè)務(wù)造成影響的中斷。 應(yīng)該設(shè)計(jì)、實(shí)施、測(cè)試和維護(hù)BCP36信息安全管理實(shí)施細(xì)則15. 符合

23、性符合性u(píng) 目標(biāo)目標(biāo)：與法律法規(guī)要求的符合性避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。符合安全方針、標(biāo)準(zhǔn)，技術(shù)符合性確保系統(tǒng)符合組織安全方針和標(biāo)準(zhǔn)。信息系統(tǒng)審核的考慮因素最大化信息系統(tǒng)審核的有效性，最小化來(lái)自/對(duì)信息系統(tǒng)審核的影響。u 包含的內(nèi)容： 組織應(yīng)該確保遵守相關(guān)的法律法規(guī)和合同義務(wù) 軟件版權(quán)，知識(shí)產(chǎn)權(quán)等37信息安全管理實(shí)施細(xì)則BS7799認(rèn)證最基本的控制項(xiàng)認(rèn)證最基本的控制項(xiàng)u 與法律相關(guān)的控制措施： 知識(shí)產(chǎn)權(quán)（知識(shí)產(chǎn)權(quán)（Intellectual Property Rights）：防止非擁有者授權(quán)的復(fù)制，避免侵犯知識(shí)產(chǎn)權(quán) 保護(hù)組織的記錄保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞

24、和偽造 數(shù)據(jù)保護(hù)和個(gè)人信息隱私數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律u 與最佳慣例相關(guān)的控制措施： 信息安全策略文件信息安全策略文件：為信息安全提供管理方向和支持 信息安全責(zé)任的分配信息安全責(zé)任的分配：分派安全責(zé)任，使信息安全在組織內(nèi)部得以有效管理 信息安全教育和培訓(xùn)信息安全教育和培訓(xùn)：保證用戶有信息安全威脅意識(shí)、關(guān)心信息安全并支持組織信息安全策略 報(bào)告安全事件報(bào)告安全事件：最大程度減小安全事件和故障造成的破壞，監(jiān)視事件，從中吸取教訓(xùn) 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事件或?yàn)?zāi)難影響3839信息安全管理體系規(guī)范BS 7799-ISO2700140

25、信息安全管理體系規(guī)范BS7799-2簡(jiǎn)介簡(jiǎn)介u BS 7799標(biāo)準(zhǔn)對(duì)信息安全管理體系（ISMS）并沒(méi)有一個(gè)明確的定義，可以將其理解為組織管理體系的一部分。u ISMS涉及到的內(nèi)容：用于組織信息資產(chǎn)風(fēng)險(xiǎn)管理、確保組織信息安全的、包括為制定、實(shí)施、評(píng)審和維護(hù)信息安全策略所需的組織機(jī)構(gòu)、目標(biāo)、職責(zé)、程序、過(guò)程和資源。u 標(biāo)準(zhǔn)要求的ISMS建立過(guò)程：制定信息安全策略，確定體系范圍，明確管理職責(zé)，通過(guò)風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制方式。u 體系一旦建立，組織應(yīng)該按規(guī)定要求進(jìn)行運(yùn)作，保持體系的有效性。u ISMS應(yīng)形成一定的文檔，包括策略、適用性聲明文件和實(shí)施安全控制所需的程序文件。u 一個(gè)文檔化的ISMS應(yīng)

26、該闡述：要保護(hù)的資產(chǎn)，組織進(jìn)行風(fēng)險(xiǎn)管理的途徑，控制目標(biāo)和控制方式，需要的保障程度。41建立建立ISMS管理框架的過(guò)程管理框架的過(guò)程威脅、弱點(diǎn)、影響組織風(fēng)險(xiǎn)管理的途徑要求達(dá)到的保障程度BS7799-2第三段列出的控制目標(biāo)和控制不在BS7799范圍內(nèi)的其他安全控制策略文檔ISMS的范圍風(fēng)險(xiǎn)評(píng)估適用性聲明信息資產(chǎn)結(jié)果和結(jié)論選定的控制選項(xiàng)選擇的控制目標(biāo)和控制信息安全管理體系規(guī)范42ISO 17799ISO 17799PeopleSecurityOrganisationCISOSecurityISOSSOProceduresIncident HandlingIncident ReportingDisas

27、terRecoveryRisk AssessmentBusiness Continuity PlanPoliciesSecurityPolicy信息安全管理體系規(guī)范BS7799的輸出結(jié)果的輸出結(jié)果43ISMS的文檔體系的文檔體系Procedures程序程序 Work Instructions,checklists, forms, etc. 工作指工作指導(dǎo)書(shū)導(dǎo)書(shū), ,檢查清單檢查清單, ,表格表格等等Records紀(jì)錄紀(jì)錄Security Manual安全手冊(cè)安全手冊(cè)Policy, scoperisk assessment,statement of applicabilityDescribes

28、processes who, what, when, where. Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements第一第一級(jí)級(jí)關(guān)于關(guān)于BS7799的管理的管理框架的方針策略框架的方針策略第二第二級(jí)級(jí)第三第三級(jí)級(jí)第四第四級(jí)級(jí)信息安全管理體系規(guī)范44信息安全管理體系規(guī)范45BS7799-2新版本的特點(diǎn)新版本的特點(diǎn)u 引入了PDCA模型。與其他管理體系標(biāo)準(zhǔn)保持協(xié)調(diào)關(guān)系。u 基于PDCA模型的信息安全管理過(guò)程方法。u 對(duì)風(fēng)

29、險(xiǎn)評(píng)估過(guò)程、控制選擇和適用性聲明內(nèi)容之間的聯(lián)系予以澄清，在定義上也有改進(jìn)。u 附錄中提供了對(duì)此新版本使用的指南。u 附錄中還列舉了BS 7799-2:2002、ISO 9001:2000和ISO 14001:1996之間的一致性。信息安全管理體系規(guī)范46建立建立ISMS環(huán)環(huán)境境&風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)設(shè)計(jì)&實(shí)施實(shí)施ISMS監(jiān)視監(jiān)視&復(fù)審復(fù)審ISMS改進(jìn)改進(jìn)ISMSPDCA模型在模型在ISMS過(guò)程中的運(yùn)用過(guò)程中的運(yùn)用信息安全管理體系規(guī)范47建立建立ISMS（Plan）u 定義ISMS的范圍（從業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面考慮）u 定義ISMS策略u(píng) 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑u 識(shí)別風(fēng)險(xiǎn)u 評(píng)估

30、風(fēng)險(xiǎn)u 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施u 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制u 準(zhǔn)備適用性聲明（SoA）u 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)和實(shí)施并操作ISMS的授權(quán)信息安全管理體系規(guī)范48實(shí)施和操作實(shí)施和操作ISMS（Do）u 制定風(fēng)險(xiǎn)處理計(jì)劃（Risk Treatment Plan）u 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃u 實(shí)施所選的控制措施以滿足控制目標(biāo)u 實(shí)施培訓(xùn)和意識(shí)程序u 管理操作u 管理資源u 實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制信息安全管理體系規(guī)范49信息安全管理體系規(guī)范監(jiān)視和復(fù)審監(jiān)視和復(fù)審ISMS（Check）u 執(zhí)行監(jiān)視程序和控制u 對(duì)ISMS的效力進(jìn)行定期復(fù)審（看其是否滿足安全策略和目標(biāo)，安全控制是

31、否有效）u 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平，考慮到各種變化情況u 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS審計(jì)u 定期對(duì)ISMS進(jìn)行管理復(fù)審u 記錄活動(dòng)和事件可能對(duì)ISMS的效力或執(zhí)行力度造成影響50信息安全管理體系規(guī)范維護(hù)和改進(jìn)維護(hù)和改進(jìn)ISMS（Act）u 對(duì)ISMS實(shí)施可識(shí)別的改進(jìn)u 采取恰當(dāng)?shù)募m正和預(yù)防措施u 與所有利益伙伴溝通u 確保改進(jìn)成果滿足其預(yù)期目標(biāo)5152BS7799認(rèn)證過(guò)程通過(guò)通過(guò)BS 7799認(rèn)證的好處認(rèn)證的好處u 依據(jù)BS 7799-2對(duì)組織的信息安全管理體系（ISMS）進(jìn)行認(rèn)證，可以證明組織已經(jīng)遵照BS 7799-2標(biāo)準(zhǔn)的要求實(shí)施了信息安全管理的體系。u 幫助組織獲得最佳的信息安

32、全運(yùn)作方式。u 保證業(yè)務(wù)活動(dòng)的安全。u 降低風(fēng)險(xiǎn)，避免損失。u 保持核心競(jìng)爭(zhēng)優(yōu)勢(shì)。u 提高組織在商業(yè)活動(dòng)中的信譽(yù)。u 滿足客戶的要求。u 保證可持續(xù)發(fā)展。u 符合法律法規(guī)的要求。53認(rèn)證過(guò)程認(rèn)證過(guò)程選擇受認(rèn)可的認(rèn)證機(jī)構(gòu)選擇受認(rèn)可的認(rèn)證機(jī)構(gòu)Phase1：文檔審核：文檔審核Phase2：現(xiàn)場(chǎng)審查：現(xiàn)場(chǎng)審查維持認(rèn)證維持認(rèn)證組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 復(fù)審風(fēng)險(xiǎn)評(píng)估文檔、安全策略和適用性聲明 復(fù)審ISMS的其他文檔 ISMS的實(shí)施情況 風(fēng)險(xiǎn)管理決策的基礎(chǔ)組織被授予證書(shū)后，審核組每年都會(huì)對(duì)其ISMS符合性進(jìn)行檢查。證書(shū)三年有效，之后需要再次認(rèn)證。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。預(yù)審（預(yù)審（Pre-a

33、ssessment）可選BS7799認(rèn)證過(guò)程54BS7799認(rèn)證過(guò)程55BS7799認(rèn)證過(guò)程成功的關(guān)鍵因素成功的關(guān)鍵因素u 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)u 實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致u 來(lái)自高級(jí)管理層的明確的支持和承諾u 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理u 向所有管理者和員工有效地推廣安全意識(shí)u 分發(fā)信息安全策略、指南和標(biāo)準(zhǔn)給所有員工及簽約人 u 提供適當(dāng)?shù)呐嘤?xùn)和教育u 建立完整而平衡地測(cè)量體系，用來(lái)評(píng)估信息安全管理體系的表現(xiàn)，提供改進(jìn)的反饋建議5657BS7799總結(jié)展望總結(jié)總結(jié)BS 7799的特點(diǎn)的特點(diǎn)u BS 7799并不是系統(tǒng)安全評(píng)估的標(biāo)準(zhǔn) BS 7799從整體角度考慮，提出了構(gòu)建ISMS的目標(biāo)和方法，是構(gòu)建ISMS的指南