信息安全管理體系

信息安全管理體系教程2023/1/5課前介紹課程目標(biāo)課程安排課程內(nèi)容注意事項(xiàng)學(xué)員介紹2023/1/5課程目標(biāo)掌握信息安全管理的一般知識(shí)了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認(rèn)識(shí)和了解ISO17799理解一個(gè)組織實(shí)施ISO17799的意義初步掌握建立信息安全管理體系（ISMS）的方法和步驟2023/1/5課程安排課時(shí):24H課程方法：講授、小組討論、練習(xí)2023/1/5課程內(nèi)容1、信息安全基礎(chǔ)知識(shí)2、信息安全管理與信息系統(tǒng)安全保障3、信息安全管理體系標(biāo)準(zhǔn)概述4、信息安全管理體系方法5、ISO17799中的控制目標(biāo)和控制措施6、ISMS建設(shè)、運(yùn)行、審核與認(rèn)證7、信息系統(tǒng)安全保障管理要求2023/1/5注意事項(xiàng)積極參與、活躍氣氛守時(shí)保持安靜有問題可隨時(shí)舉手提問2023/1/51.

信息安全基礎(chǔ)知識(shí)1.1

信息安全的基本概念

1.2

為什么需要信息安全

1.3

實(shí)踐中的信息安全問題

1.4

信息安全管理的實(shí)踐經(jīng)驗(yàn)2023/1/5

請(qǐng)思考：

什么是信息安全？1.1信息安全基本概念2023/1/5什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強(qiáng)調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對(duì)組織具有價(jià)值需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、影片、交談等2023/1/5小問題：你們公司的Knowledge都在哪里？信息在哪里？2022/12/29什么么是是信信息息安安全全?ISO17799中的的描描述述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.””信息息安安全全：：保護(hù)護(hù)信信息息免免受受各各方方威威脅脅確保保組組織織業(yè)業(yè)務(wù)務(wù)連連續(xù)續(xù)性性將信信息息不不安安全全帶帶來來的的損損失失降降低低到到最最小小獲得得最最大大的的投投資資回回報(bào)報(bào)和和商商業(yè)業(yè)機(jī)機(jī)會(huì)會(huì)2022/12/29信息息安安全全的的特特征征（（CIA）ISO17799中的的描描述述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息息在在安安全全方方面面三三個(gè)個(gè)特特征征：：機(jī)密密性性：：確確保保只只有有被被授授權(quán)權(quán)的的人人才才可可以以訪訪問問信信息息；；完整整性性：：確確保保信信息息和和信信息息處處理理方方法法的的準(zhǔn)準(zhǔn)確確性性和和完完整整性性；；可用用性性：：確確保保在在需需要要時(shí)時(shí)，，被被授授權(quán)權(quán)的的用用戶戶可可以以訪訪問問信信息息和和相相關(guān)關(guān)的的資資產(chǎn)產(chǎn)。。2022/12/29信息本身信息處理設(shè)施信息處理者信息處理過程機(jī)密密可用用完整整總結(jié)結(jié)2022/12/29請(qǐng)思考考：組織為為什么么要花花錢實(shí)實(shí)現(xiàn)信信息安安全？？1.2為什么么需要要信息息安全全2022/12/29組織自身身業(yè)務(wù)的的需要自身業(yè)務(wù)務(wù)和利益益的要求求客戶的要要求合作伙伴伴的要求求投標(biāo)要求求競爭優(yōu)勢勢，樹立立品牌加強(qiáng)內(nèi)部部管理的的要求……2022/12/29法律法規(guī)規(guī)的要求求計(jì)算機(jī)信信息系統(tǒng)統(tǒng)安全保保護(hù)條例例知識(shí)產(chǎn)權(quán)權(quán)保護(hù)互聯(lián)網(wǎng)安安全管理理辦法網(wǎng)站備案案管理規(guī)規(guī)定……2022/12/29信息系統(tǒng)統(tǒng)使命的的要求信息系統(tǒng)統(tǒng)本身具具有特定定的使命命信息安全全的目的的就是使使信息系系統(tǒng)的使使命得到到保障。。。。。2022/12/29請(qǐng)思考：：目前，解解決信息息安全問問題，通通常的做做法是什什么？1.3實(shí)踐中的的信息安安全問題題2022/12/29“產(chǎn)品導(dǎo)向向型”信信息安全全初始階段段，解決決信息安安全問題題，通常常的方法法：采購各種種安全產(chǎn)產(chǎn)品，由由產(chǎn)品廠廠商提供供方案；；Anti-Virus、Firewall、IDS&Scanner……組織內(nèi)部部安排1-2人兼職負(fù)負(fù)責(zé)日常常維護(hù)，，通常來來自以技技術(shù)為主主的IT部門；更多的情情況是幾幾乎沒有有日常維維護(hù)存在的問問題需求難以以確定保護(hù)什么么、保護(hù)護(hù)對(duì)象的的邊界到到哪里、、應(yīng)該保保護(hù)到什什么程度度……管理和服服務(wù)跟不不上，對(duì)對(duì)采購產(chǎn)產(chǎn)品運(yùn)行行的效率率和效果果缺乏評(píng)評(píng)價(jià)通常用漏漏洞掃描描（Scanner）來代替替風(fēng)險(xiǎn)評(píng)評(píng)估有哪些不不安全的的因素（（威脅、、脆弱性性）、信信息不安安全的影影響、對(duì)對(duì)風(fēng)險(xiǎn)的的態(tài)度……“頭痛醫(yī)頭頭，腳痛痛醫(yī)腳””，很難難實(shí)現(xiàn)整整體安全全；不同同廠商、、不同產(chǎn)產(chǎn)品之間間的協(xié)調(diào)調(diào)也是難難題2022/12/29信息安全管管理ISO17799強(qiáng)調(diào)：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技術(shù)和產(chǎn)品品是基礎(chǔ)，，管理是關(guān)關(guān)鍵；產(chǎn)品和技術(shù)術(shù)，要通過過管理的組組織職能才才能發(fā)揮最最好的作用用；技術(shù)不高但但管理良好好的系統(tǒng)遠(yuǎn)遠(yuǎn)比技術(shù)高高但管理混混亂的系統(tǒng)統(tǒng)安全；先進(jìn)、易于于理解、方方便操作的的安全策略略對(duì)信息安安全至關(guān)重重要，也證證明了管理理的重要；；建立一個(gè)管管理框架，，讓好的安安全策略在在這個(gè)框架架內(nèi)可重復(fù)復(fù)實(shí)施，并并不斷得到到修正，就就會(huì)持續(xù)安安全。2022/12/291.4信息安安全管管理的的實(shí)踐踐經(jīng)驗(yàn)驗(yàn)反映組組織業(yè)業(yè)務(wù)目目標(biāo)的的安全全方針針、目目標(biāo)和和活動(dòng)動(dòng)；符合組組織文文化的的安全全實(shí)施施方法法；管理層層明顯顯的支支持和和承諾諾；安全需需求、、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估和風(fēng)風(fēng)險(xiǎn)管管理的的正確確理解解；有效地地向所所有管管理人人員和和員工工推行行安全全措施施；向所有有的員員工和和簽約約方提提供本本組織織的信信息安安全方方針與與標(biāo)準(zhǔn)準(zhǔn)；提供適適當(dāng)?shù)牡呐嘤?xùn)訓(xùn)和教教育；；一整套套用于于評(píng)估估信息息安全全管理理能力力和反反饋建建議的的測量量系統(tǒng)統(tǒng)2022/12/292、信息息安全全管理理與信信息系系統(tǒng)安安全保保障2.1信息系系統(tǒng)的的使命命2.2信息系系統(tǒng)安安全保保障－－模型型2.3信息系系統(tǒng)安安全保保障－－框架架2.4信息系系統(tǒng)安安全保保障－－生命命周期期的保保證2.5信息安安全管管理模模型2.6信息安安全管管理與與信息息系統(tǒng)統(tǒng)安全全保障障的關(guān)關(guān)系2022/12/292.1信息系系統(tǒng)的的使命命資產(chǎn)可能意識(shí)到引起增加利用導(dǎo)致威脅主體威脅所有者風(fēng)險(xiǎn)脆弱性對(duì)策可能被減少利用價(jià)值希望最小化希望濫用或破壞可能具有減少到到使命希望完成到可能阻礙或破壞2022/12/292.2信息息系系統(tǒng)統(tǒng)安安全全保保障障－－模模型型2022/12/292.3信息系系統(tǒng)安安全保保障－－框架架信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評(píng)估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實(shí)踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實(shí)踐例如：美國DITSCAP,…中國信息安全產(chǎn)品測評(píng)認(rèn)證中心相關(guān)文檔和系統(tǒng)測評(píng)認(rèn)證實(shí)踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評(píng)估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評(píng)估準(zhǔn)則）過程準(zhǔn)則（信息系統(tǒng)安全工程評(píng)估準(zhǔn)則）信息系統(tǒng)安全保障評(píng)估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評(píng)估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實(shí)踐信息系統(tǒng)相關(guān)基礎(chǔ)知識(shí)2022/12/292.4信息系系統(tǒng)安安全保保障－－生命命周期期的保保證變更應(yīng)用于系統(tǒng)計(jì)劃組織開發(fā)采購實(shí)施交付運(yùn)行維護(hù)廢棄建立使命要求建立使命要求審閱業(yè)務(wù)要求系統(tǒng)需求分析定義運(yùn)行需求系統(tǒng)體系設(shè)計(jì)項(xiàng)目與預(yù)算管理兩種類型：

開發(fā)、購買/客戶化/集成人員保證（決策人員）技術(shù)保證（技術(shù)方案安全產(chǎn)品）過程保證（服務(wù)能力工程過程）管理保證（安全管理）人員保證（管理/維護(hù)/使用人員）人員保證（管理人員）人員保證（實(shí)施人員）管理保證（安全管理）管理保證（安全管理）管理保證（安全管理）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過程和人員領(lǐng)域要求及保證）系統(tǒng)保證信息系統(tǒng)生命周期2022/12/292.5信息安安全管管理模模型信息系統(tǒng)安全管理基礎(chǔ)組織體系策略制度遵循性人員安全采購管理投資和預(yù)算管理持續(xù)性管理環(huán)境設(shè)備緊急用途和供給變更控制管理信息技術(shù)戰(zhàn)略規(guī)劃變更應(yīng)用于系統(tǒng)計(jì)劃組織開發(fā)采購實(shí)施交付運(yùn)行維護(hù)廢棄信息技術(shù)戰(zhàn)略規(guī)劃系統(tǒng)操作物理訪問運(yùn)行環(huán)境設(shè)備管理2022/12/292.6信息安安全管管理與與信息息系統(tǒng)統(tǒng)安全全保障障的關(guān)關(guān)系信息系系統(tǒng)安安全保保障三三大部部分：：技術(shù)保保障過程保保障管理保保障信息安安全管管理是是信息息系統(tǒng)統(tǒng)安全全保障障的三三大部部分之之一：：管理保保障信息安安全管管理涉涉及到到系統(tǒng)統(tǒng)的整整個(gè)生生命周周期2022/12/293.信息安安全管管理體體系標(biāo)標(biāo)準(zhǔn)概概述3.1信息安安全標(biāo)標(biāo)準(zhǔn)介介紹3.2ISO177993.3ISO17799的歷史史及發(fā)發(fā)展3.4ISO17799:2000的內(nèi)容容框架架3.5BS7799-2:1999的內(nèi)容容框架架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之區(qū)別別2022/12/293.1信息安安全標(biāo)標(biāo)準(zhǔn)介介紹信息安安全標(biāo)標(biāo)準(zhǔn)管理體體系標(biāo)標(biāo)準(zhǔn)2022/12/29信息安安全標(biāo)標(biāo)準(zhǔn)ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408（GB/T18336-2001）ISO177992022/12/29ISO7498-2(GB/T9387.2-1995)開放放系系統(tǒng)統(tǒng)互互聯(lián)聯(lián)安安全全體體系系結(jié)結(jié)構(gòu)構(gòu)由ISO/ICEJTC1/SC21完成成1982年開開始始，，1988年結(jié)結(jié)束束，，ISO發(fā)布布了了ISO7498-2給出出了了基基于于OSI參考考模模型型的的7層協(xié)協(xié)議議上上的的安安全全體體系系結(jié)結(jié)構(gòu)構(gòu)其核核心心內(nèi)內(nèi)容容是是：：為為了了保保證證異異構(gòu)構(gòu)計(jì)計(jì)算算機(jī)機(jī)進(jìn)進(jìn)程程與與進(jìn)進(jìn)程程之之間間遠(yuǎn)遠(yuǎn)距距離離安安全全交交換換信信息息的的安安全全，，它它定定義義了了該該系系統(tǒng)統(tǒng)的的5大類類安安全全服服務(wù)務(wù)，，以以及及提提供供這這些些服服務(wù)務(wù)的的8大類類安安全全機(jī)機(jī)制制及及相相應(yīng)應(yīng)的的安安全全管管理理，，并并可可根根據(jù)據(jù)具具體體系系統(tǒng)統(tǒng)適適當(dāng)當(dāng)?shù)牡呐渑渲弥糜谟贠SI模型型的的7層協(xié)協(xié)議議中中。。2022/12/29ISO7498-2－安安全全體體系系結(jié)結(jié)構(gòu)構(gòu)加密數(shù)字簽名數(shù)據(jù)完整性訪問控制數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證抗抵賴數(shù)據(jù)保密性數(shù)據(jù)完整性訪問控制鑒別服務(wù)物理層鏈路層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層會(huì)話層安全機(jī)制安全服務(wù)OSI參考模型2022/12/29ISO13335IT安全全管管理理分為為5個(gè)部部分分：：ISO/IECTR13335-1：概概念念和和模模型型ISO/IECTR13335-2：管管理理和和規(guī)規(guī)劃劃ISO/IECTR13335-3：管理技術(shù)術(shù)ISO/IECTR13335-4：安全措施施的選擇ISO/IECTR13335-5：網(wǎng)絡(luò)安全全性的管理理指導(dǎo)由ISO/IECJTC1/SC27完成2022/12/29SSE-CMM信息系統(tǒng)安安全工程能能力成熟度度模型CMM－CapabilityMaturityModel首先用于軟軟件工程；；1993年4月，由美國國NSA資助，安全全業(yè)界、DOD、加拿大通通信安全機(jī)機(jī)構(gòu)共同組組成項(xiàng)目組組，研究把把CMM用于安全工工程；1996年10月推出第一一版，97年4月推出方法法（SSAM）第一版；；98年底推出第第二版，99年4月推出SSAM第二版；用于信息系系統(tǒng)安全的的工程組織織、采購組組織和評(píng)估估機(jī)構(gòu)5個(gè)能力級(jí)別別，11個(gè)過程區(qū)2003年，出版了了SSE-CMMV3.02022/12/295個(gè)能能力力級(jí)級(jí)別別：：1級(jí)：：非非正正式式執(zhí)執(zhí)行行級(jí)級(jí)2級(jí)：：計(jì)計(jì)劃劃和和跟跟蹤蹤級(jí)級(jí)3級(jí)：：充充分分定定義義級(jí)級(jí)4級(jí)：：量量化化控控制制級(jí)級(jí)5級(jí)：：持持續(xù)續(xù)改改進(jìn)進(jìn)級(jí)級(jí)代表表安安全全工工程程組組織織的的成熟熟度度級(jí)級(jí)別別11個(gè)過過程程區(qū)區(qū)：：PA01管理理安安全全控控制制PA02評(píng)估估影影響響PA03評(píng)估估安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)PA04評(píng)估估威威脅脅PA05評(píng)估估脆脆弱弱性性PA06建立立保保證證論論據(jù)據(jù)PA07協(xié)調(diào)調(diào)安安全全PA08監(jiān)視視安安全全態(tài)態(tài)勢勢PA09提供供安安全全輸輸入入PA10指定定安安全全要要求求PA11驗(yàn)證證和和證證實(shí)實(shí)安安全全性性SSE-CMM信息息系系統(tǒng)統(tǒng)安安全全工工程程能能力力成成熟熟度度模模型型（（續(xù)續(xù)））2022/12/29ISO15408(GB/T18336)信息技術(shù)術(shù)安全性性評(píng)估準(zhǔn)準(zhǔn)則通常簡稱稱CC－通用準(zhǔn)準(zhǔn)則，ISO15408:1999，GB/T18336:2001;定義了評(píng)評(píng)估信息息技術(shù)產(chǎn)產(chǎn)品和系系統(tǒng)安全全性所需需的基礎(chǔ)礎(chǔ)準(zhǔn)則，，是度量量信息技技術(shù)安全全性的基基準(zhǔn)；分為3個(gè)部分：：第一部分分：簡介介和一般般模型第二部分分：安全全功能要要求第三部分分：安全全保證要要求2022/12/29管理體系系標(biāo)準(zhǔn)ISO9000族質(zhì)質(zhì)量管理理體系ISO14000環(huán)環(huán)境境管理體體系標(biāo)準(zhǔn)準(zhǔn)OHSAM18000職職業(yè)業(yè)安全衛(wèi)衛(wèi)生管理理體系標(biāo)標(biāo)準(zhǔn)ISO17799信信息息安全管管理體系系標(biāo)準(zhǔn)2022/12/29ISO/IEC17799:2000Informationtechnology－Codeofpracticeforinformationsecuritymanagement信息技技術(shù)－－信息息安全全管理理實(shí)施施細(xì)則則3.2ISO/IEC17799:20002022/12/29歷史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的歷史史及發(fā)發(fā)展2022/12/29BSI簡介BSI英國標(biāo)標(biāo)準(zhǔn)協(xié)協(xié)會(huì)英國標(biāo)標(biāo)準(zhǔn)協(xié)協(xié)會(huì)是是全球球領(lǐng)先先的國國際標(biāo)標(biāo)準(zhǔn)、、產(chǎn)品品測試試、體體系認(rèn)認(rèn)證機(jī)機(jī)構(gòu)。。發(fā)起制制定的的標(biāo)準(zhǔn)準(zhǔn)ISO9000（質(zhì)量量管理理體系系）ISO14001（環(huán)境境管理理體系系）OHSAS18001（職業(yè)業(yè)健康康與安安全管管理體體系））QS-9000/ISO/TS16949（汽車車供應(yīng)應(yīng)行業(yè)業(yè)的質(zhì)質(zhì)量管管理體體系））TL9000（電信信供應(yīng)應(yīng)行業(yè)業(yè)的質(zhì)質(zhì)量管管理體體系））BS7799。2022/12/29IUG：InternationalUserGroup1997年成立立宗旨促進(jìn)ISO17799/BS7799的應(yīng)用用和推推廣促進(jìn)對(duì)對(duì)信息息安全全管理理體系系標(biāo)準(zhǔn)準(zhǔn)、認(rèn)認(rèn)證等等的理理解，，服務(wù)務(wù)全球球商業(yè)業(yè)提供一一個(gè)基基于互互聯(lián)網(wǎng)網(wǎng)的論論壇提供一一個(gè)信信息交交流的的平臺(tái)臺(tái)研究和和寫作作成員AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

2022/12/29ISO17799被各國或地地區(qū)采用的的情況EnglandAustraliaNewZealandBrazilCzechRepublicFinlandIcelandIrelandNetherlands(SPE20003)NorwaySweden(SS627799)Taiwan中國2022/12/29ISO17799在中國國內(nèi)從2000年初開始認(rèn)認(rèn)識(shí)ISO17799/BS7799；2000年初開始，，國內(nèi)一些些公司和單單位進(jìn)行BS7799的研究和相相關(guān)課程培培訓(xùn)；2002－2003年，我國已已經(jīng)提出了了國標(biāo)化的的計(jì)劃；2022/12/293.4ISO17799:2000的內(nèi)容框架架ISO17799:2000（BS7799-1:1999）CodeofPracticeforInformationSecurityManagement信息安全管管理實(shí)施細(xì)細(xì)則BS7799-2:1999(已經(jīng)有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem信息安全管管理體系規(guī)規(guī)范2022/12/293.4ISO17799:2000的內(nèi)容框架架(續(xù))Foreword(ISO前言)Introduction(引言)1.Scope(范圍)2.TermandDefinitions(術(shù)語和定義義)3.～12.詳細(xì)控制制目標(biāo)和和控制措措施2022/12/293.4ISO17799:2000的內(nèi)容框框架(續(xù))Foreword(ISO前言)ISO(國際標(biāo)準(zhǔn)準(zhǔn)化組織織)和IEC(國際電工工委員會(huì)會(huì))組成世界界性標(biāo)準(zhǔn)準(zhǔn)化的專專門體系系。作為為ISO或IEC成員的各各國團(tuán)體體通過由由各自組組織設(shè)立立的技術(shù)術(shù)委員會(huì)會(huì)參與國國際標(biāo)準(zhǔn)準(zhǔn)的開發(fā)發(fā)，處理理特殊領(lǐng)領(lǐng)域的技技術(shù)活動(dòng)動(dòng)。ISO和IEC技術(shù)委員員會(huì)協(xié)調(diào)調(diào)共同利利益的領(lǐng)領(lǐng)域。其其它與ISO和IEC有聯(lián)系的的國際組組織（官官方的和和非官方方的）也也可參加加工作。?！?022/12/293.4ISO17799:2000的內(nèi)容框框架(續(xù))Introduction(引言)什么是信信息安全全為何需要要信息安安全如何確定定安全需需求評(píng)估安全全風(fēng)險(xiǎn)選擇控制制措施信息安全全起點(diǎn)成功的關(guān)關(guān)鍵因素素制定組織織自身的的指導(dǎo)方方針2022/12/293.4ISO17799:2000的內(nèi)容框框架(續(xù))Scope(范圍)本標(biāo)準(zhǔn)為為組織中中負(fù)責(zé)信信息安全全的啟動(dòng)動(dòng)、實(shí)現(xiàn)現(xiàn)和保持持的人員員提供了了信息安安全管理理方面的的建議。。目的是是為各個(gè)個(gè)組織制制定安全全標(biāo)準(zhǔn)和和有效的的安全管管理措施施提供一一個(gè)通用用平臺(tái)，，并建立立組織間間交易時(shí)時(shí)的信心心。本標(biāo)標(biāo)準(zhǔn)所提提供的建建議應(yīng)該該根據(jù)相相關(guān)法規(guī)規(guī)有選擇擇的使用用。2022/12/293.4ISO17799:2000的內(nèi)容框架架(續(xù))2.TermandDefinitions(術(shù)語和定義義)2.1informationsecurity信息安全2.2Riskassessment風(fēng)險(xiǎn)評(píng)估2.3Riskmanagement風(fēng)險(xiǎn)管理2022/12/293.4ISO17799:2000的內(nèi)容框架架(續(xù))2.1informationsecurity信息安全Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.確保只有被被授權(quán)的人人員才可以以訪問信息息。-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.確保信息及及其處理方方法的準(zhǔn)確確性和完整整性。-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.確保被授權(quán)權(quán)的用戶在在需要時(shí)可可以訪問信信息和相關(guān)關(guān)的資產(chǎn)。。2022/12/293.4ISO17799:2000的內(nèi)容框架架(續(xù))2.2Riskassessment風(fēng)險(xiǎn)評(píng)估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.對(duì)信息和信信息處理設(shè)設(shè)施所受到到的威脅、、影響和脆脆弱性以及及發(fā)生這些些事件的可可能性進(jìn)行行評(píng)估。2022/12/293.4ISO17799:2000的內(nèi)容框架架(續(xù))2.3Riskmanagement風(fēng)險(xiǎn)管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受受的成本，，對(duì)影響信信息系統(tǒng)的的安全風(fēng)險(xiǎn)險(xiǎn)進(jìn)行識(shí)別別、控制、、減小或消消除的過程程。2022/12/293.4ISO17799:2000的內(nèi)容容框架架(續(xù))3.Securitypolicy安全方方針4.SecurityOrganizational安全組組織5.Assetclassificationandcontrol資產(chǎn)分分類與與控制制6.Personnelsecurity人員安安全7.Physicalandenvironmentalsecurity物理和和環(huán)境境安全全8.Communicationsandoperationamanagement通信和和操作作管理理9.Accesscontrol訪問控控制10.Systemsdevlopmentandmaintenance系統(tǒng)開開發(fā)和和維護(hù)護(hù)11.Businesscontinuitymanagement業(yè)務(wù)連連續(xù)性性管理理12.Compliance符合性性2022/12/29Foreword(BSI前言言)1.Scope(范圍圍)2.TermandDefinitions(術(shù)語語和和定定義義)3.Informationsecuritymanagementsystemrequirements(信息息安安全全管管理理體體系系的的要要求求)4.Detailedcontrols（詳詳細(xì)細(xì)控控制制措措施施））3.5BS7799-2:1999的內(nèi)內(nèi)容容框框架架2022/12/291.Scope(范圍)BS7799的這一部部分提出出了建立立、實(shí)施施并記錄錄信息安安全管理理體系時(shí)時(shí)的具體體要求；；同時(shí)，，也提出出了各組組織根據(jù)據(jù)具體需需求采取取安全控控制措施施的要求求。3.5BS7799-2:1999的內(nèi)容框框架(續(xù))2022/12/292.TermandDefinitions(術(shù)語和定定義)2.1statementofapplicability(適用聲明明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.根據(jù)組織織需要對(duì)對(duì)所選的的控制目目標(biāo)和控控制措施施的說明明3.5BS7799-2:1999的內(nèi)容框框架(續(xù))2022/12/293.Informationsecuritymanagementsystemrequirements(信息安全全管理體體系的要要求)3.1General(總則)3.2Establishingamanagementframework(建立管理理框架)3.3Implementation(實(shí)施)3.4Documentation(文檔化)3.5Documentcontrol(文件控制制)3.6Records(記錄)3.5BS7799-2:1999的內(nèi)容框框架(續(xù))2022/12/294.Detailedcontrols（詳細(xì)控制制措施）4.1Securitypolicy安全方針4.2SecurityOrganizational安全組織4.3Assetclassificationandcontrol資產(chǎn)分類與與控制4.4Personnelsecurity人員安全4.5Physicalandenvironmentalsecurity物理和環(huán)境境安全4.6Communicationsandoperationamanagement通信和操作作管理4.7Accesscontrol訪問控制4.8Systemsdevlopmentandmaintenance系統(tǒng)開發(fā)和和維護(hù)4.9Businesscontinuitymanagement業(yè)務(wù)連續(xù)性性管理4.10Compliance符合性3.5BS7799-2:1999的內(nèi)容框架架(續(xù))2022/12/293.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002之區(qū)別ISO/IEC17799:2000(BS7799-1:1999)為指南指導(dǎo)如何進(jìn)進(jìn)行安全管管理實(shí)踐BS7799-2:1999和BS7799-2:2002為標(biāo)準(zhǔn)建立的信息息安全管理理體系必須須符合的要要求BS7799-2:2002更接近ISO9000標(biāo)準(zhǔn)的格式式控制目標(biāo)和和控制措施施作為附錄錄2022/12/294.信息安全管管理體系方方法4.1什么是ISMS4.2ISMS的重要原則則4.3ISMS的實(shí)現(xiàn)方法法2022/12/294.1什么是ISMSISMS：InformationSecurityManagementSystem信息安全全管理體體系ISO9000-2000術(shù)語和定定義組織organization職責(zé)、權(quán)權(quán)限和相相互關(guān)系系得到安安排的一一組人員員及設(shè)施施,如：公司司、集團(tuán)團(tuán)、商行行、企事事業(yè)單位位、研究究機(jī)構(gòu)、、慈善機(jī)機(jī)構(gòu)、代代理商、、社團(tuán)、、或上述述組織的的部分或或組合。。管理management指揮和控控制組織織的協(xié)調(diào)調(diào)的活動(dòng)動(dòng)體系system相互關(guān)聯(lián)聯(lián)和相互互作用的的一組要要素管理體系系managementsystem建立方針針和目標(biāo)標(biāo)并實(shí)現(xiàn)現(xiàn)這些目目標(biāo)的體體系管理學(xué)中中的定義義管理是指通過過計(jì)劃、、組織、、領(lǐng)導(dǎo)、、控制等等環(huán)節(jié)來來協(xié)調(diào)人人力、物物力、財(cái)財(cái)力等資資源，以以期有效效達(dá)到組組織目標(biāo)標(biāo)的過程程。2022/12/29信息安全全管理體體系ISMS定義ISMS是：在信息安安全方面面指揮和和控制組組織的以以實(shí)現(xiàn)信信息安全全目標(biāo)的的相互關(guān)關(guān)聯(lián)和相相互作用用的一組組要素。信息安全全目標(biāo)應(yīng)應(yīng)是可測測量的要素可能能包括信息安全全方針、、策略信息安全全組織結(jié)結(jié)構(gòu)各種活動(dòng)動(dòng)、過程程信息安全全控制措措施人力、物物力等資資源………2022/12/29要求信息安全分析改進(jìn)資源管理信息安全實(shí)現(xiàn)管理職責(zé)輸入輸出信息安全管理體系的持續(xù)改進(jìn)信息息安安全全管管理理體體系系框框圖圖信息息安安全全管管理理體體系系框框圖圖2022/12/294.2ISMS的重重要要原原則則4.2.1PDCA循環(huán)環(huán)4.2.2過程程方方法法4.2.3其它它重重要要原原則則2022/12/29PDCA循環(huán)環(huán)：Plan——Do——Check——Act計(jì)劃劃實(shí)施施檢查查改進(jìn)進(jìn)PDAC4.2.1PDCA循環(huán)環(huán)2022/12/294.2.1PDCA循環(huán)（續(xù)））又稱“戴明明環(huán)”,PDCA循環(huán)是能使使任何一項(xiàng)項(xiàng)活動(dòng)有效效進(jìn)行的工工作程序:P：計(jì)劃，方方針和目標(biāo)標(biāo)的確定以以及活動(dòng)計(jì)計(jì)劃的制定定；D：執(zhí)行，具具體運(yùn)作，，實(shí)現(xiàn)計(jì)劃劃中的內(nèi)容容；C：檢查，總總結(jié)執(zhí)行計(jì)計(jì)劃的結(jié)果果，分清哪哪些對(duì)了，，哪些錯(cuò)了了，明確效效果，找出出問題；A：改進(jìn)（或或處理）,對(duì)總結(jié)檢查查的結(jié)果進(jìn)進(jìn)行處理，，成功的經(jīng)經(jīng)驗(yàn)加以肯肯定，并予予以標(biāo)準(zhǔn)化化，或制定定作業(yè)指導(dǎo)導(dǎo)書，便于于以后工作作時(shí)遵循；；對(duì)于失敗敗的教訓(xùn)也也要總結(jié)，，以免重現(xiàn)現(xiàn)。對(duì)于沒沒有解決的的問題，應(yīng)應(yīng)提給下一一個(gè)PDCA循環(huán)中去解解決。2022/12/29PDCA循環(huán)的特點(diǎn)一按順序進(jìn)行行，它靠組組織的力量量來推動(dòng)，，像車輪一一樣向前進(jìn)進(jìn)，周而復(fù)復(fù)始，不斷斷循環(huán)4.2.1PDCA循環(huán)（續(xù)））2022/12/29PDCA循環(huán)的特點(diǎn)二組織中的每每個(gè)部分，，甚至個(gè)人人，均有一一個(gè)PDCA循環(huán)，大環(huán)環(huán)套小環(huán)，，一層一層層地解決問問題。4.2.1PDCA循環(huán)（續(xù)））2022/12/29PDCA循環(huán)的特點(diǎn)三每通過一次次PDCA循環(huán)，都要要進(jìn)行總結(jié)結(jié)，提出新新目標(biāo)，再再進(jìn)行第二二次PDCA循環(huán)。90909090改進(jìn)執(zhí)行計(jì)劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計(jì)劃檢查CADP4.2.1PDCA循環(huán)（續(xù)））2022/12/294.2.2過程方方法定定義ISO9000-2000術(shù)語和和定義義過程：：一組將將輸入入轉(zhuǎn)化化為輸輸出的的相互互關(guān)聯(lián)聯(lián)或相相互作作用的的活動(dòng)動(dòng)。過程方方法系統(tǒng)地地識(shí)別別和管管理組組織所所應(yīng)用用的過過程，，特別別是這這些過過程之之間的的相互互作用用，稱稱之為為“過過程方方法””。。2022/12/29活動(dòng)測量、改進(jìn)責(zé)任人資源記錄輸入輸出過程方方法模模型：：2022/12/29信息安全全管理過過程方法法信息安全全實(shí)現(xiàn)是是一個(gè)大大的過程程；信息安全全實(shí)現(xiàn)過過程的每每一個(gè)活活動(dòng)也是是一個(gè)過過程；識(shí)別組織織實(shí)現(xiàn)信信息安全全的每一一個(gè)過程程；對(duì)每一個(gè)個(gè)信息安安全過程程的實(shí)施施進(jìn)行監(jiān)監(jiān)控和測測量；改進(jìn)每一一個(gè)信息息安全過過程。2022/12/29制定信息安全方針確定ISMS的范圍安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理選擇控制目標(biāo)和控制措施準(zhǔn)備適用聲明實(shí)施測量、改進(jìn)安全需求安全信息安全全管理的的過程網(wǎng)網(wǎng)絡(luò)2022/12/29信息安安全管管理的的過程程網(wǎng)絡(luò)絡(luò)將相互互關(guān)聯(lián)聯(lián)的過過程作作為一一個(gè)系系統(tǒng)來來識(shí)別別、理理解和和管理理一個(gè)過過程的的輸出出構(gòu)成成隨后后過程程輸入入的一一部分分過程之之間的的相互互作用用形成成相互互依賴賴的過過程網(wǎng)網(wǎng)絡(luò)PDCA循環(huán)可可用于于單個(gè)個(gè)過程程，也也可用用于整整個(gè)過過程網(wǎng)網(wǎng)絡(luò)2022/12/29領(lǐng)導(dǎo)重重視√指明方方向和和目標(biāo)標(biāo)√權(quán)威√預(yù)算保保障，，提供供所需需的資資源√監(jiān)督檢檢查√組織保保障4.2.3其它重重要原原則－－領(lǐng)導(dǎo)導(dǎo)重視視2022/12/29全員參參與√信息安安全不不僅僅僅是IT部門的的事；；√讓每個(gè)個(gè)員工工明白白隨時(shí)時(shí)都有有信息息安全全問題題；√每個(gè)員員工都都應(yīng)具具備相相應(yīng)的的安全全意識(shí)識(shí)和能能力；；√讓每個(gè)個(gè)員工工都明明確自自己承承擔(dān)的的信息息安全全責(zé)任任；4.2.3其它重重要原原則－－全員員參與與2022/12/29持續(xù)改進(jìn)√信息安全是動(dòng)態(tài)的，時(shí)間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實(shí)現(xiàn)信息安全目標(biāo)的循環(huán)活動(dòng)4.2.3其它重要原原則－持續(xù)續(xù)改進(jìn)2022/12/29

文件化√文件的作用用：有章可可循，有據(jù)據(jù)可查√文件的類型型：手冊、、規(guī)范、指指南、記錄錄4.2.3其它重要原原則－文件件化溝通意圖，，統(tǒng)一行動(dòng)動(dòng)重復(fù)和可追追溯提供客觀證證據(jù)用于學(xué)習(xí)和和培訓(xùn)文件的作用用：有章可可循，有據(jù)據(jù)可查2022/12/29文件件的的類類型型：：手手冊冊、、規(guī)規(guī)范范、、指指南南、、記記錄錄-手冊冊：：向向組組織織內(nèi)內(nèi)部部和和外外部部提提供供關(guān)關(guān)于于信信息息安安全全管管理理體體系系的的一一致致信信息息的的文文件件-規(guī)范范：：闡闡明明要要求求的的文文件件-指南南：：闡闡明明推推薦薦方方法法和和建建議議的的文文件件-記錄錄：：為為完完成成的的活活動(dòng)動(dòng)或或達(dá)達(dá)到到的的結(jié)結(jié)果果提提供供客客觀觀證證據(jù)據(jù)的的文文件件文件件化化4.2.3其它它重重要要原原則則－－文文件件化化2022/12/294.3ISMS的實(shí)實(shí)現(xiàn)現(xiàn)方方法法4.3.1ISMS總則則4.3.2建立立ISMS框架架4.3.3ISMS實(shí)施施4.3.4ISMS體系系文文件件4.3.5文件件的的控控制制4.3.6記錄錄2022/12/29TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.組織織應(yīng)應(yīng)該該建建立立并并運(yùn)運(yùn)行行一一套套文文件件化化的的ISMS確定定組組織織需需要要保保護(hù)護(hù)的的資資產(chǎn)產(chǎn)確定定風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理的的方方法法確定定風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制的的目目標(biāo)標(biāo)和和控控制制措措施施確定定要要達(dá)達(dá)到到的的安安全全保保證證程程度度3.1General(總則則)4.3.1ISMS總則則2022/12/29建設(shè)設(shè)ISMS的步步驟驟：：如如下下圖圖3.2Establishingamanagementframework(建立立管管理理框框架架)4.3.2建立立ISMS框架架2022/12/29制訂訂信信息息安安全全方方針針方針文檔定義義ISMS范圍圍進(jìn)行行風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估實(shí)施施風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理選擇擇控控制制目目標(biāo)標(biāo)措措施施準(zhǔn)備備適適用用聲聲明明第一一步步：：第二二步步：：第三三步步：：第四四步步：：第五五步步：：第六六步步：：ISMS范圍評(píng)估報(bào)告文件文件文件文件文件文件文檔化文檔化聲明文件4.3.2建立立ISMS框架架2022/12/29信息安全方針

一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對(duì)公司的信息安全進(jìn)行全面管理，二、公司總經(jīng)理張未來先生決定在整個(gè)公司范圍內(nèi)建立并實(shí)施信息安全管理體系。要求各部門高度重視，第一步步制制訂信信息安安全方方針4.3.2建立ISMS框架組織應(yīng)應(yīng)定義義信息息安全全方針針。BS7799-2對(duì)ISMS的要求求：2022/12/29什么是是信息息安全全方針針？信息安安全方方針是是由組組織的的最高高管理理者正正式制制訂和和發(fā)布布的該該組織織的信信息安安全的的目標(biāo)標(biāo)和方方向，，用于于指導(dǎo)導(dǎo)信息息安全全管理理體系系的建建立和和實(shí)施施過程程。

信息安全方針4.3.2建立ISMS框架第一步步制制訂信信息安安全方方針2022/12/294.3.2建立ISMS框架第一步步制制訂信信息安安全方方針要經(jīng)最最高管管理者者批準(zhǔn)準(zhǔn)和發(fā)發(fā)布體現(xiàn)了了最高高管理理者對(duì)對(duì)信息息安全全的承承諾與與支持持要傳達(dá)達(dá)給組組織內(nèi)內(nèi)所有有的員員工要定期期和適適時(shí)進(jìn)進(jìn)行評(píng)評(píng)審信息安安全方方針2022/12/29目的和和意義義為組織織提供供了關(guān)關(guān)注的的焦點(diǎn)點(diǎn)，指指明了了方向向，確確定了了目標(biāo)標(biāo)；確保信信息安安全管管理體體系被被充分分理解解和貫貫徹實(shí)實(shí)施；；統(tǒng)領(lǐng)整整個(gè)信信息安安全管管理體體系。。4.3.2建立ISMS框架第一步步制制訂信信息安安全方方針2022/12/29信息息安安全全方方針針的的內(nèi)內(nèi)容容包括括但但不不限限于于：：組織織對(duì)對(duì)信信息息安安全全的的定定義義信息息安安全全總總體體目目標(biāo)標(biāo)和和范范圍圍最高高管管理理者者對(duì)對(duì)信信息息安安全全的的承承諾諾與與支支持持的的聲聲明明符合合相相關(guān)關(guān)標(biāo)標(biāo)準(zhǔn)準(zhǔn)、、法法律律法法規(guī)規(guī)、、和和其其它它要要求求的的聲聲明明對(duì)信信息息安安全全管管理理的的總總體體責(zé)責(zé)任任和和具具體體責(zé)責(zé)任任的的定定義義相關(guān)關(guān)支支持持文文件件4.3.2建立立ISMS框架架第一一步步制制訂訂信信息息安安全全方方針針2022/12/29注意意事事項(xiàng)項(xiàng)簡單單明明了了易于于理理解解可實(shí)實(shí)施施避免免太太具具體體4.3.2建立立ISMS框架架第一一步步制制訂訂信信息息安安全全方方針針2022/12/294.3.2建立立ISMS框架架第二二步步確確定定ISMS范圍圍組織織應(yīng)應(yīng)定定義義信信息息安安全全管管理理體體系系的的范范圍圍，，范范圍圍的的邊邊界界應(yīng)應(yīng)依依據(jù)據(jù)組組織織的的結(jié)結(jié)構(gòu)構(gòu)特特征征、、地地域域特特征征、、資資產(chǎn)產(chǎn)和和技技術(shù)術(shù)特特點(diǎn)點(diǎn)來來確確定定。。BS7799-2對(duì)ISMS的要要求求：：2022/12/29可以以根根據(jù)據(jù)組組織織的的實(shí)實(shí)際際情情況況，，將將組組織織的的一一部部分分定定義義為為信信息息安安全全管管理理范范圍圍，，也也可可以以將將組組織織整整體體定定義義為為信信息息安安全全管管理理范范圍圍；；信息息安安全全管管理理范范圍圍必必須須用用正正式式的的文文件件加加以以記記錄錄。。4.3.2建立立ISMS框架架第二二步步確確定定ISMS范圍圍2022/12/29文件是否否明白地地描述了了信息安安全管理理體系的的范圍范圍的邊邊界和接接口是否否已清楚楚定義4.3.2建立ISMS框架第二步確確定ISMS范圍ISMS范圍文件件：2022/12/294.3.2建立ISMS框架第三步風(fēng)風(fēng)險(xiǎn)評(píng)估組織應(yīng)進(jìn)行行適當(dāng)?shù)娘L(fēng)風(fēng)險(xiǎn)評(píng)估，，風(fēng)險(xiǎn)評(píng)估估應(yīng)識(shí)別資資產(chǎn)所面對(duì)對(duì)的威脅、、脆弱性、、以及對(duì)組組織的潛在在影響，并并確定風(fēng)險(xiǎn)險(xiǎn)的等級(jí)。。BS7799-2對(duì)ISMS的要求：2022/12/29是否執(zhí)行了了正式的和和文件化的的風(fēng)險(xiǎn)評(píng)估估？是否經(jīng)過一一定數(shù)量的的員工驗(yàn)證證其正確性性？風(fēng)險(xiǎn)評(píng)估是是否識(shí)別了了資產(chǎn)的威威脅、脆弱弱性和對(duì)組組織的潛在在影響？風(fēng)險(xiǎn)評(píng)估是是否定期和和適時(shí)進(jìn)行行？4.3.2建立ISMS框架第三步風(fēng)風(fēng)險(xiǎn)評(píng)估2022/12/294.3.2建立ISMS框架第四步風(fēng)風(fēng)險(xiǎn)管理組織應(yīng)依據(jù)據(jù)信息安全全方針和組組織要求的的安全保證證程度來確確定需要管管理的信息息安全風(fēng)險(xiǎn)險(xiǎn)。BS7799-2對(duì)ISMS的要求：2022/12/29根據(jù)風(fēng)險(xiǎn)評(píng)評(píng)估的結(jié)果果，選擇風(fēng)風(fēng)險(xiǎn)控制方方法，將組組織面臨的的風(fēng)險(xiǎn)控制制在可以接接受的范圍圍之內(nèi)。4.3.2建立ISMS框架第四步風(fēng)風(fēng)險(xiǎn)管理2022/12/29是否定義了了組織的風(fēng)風(fēng)險(xiǎn)管理方方法？是否定義了了所需的信信息安全保保證程度？？是否給出了了可選擇的的控制措施施供管理層層做決定？？4.3.2建立ISMS框架第四步風(fēng)風(fēng)險(xiǎn)管理2022/12/294.3.2建立ISMS框架第五步選選擇控制目目標(biāo)和控制制措施組織應(yīng)選擇擇適當(dāng)?shù)目乜刂拼胧┖秃涂刂颇繕?biāo)標(biāo)來滿足風(fēng)風(fēng)險(xiǎn)管理的的要求，并并證明選擇擇結(jié)果的正正確性。BS7799-2對(duì)ISMS的要求：2022/12/29安全問題安全需求控制目標(biāo)控制措施解決指出定義被滿足第五步選選擇控制目目標(biāo)和控制制措施4.3.2建立ISMS框架選擇控制措措施的示意意圖2022/12/29選擇的控制制措施是否否建立在風(fēng)風(fēng)險(xiǎn)評(píng)估的的結(jié)果之上上？是否能從風(fēng)風(fēng)險(xiǎn)評(píng)估中中清楚地看看出哪一些些是基本控控制措施，，哪一些是是必須的，，哪一些是是可以考慮慮選擇的控控制措施？？選擇的控制制措施是否否反應(yīng)了組組織的風(fēng)險(xiǎn)險(xiǎn)管理戰(zhàn)略略？針對(duì)每一種種風(fēng)險(xiǎn)，控控制措施都都不是唯一一的，要根根據(jù)實(shí)際情情況進(jìn)行選選擇4.3.2建立ISMS框架第五步選選擇控制目目標(biāo)和控制制措施2022/12/29未選擇某項(xiàng)項(xiàng)控制措施施的原因風(fēng)險(xiǎn)原因-沒有識(shí)別出出相關(guān)的風(fēng)風(fēng)險(xiǎn)財(cái)務(wù)原因-財(cái)務(wù)預(yù)算的的限制環(huán)境原因-安全設(shè)備、、氣候、空空間等技術(shù)-某些控制措措施在技術(shù)術(shù)上不可行行文化-社會(huì)環(huán)境的的限制時(shí)間-某些要求目目前無法實(shí)實(shí)施其它-？4.3.2建立ISMS框架第五步選選擇控制目目標(biāo)和控制制措施2022/12/294.3.2建立立ISMS框架架第六六步步準(zhǔn)準(zhǔn)備備適適用用聲聲明明組織織應(yīng)應(yīng)準(zhǔn)準(zhǔn)備備適適用用聲聲明明，，記記錄錄已已選選擇擇的的控控制制措措施施和和理理由由，，以以及及未未選選擇擇的的控控制制措措施施及及其其理理由由。。BS7799-2對(duì)ISMS的要要求求：：2022/12/29在選選擇擇了了控控制制目目標(biāo)標(biāo)和和控控制制措措施施后后，，對(duì)對(duì)實(shí)實(shí)施施某某項(xiàng)項(xiàng)控控制制目目標(biāo)標(biāo)、、措措施施和和不不實(shí)實(shí)施施某某項(xiàng)項(xiàng)控控制制目目標(biāo)標(biāo)、、措措施施進(jìn)進(jìn)行行記記錄錄，，并并對(duì)對(duì)原原因因進(jìn)進(jìn)行行解解釋釋的的文文件件。。未來來實(shí)實(shí)現(xiàn)現(xiàn)公公司司ISMS適用用聲聲明明4.3.2建立立ISMS框架架第六六步步準(zhǔn)準(zhǔn)備備適適用用聲聲明明2022/12/29Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.組織織應(yīng)應(yīng)該該對(duì)對(duì)所所選選擇擇的的控控制制目目標(biāo)標(biāo)和和控控制制措措施施有有效效的的實(shí)實(shí)施施。。實(shí)實(shí)施施程程序序的的有有效效性性應(yīng)應(yīng)依依據(jù)據(jù)4.10.2條之之規(guī)規(guī)定定加加以以驗(yàn)驗(yàn)證證。。4.10.2安全全方方針針和和技技術(shù)術(shù)符符合合性性的的評(píng)評(píng)審審安全全方方針針的的符符合合性性技術(shù)術(shù)符符合合性性的的檢檢查查4.3.3ISMS實(shí)施施BS7799-2對(duì)ISMS實(shí)施施的的要要求求：：2022/12/29信息安全全管理體體系文件件應(yīng)包括括如下方方面的信信息：按3.2條款規(guī)定定采取的的行動(dòng)的的證據(jù)對(duì)管理框框架的總總結(jié)，包包括適用用聲明中中所列信信息安全全方針、、控制目目標(biāo)和控控制措施施3.3條規(guī)定的的實(shí)施管管理程序序，此程程序應(yīng)對(duì)對(duì)責(zé)任和和相關(guān)措措施加以以描述信息安全全管理體體系的管管理和操操作程序序，此程程序應(yīng)對(duì)對(duì)責(zé)任和和相關(guān)措措施加以以描述4.3.4ISMS體系文件件BS7799-2對(duì)ISMS文件的要要求：2022/12/29組織要建建立和維維護(hù)一套套控制3.4條款中要要求的所所有文件件的流程程，應(yīng)確確保這些些文件：：隨時(shí)可得得根據(jù)組織織的安全全方針的的變化得得以定期期評(píng)審和和修訂版本要及及時(shí)更新新，并存存放在信信息安全全管理體體系的涉涉及的現(xiàn)現(xiàn)場過時(shí)后及及時(shí)撤換換過時(shí)撤換換后對(duì)其其進(jìn)行分分類存檔檔，用于于事后憑憑據(jù)或查查閱此類文本本應(yīng)保持持整潔、、清楚，，并標(biāo)明明日期，，按分類類妥善保保存至規(guī)規(guī)定期限限到期為為止。針針對(duì)各類類文件的的建立和和修訂，，要制定定一定的的流程和和職責(zé)劃劃分。4.3.5ISMS文件控控制BS7799-2對(duì)ISMS文件控控制的的要求求：2022/12/29記錄作作為ISMS運(yùn)行結(jié)結(jié)果的的證據(jù)據(jù)，要要求加加以保保留，，以證證明是是否符符合ISMS和組織織所提提出的的要求求。記記錄可可為訪訪客記記錄、、審計(jì)計(jì)記錄錄和出出入證證明等等等。。各單位位應(yīng)建建立并并運(yùn)行行合理理程序序，以以確認(rèn)認(rèn)、維維護(hù)、、保存存和處處理這這些過過程是是否規(guī)規(guī)范的的要求求。記錄要要求清清晰可可辨，，通過過其可可追溯溯到所所記錄錄的活活動(dòng)情情況。。記錄錄的保保存和和維護(hù)護(hù)應(yīng)當(dāng)當(dāng)做到到隨時(shí)時(shí)可得得，并并不得得損壞壞、磨磨損或或丟失失。4.3.6ISMS記錄BS7799-2對(duì)ISMS記錄的的要求求：2022/12/295.1十類控控制措措施5.2基本控控制措措施5.3ISO17799控制目目標(biāo)和和控制制措施施概述述5.ISO17799中的控控制目目標(biāo)和和控制制措施施2022/12/295.1十類控控制措措施一、安全方針（SecurityPolicy）（1,2）（附注）二、安全組織（SecurityOrganization）(3,10)三、資產(chǎn)分類與控制(AssetclassificationandControl)(2,3)四、人員安全(PersonnelSecurity)(3,10)五、物理與環(huán)境安全(PhysicandEnvironmentSecurity)(3,13)六、通信與運(yùn)行管理(CommunicationandOperationManagement)(7,24)八、系統(tǒng)開發(fā)與維護(hù)(Systemdevelopandmaintenance)(5,18)七、訪問控制(Accesscontrol)(8,31)九、業(yè)務(wù)持續(xù)性管理(Businesscontinuitymanagement)(1,5)十、符合性(Compliance)(3,11)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制方法的數(shù)目2022/12/295.1十類控制制措施(續(xù))ISO17799包含了36個(gè)控制目目標(biāo)和127個(gè)控制措措施不是所有有的控制制措施都都適用于于組織的的各種情情形所描述的的控制措措施也未未考慮組組織的環(huán)環(huán)境和適適用技術(shù)術(shù)的限制制所描述的的控制措措施并不不是必須須適用于于組織中中的所有有人2022/12/29ISO17799推薦了八八個(gè)控制制措施作作為信息息安全的的起始點(diǎn)點(diǎn)（StartingPoint），組織織可以此此為基礎(chǔ)礎(chǔ)建立ISMS。這些控制制措施在在大多數(shù)數(shù)情況下下是普遍遍適用的的。5.2基本控制制措施2022/12/29與法律有有關(guān)的控控制措施施12.1.4數(shù)據(jù)保護(hù)護(hù)和個(gè)人人隱私12.1.3組織記錄錄的保護(hù)護(hù)12.1.2知識(shí)產(chǎn)權(quán)權(quán)5.2基本控制制措施－－與法律律相關(guān)的的2022/12/29與法律有有關(guān)的控控制措施施12.1.4數(shù)據(jù)保護(hù)護(hù)和個(gè)人人隱私目標(biāo)：符合所在在國家的的數(shù)據(jù)保保護(hù)法律律和與個(gè)個(gè)人隱私私相關(guān)的的法律數(shù)據(jù)保護(hù)護(hù)法1998（英國））電子數(shù)據(jù)據(jù)保護(hù)法法（歐盟盟2002年6月通過））電信服務(wù)務(wù)數(shù)據(jù)保保護(hù)法（（德國））個(gè)人隱私私法（美美國、加加拿大等等）電子通信信隱私法法（美國國）5.2基本控制制措施－－與法律律相關(guān)的的2022/12/29與法律有有關(guān)的控控制措施施12.1.3組織記錄錄的保護(hù)護(hù)目標(biāo)：保護(hù)重要要的記錄錄不被丟丟失、破破壞或偽偽造保留期存儲(chǔ)報(bào)廢處理理5.2基本控制制措施－－與法律律相關(guān)的的2022/12/29與法律有關(guān)關(guān)的控制措措施12.1.2知識(shí)產(chǎn)權(quán)版權(quán)軟件版權(quán)目標(biāo)：確保使用產(chǎn)產(chǎn)品或服務(wù)務(wù)時(shí)不違反反國家有關(guān)關(guān)知識(shí)產(chǎn)權(quán)權(quán)和專屬軟軟件產(chǎn)品方方面的法律律、法規(guī)和和法令。復(fù)制限制許可協(xié)議合同要求5.2基本控制措措施－與法法律相關(guān)的的2022/12/29與最佳實(shí)踐踐有關(guān)的控控制措施3.1信息安全方方針4.1.3信息安全責(zé)責(zé)任分配6.2.1信息安全教教育與培訓(xùn)訓(xùn)6.3.1安全事件匯匯報(bào)11.1業(yè)務(wù)連續(xù)性性管理5.2基本控制措措施－與最最佳實(shí)踐相相關(guān)的2022/