信息安全管理基礎(chǔ)培訓(xùn)

中遠(yuǎn)網(wǎng)絡(luò)(北京)有限公司信息安全管理體系基礎(chǔ)培訓(xùn)北京安言信息技術(shù)有限公司歡迎您參加這次《信息安全管理體系基礎(chǔ)知識》培訓(xùn)班，本課程是我們特意為北京中遠(yuǎn)網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實(shí)踐，以便更好地開展即將啟動(dòng)的項(xiàng)目。衷心祝愿您在整個(gè)課程過程中與我們度過緊湊而富有成效的美好時(shí)光。關(guān)于課程內(nèi)容及授課效果的意見和建議，請及時(shí)反饋給我們，以便我們改進(jìn)自身工作。再次歡迎您的參與，真誠感謝您的支持與合作！我們的目標(biāo)理解信息、信息安全和信息安全管理理解信息安全風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理理解BS7799/ISO27001標(biāo)準(zhǔn)本身的條款內(nèi)容掌握一種實(shí)施ISMS的方法和途徑了解ISO27001認(rèn)證的完整過程用ISO27001指導(dǎo)企業(yè)進(jìn)行信息安全的各項(xiàng)活動(dòng)第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望內(nèi)容目錄積極參與，小組討論，活躍氣氛遵守時(shí)間請將移動(dòng)電話設(shè)置為震動(dòng)有問題請隨時(shí)提出課堂注意事項(xiàng)讓我們開始吧！什么是信息？什么是信息安全？為什么要強(qiáng)調(diào)信息安全管理？怎樣做好信息安全管理？什么是BS7799/ISO27001？

BS7799/ISO27001對信息安全管理有什么指導(dǎo)意義？信息安全管理體系如何認(rèn)證？需要首先搞清楚的幾個(gè)問題第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望什么是信息？信息安全概述什么是信息？Information消息、信號、數(shù)據(jù)、情報(bào)和知識信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲(chǔ)在計(jì)算機(jī)、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過網(wǎng)絡(luò)、打印機(jī)、傳真機(jī)等方式進(jìn)行傳播信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價(jià)值，就成為信息資產(chǎn)：計(jì)算機(jī)和網(wǎng)絡(luò)中的數(shù)據(jù)硬件、軟件、文檔資料

關(guān)鍵人員組織提供的服務(wù)具有價(jià)值的信息資產(chǎn)面臨諸多威脅，需要妥善保護(hù)有價(jià)值的內(nèi)容——ISO9000信息安全概述企業(yè)信息安全管理關(guān)注的信息類型內(nèi)部信息組織不想讓其競爭對手知道的信息客戶信息顧客/客戶不想讓組織泄漏的信息共享信息需要與其他業(yè)務(wù)伙伴分享的信息信息安全概述信息的處理方式創(chuàng)建傳遞銷毀存儲(chǔ)使用更改信息安全概述什么是信息安全？信息安全概述采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。信息安全概述信息安全的發(fā)展歷史20世紀(jì)60年代前60年代到80年代20世紀(jì)80年代末以后電話、電報(bào)、傳真強(qiáng)調(diào)的是信息的保密性對安全理論和技術(shù)的研究只側(cè)重于密碼學(xué)

通信安全，即COMSEC計(jì)算機(jī)軟硬件極大發(fā)展關(guān)注保密性、完整性和可用性目標(biāo)

信息安全，即INFOSEC

代表性成果是美國的TCSEC和歐洲的ITSEC測評標(biāo)準(zhǔn)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無論是對內(nèi)還是對外都得到極大開放信息安全從CIA中又衍生出可控性、抗抵賴性、真實(shí)性等特性，并且從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測、響應(yīng)、恢復(fù)發(fā)展

信息保障（InformationAssurance），從整體角度考慮安全體系建設(shè)

美國的IATF規(guī)范

信息安全概述CIAonfidentialityntegrityvailability信息安全基本目標(biāo)信息安全概述企業(yè)重大泄密事件屢屢發(fā)生信息安全概述敏感信息遭受篡改也會(huì)導(dǎo)致惡劣后果信息安全概述破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴(yán)重信息安全概述C保密性（Confidentiality）——確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)泄漏給非授權(quán)用戶或?qū)嶓w。完整性（Integrity）——確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當(dāng)?shù)匦薷男畔?，保持信息?nèi)部和外部的一致性?？捎眯裕ˋvailability）——確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。CIA三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是DAD三元組：C.I.A.和D.A.D.IADisclosureAlterationDestruction泄漏破壞篡改信息安全概述Confidentiality

機(jī)密性Availability

可用性Integrity

完整性信息安全概述其他概念和原則

私密性（Privacy）——個(gè)人和組織控制私用信息采集、存儲(chǔ)和分發(fā)的權(quán)利。

身份識別（Identification）——用戶向系統(tǒng)聲稱其真實(shí)身份的方式。

身份認(rèn)證（Authentication）——測試并認(rèn)證用戶的身份。

授權(quán)（Authorization）——為用戶分配并校驗(yàn)資源訪問權(quán)限的過程。

可追溯性（Accountability）——確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力。

抗抵賴性（Non-repudiation）——確保信息創(chuàng)建者就是真正的發(fā)送者的能力。

審計(jì)（Audit）——對系統(tǒng)記錄和活動(dòng)進(jìn)行獨(dú)立復(fù)查和審核，確保遵守性信息安全概述信息安全的重要性信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價(jià)值，因而要妥善保護(hù)信息安全是國家安全的需要信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要許多組織都曾面臨過嚴(yán)重的威脅，包括基于計(jì)算機(jī)的欺詐和蓄意破壞現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計(jì)算機(jī)病毒、黑客和拒絕服務(wù)攻擊網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對計(jì)算機(jī)系統(tǒng)未授權(quán)訪問的機(jī)會(huì)組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難許多信息系統(tǒng)的設(shè)計(jì)本身就不安全通過技術(shù)手段獲得的安全是有限的，還應(yīng)該通過恰當(dāng)?shù)墓芾砗统绦騺碇С中畔踩攀龇煞ㄒ?guī)與合同要求組織原則目標(biāo)和業(yè)務(wù)需要風(fēng)險(xiǎn)評估的結(jié)果從什么方面考慮信息安全？信息安全概述常規(guī)的技術(shù)措施物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全

系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性

網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、VPN、入侵檢測、掃描評估

應(yīng)用安全技術(shù)：Email安全、Web訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全

數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)信息的CIA特性

認(rèn)證授權(quán)技術(shù)：口令認(rèn)證、SSO認(rèn)證（例如Kerberos）、證書認(rèn)證等

訪問控制技術(shù)：防火墻、訪問控制列表等審計(jì)跟蹤技術(shù)：入侵檢測、日志審計(jì)、辨析取證

防病毒技術(shù)：單機(jī)防病毒技術(shù)逐漸發(fā)展成整體防病毒體系

災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份信息安全概述防火墻網(wǎng)絡(luò)入侵檢測病毒防護(hù)主機(jī)入侵檢測漏洞掃描評估VPN通道訪問控制信息安全概述有沒有更好的途徑？信息安全概述信息安全管理信息安全的成敗取決于兩個(gè)因素：技術(shù)和管理。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）是組織完整的管理體系中一個(gè)重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動(dòng)性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)，其針對對象就是組織的信息資產(chǎn)?，F(xiàn)實(shí)世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實(shí)現(xiàn)信息安全目標(biāo)來說尤其重要。

信息安全管理的核心就是風(fēng)險(xiǎn)管理。信息安全概述信息安全管理面臨的一些問題國家的信息安全法律法規(guī)體系建設(shè)還不是很完善組織缺乏信息安全意識和明確的信息安全策略對信息安全還持有傳統(tǒng)的認(rèn)識，即重技術(shù)，輕管理安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理信息安全概述調(diào)查顯示有8成企業(yè)安全管理不理想信息安全概述各行業(yè)安全管理狀況都不容樂觀信息安全概述安全管理各方面能力都很低下信息安全概述信息安全管理應(yīng)該是體系化的信息安全必須從整體去考慮，必須做到“有計(jì)劃有目標(biāo)、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營管理體系的一部分務(wù)必重視信息安全管理加強(qiáng)信息安全建設(shè)工作信息安全概述怎樣實(shí)現(xiàn)信息安全？信息安全概述通常的信息安全建設(shè)方法采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，IDS，Scanner，VPN等通常由IT部門的技術(shù)人員兼職負(fù)責(zé)日常維護(hù)，甚至根本沒有日常維護(hù)這是一種以產(chǎn)品為核心的信息安全解決方案這種方法存在眾多不足：難以確定真正的需求：保護(hù)什么？保護(hù)對象的邊界？保護(hù)到什么程度？管理和服務(wù)跟不上，對采購產(chǎn)品運(yùn)行的效率和效果缺乏評價(jià)通常用漏洞掃描代替風(fēng)險(xiǎn)評估，對風(fēng)險(xiǎn)的認(rèn)識很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實(shí)現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題信息安全概述真正有效的方法技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用

技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高超但管理混亂的系統(tǒng)安全先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要建立一個(gè)管理框架，讓好的安全策略在這個(gè)框架內(nèi)可重復(fù)實(shí)施，并不斷得到修正，就會(huì)擁有持續(xù)安全根本上說，信息安全是個(gè)管理過程，而不是技術(shù)過程信息安全概述對信息安全的正確認(rèn)識安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進(jìn)、循環(huán)發(fā)展的動(dòng)態(tài)過程信息安全概述基于風(fēng)險(xiǎn)分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險(xiǎn)的相互協(xié)調(diào)的活動(dòng)。制定信息安全策略方針風(fēng)險(xiǎn)評估和管理控制目標(biāo)和方式選擇風(fēng)險(xiǎn)控制安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持。控制目標(biāo)與控制方式的選擇應(yīng)該建立在風(fēng)險(xiǎn)評估的基礎(chǔ)上?？紤]控制成本與風(fēng)險(xiǎn)平衡的原則，將風(fēng)險(xiǎn)降低到組織可接受的水平。對風(fēng)險(xiǎn)實(shí)施動(dòng)態(tài)管理。需要全員參與。遵循管理的一般模式——PDCA模型。信息安全概述安全管理模型——PDCA根據(jù)風(fēng)險(xiǎn)評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運(yùn)作自身需要來確定控制目標(biāo)與控制措施。實(shí)施所選的安全控制措施。針對檢查結(jié)果采取應(yīng)對措施，改進(jìn)安全狀況。依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對安全措施的實(shí)施情況進(jìn)行符合性檢查。信息安全概述BS7799定義的信息安全管理體系建立一個(gè)信息安全管理框架評估安全風(fēng)險(xiǎn)選擇并實(shí)施控制信息安全管理體系ISMS設(shè)定信息安全的方向和目標(biāo)，定義管理層承諾的策略確定安全需求根據(jù)需求采取措施消減風(fēng)險(xiǎn)，以實(shí)現(xiàn)既定安全目標(biāo)信息安全概述ISMS必須明確的內(nèi)容要保護(hù)的資產(chǎn)控制目標(biāo)和控制措施需要保證的程度風(fēng)險(xiǎn)管理的途徑信息安全概述實(shí)施ISMS的過程定義ISMS的范圍定義ISMS策略定義一個(gè)系統(tǒng)化的風(fēng)險(xiǎn)管理途徑識別風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)識別并評價(jià)風(fēng)險(xiǎn)處理的可選方案選擇控制目標(biāo)和控制措施，以便處理風(fēng)險(xiǎn)準(zhǔn)備適用性聲明（SoA）獲得管理層批準(zhǔn)信息安全概述ISMS是一個(gè)文檔化的體系對管理框架的概括包括策略、控制目標(biāo)、已實(shí)施的控制措施、適用性聲明（SoA）各種程序文件實(shí)施控制措施并描述責(zé)任和活動(dòng)的程序文件覆蓋了ISMS管理和運(yùn)行的程序文件

證據(jù)能夠表明組織按照BS7799要求采取相應(yīng)步驟而建立了管理框架各種Records：在操作ISMS過程當(dāng)中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性信息安全概述實(shí)施ISMS的關(guān)鍵成功因素（CSF）安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)有一種與組織文化保持一致的實(shí)施、維護(hù)、監(jiān)督和改進(jìn)信息安全的途徑來自高級管理層的明確的支持和承諾深刻理解安全需求、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理向所有管理者和員工有效地推廣安全意識向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn)為信息安全管理活動(dòng)提供資金支持提供適當(dāng)?shù)呐嘤?xùn)和教育建立有效的信息安全事件管理流程

建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn)信息安全概述第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）

英國標(biāo)準(zhǔn)學(xué)會(huì)（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等標(biāo)準(zhǔn)的編寫機(jī)構(gòu)

英國標(biāo)準(zhǔn)學(xué)會(huì)（BSI）是世界上最早的全國性標(biāo)準(zhǔn)化機(jī)構(gòu)，它受政府控制但得到了政府的大力支持。BSI不斷發(fā)展自己的工作隊(duì)伍，完善自己的工作機(jī)構(gòu)和體制，把標(biāo)準(zhǔn)化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作

BSI的宗旨：

1.為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進(jìn)生產(chǎn)，達(dá)到標(biāo)準(zhǔn)化（包括簡化）

2.制定和修訂英國標(biāo)準(zhǔn)，并促進(jìn)其貫徹執(zhí)行

3.以學(xué)會(huì)名義，對各種標(biāo)志進(jìn)行登記，并頒發(fā)許可證

4.必要時(shí)采取各種行動(dòng)，保護(hù)學(xué)會(huì)利益BS7799簡介國際標(biāo)準(zhǔn)化組織（ISO）

國際標(biāo)準(zhǔn)化組織（InternationalOrganizationforStandardization，ISO）

國際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專門機(jī)構(gòu)，它在國際標(biāo)準(zhǔn)化中占主導(dǎo)地位。

ISO的主要活動(dòng)是制定國際標(biāo)準(zhǔn)，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)化工作，組織各成員國和技術(shù)委員會(huì)進(jìn)行報(bào)交流，以及與其他國際性組織進(jìn)行合作，共同研究有關(guān)標(biāo)準(zhǔn)問題。隨著國際貿(mào)易的發(fā)展，對國際標(biāo)準(zhǔn)的要求日益提高，ISO的作用也日趨擴(kuò)大，世界上許多國家對ISO也越加重視。

ISO的目的和宗旨是：在世界范圍內(nèi)促進(jìn)標(biāo)準(zhǔn)化工作的發(fā)展，以利于國際物資交流和互助，并擴(kuò)大在知識、科學(xué)、技術(shù)和經(jīng)濟(jì)方面的合作。BS7799簡介什么是BS7799？英國標(biāo)準(zhǔn)協(xié)會(huì)（BritishStandardsInstitute，BSI）制定的信息安全標(biāo)準(zhǔn)。

由信息安全方面的最佳慣例組成的一套全面的控制集。

信息安全管理方面最受推崇的國際標(biāo)準(zhǔn)。BS7799簡介BS7799的目的"為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信"。BS7799簡介BS7799的歷史沿革

1990年代初——英國貿(mào)工部（DTI）成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。

1993年9月——頒布《信息安全管理實(shí)施細(xì)則》，形成BS7799的基礎(chǔ)。

1995年2月——首次出版BS7799-1:1995《信息安全管理實(shí)施細(xì)則》。

1998年2月——英國公布BS7799-2:《信息安全管理體系規(guī)范》。

1999年4月——BS7799-1與BS7799-2修訂后重新發(fā)布。

2000年12月——國際標(biāo)準(zhǔn)組織ISO/IECJTC1/SC27工作組認(rèn)可通過BS7799-1，頒布ISO/IEC17799:2000《信息技術(shù)——信息安全管理實(shí)施細(xì)則》。

2002年9月——BSI對BS7799-2進(jìn)行了改版，用來替代原標(biāo)準(zhǔn)（BS7799-2:1999）使用。

2005年6月——ISO17799:2000改版，成為ISO17799:2005。

2005年10月——ISO正式采用BS7799-2:2002，命名為ISO27001:2005。BS7799簡介BS7799的發(fā)展現(xiàn)狀

BS7799技術(shù)委員會(huì)是BSI-DISCCommitteeBDD/2，成員包括：金融服務(wù)：英國保險(xiǎn)協(xié)會(huì)，渣打會(huì)計(jì)協(xié)會(huì)，匯豐銀行等通信行業(yè)：大英電訊公司等零售業(yè)：MarksandSpencerplc

國際組織：殼牌，聯(lián)合利華，畢馬威（KPMG）等

目前除英國之外，國際上已有荷蘭（SPE20003）、丹麥和瑞典（SS627799）、挪威、芬蘭、澳大利亞和新西蘭（AS/NZS4444）、南非、巴西、日本（JISX5080）等國采用BS7799。我國的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在BS7799認(rèn)證方面表現(xiàn)積極。

全球目前有2000多家機(jī)構(gòu)通過了BS7799/ISO27001認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國公司。（可查詢http:///）目前大陸地區(qū)通過信息安全管理體系認(rèn)證的有近30家。BS7799簡介截至2006年初，全球通過BS7799/ISO27001認(rèn)證的有2000多家機(jī)構(gòu)/BS7799簡介BS7799認(rèn)證的發(fā)展趨勢圖此圖摘自http://www.gammassl.co.uk/2003年2月前到2005年底BS7799簡介建立ISMS并通過認(rèn)證的意義可以強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為。對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵害時(shí)，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。向貿(mào)易伙伴證明對信息安全的承諾，使貿(mào)易伙伴和客戶對組織充滿信心。如果通過體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度。促使管理層堅(jiān)持貫徹信息安全保障體系。BS7799簡介ISO17799/ISO27001的內(nèi)容框架

ISO17799：源自BS7799-1。工具包，體現(xiàn)了三分技術(shù)七分管理的思想

ISO27001：源自BS7799-2?？蚣荏w系，是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范，一個(gè)完整的解決方案安全策略Securitypolicy人力資源安全Humanresourcessecurity物理與環(huán)境安全Physicalandenvironmentalsecurity通信與操作管理Communicationsandoperationsmanagement信息系統(tǒng)獲取、開發(fā)和維護(hù)Informationsystemsacquisition,developmentandmaintenance組織信息安全Organizinginformationsecurity資產(chǎn)管理Assetmanagement訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務(wù)連續(xù)性管理Businesscontinuitymanagement符合性ComplianceBS7799簡介新版本的變化特點(diǎn)

ISO17799:2005

從10個(gè)域變到11個(gè)域，增加了“信息安全事件管理”去掉了9項(xiàng)控制，增加了17項(xiàng)控制，一共有133項(xiàng)控制加強(qiáng)了對人員離職、移動(dòng)通信、軟件漏洞和補(bǔ)丁管理的控制要求

BS7799-2:2002ISO27001:2005（略做修改）

附錄引向ISO17799:2005

原來的條款6（管理評審）分成現(xiàn)在的6（內(nèi)審）、7（管理評審）兩個(gè)部分

ISO17799:2000GB/T19716:2005BS7799簡介ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicyBS7799的輸出結(jié)果BS7799簡介其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范1

ISO7498-2（GB/T9387-2,1995）

1989年ISO組織制定的《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》，該標(biāo)準(zhǔn)對安全服務(wù)及相關(guān)機(jī)制進(jìn)行了一般描述

ISO15408（GB/T18336,2001，即CC標(biāo)準(zhǔn)）

1993年6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了CC標(biāo)準(zhǔn)，最終將其推進(jìn)到國際標(biāo)準(zhǔn)。CC的目的是建立一個(gè)各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價(jià)標(biāo)準(zhǔn)

SSE-CMM（ISO/IECDIS21827）美國國家安全局（NSA）于1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。該模型定義了一個(gè)安全工程過程應(yīng)有的特征，這些特征是完善安全工程的根本保證

IATF

美國國家安全局（NSA）制定的InformationAssuranceTechnicalFramework，為保護(hù)美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南

ISO/TR13569

銀行和相關(guān)金融服務(wù)信息安全指南BS7799簡介其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范2

BSIDISC提供了一組關(guān)于BS7799的系列指導(dǎo)文件（PD3000系列）：

PD3001–PreparingforBS7799CertificationPD3002–GuidetoRiskAssessmentandRiskManagementPD3003–“AreyoureadyforaBS7799Audit?”PD3004–GuidetoBS7799AuditingPD3005–GuidetotheselectionofBS7799controlsAS/NZS4444

澳大利亞和新西蘭等同采用的BS7799（后來，根據(jù)ISO/IEC17799:2000頒布了AS/NZSISO/IEC17799:2001，根據(jù)BS7799-2:2002又頒布了AS/NZS7799.2:2003）

AS/NZS4360

澳大利亞和新西蘭自己的信息安全管理標(biāo)準(zhǔn)

ISO/IECTR13335

即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），分5個(gè)部分。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于IT領(lǐng)域，并不用于審計(jì)和認(rèn)證BS7799簡介第一部分信息安全概述BS7799/ISO27001簡介信息安全管理體系認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望選擇認(rèn)證機(jī)構(gòu)信息安全管理體系認(rèn)證明確認(rèn)證的范圍定義認(rèn)證范圍是讓認(rèn)證機(jī)構(gòu)和審核員確定評估程序的基礎(chǔ)。定義認(rèn)證范圍時(shí)，組織應(yīng)該考慮：文檔化的適用性聲明組織的相關(guān)活動(dòng)要包括在內(nèi)的組織范圍地理位置信息系統(tǒng)邊界、平臺(tái)和應(yīng)用包括在內(nèi)的支持活動(dòng)排除在外的因素認(rèn)證機(jī)構(gòu)在展開認(rèn)證過程之前將與組織在認(rèn)證范圍上達(dá)成一致意見。信息安全管理體系認(rèn)證認(rèn)證之前做好準(zhǔn)備進(jìn)行ISO27001認(rèn)證之前，組織可以參照以下檢查列表來做準(zhǔn)備：董事會(huì)和管理層的簽署承諾已簽署并發(fā)布的安全策略文檔已識別的資產(chǎn)風(fēng)險(xiǎn)評估的結(jié)果文檔已作出的風(fēng)險(xiǎn)管理決策已識別的可用控制文檔化的適用性聲明文檔化的業(yè)務(wù)連續(xù)性計(jì)劃，并得到了實(shí)施和測試文檔化的ISMS程序，并且發(fā)布和實(shí)施確定ISMS有效性的內(nèi)部復(fù)審信息安全管理體系認(rèn)證認(rèn)證過程選擇受認(rèn)可的認(rèn)證機(jī)構(gòu)Phase1：文檔審核Phase2：現(xiàn)場審查維持認(rèn)證組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息復(fù)審風(fēng)險(xiǎn)評估文檔、安全策略和適用性聲明復(fù)審ISMS的其他文檔

ISMS的實(shí)施情況，符合性審查風(fēng)險(xiǎn)管理決策的基礎(chǔ)組織被授予證書后，審核組每年都會(huì)對其ISMS符合性進(jìn)行檢查。證書三年有效，之后需要再次認(rèn)證。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。預(yù)審（Pre-assessment）可選信息安全管理體系認(rèn)證文檔審核一般來說都是現(xiàn)場進(jìn)行的審核ISMS框架，以考查其是否符合ISO27001的4-8部分的要求查看策略、范圍、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理、控制選擇和適用性聲明相關(guān)的文件審核員或許不會(huì)非常深入地查看特定程序文件的細(xì)節(jié)，但卻期望能直接在標(biāo)準(zhǔn)、程序和工作指導(dǎo)書上簽署意見符合性審核對來自文檔審核階段的不符合項(xiàng)進(jìn)行究根問底審核抽樣，以驗(yàn)證ISMS底實(shí)施和操作審核小組組長會(huì)提交一個(gè)建議，但并不做最終認(rèn)證決策對于審核期間記錄在案的不符合項(xiàng)，組織必須在一個(gè)月之內(nèi)采取糾正性措施信息安全管理體系認(rèn)證信息安全管理體系認(rèn)證實(shí)施BS7799認(rèn)證項(xiàng)目的建議過程信息安全管理體系認(rèn)證成功的關(guān)鍵因素安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo)實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致來自高級管理層的明確的支持和承諾深刻理解安全需求、風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理向所有管理者和員工有效地推廣安全意識信息安全管理體系認(rèn)證成功的關(guān)鍵因素（續(xù)）向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標(biāo)準(zhǔn)為信息安全管理活動(dòng)提供資金支持提供適當(dāng)?shù)呐嘤?xùn)和教育建立有效的信息安全事件管理流程

建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn)信息安全管理體系認(rèn)證第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望風(fēng)險(xiǎn)

風(fēng)險(xiǎn)管理（RiskManagement）就是以可接受的代價(jià)，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程。在信息安全領(lǐng)域，風(fēng)險(xiǎn)（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)評估（RiskAssessment）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點(diǎn)以及威脅發(fā)生的可能性的評估。風(fēng)險(xiǎn)評估與管理風(fēng)險(xiǎn)評估和管理的目標(biāo)低影響高可能性高影響高可能性高影響低可能性低影響低可能性威脅帶來的影響威脅發(fā)生的可能性目標(biāo)采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險(xiǎn)消減到可接受的水平。風(fēng)險(xiǎn)評估與管理風(fēng)險(xiǎn)RISKRISKRISKRISK風(fēng)險(xiǎn)基本的風(fēng)險(xiǎn)采取措施后剩余的風(fēng)險(xiǎn)資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風(fēng)險(xiǎn)管理目標(biāo)更形象的描述風(fēng)險(xiǎn)評估與管理絕對的零風(fēng)險(xiǎn)是不存在的，要想實(shí)現(xiàn)零風(fēng)險(xiǎn)，也是不現(xiàn)實(shí)的；計(jì)算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

絕對的安全是不存在的！

在計(jì)算機(jī)安全領(lǐng)域有一句格言：“真正安全的計(jì)算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險(xiǎn)柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計(jì)算機(jī)是無法使用的。風(fēng)險(xiǎn)評估與管理關(guān)鍵是實(shí)現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風(fēng)險(xiǎn)評估與管理與風(fēng)險(xiǎn)管理相關(guān)的概念資產(chǎn)（Asset）——任何對組織具有價(jià)值的東西，包括計(jì)算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點(diǎn)（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)，弱點(diǎn)一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險(xiǎn)（Risk）——特定威脅利用資產(chǎn)弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或?qū)Σ撸╟ountermeasure），即通過防范威脅、減少弱點(diǎn)、限制意外事件帶來影響等途徑來消減風(fēng)險(xiǎn)的機(jī)制、方法和措施。殘留風(fēng)險(xiǎn)（ResidualRisk）——在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估與管理安全措施安全需求防范采取提出減少威脅弱點(diǎn)資產(chǎn)資產(chǎn)價(jià)值利用導(dǎo)致導(dǎo)致暴露增加具有風(fēng)險(xiǎn)風(fēng)險(xiǎn)要素關(guān)系模型風(fēng)險(xiǎn)評估與管理風(fēng)險(xiǎn)管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）風(fēng)險(xiǎn)評估與管理風(fēng)險(xiǎn)管理過程識別并評價(jià)資產(chǎn)識別并評估威脅識別并評估弱點(diǎn)現(xiàn)有控制確認(rèn)評估風(fēng)險(xiǎn)（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實(shí)施選定的控制YesNo確認(rèn)并評估殘留風(fēng)險(xiǎn)定期評估風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)消減風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估與管理定量與定性風(fēng)險(xiǎn)評估方法定性風(fēng)險(xiǎn)分析優(yōu)點(diǎn)計(jì)算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價(jià)值和威脅頻率不必精確計(jì)算推薦的安全措施的成本流程和報(bào)告形式比較有彈性缺點(diǎn)本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗(yàn)和能力，很難客觀地跟蹤風(fēng)險(xiǎn)管理的效果對關(guān)鍵資產(chǎn)財(cái)務(wù)價(jià)值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險(xiǎn)分析優(yōu)點(diǎn)評估結(jié)果是建立在獨(dú)立客觀地程序或量化指標(biāo)之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價(jià)值和預(yù)期損失易理解可利用自動(dòng)化工具幫助分析缺點(diǎn)信息量大，計(jì)算量大，方法復(fù)雜沒有一種標(biāo)準(zhǔn)化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商投入大，費(fèi)時(shí)費(fèi)力定量風(fēng)險(xiǎn)評估：試圖從數(shù)字上對安全風(fēng)險(xiǎn)進(jìn)行分析評估的一種方法。定性風(fēng)險(xiǎn)評估：憑借分析者的經(jīng)驗(yàn)和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或高低程度定性分級。風(fēng)險(xiǎn)評估與管理識別并評估信息資產(chǎn)

數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等

書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果

軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序

實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所

人員：承擔(dān)特定職能和責(zé)任的人員

服務(wù)：計(jì)算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、UPS等

組織形象與聲譽(yù)：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn)信息資產(chǎn)價(jià)值評估標(biāo)準(zhǔn)高（3）：非常重要，缺了這個(gè)資產(chǎn)（CIA的喪失），業(yè)務(wù)活動(dòng)將中斷并且遭受不可挽回的損失中（2）：比較重要，缺了這個(gè)資產(chǎn)（CIA的喪失或受損），業(yè)務(wù)活動(dòng)將被迫延緩，造成明顯損失低（1）：不太重要，缺了這個(gè)資產(chǎn)，業(yè)務(wù)活動(dòng)基本上不受影響風(fēng)險(xiǎn)評估與管理識別并評估威脅人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等

自然威脅：洪水、地震、臺(tái)風(fēng)、雷電等威脅可能性評估標(biāo)準(zhǔn)高（3）：非常可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，時(shí)刻都有可能出現(xiàn)中（2）：比較可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，有可能多次出現(xiàn)低（1）：不太可能，在業(yè)務(wù)活動(dòng)持續(xù)期間，不大可能出現(xiàn)風(fēng)險(xiǎn)評估與管理識別并評估弱點(diǎn)技術(shù)性弱點(diǎn)：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。

操作性弱點(diǎn)：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份中的漏洞。

管理性弱點(diǎn)：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點(diǎn)嚴(yán)重性評估標(biāo)準(zhǔn)高（3）：很容易被利用中（2）：可被利用，但不是太容易低（1）：基本上不可能被利用風(fēng)險(xiǎn)評估與管理人最常犯的一些錯(cuò)誤將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，泄漏敏感信息隨便在服務(wù)器上接Modem，或者隨意將服務(wù)器連入網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報(bào)告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動(dòng)遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題風(fēng)險(xiǎn)評估與管理風(fēng)險(xiǎn)場景：一個(gè)個(gè)人經(jīng)濟(jì)上存在問題的公司職員（公司并不了解這一點(diǎn)）有權(quán)獨(dú)立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。確定風(fēng)險(xiǎn)因子：后果為2，弱點(diǎn)值為3，威脅值為3

評估風(fēng)險(xiǎn)：套用風(fēng)險(xiǎn)分析矩陣，該風(fēng)險(xiǎn)被定為高風(fēng)險(xiǎn)（18）應(yīng)對風(fēng)險(xiǎn)：根據(jù)公司風(fēng)險(xiǎn)評估計(jì)劃中確定的風(fēng)險(xiǎn)接受水平，應(yīng)該對該風(fēng)險(xiǎn)采取措施予以消減。風(fēng)險(xiǎn)評價(jià)示例

風(fēng)險(xiǎn)可能性威脅值123弱點(diǎn)值123123123風(fēng)險(xiǎn)影響/資產(chǎn)價(jià)值1123246369224648126121833696121891827風(fēng)險(xiǎn)評估與管理第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認(rèn)證之道第二部分風(fēng)險(xiǎn)評估與管理過程及方法Part1－信息安全管理實(shí)施細(xì)則Part2－信息安全管理體系規(guī)范總結(jié)和展望提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及11個(gè)方面，包括39個(gè)控制目標(biāo)和133項(xiàng)控制措施,可作為參考文件使用，但并不是認(rèn)證評審的依據(jù)。ISO17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性ISO17799:2005信息安全管理實(shí)施細(xì)則11個(gè)方面39個(gè)目標(biāo)133個(gè)控制措施10個(gè)方面36個(gè)目標(biāo)127個(gè)控制措施對比ISO17799:2000老版……ISO17799:2005信息安全管理實(shí)施細(xì)則“Notallofthecontrolsdescribedinthisdocumentwillberelevanttoeverysituation.Itcannottakeaccountoflocalsystem,environmentalortechnologicalconstraints.Itmaynotbeinaformthatsuitseverypotentialuserinanorganization.Consequentlythedocumentmayneedtobesupplementedbyfurtherguidance.Itcanbeusedasabasisfromwhich,forexample,acorporatepolicyoraninter-companytradingagreementcanbedeveloped.”并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。因此，還需要通過進(jìn)一步的指導(dǎo)方針來補(bǔ)充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。ISO17799:2005信息安全管理實(shí)施細(xì)則法律要求和最佳實(shí)踐控制措施

與法律相關(guān)的控制措施：

知識產(chǎn)權(quán)（IntellectualPropertyRights）：遵守知識產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律（15.1.2）

保護(hù)組織的記錄：保護(hù)重要的記錄不丟失、破壞和偽造（15.1.3）

數(shù)據(jù)保護(hù)和個(gè)人信息隱私：遵守所在國的數(shù)據(jù)保護(hù)法律（15.1.4）

與最佳實(shí)踐相關(guān)的控制措施：

信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知（5.1.1）

信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任（6.1.3）

信息安全意識、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)（8.2.2）

正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯(cuò)、損壞或被非授權(quán)篡改及誤用（12.2）

漏洞管理：防止利用已發(fā)布的漏洞信息來實(shí)施破壞（12.6）

管理信息安全事件和改進(jìn)：確保采取一致和有效的方法來管理信息安全事件（13.2）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事件或?yàn)?zāi)難影響（14）盡管選擇以上控制是信息安全很好的起點(diǎn)，但還是不能代替基于風(fēng)險(xiǎn)評估選擇合適的安全控制。

ISO17799:2005信息安全管理實(shí)施細(xì)則5安全策略5.1信息安全策略5.1.1信息安全策略文件5.1.2信息安全策略復(fù)查目標(biāo)：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。ISO17799:2005信息安全管理實(shí)施細(xì)則信息安全策略的定義信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實(shí)施過程。策略方針的目的和意義為組織提供了關(guān)注的焦點(diǎn)，指明了方向，確定了目標(biāo)確保信息安全管理體系被充分理解和貫徹實(shí)施統(tǒng)領(lǐng)整個(gè)信息安全管理體系方針文件的內(nèi)容信息安全的定義、整體目標(biāo)和范圍；對管理層支持信息安全目標(biāo)和原則的意圖的聲明和承諾；建立控制目標(biāo)和控制的框架，包括風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的框架；對安全策略、原則、標(biāo)準(zhǔn)以及符合性需求的簡單說明；信息安全管理責(zé)任，包括報(bào)告安全事件；對策略支持文檔的引用參考；

由管理者批準(zhǔn)，正式發(fā)布，并得到全員貫徹。安全策略的復(fù)查策略應(yīng)有一個(gè)屬主，負(fù)責(zé)按復(fù)查程序維護(hù)和復(fù)查該策略。如果發(fā)生任何影響最初風(fēng)險(xiǎn)評估基礎(chǔ)的變化，都應(yīng)復(fù)查策略。也應(yīng)定期復(fù)查安全策略。

策略復(fù)審應(yīng)該考慮到管理評審的結(jié)果ISO17799:2005信息安全管理實(shí)施細(xì)則要點(diǎn)提示用最簡單、明確的語言直擊主題保持與具體規(guī)范、指南、記錄等文件的區(qū)別信息安全策略應(yīng)該人手一份，并保證充分理解要定期評審和修訂ISO17799:2005信息安全管理實(shí)施細(xì)則信息安全策略體系的層次性方針Policy程序Procedure標(biāo)準(zhǔn)Standard強(qiáng)制性指南Guideline建議性基線Baseline最低標(biāo)準(zhǔn)目標(biāo)要求具體步驟實(shí)現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次戰(zhàn)役層次ISO17799:2005信息安全管理實(shí)施細(xì)則最高方針示例6組織信息安全6.1內(nèi)部組織6.1.1管理層對信息安全的責(zé)任6.1.2信息安全協(xié)調(diào)機(jī)制6.1.3分派信息安全責(zé)任6.1.4信息處理設(shè)施的批準(zhǔn)程序6.1.5保密協(xié)議6.1.6保持和權(quán)威機(jī)構(gòu)的聯(lián)系6.1.7保持和專業(yè)團(tuán)隊(duì)聯(lián)系6.1.8對信息安全做獨(dú)立評審目標(biāo)：在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。6.2外部伙伴6.2.1識別與外部伙伴相關(guān)的風(fēng)險(xiǎn)6.2.2和客戶交往時(shí)注意安全6.2.3在第三方協(xié)議中注明安全目標(biāo)：維護(hù)被外部伙伴訪問、處理和管理的組織的信息處理設(shè)施和信息資產(chǎn)的安全。ISO17799:2005信息安全管理實(shí)施細(xì)則組織應(yīng)該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內(nèi)部信息安全的實(shí)施。信息安全管理委員會(huì)外部安全專家信息安全獨(dú)立評審信息安全管理框架權(quán)威機(jī)構(gòu)ISO17799:2005信息安全管理實(shí)施細(xì)則識別與外部伙伴相關(guān)的風(fēng)險(xiǎn)

外部伙伴可能包括：服務(wù)提供商（例如ISP、網(wǎng)絡(luò)和通信服務(wù)、維護(hù)和支持服務(wù)提供商等），管理安全服務(wù)（MSS）客戶外包服務(wù)（IT系統(tǒng)設(shè)施和運(yùn)維、數(shù)據(jù)采集、呼叫中心）管理和業(yè)務(wù)咨詢顧問、審計(jì)師軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和供應(yīng)商保潔快餐等外部服務(wù)臨時(shí)工、短期兼職人員等如果需要讓外部伙伴訪問組織的信息處理設(shè)施或信息，有必要先做一次風(fēng)險(xiǎn)評估，找到特別的安全控制需求。應(yīng)該考慮到是物理訪問，還是邏輯訪問，是現(xiàn)場訪問還是非現(xiàn)場訪問。還應(yīng)考慮需要訪問哪些設(shè)施和信息？信息的價(jià)值，必要的控制，授權(quán)以及監(jiān)督方式，出錯(cuò)可能造成的影響，對安全事件的響應(yīng)，法律法規(guī)等。在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責(zé)任和必須遵守的規(guī)定。ISO17799:2005信息安全管理實(shí)施細(xì)則在第三方協(xié)議中體現(xiàn)安全

信息安全方針用來保護(hù)資產(chǎn)的各種控制措施描述將被提供的產(chǎn)品和服務(wù)確保用戶意識到信息安全責(zé)任對人員調(diào)換做出規(guī)定硬件和軟件安裝及維護(hù)的責(zé)任清晰的Report結(jié)構(gòu)和格式變更管理流程任何必要的物理保護(hù)措施和機(jī)制訪問控制策略：允許的訪問方法，授權(quán)流程，禁止聲明

信息安全事件及問題處理機(jī)制期望的SLA及監(jiān)督報(bào)告機(jī)制監(jiān)督、撤銷等權(quán)利，審計(jì)責(zé)任約定法律責(zé)任知識產(chǎn)權(quán)保護(hù)中止或重新協(xié)商協(xié)議的條件ISO17799:2005信息安全管理實(shí)施細(xì)則7資產(chǎn)管理7.1資產(chǎn)責(zé)任7.1.1資產(chǎn)清單7.1.2資產(chǎn)屬主7.1.3對資產(chǎn)的可接受使用目標(biāo)：保持對組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)。所有資產(chǎn)都應(yīng)該責(zé)任到人。7.2信息分類7.2.1分類指南7.2.2信息標(biāo)注及處理目標(biāo)：確保信息資產(chǎn)得到適當(dāng)級別的保護(hù)。組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別信息資產(chǎn)。按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級和保護(hù)程度。根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序。TopSecretSecretConfidentialRestrictedISO17799:2005信息安全管理實(shí)施細(xì)則信息資產(chǎn)的類型信息：數(shù)據(jù)庫和數(shù)據(jù)文件，合同和協(xié)議，系統(tǒng)文件，用戶手冊，培訓(xùn)資料等軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序?qū)嵨镔Y產(chǎn)：計(jì)算機(jī)和通信設(shè)備，移動(dòng)介質(zhì)，電源空調(diào)等技術(shù)性設(shè)備人員：承擔(dān)特定職能和責(zé)任的人員，資質(zhì)、技能和經(jīng)驗(yàn)服務(wù)：計(jì)算和通信服務(wù)，環(huán)境支持服務(wù)等組織形象與聲譽(yù)：無形資產(chǎn)ISO17799:2005信息安全管理實(shí)施細(xì)則識別資產(chǎn)時(shí)的注意事項(xiàng)

所有主要信息資產(chǎn)都應(yīng)清點(diǎn)并指定專人負(fù)責(zé)這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的

BS7799標(biāo)準(zhǔn)認(rèn)為,“資產(chǎn)”沒必要包括通?？紤]的組織內(nèi)所有有價(jià)值的東西組織必須確定哪些資產(chǎn)在損失后對組織的產(chǎn)品及服務(wù)會(huì)產(chǎn)生實(shí)質(zhì)上的影響ISO17799:2005信息安全管理實(shí)施細(xì)則資產(chǎn)清單示例ISO17799:2005信息安全管理實(shí)施細(xì)則信息資產(chǎn)的屬主、保管者和用戶屬主（Owner）：信息屬主可能是組織的某個(gè)決策者或者管理者，或者部門負(fù)責(zé)人，或者是信息的創(chuàng)建者，對必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“duecare”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。信息屬主的責(zé)任在于：基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護(hù)任務(wù)的責(zé)任保管者（Custodian）：受信息屬主委托而負(fù)責(zé)保護(hù)信息，通常由IT系統(tǒng)人員來承擔(dān)，其職責(zé)包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時(shí)對數(shù)據(jù)進(jìn)行恢復(fù)；根據(jù)既定的信息分類策略，維護(hù)保留下來的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費(fèi)者，應(yīng)該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護(hù)信息安全的責(zé)任；用戶必須只將公司的計(jì)算資源用作公司目的，不能做個(gè)人使用ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險(xiǎn)。8人力資源安全8.1聘用前的控制8.1.1角色和責(zé)任8.1.2人員篩選（Screening）8.1.3聘用條件和條款8.2聘用期間8.2.1管理層職責(zé)8.2.2信息安全意識、教育和培訓(xùn)8.2.3懲罰機(jī)制目標(biāo)：確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關(guān)系、責(zé)任和義務(wù)，并在其正常工作當(dāng)中支持組織的安全策略，減少人為錯(cuò)誤導(dǎo)致的風(fēng)險(xiǎn)。8.3解聘或變更8.3.1解聘責(zé)任8.3.2返還資產(chǎn)8.3.3去除訪問權(quán)限目標(biāo)：確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。ISO17799:2005信息安全管理實(shí)施細(xì)則人員安全重要提示

人員和組織安全是信息安全管理的難點(diǎn)，因?yàn)椋喝吮旧砭褪且粋€(gè)最復(fù)雜的因素信息安全的“潛在性”使得安全組織和人才培養(yǎng)不容易獲得認(rèn)可信息安全人才的培養(yǎng)是一個(gè)高難的過程信息安全組織需要和企業(yè)文化進(jìn)行磨合避免信息安全組織和業(yè)務(wù)組織對立ISO17799:2005信息安全管理實(shí)施細(xì)則人員篩選時(shí)做背景檢查背景檢查是工作申請過程的一個(gè)部分，組織至少會(huì)審查申請人簡歷中的基本信息。對于敏感職位，可能還會(huì)考慮進(jìn)一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進(jìn)行調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因?yàn)槿藛T解雇而導(dǎo)致法律訴訟因?yàn)楣陀檬韬龆鴮?dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當(dāng)對其進(jìn)行檢查，對于處在有相當(dāng)權(quán)力位置的人員，這種檢查應(yīng)定期進(jìn)行。ISO17799:2005信息安全管理實(shí)施細(xì)則增強(qiáng)全員的安全意識安全意識（Securityawareness），泛指組織員工對安全和安全控制重要性的一般性的、集體的意識。促進(jìn)安全意識，可以減少人員的非授權(quán)活動(dòng)，可以增強(qiáng)保護(hù)控制的效率，有助于避免欺詐和對計(jì)算資源的浪費(fèi)員工具有安全意識的標(biāo)志：認(rèn)知可能存在的安全問題及其危害，理解安全所需明白自身的安全職責(zé)，恪守正確的行為方式促進(jìn)安全意識的方法和途徑多種多樣：交互性的、實(shí)時(shí)的介紹，課程，視頻出版發(fā)布物品，新聞傳單，張貼物，簡報(bào)，布告欄，Intranet

獎(jiǎng)金和贊譽(yù)等激勵(lì)機(jī)制提醒物，比如登錄banner，筆、便簽、鼠標(biāo)墊等隨身物品安全意識材料應(yīng)該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化ISO17799:2005信息安全管理實(shí)施細(xì)則安全培訓(xùn)和教育培訓(xùn)（Training）不同于意識，其目的是傳授安全相關(guān)的工作技能，主要對象為信息系統(tǒng)管理和維護(hù)人員，通常利用一對一的課堂形式，包括：為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn)為與敏感安全位置相關(guān)的具體的部門或人員提供的技能培訓(xùn)為IT支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn)為安全實(shí)踐者和信息系統(tǒng)審計(jì)師提供的高級信息安全培訓(xùn)為高級管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn)教育（Education）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要ISO17799:2005信息安全管理實(shí)施細(xì)則加強(qiáng)人員離職控制人員離職往往存在安全風(fēng)險(xiǎn)，特別是雇員主動(dòng)辭職時(shí)解雇通知應(yīng)選擇恰當(dāng)?shù)臅r(shí)機(jī)，例如重要項(xiàng)目結(jié)束，或新項(xiàng)目啟動(dòng)前使用標(biāo)準(zhǔn)的檢查列表（Checklist）來實(shí)施離職訪談離職者需在陪同下清理個(gè)人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時(shí)，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán)解除電話，注銷電子郵箱，鎖定Internet賬號通知公司其他人員、外部伙伴或客戶，聲明此人已離職ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項(xiàng)活動(dòng)被打斷。9物理和環(huán)境安全9.1安全區(qū)域9.1.1物理安全邊界9.1.2物理入口控制9.1.3保護(hù)辦公場所、房間和設(shè)施9.1.4防止外部和環(huán)境威脅9.1.5在安全區(qū)內(nèi)工作9.1.6公共訪問和交接區(qū)域目標(biāo)：防止非授權(quán)物理訪問、破壞和干擾組織的安全區(qū)邊界。9.2設(shè)備安全9.2.1設(shè)備的安置與保護(hù)9.2.2供電9.2.3電纜安全9.2.4設(shè)備維護(hù)9.2.5場外設(shè)備的安全9.2.6設(shè)備報(bào)廢或重用時(shí)的安全9.2.7財(cái)物遷移I.D.ISO17799:2005信息安全管理實(shí)施細(xì)則物理安全要點(diǎn)提示

清晰劃定安全區(qū)域邊界圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng)專門設(shè)立接待區(qū)，限制物理訪問外來人員登記及陪同定期檢查訪問記錄關(guān)鍵設(shè)施不要放置在公共區(qū)域關(guān)鍵區(qū)域不做顯眼標(biāo)記防止火災(zāi)、水災(zāi)、地震、爆炸等自然或人為災(zāi)難安全區(qū)域內(nèi)工作，禁止攝影攝像，加強(qiáng)監(jiān)督一定要注意那些不在視野范圍內(nèi)的東西ISO17799:2005信息安全管理實(shí)施細(xì)則注意你的身邊！注意最細(xì)微的地方！ISO17799:2005信息安全管理實(shí)施細(xì)則我們來看一個(gè)可怕的案例您肯定用過銀行的ATM機(jī)，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？……ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則ISO17799:2005信息安全管理實(shí)施細(xì)則關(guān)于場外設(shè)備使用的提示

無論是誰，信息處理設(shè)施要帶到組織邊界外使用，必須得到相關(guān)授權(quán)場外設(shè)備或介質(zhì)不應(yīng)該單獨(dú)置于公共區(qū)域，筆記本電腦應(yīng)該放在不顯眼的包里注意設(shè)備防暴、防磁、防熱、防水、防震家庭辦公時(shí)，遵守設(shè)備加鎖保存、桌面凈空、計(jì)算機(jī)訪問控制及安全通信策略可以考慮購買適當(dāng)?shù)谋ｋU(xiǎn)ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：確保正確并安全地操作信息處理設(shè)施。10通信和操作管理10.1操作程序和責(zé)任10.1.1操作程序的文檔化10.1.2變更管理10.1.3職責(zé)分離10.1.5開發(fā)、測試和運(yùn)營設(shè)施的分離10.3系統(tǒng)規(guī)劃及驗(yàn)收10.3.1容量管理10.3.2系統(tǒng)驗(yàn)收目標(biāo)：減少系統(tǒng)故障帶來的風(fēng)險(xiǎn)。10.4抵御惡意和移動(dòng)代碼10.4.1惡意代碼控制10.4.2移動(dòng)代碼控制目標(biāo)：保護(hù)軟件和信息的完整性。10.2第三方服務(wù)交付管理10.2.1服務(wù)交付10.2.2監(jiān)督和復(fù)查第三方服務(wù)10.2.3第三方服務(wù)變更管理目標(biāo)：根據(jù)第三方服務(wù)交付協(xié)議，實(shí)施并保持恰當(dāng)?shù)男畔踩头?wù)交付水平。ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：維護(hù)信息和信息處理設(shè)施的完整性及可用性。10.5備份10.5.1信息備份10.7介質(zhì)處理10.7.1移動(dòng)計(jì)算機(jī)介質(zhì)的管理10.7.2介質(zhì)的處置10.7.3信息處理程序10.7.4系統(tǒng)文件的安全目標(biāo)：防止非授權(quán)泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務(wù)活動(dòng)中斷。10.8信息的交換10.8.1信息交換策略和程序10.8.2交換協(xié)議10.8.3傳輸中的物理介質(zhì)10.8.4電子信息交換10.8.5業(yè)務(wù)信息系統(tǒng)目標(biāo)：保持組織內(nèi)部和與外部實(shí)體間進(jìn)行信息交換的安全性。10.6網(wǎng)絡(luò)安全管理10.6.1網(wǎng)絡(luò)控制10.6.2網(wǎng)絡(luò)服務(wù)的安全目標(biāo)：確保網(wǎng)絡(luò)中的信息以及支持技術(shù)設(shè)施得到保護(hù)。ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：確保電子商務(wù)服務(wù)的安全性，保證安全使用電子商務(wù)服務(wù)。10.9電子商務(wù)服務(wù)10.9.1電子商務(wù)10.9.2在線交易10.9.3公共可用信息10.10監(jiān)視10.10.1審計(jì)日志10.10.2監(jiān)視系統(tǒng)使用10.10.3保護(hù)日志信息10.10.4管理員和操作日志10.10.5故障日志10.10.6時(shí)鐘同步目標(biāo)：發(fā)現(xiàn)非授權(quán)活動(dòng)。ISO17799:2005信息安全管理實(shí)施細(xì)則通信和操作管理提示

明確操作管理理程序和責(zé)任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復(fù)、日志審計(jì)等事務(wù)定義變更管理責(zé)任和流程，做好信息處理設(shè)施的變更控制對第三方服務(wù)實(shí)施有效監(jiān)督，確保其符合既定協(xié)議的要求。應(yīng)該定期檢查服務(wù)報(bào)告，分析安全事件相關(guān)信息，復(fù)查第三方審計(jì)記錄制定專門的策略，禁止使用非授權(quán)軟件，防止惡意代碼做好系統(tǒng)的備份容災(zāi)規(guī)劃移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏ISO17799:2005信息安全管理實(shí)施細(xì)則變更管理一般流程ISO17799:2005信息安全管理實(shí)施細(xì)則關(guān)于職責(zé)分離不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)，例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易應(yīng)該分離：開發(fā)/生產(chǎn)；安全管理/審計(jì)；加密密鑰管理/密鑰更改小型組織實(shí)施職責(zé)分離比較困難，可以采取其他一些控制措施，如活動(dòng)監(jiān)控、跟蹤檢查和監(jiān)督管理等但安全審計(jì)務(wù)必要有獨(dú)立性ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：控制對信息的訪問。應(yīng)該根據(jù)業(yè)務(wù)和安全需求對信息、系統(tǒng)和業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略。11訪問控制11.1訪問控制的業(yè)務(wù)需求11.1.1訪問控制策略11.2用戶訪問的管理11.2.1用戶注冊11.2.2特權(quán)管理11.2.3用戶口令管理11.2.4用戶訪問權(quán)限的復(fù)審目標(biāo)：確保授權(quán)用戶的訪問，防止非授權(quán)訪問信息系統(tǒng)。11.3用戶責(zé)任11.3.1口令使用11.3.2無人值守的用戶設(shè)備11.3.3桌面清理和清屏策略目標(biāo)：防止非授權(quán)用戶訪問、破壞、竊取信息及信息處理設(shè)施。ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：保護(hù)網(wǎng)絡(luò)服務(wù)，防止非授權(quán)訪問，對內(nèi)部和外部的網(wǎng)絡(luò)訪問都應(yīng)該得到控制。11.4網(wǎng)絡(luò)訪問控制11.4.1網(wǎng)絡(luò)服務(wù)使用策略11.4.2對外部連接用戶進(jìn)行身份認(rèn)證11.4.3識別網(wǎng)絡(luò)中的設(shè)備11.4.4遠(yuǎn)程診斷和配置端口的保護(hù)11.4.5網(wǎng)絡(luò)隔離11.4.6網(wǎng)絡(luò)連接控制11.4.7網(wǎng)絡(luò)路由控制11.5操作系統(tǒng)訪問控制11.5.1安全的登錄程序11.5.2用戶身份識別與認(rèn)證11.5.3口令管理系統(tǒng)11.5.4系統(tǒng)工具的使用11.5.5會(huì)話超時(shí)11.5.6限制連接時(shí)間目標(biāo)：防止對信息系統(tǒng)的非授權(quán)訪問。ISO17799:2005信息安全管理實(shí)施細(xì)則11.6應(yīng)用和信息訪問控制11.6.1信息訪問限制11.6.2敏感系統(tǒng)的隔離目標(biāo)：防止非授權(quán)訪問信息系統(tǒng)中的信息。11.7移動(dòng)計(jì)算和通訊11.7.1移動(dòng)計(jì)算和通信11.7.2遠(yuǎn)程工作（Teleworking）目標(biāo)：確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全。ISO17799:2005信息安全管理實(shí)施細(xì)則訪問控制重要提示

關(guān)于訪問控制策略：

根據(jù)業(yè)務(wù)制訂的策略才能實(shí)施策略內(nèi)容：所需訪問的信息，訪問控制規(guī)則，用戶訪問權(quán)限，其他訪問控制要求沒有明確允許就是缺省禁止，最小權(quán)限原則等口令是常見的訪問控制措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理關(guān)于網(wǎng)絡(luò)訪問控制：組織網(wǎng)絡(luò)與其他組織網(wǎng)絡(luò)或者公共網(wǎng)之間進(jìn)行正確的連接用戶和設(shè)備都具有適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制在用戶訪問信息服務(wù)時(shí)進(jìn)行控制關(guān)于操作系統(tǒng)訪問控制：識別和驗(yàn)證來訪者身份。如果需要，還要驗(yàn)證每個(gè)合法用戶的終端節(jié)點(diǎn)或位置記錄成功和失敗的系統(tǒng)訪問提供適當(dāng)?shù)纳矸蒡?yàn)證方法。如果使用了口令管理系統(tǒng)，則應(yīng)該確保使用高質(zhì)量的口令根據(jù)情況限制用戶連接時(shí)間ISO17799:2005信息安全管理實(shí)施細(xì)則訪問控制重要提示（續(xù)）

關(guān)于應(yīng)用訪問控制：考慮應(yīng)用系統(tǒng)的安全，不得不考慮業(yè)務(wù)流程如果業(yè)務(wù)流程有安全隱患，應(yīng)用系統(tǒng)是無法避免這些危險(xiǎn)的。底層系統(tǒng)和網(wǎng)絡(luò)更是無能為力關(guān)于系統(tǒng)監(jiān)控：日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計(jì)措施的話，都無法發(fā)揮大作用關(guān)于移動(dòng)計(jì)算的訪問控制：可變性太大有時(shí)會(huì)涉及“人格”問題、“工作熱情”問題執(zhí)行控制需要堅(jiān)決的政策和有力的執(zhí)行要關(guān)注新技術(shù)的沖擊ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中。12信息系統(tǒng)獲取、開發(fā)和維護(hù)12.1信息系統(tǒng)的安全需求12.1.1安全需求分析和規(guī)范12.2應(yīng)用程序中正確的處理12.2.1輸入數(shù)據(jù)的驗(yàn)證12.2.2內(nèi)部處理控制12.2.3消息完整性12.2.4輸出數(shù)據(jù)的驗(yàn)證目標(biāo)：防止應(yīng)用程序中的信息出錯(cuò)、丟失、被非授權(quán)篡改或誤用。12.3密碼控制12.3.1密碼控制使用策略12.3.2密鑰管理目標(biāo)：通過加密手段，保護(hù)信息的保密性、真實(shí)性或完整性。12.4系統(tǒng)文件安全12.4.1控制運(yùn)營系統(tǒng)上的軟件12.4.2保護(hù)系統(tǒng)測試數(shù)據(jù)12.4.3對源代碼的訪問控制目標(biāo)：控制對系統(tǒng)文件和程序源代碼的訪問，使IT項(xiàng)目及其支持活動(dòng)安全進(jìn)行，確保系統(tǒng)文件的安全性。ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。應(yīng)該嚴(yán)格控制項(xiàng)目和支持環(huán)境。12.5開發(fā)和支持過程的安全12.5.1變更控制程序12.5.2運(yùn)營系統(tǒng)變更后對應(yīng)用做技術(shù)評審12.5.3限制對軟件包的變更12.5.4信息泄漏12.5.5外包的軟件開發(fā)12.6技術(shù)漏洞管理12.6.1控制技術(shù)漏洞目標(biāo)：防止因?yàn)槔靡寻l(fā)布漏洞而實(shí)施的破壞。ISO17799:2005信息安全管理實(shí)施細(xì)則系統(tǒng)開發(fā)安全性的重要提示

建立安全的軟件開發(fā)過程和編碼規(guī)范開發(fā)一個(gè)有關(guān)如何利用加密控制對信息進(jìn)行保護(hù)的策略（哪些信息要加密，加密的強(qiáng)度如何，移動(dòng)介質(zhì)或傳輸中的加密，密鑰管理，角色和責(zé)任，法律法規(guī)限制等）對密碼技術(shù)的應(yīng)用，其關(guān)鍵在于密鑰管理：生成，分發(fā)和傳輸使用和驗(yàn)證保存，消除和恢復(fù)對正式上線的運(yùn)營系統(tǒng)應(yīng)嚴(yán)加控制，做好軟件開發(fā)的變更控制和管理不將運(yùn)營系統(tǒng)上的敏感信息直接用作測試系統(tǒng)需要對外包開發(fā)提高警惕（代碼所屬權(quán)，知識產(chǎn)權(quán)，資格認(rèn)定，第三方保證，合同中對質(zhì)量和安全功能的要求，中間審計(jì)，安裝前測試）ISO17799:2005信息安全管理實(shí)施細(xì)則關(guān)于漏洞管理

為了實(shí)施有效的漏洞管理，必須先有一個(gè)完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當(dāng)前部署狀況、軟件的責(zé)任人等信息應(yīng)該建立漏洞管理相關(guān)角色和責(zé)任：漏洞監(jiān)視，漏洞評估，補(bǔ)丁跟蹤定義新漏洞發(fā)現(xiàn)時(shí)的通知時(shí)限對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個(gè)子集補(bǔ)丁安裝前必須做相關(guān)風(fēng)險(xiǎn)評估和測試必須采取相應(yīng)的審計(jì)機(jī)制ISO17799:2005信息安全管理實(shí)施細(xì)則目標(biāo)：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時(shí)發(fā)現(xiàn)，以便采取糾正措施。13信息安全事件管理13.1報(bào)告信息安全事件和缺陷13.1.1報(bào)告信息安全事件13.1.2報(bào)告安全缺陷13.2管理信息安全事件和改進(jìn)13.2.1責(zé)任和程序13.2.2從信息安全事件中吸取教訓(xùn)13.2.3證據(jù)搜集目標(biāo)：確保采取一致和有效的方法來管理信息安全事件。ISO17799:2005信息安全管理實(shí)施細(xì)則信息安全事件管理一般流程ISO17799:2005信息安全管理實(shí)施細(xì)則14業(yè)務(wù)連續(xù)性管理14.1業(yè)務(wù)連續(xù)性管理的信息安全方