信息安全管理_第1頁
信息安全管理_第2頁
信息安全管理_第3頁
信息安全管理_第4頁
信息安全管理_第5頁
已閱讀5頁,還剩90頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

信息安全管理信息安全現(xiàn)狀黑客攻擊猖獗網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機(jī)病毒后門、隱蔽通道蠕蟲安全威脅日益嚴(yán)重復(fù)合威脅:蠕蟲、病毒、特洛伊木馬黑客攻擊基礎(chǔ)設(shè)施Flash威脅大規(guī)模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲(如腳本病毒….)4BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放(一)全國最大的網(wǎng)上盜竊通訊資費案某合作方工程師,負(fù)責(zé)某電信運營商的設(shè)備安裝,獲得充值中心數(shù)據(jù)庫最高系統(tǒng)權(quán)限。從2005年2月開始,復(fù)制出了14000個充值密碼。獲利380萬。2005年7月16日才接到用戶投訴說購買的充值卡無法充值,這才發(fā)現(xiàn)密碼被人盜竊并報警。無法充值的原因是他最后盜取的那批密碼忘了修改有效日期反映的問題:系統(tǒng)監(jiān)控不到位,未能探查出“后門”5BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放(二)北京ADSL斷網(wǎng)事件2006年7月12日14:35左右,北京地區(qū)互聯(lián)網(wǎng)大面積斷網(wǎng)。事故原因:路由器軟件設(shè)置發(fā)生故障,直接導(dǎo)致了這次大面積斷網(wǎng)現(xiàn)象。事故分析:操作設(shè)備的過程中操作失誤或軟件不完善屬于“天災(zāi)-難以避免”,但問題是事故出現(xiàn)后不能及時恢復(fù),沒有應(yīng)急響應(yīng)機(jī)制或事件處理流程,實際反映的是管理缺失。6BCC-北京新世紀(jì)認(rèn)證有限公司信息安全事件回放(三)百度被黑2010年1月12日上午8時許,國內(nèi)著名搜索引擎百度遭遇DNS劫持攻擊,百度首頁被重定向至一署名為“伊朗網(wǎng)軍”的網(wǎng)頁。國內(nèi)大型網(wǎng)站被攻擊早有先例2000年8月31日

新浪網(wǎng)被黑;2006年9月12日

百度網(wǎng)站服務(wù)器被黑,導(dǎo)致無法訪問2007年11月26日

新浪網(wǎng)站出現(xiàn)訪問故障,導(dǎo)致無法訪問2008年12月2日

CCTV官網(wǎng)頻道被黑7BCC-北京新世紀(jì)認(rèn)證有限公司保障信息安全的途徑?IT治理安全風(fēng)險測評

信息安全管理體系強(qiáng)化安全技術(shù)信息系統(tǒng)安全等級保護(hù)亡羊補(bǔ)牢?還是打打補(bǔ)丁?系統(tǒng)地全面整改?8BCC-北京新世紀(jì)認(rèn)證有限公司第一節(jié)概述一、信息安全管理1、信息安全:涵蓋了以下方面機(jī)密性完整性可用性不可抵賴性可靠性可控性真實性一、信息安全管理1、信息安全管理特點:是一個系統(tǒng)工程:信息的生命周期:產(chǎn)生、收集、加工、交換、存儲、檢索、銷毀(例:gps數(shù)據(jù)、超市商品價格及進(jìn)貨價格)多層面、綜合的、動態(tài)的過程:木通理論(例:碟中諜)一、信息安全管理1、信息安全信息安全的概念:二、信息安全管理模型信息安全需求信息安全管理范圍信息安全技術(shù)體系信息安全控制措施信息安全管理方法信息安全保障體系三、信息安全管理體系保障信息安全的途徑之一:信息安全管理體系(ISMS)基于業(yè)務(wù)風(fēng)險方法,建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全的體系,是一個組織整個管理體系的一部分。注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實踐、規(guī)程、過程和資源。[ISO/IEC27001:2005]為保護(hù)本組織的信息和信息系統(tǒng)的安全而建立、運行和不斷改進(jìn)的管理架構(gòu)。結(jié)合信息安全管理標(biāo)準(zhǔn)匯集的最佳實踐和控制措施,形成安全管理的相關(guān)制度、過程、操作規(guī)程和日?;顒拥?。14信息安全管理體系標(biāo)準(zhǔn)信息安全管理體系要求為建立、實施、運行、保持和改進(jìn)信息安全管理體系提供模型規(guī)范了一種基于風(fēng)險的管理體系,確保組織選擇并運行充分且適當(dāng)?shù)陌踩刂拼胧┮员Wo(hù)信息資產(chǎn)由信息安全領(lǐng)域最佳實踐所構(gòu)成的一整套綜合性控制措施適用于各種類型和規(guī)模的組織強(qiáng)調(diào)預(yù)防為主注:

ISO/IEC

27001:2005

idt

GB/T

22080-200815信息安全管理體系的架構(gòu)三級文件二級文件一級文件信息安全手冊安全方針策略文件過程/規(guī)程/制度文件

作業(yè)指導(dǎo)書、檢查單、表格方針目標(biāo)機(jī)構(gòu)職責(zé)風(fēng)險評估描述工作流程Who,What,When,Where描述任務(wù)、活動是如何完成的16信息安全管理體系的目的和特點目標(biāo):提升信息安全管理能力,實現(xiàn)滿足安全要求和期望的結(jié)果—受控的信息安全特點:重點關(guān)注,全面布防基于對關(guān)鍵資產(chǎn)的風(fēng)險評估,確定保護(hù)重點;通過對133項控制措施的選擇和落實,實現(xiàn)對信息安全的全面保障通過PDCA的持續(xù)循環(huán),確保管理體系適應(yīng)安全環(huán)境和形勢的變化17信息安全管理的PDCA模型D實施C檢查P規(guī)劃A處置ISO/IEC27001安全目標(biāo)時間ISMS的PDCA周期循環(huán)安全管理能力18A5安全方針A7資產(chǎn)管理A11訪問控制A14業(yè)務(wù)連續(xù)性管理15符合性A13信息安全事件管理A6信息安全組織A8人力資源安全A9物理和環(huán)境安全A10通信和操作管理A12信息系統(tǒng)獲取、開發(fā)和維護(hù)安全控制域信息安全管理涉及的領(lǐng)域19信息資產(chǎn)分類管理信息資產(chǎn)管理列出資產(chǎn)清單:資產(chǎn)名稱,位置,安全級別信息:DB\數(shù)據(jù)文件\系統(tǒng)文件\用戶手冊\...軟件資產(chǎn):應(yīng)用軟件\系統(tǒng)軟件\開發(fā)工具\設(shè)備實物資產(chǎn):\計算機(jī)\存儲介質(zhì)\其他技術(shù)設(shè)備可計量:價值(直接價值,損失成本)\重要性指定所有權(quán)人\分配職責(zé)信息資產(chǎn)分類分類原則:考慮業(yè)務(wù)需求\信息共享;信息敏感度變化;信息標(biāo)識和處理:定義信息的復(fù)制,存儲,輸出,銷毀的處理流程信息資產(chǎn)安全屬性A6信息安全組織信息安全架構(gòu),組織內(nèi)部管理,第三方訪問信息安全基本架構(gòu)論壇(技術(shù)人員\高層\各重要部門參與)協(xié)作責(zé)任分配信息處理方法授權(quán)過程組織間合作獨立檢查第三方訪問安全A9物理和環(huán)境的安全重要性:反恐24小時-CTA下水道接入系統(tǒng)繞過防火墻安全區(qū)域:安全界線\進(jìn)入控制\保護(hù)辦公室\安全區(qū)域工作\隔離設(shè)備安全:設(shè)備定位\電力供應(yīng)\電纜安全\設(shè)備維護(hù)\外部設(shè)備完全\設(shè)備淘汰一般管理措施:財產(chǎn)轉(zhuǎn)移--不能把設(shè)備轉(zhuǎn)移到工作場所之外A15符合性要求組織高度重視有關(guān)信息安全相關(guān)法律法規(guī)的要求。確保組織及員工的行為合法合規(guī),并符合本組織的信息安全方針和相關(guān)規(guī)定;防止因違反法律法規(guī)和相關(guān)要求而造成不良后果。31A15符合性控制措施:防止濫用信息處理設(shè)施禁止使用信息處理設(shè)施用于未授權(quán)的目的。案例通信公司內(nèi)部人員擅自利用通信系統(tǒng)的手機(jī)定位功能,向“偵探公司”提供用戶的位置信息,導(dǎo)致命案。32A8人力資源安全人力資源安全領(lǐng)域強(qiáng)調(diào)如何降低人員交互作用對組織造成的內(nèi)在風(fēng)險,包括任用前的考察,任用中的管理和培訓(xùn)以及任用終止的處置。33A8人力資源安全人員安全是造成信息損毀的重要原因信息損毀原因分布圖34A8人力資源安全公安部曾作過統(tǒng)計70%的泄密犯罪來自于內(nèi)部;計算機(jī)應(yīng)用單位80%未設(shè)立相應(yīng)的安全管理體系;58%無嚴(yán)格的管理制度。如果相關(guān)技術(shù)人員違規(guī)操作(如管理員泄露密碼),即便組織有最好的安全技術(shù)的支持,也保證不了信息安全。在信息技術(shù)高度發(fā)達(dá)的美國,信息安全中對人的管理也是一個大問題。在近年一次對600名CIO的調(diào)查表明:有66%的被調(diào)查公司沒有完整的信息安全方針和策略,這就意味著無法對員工進(jìn)行有效的管理。有32%的被調(diào)查公司要求員工熟悉安全方針與指南只有23%的被調(diào)查公司的員工得到過信息安全的培訓(xùn)35A8人力資源安全安全控制措施:管理職責(zé)管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針策略和規(guī)程對安全盡心盡力。案例電信公司員工出賣用戶個人信息案2010年6月8日,北京東方亨特商務(wù)調(diào)查中心等5家調(diào)查公司因涉嫌敲詐勒索等非法經(jīng)營被查,牽出其信息來源竟是電信公司工作人員。最終中國移動、中國聯(lián)通的三名被告被判2年5-6個月有期徒刑。36A10通信和操作管理通信涉及信息的交流和傳輸,操作是對信息處理設(shè)施和系統(tǒng)的操作和運行管理。通信和操作管理是信息安全管控的重要運行領(lǐng)域,對這一領(lǐng)域的控制體現(xiàn)了組織安全可靠地運行其信息資產(chǎn)的能力37A10通信和操作管理操作過程責(zé)任記錄變更流程意外事故管理流程開發(fā)過程與運行過程的分離--開發(fā)錯誤\惡意系統(tǒng)規(guī)劃驗收:預(yù)測:容量\資源A10通信和操作管理控制惡意代碼應(yīng)實施惡意代碼的檢測、預(yù)防和恢復(fù)的控制措施,提高用戶安全意識。案例特洛伊木馬病毒在1998年7月,黑客CultoftheDeadCow(cDc)推出強(qiáng)大的遠(yuǎn)程控制工具BackOrifice(或稱BO)可以使黑客通過網(wǎng)絡(luò)遠(yuǎn)程入侵并控制受攻擊的Win95系統(tǒng),從而使受侵電腦“形同玩偶”。2007年“灰鴿子”木馬曾在我國大量傳播,使09年“照片門”事件的央視主持人馬斌“落馬”39A12信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)領(lǐng)域涉及信息系統(tǒng)的安全需求、信息和數(shù)據(jù)在應(yīng)用系統(tǒng)的確認(rèn)及處理、密碼、系統(tǒng)測試和技術(shù)脆弱性管理等安全控制實踐,以確保將安全要求有機(jī)地集成到信息系統(tǒng)40A12信息系統(tǒng)獲取、開發(fā)和維護(hù)安全控制措施:技術(shù)脆弱性控制應(yīng)及時得到現(xiàn)用信息系統(tǒng)技術(shù)脆弱性的信息,評價組織對這些脆弱性的暴露程度,并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險。案例市政一卡通破解案。由于發(fā)現(xiàn)卡內(nèi)芯片的漏洞,及時升級系統(tǒng),監(jiān)測出不法充值,使作案人被捕判刑。41A14業(yè)務(wù)連續(xù)性管理關(guān)注于在發(fā)生重大災(zāi)難或故障時確保將業(yè)務(wù)中斷的影響最小化,保證組織的基本業(yè)務(wù)繼續(xù)運行。業(yè)務(wù)連續(xù)性管理反映了組織對信息系統(tǒng)運行中斷后的應(yīng)對及安全保障能力。42A14業(yè)務(wù)連續(xù)性管理案例911恐怖襲擊中位于世貿(mào)中心內(nèi)的著名財經(jīng)咨詢公司摩根斯坦利公司,由于實施了業(yè)務(wù)連續(xù)性戰(zhàn)略及規(guī)劃,災(zāi)后第二天成功地恢復(fù)了正常的業(yè)務(wù)運營,將突發(fā)危機(jī)的不利影響降低到了最低程度。43A14業(yè)務(wù)連續(xù)性管理受災(zāi)的場所后備場所轉(zhuǎn)移到后備場所據(jù)美國的一項研究報告顯示,在遭受災(zāi)害之后,如果無法在14天內(nèi)恢復(fù)業(yè)務(wù)數(shù)據(jù),75%的公司業(yè)務(wù)會完全停頓,43%的公司再也無法重新開業(yè),20%的公司將在2年內(nèi)宣告破產(chǎn)。44小結(jié)建立、實施、運行、保持和改進(jìn)信息安全管理體系,或采取并保持體系化的安全管控可有效防范風(fēng)險、降低損失;對信息安全缺乏全面準(zhǔn)備,損失的風(fēng)險得不到控制。45四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù):提供包括機(jī)密性、完整性和抗抵賴性等在內(nèi)的最基本的信息安全服務(wù),同時為信息安全攻防技術(shù)提供支撐主動防御技術(shù)和被動防御技術(shù)是兩類基本的信息安全防范思路主動防御技術(shù)提供阻斷、控制信息安全威脅的能力被動防御技術(shù)著眼信息安全威脅的發(fā)現(xiàn)和如何在信息安全威脅發(fā)生后將損失降到最低面向管理技術(shù):以如何提高信息安全技術(shù)效率和集成使用信息安全技術(shù)為基本出發(fā)點,引入了管理的思想,是一種綜合的技術(shù)手段安全網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)監(jiān)控、資產(chǎn)管理、威脅管理等屬于這類技術(shù)四、信息安全技術(shù)體系基礎(chǔ)支撐技術(shù)密碼技術(shù):密碼、簽名、PKI認(rèn)證技術(shù):消息認(rèn)證、身份鑒別訪問控制:人員限制、數(shù)據(jù)標(biāo)識、權(quán)限控制、風(fēng)險控制(例如:MAC地址邦定)2023/2/148身分認(rèn)證安全技術(shù)動態(tài)口令認(rèn)證PKI技術(shù)2023/2/149動態(tài)口令身份認(rèn)證原理時間/事件信息卡內(nèi)密鑰當(dāng)前登錄口令密碼運算2023/2/150數(shù)字簽名A的簽名私鑰用戶A

明文用戶Bhash加密簽名A的簽名公鑰解密摘要摘要2023/2/151數(shù)字簽名(cont.)使用公鑰系統(tǒng)等效于紙上物理簽名如報文被改變,則與簽名不匹配只有有私鑰的人才可生成簽名,并用于證明報文來源于發(fā)送方A使用其私鑰對報文簽名,B用公鑰查驗(解密)報文2023/2/152數(shù)字信封加密對稱密鑰用戶A

明文

密文用戶B的公鑰數(shù)字信封解密用戶B

密文

明文用戶B的私鑰對稱密鑰2023/2/153數(shù)字簽名較報文摘要昂貴,因其處理強(qiáng)度大為提高其效率,對一個長文進(jìn)行簽名的常用方法是先生成一個報文摘要,然后再對報文摘要進(jìn)行簽名。使用這種方法,我們不但可以證明報文來源于A(A對報文簽名,不可否認(rèn)),而且確定報文在傳輸過程中未被修改(報文摘要,機(jī)密性)。由于只有A知道其私有密鑰,一旦他加密(簽名)了報文摘要(加密的報文),他對報文負(fù)責(zé)(不可否認(rèn))。報文摘要與數(shù)字簽名(cont.)2023/2/154證書的版本號數(shù)字證書的序列號證書擁有者的姓名證書擁有者的公開密鑰公開密鑰的有效期簽名算法頒發(fā)數(shù)字證書的驗證數(shù)字證書格式(X.509)2023/2/155數(shù)字時間戳服務(wù)(DTS)提供電子文件發(fā)表時間的安全保護(hù)和證明,由專門機(jī)構(gòu)提供。它包括三個部分:需要加時間戳的文件的摘要DTS機(jī)構(gòu)收到文件的日期和時間DTS機(jī)構(gòu)的數(shù)字簽名

數(shù)字時間戳四、信息安全技術(shù)體系主動防御技術(shù)防火墻:包過濾、應(yīng)用代理、地址翻譯NAT、安全路由VPN:高層封裝底層反病毒:病毒特征碼AAA認(rèn)證:2023/2/157Internet防火墻防火墻受保護(hù)網(wǎng)絡(luò)受保護(hù)網(wǎng)絡(luò)2023/2/158計算機(jī)病毒計算機(jī)病毒的定義編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù),影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼——《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》2023/2/159計算機(jī)病毒的特征自我復(fù)制能力感染性潛伏性觸發(fā)性破壞性2023/2/160引起網(wǎng)絡(luò)病毒感染的主要原因在于網(wǎng)絡(luò)用戶自身。

2023/2/161病毒攻擊的操作系統(tǒng)MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統(tǒng)2023/2/162計算機(jī)病毒的分類

按寄生方式分為引導(dǎo)型、病毒文件型病毒和復(fù)合型病毒引導(dǎo)型病毒是指寄生在磁盤引導(dǎo)區(qū)或主引導(dǎo)區(qū)的計算機(jī)病毒。此種病毒利用系統(tǒng)引導(dǎo)時,不對主引導(dǎo)區(qū)的內(nèi)容正確與否進(jìn)行判別的缺點,在引導(dǎo)系統(tǒng)的過程中侵入系統(tǒng),駐留內(nèi)存,監(jiān)視系統(tǒng)運行,待機(jī)傳染和破壞。2023/2/163

文件型病毒是指寄生在文件中的計算機(jī)病毒。這類病毒程序感染可執(zhí)行文件或數(shù)據(jù)文件。如COM和.EXE等可執(zhí)行文件;Macro/Concept、Macro/Atoms等宏病毒感染.DOC文件。復(fù)合型病毒是指具有引導(dǎo)型病毒和文件型病毒寄生方式的計算機(jī)病毒。這種病毒擴(kuò)大了病毒程序的傳染途徑,它既感染磁盤的引導(dǎo)記錄,又感染可執(zhí)行文件。四、信息安全技術(shù)體系被動防御技術(shù)IDSIntrusionDetectionSystems網(wǎng)絡(luò)掃描蜜罐技術(shù)五、信息安全管理方法1、信息安全風(fēng)險評估依據(jù)信息安全技術(shù)與管理標(biāo)準(zhǔn)評估信息資產(chǎn)、威脅、脆弱點五、信息安全管理方法2、信息安全事件管理--(應(yīng)急預(yù)案)識別風(fēng)險后,預(yù)先制定管理機(jī)制:控制影響重要密碼泄露、系統(tǒng)崩潰、地震信息安全事件管理標(biāo)準(zhǔn):GB/Z20985-2007管理指南GB/Z20986-2007分級指南GB/Z20988-2007恢復(fù)規(guī)范五、信息安全管理方法3、信息安全測評認(rèn)證4、信息安全工程管理SSE-CMM系統(tǒng)安全工程能力成熟度模型--基于軟件生命周期理論2023/2/168第二節(jié)信息安全管理標(biāo)準(zhǔn)一、BS7799二、其他標(biāo)準(zhǔn)2023/2/169BS7799簡介BS7799概述:BS7799是英國標(biāo)準(zhǔn)委員會(BritshStandardsInsstitute,BSI)針對信息安全管理而制定的標(biāo)準(zhǔn)。分為兩個部分:第一部分:被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC17799:2005標(biāo)準(zhǔn)的部分,是信息安全管理實施細(xì)則(CodeofPracticeforInformationSecurityManage-ment),主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用,其主要內(nèi)容分為11方面,提供了133項安全控制措施(最佳實踐)。第二部分:被國際標(biāo)準(zhǔn)化組織ISO采納成為ISO/IEC20071:2005標(biāo)準(zhǔn)的部分,是建立信息安全管理體系(ISMS)的一套規(guī)范(SpecificationforInformationSecurityManagementSystems),其中詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求,可以用來指導(dǎo)相關(guān)人員應(yīng)用ISO/IEC17799:2005,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。2023/2/170BS7799發(fā)展歷程BS7799最初由英國貿(mào)工部立項,是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的,旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息安全管理實踐的通用框架。1995年,BS7799-1:1995《信息安全管理實施細(xì)則》首次發(fā)布1998年,BS7799-2:1998《信息安全管理體系規(guī)范》發(fā)布1999年4月,BS7799的兩個部分被修訂,形成了完整的BS7799-1:19992000年國際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國際標(biāo)準(zhǔn),即ISO/IEC17799:2000《信息技術(shù)—信息安全管理實施細(xì)則》2002年BSI對BS7799-2:1999進(jìn)行了重新修訂,正式引入PDCA過程模型;2004年9月BS7799-2:2002正式發(fā)布2005年6月,ISO/IEC17799:2000經(jīng)過改版,形成了新的ISO/IEC17799:2005,同年10月推出了ISO/IEC27001:2005目前有20多個國家和地區(qū)引用BS7799作為本國(地區(qū))標(biāo)準(zhǔn),有40多個國家和地區(qū)開展了與此相關(guān)的業(yè)務(wù)。在我國ISO17799:2000已經(jīng)被轉(zhuǎn)化為GB/T19716-20052023/2/171BS7799的內(nèi)容*BS7799-1:《信息安全管理實施規(guī)則》

主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用,從而在他們的機(jī)構(gòu)內(nèi)部實施和維護(hù)信息安全。*BS7799-2:《信息安全管理體系規(guī)范》

詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求,指出實施組織需要通過風(fēng)險評估來鑒定最適宜的控制對象,并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?023/2/172

信息安全管理實施細(xì)則將信息安全管理內(nèi)容劃分為11個方面,39個控制目標(biāo),133項控制措施,供信息安全管理體系實施者參考使用,這11個方面包括:1、安全策略(SecurityPolicy)2、組織信息安全(OrganizingInformationSecurity)3、資產(chǎn)管理(AssetMangement)4、人力資源安全(HumanResourcesSecurity)5、物理與環(huán)境安全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)2023/2/1736、通信與操作管理(CommunicationandOperationManagement)7、訪問控制(AccessControl)8、信息系統(tǒng)獲取、開發(fā)與維護(hù)(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信息安全事件管理(InformationSecurityIncidentManagement)10、業(yè)務(wù)連續(xù)性管理(BusinessContinuityManagement)11、符合性(Compliance)2023/2/174安全策略:包括信息安全策略文件和信息安全策略復(fù)查。組織安全:包括在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架;維護(hù)被外部伙伴訪問、處理和管理的組織的信息,處理設(shè)施和信息資產(chǎn)的安全。資產(chǎn)管理:包括建立資產(chǎn)清單、進(jìn)行信息分類與分級人力資源安全:包括崗位安全責(zé)任和人員錄用安全要求,安全教育與培訓(xùn),安全意識,離職及變更職位等。BS7799-1(ISO/IEC17799)2023/2/175物理與環(huán)境安全:包括安全區(qū)域控制、設(shè)備安全管理等通信與操作管理:包括操作程序和責(zé)任,系統(tǒng)規(guī)劃和驗收,防范惡意軟件,內(nèi)務(wù)管理,網(wǎng)絡(luò)管理,介質(zhì)安全管理,信息與軟件交換安全訪問控制:包括訪問控制策略,用戶訪問控制,網(wǎng)絡(luò)訪問控制,操作系統(tǒng)訪問控制,應(yīng)用訪問控制,監(jiān)控與審計,移動和遠(yuǎn)程訪問BS7799-1(ISO/IEC17799)2023/2/176信息系統(tǒng)獲取、開發(fā)與維護(hù):安全需求分析,安全機(jī)制設(shè)計(應(yīng)用系統(tǒng)安全,密碼控制,系統(tǒng)文件安全),開發(fā)和支持過程的安全控制信息安全事件管理:報告信息安全事件、安全缺陷;責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。業(yè)務(wù)連續(xù)性管理:業(yè)務(wù)連續(xù)性計劃的制訂,演習(xí),審核,改進(jìn)符合性管理:符合法律法規(guī),符合安全策略等。BS7799-1(ISO/IEC17799)2023/2/177對控制措施的描述不夠細(xì)致,導(dǎo)致缺乏可操作性;133項控制措施未必適合全部的組織,應(yīng)當(dāng)有選擇的參考使用;133項控制措施未必全面,可以根據(jù)實際情況進(jìn)行增補(bǔ)。BS7799-1(ISO/IEC17799)2023/2/178ISO/IEC17799:2005列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施:1、與法律相關(guān)的控制措施:(1)知識產(chǎn)權(quán):遵守知識產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律;(2)保護(hù)組織的記錄:保護(hù)重要的記錄不丟失,不被破壞和偽造;(3)數(shù)據(jù)保護(hù)和個人信息隱私:遵守所在國的數(shù)據(jù)保護(hù)法律。BS7799-1(ISO/IEC17799)2023/2/1792、與最佳實踐相關(guān)的控制措施:(1)信息安全策略文件:高管批準(zhǔn)發(fā)布信息安全策略文件,并廣泛告知;(2)信息安全責(zé)任的分配:清晰地所有的信息安全責(zé)任;(3)信息安全意識、教育和培訓(xùn):全體員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn);BS7799-1(ISO/IEC17799)2023/2/180(4)正確處理應(yīng)用程序:防止應(yīng)用程序中的信息出錯、丟失或被非授權(quán)篡改及誤用;(5)漏洞管理:防止利用已發(fā)布的漏洞信息來實施破壞;(6)管理信息安全事件和改進(jìn):確保采取一致和有效的方法來管理信息安全事件。(7)業(yè)務(wù)連續(xù)性管理:減少業(yè)務(wù)活動中斷,保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)難影響。BS7799-1(ISO/IEC17799)2023/2/181信息安全管理體系規(guī)范(SpecificationforInformationSecurityManagementSystem)說明了建立、實施、維護(hù),并持續(xù)改進(jìn)ISMS的要求指導(dǎo)實施者如何利用BS7799-1來建立一個有效的ISMSBSI提供依據(jù)BS7799-2所建立ISMS的認(rèn)證BS7799-2/ISO270012023/2/182

建立ISMS(PLAN)定義ISMS的范圍和策略識別和評估風(fēng)險評估現(xiàn)有保證措施準(zhǔn)備適用性說明取得管理層對殘留風(fēng)險的認(rèn)可,并獲得實施ISMS的授權(quán)BS7799-2/ISO270012023/2/183

實施ISMS(DO)制訂并實施風(fēng)險處理計劃實施安全控制措施實施安全意識和安全教育培訓(xùn)實施檢測和響應(yīng)安全機(jī)制BS7799-2/ISO270012023/2/184

監(jiān)視和復(fù)查ISMS(CHECK)實施監(jiān)視程序和控制定期復(fù)審ISMS的效力定期進(jìn)行ISMS內(nèi)部審計復(fù)查殘留風(fēng)險和可接受風(fēng)險的水平BS7799-2/ISO270012023/2/185

改進(jìn)ISMS(ACT)對ISMS實施可識別的改進(jìn)實施糾正和預(yù)防措施確保改進(jìn)成果滿足預(yù)期目標(biāo)BS7799-2/ISO270012023/2/186

強(qiáng)調(diào)文檔化管理的重要作用,文檔體系包括安全策略適用性聲明實施安全控制的規(guī)程文檔ISMS管理和操作規(guī)程與ISMS有關(guān)的其它文檔BS7799-2/ISO270012023/2/187

建立ISMS的過程制訂安全策略確定體系范圍明確管理職責(zé)通過安全風(fēng)險評估確定控制目標(biāo)和控制措施復(fù)查、維護(hù)與持續(xù)改進(jìn)BS7799-2/ISO270012023/2/188二、其他標(biāo)準(zhǔn)1、PD3000BS7799標(biāo)準(zhǔn)本身是不具有很強(qiáng)的可實施性的,為了指導(dǎo)組織更好地建立ISMS并應(yīng)對BS7799認(rèn)證審核的要求,BSIDISC提供了一組有針對性的指導(dǎo)文件,即PD3000系列

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論