信息安全管理體系

信息安全管理體系教程2024/10/14課前介紹課程目標(biāo)課程安排課程內(nèi)容注意事項學(xué)員介紹2024/10/14課程目標(biāo)掌握信息安全管理的一般知識了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認(rèn)識和了解ISO17799理解一個組織實施ISO17799的意義初步掌握建立信息安全管理體系（ISMS）的方法和步驟2024/10/14課程安排課時:24H課程方法：講授、小組討論、練習(xí)2024/10/14課程內(nèi)容1、信息安全基礎(chǔ)知識2、信息安全管理與信息系統(tǒng)安全保障3、信息安全管理體系標(biāo)準(zhǔn)概述4、信息安全管理體系方法5、ISO17799中的控制目標(biāo)和控制措施6、ISMS建設(shè)、運行、審核與認(rèn)證7、信息系統(tǒng)安全保障管理要求2024/10/14注意事項積極參與、活躍氣氛守時保持安靜有問題可隨時舉手提問2024/10/141.

信息安全基礎(chǔ)知識1.1

信息安全的基本概念

1.2

為什么需要信息安全

1.3

實踐中的信息安全問題

1.4

信息安全管理的實踐經(jīng)驗2024/10/14

請思考：

什么是信息安全？1.1信息安全基本概念2024/10/14什么是信息？ISO17799中的描述“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”

“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.強(qiáng)調(diào)信息：是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對組織具有價值需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、影片、交談等2024/10/14小問題：你們公司的Knowledge都在哪里？信息在哪里？2024/10/14什么是信息安全?ISO17799中的描述“Informationsecurityprotectsinformationfromawiderangeofthreatsinordertoensurebusinesscontinuity,minimizebusinessdamageandmaximizereturnoninvestmentsandbusinessopportunities.”信息安全：保護(hù)信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來的損失降低到最小獲得最大的投資回報和商業(yè)機(jī)會2024/10/14信息安全的特征（CIA）ISO17799中的描述Informationsecurityischaracterizedhereasthepreservationof:ConfidentialityIntegrityAvailability信息在安全方面三個特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問信息；完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要時，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。2024/10/14信息本身信息處理設(shè)施信息處理者信息處理過程

機(jī)密

可用

完整總結(jié)2024/10/14

請思考：

組織為什么要花錢實現(xiàn)信息安全？1.2為什么需要信息安全2024/10/14組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標(biāo)要求競爭優(yōu)勢，樹立品牌加強(qiáng)內(nèi)部管理的要求……2024/10/14法律法規(guī)的要求計算機(jī)信息系統(tǒng)安全保護(hù)條例知識產(chǎn)權(quán)保護(hù)互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定……2024/10/14信息系統(tǒng)使命的要求信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障。。。。2024/10/14

請思考：

目前，解決信息安全問題，通常的做法是什么？1.3實踐中的信息安全問題2024/10/14“產(chǎn)品導(dǎo)向型”信息安全初始階段，解決信息安全問題，通常的方法：采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案；Anti-Virus、Firewall、IDS&Scanner……組織內(nèi)部安排1-2人兼職負(fù)責(zé)日常維護(hù)，通常來自以技術(shù)為主的IT部門；更多的情況是幾乎沒有日常維護(hù)存在的問題需求難以確定保護(hù)什么、保護(hù)對象的邊界到哪里、應(yīng)該保護(hù)到什么程度……管理和服務(wù)跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價通常用漏洞掃描（Scanner）來代替風(fēng)險評估有哪些不安全的因素（威脅、脆弱性）、信息不安全的影響、對風(fēng)險的態(tài)度……“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全；不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題2024/10/14信息安全管理ISO17799強(qiáng)調(diào)：“Informationsecurityisamanagementprocess,notatechnologicalprocess.”技術(shù)和產(chǎn)品是基礎(chǔ)，管理是關(guān)鍵；產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最好的作用；技術(shù)不高但管理良好的系統(tǒng)遠(yuǎn)比技術(shù)高但管理混亂的系統(tǒng)安全；先進(jìn)、易于理解、方便操作的安全策略對信息安全至關(guān)重要，也證明了管理的重要；建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會持續(xù)安全。2024/10/141.4信息安全管理的實踐經(jīng)驗反映組織業(yè)務(wù)目標(biāo)的安全方針、目標(biāo)和活動；符合組織文化的安全實施方法；管理層明顯的支持和承諾；安全需求、風(fēng)險評估和風(fēng)險管理的正確理解；有效地向所有管理人員和員工推行安全措施；向所有的員工和簽約方提供本組織的信息安全方針與標(biāo)準(zhǔn)；提供適當(dāng)?shù)呐嘤?xùn)和教育；一整套用于評估信息安全管理能力和反饋建議的測量系統(tǒng)2024/10/142、信息安全管理與信息系統(tǒng)安全保障2.1信息系統(tǒng)的使命2.2信息系統(tǒng)安全保障－模型2.3信息系統(tǒng)安全保障－框架2.4信息系統(tǒng)安全保障－生命周期的保證2.5信息安全管理模型2.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系2024/10/142.1信息系統(tǒng)的使命資產(chǎn)可能意識到引起增加利用導(dǎo)致威脅主體威脅所有者風(fēng)險脆弱性對策可能被減少利用價值希望最小化希望濫用或破壞可能具有減少到到使命希望完成到可能阻礙或破壞2024/10/142.2信息系統(tǒng)安全保障－模型2024/10/142.3信息系統(tǒng)安全保障－框架信息系統(tǒng)使命信息系統(tǒng)建模，。。。GB18336idtISO/IEC15408信息技術(shù)安全性評估準(zhǔn)則IATF信息保障技術(shù)框架ISSE信息系統(tǒng)安全工程SSE-CMM系統(tǒng)安全工程能力成熟度模型BS7799,ISO/IEC17799信息安全管理實踐準(zhǔn)則其他相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則例如：ISO/IEC15443,COBIT。。。系統(tǒng)認(rèn)證和認(rèn)可標(biāo)準(zhǔn)和實踐例如：美國DITSCAP,…中國信息安全產(chǎn)品測評認(rèn)證中心相關(guān)文檔和系統(tǒng)測評認(rèn)證實踐技術(shù)準(zhǔn)則（信息技術(shù)系統(tǒng)評估準(zhǔn)則）管理準(zhǔn)則（信息系統(tǒng)管理評估準(zhǔn)則）過程準(zhǔn)則（信息系統(tǒng)安全工程評估準(zhǔn)則）信息系統(tǒng)安全保障評估準(zhǔn)則信息安全管理和管理能力成熟度模型將GB18336從產(chǎn)品和產(chǎn)品系統(tǒng)擴(kuò)展到信息技術(shù)系統(tǒng)安全性評估安全工程過程和能力成熟度模型傳統(tǒng)C&A信息系統(tǒng)認(rèn)證認(rèn)可和實踐信息系統(tǒng)相關(guān)基礎(chǔ)知識2024/10/142.4信息系統(tǒng)安全保障－生命周期的保證變更應(yīng)用于系統(tǒng)計劃組織開發(fā)采購實施交付運行維護(hù)廢棄建立使命要求建立使命要求審閱業(yè)務(wù)要求系統(tǒng)需求分析定義運行需求系統(tǒng)體系設(shè)計項目與預(yù)算管理兩種類型：

開發(fā)、購買/客戶化/集成人員保證（決策人員）技術(shù)保證（技術(shù)方案安全產(chǎn)品）過程保證（服務(wù)能力工程過程）管理保證（安全管理）人員保證（管理/維護(hù)/使用人員）人員保證（管理人員）人員保證（實施人員）管理保證（安全管理）管理保證（安全管理）管理保證（安全管理）信息系統(tǒng)安全保障（信息系統(tǒng)技術(shù)、管理、過程和人員領(lǐng)域要求及保證）系統(tǒng)保證信息系統(tǒng)生命周期2024/10/142.5信息安全管理模型信息系統(tǒng)安全管理基礎(chǔ)組織體系策略制度遵循性人員安全采購管理投資和預(yù)算管理持續(xù)性管理環(huán)境設(shè)備緊急用途和供給變更控制管理信息技術(shù)戰(zhàn)略規(guī)劃變更應(yīng)用于系統(tǒng)計劃組織開發(fā)采購實施交付運行維護(hù)廢棄信息技術(shù)戰(zhàn)略規(guī)劃系統(tǒng)操作物理訪問運行環(huán)境設(shè)備管理2024/10/142.6信息安全管理與信息系統(tǒng)安全保障的關(guān)系信息系統(tǒng)安全保障三大部分：技術(shù)保障過程保障管理保障信息安全管理是信息系統(tǒng)安全保障的三大部分之一：管理保障信息安全管理涉及到系統(tǒng)的整個生命周期2024/10/143.信息安全管理體系標(biāo)準(zhǔn)概述3.1

信息安全標(biāo)準(zhǔn)介紹3.2

ISO177993.3

ISO17799的歷史及發(fā)展3.4

ISO17799:2000的內(nèi)容框架3.5

BS7799-2:1999的內(nèi)容框架3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之區(qū)別2024/10/143.1信息安全標(biāo)準(zhǔn)介紹

信息安全標(biāo)準(zhǔn)管理體系標(biāo)準(zhǔn)2024/10/14信息安全標(biāo)準(zhǔn)ISO7498-2(GB/T9387.2-1995)ISO13335SSE-CMM(GB21827)ISO15408（GB/T18336-2001）ISO177992024/10/14ISO7498-2(GB/T9387.2-1995)開放系統(tǒng)互聯(lián)安全體系結(jié)構(gòu)由ISO/ICEJTC1/SC21完成1982年開始，1988年結(jié)束，ISO發(fā)布了ISO7498-2給出了基于OSI參考模型的7層協(xié)議上的安全體系結(jié)構(gòu)其核心內(nèi)容是：為了保證異構(gòu)計算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離安全交換信息的安全，它定義了該系統(tǒng)的5大類安全服務(wù)，以及提供這些服務(wù)的8大類安全機(jī)制及相應(yīng)的安全管理，并可根據(jù)具體系統(tǒng)適當(dāng)?shù)呐渲糜贠SI模型的7層協(xié)議中。2024/10/14ISO7498-2－安全體系結(jié)構(gòu)加密數(shù)字簽名數(shù)據(jù)完整性訪問控制數(shù)據(jù)交換業(yè)務(wù)流填充路由控制公證抗抵賴數(shù)據(jù)保密性數(shù)據(jù)完整性訪問控制鑒別服務(wù)物理層鏈路層表示層應(yīng)用層傳輸層網(wǎng)絡(luò)層會話層安全機(jī)制安全服務(wù)OSI參考模型2024/10/14ISO13335IT安全管理分為5個部分：ISO/IECTR13335-1：概念和模型ISO/IECTR13335-2：管理和規(guī)劃ISO/IECTR13335-3：管理技術(shù)ISO/IECTR13335-4：安全措施的選擇ISO/IECTR13335-5：網(wǎng)絡(luò)安全性的管理指導(dǎo)由ISO/IECJTC1/SC27完成2024/10/14SSE-CMM信息系統(tǒng)安全工程能力成熟度模型CMM－CapabilityMaturityModel首先用于軟件工程；1993年4月，由美國NSA資助，安全業(yè)界、DOD、加拿大通信安全機(jī)構(gòu)共同組成項目組，研究把CMM用于安全工程；1996年10月推出第一版，97年4月推出方法（SSAM）第一版；98年底推出第二版，99年4月推出SSAM第二版；用于信息系統(tǒng)安全的工程組織、采購組織和評估機(jī)構(gòu)5個能力級別，11個過程區(qū)2003年，出版了SSE-CMMV3.02024/10/145個能力級別：

1級：非正式執(zhí)行級

2級：計劃和跟蹤級

3級：充分定義級

4級：量化控制級

5級：持續(xù)改進(jìn)級

代表安全工程組織的成熟度級別11個過程區(qū)：

PA01管理安全控制

PA02評估影響

PA03評估安全風(fēng)險

PA04評估威脅

PA05評估脆弱性

PA06建立保證論據(jù)

PA07協(xié)調(diào)安全

PA08監(jiān)視安全態(tài)勢

PA09提供安全輸入

PA10指定安全要求

PA11驗證和證實安全性

SSE-CMM信息系統(tǒng)安全工程能力成熟度模型（續(xù)）2024/10/14ISO15408(GB/T18336)信息技術(shù)安全性評估準(zhǔn)則通常簡稱CC－通用準(zhǔn)則，ISO15408:1999，GB/T18336:2001;定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；分為3個部分：第一部分：簡介和一般模型第二部分：安全功能要求第三部分：安全保證要求2024/10/14管理體系標(biāo)準(zhǔn)ISO9000族質(zhì)量管理體系ISO14000環(huán)境管理體系標(biāo)準(zhǔn)OHSAM18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)ISO17799信息安全管理體系標(biāo)準(zhǔn)2024/10/14ISO/IEC17799:2000Informationtechnology－

Codeofpracticeforinformationsecuritymanagement信息技術(shù)－信息安全管理實施細(xì)則

3.2ISO/IEC17799:20002024/10/14

歷史BS7799-2:19992001.6BS7799Part2versionCCodeofpracticeDTIBS7799-Part11993.9BSI1995.2BS7799-Part21998.2BS7799-1:19991999.4ISO/IEC2000.12+ISO177993.3ISO17799的歷史及發(fā)展2024/10/14BSI簡介BSI英國標(biāo)準(zhǔn)協(xié)會英國標(biāo)準(zhǔn)協(xié)會是全球領(lǐng)先的國際標(biāo)準(zhǔn)、產(chǎn)品測試、體系認(rèn)證機(jī)構(gòu)。發(fā)起制定的標(biāo)準(zhǔn)ISO9000（質(zhì)量管理體系）ISO14001（環(huán)境管理體系）OHSAS18001（職業(yè)健康與安全管理體系）QS-9000/ISO/TS16949（汽車供應(yīng)行業(yè)的質(zhì)量管理體系）TL9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系）BS7799。2024/10/14

IUG：InternationalUserGroup1997年成立宗旨

促進(jìn)ISO17799/BS7799的應(yīng)用和推廣促進(jìn)對信息安全管理體系標(biāo)準(zhǔn)、認(rèn)證等的理解，服務(wù)全球商業(yè)提供一個基于互聯(lián)網(wǎng)的論壇提供一個信息交流的平臺研究和寫作成員AustraliaBrazilGermanyHongKongIndiaIrelandJapanKoreaMalaysiaTheNetherlandsNewZealandNorwayPolandSingaporeSouthAfricaSwedenSwitzerlandTaiwanUAEUKUSA

2024/10/14ISO17799被各國或地區(qū)采用的情況EnglandAustraliaNewZealand

Brazil

CzechRepublicFinland

Iceland

Ireland

Netherlands(SPE20003)

Norway

Sweden(SS627799)Taiwan中國2024/10/14ISO17799在中國國內(nèi)從2000年初開始認(rèn)識ISO17799/BS7799；2000年初開始，國內(nèi)一些公司和單位進(jìn)行BS7799的研究和相關(guān)課程培訓(xùn)；2002－2003年，我國已經(jīng)提出了國標(biāo)化的計劃；2024/10/143.4ISO17799:2000的內(nèi)容框架ISO17799:2000（BS7799-1:1999）

CodeofPracticeforInformationSecurityManagement

信息安全管理實施細(xì)則BS7799-2:1999(已經(jīng)有BS7799-2:2002草案)SpecificationforInformationSecurityManagementSystem

信息安全管理體系規(guī)范2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Foreword(ISO前言)Introduction(引言)1.Scope(范圍)2.TermandDefinitions(術(shù)語和定義)3.～12.詳細(xì)控制目標(biāo)和控制措施2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Foreword(ISO前言)

ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)組成世界性標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的各國團(tuán)體通過由各自組織設(shè)立的技術(shù)委員會參與國際標(biāo)準(zhǔn)的開發(fā)，處理特殊領(lǐng)域的技術(shù)活動。ISO和IEC技術(shù)委員會協(xié)調(diào)共同利益的領(lǐng)域。其它與ISO和IEC有聯(lián)系的國際組織（官方的和非官方的）也可參加工作。

……2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Introduction(引言)什么是信息安全為何需要信息安全如何確定安全需求評估安全風(fēng)險選擇控制措施信息安全起點成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))Scope(范圍)

本標(biāo)準(zhǔn)為組織中負(fù)責(zé)信息安全的啟動、實現(xiàn)和保持的人員提供了信息安全管理方面的建議。目的是為各個組織制定安全標(biāo)準(zhǔn)和有效的安全管理措施提供一個通用平臺，并建立組織間交易時的信心。本標(biāo)準(zhǔn)所提供的建議應(yīng)該根據(jù)相關(guān)法規(guī)有選擇的使用。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.TermandDefinitions(術(shù)語和定義)2.1informationsecurity

信息安全

2.2Riskassessment

風(fēng)險評估

2.3Riskmanagement

風(fēng)險管理2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.1informationsecurity信息安全

Preservationofconfidentiality,integrity,andavailabilityofinformation.-ConfidentialityEnsuringthatinformationisaccessibleonlytothoseauthorizedtohaveaccess.確保只有被授權(quán)的人員才可以訪問信息。

-IntegritySafeguardingtheaccuracyandcompletenessofinformationandprocessingmethods.確保信息及其處理方法的準(zhǔn)確性和完整性。

-AvailabilityEnsuringthatauthorizedusershaveaccesstoinformationandassociatedassetswhenrequired.確保被授權(quán)的用戶在需要時可以訪問信息和相關(guān)的資產(chǎn)。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.2Riskassessment風(fēng)險評估Assessmentofthreatsto,impactsonandvulnerabilitiesofinformationandinformationprocessingfacilitiesandthelikelihoodiftheiroccurrence.對信息和信息處理設(shè)施所受到的威脅、影響和脆弱性以及發(fā)生這些事件的可能性進(jìn)行評估。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))2.3Riskmanagement風(fēng)險管理Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffectinformationsystems,foranacceptablecost.基于可接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進(jìn)行識別、控制、減小或消除的過程。2024/10/143.4ISO17799:2000的內(nèi)容框架(續(xù))3.Securitypolicy安全方針4.SecurityOrganizational安全組織5.Assetclassificationandcontrol資產(chǎn)分類與控制6.Personnelsecurity人員安全7.Physicalandenvironmentalsecurity物理和環(huán)境安全8.Communicationsandoperationamanagement通信和操作管理9.Accesscontrol訪問控制10.Systemsdevlopmentandmaintenance系統(tǒng)開發(fā)和維護(hù)11.Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理12.Compliance符合性2024/10/14

Foreword(BSI前言)1.Scope(范圍)2.TermandDefinitions(術(shù)語和定義)3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)4.Detailedcontrols（詳細(xì)控制措施）

3.5BS7799-2:1999的內(nèi)容框架2024/10/14

1.Scope(范圍)BS7799的這一部分提出了建立、實施并記錄信息安全管理體系時的具體要求；同時，也提出了各組織根據(jù)具體需求采取安全控制措施的要求。

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

2.TermandDefinitions(術(shù)語和定義)2.1statementofapplicability(適用聲明)Critiqueoftheobjectivesandcontrolsapplicabletotheneedsoftheorganization.

根據(jù)組織需要對所選的控制目標(biāo)和控制措施的說明

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

3.Informationsecuritymanagementsystemrequirements(信息安全管理體系的要求)3.1General(總則)3.2Establishingamanagementframework(建立管理框架)3.3Implementation(實施)3.4Documentation(文檔化)3.5Documentcontrol(文件控制)3.6Records(記錄)

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/14

4.Detailedcontrols（詳細(xì)控制措施）4.1Securitypolicy安全方針4.2SecurityOrganizational安全組織4.3Assetclassificationandcontrol資產(chǎn)分類與控制4.4Personnelsecurity人員安全4.5Physicalandenvironmentalsecurity物理和環(huán)境安全4.6Communicationsandoperationamanagement通信和操作管理4.7Accesscontrol訪問控制4.8Systemsdevlopmentandmaintenance系統(tǒng)開發(fā)和維護(hù)4.9Businesscontinuitymanagement業(yè)務(wù)連續(xù)性管理4.10Compliance符合性

3.5BS7799-2:1999的內(nèi)容框架(續(xù))2024/10/143.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999、BS7799-2:2002

之區(qū)別ISO/IEC17799:2000(BS7799-1:1999)為指南指導(dǎo)如何進(jìn)行安全管理實踐BS7799-2:1999和BS7799-2:2002為標(biāo)準(zhǔn)建立的信息安全管理體系必須符合的要求BS7799-2:2002更接近ISO9000標(biāo)準(zhǔn)的格式控制目標(biāo)和控制措施作為附錄2024/10/144.

信息安全管理體系方法4.1什么是ISMS4.2

ISMS的重要原則4.3

ISMS的實現(xiàn)方法2024/10/14

4.1

什么是ISMS

ISMS：

InformationSecurityManagementSystem

信息安全管理體系ISO9000-2000術(shù)語和定義組織organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施,如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理management指揮和控制組織的協(xié)調(diào)的活動體系system相互關(guān)聯(lián)和相互作用的一組要素管理體系managementsystem建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系管理學(xué)中的定義管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財力等資源，以期有效達(dá)到組織目標(biāo)的過程。2024/10/14信息安全管理體系ISMS定義ISMS是：在信息安全方面指揮和控制組織的以實現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測量的要素可能包括

信息安全方針、策略信息安全組織結(jié)構(gòu)各種活動、過程信息安全控制措施人力、物力等資源………2024/10/14要求信息安全分析改進(jìn)資源管理信息安全實現(xiàn)管理職責(zé)輸入輸出信息安全管理體系的持續(xù)改進(jìn)信息安全管理體系框圖信息安全管理體系框圖2024/10/144.2ISMS的重要原則

4.2.1PDCA循環(huán)

4.2.2過程方法

4.2.3其它重要原則2024/10/14PDCA循環(huán)：Plan—Do—Check—Act計劃實施檢查改進(jìn)PDAC

4.2.1

PDCA循環(huán)2024/10/144.2.1

PDCA循環(huán)（續(xù)）又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項活動有效進(jìn)行的工作程序:P：計劃，方針和目標(biāo)的確定以及活動計劃的制定；

D：執(zhí)行，具體運作，實現(xiàn)計劃中的內(nèi)容；

C：檢查，總結(jié)執(zhí)行計劃的結(jié)果，分清哪些對了，哪些錯了，明確效果，找出問題；

A：改進(jìn)（或處理）,對總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書，便于以后工作時遵循；對于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對于沒有解決的問題，應(yīng)提給下一個PDCA循環(huán)中去解決。2024/10/14PDCA循環(huán)的特點一

按順序進(jìn)行，它靠組織的力量來推動，像車輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)4.2.1

PDCA循環(huán)（續(xù)）2024/10/14PDCA循環(huán)的特點二

組織中的每個部分，甚至個人，均有一個PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。4.2.1

PDCA循環(huán)（續(xù)）2024/10/14PDCA循環(huán)的特點三

每通過一次PDCA循環(huán)，都要進(jìn)行總結(jié)，提出新目標(biāo)，再進(jìn)行第二次PDCA循環(huán)。90909090改進(jìn)執(zhí)行計劃檢查CADP達(dá)到新的水平改進(jìn)(修訂標(biāo)準(zhǔn))維持原有水平90909090改進(jìn)執(zhí)行計劃檢查CADP4.2.1

PDCA循環(huán)（續(xù)）2024/10/14

4.2.2

過程方法定義ISO9000-2000術(shù)語和定義過程：一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。過程方法系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為“過程方法”。2024/10/14活動測量、改進(jìn)責(zé)任人資源記錄輸入輸出過程方法模型：2024/10/14

信息安全管理過程方法信息安全實現(xiàn)是一個大的過程；信息安全實現(xiàn)過程的每一個活動也是一個過程；識別組織實現(xiàn)信息安全的每一個過程；對每一個信息安全過程的實施進(jìn)行監(jiān)控和測量；改進(jìn)每一個信息安全過程。

2024/10/14制定信息安全方針確定ISMS的范圍安全風(fēng)險評估風(fēng)險管理選擇控制目標(biāo)和控制措施準(zhǔn)備適用聲明實施測量、改進(jìn)安全需求安全信息安全管理的過程網(wǎng)絡(luò)2024/10/14信息安全管理的過程網(wǎng)絡(luò)將相互關(guān)聯(lián)的過程作為一個系統(tǒng)來識別、理解和管理一個過程的輸出構(gòu)成隨后過程輸入的一部分過程之間的相互作用形成相互依賴的過程網(wǎng)絡(luò)PDCA循環(huán)可用于單個過程，也可用于整個過程網(wǎng)絡(luò)2024/10/14領(lǐng)導(dǎo)重視√指明方向和目標(biāo)√權(quán)威√預(yù)算保障，提供所需的資源√監(jiān)督檢查√組織保障

4.2.3其它重要原則－領(lǐng)導(dǎo)重視2024/10/14

全員參與√信息安全不僅僅是IT部門的事；√讓每個員工明白隨時都有信息安全問題；√每個員工都應(yīng)具備相應(yīng)的安全意識和能力；√讓每個員工都明確自己承擔(dān)的信息安全責(zé)任；4.2.3

其它重要原則－全員參與2024/10/14持續(xù)改進(jìn)√信息安全是動態(tài)的，時間性強(qiáng)√持續(xù)改進(jìn)才能有最大限度的安全√組織應(yīng)該為員工提供持續(xù)改進(jìn)的方法和手段

√實現(xiàn)信息安全目標(biāo)的循環(huán)活動4.2.3

其它重要原則－持續(xù)改進(jìn)2024/10/14

文件化√文件的作用：有章可循，有據(jù)可查√文件的類型：手冊、規(guī)范、指南、記錄4.2.3

其它重要原則－文件化

溝通意圖，統(tǒng)一行動重復(fù)和可追溯提供客觀證據(jù)用于學(xué)習(xí)和培訓(xùn)

文件的作用：有章可循，有據(jù)可查2024/10/14

文件的類型：手冊、規(guī)范、指南、記錄-

手冊：向組織內(nèi)部和外部提供關(guān)于信息安全管理體系的一致信息的文件

-

規(guī)范：闡明要求的文件

-

指南：闡明推薦方法和建議的文件

-

記錄：為完成的活動或達(dá)到的結(jié)果提供客觀證據(jù)的文件

文件化4.2.3

其它重要原則－文件化2024/10/144.3ISMS的實現(xiàn)方法4.3.1ISMS總則4.3.2建立ISMS框架4.3.3ISMS實施4.3.4ISMS體系文件4.3.5文件的控制4.3.6記錄2024/10/14

TheorganizationshallestablishandmaintaindocumentedISMS.Thisshalladdresstheassetstobeprotected,theorganization’sapproachtoriskmanagement,thecontrolobjectivesandcontrols,andthedegreeofassurancerequired.

組織應(yīng)該建立并運行一套文件化的ISMS

確定組織需要保護(hù)的資產(chǎn)確定風(fēng)險管理的方法確定風(fēng)險控制的目標(biāo)和控制措施確定要達(dá)到的安全保證程度

3.1General(總則)

4.3.1ISMS總則2024/10/14

建設(shè)ISMS的步驟：如下圖

3.2Establishingamanagementframework(建立管理框架)4.3.2建立ISMS框架2024/10/14制訂信息安全方針方針文檔定義ISMS范圍進(jìn)行風(fēng)險評估實施風(fēng)險管理選擇控制目標(biāo)措施準(zhǔn)備適用聲明第一步：第二步：第三步：第四步：第五步：第六步：ISMS范圍評估報告文件文件文件文件文件文件文檔化文檔化聲明文件4.3.2建立ISMS框架2024/10/14信息安全方針

一、目的：信息安全是指保證信息的保密性、完整性和可用性不受破壞。建立信息安全管理體系的目標(biāo)是對公司的信息安全進(jìn)行全面管理，二、公司總經(jīng)理張未來先生決定在整個公司范圍內(nèi)建立并實施信息安全管理體系。要求各部門高度重視，

第一步制訂信息安全方針4.3.2建立ISMS框架

組織應(yīng)定義信息安全方針。BS7799-2對ISMS的要求：2024/10/14什么是信息安全方針？

信息安全方針是由組織的最高管理者正式制訂和發(fā)布的該組織的信息安全的目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程。

信息安全方針4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/144.3.2建立ISMS框架

第一步制訂信息安全方針要經(jīng)最高管理者批準(zhǔn)和發(fā)布體現(xiàn)了最高管理者對信息安全的承諾與支持要傳達(dá)給組織內(nèi)所有的員工要定期和適時進(jìn)行評審信息安全方針2024/10/14目的和意義為組織提供了關(guān)注的焦點，指明了方向，確定了目標(biāo)；確保信息安全管理體系被充分理解和貫徹實施；統(tǒng)領(lǐng)整個信息安全管理體系。4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/14信息安全方針的內(nèi)容

包括但不限于：組織對信息安全的定義信息安全總體目標(biāo)和范圍最高管理者對信息安全的承諾與支持的聲明符合相關(guān)標(biāo)準(zhǔn)、法律法規(guī)、和其它要求的聲明對信息安全管理的總體責(zé)任和具體責(zé)任的定義相關(guān)支持文件4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/14注意事項簡單明了易于理解可實施避免太具體4.3.2建立ISMS框架

第一步制訂信息安全方針2024/10/144.3.2建立ISMS框架

第二步確定ISMS范圍

組織應(yīng)定義信息安全管理體系的范圍，范圍的邊界應(yīng)依據(jù)組織的結(jié)構(gòu)特征、地域特征、資產(chǎn)和技術(shù)特點來確定。

BS7799-2對ISMS的要求：2024/10/14可以根據(jù)組織的實際情況，將組織的一部分定義為信息安全管理范圍，也可以將組織整體定義為信息安全管理范圍；信息安全管理范圍必須用正式的文件加以記錄。4.3.2建立ISMS框架

第二步確定ISMS范圍2024/10/14文件是否明白地描述了信息安全管理體系的范圍范圍的邊界和接口是否已清楚定義4.3.2建立ISMS框架

第二步確定ISMS范圍ISMS范圍文件：2024/10/144.3.2建立ISMS框架

第三步風(fēng)險評估

組織應(yīng)進(jìn)行適當(dāng)?shù)娘L(fēng)險評估，風(fēng)險評估應(yīng)識別資產(chǎn)所面對的威脅、脆弱性、以及對組織的潛在影響，并確定風(fēng)險的等級。BS7799-2對ISMS的要求：2024/10/14是否執(zhí)行了正式的和文件化的風(fēng)險評估？是否經(jīng)過一定數(shù)量的員工驗證其正確性？風(fēng)險評估是否識別了資產(chǎn)的威脅、脆弱性和對組織的潛在影響？風(fēng)險評估是否定期和適時進(jìn)行？4.3.2建立ISMS框架

第三步風(fēng)險評估2024/10/144.3.2建立ISMS框架

第四步風(fēng)險管理

組織應(yīng)依據(jù)信息安全方針和組織要求的安全保證程度來確定需要管理的信息安全風(fēng)險。BS7799-2對ISMS的要求：2024/10/14

根據(jù)風(fēng)險評估的結(jié)果，選擇風(fēng)險控制方法，將組織面臨的風(fēng)險控制在可以接受的范圍之內(nèi)。4.3.2建立ISMS框架

第四步風(fēng)險管理2024/10/14是否定義了組織的風(fēng)險管理方法？是否定義了所需的信息安全保證程度？是否給出了可選擇的控制措施供管理層做決定？4.3.2建立ISMS框架

第四步風(fēng)險管理2024/10/144.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施

組織應(yīng)選擇適當(dāng)?shù)目刂拼胧┖涂刂颇繕?biāo)來滿足風(fēng)險管理的要求，并證明選擇結(jié)果的正確性。BS7799-2對ISMS的要求：2024/10/14安全問題安全需求控制目標(biāo)控制措施解決指出定義被滿足

第五步選擇控制目標(biāo)和控制措施4.3.2建立ISMS框架選擇控制措施的示意圖2024/10/14選擇的控制措施是否建立在風(fēng)險評估的結(jié)果之上？是否能從風(fēng)險評估中清楚地看出哪一些是基本控制措施，哪一些是必須的，哪一些是可以考慮選擇的控制措施？選擇的控制措施是否反應(yīng)了組織的風(fēng)險管理戰(zhàn)略？針對每一種風(fēng)險，控制措施都不是唯一的，要根據(jù)實際情況進(jìn)行選擇4.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施2024/10/14未選擇某項控制措施的原因風(fēng)險原因-沒有識別出相關(guān)的風(fēng)險財務(wù)原因-財務(wù)預(yù)算的限制環(huán)境原因-安全設(shè)備、氣候、空間等技術(shù)-某些控制措施在技術(shù)上不可行文化-社會環(huán)境的限制時間-某些要求目前無法實施其它-？4.3.2建立ISMS框架

第五步選擇控制目標(biāo)和控制措施2024/10/144.3.2建立ISMS框架

第六步準(zhǔn)備適用聲明

組織應(yīng)準(zhǔn)備適用聲明，記錄已選擇的控制措施和理由，以及未選擇的控制措施及其理由。BS7799-2對ISMS的要求：2024/10/14

在選擇了控制目標(biāo)和控制措施后，對實施某項控制目標(biāo)、措施和不實施某項控制目標(biāo)、措施進(jìn)行記錄，并對原因進(jìn)行解釋的文件。未來實現(xiàn)公司ISMS適用聲明4.3.2建立ISMS框架

第六步準(zhǔn)備適用聲明2024/10/14Theselectedcontrolobjectivesandcontrolsshallbeimplementedeffectivelybytheorganization.Theeffectivenessoftheproceduresadoptedtoimplementthecontrolsshallbeverifiedbyreviewsinaccordancewith4.10.2.

組織應(yīng)該對所選擇的控制目標(biāo)和控制措施有效的實施。實施程序的有效性應(yīng)依據(jù)4.10.2條之規(guī)定加以驗證。

4.10.2安全方針和技術(shù)符合性的評審

安全方針的符合性

技術(shù)符合性的檢查4.3.3ISMS實施BS7799-2對ISMS實施的要求：2024/10/14

信息安全管理體系文件應(yīng)包括如下方面的信息：按3.2條款規(guī)定采取的行動的證據(jù)對管理框架的總結(jié)，包括適用聲明中所列信息安全方針、控制目標(biāo)和控制措施3.3條規(guī)定的實施管理程序，此程序應(yīng)對責(zé)任和相關(guān)措施加以描述信息安全管理體系的管理和操作程序，此程序應(yīng)對責(zé)任和相關(guān)措施加以描述4.3.4ISMS體系文件BS7799-2對ISMS文件的要求：2024/10/14

組織要建立和維護(hù)一套控制3.4條款中要求的所有文件的流程，應(yīng)確保這些文件：

隨時可得根據(jù)組織的安全方針的變化得以定期評審和修訂版本要及時更新，并存放在信息安全管理體系的涉及的現(xiàn)場過時后及時撤換過時撤換后對其進(jìn)行分類存檔，用于事后憑據(jù)或查閱此類文本應(yīng)保持整潔、清楚，并標(biāo)明日期，按分類妥善保存至規(guī)定期限到期為止。針對各類文件的建立和修訂，要制定一定的流程和職責(zé)劃分。4.3.5ISMS文件控制BS7799-2對ISMS文件控制的要求：2024/10/14記錄作為ISMS運行結(jié)果的證據(jù)，要求加以保留，以證明是否符合ISMS和組織所提出的要求。記錄可為訪客記錄、審計記錄和出入證明等等。各單位應(yīng)建立并運行合理程序，以確認(rèn)、維護(hù)、保存和處理這些過程是否規(guī)范的要求。記錄要求清晰可辨，通過其可追溯到所記錄的活動情況。記錄的保存和維護(hù)應(yīng)當(dāng)做到隨時可得，并不得損壞、磨損或丟失。4.3.6ISMS記錄BS7799-2對ISMS記錄的要求：2024/10/14

5.1十類控制措施

5.2基本控制措施

5.3ISO17799控制目標(biāo)和控制措施概述

5.ISO17799中的控制目標(biāo)和控制措施2024/10/145.1

十類控制措施一、安全方針（SecurityPolicy）（1,2）（附注）二、安全組織（SecurityOrganization）(3,10)三、資產(chǎn)分類與控制(AssetclassificationandControl)(2,3)四、人員安全(PersonnelSecurity)(3,10)五、物理與環(huán)境安全(PhysicandEnvironmentSecurity)(3,13)六、通信與運行管理(CommunicationandOperationManagement)(7,24)八、系統(tǒng)開發(fā)與維護(hù)(Systemdevelopandmaintenance)(5,18)七、訪問控制(Accesscontrol)(8,31)九、業(yè)務(wù)持續(xù)性管理(Businesscontinuitymanagement)(1,5)十、符合性(Compliance)(3,11)附注：(m，n)－m：執(zhí)行目標(biāo)的數(shù)目n：控制方法的數(shù)目2024/10/145.1

十類控制措施(續(xù))ISO17799包含了36個控制目標(biāo)和127個控制措施不是所有的控制措施都適用于組織的各種情形所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制所描述的控制措施并不是必須適用于組織中的所有人2024/10/14

ISO17799推薦了八個控制措施作為信息安全的起始點（StartingPoint），組織可以此為基礎(chǔ)建立ISMS。這些控制措施在大多數(shù)情況下是普遍適用的。5.2基本控制措施2024/10/14與法律有關(guān)的控制措施12.1.4數(shù)據(jù)保護(hù)和個人隱私12.1.3組織記錄的保護(hù)12.1.2知識產(chǎn)權(quán)5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.4數(shù)據(jù)保護(hù)和個人隱私目標(biāo)：符合所在國家的數(shù)據(jù)保護(hù)法律和與個人隱私相關(guān)的法律數(shù)據(jù)保護(hù)法1998（英國）電子數(shù)據(jù)保護(hù)法（歐盟2002年6月通過）電信服務(wù)數(shù)據(jù)保護(hù)法（德國）個人隱私法（美國、加拿大等）電子通信隱私法（美國）5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.3組織記錄的保護(hù)目標(biāo)：保護(hù)重要的記錄不被丟失、破壞或偽造保留期存儲報廢處理5.2

基本控制措施－與法律相關(guān)的2024/10/14與法律有關(guān)的控制措施12.1.2知識產(chǎn)權(quán)

版權(quán)

軟件版權(quán)目標(biāo)：確保使用產(chǎn)品或服務(wù)時不違反國家有關(guān)知識產(chǎn)權(quán)和專屬軟件產(chǎn)品方面的法律、法規(guī)和法令。復(fù)制限制許可協(xié)議合同要求5.2

基本控制措施－與法律相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施3.1信息安全方針4.1.3信息安全責(zé)任分配6.2.1信息安全教育與培訓(xùn)6.3.1安全事件匯報11.1業(yè)務(wù)連續(xù)性管理

5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施3.1.1

信息安全方針文件目標(biāo)：為信息安全提供管理指導(dǎo)和支持。

信息安全方針5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施4.1.3

信息安全責(zé)任分配目標(biāo)：分配安全責(zé)任，使得信息安全在組織內(nèi)得以有效管理。和各個系統(tǒng)相關(guān)的各種資產(chǎn)和安全程序應(yīng)給予識別和明確的定義負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案授權(quán)級別應(yīng)清晰定義并記錄在案5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施6.2.1

信息安全教育與培訓(xùn)目標(biāo)：保證使用者有信息安全意識，理解并執(zhí)行信息安全方針，并有能力勝任信息安全的相關(guān)工作。安全意識安全知識5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施6.3.1

安全事件匯報目標(biāo)：最大程度減小安全事故和故障造成的破壞，并且監(jiān)控此類事故、從事故中學(xué)習(xí)。應(yīng)該建立正式的報告程序，同時建立事故響應(yīng)程序，闡明接到事故報告后所采取的行動。應(yīng)該使所有員工和簽約方知道報告安全事故的程序，并應(yīng)該要求他們盡快報告此類事故。應(yīng)該在事故被處理完并關(guān)閉后，執(zhí)行適當(dāng)?shù)姆答伋绦?，以確保那些報告的事故被通告了結(jié)果。5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施11.1

業(yè)務(wù)連續(xù)性管理目標(biāo)：抵制商業(yè)活動的中斷，保護(hù)關(guān)鍵的商業(yè)過程免受主要的故障或災(zāi)難的影響。

5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14與最佳實踐有關(guān)的控制措施11.

業(yè)務(wù)連續(xù)性管理

11.1業(yè)務(wù)連續(xù)性管理11.1.1過程11.1.2業(yè)務(wù)連續(xù)性和影響分析11.1.3制定和實施業(yè)務(wù)連續(xù)性計劃11.1.4業(yè)務(wù)連續(xù)性計劃框架11.1.5測試，維護(hù)和重新評估業(yè)務(wù)連續(xù)性計劃

測試業(yè)務(wù)連續(xù)性計劃

維護(hù)和重新評估業(yè)務(wù)連續(xù)性計劃5.2

基本控制措施－與最佳實踐相關(guān)的2024/10/14

10類控制36個控制目標(biāo)127項控制措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.3ISO17799控制目標(biāo)和控制措施概述3.

信息安全方針

目標(biāo)：為信息安全提供管理指導(dǎo)和支持。

3.1信息安全方針3.1.1信息安全方針文件3.1.2評審與評價2024/10/144.

安全組織

目標(biāo)：管理組織內(nèi)部的信息安全維護(hù)組織的信息處理設(shè)備和信息資產(chǎn)在被第三方訪問時的安全維護(hù)把信息處理的責(zé)任外包給其他組織時的信息安全性5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.

安全組織

4.1信息安全基礎(chǔ)結(jié)構(gòu)4.2第三方訪問的安全4.3外包5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.1信息安全基礎(chǔ)結(jié)構(gòu)4.1.1信息安全管理委員會4.1.2信息安全協(xié)作4.1.3信息安全責(zé)任分配4.1.4信息處理設(shè)施的授權(quán)過程4.1.5信息安全專家建議4.1.6組織間的合作4.1.7信息安全的獨立評審5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.2第三方訪問的安全4.2.1第三方訪問的風(fēng)險識別

訪問類型

訪問原因

現(xiàn)場工作的合同方4.2.2第三方合同中的安全要求5.3ISO17799控制目標(biāo)和控制措施概述2024/10/144.3外包4.3.1外包合同中的安全要求外包合同5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.

資產(chǎn)分類與控制

目標(biāo)：保持對組織資產(chǎn)的適當(dāng)保護(hù)確保信息資產(chǎn)受到適當(dāng)級別的保護(hù)

5.3ISO17799控制目標(biāo)和控制措施概述2024/10/145.

資產(chǎn)分類與控制

5.1資產(chǎn)責(zé)任

5.1.1資產(chǎn)清單5.2信息資產(chǎn)分類

5.2.1分類指南

5.2.2標(biāo)識和處理絕密機(jī)密秘密5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.

人員安全

目標(biāo)：降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險確保用戶意識到信息安全的威脅和利害關(guān)系，并在其日常工作過程中樹立支持組織安全方針的意識盡量減小安全事件和故障造成的損失，監(jiān)督此類事件并從中吸取教訓(xùn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.

人員安全

6.1崗位安全責(zé)任和人員錄用安全要求6.2用戶培訓(xùn)6.3安全事件與故障的響應(yīng)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.1崗位安全責(zé)任和人員錄用安全要求6.1.1崗位安全責(zé)任6.1.2人員選拔及其原則6.1.3保密協(xié)議6.1.4錄用條款5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.2用戶培訓(xùn)6.2.1信息安全教育與培訓(xùn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/146.3安全事件與故障響應(yīng)6.3.1報告安全事件6.3.2報告安全隱患6.3.3報告軟件故障6.3.4總結(jié)事件教訓(xùn)6.3.5處罰過程5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.

物理和環(huán)境安全

目標(biāo)：防止進(jìn)入業(yè)務(wù)安全區(qū)邊界，對信息進(jìn)行未授權(quán)的訪問、破壞和干擾防止資產(chǎn)的丟失、損壞或損害，以及業(yè)務(wù)活動的中斷防止信息和信息處理設(shè)施遭受損害或被盜5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.

物理和環(huán)境安全

7.1安全區(qū)域7.2設(shè)備安全7.3常規(guī)控制措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.1安全區(qū)域7.1.1邊界7.1.2出入控制7.1.3辦公室、房間和設(shè)施的安全7.1.4安全區(qū)工作守則7.1.5交接區(qū)隔離5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.2設(shè)備安全7.2.1設(shè)備安置及其保護(hù)7.2.2電源7.2.3線纜安全7.2.4設(shè)備維護(hù)7.2.5安全區(qū)外的設(shè)備安全7.2.6設(shè)備報廢或再利用的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/147.3常規(guī)控制措施7.3.1清空桌面和清屏7.3.2資產(chǎn)轉(zhuǎn)移5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.

通信和操作管理

目標(biāo)：確保信息處理設(shè)施正確運行與安全運行將系統(tǒng)故障的風(fēng)險降到最低保護(hù)軟件和信息的完整性保持信息處理與通信服務(wù)的完整性和可用性確保網(wǎng)絡(luò)信息的安全和支持性基礎(chǔ)設(shè)施得到保護(hù)防止資產(chǎn)損失和業(yè)務(wù)活動的中斷防止丟失、修改或誤用組織之間交換的信息5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.

通信和操作管理

8.1操作程序和責(zé)任8.2系統(tǒng)規(guī)劃和驗收8.3惡意軟件的防范8.4日常管理8.5網(wǎng)絡(luò)管理8.6媒體安全8.7信息及軟件的交換5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.1操作程序和責(zé)任8.1.1操作程序文件化8.1.2操作的變更控制8.1.3事件管理程序8.1.4職責(zé)劃分8.1.5開發(fā)設(shè)備與操作設(shè)備的隔離8.1.6外部設(shè)施管理5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.2系統(tǒng)規(guī)劃和驗收8.2.1容量規(guī)劃8.2.2系統(tǒng)驗收200120105.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.3惡意軟件的防范8.3.1惡意軟件的防范措施5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.4日常管理8.4.1信息備份8.4.2操作日志8.4.3錯誤記錄5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.5網(wǎng)絡(luò)管理8.5.1網(wǎng)絡(luò)控制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.6媒體安全8.6.1可移動的計算機(jī)媒體的管理8.6.2媒體處置8.6.3信息處理程序8.6.4系統(tǒng)文檔安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/148.7信息及軟件的交換8.7.1信息及軟件交換協(xié)議8.7.2媒體傳輸安全8.7.3電子商務(wù)安全8.7.4電子郵件安全8.7.5電子辦公系統(tǒng)安全8.7.6公開可用系統(tǒng)8.7.7其它形式的信息交換5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.

訪問控制

目標(biāo)：控制對信息的訪問防止對信息系統(tǒng)的未授權(quán)訪問防止未授權(quán)的用戶訪問保護(hù)網(wǎng)絡(luò)服務(wù)，控制對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)的訪問防止對計算機(jī)的未授權(quán)訪問防止對信息系統(tǒng)內(nèi)的信息的未授權(quán)訪問檢測未授權(quán)的活動確保使用可移動計算機(jī)和遠(yuǎn)程工作設(shè)施時的信息的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.

訪問控制

9.1訪問控制的業(yè)務(wù)需求9.2用戶訪問管理9.3用戶職責(zé)9.4網(wǎng)絡(luò)訪問控制9.5操作系統(tǒng)訪問控制9.6應(yīng)用系統(tǒng)訪問控制9.7系統(tǒng)訪問和使用的監(jiān)控9.8移動計算和遠(yuǎn)程工作5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.1訪問控制的業(yè)務(wù)需求9.1.1訪問控制策略

策略和業(yè)務(wù)需求

訪問控制規(guī)則5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.2用戶訪問管理9.2.1用戶注冊9.2.2特權(quán)管理9.2.3用戶口令管理9.2.4用戶訪問權(quán)限的評審5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.3用戶職責(zé)9.3.1口令的使用9.3.2無人值守的用戶設(shè)備5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.4網(wǎng)絡(luò)訪問控制9.4.1網(wǎng)絡(luò)服務(wù)使用策略9.4.2強(qiáng)制路徑9.4.3外部連接的用戶身份認(rèn)證9.4.4節(jié)點認(rèn)證9.4.5遠(yuǎn)程診斷端口保護(hù)9.4.6網(wǎng)絡(luò)劃分9.4.7網(wǎng)絡(luò)連接控制9.4.8網(wǎng)絡(luò)路由控制9.4.9網(wǎng)絡(luò)服務(wù)安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.5操作系統(tǒng)訪問控制9.5.1自動終端識別9.5.2終端登錄程序9.5.3用戶識別與認(rèn)證9.5.4口令管理系統(tǒng)9.5.5系統(tǒng)工具的使用9.5.6強(qiáng)制報警9.5.7終端超時9.5.8連接時間的限制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.6應(yīng)用系統(tǒng)訪問控制9.6.1信息訪問限制9.6.2敏感系統(tǒng)隔離5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.7系統(tǒng)訪問和使用的監(jiān)控9.7.1事件日志9.7.2系統(tǒng)使用的監(jiān)控

監(jiān)控程序

風(fēng)險因素

事件記錄與評審9.7.3時鐘同步5.3ISO17799控制目標(biāo)和控制措施概述2024/10/149.8移動計算和遠(yuǎn)程工作9.8.1移動計算9.8.2遠(yuǎn)程工作5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.

系統(tǒng)開發(fā)和維護(hù)

目標(biāo)：確保信息系統(tǒng)的安全防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)保護(hù)信息的機(jī)密性、真實性或完整性確保IT項目及其支持活動得以一種安全的方式進(jìn)行。對系統(tǒng)文件的訪問應(yīng)得到控制維護(hù)應(yīng)用系統(tǒng)軟件與信息的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.

系統(tǒng)開發(fā)和維護(hù)

10.1系統(tǒng)安全需求10.2應(yīng)用系統(tǒng)安全10.3加密控制10.4系統(tǒng)文件安全10.5開發(fā)過程和支持過程的安全5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.1系統(tǒng)安全需求10.1.1安全需求分析及其說明說明書。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

商業(yè)情況。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect

安全需求。Processofidentifying,controllingandminimizingoreliminatingsecurityrisksthatmayaffect,5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.2應(yīng)用系統(tǒng)安全10.2.1輸入數(shù)據(jù)的確認(rèn)10.2.2內(nèi)部處理的控制

風(fēng)險

檢查和控制10.2.3消息驗證10.2.4輸出數(shù)據(jù)的確認(rèn)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.3加密控制10.3.1加密控制策略10.3.2加密10.3.3數(shù)字簽名10.3.5密鑰管理10.3.4防抵賴10.3.5密鑰管理

密鑰保護(hù)

標(biāo)準(zhǔn)、程序和方法5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.4系統(tǒng)文件安全10.4.1運行軟件的控制10.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)10.4.3源代碼的訪問控制5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1410.5開發(fā)過程和支持過程的安全10.5.1變更控制程序10.5.2操作系統(tǒng)變更的技術(shù)評審10.5.3軟件包變更的限制10.5.4隱蔽信道和特洛伊代碼10.5.5外包的軟件開發(fā)5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1411.

業(yè)務(wù)連續(xù)性管理

目標(biāo)：防止業(yè)務(wù)活動的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受重大故障或災(zāi)難的影響5.3ISO17799控制目標(biāo)和控制措施概述2024/10/1411.

業(yè)務(wù)連續(xù)性管理

11.1業(yè)務(wù)連續(xù)性管理11.1.1過程11.1.2業(yè)務(wù)連續(xù)性和影響分析11.1.3制定和實施業(yè)務(wù)連續(xù)性計劃11.1.4業(yè)務(wù)連續(xù)性計劃框架11.1.5測試，維護(hù)和重新評估業(yè)務(wù)連續(xù)性計劃

測試業(yè)務(wù)