【正文】 設(shè)的整個(gè)過程中同步考慮。2/2/2023 43信息 安全管理日常運(yùn)行于維護(hù)的安全管理167。 一個(gè)信息系統(tǒng)及其信息安全系統(tǒng)建設(shè)完成后，其安全工作并沒有結(jié)束。真正的安全效果需要通過日常運(yùn)行中的安全管理來實(shí)現(xiàn)，工程過程中奠定的信息安全基礎(chǔ)需要通過管理手段加以發(fā)揮。2/2/2023 44信息 安全管理配置管理和變更管理167。 配置管理和變更管理是任何形式的管理中不可或缺的管理過程。在信息安全管理中，這兩方面管理的作用尤為突出。167。 配置管理 ： 從信息安全管理的角度看，應(yīng)當(dāng)對(duì)被保護(hù)的資產(chǎn)以及相應(yīng)的保護(hù)措施進(jìn)行配置描述，并應(yīng)當(dāng)對(duì)各個(gè)配置描述進(jìn)行持續(xù)的跟蹤管理。167。 變更管理 ：人員、設(shè)備、流程等各個(gè)方面的變化，都可能導(dǎo)致信息安全風(fēng)險(xiǎn)的變化，因此，要對(duì)信息系統(tǒng)中重要的變更進(jìn)行管理。需要建立正規(guī)的變更流程來控制變更可能導(dǎo)致的風(fēng)險(xiǎn)。2/2/2023 45信息 安全管理文檔化和流程規(guī)范化167。 文檔化 是信息安全管理工作的重要部分。只有將各種管理辦法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息安全管理工作進(jìn)一步得到落實(shí)和貫徹。業(yè)務(wù)的運(yùn)行以及單位自身的正常運(yùn)營(yíng)需要通過許多操作過程（ 流程 ）來具體實(shí)現(xiàn)，管理流程的規(guī)范化程度可以體現(xiàn)管理的水平。2/2/2023 46信息 安全管理新技術(shù)、新方法的跟蹤和采用167。 不斷運(yùn)用新技術(shù)、新方法是提高業(yè)務(wù)能力和競(jìng)爭(zhēng)力水平的重要手段。因此，對(duì)于新技術(shù)和新方法要不斷跟蹤，并有計(jì)劃地將新技術(shù)和新方法應(yīng)用到業(yè)務(wù)系統(tǒng)中。甚至，為了保證競(jìng)爭(zhēng)力的持續(xù)提高，還要進(jìn)行前瞻性的技術(shù)和方法研究。但是新的技術(shù)和方法可能帶來新的風(fēng)險(xiǎn)，甚至一些風(fēng)險(xiǎn)在該技術(shù)沒有得到廣泛應(yīng)用和成熟化之前很難被發(fā)現(xiàn)。因此，在采取任何較新的技術(shù)和方法之前，都要進(jìn)行嚴(yán)格的安全評(píng)估。2/2/2023 47信息 安全管理風(fēng)險(xiǎn)管理167。 風(fēng)險(xiǎn)管理是基本管理過程之一。信息安全風(fēng)險(xiǎn)管理是整體風(fēng)險(xiǎn)管理的一個(gè)有機(jī)組成部分，是其在信息化領(lǐng)域的具體體現(xiàn)。在信息安全風(fēng)險(xiǎn)管理過程中，要實(shí)施如下工作：167。 資產(chǎn)鑒別、分類和評(píng)價(jià)167。 威脅鑒別和評(píng)價(jià)167。 脆弱性評(píng)估 — 評(píng)估防護(hù)措施的效力和存在的脆弱性167。 安全風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí) — 綜合資產(chǎn)、威脅、脆弱性的評(píng)估和評(píng)價(jià)，完成最終的風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。167。 決策并實(shí)施風(fēng)險(xiǎn)處理措施 — 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，作出風(fēng)險(xiǎn)處理和控制的相關(guān)決策，并投入實(shí)施。2/2/2023 48信息 安全管理業(yè)務(wù)連續(xù)性管理167。 業(yè)務(wù)連續(xù)性管理不僅僅是災(zāi)難恢復(fù)、危機(jī)管理、風(fēng)險(xiǎn)管理控制或者技術(shù)恢復(fù)，也不僅僅是一個(gè)專業(yè)的技術(shù)問題，更重要的是一個(gè)業(yè)務(wù)驅(qū)動(dòng)和高層驅(qū)動(dòng)的管理問題。它是一個(gè) 全盤的管理過程 ，重在識(shí)別潛在的影響，建立整體的恢復(fù)能力和順應(yīng)能力，在危機(jī)或?yàn)?zāi)害發(fā)生時(shí)保護(hù)信息系統(tǒng)所有者的聲譽(yù)和利益。2/2/2023 49信息 安全管理符合性審核167。 符合性審核是確保整體管理工作有效實(shí)施的重要管理過程。此類管理過程可以將信息安全管理工作納入到一個(gè)良性的、持續(xù)改進(jìn)的循環(huán)中。 需要考慮的審核內(nèi)容包括： 法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要求。2/2/2023 50信息 安全管理信息安全管理體系構(gòu)成167。 方針與策略管理167。 風(fēng)險(xiǎn)管理167。 人員與組織管理167。 環(huán)境與設(shè)備管理167。 網(wǎng)絡(luò)與通信管理167。 主機(jī)與系統(tǒng)管理167。 應(yīng)用于業(yè)務(wù)管理167。 數(shù)據(jù) /文檔 /介質(zhì)167。 項(xiàng)目工程管理167。 運(yùn)行維護(hù)管理167。 1業(yè)務(wù)連續(xù)性管理167。 1合規(guī)性管理2/2/2023 51信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險(xiǎn)管理業(yè)務(wù)連續(xù)性管理項(xiàng)目工程管理運(yùn)行維護(hù)管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構(gòu)成2/2/2023 52信息 安全管理方針與策略管理167。 確保企業(yè)、組織擁有明確的信息安全方針以及配套的策略和制度，以實(shí)現(xiàn)對(duì)信息安全工作的支持和承諾，保證信息安全的資金投入。2/2/2023 53信息 安全管理風(fēng)險(xiǎn)管理167。 信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過程，而是管理風(fēng)險(xiǎn)的過程。沒有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。信息安全體系建設(shè)的目標(biāo)就是把風(fēng)險(xiǎn)控制在可以接受的范圍之內(nèi)，風(fēng)險(xiǎn)管理同時(shí)也是一個(gè)動(dòng)態(tài)持續(xù)的過程。2/2/2023 54信息 安全管理人員與組織管理167。 建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對(duì)第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生信息安全風(fēng)險(xiǎn)。2/2/2023 55信息 安全管理環(huán)境與設(shè)備管理167。 控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險(xiǎn)。管理的內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。2/2/2023 56信息 安全管理網(wǎng)絡(luò)與通信安全167。 控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對(duì)業(yè)務(wù)系統(tǒng)的損害。2/2/2023 57信息 安全管理主機(jī)與系統(tǒng)管理167。 控制和保護(hù)主機(jī)及其系統(tǒng)，防止受到破壞和濫用，避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。2/2/2023 58信息 安全管理應(yīng)用與業(yè)務(wù)管理167。 對(duì)各類應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止受到破壞和濫用。2/2/2023 59信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理167。 采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。2/2/2023 60信息 安全管理項(xiàng)目工程管理167。 保護(hù)信息系統(tǒng)項(xiàng)目過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。2/2/2023 61信息 安全管理運(yùn)行維護(hù)管理167。 保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。2/2/2023 62信息 安全管理業(yè)務(wù)連續(xù)性管理167。 通過設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。2/2/2023 63信息 安全管理合規(guī)性管理167。 確保信息安全保障工作符合國(guó)家法律、法規(guī)的要求；并且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。2/2/2023 64信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 方針與策略管理 ：是整個(gè)信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對(duì)于其他所有的信息安全管理類都有指導(dǎo)和約束的關(guān)系。2/2/2023 65信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 人員與組織管理 ：是要根據(jù)方針和策略來執(zhí)行的信息安全管理工作。2/2/2023 66信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 合規(guī)性管理 ：指導(dǎo)如何檢查信息安全管理工作的效果。特別是對(duì)于國(guó)家法律法規(guī)，方針政策和標(biāo)準(zhǔn)符合程度的檢驗(yàn)。2/2/2023 67信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 根據(jù)方針與策略，由人員與組織實(shí)施信息安全管理工作。在實(shí)施中主要從兩個(gè)角度來考慮問題，即風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理。2/2/2023 68信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)分為 兩個(gè)階段 ，即項(xiàng)目工程開發(fā)階段和運(yùn)行維護(hù)階段。這兩個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標(biāo)準(zhǔn)167。 一、 BS 7799167。 二、 其他標(biāo)準(zhǔn)2/2/2023 70信息 安全管理BS 7799簡(jiǎn)介167。 BS 7799概述：167。 BS 7799是英國(guó)標(biāo)準(zhǔn)委員會(huì)（ Britsh Standards Insstitute,BSI）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)。167。 分為兩個(gè)部分：167。 第一部分：被國(guó)際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 17799:2023標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（ Code of Practice for Information Security Management），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為 11方面，提供了 133項(xiàng)安全控制措施（最佳實(shí)踐）。167。 第二部分：被國(guó)際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 20231:2023標(biāo)準(zhǔn)的部分，是建立信息安全管理體系（ ISMS）的一套規(guī)范（Specification for Information Security Management Systems ） ,其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，可以用來指導(dǎo)相關(guān)人員應(yīng)用 ISO/IEC 17799:2023,其最終目的在于建立適合企業(yè)需要的信息安全管理體系。2/2/2023 71信息 安全管理BS 7799發(fā)展歷程167。 BS 7799最初由英國(guó)貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。167。 1995年， BS 7799 1:1995《信息安全管理實(shí)施細(xì)則》首次發(fā)布167。 1998年， BS 77992:1998《信息安全管理體系規(guī)范》發(fā)布167。 1999年 4月， BS 7799的兩個(gè)部分被修訂，形成了完整的 BS 77991:1999167。 2023年國(guó)際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即 ISO/IEC 17799:2023《信息技術(shù) — 信息安全管理實(shí)施細(xì)則》167。 2023年 BSI對(duì) BS 77992： 1999進(jìn)行了重新修訂，正式引入 PDCA過程模型；167。 2023年 9月 BS 77992:2023正式發(fā)布167。 2023年 6月， ISO/IEC 17799:2023經(jīng)過改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 目前有 20多個(gè)國(guó)家和地區(qū)引用 BS 7799作為本國(guó)（地區(qū)）標(biāo)準(zhǔn)，有 40多個(gè)國(guó)家和地區(qū)開展了與此相關(guān)的業(yè)務(wù)。167。 在我國(guó) ISO 17799:2023已經(jīng)被轉(zhuǎn)化為 GB/T 1971620232/2/2023 72信息 安全管理BS7799的內(nèi)容*BS77991:《信息安全管理實(shí)施規(guī)則》 主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。 *BS77992:《信息安全管理體系規(guī)范》 詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過風(fēng)險(xiǎn)評(píng)估來鑒定最適宜的控制對(duì)象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤? 2/2/2023 73信息 安全管理 信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個(gè)方面， 39個(gè)控制目標(biāo)， 133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這 11個(gè)方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產(chǎn)管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問控制 (Access Control)信息系統(tǒng)獲取、開發(fā)與維護(hù) (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務(wù)連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。 安全策略 ：包括信息安全策略文件和信息安全策略復(fù)查。167。 組織安全 ：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪問、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。167。 資產(chǎn)管理 ：包括建立資產(chǎn)清單、進(jìn)行信息分類與分級(jí)167。 人力資源安全 ：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全意識(shí)，離職及變更職位等。BS77991(ISO/IEC17799)2/2/2023 76信息 安全管理167。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設(shè)備安全管理等167。 通信與操作管理 ：包括操作程序和責(zé)任，系統(tǒng)規(guī)劃和驗(yàn)收，防范惡意軟件，內(nèi)務(wù)管理，網(wǎng)絡(luò)管理，介質(zhì)安全管理，信息與軟件交換安全167。 訪問控制 ：包括訪問控制策略，用戶訪問控制，網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用訪問控制，監(jiān)控與審計(jì)，移動(dòng)和遠(yuǎn)程訪問BS77991(ISO/IEC17799)2/2/2023 77信息 安全管理167。 信息系統(tǒng)獲取、開發(fā)與維護(hù) ：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制167。 信息安全事件管理 ：報(bào)告信息安全