【正文】 可以根據(jù)需要額外考慮另外的控制目標(biāo)和控制措施。 85 表 51 BS 77991中控制方面、控制目標(biāo)與控制措施 控 制 方 面 控 制 目 標(biāo) 控 制 措 施 安全方針 ( 1 ， 2 ) 為信息安全提供管理方向和支持 建立安全方針文檔，并評(píng)審與評(píng)價(jià)方針 安全組織 ( 3 ， 10 ) 建立組織內(nèi)的管理體系，以便安全管理 完善組織結(jié)構(gòu)，控制組織內(nèi)部信息安全，保證被第三方訪問的設(shè)施和信息資產(chǎn)安全，進(jìn)行外部信息安全評(píng)審，確保外包合同安全 資產(chǎn)分類與控制 ( 2 ， 3 ) 維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng) 制定資產(chǎn)清單，進(jìn)行信息標(biāo)簽分類，確保信息資產(chǎn)受到適當(dāng)保護(hù) 人員安全 ( 3 ， 10 ) 減少人為造成的風(fēng)險(xiǎn) 減少錯(cuò) 誤、盜竊、濫用等造成的風(fēng)險(xiǎn)，進(jìn)行教育培訓(xùn)，完善事故反應(yīng)機(jī)制，總結(jié)教訓(xùn)，獎(jiǎng)罰并用 物理與環(huán)境安全 ( 3 ， 13 ) 防止未許可的介入、損傷和干擾服務(wù) 阻止對(duì)工作區(qū)和物理設(shè)備的非法進(jìn)入，防止資產(chǎn)的丟失、損壞或泄露造成業(yè)務(wù)活動(dòng)的中斷，桌面與屏幕管理阻止信息的泄露 通信和運(yùn)營管理 ( 7 ， 24 ) 保證通信和操作設(shè)備的正確和安全 確保信息處理設(shè)備的正確與安全操作，減少系統(tǒng)失效風(fēng)險(xiǎn)，保持軟件和信息的完整性，保持信息處理和通信的完整性和有效性，確保網(wǎng)絡(luò)中信息及其支持系統(tǒng)的安全，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)中斷，防止組織間在交換信息時(shí) 發(fā)生信息丟失、更改和 誤用 訪問控制 ( 8 ， 31 ) 控制對(duì)業(yè)務(wù)信息的 訪問 控制信息訪問，防止非授權(quán)訪問設(shè)備、計(jì)算機(jī)、系統(tǒng)及信息，保護(hù)網(wǎng)絡(luò)服務(wù)，檢測非法行為，確保使用移動(dòng)式計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全 系統(tǒng)開發(fā)與維護(hù) ( 5 ， 18 ) 保證系統(tǒng)開發(fā)與維護(hù)的安全 確保安全性深入到操作系統(tǒng)中，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、修改或誤用，保護(hù)信息的保密性、完整性和可靠性，保證 IT 方案及其支持活動(dòng)以安全的方式進(jìn)行，維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全 業(yè)務(wù)持續(xù)性管理 ( 1 ， 5 ) 防止商業(yè)活動(dòng)中斷和事故的影響 防止業(yè)務(wù)活動(dòng)的中斷， 并保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或?yàn)?zāi)難影響 法律符合性 ( 3 ， 11 ) 避免任何違反法律法規(guī)、合同等行為 避免與有關(guān)法律法規(guī)或合同約定事項(xiàng)相抵觸，確保安全體系按安全方針及標(biāo)準(zhǔn)執(zhí)行，將系統(tǒng)的審核效果最大化，并使其影響最小化 86 2.? BS 77992 BS 77992規(guī)定了建立、實(shí)施和維護(hù)信息安全管理體系的要求，規(guī)定了根據(jù)組織的需要應(yīng)實(shí)施安全控制的要求。 信息安全方針是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門的實(shí)際情況，分別制定不同的信息安全方針。 89 (2) 確定 ISMS的范圍。 風(fēng)險(xiǎn)評(píng)估主要對(duì) ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后資產(chǎn)所受的威脅、脆弱性及威脅發(fā)生后對(duì)組織的影響進(jìn)行評(píng)估， 90 同時(shí)對(duì)已存在的或規(guī)劃中的安全措施進(jìn)行鑒定，用以識(shí)別目前面臨的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)等級(jí)。 根據(jù)信息安全方針、所要求的安全程度和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理， 91 管理風(fēng)險(xiǎn)包括識(shí)別所需的安全措施，通過降低、避免、轉(zhuǎn)移將風(fēng)險(xiǎn)降為可接受的水平。因?yàn)樾畔踩且粋€(gè)動(dòng)態(tài)的系統(tǒng)工程，組織應(yīng)實(shí)時(shí)地對(duì)選擇的控制目標(biāo)和控制措施進(jìn)行驗(yàn)證和調(diào)整，以應(yīng)對(duì)不斷變化的情況，使信息資產(chǎn)得到有效的、經(jīng)濟(jì)的、合理的保護(hù)。 93 除此之外，在建立信息安全管理體系的過程中，需要按標(biāo)準(zhǔn)要求建立管理的證據(jù)，即信息安全管理體系文件，它一般包括方針、適用性聲明、方針手冊(cè)、程序文件、作業(yè)指導(dǎo)書和記錄等。 信息安全管理體系可以定義在組織的整個(gè)信息系統(tǒng)中，也可以是信息系統(tǒng)的某些部分， 95 或者是一個(gè)特定的信息系統(tǒng)，包括處理、存儲(chǔ)和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)與技術(shù)等。各單位以此建立自己的信息安全管理體系，可以在別人的基礎(chǔ)上根據(jù)自己的實(shí)際情況選擇引入 BS 7799的模式。 (2) 定期監(jiān)督審核能加強(qiáng)系統(tǒng)的安全性，減少系統(tǒng)故障和潛在的風(fēng)險(xiǎn)隱患，節(jié)約資源。 98 (6) 獲得國際認(rèn)可的認(rèn)證證書，能得到國際上的承認(rèn)。 99 要有效地保護(hù)信息系統(tǒng)的安全，涉及到信息系統(tǒng)研制單位、信息化應(yīng)用工程建設(shè)單位、乃至國家有關(guān)主管部門共同實(shí)施的大問題，需要在立法、行政、技術(shù)三方面采取綜合措施。其作用主要有以下幾個(gè)方面： 101 為了支持審計(jì)工作，要求數(shù)據(jù)庫管理系統(tǒng)具有高可靠性和高完整性，在審計(jì)數(shù)據(jù)的獲取、傳輸、存儲(chǔ)過程中都應(yīng)該注意安全問題。 103 安全管理機(jī)構(gòu)的人員應(yīng)該包括領(lǐng)導(dǎo)和專業(yè)人員，按不同任務(wù)進(jìn)行分工以確立各自的責(zé)任，一類人員負(fù)責(zé)確定安全措施，包括方針政策、策略的制定，并協(xié)調(diào)和監(jiān)督檢查安全措施的實(shí)施，另一類人員是分工具體管理系統(tǒng)的安全工作。在人事審查和錄用，崗位和職員范圍的確定，人事檔案管理，工作評(píng)價(jià)，人員的提升、調(diào)動(dòng)、免職等方面要有具體的管理措施。 106 4. 加強(qiáng)安全管理 在健全管理機(jī)構(gòu)和人事管理制度后，具體的工作就是安全管理。 108 信息安全管理是信息安全保障體系建設(shè)的重要組成部分，對(duì)于保護(hù)信息資源、降低信息系統(tǒng)安全風(fēng)險(xiǎn)、指導(dǎo)信息安全體系建設(shè)具有重要作用，是組織中用于指導(dǎo)和管理各種控制信息安全風(fēng)險(xiǎn)、相互協(xié)調(diào)的活動(dòng)，有效的信息安全管理要盡量做到在有限的成本下，保證系統(tǒng)中的信息安全。 110 信息系統(tǒng)的主要安全因素包括資產(chǎn)、威脅、脆弱性、意外事件影響、風(fēng)險(xiǎn)和保護(hù)措施等，這些因素之間相互影響而存在。 企業(yè)或組織具體選擇 ISMS的范圍模式，取決于組織的實(shí)際需要，一個(gè)組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，并且關(guān)鍵在于企業(yè)的重視程度和制度落實(shí)的情況。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1以我獨(dú)沈久，愧君相見頻。 2023年 3月 8日星期三 下午 11時(shí) 17分 8秒 23:17: 1比不了得就不比，得不到的就不要。 下午 11時(shí) 17分 8秒 下午 11時(shí) 17分 23:17: 沒有失敗，只有暫時(shí)停止成功！。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1不知香積寺，數(shù)里入云峰。 2023年 3月 下午 11時(shí) 17分 :17March 8, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :17:0823:17:08March 8, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 下午 11時(shí) 17分 8秒 下午 11時(shí) 17分 23:17: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家告訴 。 2023年 3月 下午 11時(shí) 17分 :17March 8, 2023 1業(yè)余生活要有意義，不要越軌。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1知人者智，自知者明。 下午 11時(shí) 17分 8秒 下午 11時(shí) 17分 23:17: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 8日星期三 下午 11時(shí) 17分 8秒 23:17: 1楚塞三湘接，荊門九派通。 23:17:0823:17:0823:173/8/2023 11:17:08 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 2023年 3月 下午 11時(shí) 17分 :17March 8, 2023 1行動(dòng)出成果，工作出財(cái)富。 23:17:0823:17:0823:17Wednesday, March 8, 2023 1乍見翻疑夢(mèng)，相悲各問年。 113 靜夜四無鄰，荒居舊業(yè)貧。 111 BS 7799是世界上影響最深、最具代表性的信息安全管理體系標(biāo)準(zhǔn)，分為兩個(gè)部分，即信息安全管理實(shí)施細(xì)則 (BS 77991)和信息安全管理體系規(guī)范 (BS 77992)。經(jīng)過幾年的發(fā)展，取得了一定的成績，但仍面臨巨大的考驗(yàn)。 安全管理主要基于以下原則： 加強(qiáng)思想教育和安全業(yè)務(wù)培訓(xùn)，不斷提高員工的思想素質(zhì)和技術(shù)水平。許多安全威脅來自內(nèi)部人員，他們可能是無意間造成錯(cuò)誤，也可能是內(nèi)外勾結(jié)蓄意破壞系統(tǒng)，竊取機(jī)密或敏感信息，造成重大的損失。 加強(qiáng)行政管理工作，要求管理機(jī)構(gòu)要把以下幾點(diǎn)做到位，而不流于形式： 信息安全管理的實(shí)施要點(diǎn) 100 1. 加強(qiáng)審計(jì)管理 對(duì)信息系統(tǒng)中的所有資源 (包括服務(wù)、文件、數(shù)據(jù)庫、主機(jī)、操作系統(tǒng)、安全設(shè)備等 )進(jìn)行安全審計(jì)，記錄所有發(fā)生的事件，以提供給系統(tǒng)管理員作為系統(tǒng)維護(hù)以及安全防范的依據(jù)。在實(shí)施過程中一定要注意， BS 7799里所描述的所有控制措施不可能適合企業(yè)內(nèi)的每一種情況。 (4) 能夠向政府及行業(yè)主管部門證明企業(yè)對(duì)相關(guān)法律法規(guī)的符合性。當(dāng)組織通過了它們的認(rèn)證，就相當(dāng)于通過了 ISO 9000的質(zhì)量認(rèn)證一般，表明組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。一個(gè)組織可以為企業(yè)的不同部分、不同方面定義不同的 ISMS，例如，可以為公司與合作商的特定貿(mào)易關(guān)系定義一個(gè)信息安全管理系統(tǒng)。 94 引入 BS 7799的好處 保證信息安全不是僅靠一些安全設(shè)備，或?qū)で笮畔踩?wù)公司幫助就可以達(dá)到，而是需要全面的綜合管理。 適用性聲明 (SoA， Statement of Application)是對(duì)組織選擇的控制目標(biāo)和控制措施的記述性文件，標(biāo)準(zhǔn)中不適用的控制措施也要在聲明中加以說明，但不能提供太過詳細(xì)、有價(jià)值的信息，防止被某些不懷好意的人所利用。 (5) 選擇控制目標(biāo)與控制措施。 要注意的是， ISMS的成功建立與實(shí)施，及它對(duì)組織的價(jià)值很大程度上取決于風(fēng)險(xiǎn)評(píng)估的質(zhì)量。在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼Ｍ瑫r(shí)要對(duì)所有相關(guān)員工進(jìn)行培訓(xùn)，必要時(shí)對(duì)負(fù)特殊責(zé)任的人員進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正根植于所有員工的意識(shí)及行為中。 在根據(jù)業(yè)務(wù)的性質(zhì)、組織結(jié)構(gòu)、資產(chǎn)和技術(shù)等確定信息安全體系的范圍之后，可按照 BS 77992建立信息安全管理體系，其步驟如圖 55所示。組織應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，從中選擇適宜的控制目標(biāo)與控制措施，對(duì)于不適宜的條款應(yīng)在適用性聲明中給予說明。第一部分主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全；第二部分詳細(xì)說明了建立、實(shí)施和維護(hù) ISMS的要求，指出實(shí)施組織需要通過風(fēng)險(xiǎn)評(píng)估來鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂??！缎畔踩L(fēng)險(xiǎn)管理指南》 (GB/Z 24364— 2023) 《信息系統(tǒng)安全管理要求》 (GB/T 20269— 2023) NIST在 FIPS 199的基礎(chǔ)上發(fā)布了 SP 80060，描述了安全分類過程以及如何建立信息系統(tǒng)安全類別，以幫助聯(lián)邦政府對(duì)信息和信息系統(tǒng)進(jìn)行分類。 2023 年通過的《聯(lián)邦信息安全管理法案》 (FISMA，The Federal Information Security Management Act)賦予 NIST制定標(biāo)準(zhǔn)和指南的職責(zé)。管理者、內(nèi)部審計(jì)員、用戶、系統(tǒng)開發(fā)者和安全從業(yè)人員可通過該文檔獲得大多數(shù) IT系統(tǒng)應(yīng)包含的基本安全需求。 在 SP 800系列中， SP 80012(1995年 1月 )和 SP 80014(1996年 9月 )這兩篇文獻(xiàn)是 SP 800 系列的基礎(chǔ)。SP 80037《聯(lián)邦