【正文】 管理的要求，并證明選擇結(jié)果的正確性。實(shí)施程序的有效性應(yīng)依據(jù) 。記錄可為訪客記錄、審計記錄和出入證明等等。 ISMS記錄 BS77992對 ISMS記錄的要求： 2023/3/8 十類控制措施 基本控制措施 ISO17799控制目標(biāo)和控制措施概述 5. ISO17799中的控制目標(biāo)和控制措施 2023/3/8 十類控制措施 一、安全方針（ Security Policy）（ 1,2）（附注） 二、安全組織（ Security Organization） (3,10) 三、資產(chǎn)分類與控制 (Asset classification and Control)(2,3) 四、人員安全(Personnel Security) (3,10) 五、物理與環(huán)境安全 (Physic and Environment Security)(3,13) 六、通信與運(yùn)行管理(Communication and Operation Management)(7,24) 八、系統(tǒng)開發(fā)與維護(hù) (System develop and maintenance)(5,18) 七、訪問控制 (Access control)(8,31) 九、業(yè)務(wù)持續(xù)性管理 (Business continuity management)(1,5) 十、符合性 (Compliance)(3,11) 附注： (m， n)－ m：執(zhí)行目標(biāo)的數(shù)目 n：控制方法的數(shù)目 2023/3/8 十類控制措施 (續(xù) ) ? ISO17799包含了 36個控制目標(biāo)和 127個控制措施 – 不是所有的控制措施都適用于組織的各種情形 – 所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制 – 所描述的控制措施并不是必須適用于組織中的所有人 2023/3/8 ISO17799推薦了八個控制措施作為信息安全的起始點(diǎn)（ Starting Point），組織可以此為基礎(chǔ)建立 ISMS。 信息安全方針 基本控制措施－與最佳實(shí)踐相關(guān)的 2023/3/8 與最佳實(shí)踐有關(guān)的控制措施 信息安全責(zé)任分配 目標(biāo)： ? 分配安全責(zé)任，使得信息安全在組織內(nèi)得以有效管理 。 ? 應(yīng)該使所有員工和簽約方知道報告安全事故的程序，并應(yīng)該要求他們盡快報告此類事故。 信息安全方針 信息安全方針文件 評審與評價 2023/3/8 4. 安全組織 目標(biāo)： ? 管理組織內(nèi)部的信息安全 ? 維護(hù)組織的信息處理設(shè)備和信息資產(chǎn)在被第三方訪問時的安全 ? 維護(hù)把信息處理的責(zé)任外包給其他組織時的信息安全性 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 4. 安全組織 信息安全基礎(chǔ)結(jié)構(gòu) 第三方訪問的安全 外包 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 信息安全基礎(chǔ)結(jié)構(gòu) 信息安全管理委員會 信息安全協(xié)作 信息安全責(zé)任分配 信息處理設(shè)施的授權(quán)過程 信息安全專家建議 組織間的合作 信息安全的獨(dú)立評審 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 第三方訪問的安全 第三方訪問的風(fēng)險識別 訪問類型 訪問原因 現(xiàn)場工作的合同方 第三方合同中的安全要求 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 外包 外包合同中的安全要求 外包合同 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 5. 資產(chǎn)分類與控制 目標(biāo)： ? 保持對組織資產(chǎn)的適當(dāng)保護(hù) ? 確保信息資產(chǎn)受到適當(dāng)級別的保護(hù) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 5. 資產(chǎn)分類與控制 資產(chǎn)責(zé)任 資產(chǎn)清單 信息資產(chǎn)分類 分類指南 標(biāo)識和處理 絕密 機(jī)密 秘密 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 6. 人員安全 目標(biāo)： ? 降低人為錯誤、盜竊、詐騙或誤用設(shè)備的風(fēng)險 ? 確保用戶意識到信息安全的威脅和利害關(guān)系，并在其日常工作過程中樹立支持組織安全方針的意識 ? 盡量減小安全事件和故障造成的損失，監(jiān)督此類事件并從中吸取教訓(xùn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 6. 人員安全 崗位安全責(zé)任和人員錄用安全要求 用戶培訓(xùn) 安全事件與故障的響應(yīng) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 崗位安全責(zé)任和人員錄用安全要求 崗位安全責(zé)任 人員選拔及其原則 保密協(xié)議 錄用條款 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶培訓(xùn) 信息安全教育與培訓(xùn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 安全事件與故障響應(yīng) 報告安全事件 報告安全隱患 報告軟件故障 總結(jié)事件教訓(xùn) 處罰過程 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 7. 物理和環(huán)境安全 目標(biāo)： ? 防止進(jìn)入業(yè)務(wù)安全區(qū)邊界，對信息進(jìn)行未授權(quán)的訪問、破壞和干擾 ? 防止資產(chǎn)的丟失、損壞或損害，以及業(yè)務(wù)活動的中斷 ? 防止信息和信息處理設(shè)施遭受損害或被盜 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 7. 物理和環(huán)境安全 安全區(qū)域 設(shè)備安全 常規(guī)控制措施 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 安全區(qū)域 邊界 出入控制 辦公室 、 房間和設(shè)施的安全 安全區(qū)工作守則 交接區(qū)隔離 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 設(shè)備安全 設(shè)備安置及其保護(hù) 電源 線纜安全 設(shè)備維護(hù) 安全區(qū)外的設(shè)備安全 設(shè)備報廢或再利用的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 常規(guī)控制措施 清空桌面和清屏 資產(chǎn)轉(zhuǎn)移 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 8. 通信和操作管理 目標(biāo)： ? 確保信息處理設(shè)施正確運(yùn)行與安全運(yùn)行 ? 將系統(tǒng)故障的風(fēng)險降到最低 ? 保護(hù)軟件和信息的完整性 ? 保持信息處理與通信服務(wù)的完整性和可用性 ? 確保網(wǎng)絡(luò)信息的安全和支持性基礎(chǔ)設(shè)施得到保護(hù) ? 防止資產(chǎn)損失和業(yè)務(wù)活動的中斷 ? 防止丟失、修改或誤用組織之間交換的信息 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 8. 通信和操作管理 操作程序和責(zé)任 系統(tǒng)規(guī)劃和驗(yàn)收 惡意軟件的防范 日常管理 網(wǎng)絡(luò)管理 媒體安全 信息及軟件的交換 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 操作程序和責(zé)任 操作程序文件化 操作的變更控制 事件管理程序 職責(zé)劃分 開發(fā)設(shè)備與操作設(shè)備的隔離 外部設(shè)施管理 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)規(guī)劃和驗(yàn)收 容量規(guī)劃 系統(tǒng)驗(yàn)收 2023 2023 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 惡意軟件的防范 惡意軟件的防范措施 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 日常管理 信息備份 操作日志 錯誤記錄 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)控制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 媒體安全 可移動的計算機(jī)媒體的管理 媒體處置 信息處理程序 系統(tǒng)文檔安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 信息及軟件的交換 信息及軟件交換協(xié)議 媒體傳輸安全 電子商務(wù)安全 電子郵件安全 電子辦公系統(tǒng)安全 公開可用系統(tǒng) 其它形式的信息交換 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 9. 訪問控制 目標(biāo)： ? 控制對信息的訪問 ? 防止對信息系統(tǒng)的未授權(quán)訪問 ? 防止未授權(quán)的用戶訪問 ? 保護(hù)網(wǎng)絡(luò)服務(wù)，控制對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)服務(wù)的訪問 ? 防止對計算機(jī)的未授權(quán)訪問 ? 防止對信息系統(tǒng)內(nèi)的信息的未授權(quán)訪問 ? 檢測未授權(quán)的活動 ? 確保使用可移動計算機(jī)和遠(yuǎn)程工作設(shè)施時的信息的安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 9. 訪問控制 訪問控制的業(yè)務(wù)需求 用戶訪問管理 用戶職責(zé) 網(wǎng)絡(luò)訪問控制 操作系統(tǒng)訪問控制 應(yīng)用系統(tǒng)訪問控制 系統(tǒng)訪問和使用的監(jiān)控 移動計算和遠(yuǎn)程工作 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 訪問控制的業(yè)務(wù)需求 訪問控制策略 策略和業(yè)務(wù)需求 訪問控制規(guī)則 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶訪問管理 用戶注冊 特權(quán)管理 用戶口令管理 用戶訪問權(quán)限的評審 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 用戶職責(zé) 口令的使用 無人值守的用戶設(shè)備 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用策略 強(qiáng)制路徑 外部連接的用戶身份認(rèn)證 節(jié)點(diǎn)認(rèn)證 遠(yuǎn)程診斷端口保護(hù) 網(wǎng)絡(luò)劃分 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制 網(wǎng)絡(luò)服務(wù)安全 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 操作系統(tǒng)訪問控制 自動終端識別 終端登錄程序 用戶識別與認(rèn)證 口令管理系統(tǒng) 系統(tǒng)工具的使用 強(qiáng)制報警 終端超時 連接時間的限制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 應(yīng)用系統(tǒng)訪問控制 信息訪問限制 敏感系統(tǒng)隔離 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)訪問和使用的監(jiān)控 事件日志 系統(tǒng)使用的監(jiān)控 監(jiān)控程序 風(fēng)險因素 事件記錄與評審 時鐘同步 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 移動計算和遠(yuǎn)程工作 移動計算 遠(yuǎn)程工作 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 10. 系統(tǒng)開發(fā)和維護(hù) 目標(biāo)： ? 確保信息系統(tǒng)的安全 ? 防止丟失，修改或誤用應(yīng)用系統(tǒng)中的用戶數(shù)據(jù) ? 保護(hù)信息的機(jī)密性、真實(shí)性或完整性 ? 確保 IT項(xiàng)目及其支持活動得以一種安全的方式進(jìn)行。 Process of identifying , controlling and minimizing or eliminating security risks that may affect , ISO17799控制目標(biāo)和控制措施概述 2023/3/8 應(yīng)用系統(tǒng)安全 輸入數(shù)據(jù)的確認(rèn) 內(nèi)部處理的控制 風(fēng)險 檢查和控制 消息驗(yàn)證 輸出數(shù)據(jù)的確認(rèn) ISO17799控制目標(biāo)和控制措施概述 2023/3/8 加密控制 加密控制策略 加密 數(shù)字簽名 密鑰管理 防抵賴 密鑰管理 密鑰保護(hù) 標(biāo)準(zhǔn) 、 程序和方法 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 系統(tǒng)文件安全 運(yùn)行軟件的控制 系統(tǒng)測試數(shù)據(jù)的保護(hù) 源代碼的訪問控制 ISO17799控制目標(biāo)和控制措施概述 2023/3/8 開發(fā)過程和支持過