【正文】 理 9. Access control 訪問控制 10. Systems devlopment and maintenance 系統(tǒng)開發(fā)和維護 11. Business continuity management 業(yè)務連續(xù)性管理 12. Compliance 符合性 2023/3/8 Foreword(BSI前言 ) 1. Scope (范圍 ) 2. Term and Definitions (術語和定義 ) 3. Information security management system requirements (信息安全管理體系的要求 ) 4. Detailed controls （詳細控制措施） BS77992:1999的內容框架 2023/3/8 1. Scope (范圍 ) BS7799的這一部分提出了建立、實施并記錄信息安全管理體系時的具體要求；同時，也提出了各組織根據具體需求采取安全控制措施的要求。 90 改進 執(zhí)行 計劃 檢查 C A D P 達到新的水平 改進 (修訂標準 ) 維持原有水平 90 改進 執(zhí)行 計劃 檢查 C A D P PDCA循環(huán)（續(xù)） 2023/3/8 過程方法定義 ? ISO90002023術語和定義 ? 過程： – 一組將輸入轉化為輸出的相互關聯(lián)或相互作用的活動。 建立 ISMS框架 第一步 制訂信息安全方針 2023/3/8 信息安全方針的內容 包括但不限于： ? 組織對信息安全的定義 ? 信息安全總體目標和范圍 ? 最高管理者對信息安全的承諾與支持的聲明 ? 符合相關標準、法律法規(guī)、和其它要求的聲明 ? 對信息安全管理的總體責任和具體責任的定義 ? 相關支持文件 建立 ISMS框架 第一步 制訂信息安全方針 2023/3/8 注意事項 ? 簡單明了 ? 易于理解 ? 可實施 ? 避免太具體 建立 ISMS框架 第一步 制訂信息安全方針 2023/3/8 建立 ISMS框架 第二步 確定 ISMS范圍 組織應定義信息安全管理體系的范圍，范圍的邊界應依據組織的結構特征、地域特征、資產和技術特點來確定。 未來實現(xiàn)公司 ISMS 適用聲明 建立 ISMS框架 第六步 準備適用聲明 2023/3/8 The selected control objectives and controls shall be implemented effectively by the anization. The effectiveness of the procedures adopted to implement the controls shall be verified by reviews in accordance with . 組織應該對所選擇的控制目標和控制措施有效的實施。記錄的保存和維護應當做到隨時可得，并不得損壞、磨損或丟失。 ? 應該建立正式的報告程序，同時建立事故響應程序，闡明接到事故報告后所采取的行動。 Process of identifying , controlling and minimizing or eliminating security risks that may affect 安全需求 。 基本控制措施－與最佳實踐相關的 2023/3/8 與最佳實踐有關的控制措施 11. 業(yè)務連續(xù)性管理 業(yè)務連續(xù)性管理 過程 業(yè)務連續(xù)性和影響分析 制定和實施業(yè)務連續(xù)性計劃 業(yè)務連續(xù)性計劃框架 測試 ， 維護和重新評估業(yè)務連續(xù)性計劃 測試業(yè)務連續(xù)性計劃 維護和重新評估業(yè)務連續(xù)性計劃 基本控制措施－與最佳實踐相關的 2023/3/8 10類控制 36個控制目標 127項控制措施 ISO17799控制目標和控制措施概述 2023/3/8 ISO17799控制目標和控制措施概述 3. 信息安全方針 目標： 為信息安全提供管理指導和支持。 ? 復制限制 ? 許可協(xié)議 ? 合同要求 基本控制措施－與法律相關的 2023/3/8 與最佳實踐有關的控制措施 信息安全方針 信息安全責任分配 信息安全教育與培訓 安全事件匯報 業(yè)務連續(xù)性管理 基本控制措施－與最佳實踐相關的 2023/3/8 與最佳實踐有關的控制措施 信息安全方針 文件 目標： 為信息安全提供管理指導和支持。 ISMS文件控制 BS77992對 ISMS文件控制的要求： 2023/3/8 ? 記錄作為 ISMS運行結果的證據，要求加以保留，以證明是否符合 ISMS和組織所提出的要求。 BS77992對 ISMS的要求： 2023/3/8 根據風險評估的結果，選擇風險控制方法，將組織面臨的風險控制在可以接受的范圍之內。建立信息安全管理體系的目標是對公司的信息安全進行全面管理， 二、公司總經理 張未來先生 決定在整個公司范圍內建立并實施信息安全管理體系。 ? 信息安全目標應是可測量的 ? 要素可能包括 – 信息安全方針、策略 – 信息安全組織結構 – 各種活動、過程 ? 信息安全控制措施 ? 人力、物力等資源 – ……… 2023/3/8 要求 信息安全 分析改進 資源管理 信息安全實現(xiàn) 管理職責 輸入 輸出 信息安全管理體系的持續(xù)改進 信息安全管理體系框圖 信息安全管理體系框圖 2023/3/8 ISMS的重要原則 PDCA循環(huán) 過程方法 其它重要原則 2023/3/8 PDCA循環(huán) ： Plan — Do—Check—Act 計劃 實施 檢查 改進 P D A C PDCA循環(huán) 2023/3/8 PDCA循環(huán)（續(xù)） ? 又稱“戴明環(huán)” ,PDCA循環(huán)是能使任何一項活動有效進行的工作程序 : – P：計劃，方針和目標的確定以及活動計劃的制定； – D：執(zhí)行，具體運作，實現(xiàn)計劃中的內容； – C：檢查，總結執(zhí)行計劃的結果，分清哪些對了，哪些錯了，明確效果，找出問題； – A：改進（或處理） ,對總結檢查的結果進行處理，成功的經驗加以肯定，并予以標準化，或制定作業(yè)指導書，便于以后工作時遵循；對于失敗的教訓也要總結，以免重現(xiàn)。 Integrity Safeguarding the accuracy and pleteness of information and processing methods. 確保信息及其處理方法的準確性和完整性。 2023/3/8 IUG： International User Group ? 1997年成立 ? 宗旨 – 促進 ISO17799/BS7799的應用和推廣 – 促進對信息安全管理體系標準、認證等的理解，服務全球商業(yè) – 提供一個基于互聯(lián)網的論壇 – 提供一個信息交流的平臺 – 研究和寫作 ? 成員 Australia Brazil Germany Hong Kong India Ireland Japan Korea Malaysia The Netherlands New Zealand Norway Poland Singapore South Africa Sweden Switzerland Taiwan UAE UK USA 2023/3/8 ISO17799被各國或地區(qū)采用的情況 ? England ? Australia ? New Zealand ? Brazil ? Czech Republic ? Finland ? Iceland ? Ireland ? Netherlands (SPE 20233) ? Norway ? Sweden (SS 627799) ? Taiwan ? 中國 2023/3/8 ISO17799在中國 ? 國內從 2023年初開始認識ISO17799/BS7799； ? 2023年初開始，國內一些公司和單位進行BS7799 的研究和相關課程培訓； ? 2023－ 2023年，我國已經提出了國標化的計劃； 2023/3/8 ISO17799:2023的內容框架 ? ISO17799:2023（ BS77991:1999） Code of Practice for Information Security Management 信息安全管理實施細則 ? BS77992:1999(已經有 BS77992:2023草案 ) Specification for Information Security Management System 信息安全管理體系規(guī)范 2023/3/8 ISO17799:2023的內容框架 (續(xù) ) Foreword(ISO前言 ) Introduction( 引言 ) 1. Scope (范圍 ) 2. Term and Definitions (術語和定義 ) 3.～ 12. 詳細控制目標和控制措施 2023/3/8 ISO17799:2023的內容框架 (續(xù) ) Foreword(ISO前言 ) ISO(國際標準化組織 )和 IEC(國際電工委員會 )組成世界性標準化的專門體系。 2023/3/8 信息本身 信息處理設施 信息處理者 信息處理 過程 機密 可用 完整 總結 2023/3/8 請思考： 組織為什么要花錢實現(xiàn)信息安全？ 為什么需要信息安全 2023/3/8 組織自身業(yè)務的需要 ?自身業(yè)務和利益的要求 ?客戶的要求 ?合作伙伴的要求 ?投標要求 ?競爭優(yōu)勢，樹立品牌 ?加強內部管理的要求 ?…… 2023/3/8 法律法規(guī)的要求 ?計算機信息系統(tǒng)安全保護條例 ?知識產權保護 ?互聯(lián)網安全管理辦法 ?網站備案管理規(guī)定 ?…… 2023/3/8 信息系統(tǒng)使命的要求 ? 信息系統(tǒng)本身具有特定的使命 ? 信息安全的目的就是使信息系統(tǒng)的使命得到保障 ? 。 2023/3/8 ISO74982－安全體系結構 加密 數字簽名 數據完整性 訪問控制 數據交換 業(yè)務流填充 路由控制 公證 抗抵賴 數據保密性 數據完整性 訪問控制 鑒別服務 物理層 鏈路層 表示層 應用層 傳輸層 網絡層 會話層 安全機制 安全服務 OSI參考模型 2023/3/8 ISO13335 IT安全管理 ? 分為 5個部分： ? ISO/IEC TR 133351：概念和模型 ? ISO/IEC TR 133352：管理和規(guī)劃 ? ISO/IEC TR 133353：管理技術 ? ISO/IEC TR 133354：安全措施的選擇 ? ISO/IEC TR 133355：網絡安全性的管理指導 ? 由 ISO/IEC JTC1/SC27完成 2023/3/8 SSECMM 信息系統(tǒng)安全工程能力成熟度模型 ? CMM－ Capability Maturity Model 首先用于軟件工程； ? 1993年 4月，由美國 NSA資助，安全業(yè)界、 DOD、加拿大通信安全機構共同組成項目組，研究把 CMM用于安全工程； ? 1996年 10月推出第一版， 97年 4月推出方法（ SSAM）第一版； 98年底推出第二版， 99年 4月推出 SSAM第二版； ? 用于信息系統(tǒng)安全的工程組織、采購組織和評估機構 ? 5個能力級別， 11個過程區(qū) ? 2023年，出版了 S