【文章內(nèi)容簡介】 進行說明? 定義用以維護策略的復查過程信息安全管理實施細則信息安全管理實施細則6. 安全組織u 目標 ：? 信息安全基礎設施 —— 在組織內(nèi)部管理信息安全? 外部組織 —— 保持組織的被外部組織訪問、處理、溝通或管理的信息及信息處理設備的安全u 包含的內(nèi)容：? 建立管理委員會，定義安全管理的角色和責任? 對軟硬件的采購建立授權過程?與第三方簽訂的協(xié)議中應覆蓋所有相關的安全要求。? 外包合同中的安全需求?包括內(nèi)部組織和外部伙伴信息安全管理實施細則7. 資產(chǎn)管理u 目標 ：?資產(chǎn)責任 —— 實現(xiàn)并保持組織資產(chǎn)的適當保護?信息分類 —— 確保對信息資產(chǎn)的保護達到恰當?shù)乃絬 包含的內(nèi)容：? 組織可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別信息資產(chǎn)。? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。? 所有的信息資產(chǎn)都應該具有指定的屬主并且可以被追溯責任。? 信息應該被分類，以標明其需求、優(yōu)先級和保護程度。? 根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序。Top SecretSecretConfidentialRestricted信息安全管理實施細則8. 人力資源安全u 目標 ：? 雇傭前 —— 確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，減少盜竊、濫用或設施誤用的風險。? 雇傭中 —— 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險 。? 解聘和變更 —— 確保員工、合同方和第三方用戶離開組織或變更雇傭關系時以一種有序的方式進行。u 包含的內(nèi)容：? 故意或者無意的人為活動可能給數(shù)據(jù)和系統(tǒng)造成風險? 在正式的工作描述中建立安全責任，員工入職審查 信息安全管理實施細則9. 物理和環(huán)境安全u 目標 ：? 安全區(qū)域 —— 防止非授權訪問、破壞和干擾業(yè)務運行的前提條件及信息。? 設備安全 —— 預防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務活動的干擾。u 包含的內(nèi)容：? 應該建立帶有物理入口控制的安全區(qū)域? 應該配備物理保護的硬件設備? 應該防止網(wǎng)絡電纜被塔線竊聽? 將設備搬離場所，或者準備報廢時，應考慮其安全信息安全管理實施細則10. 通信和操作管理u 目標 ：? 操作程序和責任 —— 確保信息處理設施的正確和安全操作。? 第三方服務交付管理 —— 實施并保持信息安全的適當水平，確保第三方交付的服務符合協(xié)議要求。? 系統(tǒng)規(guī)劃與驗收 —— 減少系統(tǒng)失效帶來的風險。? 防范惡意代碼和移動代碼 —— 保護軟件和信息的完整性。? 備份 —— 保持信息和信息處理設施的完整性和可用性? 網(wǎng)絡安全管理 —— 確保對網(wǎng)絡中信息和支持性基礎設施的安全保護。? 介質(zhì)處理和安全 —— 防止對資產(chǎn)的未授權泄漏、修改、移動或損壞，及對業(yè)務活動的干擾。? 信息和軟件的交換 —— 應保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全 。? 電子商務服務 —— 確保電子商務的安全及他們的安全使用 。?監(jiān)督 —— 檢測未經(jīng)授權的信息處理活動。u 包含的內(nèi)容：? 防病毒，防惡意軟件? 進行變更控制? 做好備份，存儲介質(zhì)的安全處理，保存正確的訪問日志，系統(tǒng)文件的安全性? 電子郵件安全性? 保護傳輸中的數(shù)據(jù)信息安全管理實施細則11. 訪問控制u 目標 ：? 訪問控制的業(yè)務需求 —— 控制對信息的訪問。? 用戶訪問管理 —— 確保授權用戶的訪問，并預防信息系統(tǒng)的非授權訪問。? 用戶責任 —— 預防未授權用戶的訪問，信息和信息處理設施的破壞或被盜。? 網(wǎng)絡訪問控制 —— 防止對網(wǎng)絡服務未經(jīng)授權的訪問。? 操作系統(tǒng)訪問控制 —— 防止對操作系統(tǒng)的未授權訪問。? 應用訪問控制 —— 防止對應用系統(tǒng)中信息的未授權訪問。? 移動計算和遠程工作 —— 確保在使用移動計算和遠程工作設施時信息的安全 。 u 包含的內(nèi)容：? 口令的正確使用? 對終端的物理訪問? 自動終止時間? 軟件監(jiān)視等信息安全管理實施細則12. 系統(tǒng)獲得、開發(fā)與維護u 目標 ：? 系統(tǒng)的安全需求 —— 確保安全內(nèi)建于信息系統(tǒng)中。? 應用系統(tǒng)的安全 —— 防止應用系統(tǒng)信息的錯誤、丟失、未授權的修改或誤用。? 加密控制 —— 通過加密手段來保護細膩的保密性、真實性或完整性。? 系統(tǒng)文件的安全 —— 確保系統(tǒng)文檔的安全。? 開發(fā)和支持過程的安全 —— 保持應用系統(tǒng)軟件和信息的安全 。?技術漏洞管理 —— 減少由利用公開的技術漏洞帶來的風險 。u 包含的內(nèi)容：? 在系統(tǒng)設計時應該考慮輸入數(shù)據(jù)校驗、數(shù)據(jù)加密、數(shù)據(jù)文件的安全性、測試數(shù)據(jù)的保護? 軟件開發(fā)和維護中應該建立配置管理、變更控制等機制? ??信息安全管理實施細則13. 信息安全事件管理u 目標 ：?報告信息安全事件和弱點 —— 確保與信息系統(tǒng)有關的安全事件和弱點的溝通能夠及時采取糾正措施。?信息安全事故的管理和改進 —— 確保使用持續(xù)有效的方法管理信息安全事故。 u 包含的內(nèi)容：?正常的事件報告和分類程序，這類程序用來報告可能對機構的財產(chǎn)安全造成影響的不同種類的事件和弱點?所有的員工、合同方和第三方用戶都應該知曉這套報告程序。?要求員工需要盡可能快地將信息安全事件和弱點報告給指定的聯(lián)系方。 信息安全管理實施細則14. 業(yè)務連續(xù)性管理u 目標 ：?業(yè)務連續(xù)性管理的信息安全方面 —— ：防止業(yè)務活動的中斷，保護關鍵業(yè)務流程不會受信息系統(tǒng)重大失效或自然災害的影響，并確保他們的及時恢復。u 包含的內(nèi)容：? 全面理解業(yè)務連續(xù)性計劃（ BCP）? 理解組織面臨的風險，識別關鍵業(yè)務活動和優(yōu)先次序。? 確認可能對業(yè)務造成影響的中斷。? 應該設計、實施、測試和維護 BCP信息安全管理實施細則15. 符合性u 目標 ：?與法律法規(guī)要求的符合性 —— 避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。?符合安全方針、標準，技術符合性 —— 確保系統(tǒng)符合組織安全方針和標準。?信息系統(tǒng)審核的考慮因素 —— 最大化信息系統(tǒng)審核的有效性，最小化來自 /對信息系統(tǒng)審核的影響 。u 包含的內(nèi)容：? 組織應該確保遵守相關的法律法規(guī)和合同義務? 軟件版權，知識產(chǎn)權等信息安全管理實施細則BS7799認證最基本的控制項u 與法律相關的控制措施：? 知識產(chǎn)權（ Intellectual Property Rights） ：防止非擁有者授權的復制，避免侵犯知識產(chǎn)權? 保護組織的記錄 ：保護重要的記錄不丟失、破壞和偽造? 數(shù)據(jù)保護和個人信息隱私 ：遵守所在國的數(shù)據(jù)保護法律u 與最佳慣例相關的控制措施：? 信息安全策略文件 ：為信息安全提供管理方向和支持? 信息安全責任的分配 ：分派安全責任，使信息安全在組織內(nèi)部得以有效管理? 信息安全教育和培訓 ：保證用戶有信息安全威脅意識、關心信息安全并支持組織信息安全策略? 報告安全事件 ：最大程度減小安全事件和故障造成的破壞，監(jiān)視事件，從中吸取教訓? 業(yè)務連續(xù)性管理 ：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事件或災難影響? 信息安全管理概述信息安全管理概述? BS7799標準簡介標準簡介? 信息安全管理實施細則信息安全管理實施細則? 信息安全管理體系規(guī)范信息安全管理體系規(guī)范? BS7799認證過程認證過程? BS7799總結展望總結展望? 其它安全標準其它安全標準信息安全管理體系規(guī)范Part 2 – 包含用于審包含用于審計的需求規(guī)范，可形成計的需求規(guī)范，可形成度量組織度量組織 ISMS的基準。的基準。BS 7799ISO27001? 解釋標準的作用和所解釋標準的作用和所用的定義用的定義? 解釋相關術語解釋相關術語? 解釋建立和維護文檔解釋建立和維護文檔化的化的 ISMS的要求的要求? 列舉可用的控制和控列舉可用的控制和控制目標制目標? 是依照是依照 BS 7799對組對組織的織的 ISMS進行評估進行評估認證的基礎認證的基礎信息安全管理體系規(guī)范BS77992簡介u BS 7799