【文章內(nèi)容簡介】 進行說明? 定義用以維護策略的復(fù)查過程信息安全管理實施細則信息安全管理實施細則6. 安全組織u 目標 ：? 信息安全基礎(chǔ)設(shè)施 —— 在組織內(nèi)部管理信息安全? 外部組織 —— 保持組織的被外部組織訪問、處理、溝通或管理的信息及信息處理設(shè)備的安全u 包含的內(nèi)容：? 建立管理委員會，定義安全管理的角色和責(zé)任? 對軟硬件的采購建立授權(quán)過程?與第三方簽訂的協(xié)議中應(yīng)覆蓋所有相關(guān)的安全要求。? 外包合同中的安全需求?包括內(nèi)部組織和外部伙伴信息安全管理實施細則7. 資產(chǎn)管理u 目標 ：?資產(chǎn)責(zé)任 —— 實現(xiàn)并保持組織資產(chǎn)的適當保護?信息分類 —— 確保對信息資產(chǎn)的保護達到恰當?shù)乃絬 包含的內(nèi)容：? 組織可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別信息資產(chǎn)。? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任。? 信息應(yīng)該被分類，以標明其需求、優(yōu)先級和保護程度。? 根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序。Top SecretSecretConfidentialRestricted信息安全管理實施細則8. 人力資源安全u 目標 ：? 雇傭前 —— 確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色，減少盜竊、濫用或設(shè)施誤用的風(fēng)險。? 雇傭中 —— 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風(fēng)險 。? 解聘和變更 —— 確保員工、合同方和第三方用戶離開組織或變更雇傭關(guān)系時以一種有序的方式進行。u 包含的內(nèi)容：? 故意或者無意的人為活動可能給數(shù)據(jù)和系統(tǒng)造成風(fēng)險? 在正式的工作描述中建立安全責(zé)任，員工入職審查 信息安全管理實施細則9. 物理和環(huán)境安全u 目標 ：? 安全區(qū)域 —— 防止非授權(quán)訪問、破壞和干擾業(yè)務(wù)運行的前提條件及信息。? 設(shè)備安全 —— 預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾。u 包含的內(nèi)容：? 應(yīng)該建立帶有物理入口控制的安全區(qū)域? 應(yīng)該配備物理保護的硬件設(shè)備? 應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽? 將設(shè)備搬離場所，或者準備報廢時，應(yīng)考慮其安全信息安全管理實施細則10. 通信和操作管理u 目標 ：? 操作程序和責(zé)任 —— 確保信息處理設(shè)施的正確和安全操作。? 第三方服務(wù)交付管理 —— 實施并保持信息安全的適當水平，確保第三方交付的服務(wù)符合協(xié)議要求。? 系統(tǒng)規(guī)劃與驗收 —— 減少系統(tǒng)失效帶來的風(fēng)險。? 防范惡意代碼和移動代碼 —— 保護軟件和信息的完整性。? 備份 —— 保持信息和信息處理設(shè)施的完整性和可用性? 網(wǎng)絡(luò)安全管理 —— 確保對網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護。? 介質(zhì)處理和安全 —— 防止對資產(chǎn)的未授權(quán)泄漏、修改、移動或損壞，及對業(yè)務(wù)活動的干擾。? 信息和軟件的交換 —— 應(yīng)保持組織內(nèi)部或組織與外部組織之間交換信息和軟件的安全 。? 電子商務(wù)服務(wù) —— 確保電子商務(wù)的安全及他們的安全使用 。?監(jiān)督 —— 檢測未經(jīng)授權(quán)的信息處理活動。u 包含的內(nèi)容：? 防病毒，防惡意軟件? 進行變更控制? 做好備份，存儲介質(zhì)的安全處理，保存正確的訪問日志，系統(tǒng)文件的安全性? 電子郵件安全性? 保護傳輸中的數(shù)據(jù)信息安全管理實施細則11. 訪問控制u 目標 ：? 訪問控制的業(yè)務(wù)需求 —— 控制對信息的訪問。? 用戶訪問管理 —— 確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。? 用戶責(zé)任 —— 預(yù)防未授權(quán)用戶的訪問，信息和信息處理設(shè)施的破壞或被盜。? 網(wǎng)絡(luò)訪問控制 —— 防止對網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問。? 操作系統(tǒng)訪問控制 —— 防止對操作系統(tǒng)的未授權(quán)訪問。? 應(yīng)用訪問控制 —— 防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。? 移動計算和遠程工作 —— 確保在使用移動計算和遠程工作設(shè)施時信息的安全 。 u 包含的內(nèi)容：? 口令的正確使用? 對終端的物理訪問? 自動終止時間? 軟件監(jiān)視等信息安全管理實施細則12. 系統(tǒng)獲得、開發(fā)與維護u 目標 ：? 系統(tǒng)的安全需求 —— 確保安全內(nèi)建于信息系統(tǒng)中。? 應(yīng)用系統(tǒng)的安全 —— 防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用。? 加密控制 —— 通過加密手段來保護細膩的保密性、真實性或完整性。? 系統(tǒng)文件的安全 —— 確保系統(tǒng)文檔的安全。? 開發(fā)和支持過程的安全 —— 保持應(yīng)用系統(tǒng)軟件和信息的安全 。?技術(shù)漏洞管理 —— 減少由利用公開的技術(shù)漏洞帶來的風(fēng)險 。u 包含的內(nèi)容：? 在系統(tǒng)設(shè)計時應(yīng)該考慮輸入數(shù)據(jù)校驗、數(shù)據(jù)加密、數(shù)據(jù)文件的安全性、測試數(shù)據(jù)的保護? 軟件開發(fā)和維護中應(yīng)該建立配置管理、變更控制等機制? ??信息安全管理實施細則13. 信息安全事件管理u 目標 ：?報告信息安全事件和弱點 —— 確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施。?信息安全事故的管理和改進 —— 確保使用持續(xù)有效的方法管理信息安全事故。 u 包含的內(nèi)容：?正常的事件報告和分類程序，這類程序用來報告可能對機構(gòu)的財產(chǎn)安全造成影響的不同種類的事件和弱點?所有的員工、合同方和第三方用戶都應(yīng)該知曉這套報告程序。?要求員工需要盡可能快地將信息安全事件和弱點報告給指定的聯(lián)系方。 信息安全管理實施細則14. 業(yè)務(wù)連續(xù)性管理u 目標 ：?業(yè)務(wù)連續(xù)性管理的信息安全方面 —— ：防止業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)流程不會受信息系統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時恢復(fù)。u 包含的內(nèi)容：? 全面理解業(yè)務(wù)連續(xù)性計劃（ BCP）? 理解組織面臨的風(fēng)險，識別關(guān)鍵業(yè)務(wù)活動和優(yōu)先次序。? 確認可能對業(yè)務(wù)造成影響的中斷。? 應(yīng)該設(shè)計、實施、測試和維護 BCP信息安全管理實施細則15. 符合性u 目標 ：?與法律法規(guī)要求的符合性 —— 避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。?符合安全方針、標準，技術(shù)符合性 —— 確保系統(tǒng)符合組織安全方針和標準。?信息系統(tǒng)審核的考慮因素 —— 最大化信息系統(tǒng)審核的有效性，最小化來自 /對信息系統(tǒng)審核的影響 。u 包含的內(nèi)容：? 組織應(yīng)該確保遵守相關(guān)的法律法規(guī)和合同義務(wù)? 軟件版權(quán)，知識產(chǎn)權(quán)等信息安全管理實施細則BS7799認證最基本的控制項u 與法律相關(guān)的控制措施：? 知識產(chǎn)權(quán)（ Intellectual Property Rights） ：防止非擁有者授權(quán)的復(fù)制，避免侵犯知識產(chǎn)權(quán)? 保護組織的記錄 ：保護重要的記錄不丟失、破壞和偽造? 數(shù)據(jù)保護和個人信息隱私 ：遵守所在國的數(shù)據(jù)保護法律u 與最佳慣例相關(guān)的控制措施：? 信息安全策略文件 ：為信息安全提供管理方向和支持? 信息安全責(zé)任的分配 ：分派安全責(zé)任，使信息安全在組織內(nèi)部得以有效管理? 信息安全教育和培訓(xùn) ：保證用戶有信息安全威脅意識、關(guān)心信息安全并支持組織信息安全策略? 報告安全事件 ：最大程度減小安全事件和故障造成的破壞，監(jiān)視事件，從中吸取教訓(xùn)? 業(yè)務(wù)連續(xù)性管理 ：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事件或災(zāi)難影響? 信息安全管理概述信息安全管理概述? BS7799標準簡介標準簡介? 信息安全管理實施細則信息安全管理實施細則? 信息安全管理體系規(guī)范信息安全管理體系規(guī)范? BS7799認證過程認證過程? BS7799總結(jié)展望總結(jié)展望? 其它安全標準其它安全標準信息安全管理體系規(guī)范Part 2 – 包含用于審包含用于審計的需求規(guī)范，可形成計的需求規(guī)范，可形成度量組織度量組織 ISMS的基準。的基準。BS 7799ISO27001? 解釋標準的作用和所解釋標準的作用和所用的定義用的定義? 解釋相關(guān)術(shù)語解釋相關(guān)術(shù)語? 解釋建立和維護文檔解釋建立和維護文檔化的化的 ISMS的要求的要求? 列舉可用的控制和控列舉可用的控制和控制目標制目標? 是依照是依照 BS 7799對組對組織的織的 ISMS進行評估進行評估認證的基礎(chǔ)認證的基礎(chǔ)信息安全管理體系規(guī)范BS77992簡介u BS 7799