【文章內容簡介】 事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據收集。167。 業(yè)務連續(xù)性管理 ：業(yè)務連續(xù)性計劃的制訂，演習，審核，改進167。 符合性管理 ：符合法律法規(guī)，符合安全策略等。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。 對控制措施的描述不夠細致，導致缺乏可操作性；167。 133項控制措施未必適合全部的組織，應當有選擇的參考使用；167。 133項控制措施未必全面，可以根據實際情況進行增補。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項適用于幾乎所有組織和大多數環(huán)境的控制措施：與法律相關的控制措施：（ 1） 知識產權 ：遵守知識產權保護和軟件產品保護的法律；（ 2） 保護組織的記錄 ：保護重要的記錄不丟失，不被破壞和偽造；（ 3） 數據保護和個人信息隱私 ：遵守所在國的數據保護法律。BS77991(ISO/IEC17799)2/2/2023 80信息 安全管理與最佳實踐相關的控制措施：（ 1）信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知；（ 2）信息安全責任的分配：清晰地所有的信息安全責任；（ 3）信息安全意識、教育和培訓：全體員工及相關人員應該接受恰當的意識培訓 ；BS77991(ISO/IEC17799)2/2/2023 81信息 安全管理（ 4）正確處理應用程序：防止應用程序中的信息出錯、丟失或被非授權篡改及誤用；（ 5）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞；（ 6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件。（ 7）業(yè)務連續(xù)性管理：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事故或災難影響。BS77991(ISO/IEC17799)2/2/2023 82信息 安全管理167。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。 說明了建立、實施、維護，并持續(xù)改進 ISMS的要求167。 指導實施者如何利用 BS77991來建立一個有效的ISMS167。 BSI提供依據 BS77992所建立 ISMS的認證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 定義 ISMS的范圍和策略167。 識別和評估風險167。 評估現有保證措施167。 準備適用性說明167。 取得管理層對殘留風險的認可，并獲得實施 ISMS的授權BS77992/ISO 270012/2/2023 84信息 安全管理實施 ISMS（ DO）167。 制訂并實施風險處理計劃167。 實施安全控制措施167。 實施安全意識和安全教育培訓167。 實施檢測和響應安全機制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復查 ISMS（ CHECK）167。 實施監(jiān)視程序和控制167。 定期復審 ISMS的效力167。 定期進行 ISMS內部審計167。 復查殘留風險和可接受風險的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進 ISMS（ ACT）167。 對 ISMS實施可識別的改進167。 實施糾正和預防措施167。 確保改進成果滿足預期目標BS77992/ISO 270012/2/2023 87信息 安全管理強調文檔化管理的重要作用，文檔體系包括167。 安全策略167。 適用性聲明167。 實施安全控制的規(guī)程文檔167。 ISMS管理和操作規(guī)程167。 與 ISMS有關的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過程167。 制訂安全策略167。 確定體系范圍167。 明確管理職責167。 通過安全風險評估確定控制目標和控制措施167。 復查、維護與持續(xù)改進BS77992/ISO 270012/2/2023 89信息 安全管理二、其他標準 PD3000 BS7799標準本身是不具有很強的可實施性的，為了指導組織更好地建立 ISMS并應對 BS7799認證審核的要求，BSIDISC提供了一組有針對性的指導文件，即 PD3000系列。2/2/2023 90信息 安全管理 CC（ 1）信息技術產品和系統安全性測評標準，是信息安全標準體系中非常重要的一個分支；是目前國際上最通行的信息技術產品及系統安全性測評標準，也是信息技術安全性評估結果國際互認的基礎。 （ 2） CC、 ISO/IEC1540 GB/T18336是同一個標準。 （ 3） CC的組要目標讀者是用戶、開發(fā)者和評估者。 （ 4）與 BS7799標準相比， CC的側重點放在系統和產品的技術指標評價上；組織在依照 BS7799標準來實施 ISMS時，一些牽涉系統和產品安全的技術要求，可以借鑒 CC標準。2/2/2023 91信息 安全管理 ISO/IEC TR 13335（ 1）信息和通信技術安全管理，是由ISO/IEC JTC1制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施 IT安全管理提供建議和支持。 （ 2）對信息安全風險及其構成要素間關系的描述非常具體，對風險評估方法過程的描述很清晰，可用來指導實施。2/2/2023 92信息 安全管理 SSECMM（ 1） SSECMM模型是 CMM在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局（ NSA）領導開發(fā)的，是專門用于系統安全工程的能力程度度模型。 （ 2） ISO/IEC DIS 21827信息技術 — 系統安全工程 — 能力成熟度模型 （ 3） SSECMM將系統安全工程成熟度劃分為 5個等級 （ 4） SSECMM可以作為評估工程實施組織（如安全服務提供商）能力與資質的標準。我國國家信息安全測評認證中心在審核專業(yè)機構信息安全服務資質時，基本上就是依據 SSECMM來審核并劃分等級的。2/2/2023 93信息 安全管理 NIST SP 800系列 美國國家標準技術委員會（ NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術和管理領域的實踐參考指南。 ITIL 信息技術基礎設施庫（ IT Infrastructure Library），是由英國中央計算機與電信局（ CCTA）發(fā)布的關于 IT服務管理最佳實踐的建議和指導方針，旨在解決 IT服務質量不佳的情況。2/2/2023 94信息 安全管理 CobiT 信息及相關技術控制目標（ Control Objectives for Information and related Technology,CobiT）是由美國信息系統審計與控制協會針對 IT過程管理制定的一套基于最佳實踐的控制目標，是目前國際上公認的最先進、最權威的安全與信息技術管理和控制標準。 2/2/2023 95信息 安全管理第三節(jié) 信息安全策略167。 一、信息安全策略概述167。 二、制定信息安全策略167。 三、確定信息安全策略保護的對象167。 四、主要信息安全策略167。 五、信息安全策略的執(zhí)行和維護2/2/2023 96信息 安全管理安全策略包括：? 總體方針 ，指導性的戰(zhàn)略綱領文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織構架和責任認定、以及對于信息資產的管理辦法等內容? 針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責任認定等內容? 針對特定系統的具體策略，更為具體和細化，闡明了特定系統與信息安全有關的使用和維護規(guī)則等內容2/2/2023 97信息 安全管理安全策略的特點：? 力求全面和明確，不必過于具體和深入? 需要一個逐漸完善的過程，不可能一蹴而就? 應當保持適當的穩(wěn)定性2/2/2023 98信息 安全管理信息安全策略定義 信息安全策略 是一組經過高級管理層批準，正式發(fā)布和實施的綱領性文件，描述了一個企業(yè)、組織的高層安全目標，它描述應該做什么，而不是如何去做，一份信息安全策略就像是一份工程管理計劃書，這意味著它隱藏了執(zhí)行的細節(jié)。 信息安全策略是一種處理安全問題的管理策略的描述。安全策略必須遵循三個基本原則：確定性、完整性和有效性。2/2/2023 99信息 安全管理信息安全策略的重要性 信息安全策略是位于 核心地位 的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細節(jié)，但是明確描述了安全保護的對象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠對安全產品的選擇及管理實踐起到指導和約束作用。遵循安全策略的信息系統建設和管理將會形成一個統一的有機整體，使得系統具有更好的安全性。2/2/2023 100信息 安全管理制定信息安全策略的時間167。 理想情況下，制定信息安全策略的最佳時間是在發(fā)生第一起網絡安全事故之前。2/2/2023 101信息 安全管理安全員需要了解的幾個問題： 任何業(yè)務動作過程均存在不同程度的風險；167。 保險公司不愿向沒有信息安全策略的企業(yè)投保；167。 一個包括軟件開發(fā)策略在內的安全策略對與開發(fā)更安全的系統是有指導作用的。167。 在安全事故發(fā)生后，安全事故很可能重復發(fā)生，所以第一次發(fā)生后實施安全策略盡管太晚，卻十分必要；167。 發(fā)生安全事故制定安全策略時，不要把重點放在攻破的地方，要從全局考慮安全問題；167。 安全策略給用戶的印象是企業(yè)對安全問題非常認真；167。 當企業(yè)為政府或機關工作或與其合作時，一份安全策略應該是首先引起注意的事項；167。 向用戶展示企業(yè)質量標準控制所要求的可評價安全程序來說，安全策略可以作為該程序的指導方針。2/2/2023 102信息 安全管理信息安全策略開發(fā)流程167。 確定信息安全策略的范圍167。 風險評估 /分析或者審計167。 信息安全策略的審查、批準和實施2/2/2023 103信息 安全管理制定信息安全策略167。 制定信息安全策略的原則：167。 先進的網絡安全技術是網絡安全的根本保證167。 嚴格的管理是確保信息安全策略落實的基礎167。 嚴格的法律法規(guī)是網絡安全的堅強后盾2/2/2023 104信息 安全管理先進的網絡安全技術是網絡安全的根本保證167。 用戶對自身面臨的威脅進行風險評估，決定其所需的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術，形成一個全方位的安全系統。2/2/2023 105信息 安全管理嚴格的管理是確保信息安全策略落實的基礎167。 各計算機使用機構、企業(yè)和單位應建立相應的網絡安全管理辦法，加強內部管理，建立合適的網絡安全管理系統，加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網絡安全意識。2/2/2023 106信息 安全管理嚴格的法律法規(guī)是網絡安全的堅強后盾167。 面對日趨嚴重的網絡犯罪，必須建立與網絡安全相關的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。2/2/2023 107信息 安全管理信息安全策略的設計范圍167。 一個合理的信息安全策略體系包括 三個不同層次的策略文檔：167。 總體安全策略167。 針對特定問題的具體策略167。 針對特定系統的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。 闡述指導性的戰(zhàn)略綱領文件，闡明了企業(yè)對與信息安全的看法和立場、信息安全的目標和戰(zhàn)略、信息安全所涉及的范圍、管理組織架構和責任認定以及對與信息資產的管理辦法等內容。2/2/2023 109信息 安全管理針對特定問題的具體策略文檔167。 闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強制要求、角色、責任的認定等內容，例如：針對 Inter訪問操作、計算機和網絡病毒防治、口令的使用和管理等特定問題，制定用針對性的安全策略。2/2/2023 110信息 安全管理針對特定系統的具體策略文檔167。 針對特定系統的具體策略，更為具體化和詳細化，闡明了特定系統與信息安全有關的使用和維護規(guī)則等內容，如防火墻配置策略、電子郵件安全策略等等。2/2/2023 111信息 安全管理信息安全策略的 15個制定范圍167。 物理安全策略167。 網絡安全策略167。 數據加密策略167。 數據備份策略167。 病毒防護策略167。 系統安全策略167。 身份認證及授權策略167。 災難恢復策略167。 事故處理、緊急響應策略167。 安全教育策略167。 1口令管理策略167。 1補丁管理策略167。 1系統變更控制策略167。 1商業(yè)伙伴、客戶關系策略167。 1復查審計策略2/2/2023 112信息 安全管理物理安全策略 網絡安全策略 數據加密策略數據備份策略 病毒防護策略 系統安全策略身份認證及授權策略 ‘災難恢復策略 事故處理、緊急響應策略安全教育策略 口令管理策略 補丁管理策略系統變更控制策略