【文章內(nèi)容簡介】 ........................... 50 用戶身份識別和驗證 ................................................ 51 口令管理系統(tǒng) ...................................................... 51 系統(tǒng)實用程序的使用 ................................................ 52 保護(hù)用戶的威脅報警 ................................................ 52 10 終端超時 ......................................................... 52 連接時間限制 ...................................................... 53 應(yīng)用程序訪問控制 ................................................ 53 信息訪問限制 ...................................................... 53 敏感系統(tǒng)的隔離 .................................................... 54 監(jiān)控系統(tǒng)的訪問和使用 ............................................. 54 事件日志記錄 ...................................................... 54 監(jiān)控系統(tǒng)的使用 .................................................... 54 時鐘同步 ......................................................... 55 移動計算和遠(yuǎn)程工作 ............................................... 56 移動計算 ......................................................... 56 遠(yuǎn)程工作 ......................................................... 57 10 系統(tǒng)開發(fā)與維護(hù) .................................................. 57 系統(tǒng)的安全要求 ................................................ 57 安全要求分析和說明 .............................................. 58 應(yīng)用系統(tǒng)中的安全 ............................................... 58 輸入數(shù)據(jù)驗證 .................................................... 58 內(nèi)部處理的控制 .................................................. 59 消息驗證 ....................................................... 59 輸出數(shù)據(jù)驗證 .................................................... 60 加密控制措施 .................................................. 60 加密控制措施的使用策略 .......................................... 60 加密 ........................................................... 61 數(shù)字簽名 ....................................................... 61 不否認(rèn)服務(wù) ...................................................... 62 密鑰管理 ....................................................... 62 系統(tǒng)文件的安全 ................................................ 63 操作軟件的控制 .................................................. 63 系統(tǒng)測試數(shù)據(jù)的保護(hù) .............................................. 63 對程序源代碼庫的訪問控制 ......................................... 64 開發(fā)和支持過程中的安全 .......................................... 64 變更控制程序 .................................................... 64 操作系統(tǒng)變更的技術(shù)評審 .......................................... 65 對軟件包變更的限制 .............................................. 65 隱蔽通道和特洛伊代碼 ............................................ 66 外包的軟件開發(fā) .................................................. 66 11 業(yè)務(wù)連續(xù)性管理 .................................................. 67 業(yè)務(wù)連續(xù)性管理的特點 ........................................... 67 業(yè)務(wù)連續(xù)性管理程序 .............................................. 67 業(yè)務(wù)連續(xù)性和影響分析 ............................................ 67 編寫和實施連續(xù)性計劃 ............................................ 68 業(yè)務(wù)連續(xù)性計劃框架 .............................................. 68 11 業(yè)務(wù)連續(xù)性計劃的檢查、維護(hù)和重新分析 ............................. 69 12 符合性 ......................................................... 70 符合法律要求 .................................................. 70 確定適用法律 .................................................... 70 知識產(chǎn)權(quán) (IPR)................................................... 70 組織記錄的安全保障 .............................................. 71 個人信息的數(shù)據(jù)保護(hù)和安全 ......................................... 71 防止信息處理設(shè)施的濫用 .......................................... 72 加密控制措施的調(diào)整 .............................................. 72 證據(jù)收集 ....................................................... 72 安全策略和技術(shù)符合性的評審 ...................................... 73 符合安全策略 .................................................... 73 技術(shù)符合性檢查 .................................................. 74 系統(tǒng)審計因素 .................................................. 74 系統(tǒng)審計控制措施 ................................................ 74 系統(tǒng)審計工具的保護(hù) .............................................. 75 范圍 1 BS 7799 本部分內(nèi)容為那些負(fù)責(zé)執(zhí)行或維護(hù)組織安全的人員提供使用信息安全管理的建議。 目的是為制定組織安全標(biāo)準(zhǔn)和有效安全管理提供共同基礎(chǔ)，并提高組織間相互協(xié)調(diào)的信心。 2 術(shù)語和定義 在說明本文檔用途中應(yīng)用了以下定義 。 信息安全 信息保密性、完整性和可用性的保護(hù) 注意 保密性的定義是確保只有獲得授權(quán)的人才能訪問信息。 完整性的定義是保護(hù)信息和處理方法的準(zhǔn)確和完整 。 可用性的定義是確保 獲得授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)信息資產(chǎn) 。 風(fēng)險評估 12 評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性 風(fēng)險管理 以可以接受的成本，確認(rèn)、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程 3 安全策略 信息安全策略 目標(biāo)： 提供管理指導(dǎo)，保證信息安全。 管理層應(yīng)制定一個明確的安全策略方向，并通過在整個組織中發(fā)布和維護(hù)信息安全策略，表明自己對信息安全的支持和保護(hù)責(zé)任 。 信息安全策略文檔 策略文檔應(yīng)該由管理層批準(zhǔn)，根據(jù)情況向所有員工公布傳達(dá)。 文檔應(yīng)說明管理人員承擔(dān)的義 務(wù)和責(zé)任，并制定組織的管理信息安全的步驟 。 至少應(yīng)包括以下指導(dǎo)原則： a) 信息安全的定義、其總體目標(biāo)及范圍以及安全作為保障信息共享的機(jī)制所具有的重要性（參閱簡介） ； b) 陳述信息安全的管理意圖、支持目標(biāo)以及指導(dǎo)原則 ； c) 簡要說明安全策略、原則、標(biāo)準(zhǔn)以及需要遵守的各項規(guī)定。這對組織非常重要，例如： 1) 符合法律和合約的要求； 2) 安全教育的要求 ； 3) 防止并檢測病毒和其它惡意軟件； 4)業(yè)務(wù)連續(xù)性管理； 5) 違反安全策略的后果； d) 確定信息安全管理的一般責(zé)任和具體責(zé)任，包括報告安全事故 ； e) 參考支持安全策略的有關(guān)文 獻(xiàn)，例如針對特定信息系統(tǒng)的更為詳盡的安全策略和方法以及用戶應(yīng)該遵守的安全規(guī)則 。 安全策略應(yīng)該向組織用戶傳達(dá)，形式上是針對目標(biāo)讀者，并為讀者接受和理解。 審查評估 每個策略應(yīng)該有一個負(fù)責(zé)人，他根據(jù)明確規(guī)定的審查程序?qū)Σ呗赃M(jìn)行維護(hù)和審查 。 審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險評估的基礎(chǔ)的變化（如發(fā)生重大安 13 全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時，對策略進(jìn)行相應(yīng)的審查 。 還應(yīng)該進(jìn)行以下預(yù)定的、階段性的審查 ： a) 檢查策略的有效性，通過所記錄的安全事故的性質(zhì)、數(shù)量以及影響反映出來； b) 控制措施的成本及其業(yè)務(wù)效率的 影響 ； c) 技術(shù)變化帶來的影響 。 4 組織的安全 信息安全基礎(chǔ)設(shè)施 目標(biāo)： 管理組織內(nèi)部的信息安全。 應(yīng)該建立管理框架，在組織內(nèi)部開展和控制信息安全的管理實施。 應(yīng)該建立有管理領(lǐng)導(dǎo)層參加的管理論壇，以批準(zhǔn)信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實施 。 根據(jù)需要，應(yīng)該建立專家提出信息安全建議的渠道，并供整個組織使用 。 建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標(biāo)準(zhǔn)和評估方法同步，并在處理安全事故時吸收他們的觀點。應(yīng)該鼓勵采用跨學(xué)科跨范圍的信息安全方法，例如，讓管理人員、用戶、行政人員、應(yīng)用程序設(shè)計人 員、審計人員以及安全人員和專家協(xié)同工作，讓他們參與保險和風(fēng)險管理的工作 。 管理信息安全論壇 信息安全是一種由管理團(tuán)隊所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任 。 應(yīng)該建立一個管理論壇，確保對安全措施有一個明確的方向并得到管理層的實際支持。論壇應(yīng)通過合理的責(zé)任分配和有效的資源管理促進(jìn)組織內(nèi)部安全 。 該論壇可以作為目前管理機(jī)構(gòu)的一個組成部分 。 通常，論壇有以下作用： a) 審查和核準(zhǔn)信息安全策略以及總體責(zé)任 ； b) 當(dāng)信息資產(chǎn)暴露受到嚴(yán)重威脅時，監(jiān)視重大變化； c) 審查和監(jiān)控安全事故 ； d) 審核加強(qiáng)信息安全的重要活動 。 一個管理人員應(yīng)負(fù)責(zé)所有與安全 相關(guān)的活動 。 信息安全的協(xié)調(diào) 在大型組織中，需要建立一個與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與，通過論壇協(xié)調(diào)信息安全控制措施的實施