【正文】 客及拒絕服務(wù)攻擊等手段變得更普遍、大膽和復雜。信息的保密性、完整性和可用性對機構(gòu)保持競爭能力、現(xiàn)金流、利潤、守法及商業(yè)形象至關(guān)重要。這些控制需要被建立以保證機構(gòu)的安全目標能夠最終實現(xiàn)。因此信息安全的特征是保留信息的如下特性：1） 保密性(confidentiality)：保證信息只讓合法用戶訪問；2） 完整性(integrity)：保障信息及其處理方法的準確性（accuracy）、完全性（pleteness）；3） 可用性(availability)：保證合法用戶在需要時可以訪問到信息及相關(guān)資產(chǎn)。信息可以有多種存在方式，可以寫在紙上、儲存在電子文檔里，也可以用郵遞或電子手段發(fā)送，可以在電影上放映或者說話中提到。BS7799信息安全管理標準Worldwide StandardsHaving trouble locating an overseas standard? BSI has the solution…WITH BSI, YOUR SEARCH IS OVER BEFORE IT’S EVEN BEGUNWorldwide Standards Direct is the fast, costeffective standards service. Contact us on: info Tel +44(0)20 8996 9001 Fax +44(0)20 8996 7001Information security management—Part 1: Code of practice for information security management信息安全管理標準第一部分：信息安全管理慣例目錄Worldwide Standards 2Having trouble locating an overseas standard? BSI has the solution… 2WITH BSI, YOUR SEARCH IS OVER BEFORE IT’S EVEN BEGUN 2第一部分：信息安全管理慣例 3序 14簡介 15什么是信息安全？ 15為什么需要信息安全 15如何制定安全需求 16評估信息風險 16安全控制的選擇 16信息安全的出發(fā)點 17重要的成功因素 17開發(fā)你自己的指導方針 17 19 20 20 20 20 21 21 21 21 22 22 22 22 22 23 23 24 24 24 24 24 25 25 25 26 26 28 28 28 28 29 29 30 30 30 30 31 31 31 31 31 32 32 32 32 32 33 33 33 3房間及設(shè)備 34 34 34 35 35 36 36 36 37 37 37 37 38 39 39 39 39 40 40 41 41 41 42 42 42 43 43 43 44 44 44 44 45 45 45 46 46 46 46 47 47 48 48 48 48 49 49 50 50 50 50 50 51 51 51 52 52 52 52 53 53 53 54 54 網(wǎng)點認證 54 55 55 55 55 網(wǎng)絡(luò)服務(wù)的安全 56 56 56 56 57 57 58 58 58 58 58 59 59 59 59 60 60 60 60 61 61 61 62 63 63 63 63 63 64 64 64 64 65 65 65 66 66 66 67 67，程序及方法 67 68 68 68 68 69 69 70 70 70 70 71 71 71 71 71 7維護及重新評估業(yè)務(wù)連續(xù)性計劃 72 72 73 74 74 74 74 74 74 75 75 76 76 76 76 77 77 77 77 77 79 79 79第二部分：信息安全管理系統(tǒng)的規(guī)范 81 81 81 81 81 81 81 82 82 83 85 85 信息安全策略 85 85 85 85 85 管理層信息安全論壇 85 信息安全的協(xié)調(diào) 85 信息安全職責的分配 85 信息處理設(shè)施的授權(quán)過程 86 專家信息安全建議 86 各機構(gòu)之間的協(xié)作 86 信息安全的獨立檢查 86 第三方訪問的安全 86 86 在第三方合同中的安全要求 86 外部采購 86 在外購合同中的安全要求 86 87 87 87 87 87 87 87 87 87 87 88 88 用戶培訓 88 信息安全教育和培訓 88 安全事故與故障的處理 88 報告突發(fā)安全事故 88 報告安全弱點 88 報告軟件故障 88 從事故中吸取教訓 88 糾正過程 89 89 安全地區(qū) 89 物理安全邊界 89 物理接口控制 89 保護辦公室、房間和設(shè)施 89 在安全地區(qū)工作 89 隔離的運輸和裝載地區(qū) 89 設(shè)備安全 89 設(shè)備放置地點的選擇與保護 89 電源供應(yīng) 90 電纜安全 90 設(shè)備維護 90 在機構(gòu)外部使用設(shè)備時應(yīng)注意的安全性 90 設(shè)備應(yīng)該被安全地處理掉和再使用 90 一般控制 90 清潔桌面與清潔屏幕策略 90 資產(chǎn)的刪除 90 90 操作過程與職責 90 記錄操作過程 91 針對操作變化的控制 91 事件管理程序 91 職責分離 91 開發(fā)設(shè)施與操作設(shè)施的分離 91 外部設(shè)施管理 91 系統(tǒng)計劃與驗收 91 容量計劃 91 系統(tǒng)驗收 91 針對惡意軟件的防護 92 采取控制來防范惡意軟件 92 內(nèi)務(wù)處理 92 信息備份 92 操作員日志 92 出錯日志 92 網(wǎng)絡(luò)管理 92 網(wǎng)絡(luò)控制 92 介質(zhì)處理和安全 92 計算機可移動介質(zhì)的管理 92 介質(zhì)處理 93 信息處理程序 93 系統(tǒng)文檔的安全 93 信息及軟件的交換 93 信息和軟件的交流協(xié)議 93 傳輸過程中的介質(zhì)安全 93 電子商務(wù)安全 93 電子郵件安全 93 電子辦公系統(tǒng)的安全 93 信息發(fā)布系統(tǒng)的安全 94 其它方式的信息交換 94 訪問控制 94 訪問控制的商業(yè)需求 94 訪問控制策略 94 用戶訪問管理 94 用戶注冊 94 特權(quán)管理 94 用戶口令管理 94 用戶訪問權(quán)限審查 95 用戶職責 95 口令的使用 95 易被忽略的用戶設(shè)備 95 網(wǎng)絡(luò)訪問控制 95 網(wǎng)絡(luò)服務(wù)的使用策略 95 增強的路徑 95 外部連接的用戶認證 95 節(jié)點認證 95 對遠程診斷端口的保護 95 網(wǎng)絡(luò)隔離 96 網(wǎng)絡(luò)連接控制 96 網(wǎng)絡(luò)路由控制 96 網(wǎng)絡(luò)服務(wù)的安全性 96 操作系統(tǒng)訪問控制 96 自動終端認證 96 終端登錄過程 96 用戶標識和認證 96 口令管理系統(tǒng) 96 系統(tǒng)工具的使用 97 用警告信息保護用戶 97 終端超時 97 連接時間的限制 97 應(yīng)用系統(tǒng)的訪問控制 97 信息訪問限制 97 敏感系統(tǒng)的隔離 97 監(jiān)控對系統(tǒng)的訪問和使用 97 事件日志 97 監(jiān)控對系統(tǒng)的使用情況 98 時鐘同步 98 移動計算與遠程工作 98 移動計算 98 遠程工作 98 系統(tǒng)開發(fā)與維護 98 系統(tǒng)的安全需求 98 安全需求分析與描述 98 應(yīng)用系統(tǒng)的安全 98 對輸入數(shù)據(jù)進行有效性確認 98 對內(nèi)部處理的控制 99 消息認證 99 對輸出數(shù)據(jù)進行有效性確認 99 密碼控制 99 密碼控制的使用策略 99 加密 99 數(shù)字簽名 99 不可否認服務(wù) 99 密鑰管理 99 系統(tǒng)文件的安全性 100 對業(yè)務(wù)軟件的控制 100 對系統(tǒng)測試數(shù)據(jù)的保護 100 對程序源代碼庫的訪問控制 100 在軟件開發(fā)與支持過程中的安全性 100 變化控制程序 100 針對操作系統(tǒng)變化的技術(shù)審查 100 限制對軟件包的修改 100 隱蔽信道和特洛依木馬代碼 100 外包軟件開發(fā) 101 業(yè)務(wù)連續(xù)性管理 101 業(yè)務(wù)連續(xù)性管理的各個方面 101 業(yè)務(wù)連續(xù)性管理的進程 101 業(yè)務(wù)連續(xù)性與影響分析 101 連續(xù)性計劃的撰寫與實施 101 業(yè)務(wù)連續(xù)性計劃的框架 101 測試、維護與重新評估業(yè)務(wù)連續(xù)性計劃 101 101 與法律要求的一致性 101 識別適用的立法 102 知識產(chǎn)權(quán) 102 保護機構(gòu)的文檔記錄 102 數(shù)據(jù)保護與個人信息隱私 102 防止信息處理設(shè)備的誤用 102 密碼控制制度 102 證據(jù)收集 102 安全策略與技術(shù)遵循性的復審 102 與安全策略的一致性 102 技術(shù)遵循性檢查 103 系統(tǒng)審計的考慮 103 系統(tǒng)審計控制 103 系統(tǒng)審計工具的保護 103序BS7799的這個部分是在BSI/DISC委員會BDD/2信息安全管理部監(jiān)督下完成的，用來代替BS7799:1995.BS7799分兩部分發(fā)布：第一部分：信息安全管理慣例第二部分：信息安全管理規(guī)范簡介什么是信息安全？信息是一家機構(gòu)的資產(chǎn)，與其它資產(chǎn)一樣，應(yīng)受到保護。信息安全的作用是保護信息不受大范圍威脅所干擾，使機構(gòu)業(yè)務(wù)能夠暢順，減少損失及提供最大的投資回報和商機。無論信息以何種方式表示、共享和存儲，都應(yīng)當適當?shù)乇Ｗo起來。實現(xiàn)信息安全要有一套合適的控制（controls），如策略（policies）、慣例(practices)、程序(procedures)、組織的機構(gòu)(organizational structures)和軟件功能(software functions)。為什么需要信息安全信息及其支持進程、系統(tǒng)和網(wǎng)絡(luò)是機構(gòu)的重要資產(chǎn)。但機構(gòu)及其信息系統(tǒng)和網(wǎng)絡(luò)也越來越要面對來自四面八方的威脅，如計算機輔助的詐騙、間諜、破壞、火災及水災等。機構(gòu)對信息系統(tǒng)及服務(wù)的依賴意味著更容易受到攻擊。分布式計算的趨勢已經(jīng)削弱了集中管理的效果。利用技術(shù)手段獲得的安全是受限制的，因而還應(yīng)該得到相應(yīng)管理和程序的支持。信息安全管理至少需要機構(gòu)全體員工的參與，同時也應(yīng)讓供應(yīng)商、客戶或股東參與，如果有必要，可以向外界尋求專家的建議。如何制定安全需求識別出一個機構(gòu)的安全需求是很重要的。第一個來源是對機構(gòu)面臨的風險的評估。第二個來源是機構(gòu)與合作伙伴、供應(yīng)商及服務(wù)提供者共同遵守的法律、法令、規(guī)例及合約條文的要求。評估安全風險安全需求經(jīng)過系統(tǒng)地評估安全風險而得到確認。風險評估可以在整個機構(gòu)或機構(gòu)的一部分、單個信息系統(tǒng)、某個系統(tǒng)部件或服務(wù)上實行，只要是可行的、現(xiàn)實的和有益的就可以了。評估結(jié)果會有助于指導和確定合適的管理行動和管理信息安全風險的優(yōu)先次序，以及實施選擇的來抵御這些風險的合適的安全控制。重要的是要定期復審安全風險和實施的安全控制，以便：a) 考慮業(yè)務(wù)需求和優(yōu)先級的變化；b) 考慮新出現(xiàn)的威脅與漏洞；c) 確認安全控制仍然有效并且合適。風險評估一般是首先從高層開始，目的是提高位于高風險區(qū)的資源的優(yōu)先級，然后在一個更詳細的層次上來說明特定的風險。安全控制可以從這個標準或其它有關(guān)標準選擇，也可以自己設(shè)計滿足特定要求的控制。但是，應(yīng)了解到一些安全控制并不適用于每個信息系統(tǒng)或環(huán)境，并且并不是對所有的機構(gòu)都可行。這份文檔所提供的一些安全控制可以作為信息安全管理的指導原則，并且對大部分機構(gòu)都是適用的。這些控制要么是基于法律的規(guī)定，要么被認為是信息安全的常用的最佳實踐和經(jīng)驗。被認為是信息安全的最佳實踐的控制包括：1） 信息安全策略文檔（）；2） 信息安全責任的分配（）；3） 信息安全的教育與培訓（）；4） 報告安全事件（）；5） 業(yè)務(wù)連續(xù)性管理（）。 雖然這里所提到的安全控制都很重要，但選出合適的安全控制應(yīng)考慮機構(gòu)要面對的風險。關(guān)鍵的成功因素經(jīng)驗表明：以下的因素對在一個機構(gòu)內(nèi)成功實施信息安全通常是關(guān)鍵的：1） 反映業(yè)務(wù)目標的安全策略、安全目標和活動；2） 與機構(gòu)的文化保持一致性的安全實施方法；3） 來自管理層的可見的支持與承諾；4） 對安全需求、安全評估及安全管理有良好的理解；5） 關(guān)于安全的對所有經(jīng)理及員工的有效宣傳；6） 向所有員工和合作伙伴發(fā)布關(guān)于信息安全策略和標準的指南；7） 提供合適的培訓與教育；