【正文】 7 網(wǎng)絡(luò)訪問控制 .................................................... 47 網(wǎng)絡(luò)服務(wù)的使用策略 ................................................ 47 實施控制的路徑 .................................................... 47 外部連接的用戶身份驗證 ............................................ 48 節(jié)點驗證 ......................................................... 48 遠程診斷端口的保護 ................................................ 49 網(wǎng)絡(luò)劃分 ......................................................... 49 網(wǎng)絡(luò)連接控制 ...................................................... 49 網(wǎng)絡(luò)路由控制 ...................................................... 50 網(wǎng)絡(luò)服務(wù)安全 ...................................................... 50 操作系統(tǒng)訪問控制 ................................................ 50 終端自動識別功能 .................................................. 50 終端登錄程序 ...................................................... 50 用戶身份識別和驗證 ................................................ 51 口令管理系統(tǒng) ...................................................... 51 系統(tǒng)實用程序的使用 ................................................ 52 保護用戶的威脅報警 ................................................ 52 10 終端超時 ......................................................... 52 連接時間限制 ...................................................... 53 應(yīng)用程序訪問控制 ................................................ 53 信息訪問限制 ...................................................... 53 敏感系統(tǒng)的隔離 .................................................... 54 監(jiān)控系統(tǒng)的訪問和使用 ............................................. 54 事件日志記錄 ...................................................... 54 監(jiān)控系統(tǒng)的使用 .................................................... 54 時鐘同步 ......................................................... 55 移動計算和遠程工作 ............................................... 56 移動計算 ......................................................... 56 遠程工作 ......................................................... 57 10 系統(tǒng)開發(fā)與維護 .................................................. 57 系統(tǒng)的安全要求 ................................................ 57 安全要求分析和說明 .............................................. 58 應(yīng)用系統(tǒng)中的安全 ............................................... 58 輸入數(shù)據(jù)驗證 .................................................... 58 內(nèi)部處理的控制 .................................................. 59 消息驗證 ....................................................... 59 輸出數(shù)據(jù)驗證 .................................................... 60 加密控制措施 .................................................. 60 加密控制措施的使用策略 .......................................... 60 加密 ........................................................... 61 數(shù)字簽名 ....................................................... 61 不否認服務(wù) ...................................................... 62 密鑰管理 ....................................................... 62 系統(tǒng)文件的安全 ................................................ 63 操作軟件的控制 .................................................. 63 系統(tǒng)測試數(shù)據(jù)的保護 .............................................. 63 對程序源代碼庫的訪問控制 ......................................... 64 開發(fā)和支持過程中的安全 .......................................... 64 變更控制程序 .................................................... 64 操作系統(tǒng)變更的技術(shù)評審 .......................................... 65 對軟件包變更的限制 .............................................. 65 隱蔽通道和特洛伊代碼 ............................................ 66 外包的軟件開發(fā) .................................................. 66 11 業(yè)務(wù)連續(xù)性管理 .................................................. 67 業(yè)務(wù)連續(xù)性管理的特點 ........................................... 67 業(yè)務(wù)連續(xù)性管理程序 .............................................. 67 業(yè)務(wù)連續(xù)性和影響分析 ............................................ 67 編寫和實施連續(xù)性計劃 ............................................ 68 業(yè)務(wù)連續(xù)性計劃框架 .............................................. 68 11 業(yè)務(wù)連續(xù)性計劃的檢查、維護和重新分析 ............................. 69 12 符合性 ......................................................... 70 符合法律要求 .................................................. 70 確定適用法律 .................................................... 70 知識產(chǎn)權(quán) (IPR)................................................... 70 組織記錄的安全保障 .............................................. 71 個人信息的數(shù)據(jù)保護和安全 ......................................... 71 防止信息處理設(shè)施的濫用 .......................................... 72 加密控制措施的調(diào)整 .............................................. 72 證據(jù)收集 ....................................................... 72 安全策略和技術(shù)符合性的評審 ...................................... 73 符合安全策略 .................................................... 73 技術(shù)符合性檢查 .................................................. 74 系統(tǒng)審計因素 .................................................. 74 系統(tǒng)審計控制措施 ................................................ 74 系統(tǒng)審計工具的保護 .............................................. 75 范圍 1 BS 7799 本部分內(nèi)容為那些負責(zé)執(zhí)行或維護組織安全的人員提供使用信息安全管理的建議。 2 術(shù)語和定義 在說明本文檔用途中應(yīng)用了以下定義 。 完整性的定義是保護信息和處理方法的準確和完整 。 風(fēng)險評估 12 評估信息安全漏洞對信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性 風(fēng)險管理 以可以接受的成本，確認、控制、排除可能影響信息系統(tǒng)的安全風(fēng)險或?qū)⑵鋷淼奈：ψ钚』倪^程 3 安全策略 信息安全策略 目標： 提供管理指導(dǎo)，保證信息安全。 信息安全策略文檔 策略文檔應(yīng)該由管理層批準，根據(jù)情況向所有員工公布傳達。 至少應(yīng)包括以下指導(dǎo)原則： a) 信息安全的定義、其總體目標及范圍以及安全作為保障信息共享的機制所具有的重要性（參閱簡介） ； b) 陳述信息安全的管理意圖、支持目標以及指導(dǎo)原則 ； c) 簡要說明安全策略、原則、標準以及需要遵守的各項規(guī)定。 安全策略應(yīng)該向組織用戶傳達，形式上是針對目標讀者，并為讀者接受和理解。 審查過程應(yīng)該確保在發(fā)生影響最初風(fēng)險評估的基礎(chǔ)的變化（如發(fā)生重大安 13 全事故、出現(xiàn)新的漏洞以及組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更）時，對策略進行相應(yīng)的審查 。 4 組織的安全 信息安全基礎(chǔ)設(shè)施 目標： 管理組織內(nèi)部的信息安全。 應(yīng)該建立有管理領(lǐng)導(dǎo)層參加的管理論壇，以批準信息安全策略、分配安全責(zé)任并協(xié)調(diào)組織范圍的安全策略實施 。 建立與公司外部的安全專家的聯(lián)系，保持與業(yè)界的潮流、監(jiān)視標準和評估方法同步，并在處理安全事故時吸收他們的觀點。 管理信息安全論壇 信息安全是一種由管理團隊所有成員共同承擔(dān)的業(yè)務(wù)責(zé)任 。論壇應(yīng)通過合理的責(zé)任分配和有效的資源管理促進組織內(nèi)部安全 。 通常，論壇有以下作用： a) 審查和核準信息安全策略以及總體責(zé)任 ； b) 當(dāng)信息資產(chǎn)暴露受到嚴重威脅時，監(jiān)視重大變化； c) 審查和監(jiān)控安全事故 ； d) 審核加強信息安全的重要活動 。 信息安全的協(xié)調(diào) 在大型組織中，需要建立一個與組織規(guī)模相宜的跨部門管理論壇，由組織有關(guān)部門的管理代表參與，通過論壇協(xié)調(diào)信息安全控制措施的實施情況。 信息安全責(zé)任的劃分 應(yīng)該明