1、i 在線采購(gòu)在線采購(gòu) BS7799 標(biāo)準(zhǔn)的組織分布標(biāo)準(zhǔn)的組織分布管理信息安全安全策略安全策略 Security Policy組織信息安全組織信息安全 Organizing Informantion Security資產(chǎn)管理資產(chǎn)管理 Asset management人力資源安全人力資源安全HumanResourceSecurity物理與環(huán)境安全物理與環(huán)境安全Physical andEnvironmentalSecurity通信與操作管理通信與操作管理Communications andOperationsManagement信息系統(tǒng)獲得、信息系統(tǒng)獲得、開(kāi)發(fā)與維護(hù)開(kāi)發(fā)與維護(hù)Information

2、System Acquisition,Development andMaintenance訪問(wèn)控制訪問(wèn)控制 Access Control信息安全事件管理信息安全事件管理 Information Security Incident Management業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 Business Continuity Management符合性符合性 Compliance要求認(rèn)證實(shí)施審核0 簡(jiǎn)介簡(jiǎn)介 0.1 概要概要 0.2 過(guò)程方法過(guò)程方法 0.3 與其他管理體系的兼容性與其他管理體系的兼容性1 范圍范圍 1.1 概要概要 1.2 應(yīng)用應(yīng)用2 標(biāo)準(zhǔn)引用標(biāo)準(zhǔn)引用3 術(shù)語(yǔ)定義術(shù)語(yǔ)定義4 信息安全

3、管理體系信息安全管理體系 4.1 一般要求一般要求 4.2 建立并管理建立并管理 ISMS 4.3 文檔要求文檔要求5 管理責(zé)任管理責(zé)任 5.1 管理承諾管理承諾 5.2 資源管理資源管理6 對(duì)對(duì) ISMS 的管理復(fù)審的管理復(fù)審 6.1 概要概要 6.2 復(fù)審輸入復(fù)審輸入 6.3 復(fù)審輸出復(fù)審輸出 6.4 內(nèi)部?jī)?nèi)部 ISMS 審計(jì)審計(jì)7 ISMS 改進(jìn)改進(jìn) 7.1 持續(xù)改進(jìn)持續(xù)改進(jìn) 7.2 糾正措施糾正措施 7.3 預(yù)防措施預(yù)防措施附錄附錄A 控制目標(biāo)和控制措施控制目標(biāo)和控制措施 A.1 簡(jiǎn)介簡(jiǎn)介 A.2 實(shí)施細(xì)則指南實(shí)施細(xì)則指南 A.3 安全策略安全策略 A.4 組織安全組織安全 A.5 資

4、產(chǎn)分類和控制資產(chǎn)分類和控制 A.6 人員安全人員安全 A.7 物理和環(huán)境安全物理和環(huán)境安全 A.8 通信和操作管理通信和操作管理 A.9 訪問(wèn)控制訪問(wèn)控制 A.10 系統(tǒng)開(kāi)發(fā)和維護(hù)系統(tǒng)開(kāi)發(fā)和維護(hù) A.11 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 A.12 依從性依從性附錄附錄B 標(biāo)準(zhǔn)使用指南標(biāo)準(zhǔn)使用指南 B.1 綜述綜述 B.2 計(jì)劃階段（計(jì)劃階段（Plan） B.3 實(shí)施階段（實(shí)施階段（Do） B.4 檢查階段（檢查階段（Check） B.5 措施階段（措施階段（Action）附錄附錄C BS EN ISO 9001:2000, BS EN ISO 14001:1996和和BS 7799-2:2002

5、之間的一致之間的一致性性附錄附錄D 內(nèi)部編號(hào)的變化內(nèi)部編號(hào)的變化信息安全管理體系信息安全管理體系ISMS選擇并實(shí)施控制選擇并實(shí)施控制評(píng)估安全風(fēng)險(xiǎn)評(píng)估安全風(fēng)險(xiǎn)建立一個(gè)信息建立一個(gè)信息安全管理框架安全管理框架根據(jù)需求采取措施消減風(fēng)險(xiǎn)，根據(jù)需求采取措施消減風(fēng)險(xiǎn)，以實(shí)現(xiàn)既定安全目標(biāo)以實(shí)現(xiàn)既定安全目標(biāo)確定安全需求確定安全需求設(shè)定信息安全的方向和目標(biāo)，設(shè)定信息安全的方向和目標(biāo)，定義管理層承諾的策略定義管理層承諾的策略 第一步會(huì)談協(xié)商了解現(xiàn)狀及商業(yè)流程、模式制定安全策略策略文件交付件第二步BS7799-2定義ISMS范圍組織/地點(diǎn)資產(chǎn)/技術(shù)ISMS范圍第三步威脅漏洞、弱點(diǎn)影響（Impact）現(xiàn)有措施（狀況）

6、風(fēng)險(xiǎn)評(píng)估記錄分析第四步風(fēng)險(xiǎn)管理的策略保證需求風(fēng)險(xiǎn)管理剩余風(fēng)險(xiǎn)第五步ISO/IEC 17799選擇控制目標(biāo)和措施降低/避免轉(zhuǎn)移/接受風(fēng)險(xiǎn)第六步適用性聲明國(guó)際標(biāo)準(zhǔn)認(rèn)證信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估 結(jié)果及結(jié)論選擇控制項(xiàng)選擇控制目標(biāo)及控制識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)估弱點(diǎn)評(píng)估風(fēng)險(xiǎn)（測(cè)量與等級(jí)劃分）選擇控制目標(biāo)和控制方式制定/修訂適用性聲明實(shí)施選定的控制接受識(shí)別并評(píng)估威脅現(xiàn)有控制確認(rèn)保持現(xiàn)有控制確認(rèn)并評(píng)估殘留風(fēng)險(xiǎn)定期評(píng)估NoYes申請(qǐng)認(rèn)證決定認(rèn)證范圍與報(bào)價(jià)簽約并安排日程預(yù)審模擬評(píng)審（可選）文件評(píng)審第一階段評(píng)審不符合事項(xiàng)糾正措施確認(rèn) 或追蹤確認(rèn)第二階段評(píng)審不符合事項(xiàng)建議頒證獲得證書(shū)定期復(fù)審糾正措施確認(rèn) 或追蹤確認(rèn)三年重新審

7、核風(fēng)險(xiǎn)風(fēng)險(xiǎn)威脅弱點(diǎn)資產(chǎn)資產(chǎn)安全措施安全措施價(jià)值/潛在影響安全需求利用存在具有導(dǎo)致增加導(dǎo)致抵御需要引出降低威脅帶來(lái)的影響威脅發(fā)生的可能性低影響高可能性高影響高可能性高影響低可能性低影響低可能性目標(biāo)目標(biāo)目標(biāo)識(shí)別并評(píng)價(jià)資產(chǎn)評(píng)估弱點(diǎn)影響評(píng)價(jià)風(fēng)險(xiǎn)推薦對(duì)策評(píng)估控制評(píng)估威脅可能性計(jì)劃和準(zhǔn)備Basic MetricGroupImpact BiasAccessComplexityConfidentialityImpactAuthenticationAccess VectorIntegrityImpactAvailabilityImpactTemporal MetricGroupExploitabilityRem

8、ediationLevelReportConfidenceEnvironmental MetricGroupCollateralDamage PotentialTargetDistributionOverallVulnerabilityScore威脅防止弱點(diǎn)威脅事件影響保護(hù)發(fā)現(xiàn)減小威懾性控制預(yù)防性控制檢測(cè)性控制糾正性控制 可能性 后果可以忽略1較小2中等3較大4災(zāi)難性5A（幾乎肯定）MHEEEB（很可能）MHH EEC（可能）LMHEED（不太可能）LLMHEE（罕見(jiàn)）LLMHH注：風(fēng)險(xiǎn)的四個(gè)級(jí)別： E：極度風(fēng)險(xiǎn) H：高風(fēng)險(xiǎn) M：中等風(fēng)險(xiǎn) L：低風(fēng)險(xiǎn)ISO/IEC 17799:2000前言前言

9、簡(jiǎn)介簡(jiǎn)介什么是信息安全（應(yīng)該保護(hù)信息資產(chǎn)的保密性、完整性和可用性）為什么需要信息安全如何建立安全需求（安全需求的三個(gè)來(lái)源）評(píng)估安全風(fēng)險(xiǎn)（安全需求經(jīng)過(guò)系統(tǒng)地評(píng)估安全風(fēng)險(xiǎn)而得到確認(rèn)）選擇控制（安全控制可以從7799或其它有關(guān)標(biāo)準(zhǔn)選擇，也可以自己設(shè)計(jì)滿足特定要求的控制）信息安全起點(diǎn)（基于法律要求和信息安全最侍慣例來(lái)選擇控制措施）關(guān)鍵的成功因素開(kāi)發(fā)你自己的指導(dǎo)方針?lè)秶秶g(shù)語(yǔ)和定義術(shù)語(yǔ)和定義2.1 信息安全2.2 風(fēng)險(xiǎn)評(píng)估1.2.3 風(fēng)險(xiǎn)管理安全策略安全策略3.1 信息安全策略3.1.1 信息安全策略文件3.1.2 復(fù)審與評(píng)估目標(biāo)：為信息安全提供管理指示及支持組織安全組織安全4.1 信息安全基礎(chǔ)設(shè)施4

10、.1.1 建立信息安全管理論壇4.1.2 組織內(nèi)部的信息安全協(xié)調(diào)機(jī)制4.1.3 分派信息安全責(zé)任4.1.4 信息處理設(shè)施的授權(quán)程序4.1.5 聽(tīng)取信息安全專家的建議4.1.6 組織間的協(xié)作4.1.7 獨(dú)立的信息安全復(fù)審目標(biāo)：在組織內(nèi)部管理信息安全目標(biāo)：維護(hù)第三方訪問(wèn)的組織的信息處理設(shè)施和信息資產(chǎn)的安全目標(biāo)：當(dāng)信息處理外包給其他組織時(shí)，維護(hù)信息的安全4.2 第三方訪問(wèn)的安全4.2.1 識(shí)別來(lái)自第三方訪問(wèn)的風(fēng)險(xiǎn)4.2.2 第三方合同中的安全要求4.3 外包控制4.3.1 外包合同的安全要求資產(chǎn)分類與控制資產(chǎn)分類與控制5.1 資產(chǎn)責(zé)任5.1.1 資產(chǎn)清單目標(biāo)：維護(hù)對(duì)組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)5.2 信息分

11、類5.2.1 分類指南5.2.2 信息標(biāo)注及處理目標(biāo)：確保信息資產(chǎn)得到恰當(dāng)水平的保護(hù)人員安全人員安全6.1 崗位定義和資源分配時(shí)的安全考慮6.1.1 在崗位責(zé)任中包括安全6.1.2 人員篩審和策略6.1.3 保密協(xié)議6.1.4 雇傭條款目標(biāo)：減少人為錯(cuò)誤、偷竊、欺詐或誤用設(shè)施帶來(lái)的風(fēng)險(xiǎn)目標(biāo)：確保用戶意識(shí)到信息安全威脅及利害關(guān)系，并在其正常工作當(dāng)中支持組織的安全策略目標(biāo)：減少來(lái)自安全事件和故障的損失，監(jiān)視并從事件中吸取教訓(xùn)6.2 用戶培訓(xùn)6.2.1 信息安全教育和培訓(xùn)6.3 對(duì)安全事件和故障的響應(yīng)6.3.1 報(bào)告安全事件6.3.2 報(bào)告安全弱點(diǎn)6.3.3 報(bào)告軟件故障6.3.4 從事件中吸取教訓(xùn)

12、6.3.5 建立懲戒機(jī)制物理和環(huán)境安全物理和環(huán)境安全7.1 安全區(qū)域7.1.1 物理安全邊界7.1.2 物理入口控制7.1.3 保護(hù)辦化驗(yàn)室7.1.4 雇傭條款7.1.5 隔離的運(yùn)送和裝卸區(qū)域目標(biāo)：防止非授權(quán)訪問(wèn)，破壞和干擾業(yè)務(wù)運(yùn)行的前提條件及信息目標(biāo)：防止資產(chǎn)的丟失、損害和破壞，防止業(yè)務(wù)活動(dòng)被中斷目標(biāo)：防止危害或竊取信息及信息處理設(shè)施7.2 設(shè)備安全7.2.1 設(shè)備的放置與保護(hù)7.2.2 供電7.2.3 電纜安全7.2.4 設(shè)備保護(hù)7.2.5 不在辦公區(qū)的設(shè)備的安全7.2.6 設(shè)備處置和重用的安全7.3 一般性控制7.3.1 屏幕和桌面清除策略7.3.2 財(cái)物的搬遷通信和操作管理通信和操作管

13、理8.1 操作程序和責(zé)任8.1.1 文檔化操作程序8.1.2 操作變更控制8.1.3 事件管理程序8.1.4 責(zé)任分離8.1.5 分離開(kāi)發(fā)和運(yùn)營(yíng)設(shè)施8.1.6 外部設(shè)施管理目標(biāo)：確保正確并安全地操作信息處理設(shè)施目標(biāo)：減少系統(tǒng)失效帶來(lái)的風(fēng)險(xiǎn)目標(biāo)：保護(hù)軟件和信息的完整性8.2 系統(tǒng)規(guī)劃及驗(yàn)收8.2.1 容量規(guī)劃8.2.2 系統(tǒng)驗(yàn)收8.3 抵御惡意軟件8.3.1 惡意軟件的控制目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性8.4 內(nèi)務(wù)管理8.4.1 信息備份8.4.2 操作者日志8.4.3 事故記錄8.5 網(wǎng)絡(luò)管理8.5.1 網(wǎng)絡(luò)控制目標(biāo)：確保對(duì)網(wǎng)絡(luò)中信息和支持性基礎(chǔ)設(shè)施的安全保護(hù)目標(biāo)：防止損害資產(chǎn)和

14、中斷業(yè)務(wù)活動(dòng)目標(biāo)：防止機(jī)構(gòu)間交換的信息丟失、遭受篡改和誤用。8.6 介質(zhì)處理和安全8.6.1 可移動(dòng)計(jì)算機(jī)介質(zhì)的管理8.6.2 介質(zhì)的處置8.6.3 信息處理的程序8.6.4 系統(tǒng)文件的安全8.7 信息和軟件的交換8.7.1 信息和軟件交換協(xié)議8.7.2 傳輸介質(zhì)的安全8.7.3 電子商務(wù)安全8.7.4 電子郵件安全8.7.5 電子辦公系統(tǒng)的安全8.7.6 公用系統(tǒng)8.7.7 其他形式的信息交換訪問(wèn)控制訪問(wèn)控制9.1 訪問(wèn)控制的業(yè)務(wù)需求9.1.1 物理安全邊界目標(biāo)：控制對(duì)信息的訪問(wèn)目標(biāo)：防止非授權(quán)訪問(wèn)信息系統(tǒng)目標(biāo)：防止非授權(quán)的用戶訪問(wèn)9.2 用戶訪問(wèn)的管理9.2.1 用戶注冊(cè)9.2.2 特權(quán)管

15、理9.2.3 用戶口令管理9.2.4 用戶訪問(wèn)權(quán)限的復(fù)審9.3 用戶責(zé)任9.3.1 口令使用9.3.2 無(wú)人值守的用戶設(shè)備目標(biāo)：保護(hù)網(wǎng)絡(luò)服務(wù)目標(biāo)：防止非授權(quán)的計(jì)算訪問(wèn)9.4 網(wǎng)絡(luò)訪問(wèn)控制9.4.1 網(wǎng)絡(luò)服務(wù)使用策略9.4.2 強(qiáng)制路徑9.4.3 對(duì)外部連接用戶進(jìn)行身份認(rèn)證9.4.4 節(jié)點(diǎn)認(rèn)證9.4.5 遠(yuǎn)程診斷端口的保護(hù)9.4.6 網(wǎng)絡(luò)隔離9.4.7 網(wǎng)絡(luò)連接控制9.4.8 網(wǎng)絡(luò)路由控制9.4.9 網(wǎng)絡(luò)服務(wù)的安全9.5 操作系統(tǒng)訪問(wèn)控制9.5.1 自動(dòng)終端身份識(shí)別9.5.2 終端登錄程序9.5.3 用戶身份識(shí)別與認(rèn)證9.5.4 口令管理系統(tǒng)9.5.5 系統(tǒng)工具的使用9.5.6 針對(duì)用戶保護(hù)的告

16、警9.5.7 終端超時(shí)9.5.8 限制連接時(shí)間9.6 應(yīng)用訪問(wèn)控制9.6.1 信息訪問(wèn)限制9.6.2 敏感系統(tǒng)的隔離目標(biāo)：防止非授權(quán)訪問(wèn)信息系統(tǒng)的信息目標(biāo)：檢測(cè)非授權(quán)的活動(dòng)目標(biāo)：確保使用移動(dòng)計(jì)算和通訊設(shè)施時(shí)的信息安全9.7 監(jiān)視系統(tǒng)訪問(wèn)和使用9.7.1 事件日志9.7.2 對(duì)系統(tǒng)的使用進(jìn)行監(jiān)視9.7.3 時(shí)鐘同步9.8 移動(dòng)計(jì)算和通訊9.8.1 移動(dòng)計(jì)算9.8.2 通訊 系統(tǒng)開(kāi)發(fā)和維護(hù)系統(tǒng)開(kāi)發(fā)和維護(hù)10.1 系統(tǒng)的安全需求10.1.1 安全需求分析和規(guī)范目標(biāo)：確保安全內(nèi)建于信息系統(tǒng)中目標(biāo)：防止丟失、篡改和誤用信息系統(tǒng)中的用戶數(shù)據(jù)目標(biāo)：保護(hù)信息的保密性、真實(shí)性和完整性10.2 應(yīng)用系統(tǒng)的安全10

17、.2.1 輸入數(shù)據(jù)的驗(yàn)證10.2.2 內(nèi)部處理控制10.2.3 消息認(rèn)證10.2.4 輸出數(shù)據(jù)的驗(yàn)證10.3 密碼控制10.3.1 密碼控制使用策略10.3.2 加密10.3.3 數(shù)字簽名10.3.4 抗抵賴性服務(wù)10.3.5 密鑰管理10.4 系統(tǒng)文件安全10.4.1 對(duì)運(yùn)行軟件的控制10.4.2 系統(tǒng)測(cè)試數(shù)據(jù)的保護(hù)10.4.3 對(duì)源程序庫(kù)的訪問(wèn)控制目標(biāo)：確保 IT 項(xiàng)目和支持活動(dòng)得以安全地進(jìn)行目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全10.5 開(kāi)發(fā)和支持過(guò)程的安全10.5.1 事件日志10.5.2 操作系統(tǒng)變更的技術(shù)復(fù)審10.5.3 軟件包變更的限制10.5.4 隱蔽通道和特洛伊代碼10.5.5 外包軟件開(kāi)發(fā) 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理11.1 業(yè)務(wù)連續(xù)性的各個(gè)方面11.1.1 業(yè)務(wù)連續(xù)性管理過(guò)程11.1.2 業(yè)務(wù)連續(xù)性和影響分析11.1.3 編寫并實(shí)施連續(xù)性計(jì)劃11.1.4 業(yè)務(wù)連續(xù)性計(jì)劃框架11.1.5 測(cè)試、維護(hù)和再評(píng)審業(yè)務(wù)連續(xù)性計(jì)劃目標(biāo)：減少業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程不受重大事故或?yàn)?zāi)害的影響 依從性依從性12.1