1、1信息安全概述信息安全概述信息安全標準介紹信息安全標準介紹BS779923信息安全的信息安全的CIA目標目標 BS7799信息安全管理概述4組織的信息安全需求組織的信息安全需求u 法律法規與合同條約的要求： 有關信息安全的法律法規是對組織的強制性要求，組織應該將適用于組織的法律法規轉化為組織的信息安全要求。 計算機信息系統安全保護條例，知識產權保護，互聯網安全管理規定 考慮業務合作者和客戶對組織提出的信息安全要求，包括合同要求、招標條件和承諾。u 組織的原則、目標和規定： 組織為業務正常運作所特別制定的原則、目標及信息處理的規定。 加強內部管理的要求。u 風險評估的結果： 安全控制要求應針對每

2、項資產所面臨的威脅、存在的弱點、產生的潛在影響和發生的可能性等綜合因素來分析確定。 這是信息安全管理的基礎。信息安全管理概述5信息安全管理概述u 信息安全的成敗取決于兩個因素：技術和管理。 u 安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑。u 人們常說，三分技術，七分管理三分技術，七分管理，可見管理對信息安全的重要性。 u 信息安全管理（Information Security Management）作為組織完整的管理體系中一個重要的環節，它構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協調的活動，其針對對象就是組織的信息資產。 u 現實世界里大多數安

3、全事件的發生和安全隱患的存在，與其說是技術上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關鍵作用，對于真正實現信息安全目標來說尤其重要。 u 信息安全管理的核心就是風險管理風險管理。信息安全管理信息安全管理6BS7799的安全觀的安全觀u 技術和產品是基礎，管理才是關鍵u 產品和技術，要通過管理的組織職能才能發揮最佳作用u 技術不高但管理良好的系統遠比技術高超但管理混亂的系統安全u 先進、易于理解、方便操作的安全策略對信息安全至關重要u 建立一個管理框架，讓好的安全策略在這個框架內可重復實施，并不斷得到修正，就會擁有持續安全u 根本上說，信息安全是個管理過程，而不是技術過程信息

4、安全管理概述7威脅威脅漏洞漏洞安全控制安全控制安全風險安全風險資產資產安全需求安全需求資產價值和資產價值和潛在影響潛在影響抵御利用增加增加暴露擁有增加需要減少滿足信息安全管理諸要素信息安全管理諸要素8AccessControlsAsset ClassificationControlsInformation Security PolicySecurity OrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceCommunicationsManagement信息安全管理概述

5、BS7799信息安全管理的內容信息安全管理的內容Info security Incident management 9基于風險分析的安全管理方法基于風險分析的安全管理方法u 信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動。 制定信息安全策略方針 風險評估和管理 控制目標和方式選擇 風險控制和處理 安全保證u 信息安全策略方針為信息安全管理提供導向和支持。u 控制目標與控制方式的選擇應該建立在風險評估的基礎上。u 考慮控制成本與風險平衡的原則，將風險降低到組織可接受的水平。u 需要全員參與。u 遵循管理的一般模式PDCA模型。信息安全管理概述10PDCA信息安全管理模型信息安全管

6、理模型信息安全管理概述1112英國標準協會（英國標準協會（BSI）u 英國標準學會（British Standards Institution，BSI）u 著名的ISO9000、ISO14000、ISO17799/BS7799等標準的編寫機構u 英國標準學會（BSI）是世界上最早的全國性標準化機構，它受政府控制但得到了政府的大力支持。 BSI不斷發展自己的工作隊伍，完善自己的工作機構和體制， 把標準化和質量管理以及對外貿易緊密結合起來開展工作BS7799標準簡介13BS7799標準簡介什么是什么是BS 7799？u 英國標準協會（British Standards Institute，BSI）

7、制定的信息安全標準。u 由信息安全方面的最佳慣例組成的一套全面的控制集。u 信息安全管理方面最受推崇的國際標準。14BS 7799的目的的目的 為信息安全管理提供建議，供那些在其機構中負有安全責任的人使用。它旨在為一個機構提供用來制定安全標準、實施有效的安全管理時的通用要素，并得以使跨機構的交易得到互信。BS7799標準簡介15BS7799標準簡介BS 7799的歷史沿革的歷史沿革u 1990年代初年代初 英國貿工部（DTI）成立工作組，立項開發一套可供開發、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用框架。u 1993年年9月月 頒布信息安全管理實施細則，形成BS 7799的基礎。u

8、 1995年年2月月 首次出版BS 7799-1:1995信息安全管理實施細則。u 1998年年2月月 英國公布BS 7799-2:信息安全管理體系規范。u 1999年年4月月 BS 7799-1與BS 7799-2修訂后重新發布。u 2000年年12月月 國際標準組織 ISO/IEC JTC 1/SC27工作組認可通過BS 7799-1，頒布ISO/IEC 17799-1:2000信息技術信息安全管理實施細則。 u 2002年年9月月 BSI對BS 7799-2進行了改版，用來替代原標準（BS 7799-2:1999）使用，并可望通過ISO組織認可。uISO27001:2005 建立信息安全

9、管理體系（ISMS）的一套規范（Specification for Information Security Management Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機構應該遵循的風險評估標準 。161995199920002002200520072005 version2000 version2005/062005-200620062005-20062005-2006BS7799標準簡介BS 7799的歷史沿革的歷史沿革17BS7799標準簡介BS 7799的發展現狀的發展現狀u BS 7799技術委員會是BSI-DISC Committee B

10、DD/2，成員包括： 金融服務：英國保險協會，渣打會計協會，匯豐銀行等 通信行業：大英電訊公司等 零售業：Marks and Spencer plc 國際組織：殼牌，聯合利華，畢馬威（KPMG）等u 目前除英國之外，國際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西、日本等國采用BS 7799。u 我國的臺灣、香港地區也在推廣該標準。u 日本的金融業、印度的軟件業、歐洲的制造業在BS7799認證方面表現積極。u 全球目前有750多家機構通過了BS 7799認證，涉及政府機構、銀行、保險公司、電信企業、網絡公司和許多跨國公司。（可查詢http:/）u 目前大陸地區通過信息安全管

11、理體系認證的有6家。18BS 7799簡介u 第一部分是信息安全管理實施細則（Code of Practice for Information Security Management），在10個標題中定義了127項安全控制：u 第二部分是建立信息安全管理系統（ISMS）的一套規范（Specification for Information Security Management Systems），詳細說明了建立、實施和維護信息安全管理系統的要求，指出實施機構應該遵循的風險評估標準。19BS 7799簡介20BS 7799簡介21其他類似或相關文檔其他類似或相關文檔u BSI DISC提供了一組

12、關于BS 7799的系列指導文件（PD3000系列）： PD 3001 Preparing for BS7799 Certification PD 3002 Guide to Risk Assessment and Risk Management PD 3003 “Are you ready for a BS7799 Audit?” PD 3004 Guide to BS7799 Auditing PD 3005 Guide to the selection of BS7799 controlsu 澳大利亞和新西蘭等同采用BS7799，發布了AS/NZS 4444（后來，根據ISO/IEC 1

13、7799:2000頒布了AS/NZS ISO/IEC 17799:2001，根據BS7799-2:2002又頒布了AS/NZS 7799.2:2003），此外，他們也有自己的信息安全管理標準，即AS/NZS 4360。u ISO/IEC TR 13335，即IT安全管理指南（Guidelines for the Management of IT Security，GMITS），分5個部分。是信息安全管理方面的指導性標準，專注于IT領域，并不用于審計和認證。u ISO/TR 13569，銀行和相關金融服務信息安全指南。BS7799標準簡介2223BS 7799-ISO17799：2005信息安全

14、管理實施細則24信息安全管理實施細則25ISO17799:2005前言前言簡介簡介什么是信息安全 （信息是一種資產，有多種存在形式，應該通過有效控制加以保護）為什么需要信息安全如何建立安全需求 （安全需求的三個來源）評估安全風險 （安全需求經過系統地評估安全風險而得到確認 ）選擇控制 （安全控制可以從7799或其它有關標準選擇，也可以自己設計滿足特定要求的控制 ）信息安全起點 （基于法律要求和信息安全最佳實踐來選擇控制措施）關鍵的成功因素開發你自己的指南范圍范圍術語和定義術語和定義2.1 定義本標準的結構本標準的結構3.1 條款3.2 主安全目錄4 風險評估和處理風險評估和處理 4.1 評估安

15、全風險 4.2 處理安全風險信息安全管理實施細則265. 信息安全策略信息安全策略u 目標目標：信息安全策略為信息安全提供與業務需求和法律法規相一致的管理指示及支持u 安全策略應該做到： 對信息安全加以定義 陳述管理層的意圖 分派責任 約定信息安全管理的范圍 對特定的原則、標準和遵守要求進行說明 對報告可疑安全事件的過程進行說明 定義用以維護策略的復查過程信息安全管理實施細則27信息安全管理實施細則6. 安全組織安全組織u 目標目標： 信息安全基礎設施在組織內部管理信息安全 外部組織保持組織的被外部組織訪問、處理、溝通或管理的信息及信息處理設備的安全u 包含的內容： 建立管理委員會，定義安全管

16、理的角色和責任 對軟硬件的采購建立授權過程與第三方簽訂的協議中應覆蓋所有相關的安全要求。 外包合同中的安全需求包括內部組織和外部伙伴28信息安全管理實施細則7. 資產管理資產管理u 目標目標：資產責任實現并保持組織資產的適當保護信息分類確保對信息資產的保護達到恰當的水平u 包含的內容： 組織可以根據業務運作流程和信息系統拓撲結構來識別信息資產。 按照信息資產所屬系統或所在部門列出資產清單。 所有的信息資產都應該具有指定的屬主并且可以被追溯責任。 信息應該被分類，以標明其需求、優先級和保護程度。 根據組織采用的分類方案，為信息標注和處理定義一套合適的程序。Top SecretSecretConf

17、identialRestricted29信息安全管理實施細則8. 人力資源安全人力資源安全u 目標目標： 雇傭前確保員工、合同訪和第三方用戶了解他們的責任并適合于他們所考慮的角色，減少盜竊、濫用或設施誤用的風險。 雇傭中確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關事宜、他們的責任和義務，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風險。 解聘和變更確保員工、合同方和第三方用戶離開組織或變更雇傭關系時以一種有序的方式進行。u 包含的內容： 故意或者無意的人為活動可能給數據和系統造成風險 在正式的工作描述中建立安全責任，員工入職審查 30信息安全管理實施細則9. 物理和環

18、境安全物理和環境安全u 目標目標： 安全區域防止非授權訪問、破壞和干擾業務運行的前提條件及信息。 設備安全預防資產的丟失、損壞或被盜，以及對組織業務活動的干擾。u 包含的內容： 應該建立帶有物理入口控制的安全區域 應該配備物理保護的硬件設備 應該防止網絡電纜被塔線竊聽 將設備搬離場所，或者準備報廢時，應考慮其安全31信息安全管理實施細則10. 通信和操作管理通信和操作管理u 目標目標： 操作程序和責任確保信息處理設施的正確和安全操作。 第三方服務交付管理實施并保持信息安全的適當水平，確保第三方交付的服務符合協議要求。 系統規劃與驗收減少系統失效帶來的風險。 防范惡意代碼和移動代碼保護軟件和信息

19、的完整性。 備份保持信息和信息處理設施的完整性和可用性 網絡安全管理確保對網絡中信息和支持性基礎設施的安全保護。 介質處理和安全防止對資產的未授權泄漏、修改、移動或損壞，及對業務活動的干擾。 信息和軟件的交換應保持組織內部或組織與外部組織之間交換信息和軟件的安全。 電子商務服務 確保電子商務的安全及他們的安全使用。監督檢測未經授權的信息處理活動。u 包含的內容： 防病毒，防惡意軟件 進行變更控制 做好備份，存儲介質的安全處理，保存正確的訪問日志，系統文件的安全性 電子郵件安全性 保護傳輸中的數據32信息安全管理實施細則11. 訪問控制訪問控制u 目標目標： 訪問控制的業務需求控制對信息的訪問。

20、 用戶訪問管理確保授權用戶的訪問，并預防信息系統的非授權訪問。 用戶責任預防未授權用戶的訪問，信息和信息處理設施的破壞或被盜。 網絡訪問控制防止對網絡服務未經授權的訪問。 操作系統訪問控制防止對操作系統的未授權訪問。 應用訪問控制防止對應用系統中信息的未授權訪問。 移動計算和遠程工作確保在使用移動計算和遠程工作設施時信息的安全。 u 包含的內容： 口令的正確使用 對終端的物理訪問 自動終止時間 軟件監視等33信息安全管理實施細則12. 系統獲得、開發與維護系統獲得、開發與維護u 目標目標： 系統的安全需求確保安全內建于信息系統中。 應用系統的安全防止應用系統信息的錯誤、丟失、未授權的修改或誤用

21、。 加密控制通過加密手段來保護細膩的保密性、真實性或完整性。 系統文件的安全確保系統文檔的安全。 開發和支持過程的安全保持應用系統軟件和信息的安全。技術漏洞管理減少由利用公開的技術漏洞帶來的風險。u 包含的內容： 在系統設計時應該考慮輸入數據校驗、數據加密、數據文件的安全性、測試數據的保護 軟件開發和維護中應該建立配置管理、變更控制等機制 34信息安全管理實施細則13. 信息安全事件管理信息安全事件管理u 目標目標：報告信息安全事件和弱點確保與信息系統有關的安全事件和弱點的溝通能夠及時采取糾正措施。信息安全事故的管理和改進確保使用持續有效的方法管理信息安全事故。 u 包含的內容：正常的事件報告

22、和分類程序，這類程序用來報告可能對機構的財產安全造成影響的不同種類的事件和弱點所有的員工、合同方和第三方用戶都應該知曉這套報告程序。要求員工需要盡可能快地將信息安全事件和弱點報告給指定的聯系方。 35信息安全管理實施細則14. 業務連續性管理業務連續性管理u 目標目標：業務連續性管理的信息安全方面：防止業務活動的中斷，保護關鍵業務流程不會受信息系統重大失效或自然災害的影響，并確保他們的及時恢復。u 包含的內容： 全面理解業務連續性計劃（BCP） 理解組織面臨的風險，識別關鍵業務活動和優先次序。 確認可能對業務造成影響的中斷。 應該設計、實施、測試和維護BCP36信息安全管理實施細則15. 符合

23、性符合性u 目標目標：與法律法規要求的符合性避免違反法律、法規、規章、合同要求和其他的安全要求。符合安全方針、標準，技術符合性確保系統符合組織安全方針和標準。信息系統審核的考慮因素最大化信息系統審核的有效性，最小化來自/對信息系統審核的影響。u 包含的內容： 組織應該確保遵守相關的法律法規和合同義務 軟件版權，知識產權等37信息安全管理實施細則BS7799認證最基本的控制項認證最基本的控制項u 與法律相關的控制措施： 知識產權（知識產權（Intellectual Property Rights）：防止非擁有者授權的復制，避免侵犯知識產權 保護組織的記錄保護組織的記錄：保護重要的記錄不丟失、破壞

24、和偽造 數據保護和個人信息隱私數據保護和個人信息隱私：遵守所在國的數據保護法律u 與最佳慣例相關的控制措施： 信息安全策略文件信息安全策略文件：為信息安全提供管理方向和支持 信息安全責任的分配信息安全責任的分配：分派安全責任，使信息安全在組織內部得以有效管理 信息安全教育和培訓信息安全教育和培訓：保證用戶有信息安全威脅意識、關心信息安全并支持組織信息安全策略 報告安全事件報告安全事件：最大程度減小安全事件和故障造成的破壞，監視事件，從中吸取教訓 業務連續性管理業務連續性管理：減少業務活動中斷，保護關鍵業務過程不受重大事件或災難影響3839信息安全管理體系規范BS 7799-ISO2700140

25、信息安全管理體系規范BS7799-2簡介簡介u BS 7799標準對信息安全管理體系（ISMS）并沒有一個明確的定義，可以將其理解為組織管理體系的一部分。u ISMS涉及到的內容：用于組織信息資產風險管理、確保組織信息安全的、包括為制定、實施、評審和維護信息安全策略所需的組織機構、目標、職責、程序、過程和資源。u 標準要求的ISMS建立過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風險評估確定控制目標和控制方式。u 體系一旦建立，組織應該按規定要求進行運作，保持體系的有效性。u ISMS應形成一定的文檔，包括策略、適用性聲明文件和實施安全控制所需的程序文件。u 一個文檔化的ISMS應

26、該闡述：要保護的資產，組織進行風險管理的途徑，控制目標和控制方式，需要的保障程度。41建立建立ISMS管理框架的過程管理框架的過程威脅、弱點、影響組織風險管理的途徑要求達到的保障程度BS7799-2第三段列出的控制目標和控制不在BS7799范圍內的其他安全控制策略文檔ISMS的范圍風險評估適用性聲明信息資產結果和結論選定的控制選項選擇的控制目標和控制信息安全管理體系規范42ISO 17799ISO 17799PeopleSecurityOrganisationCISOSecurityISOSSOProceduresIncident HandlingIncident ReportingDisas

27、terRecoveryRisk AssessmentBusiness Continuity PlanPoliciesSecurityPolicy信息安全管理體系規范BS7799的輸出結果的輸出結果43ISMS的文檔體系的文檔體系Procedures程序程序 Work Instructions,checklists, forms, etc. 工作指工作指導書導書, ,檢查清單檢查清單, ,表格表格等等Records紀錄紀錄Security Manual安全手冊安全手冊Policy, scoperisk assessment,statement of applicabilityDescribes

28、processes who, what, when, where. Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements第一第一級級關于關于BS7799的管理的管理框架的方針策略框架的方針策略第二第二級級第三第三級級第四第四級級信息安全管理體系規范44信息安全管理體系規范45BS7799-2新版本的特點新版本的特點u 引入了PDCA模型。與其他管理體系標準保持協調關系。u 基于PDCA模型的信息安全管理過程方法。u 對風

29、險評估過程、控制選擇和適用性聲明內容之間的聯系予以澄清，在定義上也有改進。u 附錄中提供了對此新版本使用的指南。u 附錄中還列舉了BS 7799-2:2002、ISO 9001:2000和ISO 14001:1996之間的一致性。信息安全管理體系規范46建立建立ISMS環環境境&風險評估風險評估設計設計&實施實施ISMS監視監視&復審復審ISMS改進改進ISMSPDCA模型在模型在ISMS過程中的運用過程中的運用信息安全管理體系規范47建立建立ISMS（Plan）u 定義ISMS的范圍（從業務、組織、位置、資產和技術等方面考慮）u 定義ISMS策略u 定義系統的風險評估途徑u 識別風險u 評估

30、風險u 識別并評價風險處理措施u 選擇用于風險處理的控制目標和控制u 準備適用性聲明（SoA）u 取得管理層對殘留風險的承認和實施并操作ISMS的授權信息安全管理體系規范48實施和操作實施和操作ISMS（Do）u 制定風險處理計劃（Risk Treatment Plan）u 實施風險處理計劃u 實施所選的控制措施以滿足控制目標u 實施培訓和意識程序u 管理操作u 管理資源u 實施能夠激發安全事件檢測和響應的程序和控制信息安全管理體系規范49信息安全管理體系規范監視和復審監視和復審ISMS（Check）u 執行監視程序和控制u 對ISMS的效力進行定期復審（看其是否滿足安全策略和目標，安全控制是

31、否有效）u 復審殘留風險和可接受風險的水平，考慮到各種變化情況u 按照預定計劃進行內部ISMS審計u 定期對ISMS進行管理復審u 記錄活動和事件可能對ISMS的效力或執行力度造成影響50信息安全管理體系規范維護和改進維護和改進ISMS（Act）u 對ISMS實施可識別的改進u 采取恰當的糾正和預防措施u 與所有利益伙伴溝通u 確保改進成果滿足其預期目標5152BS7799認證過程通過通過BS 7799認證的好處認證的好處u 依據BS 7799-2對組織的信息安全管理體系（ISMS）進行認證，可以證明組織已經遵照BS 7799-2標準的要求實施了信息安全管理的體系。u 幫助組織獲得最佳的信息安

32、全運作方式。u 保證業務活動的安全。u 降低風險，避免損失。u 保持核心競爭優勢。u 提高組織在商業活動中的信譽。u 滿足客戶的要求。u 保證可持續發展。u 符合法律法規的要求。53認證過程認證過程選擇受認可的認證機構選擇受認可的認證機構Phase1：文檔審核：文檔審核Phase2：現場審查：現場審查維持認證維持認證組織應該向認證機構提供必要的信息 復審風險評估文檔、安全策略和適用性聲明 復審ISMS的其他文檔 ISMS的實施情況 風險管理決策的基礎組織被授予證書后，審核組每年都會對其ISMS符合性進行檢查。證書三年有效，之后需要再次認證。組織必須向認證機構通報任何變化。預審（預審（Pre-a

33、ssessment）可選BS7799認證過程54BS7799認證過程55BS7799認證過程成功的關鍵因素成功的關鍵因素u 安全策略、目標和活動應該反映業務目標u 實施信息安全的方法應該與組織的文化保持一致u 來自高級管理層的明確的支持和承諾u 深刻理解安全需求、風險評估和風險管理u 向所有管理者和員工有效地推廣安全意識u 分發信息安全策略、指南和標準給所有員工及簽約人 u 提供適當的培訓和教育u 建立完整而平衡地測量體系，用來評估信息安全管理體系的表現，提供改進的反饋建議5657BS7799總結展望總結總結BS 7799的特點的特點u BS 7799并不是系統安全評估的標準 BS 7799從整體角度考慮，提出了構建ISMS的目標和方法，是構建ISMS的指南