1、i 在线采购在线采购 BS7799 标准的组织分布标准的组织分布管理信息安全安全策略安全策略 Security Policy组织信息安全组织信息安全 Organizing Informantion Security资产管理资产管理 Asset management人力资源安全人力资源安全HumanResourceSecurity物理与环境安全物理与环境安全Physical andEnvironmentalSecurity通信与操作管理通信与操作管理Communications andOperationsManagement信息系统获得、信息系统获得、开发与维护开发与维护Information
2、System Acquisition,Development andMaintenance访问控制访问控制 Access Control信息安全事件管理信息安全事件管理 Information Security Incident Management业务连续性管理业务连续性管理 Business Continuity Management符合性符合性 Compliance要求认证实施审核0 简介简介 0.1 概要概要 0.2 过程方法过程方法 0.3 与其他管理体系的兼容性与其他管理体系的兼容性1 范围范围 1.1 概要概要 1.2 应用应用2 标准引用标准引用3 术语定义术语定义4 信息安全
3、管理体系信息安全管理体系 4.1 一般要求一般要求 4.2 建立并管理建立并管理 ISMS 4.3 文档要求文档要求5 管理责任管理责任 5.1 管理承诺管理承诺 5.2 资源管理资源管理6 对对 ISMS 的管理复审的管理复审 6.1 概要概要 6.2 复审输入复审输入 6.3 复审输出复审输出 6.4 内部内部 ISMS 审计审计7 ISMS 改进改进 7.1 持续改进持续改进 7.2 纠正措施纠正措施 7.3 预防措施预防措施附录附录A 控制目标和控制措施控制目标和控制措施 A.1 简介简介 A.2 实施细则指南实施细则指南 A.3 安全策略安全策略 A.4 组织安全组织安全 A.5 资
4、产分类和控制资产分类和控制 A.6 人员安全人员安全 A.7 物理和环境安全物理和环境安全 A.8 通信和操作管理通信和操作管理 A.9 访问控制访问控制 A.10 系统开发和维护系统开发和维护 A.11 业务连续性管理业务连续性管理 A.12 依从性依从性附录附录B 标准使用指南标准使用指南 B.1 综述综述 B.2 计划阶段(计划阶段(Plan) B.3 实施阶段(实施阶段(Do) B.4 检查阶段(检查阶段(Check) B.5 措施阶段(措施阶段(Action)附录附录C BS EN ISO 9001:2000, BS EN ISO 14001:1996和和BS 7799-2:2002
5、之间的一致之间的一致性性附录附录D 内部编号的变化内部编号的变化信息安全管理体系信息安全管理体系ISMS选择并实施控制选择并实施控制评估安全风险评估安全风险建立一个信息建立一个信息安全管理框架安全管理框架根据需求采取措施消减风险,根据需求采取措施消减风险,以实现既定安全目标以实现既定安全目标确定安全需求确定安全需求设定信息安全的方向和目标,设定信息安全的方向和目标,定义管理层承诺的策略定义管理层承诺的策略 第一步会谈协商了解现状及商业流程、模式制定安全策略策略文件交付件第二步BS7799-2定义ISMS范围组织/地点资产/技术ISMS范围第三步威胁漏洞、弱点影响(Impact)现有措施(状况)
6、风险评估记录分析第四步风险管理的策略保证需求风险管理剩余风险第五步ISO/IEC 17799选择控制目标和措施降低/避免转移/接受风险第六步适用性声明国际标准认证信息资产风险评估 结果及结论选择控制项选择控制目标及控制识别并评价资产识别并评估弱点评估风险(测量与等级划分)选择控制目标和控制方式制定/修订适用性声明实施选定的控制接受识别并评估威胁现有控制确认保持现有控制确认并评估残留风险定期评估NoYes申请认证决定认证范围与报价签约并安排日程预审模拟评审(可选)文件评审第一阶段评审不符合事项纠正措施确认 或追踪确认第二阶段评审不符合事项建议颁证获得证书定期复审纠正措施确认 或追踪确认三年重新审
7、核风险风险威胁弱点资产资产安全措施安全措施价值/潜在影响安全需求利用存在具有导致增加导致抵御需要引出降低威胁带来的影响威胁发生的可能性低影响高可能性高影响高可能性高影响低可能性低影响低可能性目标目标目标识别并评价资产评估弱点影响评价风险推荐对策评估控制评估威胁可能性计划和准备Basic MetricGroupImpact BiasAccessComplexityConfidentialityImpactAuthenticationAccess VectorIntegrityImpactAvailabilityImpactTemporal MetricGroupExploitabilityRem
8、ediationLevelReportConfidenceEnvironmental MetricGroupCollateralDamage PotentialTargetDistributionOverallVulnerabilityScoreBaseFormulaTemp.FormulaEnv.Formula威胁防止弱点威胁事件影响保护发现减小威慑性控制预防性控制检测性控制纠正性控制 可能性 后果可以忽略1较小2中等3较大4灾难性5A(几乎肯定)MHEEEB(很可能)MHH EEC(可能)LMHEED(不太可能)LLMHEE(罕见)LLMHH注:风险的四个级别: E:极度风险 H:高风险
9、M:中等风险 L:低风险ISO/IEC 17799:2000前言前言简介简介什么是信息安全(应该保护信息资产的保密性、完整性和可用性)为什么需要信息安全如何建立安全需求(安全需求的三个来源)评估安全风险(安全需求经过系统地评估安全风险而得到确认)选择控制(安全控制可以从7799或其它有关标准选择,也可以自己设计满足特定要求的控制)信息安全起点(基于法律要求和信息安全最侍惯例来选择控制措施)关键的成功因素开发你自己的指导方针1. 范围范围2. 术语和定义术语和定义2.1 信息安全2.2 风险评估2.3 风险管理3. 安全策略安全策略3.1 信息安全策略3.1.1 信息安全策略文件3.1.2 复审
10、与评估目标:为信息安全提供管理指示及支持4. 组织安全组织安全4.1 信息安全基础设施4.1.1 建立信息安全管理论坛4.1.2 组织内部的信息安全协调机制4.1.3 分派信息安全责任4.1.4 信息处理设施的授权程序4.1.5 听取信息安全专家的建议4.1.6 组织间的协作4.1.7 独立的信息安全复审目标:在组织内部管理信息安全目标:维护第三方访问的组织的信息处理设施和信息资产的安全目标:当信息处理外包给其他组织时,维护信息的安全4.2 第三方访问的安全4.2.1 识别来自第三方访问的风险4.2.2 第三方合同中的安全要求4.3 外包控制4.3.1 外包合同的安全要求5. 资产分类与控制资
11、产分类与控制5.1 资产责任5.1.1 资产清单目标:维护对组织资产的恰当的保护5.2 信息分类5.2.1 分类指南5.2.2 信息标注及处理目标:确保信息资产得到恰当水平的保护6. 人员安全人员安全6.1 岗位定义和资源分配时的安全考虑6.1.1 在岗位责任中包括安全6.1.2 人员筛审和策略6.1.3 保密协议6.1.4 雇佣条款目标:减少人为错误、偷窃、欺诈或误用设施带来的风险目标:确保用户意识到信息安全威胁及利害关系,并在其正常工作当中支持组织的安全策略目标:减少来自安全事件和故障的损失,监视并从事件中吸取教训6.2 用户培训6.2.1 信息安全教育和培训6.3 对安全事件和故障的响应
12、6.3.1 报告安全事件6.3.2 报告安全弱点6.3.3 报告软件故障6.3.4 从事件中吸取教训6.3.5 建立惩戒机制7. 物理和环境安全物理和环境安全7.1 安全区域7.1.1 物理安全边界7.1.2 物理入口控制7.1.3 保护办化验室7.1.4 雇佣条款7.1.5 隔离的运送和装卸区域目标:防止非授权访问,破坏和干扰业务运行的前提条件及信息目标:防止资产的丢失、损害和破坏,防止业务活动被中断目标:防止危害或窃取信息及信息处理设施7.2 设备安全7.2.1 设备的放置与保护7.2.2 供电7.2.3 电缆安全7.2.4 设备保护7.2.5 不在办公区的设备的安全7.2.6 设备处置和
13、重用的安全7.3 一般性控制7.3.1 屏幕和桌面清除策略7.3.2 财物的搬迁8. 通信和操作管理通信和操作管理8.1 操作程序和责任8.1.1 文档化操作程序8.1.2 操作变更控制8.1.3 事件管理程序8.1.4 责任分离8.1.5 分离开发和运营设施8.1.6 外部设施管理目标:确保正确并安全地操作信息处理设施目标:减少系统失效带来的风险目标:保护软件和信息的完整性8.2 系统规划及验收8.2.1 容量规划8.2.2 系统验收8.3 抵御恶意软件8.3.1 恶意软件的控制目标:维护信息处理和通信服务的完整性和可用性8.4 内务管理8.4.1 信息备份8.4.2 操作者日志8.4.3
14、事故记录8.5 网络管理8.5.1 网络控制目标:确保对网络中信息和支持性基础设施的安全保护目标:防止损害资产和中断业务活动目标:防止机构间交换的信息丢失、遭受篡改和误用。8.6 介质处理和安全8.6.1 可移动计算机介质的管理8.6.2 介质的处置8.6.3 信息处理的程序8.6.4 系统文件的安全8.7 信息和软件的交换8.7.1 信息和软件交换协议8.7.2 传输介质的安全8.7.3 电子商务安全8.7.4 电子邮件安全8.7.5 电子办公系统的安全8.7.6 公用系统8.7.7 其他形式的信息交换9. 访问控制访问控制9.1 访问控制的业务需求9.1.1 物理安全边界目标:控制对信息的
15、访问目标:防止非授权访问信息系统目标:防止非授权的用户访问9.2 用户访问的管理9.2.1 用户注册9.2.2 特权管理9.2.3 用户口令管理9.2.4 用户访问权限的复审9.3 用户责任9.3.1 口令使用9.3.2 无人值守的用户设备目标:保护网络服务目标:防止非授权的计算访问9.4 网络访问控制9.4.1 网络服务使用策略9.4.2 强制路径9.4.3 对外部连接用户进行身份认证9.4.4 节点认证9.4.5 远程诊断端口的保护9.4.6 网络隔离9.4.7 网络连接控制9.4.8 网络路由控制9.4.9 网络服务的安全9.5 操作系统访问控制9.5.1 自动终端身份识别9.5.2 终
16、端登录程序9.5.3 用户身份识别与认证9.5.4 口令管理系统9.5.5 系统工具的使用9.5.6 针对用户保护的告警9.5.7 终端超时9.5.8 限制连接时间9.6 应用访问控制9.6.1 信息访问限制9.6.2 敏感系统的隔离目标:防止非授权访问信息系统的信息目标:检测非授权的活动目标:确保使用移动计算和通讯设施时的信息安全9.7 监视系统访问和使用9.7.1 事件日志9.7.2 对系统的使用进行监视9.7.3 时钟同步9.8 移动计算和通讯9.8.1 移动计算9.8.2 通讯10. 系统开发和维护系统开发和维护10.1 系统的安全需求10.1.1 安全需求分析和规范目标:确保安全内建
17、于信息系统中目标:防止丢失、篡改和误用信息系统中的用户数据目标:保护信息的保密性、真实性和完整性10.2 应用系统的安全10.2.1 输入数据的验证10.2.2 内部处理控制10.2.3 消息认证10.2.4 输出数据的验证10.3 密码控制10.3.1 密码控制使用策略10.3.2 加密10.3.3 数字签名10.3.4 抗抵赖性服务10.3.5 密钥管理10.4 系统文件安全10.4.1 对运行软件的控制10.4.2 系统测试数据的保护10.4.3 对源程序库的访问控制目标:确保 IT 项目和支持活动得以安全地进行目标:维护应用系统软件和信息的安全10.5 开发和支持过程的安全10.5.1
18、 事件日志10.5.2 操作系统变更的技术复审10.5.3 软件包变更的限制10.5.4 隐蔽通道和特洛伊代码10.5.5 外包软件开发11. 业务连续性管理业务连续性管理11.1 业务连续性的各个方面11.1.1 业务连续性管理过程11.1.2 业务连续性和影响分析11.1.3 编写并实施连续性计划11.1.4 业务连续性计划框架11.1.5 测试、维护和再评审业务连续性计划目标:减少业务活动的中断,保护关键业务过程不受重大事故或灾害的影响12. 依从性依从性12.1 符合法律要求12.1.1 识别适用的法律12.1.2 知识产权(IPR)12.1.3 保护组织记录12.1.4 数据保护和个人信息的隐私12.1.5 防止对信息处理设施的误用12.1.6 加密控制的规定12.1.7 采集证据目标:避免违反任何刑法、民法、法规或者合同义务,以及任何安全要求目标:确保系统遵循了组织的安全策略和标准目标:发挥系统审计过程的最大效用,并把干扰降到最低12.2 对安全策略和技术依从性的复审12.2.1 符合安全策略12.2.2 技术依从性检查12.3 系统审计的考虑12.3.1 系统审计控制12.3.2 对系统审计工具的保护
