1、ISO17799信息安全管理的最佳实践标准信息安全管理的最佳实践标准曹鹏 网络安全产品营销中心解决方案部部长 CISP北京 caopengneusoft沈阳东软软件股份有限公司I S O 1 7 7 9 9 信息安全管理的最佳实践标准曹鹏 网络安全安全是个管理问题装修后房间需要换锁吗安全是个管理问题装修后房间7 7 9 9 简介内容目录 BS 7799产生背景 BS 7799 发展历史 BS 7799 基本概念 BSI内容介绍 BS 7799认证 BS 7799工具介绍 BSI简介 BS 7799建立和实施的目的和意义 并非仅适用于英国 内容目录 B S 7 7 9 9 产生背景B S 7 7
2、 9 9 产生背景 目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失 随着信息技术的发展,电子商务及Internet应用的普及,大家普遍认识到解决信息安全问题不应仅从技术方面着手,同时更应加强信息安全的管理工作,通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识,提出了“三分技术,七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题,是一个非常详尽甚至有些复杂的信息安全标准。Why do we need BS7799 anywa
3、y?The Logic Argument2022-9-26目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人B S 7 7 9 9 发展历史BS 7799 发展历史1993年1月:成立行业工作小组1993年9月:实施要则出版 2019年2月:BS 7799-1 出版2019年2月:BS 7799-2 出版2019年4月:BS 7799-1和BS 7799-2:2019 出版2000年12月:BS 7799-1 做了23处修改后,成为 ISO/IEC 17799 2019年9月:BS 7799-2:2019出版B S 7 7 9 9 发展历史1 9 9 3 年1 月:成立行业工作小组1
4、BS 7799 体现以下原则制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则 动态管理原则 全员参与原则 遵循管理的一般循环模式PDCA持续改进模式 商务持续性原则 B S 7 7 9 9 体现以下原则制定信息安全方针为信息安全管理提B S 7 7 9 9 基本概念建立建立处理处理传递传递破坏?破坏?存存 储储使用使用出出 错错丢失!丢失!信息处理方式信息处理方式 建立处理传递破坏?存 储使用出 错丢失!信息处理方式 Confidentiality保密性保密性Availability可用性可用性Integrity完整性完整性在某些
5、组织中,在某些组织中,完整性和完整性和/或可用性比保密性更重要或可用性比保密性更重要ISO 17799ISO 17799关于信息安全的概念关于信息安全的概念C o n f i d e n t i a l i t y A v a i l a b i l i t y I n tB S 7 7 9 9 内容介绍BS 7799 内容介绍BS 7799共分为两部分:第一部分是信息安全管理实施细则,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分是信息安全管理体系规范(ISMS),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定
6、最适宜的控制对象,并对自己的需求采取适当的控制。BS 7799由三个主段落组成,即总则、系统要求和控制,可分为强制性过程和选择性控制B S 7 7 9 9 内容介绍BS 7799 内容介绍 BS 7799-1(ISO/IEC 17799)and BS 7799-2:2019是一套以风险管理、风险评估为基础的信息安全管理体系 B S 7 7 9 9 内容介绍BS 7799 内容介绍BS 7799(ISO/IEC 17799)内容包括:10 subject domains;36 management objectives;127 controls;and 500 detail controls.B
7、 S 7 7 9 9 内容介绍访问控制访问控制ISO 17799 ISO 17799 信息安全管理信息安全管理信息安全方针信息安全方针安全组织安全组织人事安全人事安全物理安全物理安全系统开发系统开发连续运营计划连续运营计划符合性符合性通信管理通信管理资产分级控制资产分级控制访问控制I S O 1 7 7 9 9 信息安全管理信息安全方针安全组织B S 7 7 9 9-1(I S O/I E C 1 7 7 9 9)1 安全方针安全方针 Security Policy目标:提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义,总目标和范围,安全的重要性信息安全定义,总目标和范围,安
8、全的重要性管理企图的说明,以支持信息安全的目的和原则管理企图的说明,以支持信息安全的目的和原则风险管理方法风险管理方法承诺符合承诺符合ISO 17799ISO 17799标准标准详细方针详细方针 消费者信任行动消费者信任行动 数据保护行动数据保护行动1 安全方针 S e c u r i t y P o l i详细方针详细方针 可以包括可以包括:服从法律和合同要求服从法律和合同要求组织应急计划要求组织应急计划要求数据备份要求数据备份要求避免病毒避免病毒安全教育要求安全教育要求系统和数据访问控制系统和数据访问控制报告安全事故报告安全事故对恶意行为和不适当访问及使用的惩处行动对恶意行为和不适当访问及
9、使用的惩处行动详细方针 可以包括:2、安全组织2、安全组织I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件3资产分级与控制资产分级与控制资产的可核查性资产的可核查性 目标:维护组织资产的相应保护信息分类信息分类 目标:确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之这些资产必须是在信息安全管理体系范围之
10、内的内的3资产分级与控制资产的可核查性这些资产必须是在信息安全管理资资 产产 Assets资产是组织认为有价值的东西,例如资产是组织认为有价值的东西,例如:信息资产信息资产 纸上的文件纸上的文件 软件资产软件资产 物理资产物理资产 人人 公司的形象和名誉公司的形象和名誉 服务服务资 产 A s s e t s信息资产清单应包括哪些项目资产的名称资产的位置资产负责人资产重要性信息资产分级信息资产清单应包括哪些项目资产的名称信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,信息分级可以明确信息的保护要求、区分哪些是公开信息,哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权
11、和保护等级,保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待 传递、复制、销毁、存储信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,4、人员安全、人员安全 Personnel Security 4、人员安全 P e r s o n n e l S e c u r i t“粗暴裁员”体现管理严格“粗暴裁员”体现管理严格联想员工亲历联想大裁员:公司不是家联想员工亲历联想大裁员:公司不是家I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件I S O 1 7 7
12、9 9 信息安全管理的最佳实践标准课件招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验(身份证或类似文件)招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件物理与环境安全物理与环境安全物理与环境安全安全区域安全区域 Secure areas 物理周边安全物理周边安全 物理进入控制物理进入控制 办公室、房间和设备安全办公室、房间和设备安全 在安全区域工作在安全区域工作 分离
13、运输和装卸区域分离运输和装卸区域I.D.安全区域 S e c u r e a运营程序运营程序 Operational procedures 文件化运营程序文件化运营程序 运营变化控制运营变化控制 事故管理程序事故管理程序 责任分离责任分离 开发和运营设备的分离开发和运营设备的分离 外部设施的管理外部设施的管理运营程序 O p e r a t i o n a l p r o c e d u r e设备安全设备安全 Equipment security 设备设置和保护设备设置和保护电源供应电源供应线路安全线路安全设备维护设备维护退出办公的设备的安全退出办公的设备的安全清理和重新使用的设备的安全清理
14、和重新使用的设备的安全设备安全 E q u i p m e n t s e c一般控制一般控制 Equipment security 清理桌面和清空屏幕策略清理桌面和清空屏幕策略 记录纸和计算机媒体的存放记录纸和计算机媒体的存放 敏感和关键业务信息的保护敏感和关键业务信息的保护 无人值守时设备的保护无人值守时设备的保护财产的移动财产的移动一般控制 E q u i p m e n t s e c6通信和运营管理通信和运营管理保证信息处理设施的安全和正确运营保证信息处理设施的安全和正确运营 -运营程序和责任运营程序和责任-系统计划和接收系统计划和接收-预防恶意软件预防恶意软件-内务内务-网络管理网
15、络管理-媒介管理和安全媒介管理和安全-信息和软件交换的安全信息和软件交换的安全IT通信和运营管理I T操作规程和职责操作规程和职责目标:确保信息处理措施正确和安目标:确保信息处理措施正确和安 全操作全操作文件化的操作规程文件化的操作规程操作变更控制操作变更控制事故管理规程事故管理规程责任分离责任分离开发和运行设施分离开发和运行设施分离外部设施管理外部设施管理操作规程和职责目标:确保信息处理措施正确和安 系统计划和接收系统计划和接收目标:使系统故障的风险减到最小目标:使系统故障的风险减到最小容量计划容量计划系统接收系统接收 20191990系统计划和接收目标:使系统故障的风险减到最小 2 0 1
16、 9 1 9 9恶意软件防护恶意软件防护目标:保护软件和信息的完整性目标:保护软件和信息的完整性恶意软件控制恶意软件控制恶意软件防护目标:保护软件和信息的完整性内务管理内务管理 Housekeeping目标:维护信息处理和通信服务的完目标:维护信息处理和通信服务的完整性和可用性整性和可用性 信息备份信息备份 操作者日志操作者日志 故障记录故障记录内务管理 H o u s e k e e p i n网络管理网络管理目标:确保保卫网络中的信息和保护支持性基础目标:确保保卫网络中的信息和保护支持性基础设施设施 网络的操作职责与计算机操作分开网络的操作职责与计算机操作分开 建立远程设备管理的职责和规程
17、建立远程设备管理的职责和规程 建立专门的控制,保卫在公用网络传输数据的建立专门的控制,保卫在公用网络传输数据的保密性和完整性保密性和完整性 紧密协调管理活动紧密协调管理活动网络管理目标:确保保卫网络中的信息和保护支持性基础设施媒体处置和安全媒体处置和安全目标:防止资产损坏和业务活动中断目标:防止资产损坏和业务活动中断可移动的计算机媒体的管理可移动的计算机媒体的管理媒体的处置媒体的处置信息处置规程信息处置规程系统文件的安全系统文件的安全媒体处置和安全目标:防止资产损坏和业务活动中断信息和软件的交换信息和软件的交换目标:防止组织之间交换的信息的丢失、修目标:防止组织之间交换的信息的丢失、修改或滥用
18、改或滥用信息和软件交换协定信息和软件交换协定运输中的媒体安全运输中的媒体安全电子商务的安全电子商务的安全电子邮件的安全电子邮件的安全信息和软件的交换目标:防止组织之间交换的信息的丢失、修改或滥7 访问控制访问控制 Access Control控制对信息的访问控制对信息的访问-业务要求对访问进行控制业务要求对访问进行控制-用户访问管理用户访问管理-用户职责用户职责 -网络访问控制网络访问控制-操作系统访问控制操作系统访问控制-应用访问控制应用访问控制-系统访问和使用监控系统访问和使用监控-移动计算设备和通信移动计算设备和通信7 访问控制 A c c e s s C o n t使用者访问管理使用者
19、访问管理 使用者注册使用者注册 优先权管理优先权管理 使用者口令字管理使用者口令字管理 审核使用者访问权限审核使用者访问权限System AdministratorMenu使用者访问管理使用者注册S y s t e m A d m i n i s t r a t网络访问控制网络访问控制 网络服务使用方针网络服务使用方针 规定的过程规定的过程 使用者授权使用外部连接使用者授权使用外部连接 分支授权分支授权 远程诊断港的防护远程诊断港的防护 网络的分离网络的分离 网络连接控制网络连接控制 网络路径控制网络路径控制 网络服务安全网络服务安全网络访问控制网络服务使用方针应用访问控制应用访问控制 信息访
20、问限制信息访问限制 敏感系统隔离敏感系统隔离应用访问控制信息访问限制移动计算机和通信移动计算机和通信 移动计算机设备移动计算机设备 通信网络设备通信网络设备移动计算机和通信移动计算机设备8、系统开发和维护8、系统开发和维护系统开发与维护系统开发与维护ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO1779
21、9控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施I S O 1 7 7 9 9 信息安全管理的最佳实践标准课件ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施我国法律对信息安全的要求宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例我国法律对信息安全的要求宪法的要求ISO17799控制目标与控制措施I S O 1 7 7 9 9 控制目标与控制措施ISO17799控制目标与控制措施I S O 1 7 7
22、9 9 控制目标与控制措施安全条款小结1 安全方针2 安全组织3 资产分类和控制4 人事安全5 物理和环境安全6 通信和运营管理7 访问控制8 系统开发和维护9 商务连续性计划10 符合安全条款小结1 安全方针安全组织安全组织ISO 17799(BS 7799)实实 施施资产分级及控制资产分级及控制信息安全方针信息安全方针应用控制措施应用控制措施运营实现过程运营实现过程检查过程检查过程纠正措施纠正措施管理评审管理评审 计划计划纠正纠正检查检查实施实施安全组织I S O 1 7 7 9 9 (B S 7 7 9 9)实 施资产B S 7 7 9 9-2:2 0 1 9利用PDCA方法建设信息安全
23、体系利用P D C A 方法建设信息安全体系BS 7799管理过程确定信息安全管理方针 1、确定ISMS(信息安全管理体系)的范围 2、进行风险分析 3、选择控制目标并进行控制 4、建立业务持续计划 5、建立并实施安全管理体系 B S 7 7 9 9 管理过程确定信息安全管理方针 1、确定I S M认 证 情 况(一)BS 7799与ISO 9000质量管理体系标准、ISO 14000环境管理体系标准、OHSAS 18000职业安全卫生管理体系标准同属管理体系标准,在体系的建立和评审认证上遵循同样的原理和原则 ISO 17799作为信息安全管理方面的审核标准,对信息安全产业的作用和意义,就仿佛
24、是ISO 9000质量认证标准之于许多制造业。通过该标准的认证,可以为企业提供可靠的安全服务,树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准,我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。认 证 情 况(一)B S 7 7 9 9 与I S O 9 0 0 0 质量管理认 证 情 况(二)该标准自公布以来,英国、澳大利亚、巴西、荷兰、新西兰和挪威等国已开始采用。已有政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司纷纷采用,并收到了良好的效果和回报。中国人民保险公司厦
25、门市分公司签订了我国第一份BS 7799信息安全管理体系认证协议;这也是我国第一份有关信息安全管理体系认证的协议 认 证 情 况(二)该标准自公布以来,英国、澳大利亚、巴西、B S 7 7 9 9 工具介绍BS 7799工具介绍Cobra微软安全自我评估工具B S 7 7 9 9 工具介绍C o b r aCobraCobra是一套专门用于进行风险分析的工具软件,其中也包含促进安全策略执行、外部安全标准(ISO 17799)评定的功能模块。用Cobra进行风险分析时,分3个步骤:调查表生成、风险调查、报告生成。C o b r a C o b r a 是一套专门用于进行风险分析的工具软件,其Co
26、braC o b r a微软自我安全评估工具微软自我安全评估工具微软自我安全评估工具微软自我安全评估工具BS 7799实施的必要性越来越多的工业和商业企业开始使用信息系统,为保障信息系统的安全,须采取一系列措施,BS 7799则为这些措施的落实提供了一套检查方法可以使用户与企业的业务运行在一个可信任的平台之上企业之间竞争的需要,BS 7799认证将成为企业在市场上进行竞争的一道分水岭,尤其在用户在选择涉及安全的服务提供商的时候降低信息安全事件对企业的业务影响促进企业业务的可持续增长 B S 7 7 9 9 实施的必要性越来越多的工业和商业企业开始使用建立和实施的目的和意义 通过促进企业建立信息
27、安全管理体系,确保信息技术的安全使用,保证企业经营管理的正常运作,减少因信息技术失控而造成经济损失,提高企业的社会形象和市场竞争力。建立信息安全管理体系并获得经认可的认证公司的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,树立和增强企业的信息安全形象,提高企业的综合竞争力。建立和实施的目的和意义通过促进企业
28、建立信息安全管理体系,确保国内外大公司安全管理成功案例介绍 天威诚信-国内第一家PKI/CA最早通过ISO17799认证的公司 NOKIA世界著名高科技公司国内外大公司安全管理成功案例介绍天威诚信-国内第一家P K安全管理成功的要点 严格执行,也需要灵活处理。信息安全作为独立部门存在。分层次化的执法手段。技术与管理手段是不能分开的。安全管理成功的要点严格执行,也需要灵活处理。安全管理的成功要点组织结构的分布合理1.设置专门的安全管理部门必不可少2.管理条例的设置部门,不一定参与执法3.设置专门的内部安全信息发布站点 实际管理中的技术手段是最重要的保障条件实际经营维护过程中的问题处理(成本与执行难点)安全管理的成功要点组织结构的分布合理当前严格按照标准执行的难点投入巨大(人力,物力,金钱)需要整体员工的全面配合,整体素质需要提高一定程度上造成机构编制增加目前世界100强大公司都有严格的安全管理标准,所以从长远看安全是应该为公司带来收益的。安全不是花费而是最好的投资。当前严格按照标准执行的难点投入巨大(人力,物力,金钱)Thank youNeusoft Group Ltd.谢谢T h a n k y o u N e u s o f t G r o u p L t d.谢谢