ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔

ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營銷中心解決方案部部長CISP北京caopengneusoft沈陽東軟軟件股份有限公司ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)曹鵬網(wǎng)絡(luò)安全1安全是個(gè)管理問題裝修后房間需要換鎖嗎安全是個(gè)管理問題裝修后房間27799簡介7799簡介3內(nèi)容目錄

BS7799產(chǎn)生背景BS7799發(fā)展歷史BS7799基本概念BSI內(nèi)容介紹BS7799認(rèn)證BS7799工具介紹BSI簡介BS7799建立和實(shí)施的目的和意義并非僅適用于英國

內(nèi)容目錄BS7799產(chǎn)生背景4BS7799產(chǎn)生背景BS7799產(chǎn)生背景5目前組織對信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的管理方式，不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失隨著信息技術(shù)的發(fā)展，電子商務(wù)及Internet應(yīng)用的普及，大家普遍認(rèn)識到解決信息安全問題不應(yīng)僅從技術(shù)方面著手，同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作，通過建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)、全面地解決信息安全問題的目的。基于這種認(rèn)識，提出了“三分技術(shù)，七分管理”的信息安全原則。BS7799它廣泛地涵蓋了所有的安全議題，是一個(gè)非常詳盡甚至有些復(fù)雜的信息安全標(biāo)準(zhǔn)。WhydoweneedBS7799anyway?

TheLogicArgument10/25/2022目前組織對信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人6BS7799發(fā)展歷史BS7799發(fā)展歷史7BS7799發(fā)展歷史1993年1月：成立行業(yè)工作小組

1993年9月：實(shí)施要則出版

2019年2月：BS7799-1出版

2019年2月：BS7799-2出版

2019年4月：BS7799-1和BS7799-2:2019出版

2000年12月：BS7799-1做了23處修改后，成為ISO/IEC17799

2019年9月：BS7799-2:2019出版

BS7799發(fā)展歷史1993年1月：成立行業(yè)工作小組

18BS7799體現(xiàn)以下原則制定信息安全方針為信息安全管理提供導(dǎo)向和支持控制目標(biāo)和控制方式的選擇建立在風(fēng)險(xiǎn)評估基礎(chǔ)之上預(yù)防控制為主的思想原則動態(tài)管理原則全員參與原則遵循管理的一般循環(huán)模式—PDCA持續(xù)改進(jìn)模式商務(wù)持續(xù)性原則

BS7799體現(xiàn)以下原則制定信息安全方針為信息安全管理提9BS7799基本概念BS7799基本概念10建立處理傳遞破壞？存儲使用出錯(cuò)丟失！信息處理方式建立處理傳遞破壞？存儲使用出錯(cuò)丟失！信息處理方式11Confidentiality保密性Availability可用性Integrity完整性在某些組織中，完整性和/或可用性比保密性更重要ISO17799關(guān)于信息安全的概念ConfidentialityAvailabilityInt12BS7799內(nèi)容介紹BS7799內(nèi)容介紹13BS7799內(nèi)容介紹BS7799共分為兩部分：第一部分是《信息安全管理實(shí)施細(xì)則》，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全；第二部分是《信息安全管理體系規(guī)范》（ISMS)，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤S7799由三個(gè)主段落組成，即總則、系統(tǒng)要求和控制，可分為強(qiáng)制性過程和選擇性控制BS7799內(nèi)容介紹14BS7799內(nèi)容介紹BS7799-1（ISO/IEC17799）andBS7799-2:2019是一套以風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估為基礎(chǔ)的信息安全管理體系

BS7799內(nèi)容介紹15BS7799內(nèi)容介紹BS7799（ISO/IEC17799）內(nèi)容包括：

10subjectdomains;36managementobjectives;127controls;and500detailcontrols.

BS7799內(nèi)容介紹16訪問控制ISO17799信息安全管理信息安全方針安全組織人事安全物理安全系統(tǒng)開發(fā)連續(xù)運(yùn)營計(jì)劃符合性信息客戶記錄人事記錄法律記錄通信管理資產(chǎn)分級控制訪問控制ISO17799信息安全管理信息安全方針安全組織17BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)181安全方針SecurityPolicy

目標(biāo)：提供管理方向和支持信息安全信息安全策略文件、評審和評價(jià)信息安全定義，總目標(biāo)和范圍，安全的重要性管理企圖的說明，以支持信息安全的目的和原則風(fēng)險(xiǎn)管理方法承諾符合ISO17799標(biāo)準(zhǔn)詳細(xì)方針消費(fèi)者信任行動數(shù)據(jù)保護(hù)行動1安全方針SecurityPoli19詳細(xì)方針

可以包括:

服從法律和合同要求組織應(yīng)急計(jì)劃要求數(shù)據(jù)備份要求避免病毒安全教育要求系統(tǒng)和數(shù)據(jù)訪問控制報(bào)告安全事故對惡意行為和不適當(dāng)訪問及使用的懲處行動詳細(xì)方針 可以包括:202、安全組織2、安全組織21ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔22ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔23ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔24ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔253 資產(chǎn)分級與控制資產(chǎn)的可核查性

目標(biāo)：維護(hù)組織資產(chǎn)的相應(yīng)保護(hù)信息分類

目標(biāo)：確保信息資產(chǎn)受到相應(yīng)級別的保護(hù)所有主要信息資產(chǎn)都應(yīng)清點(diǎn)并指定專人負(fù)責(zé)這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的3 資產(chǎn)分級與控制資產(chǎn)的可核查性這些資產(chǎn)必須是在信息安全管理26資產(chǎn)Assets資產(chǎn)是組織認(rèn)為有價(jià)值的東西，例如:信息資產(chǎn)紙上的文件軟件資產(chǎn)物理資產(chǎn)人公司的形象和名譽(yù)服務(wù)資產(chǎn)Assets27信息資產(chǎn)清單應(yīng)包括哪些項(xiàng)目資產(chǎn)的名稱資產(chǎn)的位置資產(chǎn)負(fù)責(zé)人資產(chǎn)重要性信息資產(chǎn)分級信息資產(chǎn)清單應(yīng)包括哪些項(xiàng)目資產(chǎn)的名稱28信息分級很重要信息有公開和敏感之分，敏感信息的程度也不相同，信息分級可以明確信息的保護(hù)要求、區(qū)分哪些是公開信息，哪些是敏感信息、可以確定信息的敏感等級、從而確定信息控制的優(yōu)先權(quán)和保護(hù)等級，保證信息資產(chǎn)受到適當(dāng)級別的保護(hù)。分級工作應(yīng)該由信息的創(chuàng)立人或者是指定的所有者來確定。正確的標(biāo)識“絕密”“機(jī)密”“秘密”“一般”不同級別的信息在管理方面應(yīng)該是區(qū)別對待傳遞、復(fù)制、銷毀、存儲信息分級很重要信息有公開和敏感之分，敏感信息的程度也不相同，294、人員安全PersonnelSecurity4、人員安全PersonnelSecurit30“粗暴裁員”體現(xiàn)管理嚴(yán)格“粗暴裁員”體現(xiàn)管理嚴(yán)格31聯(lián)想員工親歷聯(lián)想大裁員：公司不是家聯(lián)想員工親歷聯(lián)想大裁員：公司不是家32ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔33ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔34招聘長期雇員時(shí)應(yīng)該考察的方面是否有人品證明，例如工作推薦或者是個(gè)人推薦申請人的履歷表的完整性和準(zhǔn)確性檢查聲明的學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)身份的查驗(yàn)（身份證或類似文件）招聘長期雇員時(shí)應(yīng)該考察的方面是否有人品證明，例如工作推薦或者35ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔36ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔37物理與環(huán)境安全物理與環(huán)境安全38安全區(qū)域Secureareas物理周邊安全物理進(jìn)入控制辦公室、房間和設(shè)備安全在安全區(qū)域工作分離運(yùn)輸和裝卸區(qū)域I.D.安全區(qū)域Securea39運(yùn)營程序Operationalprocedures

文件化運(yùn)營程序運(yùn)營變化控制事故管理程序責(zé)任分離開發(fā)和運(yùn)營設(shè)備的分離外部設(shè)施的管理運(yùn)營程序Operationalprocedure40設(shè)備安全Equipmentsecurity

設(shè)備設(shè)置和保護(hù)電源供應(yīng)線路安全設(shè)備維護(hù)退出辦公的設(shè)備的安全清理和重新使用的設(shè)備的安全設(shè)備安全Equipmentsec41一般控制Equipmentsecurity清理桌面和清空屏幕策略

■記錄紙和計(jì)算機(jī)媒體的存放■敏感和關(guān)鍵業(yè)務(wù)信息的保護(hù)■無人值守時(shí)設(shè)備的保護(hù)財(cái)產(chǎn)的移動一般控制Equipmentsec42通信和運(yùn)營管理保證信息處理設(shè)施的安全和正確運(yùn)營- 運(yùn)營程序和責(zé)任 - 系統(tǒng)計(jì)劃和接收 - 預(yù)防惡意軟件 - 內(nèi)務(wù) - 網(wǎng)絡(luò)管理 - 媒介管理和安全 - 信息和軟件交換的安全I(xiàn)T通信和運(yùn)營管理IT43操作規(guī)程和職責(zé)目標(biāo)：確保信息處理措施正確和安全操作文件化的操作規(guī)程操作變更控制事故管理規(guī)程責(zé)任分離]開發(fā)和運(yùn)行設(shè)施分離外部設(shè)施管理操作規(guī)程和職責(zé)目標(biāo)：確保信息處理措施正確和安44系統(tǒng)計(jì)劃和接收目標(biāo)：使系統(tǒng)故障的風(fēng)險(xiǎn)減到最小容量計(jì)劃系統(tǒng)接收

20191990系統(tǒng)計(jì)劃和接收目標(biāo)：使系統(tǒng)故障的風(fēng)險(xiǎn)減到最小201919945惡意軟件防護(hù)目標(biāo)：保護(hù)軟件和信息的完整性惡意軟件控制惡意軟件防護(hù)目標(biāo)：保護(hù)軟件和信息的完整性46內(nèi)務(wù)管理Housekeeping目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性信息備份操作者日志故障記錄內(nèi)務(wù)管理Housekeepin47網(wǎng)絡(luò)管理目標(biāo)：確保保衛(wèi)網(wǎng)絡(luò)中的信息和保護(hù)支持性基礎(chǔ)設(shè)施網(wǎng)絡(luò)的操作職責(zé)與計(jì)算機(jī)操作分開建立遠(yuǎn)程設(shè)備管理的職責(zé)和規(guī)程建立專門的控制，保衛(wèi)在公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性和完整性緊密協(xié)調(diào)管理活動網(wǎng)絡(luò)管理目標(biāo)：確保保衛(wèi)網(wǎng)絡(luò)中的信息和保護(hù)支持性基礎(chǔ)設(shè)施48媒體處置和安全目標(biāo)：防止資產(chǎn)損壞和業(yè)務(wù)活動中斷可移動的計(jì)算機(jī)媒體的管理媒體的處置信息處置規(guī)程系統(tǒng)文件的安全媒體處置和安全目標(biāo)：防止資產(chǎn)損壞和業(yè)務(wù)活動中斷49信息和軟件的交換目標(biāo)：防止組織之間交換的信息的丟失、修改或?yàn)E用信息和軟件交換協(xié)定運(yùn)輸中的媒體安全電子商務(wù)的安全電子郵件的安全信息和軟件的交換目標(biāo)：防止組織之間交換的信息的丟失、修改或?yàn)E507訪問控制AccessControl控制對信息的訪問

-

業(yè)務(wù)要求對訪問進(jìn)行控制 -用戶訪問管理 -用戶職責(zé) -網(wǎng)絡(luò)訪問控制 -操作系統(tǒng)訪問控制 -應(yīng)用訪問控制 -系統(tǒng)訪問和使用監(jiān)控 -移動計(jì)算設(shè)備和通信7訪問控制AccessCont51使用者訪問管理使用者注冊優(yōu)先權(quán)管理使用者口令字管理審核使用者訪問權(quán)限SystemAdministratorMenu使用者訪問管理使用者注冊SystemAdministrat52網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)服務(wù)使用方針規(guī)定的過程使用者授權(quán)使用外部連接分支授權(quán)遠(yuǎn)程診斷港的防護(hù)網(wǎng)絡(luò)的分離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路徑控制網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)服務(wù)使用方針53應(yīng)用訪問控制信息訪問限制敏感系統(tǒng)隔離應(yīng)用訪問控制信息訪問限制54移動計(jì)算機(jī)和通信移動計(jì)算機(jī)設(shè)備通信網(wǎng)絡(luò)設(shè)備移動計(jì)算機(jī)和通信移動計(jì)算機(jī)設(shè)備558、系統(tǒng)開發(fā)和維護(hù)8、系統(tǒng)開發(fā)和維護(hù)56系統(tǒng)開發(fā)與維護(hù)系統(tǒng)開發(fā)與維護(hù)57ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施58ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施59ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施60ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施61ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施62ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施63ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔64ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施65我國法律對信息安全的要求憲法的要求刑法的要求中華人民共和國國家安全法中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例商用密碼管理?xiàng)l例……我國法律對信息安全的要求憲法的要求66ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施67ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施68安全條款小結(jié)1安全方針2安全組織3資產(chǎn)分類和控制4人事安全5物理和環(huán)境安全6通信和運(yùn)營管理7訪問控制8系統(tǒng)開發(fā)和維護(hù)9商務(wù)連續(xù)性計(jì)劃10符合安全條款小結(jié)1安全方針69安全組織ISO17799（BS7799）實(shí)施資產(chǎn)分級及控制信息安全方針應(yīng)用控制措施運(yùn)營實(shí)現(xiàn)過程檢查過程糾正措施管理評審

計(jì)劃糾正檢查實(shí)施安全組織ISO17799（BS7799）實(shí)施資產(chǎn)70BS7799-2：2019BS7799-2：201971利用PDCA方法建設(shè)信息安全體系利用PDCA方法建設(shè)信息安全體系72BS7799管理過程確定信息安全管理方針

1、確定ISMS(信息安全管理體系)的范圍

2、進(jìn)行風(fēng)險(xiǎn)分析

3、選擇控制目標(biāo)并進(jìn)行控制

4、建立業(yè)務(wù)持續(xù)計(jì)劃

5、建立并實(shí)施安全管理體系BS7799管理過程確定信息安全管理方針

1、確定ISM73認(rèn)證情況（一）BS7799與ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)、ISO14000環(huán)境管理體系標(biāo)準(zhǔn)、OHSAS18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)同屬管理體系標(biāo)準(zhǔn)，在體系的建立和評審認(rèn)證上遵循同樣的原理和原則

ISO17799作為信息安全管理方面的審核標(biāo)準(zhǔn)，對信息安全產(chǎn)業(yè)的作用和意義，就仿佛是ISO9000質(zhì)量認(rèn)證標(biāo)準(zhǔn)之于許多制造業(yè)。通過該標(biāo)準(zhǔn)的認(rèn)證，可以為企業(yè)提供可靠的安全服務(wù)，樹立企業(yè)的信息安全形象。目前澳大利亞、新西蘭、巴西、捷克、芬蘭、冰島、愛爾蘭、荷蘭、挪威、瑞典、印度已經(jīng)把BS7799轉(zhuǎn)化為國家信息安全管理標(biāo)準(zhǔn)，我國信息安全等級保護(hù)制度安全管理部分也是重點(diǎn)參考了它的內(nèi)容所編寫的。認(rèn)證情況（一）BS7799與ISO9000質(zhì)量管理74認(rèn)證情況（二）該標(biāo)準(zhǔn)自公布以來，英國、澳大利亞、巴西、荷蘭、新西蘭和挪威等國已開始采用。已有政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司及許多跨國公司紛紛采用，并收到了良好的效果和回報(bào)。中國人民保險(xiǎn)公司廈門市分公司簽訂了我國第一份BS7799信息安全管理體系認(rèn)證協(xié)議;這也是我國第一份有關(guān)信息安全管理體系認(rèn)證的協(xié)議認(rèn)證情況（二）該標(biāo)準(zhǔn)自公布以來，英國、澳大利亞、巴西、75BS7799工具介紹BS7799工具介紹76BS7799工具介紹Cobra微軟安全自我評估工具

BS7799工具介紹Cobra77CobraCobra是一套專門用于進(jìn)行風(fēng)險(xiǎn)分析的工具軟件，其中也包含促進(jìn)安全策略執(zhí)行、外部安全標(biāo)準(zhǔn)（ISO17799）評定的功能模塊。用Cobra進(jìn)行風(fēng)險(xiǎn)分析時(shí)，分3個(gè)步驟：調(diào)查表生成、風(fēng)險(xiǎn)調(diào)查、報(bào)告生成。

CobraCobra是一套專門用于進(jìn)行風(fēng)險(xiǎn)分析的工具軟件，其78CobraCobra79微軟自我安全評估工具微軟自我安全評估工具80微軟自我安全評估工具微軟自我安全評估工具81BS7799實(shí)施的必要性

越來越多的工業(yè)和商業(yè)企業(yè)開始使用信息系統(tǒng)，為保障信息系統(tǒng)的安全，須采取一系列措施，BS7799則為這些措施的落實(shí)提供了一套檢查方法可以使用戶與企業(yè)的業(yè)務(wù)運(yùn)行在一個(gè)可信任的平臺之上企業(yè)之間競爭的需要，BS7799認(rèn)證將成為企業(yè)在市場上進(jìn)行競爭的一道分水嶺，尤其在用戶在選擇涉及安全的服務(wù)提供商的時(shí)候降低信息安全事件對企業(yè)的業(yè)務(wù)影響促進(jìn)企業(yè)業(yè)務(wù)的可持續(xù)增長

BS7799實(shí)施的必要性

越來越多的工業(yè)和商業(yè)企業(yè)開始使用82建立和實(shí)施的目的和意義通過促進(jìn)企業(yè)建立信息安全管理體系，確保信息技術(shù)的安全使用，保證企業(yè)經(jīng)營管理的正常運(yùn)作，減少因信息技術(shù)失控而造成經(jīng)濟(jì)損失，提高企業(yè)的社會形象和市場競爭力。建立信息安全管理體系并獲得經(jīng)認(rèn)可的認(rèn)證公司的認(rèn)證，不僅能提高組織自身的安全管理水平，將企業(yè)的安全風(fēng)險(xiǎn)控制在可接受的程度，減小安全遭到破壞帶來的損失，保證業(yè)務(wù)的可持續(xù)運(yùn)作；并且能向客戶及利益相關(guān)方展示組織對信息安全的承諾，增強(qiáng)投資方和股票持有者的投資信息，向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合，并且得到國際上的承認(rèn)?？梢越璐讼蚩蛻粽故酒浞?wù)相比其他競爭對手更加安全、可靠，樹立和增強(qiáng)企業(yè)的信息安全形象，提高企業(yè)的綜合競爭力。

建立和實(shí)施的目的和意義通過促進(jìn)企業(yè)建立信息安全管理體系，確保83國內(nèi)外大公司安全管理成功案例介紹天威誠信---國內(nèi)第一家PKI/CA最早通過ISO17799認(rèn)證的公司NOKIA世界著名高科技公司國內(nèi)外大公司安全管理成功案例介紹天威誠信---國內(nèi)第一家PK84安全管理成功的要點(diǎn)嚴(yán)格執(zhí)行，也需要靈活處理。信息安全作為獨(dú)立部門存在。分層次化的執(zhí)法手段。技術(shù)與管理手段是不能分開的。安全管理成功的要點(diǎn)嚴(yán)格執(zhí)行，也需要靈活處理。85安全管理的成功要點(diǎn)組織結(jié)構(gòu)的分布合理設(shè)置專門的安全管理部門必不可少管理?xiàng)l例的設(shè)置部門，不一定參與執(zhí)法設(shè)置專門的內(nèi)部安全信息發(fā)布站點(diǎn)實(shí)際管理中的技術(shù)手段是最重要的保障條件實(shí)際經(jīng)營維護(hù)過程中的問題處理（成本與執(zhí)行難點(diǎn)）安全管理的成功要點(diǎn)組織結(jié)構(gòu)的分布合理86當(dāng)前嚴(yán)格按照標(biāo)準(zhǔn)執(zhí)行的難點(diǎn)投入巨大（人力，物力，金錢）需要整體員工的全面配合，整體素質(zhì)需要提高一定程度上造成機(jī)構(gòu)編制增加目前世界100強(qiáng)大公司都有嚴(yán)格的安全管理標(biāo)準(zhǔn)，所以從長遠(yuǎn)看安全是應(yīng)該為公司帶來收益的。安全不是花費(fèi)而是最好的投資。當(dāng)前嚴(yán)格按照標(biāo)準(zhǔn)執(zhí)行的難點(diǎn)投入巨大（人力，物力，金錢）87ThankyouNeusoftGroupLtd.謝謝ThankyouNeusoftGroupLtd.謝謝88ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營銷中心解決方案部部長CISP北京caopengneusoft沈陽東軟軟件股份有限公司ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)曹鵬網(wǎng)絡(luò)安全89安全是個(gè)管理問題裝修后房間需要換鎖嗎安全是個(gè)管理問題裝修后房間907799簡介7799簡介91內(nèi)容目錄

BS7799產(chǎn)生背景BS7799發(fā)展歷史BS7799基本概念BSI內(nèi)容介紹BS7799認(rèn)證BS7799工具介紹BSI簡介BS7799建立和實(shí)施的目的和意義并非僅適用于英國

內(nèi)容目錄BS7799產(chǎn)生背景92BS7799產(chǎn)生背景BS7799產(chǎn)生背景93目前組織對信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的管理方式，不能從根本上避免、降低各類風(fēng)險(xiǎn)，也不能降低信息安全故障導(dǎo)致的綜合損失隨著信息技術(shù)的發(fā)展，電子商務(wù)及Internet應(yīng)用的普及，大家普遍認(rèn)識到解決信息安全問題不應(yīng)僅從技術(shù)方面著手，同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作，通過建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)、全面地解決信息安全問題的目的?；谶@種認(rèn)識，提出了“三分技術(shù)，七分管理”的信息安全原則。BS7799它廣泛地涵蓋了所有的安全議題，是一個(gè)非常詳盡甚至有些復(fù)雜的信息安全標(biāo)準(zhǔn)。WhydoweneedBS7799anyway?

TheLogicArgument10/25/2022目前組織對信息安全管理基本上還處在一種靜態(tài)的、局部的、少數(shù)人94BS7799發(fā)展歷史BS7799發(fā)展歷史95BS7799發(fā)展歷史1993年1月：成立行業(yè)工作小組

1993年9月：實(shí)施要則出版

2019年2月：BS7799-1出版

2019年2月：BS7799-2出版

2019年4月：BS7799-1和BS7799-2:2019出版

2000年12月：BS7799-1做了23處修改后，成為ISO/IEC17799

2019年9月：BS7799-2:2019出版

BS7799發(fā)展歷史1993年1月：成立行業(yè)工作小組

196BS7799體現(xiàn)以下原則制定信息安全方針為信息安全管理提供導(dǎo)向和支持控制目標(biāo)和控制方式的選擇建立在風(fēng)險(xiǎn)評估基礎(chǔ)之上預(yù)防控制為主的思想原則動態(tài)管理原則全員參與原則遵循管理的一般循環(huán)模式—PDCA持續(xù)改進(jìn)模式商務(wù)持續(xù)性原則

BS7799體現(xiàn)以下原則制定信息安全方針為信息安全管理提97BS7799基本概念BS7799基本概念98建立處理傳遞破壞？存儲使用出錯(cuò)丟失！信息處理方式建立處理傳遞破壞？存儲使用出錯(cuò)丟失！信息處理方式99Confidentiality保密性Availability可用性Integrity完整性在某些組織中，完整性和/或可用性比保密性更重要ISO17799關(guān)于信息安全的概念ConfidentialityAvailabilityInt100BS7799內(nèi)容介紹BS7799內(nèi)容介紹101BS7799內(nèi)容介紹BS7799共分為兩部分：第一部分是《信息安全管理實(shí)施細(xì)則》，主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全；第二部分是《信息安全管理體系規(guī)范》（ISMS)，詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評估來鑒定最適宜的控制對象，并對自己的需求采取適當(dāng)?shù)目刂啤S7799由三個(gè)主段落組成，即總則、系統(tǒng)要求和控制，可分為強(qiáng)制性過程和選擇性控制BS7799內(nèi)容介紹102BS7799內(nèi)容介紹BS7799-1（ISO/IEC17799）andBS7799-2:2019是一套以風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估為基礎(chǔ)的信息安全管理體系

BS7799內(nèi)容介紹103BS7799內(nèi)容介紹BS7799（ISO/IEC17799）內(nèi)容包括：

10subjectdomains;36managementobjectives;127controls;and500detailcontrols.

BS7799內(nèi)容介紹104訪問控制ISO17799信息安全管理信息安全方針安全組織人事安全物理安全系統(tǒng)開發(fā)連續(xù)運(yùn)營計(jì)劃符合性信息客戶記錄人事記錄法律記錄通信管理資產(chǎn)分級控制訪問控制ISO17799信息安全管理信息安全方針安全組織105BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)1061安全方針SecurityPolicy

目標(biāo)：提供管理方向和支持信息安全信息安全策略文件、評審和評價(jià)信息安全定義，總目標(biāo)和范圍，安全的重要性管理企圖的說明，以支持信息安全的目的和原則風(fēng)險(xiǎn)管理方法承諾符合ISO17799標(biāo)準(zhǔn)詳細(xì)方針消費(fèi)者信任行動數(shù)據(jù)保護(hù)行動1安全方針SecurityPoli107詳細(xì)方針

可以包括:

服從法律和合同要求組織應(yīng)急計(jì)劃要求數(shù)據(jù)備份要求避免病毒安全教育要求系統(tǒng)和數(shù)據(jù)訪問控制報(bào)告安全事故對惡意行為和不適當(dāng)訪問及使用的懲處行動詳細(xì)方針 可以包括:1082、安全組織2、安全組織109ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔110ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔111ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔112ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔1133 資產(chǎn)分級與控制資產(chǎn)的可核查性

目標(biāo)：維護(hù)組織資產(chǎn)的相應(yīng)保護(hù)信息分類

目標(biāo)：確保信息資產(chǎn)受到相應(yīng)級別的保護(hù)所有主要信息資產(chǎn)都應(yīng)清點(diǎn)并指定專人負(fù)責(zé)這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的3 資產(chǎn)分級與控制資產(chǎn)的可核查性這些資產(chǎn)必須是在信息安全管理114資產(chǎn)Assets資產(chǎn)是組織認(rèn)為有價(jià)值的東西，例如:信息資產(chǎn)紙上的文件軟件資產(chǎn)物理資產(chǎn)人公司的形象和名譽(yù)服務(wù)資產(chǎn)Assets115信息資產(chǎn)清單應(yīng)包括哪些項(xiàng)目資產(chǎn)的名稱資產(chǎn)的位置資產(chǎn)負(fù)責(zé)人資產(chǎn)重要性信息資產(chǎn)分級信息資產(chǎn)清單應(yīng)包括哪些項(xiàng)目資產(chǎn)的名稱116信息分級很重要信息有公開和敏感之分，敏感信息的程度也不相同，信息分級可以明確信息的保護(hù)要求、區(qū)分哪些是公開信息，哪些是敏感信息、可以確定信息的敏感等級、從而確定信息控制的優(yōu)先權(quán)和保護(hù)等級，保證信息資產(chǎn)受到適當(dāng)級別的保護(hù)。分級工作應(yīng)該由信息的創(chuàng)立人或者是指定的所有者來確定。正確的標(biāo)識“絕密”“機(jī)密”“秘密”“一般”不同級別的信息在管理方面應(yīng)該是區(qū)別對待傳遞、復(fù)制、銷毀、存儲信息分級很重要信息有公開和敏感之分，敏感信息的程度也不相同，1174、人員安全PersonnelSecurity4、人員安全PersonnelSecurit118“粗暴裁員”體現(xiàn)管理嚴(yán)格“粗暴裁員”體現(xiàn)管理嚴(yán)格119聯(lián)想員工親歷聯(lián)想大裁員：公司不是家聯(lián)想員工親歷聯(lián)想大裁員：公司不是家120ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔121ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔122招聘長期雇員時(shí)應(yīng)該考察的方面是否有人品證明，例如工作推薦或者是個(gè)人推薦申請人的履歷表的完整性和準(zhǔn)確性檢查聲明的學(xué)術(shù)或?qū)I(yè)資格的確認(rèn)身份的查驗(yàn)（身份證或類似文件）招聘長期雇員時(shí)應(yīng)該考察的方面是否有人品證明，例如工作推薦或者123ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔124ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔125物理與環(huán)境安全物理與環(huán)境安全126安全區(qū)域Secureareas物理周邊安全物理進(jìn)入控制辦公室、房間和設(shè)備安全在安全區(qū)域工作分離運(yùn)輸和裝卸區(qū)域I.D.安全區(qū)域Securea127運(yùn)營程序Operationalprocedures

文件化運(yùn)營程序運(yùn)營變化控制事故管理程序責(zé)任分離開發(fā)和運(yùn)營設(shè)備的分離外部設(shè)施的管理運(yùn)營程序Operationalprocedure128設(shè)備安全Equipmentsecurity

設(shè)備設(shè)置和保護(hù)電源供應(yīng)線路安全設(shè)備維護(hù)退出辦公的設(shè)備的安全清理和重新使用的設(shè)備的安全設(shè)備安全Equipmentsec129一般控制Equipmentsecurity清理桌面和清空屏幕策略

■記錄紙和計(jì)算機(jī)媒體的存放■敏感和關(guān)鍵業(yè)務(wù)信息的保護(hù)■無人值守時(shí)設(shè)備的保護(hù)財(cái)產(chǎn)的移動一般控制Equipmentsec130通信和運(yùn)營管理保證信息處理設(shè)施的安全和正確運(yùn)營- 運(yùn)營程序和責(zé)任 - 系統(tǒng)計(jì)劃和接收 - 預(yù)防惡意軟件 - 內(nèi)務(wù) - 網(wǎng)絡(luò)管理 - 媒介管理和安全 - 信息和軟件交換的安全I(xiàn)T通信和運(yùn)營管理IT131操作規(guī)程和職責(zé)目標(biāo)：確保信息處理措施正確和安全操作文件化的操作規(guī)程操作變更控制事故管理規(guī)程責(zé)任分離]開發(fā)和運(yùn)行設(shè)施分離外部設(shè)施管理操作規(guī)程和職責(zé)目標(biāo)：確保信息處理措施正確和安132系統(tǒng)計(jì)劃和接收目標(biāo)：使系統(tǒng)故障的風(fēng)險(xiǎn)減到最小容量計(jì)劃系統(tǒng)接收

20191990系統(tǒng)計(jì)劃和接收目標(biāo)：使系統(tǒng)故障的風(fēng)險(xiǎn)減到最小2019199133惡意軟件防護(hù)目標(biāo)：保護(hù)軟件和信息的完整性惡意軟件控制惡意軟件防護(hù)目標(biāo)：保護(hù)軟件和信息的完整性134內(nèi)務(wù)管理Housekeeping目標(biāo)：維護(hù)信息處理和通信服務(wù)的完整性和可用性信息備份操作者日志故障記錄內(nèi)務(wù)管理Housekeepin135網(wǎng)絡(luò)管理目標(biāo)：確保保衛(wèi)網(wǎng)絡(luò)中的信息和保護(hù)支持性基礎(chǔ)設(shè)施網(wǎng)絡(luò)的操作職責(zé)與計(jì)算機(jī)操作分開建立遠(yuǎn)程設(shè)備管理的職責(zé)和規(guī)程建立專門的控制，保衛(wèi)在公用網(wǎng)絡(luò)傳輸數(shù)據(jù)的保密性和完整性緊密協(xié)調(diào)管理活動網(wǎng)絡(luò)管理目標(biāo)：確保保衛(wèi)網(wǎng)絡(luò)中的信息和保護(hù)支持性基礎(chǔ)設(shè)施136媒體處置和安全目標(biāo)：防止資產(chǎn)損壞和業(yè)務(wù)活動中斷可移動的計(jì)算機(jī)媒體的管理媒體的處置信息處置規(guī)程系統(tǒng)文件的安全媒體處置和安全目標(biāo)：防止資產(chǎn)損壞和業(yè)務(wù)活動中斷137信息和軟件的交換目標(biāo)：防止組織之間交換的信息的丟失、修改或?yàn)E用信息和軟件交換協(xié)定運(yùn)輸中的媒體安全電子商務(wù)的安全電子郵件的安全信息和軟件的交換目標(biāo)：防止組織之間交換的信息的丟失、修改或?yàn)E1387訪問控制AccessControl控制對信息的訪問

-

業(yè)務(wù)要求對訪問進(jìn)行控制 -用戶訪問管理 -用戶職責(zé) -網(wǎng)絡(luò)訪問控制 -操作系統(tǒng)訪問控制 -應(yīng)用訪問控制 -系統(tǒng)訪問和使用監(jiān)控 -移動計(jì)算設(shè)備和通信7訪問控制AccessCont139使用者訪問管理使用者注冊優(yōu)先權(quán)管理使用者口令字管理審核使用者訪問權(quán)限SystemAdministratorMenu使用者訪問管理使用者注冊SystemAdministrat140網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)服務(wù)使用方針規(guī)定的過程使用者授權(quán)使用外部連接分支授權(quán)遠(yuǎn)程診斷港的防護(hù)網(wǎng)絡(luò)的分離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路徑控制網(wǎng)絡(luò)服務(wù)安全網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)服務(wù)使用方針141應(yīng)用訪問控制信息訪問限制敏感系統(tǒng)隔離應(yīng)用訪問控制信息訪問限制142移動計(jì)算機(jī)和通信移動計(jì)算機(jī)設(shè)備通信網(wǎng)絡(luò)設(shè)備移動計(jì)算機(jī)和通信移動計(jì)算機(jī)設(shè)備1438、系統(tǒng)開發(fā)和維護(hù)8、系統(tǒng)開發(fā)和維護(hù)144系統(tǒng)開發(fā)與維護(hù)系統(tǒng)開發(fā)與維護(hù)145ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施146ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施147ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施148ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施149ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施150ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施151ISO17799信息安全管理的最佳實(shí)踐標(biāo)準(zhǔn)-PPT精品文檔152ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施153我國法律對信息安全的要求憲法的要求刑法的要求中華人民共和國國家安全法中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例商用密碼管理?xiàng)l例……我國法律對信息安全的要求憲法的要求154ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施155ISO17799控制目標(biāo)與控制措施ISO17799控制目標(biāo)與控制措施156安全條款小結(jié)1安全方針2安全組織3資產(chǎn)分類和控制4人事安全5物理和環(huán)境安全6通信和運(yùn)營管理7訪問控制8系統(tǒng)開發(fā)和維護(hù)9商務(wù)連續(xù)性計(jì)劃10符合安全條款小結(jié)1安全方針157安全組織ISO17799（BS7799）實(shí)施資產(chǎn)分級及控制信息安全方針應(yīng)用控制措施運(yùn)營實(shí)現(xiàn)過程檢查過程糾正措施管理評審

計(jì)劃糾正檢查實(shí)施安全組織ISO17799（BS7799）實(shí)施資產(chǎn)158BS7799-2：2019BS7799-2：2019159利用PDCA方法建設(shè)信息安全體系利用PDCA方法建設(shè)信息安全體系160BS7799管理過程確定信息安全管理方針

1、確定ISMS(信息安全管理體系)的范圍

2、進(jìn)行風(fēng)險(xiǎn)分析

3、選擇控制目標(biāo)并進(jìn)行控制

4、建立業(yè)務(wù)持續(xù)計(jì)劃

5、建立并實(shí)施安全管理體系BS7799管理過程確定信息安全管理方針

1、確定ISM161認(rèn)證情況（一）BS7799與ISO9000質(zhì)量管理體系標(biāo)準(zhǔn)、ISO14000環(huán)境管理體系標(biāo)準(zhǔn)、OHSAS18000職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn)同屬管理體系標(biāo)準(zhǔn)，在體系的建立和評審認(rèn)證上遵循同樣的原理和原則

ISO17799作為信息安全管理方面的審核標(biāo)準(zhǔn)，對信息安全產(chǎn)業(yè)的作用和意義，就仿佛是ISO9000質(zhì)量認(rèn)證標(biāo)準(zhǔn)之于許多制造業(yè)。通過該標(biāo)準(zhǔn)的認(rèn)證，可以為企業(yè)提供可靠的安全服務(wù)，樹立企業(yè)的信息安全形象。目前澳大利亞、新西蘭、巴西、捷克、芬蘭、冰島、愛爾蘭、荷蘭、挪威、瑞典、印度已經(jīng)把BS7799轉(zhuǎn)化為國家信息安全管理標(biāo)準(zhǔn)，我國信息安全等級保護(hù)制度安全管理部分也是重點(diǎn)參考了它的內(nèi)容所編寫的。認(rèn)證情況（