信息安全管理基礎培訓

中遠網(wǎng)絡(北京)有限公司信息安全管理體系基礎培訓北京安言信息技術有限公司歡迎您參加這次《信息安全管理體系基礎知識》培訓班，本課程是我們特意為北京中遠網(wǎng)絡公司度身定制的，旨在引領大家理解信息安全管理最佳實踐，以便更好地開展即將啟動的項目。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。關于課程內容及授課效果的意見和建議，請及時反饋給我們，以便我們改進自身工作。再次歡迎您的參與，真誠感謝您的支持與合作！我們的目標理解信息、信息安全和信息安全管理理解信息安全風險評估與風險管理理解BS7799/ISO27001標準本身的條款內容掌握一種實施ISMS的方法和途徑了解ISO27001認證的完整過程用ISO27001指導企業(yè)進行信息安全的各項活動第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望內容目錄積極參與，小組討論，活躍氣氛遵守時間請將移動電話設置為震動有問題請隨時提出課堂注意事項讓我們開始吧！什么是信息？什么是信息安全？為什么要強調信息安全管理？怎樣做好信息安全管理？什么是BS7799/ISO27001？

BS7799/ISO27001對信息安全管理有什么指導意義？信息安全管理體系如何認證？需要首先搞清楚的幾個問題第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望什么是信息？信息安全概述什么是信息？Information消息、信號、數(shù)據(jù)、情報和知識信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機、磁帶、紙張等介質中記憶在人的大腦里通過網(wǎng)絡、打印機、傳真機等方式進行傳播信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)：計算機和網(wǎng)絡中的數(shù)據(jù)硬件、軟件、文檔資料

關鍵人員組織提供的服務具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護有價值的內容——ISO9000信息安全概述企業(yè)信息安全管理關注的信息類型內部信息組織不想讓其競爭對手知道的信息客戶信息顧客/客戶不想讓組織泄漏的信息共享信息需要與其他業(yè)務伙伴分享的信息信息安全概述信息的處理方式創(chuàng)建傳遞銷毀存儲使用更改信息安全概述什么是信息安全？信息安全概述采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務造成的影響減到最小，確保組織業(yè)務運行的連續(xù)性。信息安全概述信息安全的發(fā)展歷史20世紀60年代前60年代到80年代20世紀80年代末以后電話、電報、傳真強調的是信息的保密性對安全理論和技術的研究只側重于密碼學

通信安全，即COMSEC計算機軟硬件極大發(fā)展關注保密性、完整性和可用性目標

信息安全，即INFOSEC

代表性成果是美國的TCSEC和歐洲的ITSEC測評標準互聯(lián)網(wǎng)技術飛速發(fā)展，信息無論是對內還是對外都得到極大開放信息安全從CIA中又衍生出可控性、抗抵賴性、真實性等特性，并且從單一的被動防護向全面而動態(tài)的防護、檢測、響應、恢復發(fā)展

信息保障（InformationAssurance），從整體角度考慮安全體系建設

美國的IATF規(guī)范

信息安全概述CIAonfidentialityntegrityvailability信息安全基本目標信息安全概述企業(yè)重大泄密事件屢屢發(fā)生信息安全概述敏感信息遭受篡改也會導致惡劣后果信息安全概述破壞導致系統(tǒng)癱瘓后果非常嚴重信息安全概述C保密性（Confidentiality）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。完整性（Integrity）——確保信息在存儲、使用、傳輸過程中不會被非授權篡改，防止授權用戶或實體不恰當?shù)匦薷男畔?，保持信息內部和外部的一致性。可用性（Availability）——確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。CIA三元組是信息安全的目標，也是基本原則，與之相反的是DAD三元組：C.I.A.和D.A.D.IADisclosureAlterationDestruction泄漏破壞篡改信息安全概述Confidentiality

機密性Availability

可用性Integrity

完整性信息安全概述其他概念和原則

私密性（Privacy）——個人和組織控制私用信息采集、存儲和分發(fā)的權利。

身份識別（Identification）——用戶向系統(tǒng)聲稱其真實身份的方式。

身份認證（Authentication）——測試并認證用戶的身份。

授權（Authorization）——為用戶分配并校驗資源訪問權限的過程。

可追溯性（Accountability）——確認系統(tǒng)中個人行為和活動的能力。

抗抵賴性（Non-repudiation）——確保信息創(chuàng)建者就是真正的發(fā)送者的能力。

審計（Audit）——對系統(tǒng)記錄和活動進行獨立復查和審核，確保遵守性信息安全概述信息安全的重要性信息作為資產(chǎn)，就像其他重要的商務資產(chǎn)那樣，有價值，因而要妥善保護信息安全是國家安全的需要信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一信息安全是保護個人隱私與財產(chǎn)的需要許多組織都曾面臨過嚴重的威脅，包括基于計算機的欺詐和蓄意破壞現(xiàn)在，組織又面臨更復雜的威脅，例如計算機病毒、黑客和拒絕服務攻擊網(wǎng)絡技術的高速發(fā)展增加了對計算機系統(tǒng)未授權訪問的機會組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難許多信息系統(tǒng)的設計本身就不安全通過技術手段獲得的安全是有限的，還應該通過恰當?shù)墓芾砗统绦騺碇С中畔踩攀龇煞ㄒ?guī)與合同要求組織原則目標和業(yè)務需要風險評估的結果從什么方面考慮信息安全？信息安全概述常規(guī)的技術措施物理安全技術：環(huán)境安全、設備安全、媒體安全

系統(tǒng)安全技術：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性

網(wǎng)絡安全技術：網(wǎng)絡隔離、訪問控制、VPN、入侵檢測、掃描評估

應用安全技術：Email安全、Web訪問安全、內容過濾、應用系統(tǒng)安全

數(shù)據(jù)加密技術：硬件和軟件加密，實現(xiàn)身份認證和數(shù)據(jù)信息的CIA特性

認證授權技術：口令認證、SSO認證（例如Kerberos）、證書認證等

訪問控制技術：防火墻、訪問控制列表等審計跟蹤技術：入侵檢測、日志審計、辨析取證

防病毒技術：單機防病毒技術逐漸發(fā)展成整體防病毒體系

災難恢復和備份技術：業(yè)務連續(xù)性技術，前提就是對數(shù)據(jù)的備份信息安全概述防火墻網(wǎng)絡入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道訪問控制信息安全概述有沒有更好的途徑？信息安全概述信息安全管理信息安全的成敗取決于兩個因素：技術和管理。安全技術是信息安全的構筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術，七分管理，可見管理對信息安全的重要性。信息安全管理（InformationSecurityManagement）是組織完整的管理體系中一個重要的環(huán)節(jié)，它構成了信息安全具有能動性的部分，是指導和控制組織的關于信息安全風險的相互協(xié)調的活動，其針對對象就是組織的信息資產(chǎn)?，F(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。

信息安全管理的核心就是風險管理。信息安全概述信息安全管理面臨的一些問題國家的信息安全法律法規(guī)體系建設還不是很完善組織缺乏信息安全意識和明確的信息安全策略對信息安全還持有傳統(tǒng)的認識，即重技術，輕管理安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理信息安全概述調查顯示有8成企業(yè)安全管理不理想信息安全概述各行業(yè)安全管理狀況都不容樂觀信息安全概述安全管理各方面能力都很低下信息安全概述信息安全管理應該是體系化的信息安全必須從整體去考慮，必須做到“有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子這就是信息安全管理體系，它應該成為組織整體經(jīng)營管理體系的一部分務必重視信息安全管理加強信息安全建設工作信息安全概述怎樣實現(xiàn)信息安全？信息安全概述通常的信息安全建設方法采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，IDS，Scanner，VPN等通常由IT部門的技術人員兼職負責日常維護，甚至根本沒有日常維護這是一種以產(chǎn)品為核心的信息安全解決方案這種方法存在眾多不足：難以確定真正的需求：保護什么？保護對象的邊界？保護到什么程度？管理和服務跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價通常用漏洞掃描代替風險評估，對風險的認識很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調也是難題信息安全概述真正有效的方法技術和產(chǎn)品是基礎，管理才是關鍵產(chǎn)品和技術，要通過管理的組織職能才能發(fā)揮最佳作用

技術不高但管理良好的系統(tǒng)遠比技術高超但管理混亂的系統(tǒng)安全先進、易于理解、方便操作的安全策略對信息安全至關重要建立一個管理框架，讓好的安全策略在這個框架內可重復實施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術過程信息安全概述對信息安全的正確認識安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術、操作三者緊密結合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程信息安全概述基于風險分析的安全管理方法信息安全管理是指導和控制組織的關于信息安全風險的相互協(xié)調的活動。制定信息安全策略方針風險評估和管理控制目標和方式選擇風險控制安全保證信息安全策略方針為信息安全管理提供導向和支持?？刂颇繕伺c控制方式的選擇應該建立在風險評估的基礎上?？紤]控制成本與風險平衡的原則，將風險降低到組織可接受的水平。對風險實施動態(tài)管理。需要全員參與。遵循管理的一般模式——PDCA模型。信息安全概述安全管理模型——PDCA根據(jù)風險評估結果、法律法規(guī)要求、組織業(yè)務運作自身需要來確定控制目標與控制措施。實施所選的安全控制措施。針對檢查結果采取應對措施，改進安全狀況。依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。信息安全概述BS7799定義的信息安全管理體系建立一個信息安全管理框架評估安全風險選擇并實施控制信息安全管理體系ISMS設定信息安全的方向和目標，定義管理層承諾的策略確定安全需求根據(jù)需求采取措施消減風險，以實現(xiàn)既定安全目標信息安全概述ISMS必須明確的內容要保護的資產(chǎn)控制目標和控制措施需要保證的程度風險管理的途徑信息安全概述實施ISMS的過程定義ISMS的范圍定義ISMS策略定義一個系統(tǒng)化的風險管理途徑識別風險評估風險識別并評價風險處理的可選方案選擇控制目標和控制措施，以便處理風險準備適用性聲明（SoA）獲得管理層批準信息安全概述ISMS是一個文檔化的體系對管理框架的概括包括策略、控制目標、已實施的控制措施、適用性聲明（SoA）各種程序文件實施控制措施并描述責任和活動的程序文件覆蓋了ISMS管理和運行的程序文件

證據(jù)能夠表明組織按照BS7799要求采取相應步驟而建立了管理框架各種Records：在操作ISMS過程當中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性信息安全概述實施ISMS的關鍵成功因素（CSF）安全策略、目標和活動應該反映業(yè)務目標有一種與組織文化保持一致的實施、維護、監(jiān)督和改進信息安全的途徑來自高級管理層的明確的支持和承諾深刻理解安全需求、風險評估和風險管理向所有管理者和員工有效地推廣安全意識向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標準為信息安全管理活動提供資金支持提供適當?shù)呐嘤柡徒逃⒂行У男畔踩录芾砹鞒?/p>

建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進信息安全概述第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望英國標準協(xié)會（BSI）

英國標準學會（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等標準的編寫機構

英國標準學會（BSI）是世界上最早的全國性標準化機構，它受政府控制但得到了政府的大力支持。BSI不斷發(fā)展自己的工作隊伍，完善自己的工作機構和體制，把標準化和質量管理以及對外貿易緊密結合起來開展工作

BSI的宗旨：

1.為增產(chǎn)節(jié)約努力協(xié)調生產(chǎn)者和用戶之間的關系，促進生產(chǎn)，達到標準化（包括簡化）

2.制定和修訂英國標準，并促進其貫徹執(zhí)行

3.以學會名義，對各種標志進行登記，并頒發(fā)許可證

4.必要時采取各種行動，保護學會利益BS7799簡介國際標準化組織（ISO）

國際標準化組織（InternationalOrganizationforStandardization，ISO）

國際標準化組織是世界上最大的非政府性標準化專門機構，它在國際標準化中占主導地位。

ISO的主要活動是制定國際標準，協(xié)調世界范圍內的標準化工作，組織各成員國和技術委員會進行報交流，以及與其他國際性組織進行合作，共同研究有關標準問題。隨著國際貿易的發(fā)展，對國際標準的要求日益提高，ISO的作用也日趨擴大，世界上許多國家對ISO也越加重視。

ISO的目的和宗旨是：在世界范圍內促進標準化工作的發(fā)展，以利于國際物資交流和互助，并擴大在知識、科學、技術和經(jīng)濟方面的合作。BS7799簡介什么是BS7799？英國標準協(xié)會（BritishStandardsInstitute，BSI）制定的信息安全標準。

由信息安全方面的最佳慣例組成的一套全面的控制集。

信息安全管理方面最受推崇的國際標準。BS7799簡介BS7799的目的"為信息安全管理提供建議，供那些在其機構中負有安全責任的人使用。它旨在為一個機構提供用來制定安全標準、實施有效的安全管理時的通用要素，并得以使跨機構的交易得到互信"。BS7799簡介BS7799的歷史沿革

1990年代初——英國貿工部（DTI）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿易伙伴間信任的通用框架。

1993年9月——頒布《信息安全管理實施細則》，形成BS7799的基礎。

1995年2月——首次出版BS7799-1:1995《信息安全管理實施細則》。

1998年2月——英國公布BS7799-2:《信息安全管理體系規(guī)范》。

1999年4月——BS7799-1與BS7799-2修訂后重新發(fā)布。

2000年12月——國際標準組織ISO/IECJTC1/SC27工作組認可通過BS7799-1，頒布ISO/IEC17799:2000《信息技術——信息安全管理實施細則》。

2002年9月——BSI對BS7799-2進行了改版，用來替代原標準（BS7799-2:1999）使用。

2005年6月——ISO17799:2000改版，成為ISO17799:2005。

2005年10月——ISO正式采用BS7799-2:2002，命名為ISO27001:2005。BS7799簡介BS7799的發(fā)展現(xiàn)狀

BS7799技術委員會是BSI-DISCCommitteeBDD/2，成員包括：金融服務：英國保險協(xié)會，渣打會計協(xié)會，匯豐銀行等通信行業(yè)：大英電訊公司等零售業(yè)：MarksandSpencerplc

國際組織：殼牌，聯(lián)合利華，畢馬威（KPMG）等

目前除英國之外，國際上已有荷蘭（SPE20003）、丹麥和瑞典（SS627799）、挪威、芬蘭、澳大利亞和新西蘭（AS/NZS4444）、南非、巴西、日本（JISX5080）等國采用BS7799。我國的臺灣、香港地區(qū)也在推廣該標準。日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在BS7799認證方面表現(xiàn)積極。

全球目前有2000多家機構通過了BS7799/ISO27001認證，涉及政府機構、銀行、保險公司、電信企業(yè)、網(wǎng)絡公司和許多跨國公司。（可查詢http:///）目前大陸地區(qū)通過信息安全管理體系認證的有近30家。BS7799簡介截至2006年初，全球通過BS7799/ISO27001認證的有2000多家機構/BS7799簡介BS7799認證的發(fā)展趨勢圖此圖摘自http://www.gammassl.co.uk/2003年2月前到2005年底BS7799簡介建立ISMS并通過認證的意義可以強化員工的信息安全意識，規(guī)范組織信息安全行為。對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵害時，確保業(yè)務連續(xù)開展并將損失降到最低程度。向貿易伙伴證明對信息安全的承諾，使貿易伙伴和客戶對組織充滿信心。如果通過體系認證，表明組織的信息安全體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度。促使管理層堅持貫徹信息安全保障體系。BS7799簡介ISO17799/ISO27001的內容框架

ISO17799：源自BS7799-1。工具包，體現(xiàn)了三分技術七分管理的思想

ISO27001：源自BS7799-2?？蚣荏w系，是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范，一個完整的解決方案安全策略Securitypolicy人力資源安全Humanresourcessecurity物理與環(huán)境安全Physicalandenvironmentalsecurity通信與操作管理Communicationsandoperationsmanagement信息系統(tǒng)獲取、開發(fā)和維護Informationsystemsacquisition,developmentandmaintenance組織信息安全Organizinginformationsecurity資產(chǎn)管理Assetmanagement訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務連續(xù)性管理Businesscontinuitymanagement符合性ComplianceBS7799簡介新版本的變化特點

ISO17799:2005

從10個域變到11個域，增加了“信息安全事件管理”去掉了9項控制，增加了17項控制，一共有133項控制加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求

BS7799-2:2002ISO27001:2005（略做修改）

附錄引向ISO17799:2005

原來的條款6（管理評審）分成現(xiàn)在的6（內審）、7（管理評審）兩個部分

ISO17799:2000GB/T19716:2005BS7799簡介ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicyBS7799的輸出結果BS7799簡介其他類似或相關的標準規(guī)范1

ISO7498-2（GB/T9387-2,1995）

1989年ISO組織制定的《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結構》，該標準對安全服務及相關機制進行了一般描述

ISO15408（GB/T18336,2001，即CC標準）

1993年6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了CC標準，最終將其推進到國際標準。CC的目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標準

SSE-CMM（ISO/IECDIS21827）美國國家安全局（NSA）于1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構想。該模型定義了一個安全工程過程應有的特征，這些特征是完善安全工程的根本保證

IATF

美國國家安全局（NSA）制定的InformationAssuranceTechnicalFramework，為保護美國政府和工業(yè)界的信息與信息技術設施提供技術指南

ISO/TR13569

銀行和相關金融服務信息安全指南BS7799簡介其他類似或相關的標準規(guī)范2

BSIDISC提供了一組關于BS7799的系列指導文件（PD3000系列）：

PD3001–PreparingforBS7799CertificationPD3002–GuidetoRiskAssessmentandRiskManagementPD3003–“AreyoureadyforaBS7799Audit?”PD3004–GuidetoBS7799AuditingPD3005–GuidetotheselectionofBS7799controlsAS/NZS4444

澳大利亞和新西蘭等同采用的BS7799（后來，根據(jù)ISO/IEC17799:2000頒布了AS/NZSISO/IEC17799:2001，根據(jù)BS7799-2:2002又頒布了AS/NZS7799.2:2003）

AS/NZS4360

澳大利亞和新西蘭自己的信息安全管理標準

ISO/IECTR13335

即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），分5個部分。是信息安全管理方面的指導性標準，專注于IT領域，并不用于審計和認證BS7799簡介第一部分信息安全概述BS7799/ISO27001簡介信息安全管理體系認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望選擇認證機構信息安全管理體系認證明確認證的范圍定義認證范圍是讓認證機構和審核員確定評估程序的基礎。定義認證范圍時，組織應該考慮：文檔化的適用性聲明組織的相關活動要包括在內的組織范圍地理位置信息系統(tǒng)邊界、平臺和應用包括在內的支持活動排除在外的因素認證機構在展開認證過程之前將與組織在認證范圍上達成一致意見。信息安全管理體系認證認證之前做好準備進行ISO27001認證之前，組織可以參照以下檢查列表來做準備：董事會和管理層的簽署承諾已簽署并發(fā)布的安全策略文檔已識別的資產(chǎn)風險評估的結果文檔已作出的風險管理決策已識別的可用控制文檔化的適用性聲明文檔化的業(yè)務連續(xù)性計劃，并得到了實施和測試文檔化的ISMS程序，并且發(fā)布和實施確定ISMS有效性的內部復審信息安全管理體系認證認證過程選擇受認可的認證機構Phase1：文檔審核Phase2：現(xiàn)場審查維持認證組織應該向認證機構提供必要的信息復審風險評估文檔、安全策略和適用性聲明復審ISMS的其他文檔

ISMS的實施情況，符合性審查風險管理決策的基礎組織被授予證書后，審核組每年都會對其ISMS符合性進行檢查。證書三年有效，之后需要再次認證。組織必須向認證機構通報任何變化。預審（Pre-assessment）可選信息安全管理體系認證文檔審核一般來說都是現(xiàn)場進行的審核ISMS框架，以考查其是否符合ISO27001的4-8部分的要求查看策略、范圍、風險評估、風險管理、控制選擇和適用性聲明相關的文件審核員或許不會非常深入地查看特定程序文件的細節(jié)，但卻期望能直接在標準、程序和工作指導書上簽署意見符合性審核對來自文檔審核階段的不符合項進行究根問底審核抽樣，以驗證ISMS底實施和操作審核小組組長會提交一個建議，但并不做最終認證決策對于審核期間記錄在案的不符合項，組織必須在一個月之內采取糾正性措施信息安全管理體系認證信息安全管理體系認證實施BS7799認證項目的建議過程信息安全管理體系認證成功的關鍵因素安全策略、目標和活動應該反映業(yè)務目標實施信息安全的方法應該與組織的文化保持一致來自高級管理層的明確的支持和承諾深刻理解安全需求、風險評估和風險管理向所有管理者和員工有效地推廣安全意識信息安全管理體系認證成功的關鍵因素（續(xù)）向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標準為信息安全管理活動提供資金支持提供適當?shù)呐嘤柡徒逃⒂行У男畔踩录芾砹鞒?/p>

建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進信息安全管理體系認證第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望風險

風險管理（RiskManagement）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程。在信息安全領域，風險（Risk）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響的潛在可能性。風險評估風險管理

風險評估（RiskAssessment）就是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。風險評估與管理風險評估和管理的目標低影響高可能性高影響高可能性高影響低可能性低影響低可能性威脅帶來的影響威脅發(fā)生的可能性目標采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風險消減到可接受的水平。風險評估與管理風險RISKRISKRISKRISK風險基本的風險采取措施后剩余的風險資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風險管理目標更形象的描述風險評估與管理絕對的零風險是不存在的，要想實現(xiàn)零風險，也是不現(xiàn)實的；計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

絕對的安全是不存在的！

在計算機安全領域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計算機是無法使用的。風險評估與管理關鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風險評估與管理與風險管理相關的概念資產(chǎn)（Asset）——任何對組織具有價值的東西，包括計算機硬件、通信設施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（Threat）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（Threatsource）或威脅代理（Threatagent）。弱點（Vulnerability）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風險（Risk）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性?？赡苄裕↙ikelihood）——對威脅發(fā)生幾率（Probability）或頻率（Frequency）的定性描述。影響（Impact）——后果（Consequence），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（Safeguard）——控制措施（control）或對策（countermeasure），即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風險的機制、方法和措施。殘留風險（ResidualRisk）——在實施安全措施之后仍然存在的風險。風險評估與管理安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導致導致暴露增加具有風險風險要素關系模型風險評估與管理風險管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）風險評估與管理風險管理過程識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認評估風險（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標和控制方式制定/修訂適用性聲明實施選定的控制YesNo確認并評估殘留風險定期評估風險評估風險消減風險接受風險管理風險評估與管理定量與定性風險評估方法定性風險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質上是非常主觀的，其結果高度依賴于評估者的經(jīng)驗和能力，很難客觀地跟蹤風險管理的效果對關鍵資產(chǎn)財務價值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風險分析優(yōu)點評估結果是建立在獨立客觀地程序或量化指標之上的可以為成本效益審核提供精確依據(jù)，有利于預算決策量化的資產(chǎn)價值和預期損失易理解可利用自動化工具幫助分析缺點信息量大，計算量大，方法復雜沒有一種標準化的知識庫，依賴于提供工具或實施調查的廠商投入大，費時費力定量風險評估：試圖從數(shù)字上對安全風險進行分析評估的一種方法。定性風險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風險管理諸要素的大小或高低程度定性分級。風險評估與管理識別并評估信息資產(chǎn)

數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等

書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結果

軟件資產(chǎn)：應用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序

實物資產(chǎn)：計算機和通信設備，磁介質，電源和空調等技術性設備，家具，場所

人員：承擔特定職能和責任的人員

服務：計算和通信服務，其他技術性服務，例如供暖、照明、水電、UPS等

組織形象與聲譽：企業(yè)形象，客戶關系等，屬于無形資產(chǎn)信息資產(chǎn)價值評估標準高（3）：非常重要，缺了這個資產(chǎn)（CIA的喪失），業(yè)務活動將中斷并且遭受不可挽回的損失中（2）：比較重要，缺了這個資產(chǎn)（CIA的喪失或受損），業(yè)務活動將被迫延緩，造成明顯損失低（1）：不太重要，缺了這個資產(chǎn)，業(yè)務活動基本上不受影響風險評估與管理識別并評估威脅人員威脅：故意破壞和無意失誤

系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡或服務出現(xiàn)的故障

環(huán)境威脅：電源故障、污染、液體泄漏、火災等

自然威脅：洪水、地震、臺風、雷電等威脅可能性評估標準高（3）：非?？赡埽跇I(yè)務活動持續(xù)期間，時刻都有可能出現(xiàn)中（2）：比較可能，在業(yè)務活動持續(xù)期間，有可能多次出現(xiàn)低（1）：不太可能，在業(yè)務活動持續(xù)期間，不大可能出現(xiàn)風險評估與管理識別并評估弱點技術性弱點：系統(tǒng)、程序、設備中存在的漏洞或缺陷。

操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習慣、審計或備份中的漏洞。

管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結構等方面的不足。弱點嚴重性評估標準高（3）：很容易被利用中（2）：可被利用，但不是太容易低（1）：基本上不可能被利用風險評估與管理人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設口令丟失筆記本電腦不能保守秘密，口無遮攔，泄漏敏感信息隨便在服務器上接Modem，或者隨意將服務器連入網(wǎng)絡事不關己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關注外來的威脅，忽視企業(yè)內部人員的問題風險評估與管理風險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。確定風險因子：后果為2，弱點值為3，威脅值為3

評估風險：套用風險分析矩陣，該風險被定為高風險（18）應對風險：根據(jù)公司風險評估計劃中確定的風險接受水平，應該對該風險采取措施予以消減。風險評價示例

風險可能性威脅值123弱點值123123123風險影響/資產(chǎn)價值1123246369224648126121833696121891827風險評估與管理第一部分信息安全概述BS7799/ISO27001簡介信息安全管理與認證之道第二部分風險評估與管理過程及方法Part1－信息安全管理實施細則Part2－信息安全管理體系規(guī)范總結和展望提供了一套由最佳實踐構成的控制目標和控制，涉及11個方面，包括39個控制目標和133項控制措施,可作為參考文件使用，但并不是認證評審的依據(jù)。ISO17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護信息安全事件管理業(yè)務連續(xù)性管理符合性ISO17799:2005信息安全管理實施細則11個方面39個目標133個控制措施10個方面36個目標127個控制措施對比ISO17799:2000老版……ISO17799:2005信息安全管理實施細則“Notallofthecontrolsdescribedinthisdocumentwillberelevanttoeverysituation.Itcannottakeaccountoflocalsystem,environmentalortechnologicalconstraints.Itmaynotbeinaformthatsuitseverypotentialuserinanorganization.Consequentlythedocumentmayneedtobesupplementedbyfurtherguidance.Itcanbeusedasabasisfromwhich,forexample,acorporatepolicyoraninter-companytradingagreementcanbedeveloped.”并不是所有此處描述的控制都與各種環(huán)境相關，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術性的約束，不大可能以一種適合組織內部各類潛在用戶的形式展現(xiàn)。因此，還需要通過進一步的指導方針來補充此文，組織可以將其作為基礎，繼而開發(fā)自己的策略或者公司間貿易協(xié)議。ISO17799:2005信息安全管理實施細則法律要求和最佳實踐控制措施

與法律相關的控制措施：

知識產(chǎn)權（IntellectualPropertyRights）：遵守知識產(chǎn)權保護和軟件產(chǎn)品保護的法律（15.1.2）

保護組織的記錄：保護重要的記錄不丟失、破壞和偽造（15.1.3）

數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律（15.1.4）

與最佳實踐相關的控制措施：

信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知（5.1.1）

信息安全責任的分配：清晰地定義所有的信息安全責任（6.1.3）

信息安全意識、教育和培訓：全員員工及相關人員應該接受恰當?shù)囊庾R培訓（8.2.2）

正確處理應用程序：防止應用程序中的信息出錯、損壞或被非授權篡改及誤用（12.2）

漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞（12.6）

管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件（13.2）業(yè)務連續(xù)性管理：減少業(yè)務活動中斷，保護關鍵業(yè)務過程不受重大事件或災難影響（14）盡管選擇以上控制是信息安全很好的起點，但還是不能代替基于風險評估選擇合適的安全控制。

ISO17799:2005信息安全管理實施細則5安全策略5.1信息安全策略5.1.1信息安全策略文件5.1.2信息安全策略復查目標：為信息安全提供與業(yè)務需求和法律法規(guī)相一致的管理指示及支持。ISO17799:2005信息安全管理實施細則信息安全策略的定義信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程。策略方針的目的和意義為組織提供了關注的焦點，指明了方向，確定了目標確保信息安全管理體系被充分理解和貫徹實施統(tǒng)領整個信息安全管理體系方針文件的內容信息安全的定義、整體目標和范圍；對管理層支持信息安全目標和原則的意圖的聲明和承諾；建立控制目標和控制的框架，包括風險評估和風險管理的框架；對安全策略、原則、標準以及符合性需求的簡單說明；信息安全管理責任，包括報告安全事件；對策略支持文檔的引用參考；

由管理者批準，正式發(fā)布，并得到全員貫徹。安全策略的復查策略應有一個屬主，負責按復查程序維護和復查該策略。如果發(fā)生任何影響最初風險評估基礎的變化，都應復查策略。也應定期復查安全策略。

策略復審應該考慮到管理評審的結果ISO17799:2005信息安全管理實施細則要點提示用最簡單、明確的語言直擊主題保持與具體規(guī)范、指南、記錄等文件的區(qū)別信息安全策略應該人手一份，并保證充分理解要定期評審和修訂ISO17799:2005信息安全管理實施細則信息安全策略體系的層次性方針Policy程序Procedure標準Standard強制性指南Guideline建議性基線Baseline最低標準目標要求具體步驟實現(xiàn)方法戰(zhàn)略層次戰(zhàn)術層次戰(zhàn)役層次ISO17799:2005信息安全管理實施細則最高方針示例6組織信息安全6.1內部組織6.1.1管理層對信息安全的責任6.1.2信息安全協(xié)調機制6.1.3分派信息安全責任6.1.4信息處理設施的批準程序6.1.5保密協(xié)議6.1.6保持和權威機構的聯(lián)系6.1.7保持和專業(yè)團隊聯(lián)系6.1.8對信息安全做獨立評審目標：在組織內建立發(fā)起和控制信息安全實施的管理框架。6.2外部伙伴6.2.1識別與外部伙伴相關的風險6.2.2和客戶交往時注意安全6.2.3在第三方協(xié)議中注明安全目標：維護被外部伙伴訪問、處理和管理的組織的信息處理設施和信息資產(chǎn)的安全。ISO17799:2005信息安全管理實施細則組織應該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內部信息安全的實施。信息安全管理委員會外部安全專家信息安全獨立評審信息安全管理框架權威機構ISO17799:2005信息安全管理實施細則識別與外部伙伴相關的風險

外部伙伴可能包括：服務提供商（例如ISP、網(wǎng)絡和通信服務、維護和支持服務提供商等），管理安全服務（MSS）客戶外包服務（IT系統(tǒng)設施和運維、數(shù)據(jù)采集、呼叫中心）管理和業(yè)務咨詢顧問、審計師軟件產(chǎn)品和IT系統(tǒng)的開發(fā)者和供應商保潔快餐等外部服務臨時工、短期兼職人員等如果需要讓外部伙伴訪問組織的信息處理設施或信息，有必要先做一次風險評估，找到特別的安全控制需求。應該考慮到是物理訪問，還是邏輯訪問，是現(xiàn)場訪問還是非現(xiàn)場訪問。還應考慮需要訪問哪些設施和信息？信息的價值，必要的控制，授權以及監(jiān)督方式，出錯可能造成的影響，對安全事件的響應，法律法規(guī)等。在沒有采取必要控制措施，包括簽署相關協(xié)議之前，不應該授權給外部伙伴訪問。應該讓外部伙伴意識到其責任和必須遵守的規(guī)定。ISO17799:2005信息安全管理實施細則在第三方協(xié)議中體現(xiàn)安全

信息安全方針用來保護資產(chǎn)的各種控制措施描述將被提供的產(chǎn)品和服務確保用戶意識到信息安全責任對人員調換做出規(guī)定硬件和軟件安裝及維護的責任清晰的Report結構和格式變更管理流程任何必要的物理保護措施和機制訪問控制策略：允許的訪問方法，授權流程，禁止聲明

信息安全事件及問題處理機制期望的SLA及監(jiān)督報告機制監(jiān)督、撤銷等權利，審計責任約定法律責任知識產(chǎn)權保護中止或重新協(xié)商協(xié)議的條件ISO17799:2005信息安全管理實施細則7資產(chǎn)管理7.1資產(chǎn)責任7.1.1資產(chǎn)清單7.1.2資產(chǎn)屬主7.1.3對資產(chǎn)的可接受使用目標：保持對組織資產(chǎn)的恰當?shù)谋Ｗo。所有資產(chǎn)都應該責任到人。7.2信息分類7.2.1分類指南7.2.2信息標注及處理目標：確保信息資產(chǎn)得到適當級別的保護。組織可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結構來識別信息資產(chǎn)。按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。所有的信息資產(chǎn)都應該具有指定的屬主并且可以被追溯責任。信息應該被分類，以標明其需求、優(yōu)先級和保護程度。根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序。TopSecretSecretConfidentialRestrictedISO17799:2005信息安全管理實施細則信息資產(chǎn)的類型信息：數(shù)據(jù)庫和數(shù)據(jù)文件，合同和協(xié)議，系統(tǒng)文件，用戶手冊，培訓資料等軟件資產(chǎn)：應用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序實物資產(chǎn)：計算機和通信設備，移動介質，電源空調等技術性設備人員：承擔特定職能和責任的人員，資質、技能和經(jīng)驗服務：計算和通信服務，環(huán)境支持服務等組織形象與聲譽：無形資產(chǎn)ISO17799:2005信息安全管理實施細則識別資產(chǎn)時的注意事項

所有主要信息資產(chǎn)都應清點并指定專人負責這些資產(chǎn)必須是在信息安全管理體系范圍之內的

BS7799標準認為,“資產(chǎn)”沒必要包括通常考慮的組織內所有有價值的東西組織必須確定哪些資產(chǎn)在損失后對組織的產(chǎn)品及服務會產(chǎn)生實質上的影響ISO17799:2005信息安全管理實施細則資產(chǎn)清單示例ISO17799:2005信息安全管理實施細則信息資產(chǎn)的屬主、保管者和用戶屬主（Owner）：信息屬主可能是組織的某個決策者或者管理者，或者部門負責人，或者是信息的創(chuàng)建者，對必須保護的信息資產(chǎn)負責，承擔著“duecare”的責任，但日常的數(shù)據(jù)保護工作則由保管者承擔。信息屬主的責任在于：基于業(yè)務需求，對信息分類等級作出最初決定；定期復查分類方案，根據(jù)業(yè)務需求的變化作出更改；向保管者委派承擔數(shù)據(jù)保護任務的責任保管者（Custodian）：受信息屬主委托而負責保護信息，通常由IT系統(tǒng)人員來承擔，其職責包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進行恢復；根據(jù)既定的信息分類策略，維護保留下來的記錄用戶（User）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費者，應該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔保護信息安全的責任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用ISO17799:2005信息安全管理實施細則目標：確保雇員、合同工和第三方用戶理解其自身責任，適合角色定位，減少偷竊、欺詐或誤用設施帶來的風險。8人力資源安全8.1聘用前的控制8.1.1角色和責任8.1.2人員篩選（Screening）8.1.3聘用條件和條款8.2聘用期間8.2.1管理層職責8.2.2信息安全意識、教育和培訓8.2.3懲罰機制目標：確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關系、責任和義務，并在其正常工作當中支持組織的安全策略，減少人為錯誤導致的風險。8.3解聘或變更8.3.1解聘責任8.3.2返還資產(chǎn)8.3.3去除訪問權限目標：確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。ISO17799:2005信息安全管理實施細則人員安全重要提示

人員和組織安全是信息安全管理的難點，因為：人本身就是一個最復雜的因素信息安全的“潛在性”使得安全組織和人才培養(yǎng)不容易獲得認可信息安全人才的培養(yǎng)是一個高難的過程信息安全組織需要和企業(yè)文化進行磨合避免信息安全組織和業(yè)務組織對立ISO17799:2005信息安全管理實施細則人員篩選時做背景檢查背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。對于敏感職位，可能還會考慮進一步的調查。調查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進行調查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因為人員解雇而導致法律訴訟因為雇用疏忽而導致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉入信息安全重要崗位，組織也應當對其進行檢查，對于處在有相當權力位置的人員，這種檢查應定期進行。ISO17799:2005信息安全管理實施細則增強全員的安全意識安全意識（Securityawareness），泛指組織員工對安全和安全控制重要性的一般性的、集體的意識。促進安全意識，可以減少人員的非授權活動，可以增強保護控制的效率，有助于避免欺詐和對計算資源的浪費員工具有安全意識的標志：認知可能存在的安全問題及其危害，理解安全所需明白自身的安全職責，恪守正確的行為方式促進安全意識的方法和途徑多種多樣：交互性的、實時的介紹，課程，視頻出版發(fā)布物品，新聞傳單，張貼物，簡報，布告欄，Intranet

獎金和贊譽等激勵機制提醒物，比如登錄banner，筆、便簽、鼠標墊等隨身物品安全意識材料應該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化ISO17799:2005信息安全管理實施細則安全培訓和教育培訓（Training）不同于意識，其目的是傳授安全相關的工作技能，主要對象為信息系統(tǒng)管理和維護人員，通常利用一對一的課堂形式，包括：為操作者和具體用戶提供的安全相關的職務培訓為與敏感安全位置相關的具體的部門或人員提供的技能培訓為IT支持人員和系統(tǒng)管理員提供的技術性安全培訓為安全實踐者和信息系統(tǒng)審計師提供的高級信息安全培訓為高級管理者、職能經(jīng)理和業(yè)務單位經(jīng)理提供的安全培訓教育（Education）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術，一般通過外部程序實現(xiàn)，并且應該成為職業(yè)規(guī)劃的一部分具體的安全軟件和硬件的產(chǎn)品培訓也很重要ISO17799:2005信息安全管理實施細則加強人員離職控制人員離職往往存在安全風險，特別是雇員主動辭職時解雇通知應選擇恰當?shù)臅r機，例如重要項目結束，或新項目啟動前使用標準的檢查列表（Checklist）來實施離職訪談離職者需在陪同下清理個人物品確保離職者返還所有的公司證章、ID、鑰匙等物品與此同時，立即消除離職者的訪問權限，包括：解除對系統(tǒng)、網(wǎng)絡和物理設施的訪問權解除電話，注銷電子郵箱，鎖定Internet賬號通知公司其他人員、外部伙伴或客戶，聲明此人已離職ISO17799:2005信息安全管理實施細則目標：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項活動被打斷。9物理和環(huán)境安全9.1安全區(qū)域9.1.1物理安全邊界9.1.2物理入口控制9.1.3保護辦公場所、房間和設施9.1.4防止外部和環(huán)境威脅9.1.5在安全區(qū)內工作9.1.6公共訪問和交接區(qū)域目標：防止非授權物理訪問、破壞和干擾組織的安全區(qū)邊界。9.2設備安全9.2.1設備的安置與保護9.2.2供電9.2.3電纜安全9.2.4設備維護9.2.5場外設備的安全9.2.6設備報廢或重用時的安全9.2.7財物遷移I.D.ISO17799:2005信息安全管理實施細則物理安全要點提示

清晰劃定安全區(qū)域邊界圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng)專門設立接待區(qū)，限制物理訪問外來人員登記及陪同定期檢查訪問記錄關鍵設施不要放置在公共區(qū)域關鍵區(qū)域不做顯眼標記防止火災、水災、地震、爆炸等自然或人為災難安全區(qū)域內工作，禁止攝影攝像，加強監(jiān)督一定要注意那些不在視野范圍內的東西ISO17799:2005信息安全管理實施細則注意你的身邊！注意最細微的地方！ISO17799:2005信息安全管理實施細則我們來看一個可怕的案例您肯定用過銀行的ATM機，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？……ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則ISO17799:2005信息安全管理實施細則關于場外設備使用的提示

無論是誰，信息處理設施要帶到組織邊界外使用，必須得到相關授權場外設備或介質不應該單獨置于公共區(qū)域，筆記本電腦應該放在不顯眼的包里注意設備防暴、防磁、防熱、防水、防震家庭辦公時，遵守設備加鎖保存、桌面凈空、計算機訪問控制及安全通信策略可以考慮購買適當?shù)谋ｋUISO17799:2005信息安全管理實施細則目標：確保正確并安全地操作信息處理設施。10通信和操作管理10.1操作程序和責任10.1.1操作程序的文檔化10.1.2變更管理10.1.3職責分離10.1.5開發(fā)、測試和運營設施的分離10.3系統(tǒng)規(guī)劃及驗收10.3.1容量管理10.3.2系統(tǒng)驗收目標：減少系統(tǒng)故障帶來的風險。10.4抵御惡意和移動代碼10.4.1惡意代碼控制10.4.2移動代碼控制目標：保護軟件和信息的完整性。10.2第三方服務交付管理10.2.1服務交付10.2.2監(jiān)督和復查第三方服務10.2.3第三方服務變更管理目標：根據(jù)第三方服務交付協(xié)議，實施并保持恰當?shù)男畔踩头战桓端健SO17799:2005信息安全管理實施細則目標：維護信息和信息處理設施的完整性及可用性。10.5備份10.5.1信息備份10.7介質處理10.7.1移動計算機介質的管理10.7.2介質的處置10.7.3信息處理程序10.7.4系統(tǒng)文件的安全目標：防止非授權泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務活動中斷。10.8信息的交換10.8.1信息交換策略和程序10.8.2交換協(xié)議10.8.3傳輸中的物理介質10.8.4電子信息交換10.8.5業(yè)務信息系統(tǒng)目標：保持組織內部和與外部實體間進行信息交換的安全性。10.6網(wǎng)絡安全管理10.6.1網(wǎng)絡控制10.6.2網(wǎng)絡服務的安全目標：確保網(wǎng)絡中的信息以及支持技術設施得到保護。ISO17799:2005信息安全管理實施細則目標：確保電子商務服務的安全性，保證安全使用電子商務服務。10.9電子商務服務10.9.1電子商務10.9.2在線交易10.9.3公共可用信息10.10監(jiān)視10.10.1審計日志10.10.2監(jiān)視系統(tǒng)使用10.10.3保護日志信息10.10.4管理員和操作日志10.10.5故障日志10.10.6時鐘同步目標：發(fā)現(xiàn)非授權活動。ISO17799:2005信息安全管理實施細則通信和操作管理提示

明確操作管理理程序和責任，包括信息處理、備份、故障處理、介質處理、系統(tǒng)重啟和恢復、日志審計等事務定義變更管理責任和流程，做好信息處理設施的變更控制對第三方服務實施有效監(jiān)督，確保其符合既定協(xié)議的要求。應該定期檢查服務報告，分析安全事件相關信息，復查第三方審計記錄制定專門的策略，禁止使用非授權軟件，防止惡意代碼做好系統(tǒng)的備份容災規(guī)劃移動介質使用是一個管理難題，應該采取有效措施，防止信息泄漏ISO17799:2005信息安全管理實施細則變更管理一般流程ISO17799:2005信息安全管理實施細則關于職責分離不應有人從頭到尾地完全控制一項牽涉到敏感的、有價值的、或者關鍵信息的任務，例如金融交易中，一個人負責數(shù)據(jù)錄入，另一個人負責檢查，第三人確認最終交易應該分離：開發(fā)/生產(chǎn)；安全管理/審計；加密密鑰管理/密鑰更改小型組織實施職責分離比較困難，可以采取其他一些控制措施，如活動監(jiān)控、跟蹤檢查和監(jiān)督管理等但安全審計務必要有獨立性ISO17799:2005信息安全管理實施細則目標：控制對信息的訪問。應該根據(jù)業(yè)務和安全需求對信息、系統(tǒng)和業(yè)務流程加以控制，還應該考慮信息傳播和授權的策略。11訪問控制11.1訪問控制的業(yè)務需求11.1.1訪問控制策略11.2用戶訪問的管理11.2.1用戶注冊11.2.2特權管理11.2.3用戶口令管理11.2.4用戶訪問權限的復審目標：確保授權用戶的訪問，防止非授權訪問信息系統(tǒng)。11.3用戶責任11.3.1口令使用11.3.2無人值守的用戶設備11.3.3桌面清理和清屏策略目標：防止非授權用戶訪問、破壞、竊取信息及信息處理設施。ISO17799:2005信息安全管理實施細則目標：保護網(wǎng)絡服務，防止非授權訪問，對內部和外部的網(wǎng)絡訪問都應該得到控制。11.4網(wǎng)絡訪問控制11.4.1網(wǎng)絡服務使用策略11.4.2對外部連接用戶進行身份認證11.4.3識別網(wǎng)絡中的設備11.4.4遠程診斷和配置端口的保護11.4.5網(wǎng)絡隔離11.4.6網(wǎng)絡連接控制11.4.7網(wǎng)絡路由控制11.5操作系統(tǒng)訪問控制11.5.1安全的登錄程序11.5.2用戶身份識別與認證11.5.3口令管理系統(tǒng)11.5.4系統(tǒng)工具的使用11.5.5會話超時11.5.6限制連接時間目標：防止對信息系統(tǒng)的非授權訪問。ISO17799:2005信息安全管理實施細則11.6應用和信息訪問控制11.6.1信息訪問限制11.6.2敏感系統(tǒng)的隔離目標：防止非授權訪問信息系統(tǒng)中的信息。11.7移動計算和通訊11.7.1移動計算和通信11.7.2遠程工作（Teleworking）目標：確保使用移動計算和通訊設施時的信息安全。ISO17799:2005信息安全管理實施細則訪問控制重要提示

關于訪問控制策略：

根據(jù)業(yè)務制訂的策略才能實施策略內容：所需訪問的信息，訪問控制規(guī)則，用戶訪問權限，其他訪問控制要求沒有明確允許就是缺省禁止，最小權限原則等口令是常見的訪問控制措施，也是重要的信息資產(chǎn)，應妥善保護和管理關于網(wǎng)絡訪問控制：組織網(wǎng)絡與其他組織網(wǎng)絡或者公共網(wǎng)之間進行正確的連接用戶和設備都具有適當?shù)纳矸蒡炞C機制在用戶訪問信息服務時進行控制關于操作系統(tǒng)訪問控制：識別和驗證來訪者身份。如果需要，還要驗證每個合法用戶的終端節(jié)點或位置記錄成功和失敗的系統(tǒng)訪問提供適當?shù)纳矸蒡炞C方法。如果使用了口令管理系統(tǒng)，則應該確保使用高質量的口令根據(jù)情況限制用戶連接時間ISO17799:2005信息安全管理實施細則訪問控制重要提示（續(xù)）

關于應用訪問控制：考慮應用系統(tǒng)的安全，不得不考慮業(yè)務流程如果業(yè)務流程有安全隱患，應用系統(tǒng)是無法避免這些危險的。底層系統(tǒng)和網(wǎng)絡更是無能為力關于系統(tǒng)監(jiān)控：日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計措施的話，都無法發(fā)揮大作用關于移動計算的訪問控制：可變性太大有時會涉及“人格”問題、“工作熱情”問題執(zhí)行控制需要堅決的政策和有力的執(zhí)行要關注新技術的沖擊ISO17799:2005信息安全管理實施細則目標：確保安全內建于信息系統(tǒng)中。12信息系統(tǒng)獲取、開發(fā)和維護12.1信息系統(tǒng)的安全需求12.1.1安全需求分析和規(guī)范12.2應用程序中正確的處理12.2.1輸入數(shù)據(jù)的驗證12.2.2內部處理控制12.2.3消息完整性12.2.4輸出數(shù)據(jù)的驗證目標：防止應用程序中的信息出錯、丟失、被非授權篡改或誤用。12.3密碼控制12.3.1密碼控制使用策略12.3.2密鑰管理目標：通過加密手段，保護信息的保密性、真實性或完整性。12.4系統(tǒng)文件安全12.4.1控制運營系統(tǒng)上的軟件12.4.2保護系統(tǒng)測試數(shù)據(jù)12.4.3對源代碼的訪問控制目標：控制對系統(tǒng)文件和程序源代碼的訪問，使IT項目及其支持活動安全進行，確保系統(tǒng)文件的安全性。ISO17799:2005信息安全管理實施細則目標：維護應用系統(tǒng)軟件和信息的安全。應該嚴格控制項目和支持環(huán)境。12.5開發(fā)和支持過程的安全12.5.1變更控制程序12.5.2運營系統(tǒng)變更后對應用做技術評審12.5.3限制對軟件包的變更12.5.4信息泄漏12.5.5外包的軟件開發(fā)12.6技術漏洞管理12.6.1控制技術漏洞目標：防止因為利用已發(fā)布漏洞而實施的破壞。ISO17799:2005信息安全管理實施細則系統(tǒng)開發(fā)安全性的重要提示

建立安全的軟件開發(fā)過程和編碼規(guī)范開發(fā)一個有關如何利用加密控制對信息進行保護的策略（哪些信息要加密，加密的強度如何，移動介質或傳輸中的加密，密鑰管理，角色和責任，法律法規(guī)限制等）對密碼技術的應用，其關鍵在于密鑰管理：生成，分發(fā)和傳輸使用和驗證保存，消除和恢復對正式上線的運營系統(tǒng)應嚴加控制，做好軟件開發(fā)的變更控制和管理不將運營系統(tǒng)上的敏感信息直接用作測試系統(tǒng)需要對外包開發(fā)提高警惕（代碼所屬權，知識產(chǎn)權，資格認定，第三方保證，合同中對質量和安全功能的要求，中間審計，安裝前測試）ISO17799:2005信息安全管理實施細則關于漏洞管理

為了實施有效的漏洞管理，必須先有一個完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當前部署狀況、軟件的責任人等信息應該建立漏洞管理相關角色和責任：漏洞監(jiān)視，漏洞評估，補丁跟蹤定義新漏洞發(fā)現(xiàn)時的通知時限對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關，漏洞管理可以看作是變更管理的一個子集補丁安裝前必須做相關風險評估和測試必須采取相應的審計機制ISO17799:2005信息安全管理實施細則目標：確保與信息系統(tǒng)相關的信息安全事件和缺陷能夠及時發(fā)現(xiàn)，以便采取糾正措施。13信息安全事件管理13.1報告信息安全事件和缺陷13.1.1報告信息安全事件13.1.2報告安全缺陷13.2管理信息安全事件和改進13.2.1責任和程序13.2.2從信息安全事件中吸取教訓13.2.3證據(jù)搜集目標：確保采取一致和有效的方法來管理信息安全事件。ISO17799:2005信息安全管理實施細則信息安全事件管理一般流程ISO17799:2005信息安全管理實施細則14業(yè)務連續(xù)性管理14.1業(yè)務連續(xù)性管理的信息安全方