《信息安全管理标准28660.docx》由会员分享,可在线阅读,更多相关《信息安全管理标准28660.docx(137页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、BS77799信信息安全全管理标标准Worlldwiide StaandaardssHaviing trooublle llocaatinng aan ooverrseaas sstanndarrd? BSII haas tthe sollutiionWITHH BSSI, YOUUR SSEARRCH IS OVEER BBEFOORE ITS EEVENN BEEGUNNWorlldwiide Staandaardss Diirecct iis tthe fasst, cosst-eeffeectiive staandaardss seerviice.Conntacct uus oon:e
2、-mmaill:innfobsii-gllobaal.ccomTell +444(00)200 89996 90001Faxx +444(00)200 89996 70001Infoormaatioon ssecuuritty mmanaagemmenttPartt 1: Coode of praactiice forr innforrmattionn seecurrityy maanaggemeent信息安全全管理标标准第一部分分:信息息安全管管理惯例例目录Worlldwiide Staandaardss2Haviing trooublle llocaatinng aan ooverrsea
3、as sstanndarrd? BSII haas tthe sollutiion2WITHH BSSI, YOUUR SSEARRCH IS OVEER BBEFOORE ITS EEVENN BEEGUNN2第一部分分:信息息安全管管理惯例例3序14简介155什么是信信息安全全?155为什么需需要信息息安全115如何制定定安全需需求166评估信息息风险116安全控制制的选择择16信息安全全的出发发点177重要的成成功因素素17开发你自自己的指指导方针针171.范围围192.术语语与定义义202.1信信息安全全202.2风风险评估估202.3风风险管理理203.安全全策略2213.1信信息安
4、全全策略2213.1.1信息息安全策策略文件件213.1.2复审审及评估估214.安全全组织2224.1息息安全架架构2224.1.1管理理信息安安全论坛坛224.1.2信息息安全的的协调2224.1.3信息息安全责责任的分分配2224.1.4息处处理设备备的授权权步骤2234.1.5信息息安全专专家的意意见2334.1.6组织织之间的的合作2244.1.7信息息安全的的独立复复审2444.2第第三方访访问的安安全2444.2.1确认认第三方方访问的的风险2244.2.1.11访问的的种类2244.2.1.22访问的的原因2254.2.1.33现场合合同方2254.2.2第三三方合同同的安全全
5、要求2254.3外外包服务务264.3.1外包包合同的的安全要要求2665.资产产分类与与控制2285.1资资产的使使用说明明285.1.1资产产清单2285.2信信息分类类285.2.1分类类的指南南295.2.2信息息标注及及处理2296.人员员安全3306.1岗岗位定义义及资源源分配的的安全3306.1.1岗位位责任的的安全3306.1.2人事事过滤及及策略3306.1.3保密密协议3316.1.4雇佣佣条款3316.2用用户培训训316.2.1信息息安全教教育及培培训3116.3安安全事件件及失常常的反应应措施3316.3.1报告告安全事事件3226.3.2报告告安全的的弱点3326.
6、3.3报告告系统的的故障3326.3.4吸取取教训3326.3.5处罚罚程序3327.物理理与环境境的安全全337.1安安全区域域337.1.1物理理安全地地带3337.1.2物理理入口的的控制3337.1.3保护护办公室室、房间间及设备备347.1.4在安安全地带带工作3347.1.5隔离离的交付付及装载载地方3347.2设设备的安安全3557.2.1设备备的放置置及保护护357.2.2电力力的供应应367.2.3电缆缆线路的的安全3367.2.4设备备的维护护367.2.5设备备离开大大厦的安安全3777.2.6设备的的安全清清除或重重用3777.3一一般控制制377.3.1收拾拾桌子及及
7、清除屏屏幕的策策略3777.3.2财物物的搬迁迁388.通讯讯与操作作的管理理398.1操操作步骤骤及责任任398.1.1文档档化操作作程序3398.1.2操作作变动的的控制3398.1.3安全全事件管管理程序序408.1.4责任任分开制制408.1.5开发发及正式式使用设设备的分分开4118.1.6外部部设备的的管理4418.2系系统规划划及接收收418.2.1储存存量的计计划4228.2.2系统统接收4428.3对对付恶意意软件4428.3.1控制制恶意软软件4338.4备备份及恢恢复性常常务管理理438.4.1信息息备份4438.4.2操作作员日志志448.4.3对错错误进行行记录444
8、8.5网网络管理理448.5.1网络络控制4448.6介介质的处处理与安安全4558.6.1可移移动计算算机介质质的管理理458.6.2介质质的清除除458.6.3信息息处理的的程序4468.6.4系统统说明文文档的安安全4668.7信信息与软软件的交交换4668.7.1信息息及软件件交换协协议4668.7.2传递递中介质质的安全全478.7.3电子子商务的的安全4478.7.4电子子邮件的的安全4488.7.4.11安全风风险4888.7.4.22电子邮邮件的策策略4888.7.5电子子办公室室系统的的安全4488.7.6可公公用的系系统4998.7.7其它它形式的的信息交交换4999.访问
9、问控制5509.1访访问控制制的业务务需求5509.1.1访问问控制策策略5009.1.1.11策略及及业务需需求5009.1.1.22访问控控制规定定509.2用用户访问问的管理理519.2.1用户户登记5519.2.2特权权管理5519.2.3用户户口令的的管理5529.2.4用户户访问权权限的检检查5229.3用用户责任任529.3.1口令令的使用用529.3.2无人人看管的的用户设设备5339.4网网络访问问控制5539.4.1网络络服务的的使用策策略5339.4.2强制制式路径径549.4.3外部部连接的的用户认认证5449.4.4网点点认证5549.4.5远程程诊断端端口的保保护5
10、559.4.6网络络的隔离离559.4.7网络络连接控控制5559.4.8网络络路由的的控制5559.4.9网络络服务的的安全5569.5操操作系统统的访问问控制5569.5.1自动动认证终终端5669.5.2终端端的登录录程序5569.5.3用户户标识及及认证5579.5.4口令令管理系系统5779.5.5系统统工具的的使用5589.5.6为保保障安全全的人员员配备强强迫警钟钟589.5.7终端端超时5589.5.8连接接时间的的限制5589.6应应用系统统的访问问控制5589.6.1信息息访问的的限制5599.6.2敏感感系统的的隔离5599.7系系统访问问和使用用的监控控599.7.1事
11、件件记录5599.7.2监控控系统的的使用6609.7.2.11风险的的程序及及区域6609.7.2.22风险因因素6009.7.2.33对事件件进行日日志记录录和审查查609.7.3时钟钟的同步步619.8移移动操作作及远程程办公6619.8.1移动动操作6619.8.2远程程工作66210.系系统开发发与维护护6310.11系统的的安全要要求63310.11.1安安全要求求分析及及规格66310.22应用系系统中的的安全66310.22.1输输入数据据的核实实6310.22.2内内部处理理的控制制6410.22.2.1有风风险的地地方64410.22.2.2检查查及控制制6410.22.3
12、消消息认证证6410.22.4输输出数据据的核实实6510.33密码控控制65510.33.1密密码控制制的使用用策略66510.33.2加加密66610.33.3数数字签名名6610.33.4不不可抵赖赖服务66610.33.5密密钥管理理6710.33.5.1密钥钥的保护护6710.33.5.2标准准,程序序及方法法6710.44系统文文件的安安全68810.44.1运运行软件件的控制制6810.44.2系系统测试试数据的的保护66810.44.3源源程序库库的访问问控制66810.55开发及及支持程程序的安安全69910.55.1改改动控制制程序66910.55.2操操作系统统改动的的技
13、术检检查70010.55.3更更改软件件包的限限制70010.55.4隐隐蔽通道道及特洛洛伊代码码7010.55.5外外包软件件的开发发7011.业业务连续续性管理理7111.11.关于于业务连连续性管管理71111.11.1业业务连续续性管理理的过程程7111.11.2业业务连续续性及影影响的分分析71111.11.3撰撰写及实实施连续续性计划划7111.11.4业业务连续续性计划划的框架架7211.11.5测测试、维维护及重重新评估估业务连连续性计计划72211.11.5.1测试试该计划划7211.11.5.2维护护及重新新评估该该计划77312.遵遵循性77412.11是否遵遵守法律律7
14、412.11.1确确定适用用的法律律7412.11.2知知识产权权7412.11.2.1版权权7412.11.2.2软件件版权77412.11.3保保障机构构的记录录7512.11.4数数据保护护及个人人信息的的隐私77512.11.5防防止信息息处理设设备被滥滥用76612.11.6密密码控制制的规定定7612.11.7证证据的收收集76612.11.7.1证据据的规则则7612.11.7.2证据据的适用用性77712.11.7.3证据据的质量量和完备备性77712.22核对安安全策略略及技术术合格性性7712.22.1与与安全策策略一致致7712.22.2技技术依从从性的检检查77712.
15、33系统审审计的考考虑79912.33.1系系统审计计控制77912.33.2对对系统审审计工具具的保护护79第二部分分:信息息安全管管理系统统的规范范811.范围围812.术语语与定义义813.信息息安全管管理系统统的要求求813.1概概要8113.2建建立一个个管理架架构8113.3实实施8113.4文文档8223.5文文档控制制823.6记记录8334.详细细监控8854.1安安全策略略854.1.1 信信息安全全策略8854.1.1.11信息安安全策略略文档8854.1.1.22检查和和评价8854.2安安全组织织854.2.1信息息安全基基础设施施854.2.1.11 管理理层信息息
16、安全论论坛8554.2.1.22 信息息安全的的协调8854.2.1.33 信息息安全职职责的分分配8554.2.1.44 信息息处理设设施的授授权过程程864.2.1.55 专家家信息安安全建议议864.2.1.66 各机机构之间间的协作作864.2.1.77 信息息安全的的独立检检查8664.2.2 第第三方访访问的安安全8664.2.2.11第三方方访问的的风险的的识别8864.2.2.22 在第第三方合合同中的的安全要要求8664.2.3 外外部采购购864.2.3.11 在外外购合同同中的安安全要求求864.3资资产分类类与控制制874.3.1资产产的可说说明性8874.3.1.11
17、资产的的盘点8874.3.2信息息分类8874.3.2.11分类方方针8774.3.2.22信息标标签和处处理8774.4人人员安全全874.4.1工作作定义和和资源中中的安全全874.4.1.11工作责责任的安安全8774.4.1.22员工筛筛选和策策略8774.4.1.33保密协协议8884.4.1.44雇佣的的条款和和条件8884.4.2 用用户培训训884.4.2.11 信息息安全教教育和培培训8884.4.3 安安全事故故与故障障的处理理884.4.3.11 报告告突发安安全事故故884.4.3.22 报告告安全弱弱点8884.4.3.33 报告告软件故故障8884.4.3.44 从
18、事事故中吸吸取教训训884.4.3.55 纠正正过程8894.5物物理与环环境的安安全8994.5.1 安安全地区区894.5.1.11 物理理安全边边界8994.5.1.22 物理理接口控控制8994.5.1.33 保护护办公室室、房间间和设施施894.5.1.44 在安安全地区区工作8894.5.1.55 隔离离的运输输和装载载地区8894.5.2 设设备安全全894.5.2.11 设备备放置地地点的选选择与保保护8994.5.2.22 电源源供应9904.5.2.33 电缆缆安全9904.5.2.44 设备备维护9904.5.2.55 在机机构外部部使用设设备时应应注意的的安全性性904
19、.5.2.66 设备备应该被被安全地地处理掉掉和再使使用9004.5.3 一一般控制制904.5.3.11 清洁洁桌面与与清洁屏屏幕策略略904.5.3.22 资产产的删除除904.6通通讯与操操作的管管理9004.6.1 操操作过程程与职责责904.6.1.11 记录录操作过过程9114.6.1.22 针对对操作变变化的控控制9114.6.1.33 事件件管理程程序9114.6.1.44 职责责分离9914.6.1.55 开发发设施与与操作设设施的分分离9114.6.1.66 外部部设施管管理9114.6.2 系系统计划划与验收收914.6.2.11 容量量计划9914.6.2.22 系统统
20、验收9914.6.3 针针对恶意意软件的的防护9924.6.3.11 采取取控制来来防范恶恶意软件件924.6.4 内内务处理理924.6.4.11 信息息备份9924.6.4.22 操作作员日志志924.6.4.33 出错错日志9924.6.5 网网络管理理924.6.5.11 网络络控制9924.6.6 介介质处理理和安全全924.6.6.11 计算算机可移移动介质质的管理理924.6.6.22 介质质处理9934.6.6.33 信息息处理程程序9334.6.6.44 系统统文档的的安全9934.6.7 信信息及软软件的交交换9334.6.7.11 信息息和软件件的交流流协议9934.6.
21、7.22 传输输过程中中的介质质安全9934.6.7.33 电子子商务安安全9334.6.7.44 电子子邮件安安全9334.6.7.55 电子子办公系系统的安安全9334.6.7.66 信息息发布系系统的安安全9444.6.7.77 其它它方式的的信息交交换9444.7 访问控控制9444.7.1 访访问控制制的商业业需求9944.7.1.11 访问问控制策策略9444.7.2 用用户访问问管理9944.7.2.11 用户户注册9944.7.2.22 特权权管理9944.7.2.33 用户户口令管管理9444.7.2.44 用户户访问权权限审查查954.7.3 用用户职责责954.7.3.1
22、1 口令令的使用用954.7.3.22 易被被忽略的的用户设设备9554.7.4 网网络访问问控制9954.7.4.11 网络络服务的的使用策策略9554.7.4.22 增强强的路径径954.7.4.33 外部部连接的的用户认认证9554.7.4.44 节点点认证9954.7.4.55 对远远程诊断断端口的的保护9954.7.4.66 网络络隔离9964.7.4.77 网络络连接控控制9664.7.4.88 网络络路由控控制9664.7.4.99 网络络服务的的安全性性964.7.5 操操作系统统访问控控制9664.7.5.11 自动动终端认认证9664.7.5.22 终端端登录过过程9664
23、.7.5.33 用户户标识和和认证9964.7.5.44 口令令管理系系统9664.7.5.55 系统统工具的的使用9974.7.5.66 用警警告信息息保护用用户9774.7.5.77 终端端超时9974.7.5.88 连接接时间的的限制9974.7.6 应应用系统统的访问问控制9974.7.6.11 信息息访问限限制9774.7.6.22 敏感感系统的的隔离9974.7.7 监监控对系系统的访访问和使使用9774.7.7.11 事件件日志9974.7.7.22 监控控对系统统的使用用情况9984.7.7.33 时钟钟同步9984.7.8 移移动计算算与远程程工作9984.7.8.11 移动
24、动计算9984.7.8.22 远程程工作9984.8 系统开开发与维维护9884.8.1 系系统的安安全需求求984.8.1.11 安全全需求分分析与描描述9884.8.2 应应用系统统的安全全984.8.2.11 对输输入数据据进行有有效性确确认9884.8.2.22 对内内部处理理的控制制994.8.2.33 消息息认证9994.8.2.44 对输输出数据据进行有有效性确确认9994.8.3 密密码控制制994.8.3.11 密码码控制的的使用策策略9994.8.3.22 加密密994.8.3.33 数字字签名9994.8.3.44 不可可否认服服务9994.8.3.55 密钥钥管理999
25、4.8.4 系系统文件件的安全全性10004.8.4.11 对业业务软件件的控制制10004.8.4.22 对系系统测试试数据的的保护11004.8.4.33 对程程序源代代码库的的访问控控制10004.8.5 在在软件开开发与支支持过程程中的安安全性11004.8.5.11 变化化控制程程序10004.8.5.22 针对对操作系系统变化化的技术术审查11004.8.5.33 限制制对软件件包的修修改10004.8.5.44 隐蔽蔽信道和和特洛依依木马代代码10004.8.5.55 外包包软件开开发10014.9 业务连连续性管管理10014.9.1 业业务连续续性管理理的各个个方面11014
26、.9.1.11 业务务连续性性管理的的进程11014.9.1.22 业务务连续性性与影响响分析11014.9.1.33 连续续性计划划的撰写写与实施施10114.9.1.44 业务务连续性性计划的的框架11014.9.1.55 测试试、维护护与重新新评估业业务连续续性计划划10114.100遵循性性10114.100.1 与法律律要求的的一致性性10114.100.1.1 识识别适用用的立法法10224.100.1.2 知知识产权权10224.100.1.3 保保护机构构的文档档记录11024.100.1.4 数数据保护护与个人人信息隐隐私10024.100.1.5 防防止信息息处理设设备的误
27、误用10024.100.1.6 密密码控制制制度11024.100.1.7 证证据收集集10224.100.2 安全策策略与技技术遵循循性的复复审10024.100.2.1 与与安全策策略的一一致性11024.100.2.2 技技术遵循循性检查查10334.100.3 系统审审计的考考虑10034.100.3.1 系系统审计计控制11034.100.3.2 系系统审计计工具的的保护1103序BS77799的的这个部部分是在在BSII/DIISC委委员会BBDD/2-信信息安全全管理部部监督下下完成的的,用来来代替BBS77799:19995.BS77799分分两部分分发布:-第一一部分:信息安
28、安全管理理惯例-第二二部分:信息安安全管理理规范简介什么是信信息安全全?信息是一一家机构构的资产产,与其其它资产产一样,应应受到保保护。信信息安全全的作用用是保护护信息不不受大范范围威胁胁所干扰扰,使机机构业务务能够畅畅顺,减减少损失失及提供供最大的的投资回回报和商商机。信息可以以有多种种存在方方式,可可以写在在纸上、储储存在电电子文档档里,也也可以用用邮递或或电子手手段发送送,可以以在电影影上放映映或者说说话中提提到。无无论信息息以何种种方式表表示、共共享和存存储,都都应当适适当地保保护起来来。因此信息息安全的的特征是是保留信信息的如如下特性性:1) 保密性(connfiddenttiall
29、ityy):保保证信息息只让合合法用户户访问;2) 完整性(inttegrrityy):保保障信息息及其处处理方法法的准确确性(aaccuuraccy)、完完全性(ccomppletteneess);3) 可用性(avaailaabillityy):保保证合法法用户在在需要时时可以访访问到信信息及相相关资产产。实现信息息安全要要有一套套合适的的控制(cconttrolls),如如策略(ppoliiciees)、惯惯例(ppraccticces)、程序序(prroceedurres)、组织织的机构构(orrgannizaatioonall sttruccturres)和软件件功能(sofftwa
30、are funnctiionss)。这这些控制制需要被被建立以以保证机机构的安安全目标标能够最最终实现现。为什么需需要信息息安全信息及其其支持进进程、系系统和网网络是机机构的重重要资产产。信息息的保密密性、完完整性和和可用性性对机构构保持竞竞争能力力、现金金流、利利润、守守法及商商业形象象至关重重要。但机构及及其信息息系统和和网络也也越来越越要面对对来自四四面八方方的威胁胁,如计计算机辅辅助的诈诈骗、间间谍、破破坏、火火灾及水水灾等。损损失的来来源如计计算机病病毒、计计算机黑黑客及拒拒绝服务务攻击等等手段变变得更普普遍、大大胆和复复杂。机构对信信息系统统及服务务的依赖赖意味着着更容易易受到攻攻
31、击。公公网和专专网的互互联以及及信息资资源的共共享增加加了访问问控制的的难度。分分布式计计算的趋趋势已经经削弱了了集中管管理的效效果。很多信息息系统没没有设计计得很安安全。利利用技术术手段获获得的安安全是受受限制的的,因而而还应该该得到相相应管理理和程序序的支持持。选择择使用那那些安全全控制需需要事前前小心周周密计划划和对细细节的关关注。信信息安全全管理至至少需要要机构全全体员工工的参与与,同时时也应让让供应商商、客户户或股东东参与,如如果有必必要,可可以向外外界寻求求专家的的建议。对信息安安全的控控制如果果融合到到需求分分析和系系统设计计阶段,则则效果会会更好,成成本也更更便宜。如何制定定安
32、全需需求识别出一一个机构构的安全全需求是是很重要要的。安安全需求求有三个个主要来来源。第一个来来源是对对机构面面临的风风险的评评估。经经过评估估风险后后,便可可以找出出对机构构资产安安全的威威胁,对对漏洞及及其出现现的可能能性以及及造成多多大损失失有个估估计。第二个来来源是机机构与合合作伙伴伴、供应应商及服服务提供供者共同同遵守的的法律、法法令、规规例及合合约条文文的要求求。第三个来来源是机机构为业业务正常常运作所所特别制制定的原原则、目目标及信信息处理理的规定定。评估安全全风险安全需求求经过系系统地评评估安全全风险而而得到确确认。实实现安全全控制的的费用应应该与由由于安全全失败所所导致的的业
33、务损损失之间间取得平平衡。风风险评估估可以在在整个机机构或机机构的一一部分、单单个信息息系统、某某个系统统部件或或服务上上实行,只只要是可可行的、现现实的和和有益的的就可以以了。 风险评估估是系统统地考虑虑下列内内容的结结果:a) 安安全措施施失效后后所造成成的业务务损失,要要考虑到到信息和和其它资资产失去去保密性性、完整整性和可可用性后后的潜在在后果;b) 最最常见的的威胁、漏漏洞以及及最近实实施的安安全控制制失败的的现实可可能性。评估结果果会有助助于指导导和确定定合适的的管理行行动和管管理信息息安全风风险的优优先次序序,以及及实施选选择的来来抵御这这些风险险的合适适的安全全控制。风风险评估
34、估及安全全控制的的选择的的进程可可能要重重复几次次,以便便覆盖机机构不同同部门或或个别信信息系统统。重要的是是要定期期复审安安全风险险和实施施的安全全控制,以以便:a) 考考虑业务务需求和和优先级级的变化化;b) 考考虑新出出现的威威胁与漏漏洞;c) 确确认安全全控制仍仍然有效效并且合合适。复审应该该在不同同深度上上被执行行,这依依赖于以以前的复复审结果果和管理理层准备备接受的的风险的的变化水水平。风风险评估估一般是是首先从从高层开开始,目目的是提提高位于于高风险险区的资资源的优优先级,然然后在一一个更详详细的层层次上来来说明特特定的风风险。选择控制制一旦找出出了安全全需求,下下一步应应是选择
35、择及实施施安全控控制来保保证把风风险降低低到可接接受的水水平。安安全控制制可以从从这个标标准或其其它有关关标准选选择,也也可以自自己设计计满足特特定要求求的控制制。有很很多管理理风险的的方法,该该文档只只提供一一般方法法。但是是,应了了解到一一些安全全控制并并不适用用于每个个信息系系统或环环境,并并且并不不是对所所有的机机构都可可行。安全控制制的选择择应该基基于实施施该安全全控制的的费用和和由此减减少的有有关风险险,以及及发生安安全事件件后所造造成的损损失,也也要考虑虑非金钱钱上的损损失,如如公司声声誉的降降低等。这份文档档所提供供的一些些安全控控制可以以作为信信息安全全管理的的指导原原则,并
36、并且对大大部分机机构都是是适用的的。信息安全全的出发发点有一些安安全控制制可以被被看作指指导性原原则,可可以为实实施信息息安全提提供一个个好的出出发点。这这些控制制要么是是基于法法律的规规定,要要么被认认为是信信息安全全的常用用的最佳佳实践和和经验。从立法的的观点出出发,机机构必不不可少的的安全控控制有:1) 知识产权权(参看看12.1.22);2) 对机构文文档记录录的保护护(参看看12.1.33);3) 数据保护护及个人人信息的的隐私(参参看122.1.4)。被认为是是信息安安全的最最佳实践践的控制制包括:1) 信息安全全策略文文档(参参看3.1.11);2) 信息安全全责任的的分配(参参
37、看4.1.33);3) 信息安全全的教育育与培训训(参看看6.22.1);4) 报告安全全事件(参参看6.3.11);5) 业务连续续性管理理(参看看11.1)。这些安全全控制在在大部分分机构及及环境都都适用。 虽然这这里所提提到的安安全控制制都很重重要,但但选出合合适的安安全控制制应考虑虑机构要要面对的的风险。所所以,虽虽然上面面所提出出的方法法是一个个很好的的出发点点,但不不能代替替在风险险评估基基础上选选择出的的合适的的安全控控制。关键的成成功因素素经验表明明:以下下的因素素对在一一个机构构内成功功实施信信息安全全通常是是关键的的:1) 反映业务务目标的的安全策策略、安安全目标标和活动动
38、;2) 与机构的的文化保保持一致致性的安安全实施施方法;3) 来自管理理层的可可见的支支持与承承诺;4) 对安全需需求、安安全评估估及安全全管理有有良好的的理解;5) 关于安全全的对所所有经理理及员工工的有效效宣传;6) 向所有员员工和合合作伙伴伴发布关关于信息息安全策策略和标标准的指指南;7) 提供合适适的培训训与教育育;8) 一套全面面而均衡衡的用来来评估信信息安全全管理的的性能和和有关改改进安全全管理的的反馈建建议的测测量系统统。开发你自自己的指指导方针针这个安全全实践惯惯例可以以作为开开发特定定机构安安全指南南的出发发点。并并不是该该指南的的所有方方面和控控制都是是适用的的。进一一步说
39、,该该指南不不包含的的控制也也可能成成为必须须的。当当这种情情况发生生时,保保留交叉叉引用是是有所助助益的,这这有利于于审计人人员和业业务伙伴伴进行一一致性检检查。1.范围围BS77799的的这部分分内容为为信息安安全管理理提供了了推荐建建议,那那些负责责起动、实实现或维维护机构构安全的的人员可可以使用用这些建建议。目目的是为为开发安安全标准准和有效效的安全全管理惯惯例提供供一个公公共基础础,并提提供在机机构之间间进行交交易的信信心。2.术语语与定义义该文档有有下列术术语和定定义:2.1信信息安全全信息的机机密性、完完整性和和可用性性的保存存。注释:机密性性定义为为确保信信息仅仅仅被那些些被授
40、权权了人员员访问。完整整性定义义为保护护信息和和处理方方法的准准确性和和完备性性。可用用性定义义为保证证被授权权用户在在需要时时能够访访问到信信息和相相关资产产。2.2风风险评估估对信息和和信息处处理设施施所面临临的威胁胁及其影影响以及及信息系系统脆弱弱性及其其发生的的可能性性的评估估。2.3风风险管理理以可以接接受的代代价识别别、控制制、最小小化或者者消除影影响信息息系统安安全的风风险的程程序。3.安全全策略3.1信信息安全全策略目的:提提供信息息安全的的管理方方向及支支持。管管理层应应该指定定清晰的的策略方方向及大大力支持持信息安安全,并并在全机机构推行行及维护护信息安安全策略略。3.1.
41、1信息息安全策策略文件件一个策略略文件应应由管理理层批准准、印制制及向员员工公布布。策略略应声明明管理层层的承诺诺,及机机构管理理信息安安全的方方法。策策略至少少要包括括以下内内容:a)信息息安全的的定义、整整体目标标和范围围以及安安全对信信息共享享的重要要性(参参看简介介);b)对管管理层的的意图的的声明及及支持,以以及信息息安全的的原则;c)安全全策略、原原则、标标准的简简介,也也包括对对机构有有特别重重要性的的法律的的要求,例例如:1)要符符合法律律及合同同要求;2)安全全教育的的要求;3)防止止及检测测病毒及及其它恶恶意代码码;4)业务务连续性性管理;5)违反反安全策策略的后后果。d)
42、信息息安全管管理的一一般和特特定责任任的定义义,包括括报告安安全事件件;e)支持持策略的的文档的的参考说说明,例例如特别别信息系系统或安安全规定定用户应应遵守的的更详尽尽的安全全策略及及程序。该策略应应在全机机构公布布,让有有关人员员访问和和理解透透彻。3.1.2复审审及评估估策略应有有一个拥拥有者,负负责按复复审程序序维护及及复审该该策略。该该复审程程序应确确保在影影响原风风险评估估基础的的任何改改动发生生后会马马上进行行复审,例例如发生生重要的的安全事事件、出出现新漏漏洞、机机构或技技术架构构的改变变。还应应该定期期安排审审查以下下内容:a)系统统所记录录的安全全事件的的本质、次次数及影影
43、响所表表明的策策略的有有效性;b)控制制对业务务效率的的影响和和成本;c)技术术改变的的效果。4.安全全组织4.1信信息安全全架构目的:管管理机构构内的信信息安全全。应建建立一个个机构管管理架构构,在全全机构内内推行及及管理信信息的安安全。应应由管理理层牵头头、组织织管理论论坛来讨讨论及批批准信息息安全策策略、指指派安全全角式及及协调全全机构安安全的实实施。如如有需要要,应在在机构内内建立一一个信息息安全资资源库。应应开始与与外面的的安全专专家保持持联系,最最终最新新的行业业动态、留留意业内内标准及及评估方方法,以以及发生生安全事事件时提提供适当当的联系系方法。应应从多方方面考虑虑信息安安全,
44、例例如,调调动部门门经理、用用户、管管理员、应应用系统统设计者者、审计计及安全全员工及及保险和和风险管管理专家家共同制制定策略略。4.1.1管理理信息安安全论坛坛信息安全全是所有有管理层层成员所所共有的的责任。一一个管理理论坛应应确保有有明确的的安全目目标,及及管理层层的大力力支持。论论坛的目目是在管管理层的的承诺及及足够资资源的情情况下,在在全机构构内推广广安全。论论坛也可可以是管管理层的的一部分分,一般般要承担担的工作作有:1) 检查及批批准信息息安全策策略及整整体责任任2) 监控对暴暴露于严严重威胁胁面前的的信息资资产所作作的重大大改动3) 检查及监监控安全全事件4) 审批极大大提高信信息安全全的重要要举措应有一个个经理负负责所有有有关安安全的活活动。4.1.2信息息安全的的协调在大的机机构中,有有关部门门的管理理人员应应组成跨跨越职能能部门的的安全论论坛,来来协调信信息安全全管理的的实施,论论坛一般般会是:1) 统一指派派机构内内信息安安全的角角色和责责任2) 统一制定定信息安安全的方方法和步步骤,例例如风险险评估、安安全分类类系统等