第十三章资讯安全管理标准介绍PPT.ppt

第十三章 資訊安全管理標準介紹 13-1 標準的應用範圍 13-2 標準結構介紹 13-3 資訊安全管理系統要求 13-4 控制細則 13-5 BS 7799-2:2002的特點 13-1 標準的應用範圍 BS7799-l：1999〈資訊安全管理實施細則》是組織建立並實施資訊安全管理系統的一個指導性準則，主要目的是為組織實施有效的資訊安全管理所需的控制提供通用的最佳慣例。 BS7799-2：1999《資訊安全管理系統規範》規定了建立、實施和文件化資訊安全管理系統（ISMS）的要求，規定了根據組織的需要應實施安全控制的要求。 13-2 標準結構介紹 BS7799-2規定了建立、實施和保持文件化資訊安全管理系統的要求。它規定了組織根據其需求實施安全控制的要求。 BS7799-2標準的管理思想也遵循了PDCA的持續改進的管理模式。 Plan-Do-Check-Action 策劃(規劃)—實施—檢查—行動 13-3 資訊安全管理系統要求 BS 7799-2資訊安全管理系統規範可以作為整個組織或部份單位其資訊安全管理系統(ISMS)評估的基準，也就是它可以做為一個正式驗證的標準。 13-3-1 總則 總則（General）是對資訊安全管理系統的總體要求標準，包括制定、實施、稽核和保持資訊安全政策所需要的組織機構、目標、職責、程序、過程和資源。 標準要求組織透過制定資訊安全政策、確定系統範圍、明確管理職責，透過風險評估確定控制目標與控制方式等活動建立資訊安全管理系統。 13-3-2 建立管理架構 建立管理架構屬於對資訊安全管理系統規劃的一個要求，即要求按照以下步驟確定控制目標與控制方式： 1.首先是確定公司的資訊安全政策及ISMS的範圍。 2.其次對公司遭受的風險進行系統的評估。 3.之後，根據政策和風險程度，決定風險管理內容。 4.確定適合組織企業運作的控制目標與控制措施。 BS7799管理架構的建立流程 13-3-3 實施 組織要按照所選擇的控制目標和控制方式進行有效的安全控制，即按照政策、程序等要求開展資訊處理、安全管理各項活動。 實施（Implementation）的有效性包括兩方面的含義，一是控制活動應嚴格按要求執行；二是活動的結果應達到預期的目標要求，即風險控制的結果是可以接受的。 13-3-4 文件化 資訊安全管理系統文件是按標準要求建立管理架構的證據，它一般包括政策、適用性聲明、政策(方針)手冊、程序文件、作業指導書和記錄。 13-3-5 文件控制 組織應建立一個文件控制程序，對資訊安全管理系統文件（無論是書面的還是電子媒體）進行以下方面的控管： （1）明確文件控制活動的各項職責。 （2）文件發佈前應履行審查批准手續。 （3）進行發放管理，確保授權的人員隨時獲得。 （4）定期檢視，必要時予以修訂以符合組織安全政策。 （5）進行版本控制，保證現場使用的文件為最新有效版本。 （6）當文件廢止時，迅速撤銷。 （7）當文件廢止且有法律或知識保護目的要求時，應保存並標識，防止誤用。 （8）文件應易讀，標明日期（包括修訂日期）。 （9）按規定方式對文件進行標識（編號）。 （10）按規定時間保存。 （11）系統文件本身也屬於資訊資產。 13-3-6 記錄 組織應建立記錄控制程序，對證明符合性的記錄進行標識、維護、保留和處置方面的控制。 組織應按照規定的保存期限保存資訊安全記錄，以證明活動符合本規範要求及適合系統和組織的要求。 記錄也屬於資訊資產，對於含有敏感資訊的記錄應進行密級標記並進行適當的控制。 13-4 控制細則 控制細則規定了資訊安全的控制要求。資訊安全控制要求包括安全政策、安全組織、資產分類與控制、人員安全、實體與環境安全、通信和運作管理、存取控制、系統開發與維護、企業持續運作規劃、遵行管理共10大控制方面的要求、36個控制目標、127種控制方式。 13-4-1 安全政策 目標：為資訊安全提供管理導向和支援。 1．資訊安全政策文件 2．稽核與評價 13-4-2 安全組織 目標：在組織內管理資訊安全 組織安全（Security Organization）的要求包括︰ 1．資訊安全組織結構 2．第三方存取的安全 3．外包 13-4-3 資產分類與控制 1.資產責任 目標：保持對組織資產的適當保護 2.資訊分類 目標：確保資訊資產受到適當程度的保護 13-4-4 人員安全 人員安全（Personnel Security）主要是對人員的考察、安全教育培訓及對資訊安全事故和故障反應方面提出的安全要求。 1.工作說明和資源方面的安全 2.用戶培訓 3.安全事故和故障的反應 13-4-5 實體與環境安全 1.安全區域