BS7799-1(中文版-中国安全网.doc

BS7799-1:1999 英国标准 信息安全管理— 第一部分：信息安全管理的实施准则 1CS 35.020-3S6W 未经BSI许可，不许翻印，版权法保护范围除外 BS7799-1:1999 范围 BS7799标准的该部分为那些初始化、实现或维护组织的系统安全的人，提供了信息安全管理的建议。其目的在于为系统安全标准提供基本依据和有效的安全管理实践，使人们有足够的信心去处理组织内部事物。 一些术语和定义 本文中会用到如下术语： 2.1信息安全(information security) 保密性的保持（preservation of confidentiality），信息的完整性和可应用性(integrity and availability of information) 注：保密性是指，确保只有特定权限的人才能够访问到信息。 完整是指，要保证信息和处理方法的正确和完整。 可应用性是指，确保那些已被授权的用户在他们需要的时候，确实可以访问得到信息以及相关内容。 2.2风险评估 即系统信息或者是信息处理系统遭受攻击的可能性，对于这些威胁产生的可能性及其后果的评估。 2.3风险管理 即付出可以接受的代价，来识别、控制和减少影响信息系统安全的风险的过程。 安全政策 3.1信息安全政策 目标：提供信息管理的方向以及对信息安全系统的支持 管理系统应确立一个明确的政策方向，并且通过在组织中应用和采用该安全政策，可以有效地支持系统信息的安全性。 1信息安全政策文献 一份政策文献应该由管理系统支持，出版，并在此问题上与所有的员工进行很好的沟通。它应声明管理责任，并且规范组织的信息安全管理方法。其中，应至少涵盖下述要素： 信息安全的定义，其整体目标、范围以及支持共享信息系统安全的重要性（请看介绍）； 一份支持信息安全目标及原理的管理意图的声明； 安全政策、原理、标准以及一些特定组织的需求的简要说明，例如： 法律及合同条文的需要； 安全教育的需要； 防范病毒及其他恶意攻击软件的需要； 商务连续性的需要； 违反安全政策的后果； 有关信息安全的总体及一些细节责任的定义，包括有关安全性事件的报告； 支持该安全政策的参考文献，比如一些安全政策的细节和特定信息系统的处理过程或者用户需遵守的安全规定等。 在组织内部，该政策应该以相关方式与所有的用户进行沟通，对所有的读者来说都是可以接触的、易懂的。 3.1.2 审查及评价 该政策应规定特定人员来负责维护，并按照特定的审查过程进行查看。该程序确保在系统内发生了可能带来风险的变化时，都会启动这样的审查。这些启动审查的变化例如，重大安全事件，新的系统漏洞或者系统组织结构的变化。此外还应包括有计划的、定期的系统审查，具体如下： 政策的效率，由系统记录的安全事件的特性，数量及影响来决定； b)商务活动效率的代价和控制活动对其产生的影响； c)技术变化所带来的影响。 4 安全组织 4.1 信息安全设施 目标：管理组织内部的信息安全。 一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策，指定安全系统中的各类角色，并协调组织内各项因素，以实现信息安全。必要时，在系统内应具备一些专用的信息安全知识，供组织内部使用。同时，完备的信息安全系统应时时与组织外部的安全专家联络，跟踪最新动向，监测标准和评估方法，并在处理安全事件时，提供适当的解决办法。在信息安全系统中应鼓励采用多重接入的方法，例如，在涉及经理、用户、管理者、应用设计者、审计人员和安全职员之间的协作关系时，应根据不同的需求来不同对待，或者在保险及风险管理等领域，需要更专门的技术来实现。 4.1.1 信息安全管理论坛 信息安全是由管理队伍中所有成员分担的一种商务责任。建立管理论坛可以确保其明确的方向，同时对系统安全提供有效的支持。论坛通过适当的责任和充分的资源可以提高系统的安全性。论坛是现存的管理系统的一部分，通常来说，论坛通常实现下述责任： 审查并支持信息安全政策的责任； b)监视使信息系统遭受威胁的重大变化； c)审查及检测安全事件； d)支持加强系统安全性的主动措施。 一个管理人员应当对所有与信息安全相关的活动负责。 4.1.2 信息安全协作 在一个大的组织中，由各相关组织的管理代表组成的具备交叉功能的论坛对于实现信息安全的控制的协调是十分必要的。通常，这种论坛是这样的： 支持组织内部的特殊角色和信息安全的责任； b)支持信息安全的特殊的方法和过程，比如，风险评估，安全等级系统等； c)同意并支持组织内部信息安全的主动措施，如，安全防范程序； d)确保安全是信息计划过程的一部分； e)对于新系统或者业务，协调其信息安全控制的细节的实施的充分性； f)复查信息安全事件； g)在组织内部，提