ISO17799信息技术 信息安全管理实施规则.pdf

国际标准 ISO/IEC 17799 第一版 2000-12-01 信息技术 信息安全管理实施规则 参考号 ISO/IEC 17799:2000 国际标准 ISO/IEC 17799:2000 目 录 前言 10 简介 错误！未定义书签。 什么是信息安全？ 11 为什么需要信息安全？ 11 如何确定安全的要求？ 12 安全风险的评估 13 控制方式的选择 14 信息安全起点 14 关键性成功因素 15 制定你自己的导则 16 1、范围 17 2、术语及定义 17 3 、安全方针 18 3.1 信息安全方针 18 3.1.1 信息安全方针文件 18 3.l.2 评审及评估 19 4、组织安全 19 4.1 信息安全结构 19 4.1.l 信息安全管理讨论会 20 4.l.2 信息安全的协调 20 1 / 121 国际标准 ISO/IEC 17799:2000 4.1.3 信息安全职责的划分 21 4.1.4 信息处理设备的授权程序 21 4.1.5 信息安全的专家建议 22 4.l.6 组织间的协作 23 4.1.7 信息安全的独立评审 23 4.2 第三方访问的安全性 23 4.2.1 对第三方访问风险的确定 24 4.2.2 第三方合同中的安全要求 25 4.3 外协 27 4.3.l 外协合同的安全要求 27 5、资产的归类和控制 28 5.l 资产的责任 28 5.l.l 资产的清单 28 5.2 信息归类 29 5.2.1 分类指南 29 5.2.2 信息的标识和使用 30 6、人员安全 31 6.1 工作规定及资源的安全。 31 6.1.l 在工作职责中的安全 31 6.1.2 人员考察与方针 31 6.1.3 保密协议 32 6.1.4 雇用条款和条件 32 2 / 121 国际标准 ISO/IEC 17799:2000 6.2 用户培训 33 6.2.l 信息安全教育和培训 33 6.3 安全事故和安全故障的反应 33 6.3.l 报告安全事故 33 6.3.2 报告安全薄弱点 34 6.3.3 报告软件故障 34 6.3.4 从事故中吸取教训 34 6.3.5 惩戒过程 35 7、实物和环境安全 35 7.1 安全区域 35 7.1.l 实物安全周界 35 7.1.2 实物进入控制 36 7.1.3 办公室、房间和设施的保密 36