ISO17799信息安全管理的最佳实践标准.pptVIP

安全是个管理问题 装修后房间 需要换锁吗 内容目录 BS 7799产生背景 BS 7799 发展历史 BS 7799 基本概念 BSI内容介绍 BS 7799认证 BS 7799工具介绍 BSI简介 BS 7799建立和实施的目的和意义 并非仅适用于英国 目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失 随着信息技术的发展，电子商务及Internet应用的普及，大家普遍认识到解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识，提出了“三分技术，七分管理”的信息安全原则。 BS7799它广泛地涵盖了所有的安全议题，是一个非常详尽甚至有些复杂的信息安全标准。 BS 7799 发展历史 1993年1月：成立行业工作小组1993年9月：实施要则出版 1995年2月：BS 7799-1 出版1998年2月：BS 7799-2 出版1999年4月：BS 7799-1和BS 7799-2: 1999 出版2000年12月：BS 7799-1 做了23处修改后，成为 ISO/IEC 17799 2002年9月：BS 7799-2: 2002出版 BS 7799 体现以下原则 制定信息安全方针为信息安全管理提供导向和支持 控制目标和控制方式的选择建立在风险评估基础之上 预防控制为主的思想原则 动态管理原则 全员参与原则 遵循管理的一般循环模式—PDCA持续改进模式 商务持续性原则 BS 7799 内容介绍 BS 7799共分为两部分： 第一部分是《信息安全管理实施细则》，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全； 第二部分是《信息安全管理体系规范》 （ISMS)，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。 BS 7799由三个主段落组成，即总则、系统要求和控制，可分为强制性过程和选择性控制 BS 7799 内容介绍 BS 7799-1（ISO/IEC 17799）and BS 7799-2:2002是一套以风险管理、风险评估为基础的信息安全管理体系   BS 7799 内容介绍 BS 7799（ISO/IEC 17799）内容包括： 10 subject domains; 36 management objectives; 127 controls; and 500 detail controls.  1 安全方针 Security Policy 目标：提供管理方向和支持信息安全 信息安全策略文件、评审和评价 信息安全定义，总目标和范围，安全的重要性 管理企图的说明，以支持信息安全的目的和原则 风险管理方法 承诺符合ISO 17799标准 详细方针 消费者信任行动 数据保护行动 详细方针 可以包括: 服从法律和合同要求 组织应急计划要求 数据备份要求 避免病毒 安全教育要求 系统和数据访问控制 报告安全事故 对恶意行为和不适当访问及使用的惩处行动 2、安全组织 资 产 Assets 资产是组织认为有价值的东西，例如: 信息资产 纸上的文件 软件资产 物理资产 人 公司的形象和名誉 服务 信息资产清单应包括哪些项目 资产的名称 资产的位置 资产负责人 资产重要性 信息资产分级 信息分级很重要 信息有公开和敏感之分，敏感信息的程度也不相同，信息分级可以明确信息的保护要求、区分哪些是公开信息，哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级，保证信息资产受到适当级别的保护。 分级工作应该由信息的创立人或者是指定的所有者来确定。 正确的标识“绝密”“机密”“秘密”“一般” 不同级别的信息在管理方面应该是区别对待 传递、复制、销毁、存储 4、人员安全 Personnel Security “粗暴裁员”体现管理严格 联想员工亲历联想大裁员：公司不是家 招聘长期雇员时应该考察的方面 是否有人品证明，例如工作推荐或者是个人推荐 申请人的履历表的完整性和准确性检查 声明的学术或专业资格的确认 身份的查验（身份证或类似文件） 物理与环境安全 安