信息安全10资料

1、信息安全陈国栋非电专业(zhuny)新员工2012年8月ZHSZ20120216共五十六页第十章 信息安全基础(jch)信息安全本身包括的范围很大。大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个(y )安全漏洞便可以威胁全局安全。 共五十六页第十章 信息安全基础(jch)一 引言二 信息安全基础三 信息安全标准(biozhn)四 ISMS概述信息中心教学目标：通过学习本章内容，学员可以了

2、解信息安全的基本概念及信息安全的特征，了解信息安全评测标准的发展及安全评估通用准则，了解ISMS的概念及其作用，理解ISMS的含义与要素，了解建立ISMS的过程和ISMS文件。 共五十六页一 引言(ynyn) 1. 07年熊猫(xingmo)烧香 2. 网银被盗 信息中心3. 2011年伊朗的震网三个著名的信息安全事件 共五十六页（1）07年熊猫烧香2006年底，我国互联网上大规模爆发熊猫烧香病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三炷香的模样，同时该病毒还具有盗取用户游戏账号、QQ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、

3、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。瑞星2006安全报告将其列为十大病毒之首，在2006年度中国大陆地区电脑病毒(din no bn d)疫情和互联网安全报告的十大病毒排行中一举成为“毒王”。该病毒于2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，该案于2007年2月告破，同年9月24日，湖北省仙桃市人民法院一审以破坏计算机信息系统罪判处李俊有期徒刑四年、王磊有期徒刑二年六个月、张顺有期徒刑二年、雷磊有期徒刑一年，并判决李俊、王磊、张顺的违法所得予以追缴。 共五十六页（2）网银被盗2007年4月，上海、浙江等地陆续发生了网上银行个人账户资金被黑客盗取事件，被

4、盗金额最高达到十几万元。随着通过网上银行购物的消费行为会大幅增加，消费者应当心“网银大盗”等病毒偷袭。“网银大盗”是一种木马病毒，可以盗取多家网上银行及“支付宝”等系统的个人交易账户和密码。“网银大盗”主要通过6种方式发动攻击：假冒网上银行网站(wn zhn)或者攻击网站(wn zhn)服务器，骗取用户资料；记录键盘输入动作；嵌入浏览器，在电脑数据以安全加密方式发送之前盗取密码；通过屏幕录像偷窥用户输入密码的操作过程；窃取网上银行数字证书文件，自动记录用户资料；伪装网上银行弹出窗口，以系统更新或服务器繁忙等理由诱使用户将账号、密码发送到指定网站(wn zhn)。 共五十六页（3）2011年伊朗

5、的震网2011年2月，伊朗突然宣布暂时卸载首座核电站布什尔核电站的核燃料，西方国家也悄悄对伊朗核计划进展预测进行了重大修改。以色列战略事务部长摩西 亚阿隆在这之前称，伊朗至少需要3年才能制造出核弹。美国国务卿希拉里也轻描淡写地说，伊朗的计划因为“技术问题”已被拖延。但就在几个月前，美国和以色列还在警告，伊朗只需一年就能拥有快速(kui s)制造核武器的能力。为什么会突然出现如此重大变化？因为布什尔核电站遭到“震网”病毒攻击，1/5的离心机报废。自2010年8月该核电站启用后就发生一连串故障，伊朗政府表面声称是天热所致，但真正原因却是核电站遭病毒攻击。一种名为“震网”（Stuxnet）的蠕虫病毒

6、，侵入了伊朗工厂企业甚至进入西门子为核电站设计的工业控制软件，并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。共五十六页2010年9月，伊朗政府宣布，大约3万个网络终端感染“震网”，病毒攻击目标直指核设施。分析人士在猜测病毒研发者具有国家背景的同时，更认为这预示着网络战已发展到以破坏(phui)硬件为目的的新阶段。伊朗政府指责美国和以色列是“震网”的幕后主使。整个攻击过程如同科幻电影：由于被病毒感染，监控录像被篡改。监控人员看到的是正常画面，而实际上离心机在失控情况下不断加速而最终损毁。位于纳坦兹的约8000台离心机中有1000台在2009年底和2010年初被换掉。俄罗斯常驻北约代表罗

7、戈津称，病毒给伊朗布什尔核电站造成严重影响，导致放射性物质泄漏，危害不亚于切尔诺贝利核电站事故。共五十六页微软调查结果显示，“震网”正在伊朗等中亚国家肆虐，发作频次越来越高，并有逐步向亚洲东部扩散的迹象。“震网”包含空前复杂的恶意代码，是一种典型的计算机病毒，能自我复制，并将副本通过网络传输，任何一台个人电脑只要和染毒电脑相连，自动传播给其他与之相连的电脑，最后造成大量网络流量的连锁效应，导致整个网络系统瘫痪。“震网”主要通过U盘和局域网进行传播，是第一个利用Windows“零日漏洞”，专门针对工业控制系统发动攻击的恶意软件，能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础

8、设施，被称为“网络导弹”。 “震网”无须通过互联网便可传播，只要目标计算机使用微软系统，“震网”便会伪装RealTek与JMicron两大公司的数字签名，顺利绕过安全检测，自动找寻及攻击工业控制系统软件，以控制设施冷却系统或涡轮机运作，甚至让设备失控自毁，而工作人员却毫不知情。由此，“震网”成为第一个专门攻击物理世界基础设施的蠕虫病毒。可以说，“震网”也是有史以来最高端的(dund)蠕虫病毒，是首个超级网络武器。 共五十六页“震网”相当复杂，更像是出自浩大的“政府工程”而非黑客个人行为，目的是“配合西方针对伊朗的电子战”。病毒编写者需要对工业生产过程和工业基础设施十分了解(lioji)。编写代

9、码需要很多人工作几个月甚至几年，背后需要一个非常成熟的专业团队运作，拥有巨大的资源及财政支持。埃及国际问题专家萨义德 萨迪克认为，该病毒是为伊朗量身打造，意在向伊朗发出强烈警告：伊朗核计划并不安全。病毒研究者拉尔夫 兰纳表示，“相信这个病毒的源头是在以色列”。后来，他又修正了看法，“摩萨德牵扯其中，但是背后肯定还有另外一个超级大国”。毫无疑问，暗指的是美国。卡巴斯基实验室发布声明，认为“震网”是十分有效并且可怕的网络武器原型，将导致世界上新的军备竞赛。它还认为“除非有国家和政府的支持和协助，否则很难发动如此规模的攻击。以色列和美国牵扯其中”。英国金融时报认为，美国和以色列嫌疑最大。以色列国防军

10、前总司令Gabi Ashkenazi暗示“震网”病毒是以色列国防军的杰作。共五十六页二 信息安全基础(jch)1. 信息安全的定义(dngy)信息中心2. 信息安全的要求 我国安全保护条例的安全定义：计算机信息系统的安全保护，应当保证计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。（中华人民共和国国务院令147号）完整性：保证数据的一致性，防止数据被非法用户篡改。机密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。可控性：对信息的传播

11、及内容具有控制能力。共五十六页二 信息安全基础(jch)信息中心3. 信息安全的特征(tzhng) 相对性：没有百分之百的安全。 综合性：涉及管理及技术多个层面。 单一性：网络安全产品功能相对单一。 动态性：需要持续的技术跟进和维护。共五十六页三 信息安全标准(biozhn)信息中心1.信息安全评测标准(biozhn)发展 0共五十六页三 信息安全标准(biozhn)信息中心2.美国(mi u)TCSEC TCSEC全称：(Trusted Computer System Evaluation Criteria; commonly called the Orange Book)美国可信计算机安全

12、评价标准（TCSEC）。 标准是计算机系统安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC最初只是军用标准，后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。 共五十六页D类安全等级D类安全等级只包括(boku)D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。共五十六页C类安全等级该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。C1系统的可信任运

13、算基础体制（Trusted Computing Base，TCB）通过将用户和数据分开来达到安全的目的。在C1系统中，所有的用户以同样的灵敏度来处理数据，即用户认为C1系统中的所有文档都具有相同的机密性。C2系统比C1系统加强了可调的审慎控制。在连接到网络上时，C2系统的用户分别对各自的行为负责。C2系统通过登陆过程、安全事件和资源隔离(gl)来增强这种控制。C2系统具有C1系统中所有的安全性特征。共五十六页B类安全等级B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。B1系统满足下列要求：系统对网络控制下

14、的每个对象都进行灵敏度标记；系统使用灵敏度标记作为所有强迫访问控制的基础；系统在把导入的、非标记的对象放入系统前标记它们；灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时，管理员必须指定每个通信通道和I/O设备是单级还是多级，并且管理员只能手工(shugng)改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出（无论是虚拟的还是物理的）都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。 共五十六页B2系统必须满足B1系统的所有要求。

15、另外，B2系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制(tzh)。B2系统必须满足下列要求：系统必须立即通知系统中的每一个用户所有与之相关的网络连接的改变；只有用户能够在可信任通信路径中进行初始化通信；可信任运算基础体制能够支持独立的操作者和管理员。共五十六页B3系统必须符合B2系统的所有安全(nqun)需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求:除了控制对个别对象的访问外，B3必须产生一个可读的安全列表；每个被命名的对象提供对该对象没有访问权的用户列表说明;B3系统在进行任何操作前，要求用户

16、进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。共五十六页A类安全等级A系统的安全级别最高。目前，A类安全等级只包含A1一个安全类别。A1类与B3类相似，对系统的结构和策略不作特别要求。A1系统的显著特征是，系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后，设计者必须运用(ynyng)核对技术来确保系统符合设计规范。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作

17、都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。共五十六页欧洲四国（英、法、德、荷）提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(zhnz)（ITSEC）后，美国又联合以上诸国和加拿大，并会同国际标准化组织（OSI）共同提出信息技术安全评价的通用准则（CCfor ITSEC），CC已经被五技术发达的国家承认为代替TCSEC的评价安全信息系统的标准。目前，CC已经被采纳为国家标准ISO 15408。共五十六页共五十六页三 信息安全标准(biozhn)信息中心3.安全(nqun)评估通用准则 通用评估准则简称CC，已经于1999年12月正式由ISO组织所接

18、受与颁布，成为全世界所公认的信息安全技术评估准则。CC不仅可以作为安全信息系统的评测标准，而且更可以作为安全信息系统设计与实现的标准与参考。 发展历程：1985年，美国国防部公布可信计算机系统评估准则（TCSEC）即桔皮书； 1989年，加拿大公布可信计算机产品评估准则（CTCPEC）； 1991年，欧洲公布信息技术安全评估准则（ITSEC）； 1993年，美国公布美国信息技术安全联邦准则（FC）； 1996年，六国七方（英国、加拿大、法国、德国、荷兰、美国国家安全局和美国标准技术研究所）公布信息技术安全性通用评估准则（CC 1.0版）； 1998年，六国七方公布信息技术安全性通用评估准则（C

19、C 2.0版）； 1999年12月，ISO接受CC为国际标准ISO/IEC 15408标准，并正式颁布发行 共五十六页特点：从CC的发展历史可以看出，CC源于TCSEC。 CC已经完全改进了TCSEC，全面地考虑了与信息技术安全性有关的所有因素，以安全功能要求和安全保证要求的形式提出了这些因素，这些要求也可以用来构建TCSEC的各级要求。 CC定义了作为评估信息技术产品和系统安全性的基础准则，提出了目前国际上公认的表述信息技术安全性的结构。把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确(zhngqu)有效的实施这些功能的保证要求。 共五十六页内容：第1部分“简介和一般模型”，正

20、文介绍了CC中的有关术语、基本概念和一般模型以及与评估有关的一些框架，附录部分主要介绍保护轮廓（PP）和安全目标（ST）的基本内容。 第2部分“安全功能要求”，按“类族组件”的方式提出安全功能要求，提供了表示评估对象(duxing)TOE（target of evaluation）安全功能要求的标准方法。除正文以外，每一个类还有对应的提示性附录作进一步解释。 第3部分“安全保证要求”，定义了评估保证级别介绍了PP（保护轮廓）和ST（安全目标）的评估，并按“类族组件”的方式提出安全保证要求。本部分还定义了PP和ST的评估准则，并提出了评估保证级别，即定义了评估TOE保证的CC预定义尺度，这被称为

21、评估保证级别。 CC的三个部分相互依存，缺一不可。第1部分是介绍CC的基本概念和基本原理，第2部分提出了技术要求，第3部分提出了非技术要求和对开发过程、工程过程的要求。这三部分的有机结合具体体现在PP和ST 中，PP和ST的概念和原理由第1部分介绍，PP和ST中的安全功能要求和安全保证要求在第2、3部分选取，这些安全要求的完备性和一致性，由第2、3两部分来保证。 共五十六页三 信息安全标准(biozhn)信息中心4.信息安全保护等级(dngj)划分(1) 概念 信息系统安全等级保护是国家推行的信息安全保障基本制度，是指对信息安全实行等级化保护和等级化管理。 等级保护的核心是对信息系统特别是对业

22、务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度，突出重点，保障重要信息资源和重要信息系统的安全。共五十六页(2) 国家信息安全等级保护的制度和文件1994年，中华人民共和国计算机信息系统安全保护条例(tiol)（中华人民共和国国务院令147号)1999年，计算机信息系统安全保护等级划分准则（GB17859）2003年，中央办公厅、国务院办公厅转发国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）2004年，四部委联合签发的关于信息安全等级保护工作的实施意见 （公通字200466号）2006年，四部委联合签发的

23、信息安全等级保护管理办法（试行）（公通字20067号）2007年，四部委联合签发的信息安全等级保护管理办法（公通字200743号）共五十六页共五十六页四 ISMS概述(i sh) 1. 什么是ISMS2. 为什么需要ISMS3. 如何建立(jinl)ISMS4. 正确理解ISMS的含义和要素5. 信息安全管理实用规则ISO/IEC27002:2005介绍信息中心0共五十六页1. 什么(shn me)是ISMS信息中心 信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理

24、体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会(shhu)及其相关方证明其信息安全水平和能力的一种有效途径。共五十六页在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体系 要求）的第3章术语和定义中，对ISMS的定义如下：ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务(yw)风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。（注：管理体系包

25、括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。）组织在信息安全方面建立方针和目标，并实现这些目标的一组相互关联、相互作用的要素。ISMS同其他MS（如QMS、EMS、OHSMS）一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。单纯从定义理解，可能无法立即掌握ISMS的实质，我们可以把ISMS理解为一台“机器”，这台机器的功能就是制造“信息安全”，它由许多“部件”（要素）构成，这些“部件”包括ISMS管理机构、ISMS文件以及资源等，ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。共五十六页2. 为什么需要(xyo)ISMS信息中心 今天，

26、我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。 信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多(xdu)安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，

27、信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。共五十六页人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准ISO/IEC 17799:2000“信息安全管理实用规则（Code of practice for information security management）”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体

28、系要求（Information Security Management System Requirement）”。自此，ISMS在国际上确立并发展起来(q li)。今天，ISMS已经成为信息安全领域的一个热门话题。共五十六页3. 如何(rh)建立ISMS信息中心 组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营(jngyng)的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS，已成为时代的需要。 从简单分析ISO/IEC 27001:2005标

29、准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。 共五十六页4. 正确理解ISMS的含义(hny)和要素信息中心（1）ISMS的含义 在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织(zzh)有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。 如果一个组织有多个管理体系，例如包括ISMS、QMS（质量管理体系）和EMS（环境管理体系）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一

30、个组成部分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。 共五十六页(2) ISMS的要素标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可(qu y b k)的组成部分或要素。我们将其归纳后，ISMS的要素要包括：1)信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。2)ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。3)资源包括建立与实施ISMS所需要

31、的合格人员、足够的资金和必要的设备等。ISMS的建立要确保这些ISMS要素得到满足。共五十六页(3) 建立信息安全管理机构 1)信息安全管理机构的名称 标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。2)信息安全管理机构的级别 信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a)高层：以总经理或管理者代表为领导，确保信息安全

32、工作有一个明确的方向和提供管理承诺(chngnu)和必要的资源。b)中层：负责该组织日常信息安全的管理与监督活动。c)基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。共五十六页(4) 执行标准要求的ISMS建立过程1)定义ISMS的范围和边界，形成ISMS的范围文件；2)定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件；3)定义组织的风险评估方法；4)识别要保护的信息资产的风险，包括识别：a）资产及其责任人；b）资产所面临的威胁；c）组织的脆弱点；d）资产保密性、完整性和可用性的丧失造成的影响。5)分析和评价安全风险，形成风险评估报告文

33、件，包括要保护的信息资产清单；6)识别和评价风险处理的可选措施，形成风险处理计划(jhu)文件；7)根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；8)管理者正式批准所有残余风险； 9)管理者授权ISMS的实施和运行；10)准备适用性声明。共五十六页(5) 完成所需要的ISMS文件 1)ISMS文件的类型 根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。方针(fngzhng)类文件（Policies）方针是政策、原则和规章。主要是方向和路线上的问题，包括：ISMS方针（ISMS policy）；信息安全方针（information security

34、 policy）；程序类文件（Procedures）记录（Records）记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。适用性声明文件（Statement of Applicability, 简称SOA）ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明（说明），并形成适用性声明文件。共五十六页2)必须

35、的文件 “必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件（mandatory documents）。“4.3.1总则”要求ISMS文件必须包括9方面的内容：a）ISMS方针 ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员(rnyun)的职责等。b）ISMS的范围c）支持ISMS的程序和控制措施；d）风险评估方法的描述；e）风险评估报告；f）风险处理计划；g）控制措施有效性的测量程序；h）本标准所要求的记录；i）适用性声明。共五十六页3)可选的文件 除了上述必须的

36、文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的可选的文件（Discretionary documents）。这类文件的内容可随组织的不同而有所不同，主要取决于:a）组织的业务活动及风险；b）安全要求的严格程度；c）管理的体系的范围和复杂程度。这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理(chl)这些风险的可能方法，包括形成相关文件。共五十六页4)文件的符合性 ISMS文件的符合性包括

37、符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：a）参考相关法律法规要求和标准要求在编写ISMS文件时，编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC 27001 “4.2.1b） 定义ISMS方针”；编写适用性声明时，要参考ISO/IEC 27001 “4.2.1 j） 准备适用性声明”；编写文件控制程序时，要参考ISO/IEC 27001 “4.3.2文件控制”等等。b）将本组织的最好实践形成文件为了易于操作(cozu)，编写者最好把本组织当前的最好实践写下来，补充标准

38、的要求，形成统一格式的文件。c）保持一致性同一个文件中，上下文不能有不一致或矛盾的地方同一个体系的不同文件之间不能有矛盾的地方不同体系的文件之间不能有不一致的地方共五十六页5. 信息安全管理(gunl)实用规则ISO/IEC27002:2005介绍信息中心 ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一（当时称之为ISO/IEC17799，2007年4月正式更名为ISO/IEC 27002）。它从信息安全的诸多方面，总结了一百多项信息安全控制措施，并给出了详细的实施指南，为组织采取控制措施、实现信息安全目标提供了选择，是信息安全的最佳实

39、践。(1) ISO/IEC27002的由来 组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们(rn men)在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。共五十六页(2) ISO/IEC27002的范围 ISOS/IEC27002为组织实施信息安全管理提供建议，供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施，组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准，组织可以开发自己的信息安全准则和有效(yuxio

40、)的安全管理方法，并提供不同组织间的信任。共五十六页(3) ISO/IEC27002的主要内容ISO/IEC27002:2005是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。从内容和机构上看，可以(ky)将标准分为四个部分：1）引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。2）标准的通用要素部分（13章）。第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标

41、准的结构。3）风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。共五十六页4）控制措施部分（515章）。这是标准的主体部分，包括11个控制措施章节，分别是：安全方针（控制目标：1个，控制措施： 2个）信息安全组织（控制目标：2个，控制措施：11个）资产管理(gunl)（控制目标：2个，控制措施： 5个）人力资源安全（控制目标：3个，控制措施：9个）物理和环境安全（控制目标：2个，控制措施：13个）通信和操作管理（控制目标：10个，控制措施：32个）访问控制（控制目标：7个，控制措施：25个）信息系统获取、开发和维护（控制目标：6个，控制措施：16个）信息安全事件管

42、理（控制目标：2个，控制措施：5个）业务连续性管理（控制目标：1个，控制措施： 5个）符合性（控制目标：3个，控制措施：10个）共五十六页(4) ISO/IEC27002的使用说明ISO/IEC27002:2005作为信息安全管理的最佳实践，它的应用既有专用性的特点，也有通用性特点。(5) 我国采用ISO/IEC17799情况的说明我国政府主管部门十分重视信息安全管理国家标准的制定。2002年，全国信息安全标准化技术委员会（）成立之初，其第七工作组（WG7）就开始了ISO/IEC17799的研究和制标工作。2005年6月15日，我国发布了国家标准“GB/T19716-2005信息安全管理实用规

43、则”，修改采用ISO/IEC17799:2000。2006年，根据ISMS国际标准的发展和我国的实际需要，全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准(biozhn)的制定和研究计划。相信不久，对应最新ISMS国际标准的国家标准就会发布，以供大家遵照使用。共五十六页(6) 信息安全管理体系要求ISO/IEC27001:2005介绍1)发展：一个重要的里程碑ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Informati

44、on security management systems-requirements ”，可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。在ISO/IEC 27001:2005标准出现之前，组织只能按照英国标准研究院（British Standard Institute，简称(jinchng)BSI）的BS 7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全

45、武器。共五十六页2)目的：认证 ISO/IEC 27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC 27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC 27001:2005标准的要求。 然而，ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准（质量管理体系标准）不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何(rnh)一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下，ISO/IEC 9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适