ISO17799信息安全管理的最佳实践标准-PPT精品文档

ISO17799信息安全管理的最佳实践标准曹鹏网络安全产品营销中心解决方案部部长CISP北京caopengneusoft沈阳东软软件股份有限公司ISO17799信息安全管理的最佳实践标准曹鹏网络安全1安全是个管理问题装修后房间需要换锁吗安全是个管理问题装修后房间27799简介7799简介3内容目录

BS7799产生背景BS7799发展历史BS7799基本概念BSI内容介绍BS7799认证BS7799工具介绍BSI简介BS7799建立和实施的目的和意义并非仅适用于英国

内容目录BS7799产生背景4BS7799产生背景BS7799产生背景5目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失随着信息技术的发展，电子商务及Internet应用的普及，大家普遍认识到解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识，提出了“三分技术，七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题，是一个非常详尽甚至有些复杂的信息安全标准。WhydoweneedBS7799anyway?

TheLogicArgument10/25/2022目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人6BS7799发展历史BS7799发展历史7BS7799发展历史1993年1月：成立行业工作小组

1993年9月：实施要则出版

2019年2月：BS7799-1出版

2019年2月：BS7799-2出版

2019年4月：BS7799-1和BS7799-2:2019出版

2000年12月：BS7799-1做了23处修改后，成为ISO/IEC17799

2019年9月：BS7799-2:2019出版

BS7799发展历史1993年1月：成立行业工作小组

18BS7799体现以下原则制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则动态管理原则全员参与原则遵循管理的一般循环模式—PDCA持续改进模式商务持续性原则

BS7799体现以下原则制定信息安全方针为信息安全管理提9BS7799基本概念BS7799基本概念10建立处理传递破坏？存储使用出错丢失！信息处理方式建立处理传递破坏？存储使用出错丢失！信息处理方式11Confidentiality保密性Availability可用性Integrity完整性在某些组织中，完整性和/或可用性比保密性更重要ISO17799关于信息安全的概念ConfidentialityAvailabilityInt12BS7799内容介绍BS7799内容介绍13BS7799内容介绍BS7799共分为两部分：第一部分是《信息安全管理实施细则》，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分是《信息安全管理体系规范》（ISMS)，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。BS7799由三个主段落组成，即总则、系统要求和控制，可分为强制性过程和选择性控制BS7799内容介绍14BS7799内容介绍BS7799-1（ISO/IEC17799）andBS7799-2:2019是一套以风险管理、风险评估为基础的信息安全管理体系

BS7799内容介绍15BS7799内容介绍BS7799（ISO/IEC17799）内容包括：

10subjectdomains;36managementobjectives;127controls;and500detailcontrols.

BS7799内容介绍16访问控制ISO17799信息安全管理信息安全方针安全组织人事安全物理安全系统开发连续运营计划符合性信息客户记录人事记录法律记录通信管理资产分级控制访问控制ISO17799信息安全管理信息安全方针安全组织17BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)181安全方针SecurityPolicy

目标：提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义，总目标和范围，安全的重要性管理企图的说明，以支持信息安全的目的和原则风险管理方法承诺符合ISO17799标准详细方针消费者信任行动数据保护行动1安全方针SecurityPoli19详细方针

可以包括:

服从法律和合同要求组织应急计划要求数据备份要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动详细方针 可以包括:202、安全组织2、安全组织21ISO17799信息安全管理的最佳实践标准-PPT精品文档22ISO17799信息安全管理的最佳实践标准-PPT精品文档23ISO17799信息安全管理的最佳实践标准-PPT精品文档24ISO17799信息安全管理的最佳实践标准-PPT精品文档253 资产分级与控制资产的可核查性

目标：维护组织资产的相应保护信息分类

目标：确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之内的3 资产分级与控制资产的可核查性这些资产必须是在信息安全管理26资产Assets资产是组织认为有价值的东西，例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务资产Assets27信息资产清单应包括哪些项目资产的名称资产的位置资产负责人资产重要性信息资产分级信息资产清单应包括哪些项目资产的名称28信息分级很重要信息有公开和敏感之分，敏感信息的程度也不相同，信息分级可以明确信息的保护要求、区分哪些是公开信息，哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级，保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待传递、复制、销毁、存储信息分级很重要信息有公开和敏感之分，敏感信息的程度也不相同，294、人员安全PersonnelSecurity4、人员安全PersonnelSecurit30“粗暴裁员”体现管理严格“粗暴裁员”体现管理严格31联想员工亲历联想大裁员：公司不是家联想员工亲历联想大裁员：公司不是家32ISO17799信息安全管理的最佳实践标准-PPT精品文档33ISO17799信息安全管理的最佳实践标准-PPT精品文档34招聘长期雇员时应该考察的方面是否有人品证明，例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验（身份证或类似文件）招聘长期雇员时应该考察的方面是否有人品证明，例如工作推荐或者35ISO17799信息安全管理的最佳实践标准-PPT精品文档36ISO17799信息安全管理的最佳实践标准-PPT精品文档37物理与环境安全物理与环境安全38安全区域Secureareas物理周边安全物理进入控制办公室、房间和设备安全在安全区域工作分离运输和装卸区域I.D.安全区域Securea39运营程序Operationalprocedures

文件化运营程序运营变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理运营程序Operationalprocedure40设备安全Equipmentsecurity

设备设置和保护电源供应线路安全设备维护退出办公的设备的安全清理和重新使用的设备的安全设备安全Equipmentsec41一般控制Equipmentsecurity清理桌面和清空屏幕策略

■记录纸和计算机媒体的存放■敏感和关键业务信息的保护■无人值守时设备的保护财产的移动一般控制Equipmentsec42通信和运营管理保证信息处理设施的安全和正确运营- 运营程序和责任 - 系统计划和接收 - 预防恶意软件 - 内务 - 网络管理 - 媒介管理和安全 - 信息和软件交换的安全IT通信和运营管理IT43操作规程和职责目标：确保信息处理措施正确和安全操作文件化的操作规程操作变更控制事故管理规程责任分离]开发和运行设施分离外部设施管理操作规程和职责目标：确保信息处理措施正确和安44系统计划和接收目标：使系统故障的风险减到最小容量计划系统接收

20191990系统计划和接收目标：使系统故障的风险减到最小201919945恶意软件防护目标：保护软件和信息的完整性恶意软件控制恶意软件防护目标：保护软件和信息的完整性46内务管理Housekeeping目标：维护信息处理和通信服务的完整性和可用性信息备份操作者日志故障记录内务管理Housekeepin47网络管理目标：确保保卫网络中的信息和保护支持性基础设施网络的操作职责与计算机操作分开建立远程设备管理的职责和规程建立专门的控制，保卫在公用网络传输数据的保密性和完整性紧密协调管理活动网络管理目标：确保保卫网络中的信息和保护支持性基础设施48媒体处置和安全目标：防止资产损坏和业务活动中断可移动的计算机媒体的管理媒体的处置信息处置规程系统文件的安全媒体处置和安全目标：防止资产损坏和业务活动中断49信息和软件的交换目标：防止组织之间交换的信息的丢失、修改或滥用信息和软件交换协定运输中的媒体安全电子商务的安全电子邮件的安全信息和软件的交换目标：防止组织之间交换的信息的丢失、修改或滥507访问控制AccessControl控制对信息的访问

-

业务要求对访问进行控制 -用户访问管理 -用户职责 -网络访问控制 -操作系统访问控制 -应用访问控制 -系统访问和使用监控 -移动计算设备和通信7访问控制AccessCont51使用者访问管理使用者注册优先权管理使用者口令字管理审核使用者访问权限SystemAdministratorMenu使用者访问管理使用者注册SystemAdministrat52网络访问控制网络服务使用方针规定的过程使用者授权使用外部连接分支授权远程诊断港的防护网络的分离网络连接控制网络路径控制网络服务安全网络访问控制网络服务使用方针53应用访问控制信息访问限制敏感系统隔离应用访问控制信息访问限制54移动计算机和通信移动计算机设备通信网络设备移动计算机和通信移动计算机设备558、系统开发和维护8、系统开发和维护56系统开发与维护系统开发与维护57ISO17799控制目标与控制措施ISO17799控制目标与控制措施58ISO17799控制目标与控制措施ISO17799控制目标与控制措施59ISO17799控制目标与控制措施ISO17799控制目标与控制措施60ISO17799控制目标与控制措施ISO17799控制目标与控制措施61ISO17799控制目标与控制措施ISO17799控制目标与控制措施62ISO17799控制目标与控制措施ISO17799控制目标与控制措施63ISO17799信息安全管理的最佳实践标准-PPT精品文档64ISO17799控制目标与控制措施ISO17799控制目标与控制措施65我国法律对信息安全的要求宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例……我国法律对信息安全的要求宪法的要求66ISO17799控制目标与控制措施ISO17799控制目标与控制措施67ISO17799控制目标与控制措施ISO17799控制目标与控制措施68安全条款小结1安全方针2安全组织3资产分类和控制4人事安全5物理和环境安全6通信和运营管理7访问控制8系统开发和维护9商务连续性计划10符合安全条款小结1安全方针69安全组织ISO17799（BS7799）实施资产分级及控制信息安全方针应用控制措施运营实现过程检查过程纠正措施管理评审

计划纠正检查实施安全组织ISO17799（BS7799）实施资产70BS7799-2：2019BS7799-2：201971利用PDCA方法建设信息安全体系利用PDCA方法建设信息安全体系72BS7799管理过程确定信息安全管理方针

1、确定ISMS(信息安全管理体系)的范围

2、进行风险分析

3、选择控制目标并进行控制

4、建立业务持续计划

5、建立并实施安全管理体系BS7799管理过程确定信息安全管理方针

1、确定ISM73认证情况（一）BS7799与ISO9000质量管理体系标准、ISO14000环境管理体系标准、OHSAS18000职业安全卫生管理体系标准同属管理体系标准，在体系的建立和评审认证上遵循同样的原理和原则

ISO17799作为信息安全管理方面的审核标准，对信息安全产业的作用和意义，就仿佛是ISO9000质量认证标准之于许多制造业。通过该标准的认证，可以为企业提供可靠的安全服务，树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准，我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。认证情况（一）BS7799与ISO9000质量管理74认证情况（二）该标准自公布以来，英国、澳大利亚、巴西、荷兰、新西兰和挪威等国已开始采用。已有政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司纷纷采用，并收到了良好的效果和回报。中国人民保险公司厦门市分公司签订了我国第一份BS7799信息安全管理体系认证协议;这也是我国第一份有关信息安全管理体系认证的协议认证情况（二）该标准自公布以来，英国、澳大利亚、巴西、75BS7799工具介绍BS7799工具介绍76BS7799工具介绍Cobra微软安全自我评估工具

BS7799工具介绍Cobra77CobraCobra是一套专门用于进行风险分析的工具软件，其中也包含促进安全策略执行、外部安全标准（ISO17799）评定的功能模块。用Cobra进行风险分析时，分3个步骤：调查表生成、风险调查、报告生成。

CobraCobra是一套专门用于进行风险分析的工具软件，其78CobraCobra79微软自我安全评估工具微软自我安全评估工具80微软自我安全评估工具微软自我安全评估工具81BS7799实施的必要性

越来越多的工业和商业企业开始使用信息系统，为保障信息系统的安全，须采取一系列措施，BS7799则为这些措施的落实提供了一套检查方法可以使用户与企业的业务运行在一个可信任的平台之上企业之间竞争的需要，BS7799认证将成为企业在市场上进行竞争的一道分水岭，尤其在用户在选择涉及安全的服务提供商的时候降低信息安全事件对企业的业务影响促进企业业务的可持续增长

BS7799实施的必要性

越来越多的工业和商业企业开始使用82建立和实施的目的和意义通过促进企业建立信息安全管理体系，确保信息技术的安全使用，保证企业经营管理的正常运作，减少因信息技术失控而造成经济损失，提高企业的社会形象和市场竞争力。建立信息安全管理体系并获得经认可的认证公司的认证，不仅能提高组织自身的安全管理水平，将企业的安全风险控制在可接受的程度，减小安全遭到破坏带来的损失，保证业务的可持续运作；并且能向客户及利益相关方展示组织对信息安全的承诺，增强投资方和股票持有者的投资信息，向政府及行业主管部门证明组织对相关法律法规的符合，并且得到国际上的承认。可以借此向客户展示其服务相比其他竞争对手更加安全、可靠，树立和增强企业的信息安全形象，提高企业的综合竞争力。

建立和实施的目的和意义通过促进企业建立信息安全管理体系，确保83国内外大公司安全管理成功案例介绍天威诚信---国内第一家PKI/CA最早通过ISO17799认证的公司NOKIA世界著名高科技公司国内外大公司安全管理成功案例介绍天威诚信---国内第一家PK84安全管理成功的要点严格执行，也需要灵活处理。信息安全作为独立部门存在。分层次化的执法手段。技术与管理手段是不能分开的。安全管理成功的要点严格执行，也需要灵活处理。85安全管理的成功要点组织结构的分布合理设置专门的安全管理部门必不可少管理条例的设置部门，不一定参与执法设置专门的内部安全信息发布站点实际管理中的技术手段是最重要的保障条件实际经营维护过程中的问题处理（成本与执行难点）安全管理的成功要点组织结构的分布合理86当前严格按照标准执行的难点投入巨大（人力，物力，金钱）需要整体员工的全面配合，整体素质需要提高一定程度上造成机构编制增加目前世界100强大公司都有严格的安全管理标准，所以从长远看安全是应该为公司带来收益的。安全不是花费而是最好的投资。当前严格按照标准执行的难点投入巨大（人力，物力，金钱）87ThankyouNeusoftGroupLtd.谢谢ThankyouNeusoftGroupLtd.谢谢88ISO17799信息安全管理的最佳实践标准曹鹏网络安全产品营销中心解决方案部部长CISP北京caopengneusoft沈阳东软软件股份有限公司ISO17799信息安全管理的最佳实践标准曹鹏网络安全89安全是个管理问题装修后房间需要换锁吗安全是个管理问题装修后房间907799简介7799简介91内容目录

BS7799产生背景BS7799发展历史BS7799基本概念BSI内容介绍BS7799认证BS7799工具介绍BSI简介BS7799建立和实施的目的和意义并非仅适用于英国

内容目录BS7799产生背景92BS7799产生背景BS7799产生背景93目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失随着信息技术的发展，电子商务及Internet应用的普及，大家普遍认识到解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识，提出了“三分技术，七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题，是一个非常详尽甚至有些复杂的信息安全标准。WhydoweneedBS7799anyway?

TheLogicArgument10/25/2022目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人94BS7799发展历史BS7799发展历史95BS7799发展历史1993年1月：成立行业工作小组

1993年9月：实施要则出版

2019年2月：BS7799-1出版

2019年2月：BS7799-2出版

2019年4月：BS7799-1和BS7799-2:2019出版

2000年12月：BS7799-1做了23处修改后，成为ISO/IEC17799

2019年9月：BS7799-2:2019出版

BS7799发展历史1993年1月：成立行业工作小组

196BS7799体现以下原则制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则动态管理原则全员参与原则遵循管理的一般循环模式—PDCA持续改进模式商务持续性原则

BS7799体现以下原则制定信息安全方针为信息安全管理提97BS7799基本概念BS7799基本概念98建立处理传递破坏？存储使用出错丢失！信息处理方式建立处理传递破坏？存储使用出错丢失！信息处理方式99Confidentiality保密性Availability可用性Integrity完整性在某些组织中，完整性和/或可用性比保密性更重要ISO17799关于信息安全的概念ConfidentialityAvailabilityInt100BS7799内容介绍BS7799内容介绍101BS7799内容介绍BS7799共分为两部分：第一部分是《信息安全管理实施细则》，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分是《信息安全管理体系规范》（ISMS)，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。BS7799由三个主段落组成，即总则、系统要求和控制，可分为强制性过程和选择性控制BS7799内容介绍102BS7799内容介绍BS7799-1（ISO/IEC17799）andBS7799-2:2019是一套以风险管理、风险评估为基础的信息安全管理体系

BS7799内容介绍103BS7799内容介绍BS7799（ISO/IEC17799）内容包括：

10subjectdomains;36managementobjectives;127controls;and500detailcontrols.

BS7799内容介绍104访问控制ISO17799信息安全管理信息安全方针安全组织人事安全物理安全系统开发连续运营计划符合性信息客户记录人事记录法律记录通信管理资产分级控制访问控制ISO17799信息安全管理信息安全方针安全组织105BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)1061安全方针SecurityPolicy

目标：提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义，总目标和范围，安全的重要性管理企图的说明，以支持信息安全的目的和原则风险管理方法承诺符合ISO17799标准详细方针消费者信任行动数据保护行动1安全方针SecurityPoli107详细方针

可以包括:

服从法律和合同要求组织应急计划要求数据备份要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动详细方针 可以包括:1082、安全组织2、安全组织109ISO17799信息安全管理的最佳实践标准-PPT精品文档110ISO17799信息安全管理的最佳实践标准-PPT精品文档111ISO17799信息安全管理的最佳实践标准-PPT精品文档112ISO17799信息安全管理的最佳实践标准-PPT精品文档1133 资产分级与控制资产的可核查性

目标：维护组织资产的相应保护信息分类

目标：确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之内的3 资产分级与控制资产的可核查性这些资产必须是在信息安全管理114资产Assets资产是组织认为有价值的东西，例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务资产Assets115信息资产清单应包括哪些项目资产的名称资产的位置资产负责人资产重要性信息资产分级信息资产清单应包括哪些项目资产的名称116信息分级很重要信息有公开和敏感之分，敏感信息的程度也不相同，信息分级可以明确信息的保护要求、区分哪些是公开信息，哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级，保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待传递、复制、销毁、存储信息分级很重要信息有公开和敏感之分，敏感信息的程度也不相同，1174、人员安全PersonnelSecurity4、人员安全PersonnelSecurit118“粗暴裁员”体现管理严格“粗暴裁员”体现管理严格119联想员工亲历联想大裁员：公司不是家联想员工亲历联想大裁员：公司不是家120ISO17799信息安全管理的最佳实践标准-PPT精品文档121ISO17799信息安全管理的最佳实践标准-PPT精品文档122招聘长期雇员时应该考察的方面是否有人品证明，例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验（身份证或类似文件）招聘长期雇员时应该考察的方面是否有人品证明，例如工作推荐或者123ISO17799信息安全管理的最佳实践标准-PPT精品文档124ISO17799信息安全管理的最佳实践标准-PPT精品文档125物理与环境安全物理与环境安全126安全区域Secureareas物理周边安全物理进入控制办公室、房间和设备安全在安全区域工作分离运输和装卸区域I.D.安全区域Securea127运营程序Operationalprocedures

文件化运营程序运营变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理运营程序Operationalprocedure128设备安全Equipmentsecurity

设备设置和保护电源供应线路安全设备维护退出办公的设备的安全清理和重新使用的设备的安全设备安全Equipmentsec129一般控制Equipmentsecurity清理桌面和清空屏幕策略

■记录纸和计算机媒体的存放■敏感和关键业务信息的保护■无人值守时设备的保护财产的移动一般控制Equipmentsec130通信和运营管理保证信息处理设施的安全和正确运营- 运营程序和责任 - 系统计划和接收 - 预防恶意软件 - 内务 - 网络管理 - 媒介管理和安全 - 信息和软件交换的安全IT通信和运营管理IT131操作规程和职责目标：确保信息处理措施正确和安全操作文件化的操作规程操作变更控制事故管理规程责任分离]开发和运行设施分离外部设施管理操作规程和职责目标：确保信息处理措施正确和安132系统计划和接收目标：使系统故障的风险减到最小容量计划系统接收

20191990系统计划和接收目标：使系统故障的风险减到最小2019199133恶意软件防护目标：保护软件和信息的完整性恶意软件控制恶意软件防护目标：保护软件和信息的完整性134内务管理Housekeeping目标：维护信息处理和通信服务的完整性和可用性信息备份操作者日志故障记录内务管理Housekeepin135网络管理目标：确保保卫网络中的信息和保护支持性基础设施网络的操作职责与计算机操作分开建立远程设备管理的职责和规程建立专门的控制，保卫在公用网络传输数据的保密性和完整性紧密协调管理活动网络管理目标：确保保卫网络中的信息和保护支持性基础设施136媒体处置和安全目标：防止资产损坏和业务活动中断可移动的计算机媒体的管理媒体的处置信息处置规程系统文件的安全媒体处置和安全目标：防止资产损坏和业务活动中断137信息和软件的交换目标：防止组织之间交换的信息的丢失、修改或滥用信息和软件交换协定运输中的媒体安全电子商务的安全电子邮件的安全信息和软件的交换目标：防止组织之间交换的信息的丢失、修改或滥1387访问控制AccessControl控制对信息的访问

-

业务要求对访问进行控制 -用户访问管理 -用户职责 -网络访问控制 -操作系统访问控制 -应用访问控制 -系统访问和使用监控 -移动计算设备和通信7访问控制AccessCont139使用者访问管理使用者注册优先权管理使用者口令字管理审核使用者访问权限SystemAdministratorMenu使用者访问管理使用者注册SystemAdministrat140网络访问控制网络服务使用方针规定的过程使用者授权使用外部连接分支授权远程诊断港的防护网络的分离网络连接控制网络路径控制网络服务安全网络访问控制网络服务使用方针141应用访问控制信息访问限制敏感系统隔离应用访问控制信息访问限制142移动计算机和通信移动计算机设备通信网络设备移动计算机和通信移动计算机设备1438、系统开发和维护8、系统开发和维护144系统开发与维护系统开发与维护145ISO17799控制目标与控制措施ISO17799控制目标与控制措施146ISO17799控制目标与控制措施ISO17799控制目标与控制措施147ISO17799控制目标与控制措施ISO17799控制目标与控制措施148ISO17799控制目标与控制措施ISO17799控制目标与控制措施149ISO17799控制目标与控制措施ISO17799控制目标与控制措施150ISO17799控制目标与控制措施ISO17799控制目标与控制措施151ISO17799信息安全管理的最佳实践标准-PPT精品文档152ISO17799控制目标与控制措施ISO17799控制目标与控制措施153我国法律对信息安全的要求宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例……我国法律对信息安全的要求宪法的要求154ISO17799控制目标与控制措施ISO17799控制目标与控制措施155ISO17799控制目标与控制措施ISO17799控制目标与控制措施156安全条款小结1安全方针2安全组织3资产分类和控制4人事安全5物理和环境安全6通信和运营管理7访问控制8系统开发和维护9商务连续性计划10符合安全条款小结1安全方针157安全组织ISO17799（BS7799）实施资产分级及控制信息安全方针应用控制措施运营实现过程检查过程纠正措施管理评审

计划纠正检查实施安全组织ISO17799（BS7799）实施资产158BS7799-2：2019BS7799-2：2019159利用PDCA方法建设信息安全体系利用PDCA方法建设信息安全体系160BS7799管理过程确定信息安全管理方针

1、确定ISMS(信息安全管理体系)的范围

2、进行风险分析

3、选择控制目标并进行控制

4、建立业务持续计划

5、建立并实施安全管理体系BS7799管理过程确定信息安全管理方针

1、确定ISM161认证情况（一）BS7799与ISO9000质量管理体系标准、ISO14000环境管理体系标准、OHSAS18000职业安全卫生管理体系标准同属管理体系标准，在体系的建立和评审认证上遵循同样的原理和原则

ISO17799作为信息安全管理方面的审核标准，对信息安全产业的作用和意义，就仿佛是ISO9000质量认证标准之于许多制造业。通过该标准的认证，可以为企业提供可靠的安全服务，树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准，我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。认证情况（