




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
ISO17799信息安全管理的最佳实践标准曹鹏网络安全产品营销中心解决方案部部长CISP北京caopengneusoft沈阳东软软件股份有限公司ISO17799信息安全管理的最佳实践标准曹鹏网络安全1安全是个管理问题装修后房间需要换锁吗安全是个管理问题装修后房间27799简介7799简介3内容目录
BS7799产生背景BS7799发展历史BS7799基本概念BSI内容介绍BS7799认证BS7799工具介绍BSI简介BS7799建立和实施的目的和意义并非仅适用于英国
内容目录BS7799产生背景4BS7799产生背景BS7799产生背景5目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失随着信息技术的发展,电子商务及Internet应用的普及,大家普遍认识到解决信息安全问题不应仅从技术方面着手,同时更应加强信息安全的管理工作,通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识,提出了“三分技术,七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题,是一个非常详尽甚至有些复杂的信息安全标准。WhydoweneedBS7799anyway?
TheLogicArgument10/25/2022目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人6BS7799发展历史BS7799发展历史7BS7799发展历史1993年1月:成立行业工作小组
1993年9月:实施要则出版
2019年2月:BS7799-1出版
2019年2月:BS7799-2出版
2019年4月:BS7799-1和BS7799-2:2019出版
2000年12月:BS7799-1做了23处修改后,成为ISO/IEC17799
2019年9月:BS7799-2:2019出版
BS7799发展历史1993年1月:成立行业工作小组
18BS7799体现以下原则制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则动态管理原则全员参与原则遵循管理的一般循环模式—PDCA持续改进模式商务持续性原则
BS7799体现以下原则制定信息安全方针为信息安全管理提9BS7799基本概念BS7799基本概念10建立处理传递破坏?存储使用出错丢失!信息处理方式建立处理传递破坏?存储使用出错丢失!信息处理方式11Confidentiality保密性Availability可用性Integrity完整性在某些组织中,完整性和/或可用性比保密性更重要ISO17799关于信息安全的概念ConfidentialityAvailabilityInt12BS7799内容介绍BS7799内容介绍13BS7799内容介绍BS7799共分为两部分:第一部分是《信息安全管理实施细则》,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分是《信息安全管理体系规范》(ISMS),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。BS7799由三个主段落组成,即总则、系统要求和控制,可分为强制性过程和选择性控制BS7799内容介绍14BS7799内容介绍BS7799-1(ISO/IEC17799)andBS7799-2:2019是一套以风险管理、风险评估为基础的信息安全管理体系
BS7799内容介绍15BS7799内容介绍BS7799(ISO/IEC17799)内容包括:
10subjectdomains;36managementobjectives;127controls;and500detailcontrols.
BS7799内容介绍16访问控制ISO17799信息安全管理信息安全方针安全组织人事安全物理安全系统开发连续运营计划符合性信息客户记录人事记录法律记录通信管理资产分级控制访问控制ISO17799信息安全管理信息安全方针安全组织17BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)181安全方针SecurityPolicy
目标:提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义,总目标和范围,安全的重要性管理企图的说明,以支持信息安全的目的和原则风险管理方法承诺符合ISO17799标准详细方针消费者信任行动数据保护行动1安全方针SecurityPoli19详细方针
可以包括:
服从法律和合同要求组织应急计划要求数据备份要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动详细方针 可以包括:202、安全组织2、安全组织21ISO17799信息安全管理的最佳实践标准-PPT精品文档22ISO17799信息安全管理的最佳实践标准-PPT精品文档23ISO17799信息安全管理的最佳实践标准-PPT精品文档24ISO17799信息安全管理的最佳实践标准-PPT精品文档253 资产分级与控制资产的可核查性
目标:维护组织资产的相应保护信息分类
目标:确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之内的3 资产分级与控制资产的可核查性这些资产必须是在信息安全管理26资产Assets资产是组织认为有价值的东西,例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务资产Assets27信息资产清单应包括哪些项目资产的名称资产的位置资产负责人资产重要性信息资产分级信息资产清单应包括哪些项目资产的名称28信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,信息分级可以明确信息的保护要求、区分哪些是公开信息,哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级,保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待传递、复制、销毁、存储信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,294、人员安全PersonnelSecurity4、人员安全PersonnelSecurit30“粗暴裁员”体现管理严格“粗暴裁员”体现管理严格31联想员工亲历联想大裁员:公司不是家联想员工亲历联想大裁员:公司不是家32ISO17799信息安全管理的最佳实践标准-PPT精品文档33ISO17799信息安全管理的最佳实践标准-PPT精品文档34招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验(身份证或类似文件)招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者35ISO17799信息安全管理的最佳实践标准-PPT精品文档36ISO17799信息安全管理的最佳实践标准-PPT精品文档37物理与环境安全物理与环境安全38安全区域Secureareas物理周边安全物理进入控制办公室、房间和设备安全在安全区域工作分离运输和装卸区域I.D.安全区域Securea39运营程序Operationalprocedures
文件化运营程序运营变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理运营程序Operationalprocedure40设备安全Equipmentsecurity
设备设置和保护电源供应线路安全设备维护退出办公的设备的安全清理和重新使用的设备的安全设备安全Equipmentsec41一般控制Equipmentsecurity清理桌面和清空屏幕策略
■记录纸和计算机媒体的存放■敏感和关键业务信息的保护■无人值守时设备的保护财产的移动一般控制Equipmentsec42通信和运营管理保证信息处理设施的安全和正确运营- 运营程序和责任 - 系统计划和接收 - 预防恶意软件 - 内务 - 网络管理 - 媒介管理和安全 - 信息和软件交换的安全IT通信和运营管理IT43操作规程和职责目标:确保信息处理措施正确和安全操作文件化的操作规程操作变更控制事故管理规程责任分离]开发和运行设施分离外部设施管理操作规程和职责目标:确保信息处理措施正确和安44系统计划和接收目标:使系统故障的风险减到最小容量计划系统接收
20191990系统计划和接收目标:使系统故障的风险减到最小201919945恶意软件防护目标:保护软件和信息的完整性恶意软件控制恶意软件防护目标:保护软件和信息的完整性46内务管理Housekeeping目标:维护信息处理和通信服务的完整性和可用性信息备份操作者日志故障记录内务管理Housekeepin47网络管理目标:确保保卫网络中的信息和保护支持性基础设施网络的操作职责与计算机操作分开建立远程设备管理的职责和规程建立专门的控制,保卫在公用网络传输数据的保密性和完整性紧密协调管理活动网络管理目标:确保保卫网络中的信息和保护支持性基础设施48媒体处置和安全目标:防止资产损坏和业务活动中断可移动的计算机媒体的管理媒体的处置信息处置规程系统文件的安全媒体处置和安全目标:防止资产损坏和业务活动中断49信息和软件的交换目标:防止组织之间交换的信息的丢失、修改或滥用信息和软件交换协定运输中的媒体安全电子商务的安全电子邮件的安全信息和软件的交换目标:防止组织之间交换的信息的丢失、修改或滥507访问控制AccessControl控制对信息的访问
-
业务要求对访问进行控制 -用户访问管理 -用户职责 -网络访问控制 -操作系统访问控制 -应用访问控制 -系统访问和使用监控 -移动计算设备和通信7访问控制AccessCont51使用者访问管理使用者注册优先权管理使用者口令字管理审核使用者访问权限SystemAdministratorMenu使用者访问管理使用者注册SystemAdministrat52网络访问控制网络服务使用方针规定的过程使用者授权使用外部连接分支授权远程诊断港的防护网络的分离网络连接控制网络路径控制网络服务安全网络访问控制网络服务使用方针53应用访问控制信息访问限制敏感系统隔离应用访问控制信息访问限制54移动计算机和通信移动计算机设备通信网络设备移动计算机和通信移动计算机设备558、系统开发和维护8、系统开发和维护56系统开发与维护系统开发与维护57ISO17799控制目标与控制措施ISO17799控制目标与控制措施58ISO17799控制目标与控制措施ISO17799控制目标与控制措施59ISO17799控制目标与控制措施ISO17799控制目标与控制措施60ISO17799控制目标与控制措施ISO17799控制目标与控制措施61ISO17799控制目标与控制措施ISO17799控制目标与控制措施62ISO17799控制目标与控制措施ISO17799控制目标与控制措施63ISO17799信息安全管理的最佳实践标准-PPT精品文档64ISO17799控制目标与控制措施ISO17799控制目标与控制措施65我国法律对信息安全的要求宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例……我国法律对信息安全的要求宪法的要求66ISO17799控制目标与控制措施ISO17799控制目标与控制措施67ISO17799控制目标与控制措施ISO17799控制目标与控制措施68安全条款小结1安全方针2安全组织3资产分类和控制4人事安全5物理和环境安全6通信和运营管理7访问控制8系统开发和维护9商务连续性计划10符合安全条款小结1安全方针69安全组织ISO17799(BS7799)实施资产分级及控制信息安全方针应用控制措施运营实现过程检查过程纠正措施管理评审
计划纠正检查实施安全组织ISO17799(BS7799)实施资产70BS7799-2:2019BS7799-2:201971利用PDCA方法建设信息安全体系利用PDCA方法建设信息安全体系72BS7799管理过程确定信息安全管理方针
1、确定ISMS(信息安全管理体系)的范围
2、进行风险分析
3、选择控制目标并进行控制
4、建立业务持续计划
5、建立并实施安全管理体系BS7799管理过程确定信息安全管理方针
1、确定ISM73认证情况(一)BS7799与ISO9000质量管理体系标准、ISO14000环境管理体系标准、OHSAS18000职业安全卫生管理体系标准同属管理体系标准,在体系的建立和评审认证上遵循同样的原理和原则
ISO17799作为信息安全管理方面的审核标准,对信息安全产业的作用和意义,就仿佛是ISO9000质量认证标准之于许多制造业。通过该标准的认证,可以为企业提供可靠的安全服务,树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准,我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。认证情况(一)BS7799与ISO9000质量管理74认证情况(二)该标准自公布以来,英国、澳大利亚、巴西、荷兰、新西兰和挪威等国已开始采用。已有政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司纷纷采用,并收到了良好的效果和回报。中国人民保险公司厦门市分公司签订了我国第一份BS7799信息安全管理体系认证协议;这也是我国第一份有关信息安全管理体系认证的协议认证情况(二)该标准自公布以来,英国、澳大利亚、巴西、75BS7799工具介绍BS7799工具介绍76BS7799工具介绍Cobra微软安全自我评估工具
BS7799工具介绍Cobra77CobraCobra是一套专门用于进行风险分析的工具软件,其中也包含促进安全策略执行、外部安全标准(ISO17799)评定的功能模块。用Cobra进行风险分析时,分3个步骤:调查表生成、风险调查、报告生成。
CobraCobra是一套专门用于进行风险分析的工具软件,其78CobraCobra79微软自我安全评估工具微软自我安全评估工具80微软自我安全评估工具微软自我安全评估工具81BS7799实施的必要性
越来越多的工业和商业企业开始使用信息系统,为保障信息系统的安全,须采取一系列措施,BS7799则为这些措施的落实提供了一套检查方法可以使用户与企业的业务运行在一个可信任的平台之上企业之间竞争的需要,BS7799认证将成为企业在市场上进行竞争的一道分水岭,尤其在用户在选择涉及安全的服务提供商的时候降低信息安全事件对企业的业务影响促进企业业务的可持续增长
BS7799实施的必要性
越来越多的工业和商业企业开始使用82建立和实施的目的和意义通过促进企业建立信息安全管理体系,确保信息技术的安全使用,保证企业经营管理的正常运作,减少因信息技术失控而造成经济损失,提高企业的社会形象和市场竞争力。建立信息安全管理体系并获得经认可的认证公司的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小安全遭到破坏带来的损失,保证业务的可持续运作;并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信息,向政府及行业主管部门证明组织对相关法律法规的符合,并且得到国际上的承认。可以借此向客户展示其服务相比其他竞争对手更加安全、可靠,树立和增强企业的信息安全形象,提高企业的综合竞争力。
建立和实施的目的和意义通过促进企业建立信息安全管理体系,确保83国内外大公司安全管理成功案例介绍天威诚信---国内第一家PKI/CA最早通过ISO17799认证的公司NOKIA世界著名高科技公司国内外大公司安全管理成功案例介绍天威诚信---国内第一家PK84安全管理成功的要点严格执行,也需要灵活处理。信息安全作为独立部门存在。分层次化的执法手段。技术与管理手段是不能分开的。安全管理成功的要点严格执行,也需要灵活处理。85安全管理的成功要点组织结构的分布合理设置专门的安全管理部门必不可少管理条例的设置部门,不一定参与执法设置专门的内部安全信息发布站点实际管理中的技术手段是最重要的保障条件实际经营维护过程中的问题处理(成本与执行难点)安全管理的成功要点组织结构的分布合理86当前严格按照标准执行的难点投入巨大(人力,物力,金钱)需要整体员工的全面配合,整体素质需要提高一定程度上造成机构编制增加目前世界100强大公司都有严格的安全管理标准,所以从长远看安全是应该为公司带来收益的。安全不是花费而是最好的投资。当前严格按照标准执行的难点投入巨大(人力,物力,金钱)87ThankyouNeusoftGroupLtd.谢谢ThankyouNeusoftGroupLtd.谢谢88ISO17799信息安全管理的最佳实践标准曹鹏网络安全产品营销中心解决方案部部长CISP北京caopengneusoft沈阳东软软件股份有限公司ISO17799信息安全管理的最佳实践标准曹鹏网络安全89安全是个管理问题装修后房间需要换锁吗安全是个管理问题装修后房间907799简介7799简介91内容目录
BS7799产生背景BS7799发展历史BS7799基本概念BSI内容介绍BS7799认证BS7799工具介绍BSI简介BS7799建立和实施的目的和意义并非仅适用于英国
内容目录BS7799产生背景92BS7799产生背景BS7799产生背景93目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失随着信息技术的发展,电子商务及Internet应用的普及,大家普遍认识到解决信息安全问题不应仅从技术方面着手,同时更应加强信息安全的管理工作,通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识,提出了“三分技术,七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题,是一个非常详尽甚至有些复杂的信息安全标准。WhydoweneedBS7799anyway?
TheLogicArgument10/25/2022目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人94BS7799发展历史BS7799发展历史95BS7799发展历史1993年1月:成立行业工作小组
1993年9月:实施要则出版
2019年2月:BS7799-1出版
2019年2月:BS7799-2出版
2019年4月:BS7799-1和BS7799-2:2019出版
2000年12月:BS7799-1做了23处修改后,成为ISO/IEC17799
2019年9月:BS7799-2:2019出版
BS7799发展历史1993年1月:成立行业工作小组
196BS7799体现以下原则制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则动态管理原则全员参与原则遵循管理的一般循环模式—PDCA持续改进模式商务持续性原则
BS7799体现以下原则制定信息安全方针为信息安全管理提97BS7799基本概念BS7799基本概念98建立处理传递破坏?存储使用出错丢失!信息处理方式建立处理传递破坏?存储使用出错丢失!信息处理方式99Confidentiality保密性Availability可用性Integrity完整性在某些组织中,完整性和/或可用性比保密性更重要ISO17799关于信息安全的概念ConfidentialityAvailabilityInt100BS7799内容介绍BS7799内容介绍101BS7799内容介绍BS7799共分为两部分:第一部分是《信息安全管理实施细则》,主要是给负责开发的人员作为参考文档使用,从而在他们的机构内部实施和维护信息安全;第二部分是《信息安全管理体系规范》(ISMS),详细说明了建立、实施和维护信息安全管理系统的要求,指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象,并对自己的需求采取适当的控制。BS7799由三个主段落组成,即总则、系统要求和控制,可分为强制性过程和选择性控制BS7799内容介绍102BS7799内容介绍BS7799-1(ISO/IEC17799)andBS7799-2:2019是一套以风险管理、风险评估为基础的信息安全管理体系
BS7799内容介绍103BS7799内容介绍BS7799(ISO/IEC17799)内容包括:
10subjectdomains;36managementobjectives;127controls;and500detailcontrols.
BS7799内容介绍104访问控制ISO17799信息安全管理信息安全方针安全组织人事安全物理安全系统开发连续运营计划符合性信息客户记录人事记录法律记录通信管理资产分级控制访问控制ISO17799信息安全管理信息安全方针安全组织105BS7799-1(ISO/IEC17799)BS7799-1(ISO/IEC17799)1061安全方针SecurityPolicy
目标:提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义,总目标和范围,安全的重要性管理企图的说明,以支持信息安全的目的和原则风险管理方法承诺符合ISO17799标准详细方针消费者信任行动数据保护行动1安全方针SecurityPoli107详细方针
可以包括:
服从法律和合同要求组织应急计划要求数据备份要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动详细方针 可以包括:1082、安全组织2、安全组织109ISO17799信息安全管理的最佳实践标准-PPT精品文档110ISO17799信息安全管理的最佳实践标准-PPT精品文档111ISO17799信息安全管理的最佳实践标准-PPT精品文档112ISO17799信息安全管理的最佳实践标准-PPT精品文档1133 资产分级与控制资产的可核查性
目标:维护组织资产的相应保护信息分类
目标:确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之内的3 资产分级与控制资产的可核查性这些资产必须是在信息安全管理114资产Assets资产是组织认为有价值的东西,例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务资产Assets115信息资产清单应包括哪些项目资产的名称资产的位置资产负责人资产重要性信息资产分级信息资产清单应包括哪些项目资产的名称116信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,信息分级可以明确信息的保护要求、区分哪些是公开信息,哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级,保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待传递、复制、销毁、存储信息分级很重要信息有公开和敏感之分,敏感信息的程度也不相同,1174、人员安全PersonnelSecurity4、人员安全PersonnelSecurit118“粗暴裁员”体现管理严格“粗暴裁员”体现管理严格119联想员工亲历联想大裁员:公司不是家联想员工亲历联想大裁员:公司不是家120ISO17799信息安全管理的最佳实践标准-PPT精品文档121ISO17799信息安全管理的最佳实践标准-PPT精品文档122招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验(身份证或类似文件)招聘长期雇员时应该考察的方面是否有人品证明,例如工作推荐或者123ISO17799信息安全管理的最佳实践标准-PPT精品文档124ISO17799信息安全管理的最佳实践标准-PPT精品文档125物理与环境安全物理与环境安全126安全区域Secureareas物理周边安全物理进入控制办公室、房间和设备安全在安全区域工作分离运输和装卸区域I.D.安全区域Securea127运营程序Operationalprocedures
文件化运营程序运营变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理运营程序Operationalprocedure128设备安全Equipmentsecurity
设备设置和保护电源供应线路安全设备维护退出办公的设备的安全清理和重新使用的设备的安全设备安全Equipmentsec129一般控制Equipmentsecurity清理桌面和清空屏幕策略
■记录纸和计算机媒体的存放■敏感和关键业务信息的保护■无人值守时设备的保护财产的移动一般控制Equipmentsec130通信和运营管理保证信息处理设施的安全和正确运营- 运营程序和责任 - 系统计划和接收 - 预防恶意软件 - 内务 - 网络管理 - 媒介管理和安全 - 信息和软件交换的安全IT通信和运营管理IT131操作规程和职责目标:确保信息处理措施正确和安全操作文件化的操作规程操作变更控制事故管理规程责任分离]开发和运行设施分离外部设施管理操作规程和职责目标:确保信息处理措施正确和安132系统计划和接收目标:使系统故障的风险减到最小容量计划系统接收
20191990系统计划和接收目标:使系统故障的风险减到最小2019199133恶意软件防护目标:保护软件和信息的完整性恶意软件控制恶意软件防护目标:保护软件和信息的完整性134内务管理Housekeeping目标:维护信息处理和通信服务的完整性和可用性信息备份操作者日志故障记录内务管理Housekeepin135网络管理目标:确保保卫网络中的信息和保护支持性基础设施网络的操作职责与计算机操作分开建立远程设备管理的职责和规程建立专门的控制,保卫在公用网络传输数据的保密性和完整性紧密协调管理活动网络管理目标:确保保卫网络中的信息和保护支持性基础设施136媒体处置和安全目标:防止资产损坏和业务活动中断可移动的计算机媒体的管理媒体的处置信息处置规程系统文件的安全媒体处置和安全目标:防止资产损坏和业务活动中断137信息和软件的交换目标:防止组织之间交换的信息的丢失、修改或滥用信息和软件交换协定运输中的媒体安全电子商务的安全电子邮件的安全信息和软件的交换目标:防止组织之间交换的信息的丢失、修改或滥1387访问控制AccessControl控制对信息的访问
-
业务要求对访问进行控制 -用户访问管理 -用户职责 -网络访问控制 -操作系统访问控制 -应用访问控制 -系统访问和使用监控 -移动计算设备和通信7访问控制AccessCont139使用者访问管理使用者注册优先权管理使用者口令字管理审核使用者访问权限SystemAdministratorMenu使用者访问管理使用者注册SystemAdministrat140网络访问控制网络服务使用方针规定的过程使用者授权使用外部连接分支授权远程诊断港的防护网络的分离网络连接控制网络路径控制网络服务安全网络访问控制网络服务使用方针141应用访问控制信息访问限制敏感系统隔离应用访问控制信息访问限制142移动计算机和通信移动计算机设备通信网络设备移动计算机和通信移动计算机设备1438、系统开发和维护8、系统开发和维护144系统开发与维护系统开发与维护145ISO17799控制目标与控制措施ISO17799控制目标与控制措施146ISO17799控制目标与控制措施ISO17799控制目标与控制措施147ISO17799控制目标与控制措施ISO17799控制目标与控制措施148ISO17799控制目标与控制措施ISO17799控制目标与控制措施149ISO17799控制目标与控制措施ISO17799控制目标与控制措施150ISO17799控制目标与控制措施ISO17799控制目标与控制措施151ISO17799信息安全管理的最佳实践标准-PPT精品文档152ISO17799控制目标与控制措施ISO17799控制目标与控制措施153我国法律对信息安全的要求宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例……我国法律对信息安全的要求宪法的要求154ISO17799控制目标与控制措施ISO17799控制目标与控制措施155ISO17799控制目标与控制措施ISO17799控制目标与控制措施156安全条款小结1安全方针2安全组织3资产分类和控制4人事安全5物理和环境安全6通信和运营管理7访问控制8系统开发和维护9商务连续性计划10符合安全条款小结1安全方针157安全组织ISO17799(BS7799)实施资产分级及控制信息安全方针应用控制措施运营实现过程检查过程纠正措施管理评审
计划纠正检查实施安全组织ISO17799(BS7799)实施资产158BS7799-2:2019BS7799-2:2019159利用PDCA方法建设信息安全体系利用PDCA方法建设信息安全体系160BS7799管理过程确定信息安全管理方针
1、确定ISMS(信息安全管理体系)的范围
2、进行风险分析
3、选择控制目标并进行控制
4、建立业务持续计划
5、建立并实施安全管理体系BS7799管理过程确定信息安全管理方针
1、确定ISM161认证情况(一)BS7799与ISO9000质量管理体系标准、ISO14000环境管理体系标准、OHSAS18000职业安全卫生管理体系标准同属管理体系标准,在体系的建立和评审认证上遵循同样的原理和原则
ISO17799作为信息安全管理方面的审核标准,对信息安全产业的作用和意义,就仿佛是ISO9000质量认证标准之于许多制造业。通过该标准的认证,可以为企业提供可靠的安全服务,树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准,我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。认证情况(
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 油烟治理施工合同范例
- 企业培训演讲课件
- 企业培训数学课件
- 婴儿坏疽性皮炎的皮肤微生物组
- 应知应会-热处理技术员
- 草牧场承包经营与可持续发展合同
- 房地产开发有限责任公司股东土地开发合作协议
- 生态农业园厂房租赁及农产品直销合作协议
- 企业物流货运服务方案
- 制造业厂长任期目标责任合同
- 2025年校长职级考试题及答案
- 统借统还资金管理办法
- 国家能源集团采购管理规定及实施办法知识试卷
- 2023-2024学年四川省成都市高新区八年级(下)期末数学试卷
- 2025年广西继续教育公需科目考试试题和答案
- 2024年广州市南沙区社区专职招聘考试真题
- 心理健康科普常识课件
- 山东医药技师学院招聘笔试真题2024
- 仓库超期物料管理制度
- 奶茶公司供应链管理制度
- 加气站风控分级管理制度
评论
0/150
提交评论