信息安全概述BS

信息安全概述信息安全标准介绍BS7799信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准信息安全的CIA目标保护信息的保密性、完整性和可用性

——BS7799信息安全管理概述ConfidentialityIntegrityAvailabilityInformation组织的信息安全需求法律法规与合同条约的要求：有关信息安全的法律法规是对组织的强制性要求，组织应该将适用于组织的法律法规转化为组织的信息安全要求。计算机信息系统安全保护条例，知识产权保护，互联网安全管理规定……

考虑业务合作者和客户对组织提出的信息安全要求，包括合同要求、招标条件和承诺。组织的原则、目标和规定：组织为业务正常运作所特别制定的原则、目标及信息处理的规定。加强内部管理的要求。风险评估的结果：安全控制要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。这是信息安全管理的基础。信息安全管理概述信息安全管理概述信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全管理BS7799的安全观技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全管理概述威胁漏洞安全控制安全风险资产安全需求资产价值和潜在影响抵御利用增加增加暴露拥有增加需要减少满足信息安全管理诸要素AccessControlsAssetClassificationControlsInformationSecurityPolicySecurityOrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceINFORMATIONStaffRecordsClientRecordsFinancialRecordsCommunicationsManagement信息安全管理概述BS7799信息安全管理的内容InfosecurityIncidentmanagement

基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制和处理安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。信息安全管理概述PDCA信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。针对检查结果采取应对措施，改进安全状况。依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理概述信息安全全管理概概述BS7799标准简介介信息安全全管理实实施细则则信息安全全管理体体系规范范BS7799认证过程程BS7799总结展望望其它安全全标准英国标准准协会（（BSI）英国标准准学会（（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等标准的的编写机机构英国标准准学会（（BSI）是世界界上最早早的全国国性标准准化机构构，它受受政府控控制但得得到了政政府的大大力支持持。BSI不断发展展自己的的工作队队伍，完完善自己己的工作作机构和和体制，，把标标准化和和质量管管理以及及对外贸贸易紧密密结合起起来开展展工作BSI的宗旨：：1.为增产节节约努力力协调生生产者和和用户之之间的关关系，促促进生产产，达达到标准准化（包包括简化化）2.制定和修修订英国国标准，，并促进进其贯彻彻执行3.以学会名名义，对对各种标标志进行行登记，，并颁发发许可证证4.必要时采采取各种种行动，，保护学学会利益益BS7799标准简介介BS7799标准简介介什么是BS7799？英国标准准协会（（BritishStandardsInstitute，BSI）制定的的信息安安全标准准。由信息安安全方面面的最佳佳惯例组组成的一一套全面面的控制制集。信息安全全管理方方面最受受推崇的的国际标标准。BS7799的目的"为信息安安全管理理提供建建议，供供那些在在其机构构中负有有安全责责任的人人使用。。它旨在在为一个个机构提提供用来来制定安安全标准准、实施施有效的的安全管管理时的的通用要要素，并并得以使使跨机构构的交易易得到互互信"。BS7799标准简介介BS7799标准简介介BS7799的历史沿沿革1990年代初——英国贸工工部（DTI）成立工工作组，，立项开开发一套套可供开开发、实实施和测测量有效效安全管管理惯例例并提供供贸易伙伙伴间信信任的通通用框架架。1993年9月——颁布《信息安全全管理实实施细则则》，形成BS7799的基础。。1995年2月——首次出版版BS7799-1:1995《信息安全全管理实实施细则则》。1998年2月——英国公布布BS7799-2:《信息安全全管理体体系规范范》。1999年4月——BS7799-1与BS7799-2修订后重重新发布布。2000年12月——国际标准准组织ISO/IECJTC1/SC27工作组认认可通过过BS7799-1，颁布ISO/IEC17799-1:2000《信息技术术——信息安全全管理实实施细则则》。2002年9月——BSI对BS7799-2进行了改改版，用用来替代代原标准准（BS7799-2:1999）使用，，并可望望通过ISO组织认可可。ISO27001:2005———建立信息息安全管管理体系系（ISMS）的一套套规范（（SpecificationforInformationSecurityManagementSystems），其中详详细说明了了建立、实实施和维护护信息安全全管理体系系的要求，，指出实施施机构应该该遵循的风风险评估标标准。BS7799Part1BS7799199519992000200220052007ISO/IEC17799JISQ27002●●●●●●ISO/IEC17799JISX5080ISO/IEC270012005version2000version2005/062005-20062006●BS7799Part2ISMSVer1.0ISMSVer2.0JISQ270012005-20062005-2006BS7799标准简介BS7799的历史沿革革BS7799标准简介BS7799的发展现状状BS7799简介BS7799（老版）的的内容第一部分是是信息安全全管理实施施细则（CodeofPracticeforInformationSecurityManagement），在10个标题中定定义了127项安全控制制：第二部分是是建立信息息安全管理理系统（ISMS）的一套规规范（SpecificationforInformationSecurityManagementSystems），详细说说明了建立立、实施和和维护信息息安全管理理系统的要要求，指出出实施机构构应该遵循循的风险评评估标准。。安全策略Securitypolicy安全组织Securityorganisation资产分类与控制Assetclassification&control人员安全Personnelsecurity物理与环境安全Physical&environmentalsecurity通信与操作管理Communications&operationsmanagement系统开发与维护Systemsdevelopment&maintenance访问控制Accesscontrol业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介BS7799新版已经出出台ISO17799:2005从10个域变到11个域，增加加了“信息息安全事件件管理”去掉了9项控制，增增加了17项控制，一一共有133项控制加强了对人人员离职、、移动通信信、软件漏漏洞和补丁丁管理的控控制要求BS7799-2:2002ISO27001:2005（略做修改改）附录引向ISO17799:2005原来的条款款6（管理评审审）分成现现在的6（内审）、、7（管理评审审）两个部部分ISO17799:2000GB/T19716:2005安全策略Securitypolicy人力资源安全Humanresourcesecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandoperationsmanagement信息系统获取、开发和维护Informationsystemsacquisition,developmentandmaintenance信息安全组织Organizationofinformationsecurity资产管理Assetmanagement访问控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介ISO17799:2005内容框架其他类似或或相关文档档BSIDISC提供了一组组关于BS7799的系列指导导文件（PD3000系列）：PD3001––PreparingforBS7799CertificationPD3002––GuidetoRiskAssessmentandRiskManagementPD3003––“AreyoureadyforaBS7799Audit?””PD3004––GuidetoBS7799AuditingPD3005––GuidetotheselectionofBS7799controls澳大利亚和和新西兰等等同采用BS7799，发布了AS/NZS4444（后来，根根据ISO/IEC17799:2000颁布了AS/NZSISO/IEC17799:2001，根据BS7799-2:2002又颁布了AS/NZS7799.2:2003），此外，，他们也有有自己的信信息安全管管理标准，，即AS/NZS4360。ISO/IECTR13335，即IT安全管理指指南（GuidelinesfortheManagementofITSecurity，GMITS），分5个部分。是是信息安全全管理方面面的指导性性标准，专专注于IT领域，并不不用于审计计和认证。。ISO/TR13569，银行和相相关金融服服务信息安安全指南。。BS7799标准简介信息安全管管理概述BS7799标准简介信息安全管管理实施细细则信息安全管管理体系规规范BS7799认证过程BS7799总结展望其它安全标标准Part1–提供一套由最佳惯例构成的安全控制，涉及11个方面，包括39个控制目标和133项控制措施，可作为参考文件使用，但并不是认证评审的依据。BS7799-ISO17799：2005信息安全策策略安全组织资产分类和和控制人员安全物理和环境境安全通信和操作作管理访问控制系统获得、、开发和维维护信息安全事事件管理业务连续性性管理依从性信息安全管管理实施细细则11个方面39个目标133个控制措施施信息安全管管理实施细细则ISO17799:2005前言简介什么是信息息安全（（信息是是一种资产产，有多种种存在形式式，应该通通过有效控控制加以保保护）为什么需要要信息安全全如何建立安安全需求（（安全全需求的三三个来源））评估安全风风险（（安全需求求经过系统统地评估安安全风险而而得到确认认）选择控制（（安全全控制可以以从7799或其它有关关标准选择择，也可以以自己设计计满足特定定要求的控控制）信息安全起起点（（基于法律律要求和信信息安全最最佳实践来来选择控制制措施）关键的成功功因素开发你自己己的指南范围术语和定义义2.1定义本标准的结结构3.1条款3.2主安全目录录4风险评估和和处理4.1评估安全风风险4.2处理安全风风险信息安全管管理实施细细则5.信息安全策策略目标：信息安全策策略——为信息安全全提供与业业务需求和和法律法规规相一致的的管理指示示及支持安全策略应应该做到：：对信息安全全加以定义义陈述管理层层的意图分派责任约定信息安安全管理的的范围对特定的原原则、标准准和遵守要要求进行说说明对报告可疑疑安全事件件的过程进进行说明定义用以维维护策略的的复查过程程信息安全管管理实施细细则信息安全管管理实施细细则6.安全组织目标：信息安全基基础设施——在组织内部部管理信息息安全外部组织——保持组织的的被外部组组织访问、、处理、沟沟通或管理理的信息及及信息处理理设备的安安全包含的内容容：建立管理委委员会，定定义安全管管理的角色色和责任对软硬件的的采购建立立授权过程程与第三方签签订的协议议中应覆盖盖所有相关关的安全要要求。外包合同中中的安全需需求包括内部组组织和外部部伙伴信息安全管管理实施细细则7.资产管理目标：资产责任——实现并保持持组织资产产的适当保保护信息分类——确保对信息息资产的保保护达到恰恰当的水平平包含的内容容：组织可以根根据业务运运作流程和和信息系统统拓扑结构构来识别信信息资产。。按照信息资资产所属系系统或所在在部门列出出资产清单单。所有的信息息资产都应应该具有指指定的属主主并且可以以被追溯责责任。信息应该被被分类，以以标明其需需求、优先先级和保护护程度。根据组织采采用的分类类方案，为为信息标注注和处理定定义一套合合适的程序序。TopSecretSecretConfidentialRestricted信息安全管管理实施细细则8.人力资源安安全目标：雇佣前——确保员工、、合同访和和第三方用用户了解他他们的责任任并适合于于他们所考考虑的角色色，减少盗盗窃、滥用用或设施误误用的风险险。雇佣中——确保所有的的员工、合合同方和第第三方用户户了解信息息安全威胁胁和相关事事宜、他们们的责任和和义务，并并在他们的的日常工作作中支持组组织的信息息安全方针针，减少人人为错误的的风险。解聘和变更更——确保员工、、合同方和和第三方用用户离开组组织或变更更雇佣关系系时以一种种有序的方方式进行。。包含的内容容：故意或者无无意的人为为活动可能能给数据和和系统造成成风险在正式的工工作描述中中建立安全全责任，员员工入职审审查信息安全管管理实施细细则9.物理和环境境安全目标：安全区域——防止非授权权访问、破破坏和干扰扰业务运行行的前提条条件及信息息。设备安全——预防资产的的丢失、损损坏或被盗盗，以及对对组织业务务活动的干干扰。包含的内容容：应该建立带带有物理入入口控制的的安全区域域应该配备物物理保护的的硬件设备备应该防止网网络电缆被被塔线窃听听将设备搬离离场所，或或者准备报报废时，应应考虑其安安全信息安全管管理实施细细则10.通信和操作作管理目标：操作程序和和责任——确保信息处处理设施的的正确和安安全操作。。第三方服务务交付管理理——实施并保持持信息安全全的适当水水平，确保保第三方交交付的服务务符合协议议要求。系统规划与与验收——减少系统失失效带来的的风险。防范恶意代代码和移动动代码——保护软件和和信息的完完整性。备份——保持信息和和信息处理理设施的完完整性和可可用性网络安全管管理——确保对网络络中信息和和支持性基基础设施的的安全保护护。介质处理和和安全——防止对资产产的未授权权泄漏、修修改、移动动或损坏，，及对业务务活动的干干扰。信息和软件件的交换——应保持组织织内部或组组织与外部部组织之间间交换信息息和软件的的安全。电子商务服服务——确保电子商商务的安全全及他们的的安全使用用。监督——检测未经授授权的信息息处理活动动。包含的内容容：防病毒，防防恶意软件件进行变更控控制做好备份，，存储介质质的安全处处理，保存存正确的访访问日志，，系统文件件的安全性性电子邮件安安全性保护传输中中的数据信息安全全管理实实施细则则11.访问控制制目标：访问控制制的业务务需求——控制对信信息的访访问。用户访问问管理——确保授权权用户的的访问，，并预防防信息系系统的非非授权访访问。用户责任任——预防未授授权用户户的访问问，信息息和信息息处理设设施的破破坏或被被盗。网络访问问控制——防止对网网络服务务未经授授权的访访问。操作系统统访问控控制——防止对操操作系统统的未授授权访问问。应用访问问控制——防止对应应用系统统中信息息的未授授权访问问。移动计算算和远程程工作——确保在使使用移动动计算和和远程工工作设施施时信息息的安全全。包含的内内容：口令的正正确使用用对终端的的物理访访问自动终止止时间软件监视视等信息安全全管理实实施细则则12.系统获得得、开发发与维护护目标：系统的安安全需求求——确保安全全内建于于信息系系统中。。应用系统统的安全全——防止应用用系统信信息的错错误、丢丢失、未未授权的的修改或或误用。。加密控制制——通过加密密手段来来保护细细腻的保保密性、、真实性性或完整整性。系统文件件的安全全——确保系统统文档的的安全。。开发和支支持过程程的安全全——保持应用用系统软软件和信信息的安安全。技术漏洞洞管理——减少由利利用公开开的技术术漏洞带带来的风风险。包含的内内容：在系统设设计时应应该考虑虑输入数数据校验验、数据据加密、、数据文文件的安安全性、、测试数数据的保保护软件开发发和维护护中应该该建立配配置管理理、变更更控制等等机制信息安全全管理实实施细则则13.信息安全全事件管管理目标：报告信息息安全事事件和弱弱点——确保与信信息系统统有关的的安全事事件和弱弱点的沟沟通能够够及时采采取纠正正措施。。信息安全全事故的的管理和和改进——确保使用用持续有有效的方方法管理理信息安安全事故故。包含的内内容：正常的事事件报告告和分类类程序，，这类程程序用来来报告可可能对机机构的财财产安全全造成影影响的不不同种类类的事件件和弱点点所有的员员工、合合同方和和第三方方用户都都应该知知晓这套套报告程程序。要求员工工需要尽尽可能快快地将信信息安全全事件和和弱点报报告给指指定的联联系方。。信息安全全管理实实施细则则14.业务连续续性管理理目标：业务连续续性管理理的信息息安全方方面——：防止业业务活动动的中断断，保护护关键业业务流程程不会受受信息系系统重大大失效或或自然灾灾害的影影响，并并确保他他们的及及时恢复复。包含的内内容：全面理解解业务连连续性计计划（BCP）理解组织织面临的的风险，，识别关关键业务务活动和和优先次次序。确认可能能对业务务造成影影响的中中断。应该设计计、实施施、测试试和维护护BCP信息安全全管理实实施细则则15.符合性目标：与法律法法规要求求的符合合性——避免违反反法律、、法规、、规章、、合同要要求和其其他的安安全要求求。符合安全全方针、、标准，，技术符符合性——确保系统统符合组组织安全全方针和和标准。。信息系统统审核的的考虑因因素——最大化信信息系统统审核的的有效性性，最小小化来自自/对信息系系统审核核的影响响。包含的内内容：组织应该该确保遵遵守相关关的法律律法规和和合同义义务软件版权权，知识识产权等等信息安全全管理实实施细则则BS7799认证最基基本的控控制项与法律相相关的控控制措施施：知识产权权（IntellectualPropertyRights）：防止非非拥有者者授权的的复制，，避免侵侵犯知识识产权保护组织织的记录录：保护重重要的记记录不丢丢失、破破坏和伪伪造数据保护护和个人人信息隐隐私：遵守所所在国的的数据保保护法律律与最佳惯惯例相关关的控制制措施：：信息安全全策略文文件：为信息息安全提提供管理理方向和和支持信息安全全责任的的分配：分派安安全责任任，使信信息安全全在组织织内部得得以有效效管理信息安全全教育和和培训：保证用用户有信信息安全全威胁意意识、关关心信息息安全并并支持组组织信息息安全策策略报告安全全事件：最大程程度减小小安全事事件和故故障造成成的破坏坏，监视视事件，，从中吸吸取教训训业务连续续性管理理：减少业业务活动动中断，，保护关关键业务务过程不不受重大大事件或或灾难影影响信息安全全管理概概述BS7799标准简介介信息安全全管理实实施细则则信息安全全管理体体系规范范BS7799认证过程程BS7799总结展望望其它安全全标准信息安全全管理体体系规范范Part2–包含用于审计的需求规范，可形成度量组织ISMS的基准。BS7799-ISO27001解释标准准的作用用和所用用的定义义解释相关关术语解释建立立和维护护文档化化的ISMS的要求列举可用用的控制制和控制制目标是依照BS7799对组织的的ISMS进行评估估认证的的基础信息安全全管理体体系规范范BS7799-2简介BS7799标准对信信息安全全管理体体系（ISMS）并没有有一个明明确的定定义，可可以将其其理解为为组织管管理体系系的一部部分。ISMS涉及到的的内容：：用于组组织信息息资产风风险管理理、确保保组织信信息安全全的、包包括为制制定、实实施、评评审和维维护信息息安全策策略所需需的组织织机构、、目标、、职责、、程序、、过程和和资源。。标准要求求的ISMS建立过程程：制定定信息安安全策略略，确定定体系范范围，明明确管理理职责，，通过风风险评估估确定控控制目标标和控制制方式。。体系一旦旦建立，，组织应应该按规规定要求求进行运运作，保保持体系系的有效效性。ISMS应形成一一定的文文档，包包括策略略、适用用性声明明文件和和实施安安全控制制所需的的程序文文件。一个文档档化的ISMS应该阐述述：要保保护的资资产，组组织进行行风险管管理的途途径，控控制目标标和控制制方式，，需要的的保障程程度。建立ISMS管理框架架的过程程定义安全策略威胁、弱点、影响组织风险管理的途径要求达到的保障程度BS7799-2第三段列出的控制目标和控制不在BS7799范围内的其他安全控制Step1Step2Step3Step4Step5Step6策略文档ISMS的范围风险评估适用性声明信息资产结果和结论选定的控制选项选择的控制目标和控制定义ISMS范围进行风险评估管理风险选择控制目标和控制并加以实施准备适用性声明信息安全全管理体体系规范范ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicy信息安全全管理体体系规范范BS7799的输出结结果ISMS的文档体体系Procedures程序WorkInstructions,checklists,forms,etc.工作指导书,检查清单单,表格等等Records纪录SecurityManual安全手册册Policy,scoperiskassessment,statementofapplicabilityDescribesprocesseswho,what,when,where.DescribeshowtasksandspecificactivitiesaredoneProvidesobjectiveevidenceofcompliancetoISMSrequirements第一级关于BS7799的管理框架的方方针策略略第二级第三级第四级信息安全全管理体体系规范范为了与诸诸如ISO9000和ISO14001这样的管管理体系系标准保保持一致致，也为为了引入入PDCA模型，以以便建立立、实施施、维护护和持续续改进组组织的信信息安全全管理体体系，2002年9月5日，BS7799-2:2002草案经过过广泛的的讨论，，终于发发布成为为正式标标准，与与此同时时，BS7799-2:1999被废止。。信息安全全管理体体系规范范BS7799-2新版本的的特点引入入了了PDCA模型型。。与与其其他他管管理理体体系系标标准准保保持持协协调调关关系系。。基于于PDCA模型型的的信信息息安安全全管管理理过过程程方方法法。。对风风险险评评估估过过程程、、控控制制选选择择和和适适用用性性声声明明内内容容之之间间的的联联系系予予以以澄澄清清，，在在定定义义上上也也有有改改进进。。附录录中中提提供供了了对对此此新新版版本本使使用用的的指指南南。。附录录中中还还列列举举了了BS7799-2:2002、ISO9001:2000和ISO14001:1996之间间的的一一致致性性。。信息息安安全全管管理理体体系系规规范范建立ISMS环境&风险评估设计&实施ISMS监视&复审ISMS改进ISMS开发、维护和改进生命周期PlanDoCheckAct利益伙伴信息安全需求和期望利益伙伴得到管理的信息安全PDCA模型型在在ISMS过程程中中的的运运用用信息息安安全全管管理理体体系系规规范范建立立ISMS（Plan）定义义ISMS的范范围围（（从从业业务务、、组组织织、、位位置置、、资资产产和和技技术术等等方方面面考考虑虑））定义义ISMS策略略定义义系系统统的的风风险险评评估估途途径径识别别风风险险评估估风风险险识别别并并评评价价风风险险处处理理措措施施选择择用用于于风风险险处处理理的的控控制制目目标标和和控控制制准备备适适用用性性声声明明（（SoA）取得得管管理理层层对对残残留留风风险险的的承承认认和和实实施施并并操操作作ISMS的授授权权信息息安安全全管管理理体体系系规规范范实施施和和操操作作ISMS（Do）制定定风风险险处处理理计计划划（（RiskTreatmentPlan）实施施风风险险处处理理计计划划实施施所所选选的的控控制制措措施施以以满满足足控控制制目目标标实施施培培训训和和意意识识程程序序管理理操操作作管理理资资源源实施施能能够够激激发发安安全全事事件件检检测测和和响响应应的的程程序序和和控控制制信息息安安全全管管理理体体系系规规范范信息息安安全全管管理理体体系系规规范范监视视和和复复审审ISMS（Check）执行行监监视视程程序序和和控控制制对ISMS的效效力力进进行行定定期期复复审审（（看看其其是是否否满满足足安安全全策策略略和和目目标标，，安安全全控控制制是是否否有有效效））复审审残残留留风风险险和和可可接接受受风风险险的的水水平平，，考考虑虑到到各各种种变变化化情情况况按照照预预定定计计划划进进行行内内部部ISMS审计计定期期对对ISMS进行行管管理理复复审审记录录活活动动和和事事件件可可能能对对ISMS的效效力力或或执执行行力力度度造造成成影影响响信息息安安全全管管理理体体系系规规范范维护护和和改改进进ISMS（Act）对ISMS实施施可可识识别别的的改改进进采取取恰恰当当的的纠纠正正和和预预防防措措施施与所所有有利利益益伙伙伴伴沟沟通通确保保改改进进成成果果满满足足其其预预期期目目标标信息息安安全全管管理理概概述述BS7799标准准简简介介信息息安安全全管管理理实实施施细细则则信息息安安全全管管理理体体系系规规范范BS7799认证证过过程程BS7799总结结展展望望其它它安安全全标标准准BS7799认证证过过程程通过过BS7799认证证的的好好处处依据据BS7799-2对组组织织的的信信息息安安全全管管理理体体系系（（ISMS）进进行行认认证证，，可可以以证证明明组组织织已已经经遵遵照照BS7799-2标准准的的要要求求实实施施了了信信息息安安全全管管理理的的体体系系。。帮助助组组织织获获得得最最佳佳的的信信息息安安全全运运作作方方式式。。保证证业业务务活活动动的的安安全全。。降低低风风险险，，避避免免损损失失。。保持持核核心心竞竞争争优优势势。。提高高组组织织在在商商业业活活动动中中的的信信誉誉。。满足足客客户户的的要要求求。。保证证可可持持续续发发展展。。符合合法法律律法法规规的的要要求求。。认证证过过程程选择受认可的认证机构Phase1：文档审核Phase2：现场审查维持认证组织应该向认证机构提供必要的信息复审风险评估文档、安全策略和适用性声明复审ISMS的其他文档

ISMS的实施情况风险管理决策的基础组织被授予证书后，审核组每年都会对其ISMS符合性进行检查。证书三年有效，之后需要再次认证。组织必须向认证机构通报任何变化。预审（Pre-assessment）可选BS7799认证证过过程程BS7799认证证过过程程BS7799认证证过过程程成功功的的关关键键因因素素安全全策策略略、、目目标标和和活活动动应应该该反反映映业业务务目目标标实施施信信息息安安全全的的方方法法应应该该与与组组织织的的文文化化保保持持一一致致来自高高级管管理层层的明明确的的支持持和承承诺深刻理理解安安全需需求、、风险险评估估和风风险管管理向所有有管理理者和和员工工有效效地推推广安安全意意识分发信信息安安全策策略、、指南南和标标准给给所有有员工工及签签约人人提供适适当的的培训训和教教育建立完完整而而平衡衡地测测量体体系，，用来来评估估信息息安全全管理理体系系的表表现，，提供供改进进的反反馈建建议信息安安全管管理概概述BS7799标准简简介信息安安全管管理实实施细细则信息安安全管管理体体系规规范BS7799认证过过程BS7799总结展展望其它安安全标标准BS7799总结展展望总结BS7799的特点点BS7799并不是是系统统安全全评估估的标标准BS7799从整体体角度度考虑虑，提提出了了构建建ISMS的目标标和方方法，，是构构建ISMS的指南南，但但没有提提供具具体的的等级级评价价标准准，并不不能作作为信信息系系统安安全评评估的的依据据，这这和CC等其他他评估估标准准是不不同的的BS7799针对的的是信信息安安全管管理，，强调调连续续性，，并以以控制制为手手段所有的的安全全控制制手段段都是是为构构建ISMS服务的的该标准准告诉诉我们们要做做什么么，但但并不不限定定具体体实现现的方方法和和技术术BS7799提出了了可供供认证证的ISMS（目标标），，而具具体实实现这这一目目标的的某些些活动动，比比如风风险评评估和和控制制的选选择，，则可可以参参照ISO13335这样的的信息息安全全管理理指南南属于风风险管管理的的范畴畴ISMS是基于于风险险评估估来建建立的的，经经过了了风险险评估估、风风险管管理和和风险险接受受三个个阶段段，并并且实实现可可用性性和安安全性性、投投入和和效益益的平平衡体现了了预防防为主主的思思想，，强调调全过过程和和动态态的控控制事先预预防，，将风风险控控制在在可接接受范范围内内，并并且在在ISMS的全过过程中中根据据新情情况调调整，，进行行动态态控制制BS7799总结展展望BS7799总结展展望BS7799认证的的发展展趋势势图2003年2月前2004年5月前（（新版版本发发布之之后……）BS7799总结展展望最近，，英国国GammaSecureSystems组织了了一次次有673家公司司响应应的调调查，，结果果显示示，有有581家正在在寻求求通过过BS7799认证，，这其其中，，只有有270家已经经建立立了ISMS。BS7799的预期期发展展据悉，，从2002年6/7月开始始，BS7799的第三三部分分正在在开发发之中中。考虑到到ISO9000有4个部分分，而而BS7799-2:2002又和ISO9001:2000紧密相相关，，所以以，BS7799的扩展展也在在情理理之中中。BS7799的第三三部分分可能能会将将焦点点集中中在ISMS的持续续改进进上，，这和和ISO9004是类似似的。。其他方方面也也会涉涉及，，包括括ISMS审计和和ISMS与其他他管理理体系系的集集成。。总之，，BS7799的重要要性正正被越越来越越多的的政治治家和和工业业领袖袖所承承认。。众多多商业业机构构，特特别是是欧洲洲和亚亚洲，，都希希望通通过采采用7799标准来来提升升自己己在信信息时时代的的生存存能力力和竞竞争力力。BS7799总结展展望信息安安全管管理概概述BS7799标准简简介信息安安全管管理实实施细细则信息安安全管管理体体系规规范BS7799认证过过程BS7799总结展展望其它安安全标标准Octave安全模模型具体项项目实实施，静态态视图图、动动态流流程相相结合合1-IT安全战略3-信息资产分级7-解决方案设计10-安全标准11-安全流程、步骤8-安全产品选择13-安全运营与监测15-安全技术评估14-安全管理评估12-安全意识培训9-安全解决方案实施建设实施运营4-安全策略2-现状评估Product流程作业指南架构产品建议政策安全标准原则5-安全风险分析6-安全需求ISO15408安全模模型ISO/IEC15408-1安全概概念和和关系系模型型所有者攻击者对策漏洞风险威胁资产ISO13335以风险险为核核心的的安全全模型型风险安全措施信息资产威胁漏洞安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足Q&A9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Thursday,December29,202210、雨中黄叶叶树，灯下下白头人。。。03:48:1503:48:1503:4812/29/20223:48:15AM11、以我独独沈久，，愧君相相见频。。。12月-2203:48:1503:48Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。03:48:1503:48:1503:48Thursday,December29,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2203:48:1503:48:15December29,202214、他乡生生白发，，旧国见见青山。。。29十十二月202