信息安全管理基础

第二章信息安全管理基础

刘永华（教授）1/5/20231本章内容信息安全管理体系信息安全管理标准信息安全策略信息安全技术1/5/20232信息技术/网络技术改变生活方式政府商业个人生活金融1/5/20233信息安全现状日益增长的安全威胁攻击技术越来越复杂入侵条件越来越简单1/5/20234黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫1/5/20235安全事件每年都有上千家政府网站被攻击安全影响任何网络都可能遭受入侵1/5/20236系统的定义：系统是由相互作用和相互依赖的若干部分结合成的具特定功能的整体。系统一般包括下列因素：1、一种产品或者组件，如计算机、所有的外部设备等；

2、操作系统、通信系统和其他相关的设备、软件，构成了一个组织的基本结构；

3、多个应用系统或软件（财务、人事、业务等）

4、it部门的员工

5、内部用户和管理层

6、客户和其他外部用户

7、周围环境，包括媒体、竞争者、上层管理机构。1/5/20237信息安全管理覆盖的内容非常广泛，涉及到信息和网络系统的各个层面，以及生命周期的各个阶段。不同方面的管理内容彼此之间存在着一定的关联性，它们共同构成一个全面的有机整体，以使管理措施保障达到信息安全的目，这个有机整体被称为信息安全管理体系。信息安全管理体系1/5/20238物理层面网络层面系统层面应用层面管理层面安全管理制度业务处理流程

业务应用系统数据库应用系统

身份鉴别机制强制访问控制防火墙入侵检测系统物理设备安全环境安全信息安全体系信息系统安全体系结构1/5/20239定义：信息安全管理体系（InformationSecurityManagementSystem，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这些目标所用的方法和手段所构成的体系；信息安全管理体系是信息安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程序、过程和资源的集合。信息安全管理体系定义1/5/202310建立立信信息息安安全全管管理理体体系系的的意意义义ISMS是是组组织织整整体体管管理理体体系系的的一一部部分分，，是是组组织织在在整整体体或或特特定定范范围围内内建建立立信信息息安安全全的的方方针针和和目目标标，，以以及及完完成成这这些些目目标标所所用用的的方方法法的的体体系系。。安全全管管理理体体系系是是安安全全技技术术体体系系真真正正有有效效发发挥挥保保护护作作用用的的重重要要保保障障，，安安全全管管理理体体系系的的涉涉及及立立足足于于总总体体安安全全策策略略，，并并与与安安全全技技术术体体系系相相互互配配合合，，增增强强技技术术防防护护体体系系的的效效率率和和效效果果，，同同时时，，也也弥弥补补当当前前技技术术无无法法完完全全解解决决的的安安全全缺缺陷陷。。12/29/202211强化化员员工工的的信信息息安安全全意意识识，，规规范范组组织织信信息息安安全全行行为为；；促使使管管理理层层贯贯彻彻信信息息安安全全保保障障体体系系；；对组组织织的的关关键键信信息息资资产产进进行行全全面面系系统统的的保保护护，，维维持持竞竞争争优优势势；；在信信息息系系统统受受到到侵侵袭袭时时，，确确保保业业务务持持续续开开展展并并将将损损失失降降到到最最低低程程度度；；使组组织织的的生生意意伙伙伴伴和和客客户户对对组组织织充充满满信信心心；；如果果通通过过体体系系认认证证，，表表明明体体系系符符合合标标准准，，证证明明组组织织有有能能力力保保障障重重要要信信息息，，可可以以提提高高组组织织的的知知名名度度与与信信任任度度。。组织织建建立立、、实实施施与与保保持持ISMS将将会会产产生生如如下下作作用用：12/29/202212ISO27001是建建立立和和维维护护信信息息安安全全管管理理体体系系的的标标准准，，它它要要求求应应该该通通过过这这样样的的过过程程来来建建立立ISMS框框架架：：确确定定体体系系范范围围，，制制定定信信息息安安全全侧侧率率，，明明确确管管理理职职责责，，通通过过风风险险评评估估确确定定控控制制目目标标和和控控制制方方式式。。ISO27001非非常常强强调调信信息息安安全全管管理理过过程程中中文文件件化化的的工工作作，，ISMS的的文文件件体体系系应应该该包包括括安安全全策策略略、、适适用用性性声声明明（（选选择择和和未未选选择择的的控控制制目目标标和和控控制制措措施施））、、实实施施安安全全控控制制所所需需的的程程序序文文件件、、ISMS管管理理和和操操作作程程序序，，以以及及组组织织围围绕绕ISMS开开展展的的所所有有活活动动的的证证明明材材料料。。信息息安安全全管管理理体体系系标标准准12/29/202213信息息安安全全管管理理的的基基本本原原则则一、、总总体体原原则则1、、主主要要领领导导负负责责原原则则2、、规规范范定定级级原原则则3、、以以人人为为本本原原则则4、、适适度度安安全全原原则则5、、全全面面防防范范、、突突出出重重点点原原则则6、、系系统统、、动动态态原原则则7、、控控制制社社会会影影响响原原则则。。二、、安安全全策策略略管管理理1、、分分权权制制衡衡2、、最最小小特特权权3、、选选用用成成熟熟技技术术4、、普普遍遍参参与与。。12/29/202214信息安全全保证工工作事关关大局，，企业、、组织各各级领导导应该把把信息安安全列为为其最重重要的工工作内容容之一，，并负责责成提高高、加强强内部人人员的安安全意识识，组织织有效的的技术和和管理队队伍，调调动优化化配置必必要的资资源和经经费，协协调信息息安全管管理工作作与各部部门工作作的关系系，确保保信息安安全保障障工作的的落实和和效果。。主要领导导负责原原则12/29/202215规范定级级原则分级、分分类是信信息安全全保障工工作有的的放矢的的前提，，是界定定和保护护重点信信息系统统的依据据，只有有通过合合理、规规范的分分级、分分类才能能落实重重点投资资、重点点防护。。12/29/202216以人为本本原则信息安全全保障在在很大程程度上受受制于人人为的因因素。加加强信息息安全教教育、培培训和管管理，强强化安全全意识和和法制观观念，提提升职业业道德，，掌握安安全技术术，确保保措施落落实是做做好信息息安全管管理工作作的重要要保证。。12/29/202217适度安安全原原则安全需需求的的不断断增加加和现现实资资源的的局限限性是是安全全决策策处于于两难难境地地，恰恰当地地平衡衡安全全投入入与效效果是是从全全局上上处置置好安安全管管理工工作的的出发发点。。12/29/202218全面防防范、、突出出重点点的原原则全面防防范是是保障障信息息系统统安全全的关关键。。它需需要从从人员员、管管理和和技术术等方方面，，在预预警、、保护护、检检测、、反应应、恢恢复和和跟踪踪等多多个环环节上上采用用多种种技术术实现现。同同时，，又要要从组组织和和机构构的实实际情情况出出发，，突出出自身身的安安全管管理重重点。。12/29/202219系统、、动态态原则则信息安安全管管理工工作的的系统统特征征突出出。要要按照照系统统工程程的要要求，，注意意各方方面、、各层层次、、各时时期的的相互互协调调、匹匹配和和衔接接，以以便体体现系系统集集成效效果和和前期期投入入的效效益。。同时时，信信息安安全又又是一一种状状态和和动态态反馈馈过程程，随随着安安全利利益和和系统统脆弱弱性时时空分分布的的变化化，威威胁程程度的的提高高，系系统环环境的的变化化以及及人员员对系系统安安全认认识的的深化化等，，应及及时地地将现现有的的安全全策略略、风风险接接受程程度和和保护护措施施进行行复查查、修修改、、调整整以至至提升升安全全管理理等级级。12/29/202220控制社社会影影响原原则对安全全事件件的处处理应应有授授权者者适时时披露露并发发布准准确一一致的的有关关信息息，避避免带带来不不良的的社会会影响响。12/29/202221分权制制衡策策略减少未未授权权的修修改或或滥用用系统统资源源的机机会，，对特特定职职能或或责任任领域域的管管理能能力实实施分分离、、独立立审计计，避避免操操作权权力过过分集集中。。12/29/202222最小特特权策策略任何实实体（（如用用户、、管理理员、、进程程、应应用或或系统统）仅仅享有有该实实体需需要完完成其其任务务所必必需的的特权权，不不应享享有任任何多多余的的特权权。12/29/202223选用成熟熟技术策策略成熟的技技术提供供了可靠靠性、稳稳定性保保证，采采用新技技术时要要重视其其成熟的的程度。。如果新新技术势势在必行行，应该该首先局局部试点点，然后后逐步推推广，减减少或避避免可能能出现的的损失。。12/29/202224普遍参与与策略不论信息息系统的的安全等等级如何何，要求求信息系系统所涉涉及的人人员普遍遍参与并并与社会会相关方方面协同同、协调调，共同同保障信信息系统统安全。。12/29/202225信息安全全管理的的目标如如下：目

标描

述合规性管理的合规性，主要是指在有章可循的基础之上，确保信息安全工作符合国家法律、法规、行业标准，机构内部的方针和规定。流程规范性管理是过程性的工作。要确保信息安全工作的相关过程具有规范性。整体协调性信息安全管理工作不能独立进行，不可能超越机构其他方面的管理工作而达到更高的级别。因此，信息安全保障工作需要与其他方面的管理工作一起协调开展。执行落实性通过检查、监督、审计、稽核等手段促进信息安全保障工作的落实。变更可控性信息系统中的任何变更需要有全程的监控管理。责任性确保信息安全责任能够追究到人。持续改进通过开展信息安全管理，不断发现问题和解决问题，形成持续改进的信息安全保障态势。计划性信息安全保障工作能够有计划、分阶段的展开，确保信息安全投资能够产生最大效益。12/29/202226信息安全全管理内内容流程规范性整体协调性执行落实性变更可控性责任性持续改进型计划性合规性信息安全管理内容12/29/2022271、通过过信息安安全管理理过程完完成信息息安全管管理方面面的要求求。2、通过过信息安安全管理理过程驱驱动信息息安全技技术的实实施，达达到信息息安全在在技术方方面的要要求。信息息安安全全管管理理的的基基本本任任务务12/29/202228信息息安安全全方方针针与与策策略略信息息安安全全方方针针和和策策略略主要要包包括括对信信息息安安全全进进行行总总体体性性指指导导和和规规划划的的管管理理过过程程。。这这些些过过程程包包括括：：安安全全方方针针和和策策略略、、资资金金投投入入管管理理和和信信息息安安全全规规划划等等。。12/29/202229安全全方方针针和和策策略略方针针和和策策略略属属于于一一般般管管理理中中的的策策略略管管理理。。方方针针和和策策略略是是信信息息安安全全保保障障工工作作的的整整体体性性指指导导和和要要求求。。安安全全方方针针和和策策略略需需要要有有相相应应的的制制定定、、审审核核和和改改进进过过程程。。12/29/202230资金投入管管理信息安全保保障工作需需要有足够够的资金支支撑。但从从另一个方方面来讲，，绝对的安安全是无法法实现的，，因此，需需要考虑资资金投入和和经济效益益之间的平平衡。12/29/202231信息安全规规划信息安全保保障工作是是一项涉及及面较广的的工作，同同时也是一一项持续的的、长期的的工作。因因此，信息息安全保障障工作需要要有长期、中期期、短期的的计划。12/29/202232信息安全人人员和组织织人员和组织织管理是信信息安全管管理的基本本过程。人人员和组织织是执行信信息安全保保障工作的的主体。12/29/202233在人员和组组织管理方方面，最基基本的管理理包括：1、保障有有足够的人人力资源从从事信息安安全保障工工作；2、确保人人员有明确确的角色和和责任；3、保证从从业人员经经过了适当当的信息安安全教育和和培训，有有足够的安安全意识。。4、机构中中的信息安安全相关人人员能够在在有效的组组织结构下下展开工作作。12/29/202234基于信息系系统各个层层次的安全全管理信息系统是是有层次的的。因此在在信息系统统的安全保保护中也存在层次的的特点，对应各个个层次也有有相应的信信息安全管管理工作。。基于信息息系统的各各个层次，，可相应在在如下层次次中开展信信息安全管管理：环境和设备备安全、网网络和通信信安全、主主机和系统统安全、应应用和业务务安全、数数据安全。。12/29/202235环境和设设备安全全也称为物物理安全全。在这类类安全管管理过程程中，主主要是涉涉及信息息系统和和信息工工作所在在的环境境安全，，以及信信息设备备方面的的安全。。另外，，文档和和介质是是存储数数据的特特殊载体体，因此此，也应应当对其其进行适适度的管管理。物物理安全全是上层层安全的的基础。。12/29/202236网络和通通信安全全网络系统统和通信信系统使使得信息息系统可可以覆盖盖各个地地理位置置和业务务场所。。网络和和通信安安全，特特别是全全程全网网的安全全是信息息安全保保障工作作的关键键环节。。12/29/202237主机和系系统安全全主机及主主机上的的操作系系统、数数据库管管理系统统以及各各种支撑撑系统等等，是承承载业务务系统的的基础平平台。主主机和系系统是信信息系统统威胁的的主要目目标之一一。12/29/202238应用和业业务安全全应用和业业务系统统是最终终实现各各项业务务工作的的上层系系统。对对相应应应用系统统的安全全管理要要与具体体的业务务特点相相结合。。12/29/202239数据安安全数据安安全在在信息息安全全中占占有非非常重重要的的地位位。数数据的的保密性性、数据据的完整性性、数据据内容容的真实性性和可靠性性等安全全特性性的要要求在在业务务中都都非常常突出出。12/29/202240基于信信息系系统生生命周周期的的安全全管理理信息系系统是是由生生命周周期的的。信信息安安全保保障也也涉及及到信信息系系统生生命周周期的的各个个阶段段。信息系系统生生命周周期可可以划划分为为两个个阶段段：1、系系统投投入前前的工工程设设计和和开发发阶段段；2、系系统的的运行行和维维护阶阶段。。12/29/202241信息系统安安全和信息息系统本身身的三同步步1、同步规规划2、同步建建设3、同步运运行12/29/202242项目工程安安全管理在信息系统统投入运行行前，信息息系统安全全的能力、、强度、脆脆弱性、可可改进的潜潜力等方面面有相当的的部分已经经确定和定定型。因此此，对于一一个信息系系统，不应应当在系统统建设完成成后再考虑虑信息安全全问题，而而应当从系系统建设的的初期开始始，在建设设的整个过过程中同步步考虑。12/29/202243日常运行于于维护的安安全管理一个信息系系统及其信信息安全系系统建设完完成后，其其安全工作作并没有结结束。真正正的安全效效果需要通通过日常运运行中的安安全管理来来实现，工工程过程中中奠定的信信息安全基基础需要通通过管理手手段加以发发挥。12/29/202244配置管理和和变更管理理配置管理和和变更管理理是任何形形式的管理理中不可或或缺的管理理过程。在在信息安全全管理中，，这两方面面管理的作作用尤为突突出。1、配置管理：从信息安全全管理的角角度看，应应当对被保保护的资产产以及相应应的保护措措施进行配配置描述，，并应当对对各个配置置描述进行行持续的跟跟踪管理。。2、变更管理：人员、设设备、流程程等各个方方面的变化化，都可能能导致信息息安全风险险的变化，，因此，要要对信息系系统中重要要的变更进进行管理。。需要建立立正规的变变更流程来来控制变更更可能导致致的风险。。12/29/202245文档化和和流程规规范化文档化是信息安安全管理理工作的的重要部部分。只只有将各各种管理理办法、、管理过过程、管管理要求求等通过过文档的的形式明明确下来来，才能能保证信信息安全全管理工工作进一一步得到到落实和和贯彻。。业务的的运行以以及单位位自身的的正常运运营需要要通过许许多操作作过程（（流程）来具体体实现，，管理流流程的规规范化程程度可以以体现管管理的水水平。12/29/202246新技技术术、、新新方方法法的的跟跟踪踪和和采采用用不断断运运用用新新技技术术、、新新方方法法是是提提高高业业务务能能力力和和竞竞争争力力水水平平的的重重要要手手段段。。因因此此，，对对于于新新技技术术和和新新方方法法要要不不断断跟跟踪踪，，并并有有计计划划地地将将新新技技术术和和新新方方法法应应用用到到业业务务系系统统中中。。甚甚至至，，为为了了保保证证竞竞争争力力的的持持续续提提高高，，还还要要进进行行前前瞻瞻性性的的技技术术和和方方法法研研究究。。但但是是新新的的技技术术和和方方法法可可能能带带来来新新的的风风险险，，甚甚至至一一些些风风险险在在该该技技术术没没有有得得到到广广泛泛应应用用和和成成熟熟化化之之前前很很难难被被发发现现。。因因此此，，在在采采取取任任何何较较新新的的技技术术和和方方法法之之前前，，都都要要进进行行严严格格的的安安全全评评估估。。12/29/202247风险险管管理理风险险管管理理是是基基本本管管理理过过程程之之一一。。信信息息安安全全风风险险管管理理是是整整体体风风险险管管理理的的一一个个有有机机组组成成部部分分，，是是其其在在信信息息化化领领域域的的具具体体体体现现。。在在信信息息安安全全风风险险管管理理过过程程中中，，要要实实施施如如下下工工作作：：1、、资产产鉴鉴别别、、分分类类和和评评价价2、、威胁胁鉴鉴别别和和评评价价3、、脆弱弱性性评评估估—评评估估防防护护措措施施的的效效力力和和存存在在的的脆脆弱弱性性4、、安全全风风险险评评估估和和评评级级—综综合合资资产产、、威威胁胁、、脆脆弱弱性性的的评评估估和和评评价价，，完完成成最最终终的的风风险险评评估估和和评评级级。。5、、决策策并并实实施施风风险险处处理理措措施施—根根据据风风险险评评估估的的结结果果，，作作出出风风险险处处理理和和控控制制的的相相关关决决策策，，并并投投入入实实施施。。12/29/202248业务务连连续续性性管管理理业务务连连续续性性管管理理不不仅仅仅仅是是灾灾难难恢恢复复、、危危机机管管理理、、风风险险管管理理控控制制或或者者技技术术恢恢复复，，也也不不仅仅仅仅是是一一个个专专业业的的技技术术问问题题，，更更重重要要的的是是一一个个业业务务驱驱动动和和高高层层驱驱动动的的管管理理问问题题。。它它是是一一个个全盘的的管理理过程程，重在在识别别潜在在的影影响，，建立立整体体的恢恢复能能力和和顺应应能力力，在在危机机或灾灾害发发生时时保护护信息息系统统所有有者的的声誉誉和利利益。。12/29/202249符合性性审核核符合性性审核核是确确保整整体管管理工工作有有效实实施的的重要要管理理过程程。此此类管管理过过程可可以将将信息息安全全管理理工作作纳入入到一一个良良性的的、持持续改改进的的循环环中。。需要考考虑的的审核核内容容包括括：法律和和法规规、内内部的的方针针和制制度、、技术术标准准以及及其他他需要要遵循循的各各种范范围要要求。。12/29/202250信息安安全管管理体体系构构成1、方方针与与策略略管理理2、风风险管管理3、人人员与与组织织管理理4、环环境与与设备备管理理5、网网络与与通信信管理理6、主主机与与系统统管理理7、应应用于于业务务管理理8、数数据/文档档/介介质9、项项目工工程管管理10、、运行行维护护管理理11、、业务务连续续性管管理12、、合规规性管管理12/29/202251数据/文档/介质管管理方针和和策略略管理理应用与与业务务管理理主机与与系统统管理理网络与与通信信管理理环境与与设备备管理理风险管管理业务连连续性性管理理项目工程管理运行维护管理人员和组织管理合规性性管理理信息安安全管管理体体系构构成12/29/202252方针针与与策策略略管管理理确保保企企业业、、组组织织拥拥有有明明确确的的信信息息安安全全方方针针以以及及配配套套的的策策略略和和制制度度，，以以实实现现对对信信息息安安全全工工作作的的支支持持和和承承诺诺，，保保证证信信息息安安全全的的资资金金投投入入。。12/29/202253风险管理理信息安全全建设不不是避免免风险的的过程，，而是管管理风险险的过程程。没有有绝对的的安全，，风险总总是存在在的。信信息安全全体系建建设的目目标就是是把风险险控制在在可以接接受的范范围之内内，风险险管理同同时也是是一个动动态持续续的过程程。12/29/202254人员与组组织管理理建立组织织机构，，明确人人员岗位位职责，，提供安安全教育育和培训训，对第第三方人人员进行行管理，，协调信信息安全全监管部部门与行行内其他他部门之之间的关关系，保保证信息息安全工工作的人人力资源源要求，，避免由由于人员员和组织织上的错错误产生生信息安安全风险险。12/29/202255环境与设设备管理理控制由于于物理环环境和硬硬件设施施的不当当所产生生的风险险。管理理的内容容包括物物理环境境安全、、设备安安全、介介质安全全等。12/29/202256网络与通信信安全控制、保护护网络和通通信系统，，防止受到到破坏和滥滥用，避免免和降低由由于网络和和通信系统统的问题对对业务系统统的损害。。12/29/202257主机与系统统管理控制和保护护主机及其其系统，防防止受到破破坏和滥用用，避免和和降低由此此对业务系系统的损害害。12/29/202258应用与业务务管理对各类应用用和业务系系统进行安安全管理，，防止受到到破坏和滥滥用。12/29/202259数据/文档档/介质管管理采用数据加加密和完整整性保护机机制，防止止数据被窃窃取和篡改改，保护业业务数据的的安全。12/29/202260项目工程管管理保护信息系系统项目过过程的安全全，确保项项目的成果果是可靠的的安全系统统。12/29/202261运行维护管管理保护信息系系统在运行行期间的安安全，并确确保系统维维护工作的的安全。12/29/202262业务连连续性性管理理通过设设计和和执行行业务务连续续性计计划，，确保保信息息系统统在任任何灾灾难和和攻击击下，，都能能够保保证业业务的的连续续性。。12/29/202263合规性性管理理确保信信息安安全保保障工工作符符合国国家法法律、、法规规的要要求；；并且且信息息安全全方针针、规规定和和标准准得到到了遵遵循。。12/29/20226412项项信息息安全全管理理类的的作用用关系系1、方针与与策略略管理理：是整整个信信息安安全管管理工工作的的基础础和整整体指指导，，对于于其他他所有有的信信息安安全管管理类类都有有指导导和约约束的的关系系。12/29/20226512项信信息安全全管理类类的作用用关系2、人员与组组织管理理：是要根根据方针针和策略略来执行行的信息息安全管管理工作作。12/29/20226612项信信息安全全管理类类的作用用关系3、合规性管管理：指导如如何检查查信息安安全管理理工作的的效果。。特别是是对于国国家法律律法规，，方针政政策和标标准符合合程度的的检验。。12/29/20226712项信信息安全全管理类类的作用用关系4、根据据方针与与策略，，由人员员与组织织实施信信息安全全管理工工作。在在实施中中主要从从两个角角度来考考虑问题题，即风风险管理理和业务务连续性性管理。。12/29/20226812项信息息安全管理理类的作用用关系5、根据信信息系统的的生命周期期，可以将将信息系统统分为两个阶段，即项目工工程开发阶阶段和运行行维护阶段段。这两个个信息安全全管理类体体现了信息息系统和信信息安全工工作的生命命周期特性性。12/29/202269第二节信信息安全全管理标准准一、BS7799二、其他他标准12/29/202270BS7799简介BS7799概述：BS7799是英国标准准委员会（（BritshStandardsInsstitute,BSI）针对对信息安全全管理而制制定的标准准。分为两个部部分：第一部分：：被国际标标准化组织织ISO采采纳成为ISO/IEC17799:2005标准的的部分，是是信息安全全管理实施施细则（CodeofPracticeforInformationSecurityManage-ment），主要要供负责信信息安全系系统开发的的人员参考考使用，其其主要内容容分为11方面，提提供了133项安全全控制措施施（最佳实实践）。第二部分：：被国际标标准化组织织ISO采采纳成为ISO/IEC20071:2005标准的的部分，是是建立信息息安全管理理体系（ISMS））的一套规规范（SpecificationforInformationSecurityManagementSystems））,其中中详细说明明了建立、、实施和维维护信息安安全管理体体系的要求求，可以用用来指导相相关人员应应用ISO/IEC17799:2005,其最终目目的在于建建立适合企企业需要的的信息安全全管理体系系。12/29/202271BS7799发发展展历历程程BS7799最最初初由由英英国国贸贸工工部部立立项项，，是是业业界界、、政政府府和和商商业业机机构构共共同同倡倡导导的的，，旨旨在在开开发发一一套套可可供供开开发发、、实实施施和和衡衡量量有有效效信信息息安安全全管管理理实实践践的的通通用用框框架架。。1995年年，，BS7799-1:1995《《信信息息安安全全管管理理实实施施细细则则》》首首次次发发布布1998年年，，BS7799-2:1998《《信信息息安安全全管管理理体体系系规规范范》》发发布布1999年年4月月，，BS7799的的两两个个部部分分被被修修订订，，形形成成了了完完整整的的BS7799-1:19992000年年国国际际信信息息化化标标准准组组织织将将其其转转化化为为国国际际标标准准，，即即ISO/IEC17799:2000《《信信息息技技术术——信信息息安安全全管管理理实实施施细细则则》》2002年年BSI对对BS7799-2：：1999进进行行了了重重新新修修订订，，正正式式引引入入PDCA过过程程模模型型；；2004年年9月月BS7799-2:2002正正式式发发布布2005年年6月月，，ISO/IEC17799:2000经经过过改改版版，，形形成成了了新新的的ISO/IEC17799:2005,同同年年10月月推推出出了了ISO/IEC27001:2005目前前有有20多多个个国国家家和和地地区区引引用用BS7799作作为为本本国国（（地地区区））标标准准，，有有40多多个个国国家家和和地地区区开开展展了了与与此此相相关关的的业业务务。。在我我国国ISO17799:2000已已经经被被转转化化为为GB/T19716-200512/29/202272BS7799的的内内容容*BS7799-1:《《信信息息安安全全管管理理实实施施规规则则》》主要要是是给给负负责责开开发发的的人人员员作作为为参参考考文文档档使使用用，，从从而而在在他他们们的的机机构构内内部部实实施施和和维维护护信信息息安安全全。。*BS7799-2:《《信信息息安安全全管管理理体体系系规规范范》》详细细说说明明了了建建立立、、实实施施和和维维护护信信息息安安全全管管理理体体系系的的要要求求，，指指出出实实施施组组织织需需要要通通过过风风险险评评估估来来鉴鉴定定最最适适宜宜的的控控制制对对象象，，并并根根据据自自己己的的需需求求采采取取适适当当的的安安全全控控制制。。12/29/202273信息息安安全全管管理理实实施施细细则则将将信信息息安安全全管管理理内内容容划划分分为为11个个方方面面，，39个个控控制制目目标标，，133项项控控制制措措施施，，供供信信息息安安全全管管理理体体系系实实施施者者参参考考使使用用，，这这11个个方方面面包包括括：：1、、安全全策策略略（（SecurityPolicy））2、、组组织织信信息息安安全全(OrganizingInformationSecurity)3、、资资产产管管理理(AssetMangement)4、、人人力力资资源源安安全全(HumanResourcesSecurity)5、、物物理理与与环环境境安安全全(PhysicalandEnvironmentalSecurity)BS7799-1(ISO/IEC17799)12/29/2022746、通信与与操作作管理理(CommunicationandOperationManagement)7、访访问控控制(AccessControl)8、信信息系系统获获取、、开发发与维维护(InformationSystemsAcquisition,DevelopmentandMaintenance)9、信信息安安全事事件管管理(InformationSecurityIncidentManagement)10、、业务务连续续性管管理(BusinessContinuityManagement)11、、符合合性(Compliance)12/29/202275安全策策略：包括括信息息安全全策略略文件件和信信息安安全策策略复复查。。组织安安全：包括括在组组织内内建立立发起起和控控制信信息安安全实实施的的管理理框架架；维维护被被外部部伙伴伴访问问、处处理和和管理理的组组织的的信息息，处处理设设施和和信息息资产产的安安全。。资产管管理：包括括建立立资产产清单单、进进行信信息分分类与与分级级人力资资源安安全：包括括岗位位安全全责任任和人人员录录用安安全要要求，，安全全教育育与培培训，，安全全意识识，离离职及及变更更职位位等。。BS7799-1(ISO/IEC17799)12/29/202276物理与与环境境安全全：包括括安全全区域域控制制、设设备安安全管管理等等通信与与操作作管理理：包括括操作作程序序和责责任，，系统统规划划和验验收，，防范范恶意意软件件，内内务管管理，，网络络管理理，介介质安安全管管理，，信息息与软软件交交换安安全访问控控制：包括括访问问控制制策略略，用用户访访问控控制，，网络络访问问控制制，操操作系系统访访问控控制，，应用用访问问控制制，监监控与与审计计，移移动和和远程程访问问BS7799-1(ISO/IEC17799)12/29/202277信息系系统获获取、、开发发与维维护：安全全需求求分析析，安安全机机制设设计（（应用用系统统安全全，密密码控控制，，系统统文件件安全全），，开发发和支支持过过程的的安全全控制制信息安安全事事件管管理：报告告信息息安全全事件件、安安全缺缺陷；；责任任和程程序、、从信信息安安全事事件吸吸取教教训、、证据据收集集。业务连连续性性管理理：业务务连续续性计计划的的制订订，演演习，，审核核，改改进符合性性管理理：符合合法律律法规规，符符合安安全策策略等等。BS7799-1(ISO/IEC17799)12/29/202278对控制措措施的描描述不够够细致，，导致缺缺乏可操操作性；；133项项控制措措施未必必适合全全部的组组织，应应当有选选择的参参考使用用；133项项控制措措施未必必全面，，可以根根据实际际情况进进行增补补。BS7799-1(ISO/IEC17799)12/29/202279ISO/IEC17799:2005列举了十十项适用用于几乎乎所有组组织和大大多数环环境的控控制措施施：1、与法法律相关关的控制制措施：：（1）知识产权权：遵守知知识产权权保护和和软件产产品保护护的法律律；（2）保护组织织的记录录：保护重重要的记记录不丢丢失，不不被破坏坏和伪造造；（3）数据保护护和个人人信息隐隐私：遵守所所在国的的数据保保护法律律。BS7799-1(ISO/IEC17799)12/29/2022802、与最佳佳实践相关关的控制措措施：（1）信息息安全策略略文件：高高管批准发发布信息安安全策略文文件，并广广泛告知；；（2）信息息安全责任任的分配：：清晰地所所有的信息息安全责任任；（3）信息息安全意识识、教育和和培训：全全体员工及及相关人员员应该接受受恰当的意意识培训；BS7799-1(ISO/IEC17799)12/29/202281（4）正确确处理应用用程序：防防止应用程程序中的信信息出错、、丢失或被被非授权篡篡改及误用用；（5）漏洞洞管理：防防止利用已已发布的漏漏洞信息来来实施破坏坏；（6）管理理信息安全全事件和改改进：确保保采取一致致和有效的的方法来管管理信息安安全事件。。（7）业务务连续性管管理：减少少业务活动动中断，保保护关键业业务过程不不受重大事事故或灾难难影响。BS7799-1(ISO/IEC17799)12/29/202282信息安全管管理体系规规范(SpecificationforInformationSecurityManagementSystem)说明了建立立、实施、、维护，并并持续改进进ISMS的要求指导实施者者如何利用用BS7799-1来建立一一个有效的的ISMSBSI提供供依据BS7799-2所建建立ISMS的认证证BS7799-2/ISO2700112/29/202283建立ISMS（PLAN）定义ISMS的范围围和策略识别和评估估风险评估现有保保证措施准备适用性性说明取得管理层层对残留风风险的认可可，并获得得实施ISMS的授授权BS7799-2/ISO2700112/29/202284实施ISMS（DO）制订并实施施风险处理理计划实施安全控控制措施实施安全意意识和安全全教育培训训实施检测和和响应安全全机制BS7799-2/ISO2700112/29/202285监视和复查查ISMS（CHECK）实施监视程程序和控制制定期复审ISMS的的效力定期进行ISMS内内部审计复查残留风风险和可接接受风险的的水平BS7799-2/ISO2700112/29/202286改进进ISMS（（ACT））对ISMS实实施施可可识识别别的的改改进进实施施纠纠正正和和预预防防措措施施确保保改改进进成成果果满满足足预预期期目目标标BS7799-2/ISO2700112/29/202287强调调文文档档化化管管理理的的重重要要作作用用，，文文档档体体系系包包括括安全全策策略略适用用性性声声明明实施施安安全全控控制制的的规规程程文文档档ISMS管管理理和和操操作作规规程程与ISMS有有关关的的其其它它文文档档BS7799-2/ISO2700112/29/202288建立ISMS的的过程制订安全全策略确定体系系范围明确管理理职责通过安全全风险评评估确定定控制目目标和控控制措施施复查、维维护与持持续改进进BS7799-2/ISO2700112/29/202289二、其他他标准1、PD3000BS7799标标准本身身是不具具有很强强的可实实施性的的，为了了指导组组织更好好地建立立ISMS并应应对BS7799认证证审核的的要求，，BSIDISC提供供了一组组有针对对性的指指导文件件，即PD3000系系列。12/29/2022902、CC（1）信信息技术术产品和和系统安安全性测测评标准准，是信信息安全全标准体体系中非非常重要要的一个个分支；；是目前前国际上上最通行行的信息息技术产产品及系系统安全全性测评评标准，，也是信信息技术术安全性性评估结结果国际际互认的的基础。。（2）CC、ISO/IEC15408、、GB/T18336是同一一个标准准。（3）CC的组组要目标标读者是是用户、、开发者者和评估估者。（4））与BS7799标标准相相比，，CC的侧侧重点点放在在系统统和产产品的的技术术指标标评价价上；；组织织在依依照BS7799标标准来来实施施ISMS时，，一些些牵涉涉系统统和产产品安安全的的技术术要求求，可可以借借鉴CC标标准。。12/29/2022913、ISO/IECTR13335（1））信息息和通通信技技术安安全管管理，，是由由ISO/IECJTC1制定定的技技术报报告，，是一一个信信息安安全管管理方方面的的指导导性标标准，，其目目的是是为有有效实实施IT安安全管管理提提供建建议和和支持持。（2））对信信息安安全风风险及及其构构成要要素间间关系系的描描述非非常具具体，，对风风险评评估方方法过过程的的描述述很清清晰，，可用用来指指导实实施。。12/29/2022924、SSE-CMM（1））SSE-CMM模模型是是CMM在在系统统安全全工程程这个个具体体领域域应用用而产产生的的一个个分支支，是是美国国国家家安全全局（（NSA））领导导开发发的，，是专专门用用于系系统安安全工工程的的能力力程度度度模模型。。（2））ISO/IECDIS21827信信息技技术——系统统安全全工程程—能能力成成熟度度模型型（3））SSE-CMM将将系统统安全全工程程成熟熟度划划分为为5个个等级级（4））SSE-CMM可可以作作为评评估工工程实实施组组织（（如安安全服服务提提供商商）能能力与与资质质的标标准。。我国国国家家信息息安全全测评评认证证中心心在审审核专专业机机构信信息安安全服服务资资质时时，基基本上上就是是依据据SSE-CMM来来审核核并划划分等等级的的。12/29/2022935、NISTSP800系列美国国家家标准技技术委员员会（NIST）发布布的SpecialPublication800文档是是一系列列针对信信息安全全技术和和管理领领域的实实践参考考指南。。6、ITIL信息技术术基础设设施库（（ITInfrastructureLibrary），，是由英英国中央央计算机机与电信信局（CCTA）发布布的关于于IT服服务管理理最佳实实践的建建议和指指导方针针，旨在在解决IT服务务质量不不佳的情情况。12/29/2022947、CobiT信息及相相关技术术控制目目标（ControlObjectivesforInformationandrelatedTechnology,CobiT））是由美美国信息息系统审审计与控控制协会会针对IT过程程管理制制定的一一套基于于最佳实实践的控控制目标标，是目目前国际际上公认认的最先先进、最最权威的的安全与与信息技技术管理理和控制制标准。。12/29/202295第三节信信息息安全策策略一、信息息安全策策略概述述二、制定定信息安安全策略略三、确定定信息安安全策略略保护的的对象四、主要要信息安安全策略略五、信息息安全策策略的执执行和维维护12/29/202296安全策略略包括：：总体方针针，指导性性的战略略纲领文文件，阐阐明了企企业对于于信息安安全的看看法和立立场、信信息安全全的目标标和战略略、信息息安全所所涉及的的范围、、管理组组织构架架和责任任认定、、以及对对于信息息资产的的管理办办法等内内容针对特定定问题的的具体策策略，阐阐述了企企业对于于特定安安全问题题的声明明、立场场、适用用办法、、强制要要求、角角色、责责任认定定等内容容针对特定定系统的的具体策策略，更更为具体体和细化化，阐明明了特定定系统与与信息安安全有关关的使用用和维护护规则等等内容12/29/202297安全策略的的特点：力求全面和和明确，不不必过于具具体和深入入需要一个逐逐渐完善的的过程，不不可能一蹴蹴而就应当保持适适当的稳定定性12/29/202298信息安安全策策略定定义信息安安全策策略是一组组经过过高级级管理理层批批准，，正式式发布布和实实施的的纲领领性文文件，，描述述了一一个企企业、、组织织的高高层安安全目目标，，它描描述应应该做做什么么，而而不是是如何何去做做，一一份信信息安安全策策略就就像是是一份份工程程管理理计划划书，，这意意味着着它隐隐藏了了执行行的细细节。。信息安安全策策略是是一种种处理理安全全问题题的管管理策策略的的描述述。安安全策策略必必须遵遵循三三个基基本原原则：：确定定性、、完整整性和和有效效性。。12/29/202299信息息安安全全策策略略的的重重要要性性信息息安安全全策策略略是是位位于于核心心地地位位的方方针针和和政政策策的的集集合合，，虽虽然然它它并并不不涉涉及及具具体体的的执执行行细细节节，，但但是是明明确确描描述述了了安安全全保保护护的的对对象象范范围围，，能能够够保保证证后后续续的的控控制制措措施施被被合合理理的的执执行行，，能能够够对对安安全全产产品品的的选选择择及及管管理理实实践践起起到到指指导导和和约约束束作作用用。。遵遵循循安安全全策策略略的的信信息息系系统统建建设设和和管管理理将将会会形形成成一一个个统统一一的的有有机机整整体体，，使使得得系系统统具具有有更更好好的的安安全全性性。。12/29/2022100制定信信息安安全策策略的的时间间理想情情况下下，制制定信信息安安全策策略的的最佳佳时间间是在在发生生第一一起网网络安安全事事故之之前。。12/29/2022101安全员员需要要了解解的几几个问问题：：1、任任何业业务动动作过过程均均存在在不同同程度度的风风险；；2、保保险公公司不不愿向向没有有信息息安全全策略略的企企业投投保；；3、一一个包包括软软件开开发策策略在在内的的安全全策略略对与与开发发更安安全的的系统统是有有指导导作用用的。。4、在在安全全事故故发生生后，，安全全事故故很可可能重重复发发生，，所以以第一一次发发生后后实施施安全全策略略尽管管太晚晚，却却十分分必要要；5、发发生安安全事事故制制定安安全策策略时时，不不要把把重点点放在在攻破破的地地方，，要从从全局局考虑虑安全全问题题；6、安安全策策略给给用户户的印印象是是企业业对安安全问问题非非常认认真；；7、当当企业业为政政府或或机关关工作作或与与其合合作时时，一一份安安全策策略应应该是是首先先引起起注意意的事事项；；8、向向用户户展示示企业业质量量标准准控制制所要要求的的可评评价安安全程程序来来说，，安全全策略略可以以作为为该程程序的的指导导方针针。12/29/2022102信息安安全策策略开开发流流程1、确确定信信息安安全策策略的的范围围2、风风险评评估/分析析或者者审计计3、信信息安安全策策略的的审查查、批批准和和实施施12/29/2022103制定信息安安全策略制定信息安安全策略的的原则