BS7799标准详解.pptx

BS7799;为什么需要标准？;信息系统的广泛运用;没有绝对的安全;安全体系不是安全产品的简单加和;什么是BS7799？;BS7799 (1995);BS 7799 的组成;BS7799-1:《信息安全管理实施细则》;一.安全策略;陈述信息安全的管理意图、支持目标以及指导原则； 简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组织非常重要，例如: 1) 符合法律和合约的要求； 2) 安全教育的要求； 确定信息安全管理的一般责任和具体责任，包括报告安全事故; 参考支持安全策略的有关文献，例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。;1.2审查评估 每个策略应该有一个负责人，他根据明确规定的审查程序对策略进行维护和审查。审查过程应该确保在发生影响最初风险评估的基础的变化（如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更）时，对策略进行相应的审查。还应该进行以下预定的、阶段性的审查： 检查策略的有效性，通过所记录的安全事故的性质、数量以及影响反映出来； 控制措施的成本及其业务效率的影响。 ;2.具体实施案例 【信息安全策略的建设要点】：BS7799定义了安全策略是为信息安全活动提供了管理的方向以及所需的支持手段和管理层的承诺，同时安全策略还应该明确定义企业机构中安全策略的维护责任。典型的安全策略包含内容非常广泛，包括信息安全的定义和目的，以及在信息共享运转机制中安全防范的领域和重要性；管理意图的阐述，信息安全目标和原则的支持；安全策略、原则和标准的简要说明以及对机构尤其重要的规范实施条件的解释；阐述信息安全的职责；等等。 【实施方法与形式】天威诚信公司结合认证机构的建设特点，结合自身业务要求及运营风险，依据认证中心不同运营控制域分别制定了六个方面的安全策略，分别是人员安全策略、物理安全策略、逻辑安全策略、通讯安全策略密钥安全策略以及安全与审计策略。 在实际运营建设中，天威诚信参照BS7799建议的控制措施，对安全策略进行文档化控制，在企业范围内最大化的为广大用户及内部员工所了解和接受，并指导各种???定制度、操作程序的制定及实施，并定期进行评审和评估。 ;二.组织安全;1.1管理信息安全论坛 信息安全是一种由管理团队所有成员共同承担的业务责任。应该建立一个管理论坛，确保对安全措施有一个明确的方向并得到管理层的实际支持。论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。该论坛可以作为目前管理机构的一个组成部分。通常，论坛有以下作用： 审查和核准信息安全策略以及总体责任； 当信息资产暴露受到严重威胁时，监视重大变化。 ;1.2信息安全协调 在大型组织中，需要建立一个与组织规模相宜的跨部门管理论坛，由组织有关部门的管理代表参与，通过论坛协调信息安全控制措施的实施情况。通常，这类论坛： 就整个公司的信息安全的作用和责任达成一致； 就信息安全的特定方法和处理过程达成一致，如风险评估、安全分类系统； 就整个公司的信息安全活动达成一致并提供支持，例如安全警报程序。 ;1.3信息安全责任的划分 应该明确保护个人资产和执行具体安全程序步骤的责任。信息安全策略应提供在组织内分配安全任务和责任的一般指导原则。 必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。要明确以下范围。 应该确定负责各个资产和安全进程的管理人员，并记录责任的具体落实情况。 1.4信息处理设施的授权程序 对于新的信息处理设施，应该制定管理授权程序。应考虑以下问题。 新设施应获得适当的用户管理审核，授权新设施的范围和使用。应获得负责维护本地信息系统安全环境的管理人员的批准，以确保符合所有相关安全策略和要求。 如果需要，应检查硬件和软件以确保它们与其它系统组件兼容。 ;1.5专家信息安全建议 很多组织都需要专家级的信息安全建议。理想情况下，一位资深的全职信息安全顾问应该提出以下建议。 信息安全顾问或其它专家应负责为信息安全的各种问题提供建议，这些意见既可以来自他们本人，也可以来自外界。组织的信息安全工作的效率如何，取决于他们对安全威胁评估的质量和建议使用的控制措施。为得到最高的效率和最好的效果，信息安全顾问可以直接与管理层联系 在发生可疑的安全事故或破坏行为时，应尽早向信息安全顾问或其它专家进行咨询，以得到专家的指导或可供研究的资源。尽管多数内部安全调查是在管理层的控制下进行的，但仍然应该邀请安全顾问，倾听他们的建议，或由他们领导、实施这一调研活动。;1.6组之间的合作 与执法机关、管理部门、信息服务提供商和通信运营商签署的合同应保证：在发生安全事故时，能迅速采取行动并获得建议。同样的，也应该考虑加入安全组织和业界论坛。 应严格限制对安全信息的交换，以确保组织的必威体育官网网址信息没有传播给未经授