利用Symantec产品及服务实现全方位的iso17799安全控制目标v0.5-Thunder Lei.pdf

利用Symantec产品和服务实现全方位的 ISO/IEC 27002 (ISO/IEC 17799：2005) 控制目标 Thunder Lei 2008 年12 月 赛门铁克软件（北京）有限公司 文档说明 本文档包含了赛门铁克软件（北京）有限公司的商业机密信息。本文档所涉及到的文 字、图表等，仅限于赛门铁克软件（北京）有限公司和被送达方内部使用，未经赛门 铁克软件（北京）有限公司书面许可，请勿扩散到第三方。 第1 页 / 总22 页 1 引言 目前国际标准化组织已经正式发布的ISMS （Information Security Management System ）国 际标准有两个：ISO/IEC27001 和ISO/IEC27002，它们是ISMS 的核心标准。  ISO/IEC27001:2005 ：信息安全管理体系要求 Information technology-Security techniques-Information security management systems-Requirements 该要求提供了可以作为风险管理评估结果使用的安全控制规格，可以作为 IT 企业正式通过 ISO/IEC27001 标准认证的依据。  ISO/IEC27002:2005 ：信息安全管理实用规则 Information technology-Security techniques-Code of practice for Information security management 该实用规则规定了一系列需要满足的关键安全目标，并确定了一系列可以用来满足这些目标的 安全控制措施。 ISO/IEC27001 于2005 年10 月正式发布。它同ISO9001 的性质一样，是ISMS 的要求标准。 ISO/IEC27001:2005 适用于所有类型的组织（如企事业单位、政府机关等）。它从组织的 整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了 要求，并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实 施要求。ISO/IEC27001:2005 是组织建立和实施ISMS 的依据，也是ISMS 认证机构实施审核的 依据。 ISO/IEC17799 于2000 年12 月正式发布，2005 年6 月发布修订版即ISO/IEC17799:2005 ， 原来版本同时废止。2007 年ISO/IEC17799 的标准序号更改为ISO/IEC27002 。 近年来，越来越多的企业采用ISO/IEC 27002(ISO/IEC 17799 ：2005)作为安全管理方面的最 佳实践参考，使用它来进行安全审计和风险评估，进而建立自己的信息安全管理系统（ISMS ）， 最终通过ISO/IEC 2700 1 认证。 通过本文档的介绍，读者可以了解到如何利用Symantec 公司的产品和服务来满足ISO/IEC 27002(ISO/IEC 17799 ：2005) 安全体系（ISMS ）建设方面的需求。 第2 页 / 总22 页 Confidence in a connected world 2 ISO/IEC 27002(ISO/IEC 17799 ：2005)控制 目标与措施 ISO/IEC 27002(ISO/IEC 17799 ：2005)定义了安全管理的十一个主要领域，它们分别是：安 全策略 （Security policy）、组织信息安全 （Organizing information security ）、资产管理 （Asset management ）、人力资源安全 （Human resources security ）、物理和环境安全 （Physical and environmen