信息安全概述BS7799

信息安全概述信息安全标准介绍BS7799•信息安全管理概述•BS7799标准简介•信息安全管理实施细则•信息安全管理体系规范•BS7799认证过程•BS7799总结展望•其它安全标准信息安全的CIA目标保护信息的保密性、完整性和可用性——BS7799信息安全管理概述ConfidentialityIntegrityAvailabilityInformation组织的信息安全需求法律法规与合同条约的要求：•有关信息安全的法律法规是对组织的强制性要求，组织应该将适用于组织的法律法规转化为组织的信息安全要求。•计算机信息系统安全保护条例，知识产权保护，互联网安全管理规定……•考虑业务合作者和客户对组织提出的信息安全要求，包括合同要求、招标条件和承诺。组织的原则、目标和规定：•组织为业务正常运作所特别制定的原则、目标及信息处理的规定。•加强内部管理的要求。风险评估的结果：•安全控制要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。•这是信息安全管理的基础。信息安全管理概述信息安全管理概述信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理的核心就是风险管理。信息安全管理BS7799的安全观技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全管理概述威胁漏洞安全控制安全风险资产安全需求资产价值和潜在影响利用减少信息安全管理诸要素AccessControlsAssetClassificationControlsInformationSecurityPolicySecurityOrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceCommunicationsManagement信息安全管理概述BS7799信息安全管理的内容InfosecurityIncidentmanagement基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。•制定信息安全策略方针•风险评估和管理•控制目标和方式选择•风险控制和处理•安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。需要全员参与。遵循管理的一般模式——PDCA模型。信息安全管理概述PDCA信息安全管理模型根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。针对检查结果采取应对措施，改进安全状况。依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全管理概述•信息安全管理概述•BS7799标准简介•信息安全管理实施细则•信息安全管理体系规范•BS7799认证过程•BS7799总结展望•其它安全标准英国标准协会（BSI）英国标准学会（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍，完善自己的工作机构和体制，把标准化和质量管理以及对外贸易紧密结合起来开展工作BSI的宗旨：1.为增产节约努力协调生产者和用户之间的关系，促进生产，达到标准化（包括简化）2.制定和修订英国标准，并促进其贯彻执行3.以学会名义，对各种标志进行登记，并颁发许可证4.必要时采取各种行动，保护学会利益BS7799标准简介BS7799标准简介什么是BS7799？英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。由信息安全方面的最佳惯例组成的一套全面的控制集。信息安全管理方面最受推崇的国际标准。BS7799的目的为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信。BS7799标准简介BS7799标准简介BS7799的历史沿革1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。1995年2月——首次出版BS7799-1:1995《信息安全管理实施细则》。1998年2月——英国公布BS7799-2:《信息安全管理体系规范》。1999年4月——BS7799-1与BS7799-2修订后重新发布。2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799-1:2000《信息技术——信息安全管理实施细则》。2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用，并可望通过ISO组织认可。ISO27001:2005——建立信息安全管理体系（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。BS7799Part1BS7799199519992000200220052007ISO/IEC17799JISQ27002●●●●●●ISO/IEC17799JISX5080ISO/IEC270012005version2000version2005/062005-20062006●BS7799Part2ISMSVer1.0ISMSVer2.0JISQ270012005-20062005-2006BS7799标准简介BS7799的历史沿革BS7799标准简介BS7799的发展现状BS7799技术委员会是BSI-DISCCommitteeBDD/2，成员包括：•金融服务：英国保险协会，渣打会计协会，汇丰银行等•通信行业：大英电讯公司等•零售业：MarksandSpencerplc•国际组织：壳牌，联合利华，毕马威（KPMG）等目前除英国之外，国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西、日本等国采用BS7799。我国的台湾、香港地区也在推广该标准。日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极。全球目前有750多家机构通过了BS7799认证，涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。（可查询）目前大陆地区通过信息安全管理体系认证的有6家。BS7799简介BS7799（老版）的内容第一部分是信息安全管理实施细则（CodeofPracticeforInformationSecurityManagement），在10个标题中定义了127项安全控制：第二部分是建立信息安全管理系统（ISMS）的一套规范（SpecificationforInformationSecurityManagementSystems），详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准。安全策略Securitypolicy安全组织Securityorganisation资产分类与控制Assetclassification&control人员安全Personnelsecurity物理与环境安全Physical&environmentalsecurity通信与操作管理Communications&operationsmanagement系统开发与维护Systemsdevelopment&maintenance访问控制Accesscontrol业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介BS7799新版已经出台ISO17799:2005从10个域变到11个域，增加了“信息安全事件管理”去掉了9项控制，增加了17项控制，一共有133项控制加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求BS7799-2:2002ISO27001:2005（略做修改）附录引向ISO17799:2005原来的条款6（管理评审）分成现在的6（内审）、7（管理评审）两个部分ISO17799:2000GB/T19716:2005安全策略Securitypolicy人力资源安全Humanresourcesecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandoperationsmanagement信息系统获取、开发和维护Informationsystemsacquisition,developmentandmaintenance信息安全组织Organizationofinformationsecurity资产管理Assetmanagement访问控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介ISO17799:2005内容框架其他类似或相关文档BSIDISC提供了一组关于BS7799的系列指导文件（PD3000系列）：•PD3001–PreparingforBS7799Certification•PD3002–GuidetoRiskAssessmentandRiskManagement•PD3003–“AreyoureadyforaBS7799Audit?”•PD3004–GuidetoBS7799Auditing•PD3005–GuidetotheselectionofBS7799controls澳大利亚和新西兰等同采用BS7799，发布了AS/NZS4444（后来，根据ISO/IEC17799:2000颁布了AS/NZSISO/IEC17799:2001，根据BS7799-2:2002又颁布了AS/NZS7799.2:2003），此外，他们也有自己的信息安全管理标准，即AS/NZS4360。ISO/IECTR13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证。ISO/TR13569，银行和相关金融服务信息安全指南。BS7799标准简介•信息安全管理概述•BS7799标准简介•信息安全管理实施细则•信息安全管