BS7799
合集下载
BS7799认证成功转版为ISO27001
20 年 1 , S 792 05 0 B 79— 被国际标准组织首次采纳为国
际标准 ,经过修订后发布为 IO/ C 2 0 12 0 。 S I 7 0 :0 5 E I0 7 ( 信息安令管理体系要求 》是组织通过 国际认 S 2 0) l《
上具有代表『的信息安全管理体系标准。 生 在某些行业如I 和I 誊 c T
员用 以监 察 及 控 制 信 息 安 全 、 减 少商 业 风 险 和确 保 保 安 系统 持 续 符 合 企 业 、 客 户 及 法律 要 求 的 一 个 体 系 . O / Ec .I s I
6 NeTNF E UR T 270 8 I O S C IY 0 1 0
圈
维普资讯
本栏 目由
全的 、基于高可 性数据中心的外包服务 。
织 除了有 相 关 的机 制 去建 立 、实施 、运行 、监 视 、评审 、
G DS( o a D t S lt n i td Glb l aa oui s mi )万国数据服 务有限 o L e 公司是中国灾难恢 复行  ̄F 领军企业 , 力于推动中国 I# ̄ l, kj 致 Tt 包 服务的发 展。 D 万曰数据拥有 全国性的网络化高可用性数据 GS
黪 镪
镪
霉分
簪 。j 一 爨 毳 赣 警 t 。 … 缓 蘩荔 鬈 戆 甏 §
餮甏一 骥● 强 攀 强 馨翳 l 辩 蘸 薅镳毽 磐繇 缮《 | 磋 々 |蓼鸯 赣 瓤 冁 稳 誊
维普资讯
传 给 恶 意 的 接 收 者 时 , 同 样 的 信 息 也 可 能 导 致 一 所 机 构 倒 闭 : 在 当今 的信 息 时代 ,科 技 无疑 为 我 们 解 决 了不 少 问 题 国 际 标 准 组 织 ( S )应 此 类 需 求 ,制 定 了 IO2 0 1 IO S 70:
ISO27001 信息安全管理体系
• 信息是一种资产,就如同其他的商业资产一样, 对一个组织而言是具有价值的,因而需要妥善 保护。 • ISO17799/BS7799 Part 1:1999
2
信息的类型
• • • • • • • • • • 政府信息-国内重要的信息 内部信息-不希望竞争对手得到的信息 客户信息-不希望被泄露的信息 与贸易伙伴共享的信息 公开信息-任何人都可以自由使用的 列印或写在纸张上的 用电子方式储存的 以邮件传输(包括电子邮件) 以影视或胶片方式表现的 语言交谈
17
第二部分的内容
信息安全管理体系需求: • 10项控制细则 • 36个控制目标 • 127个控制方式
18
第二部份-章节
• • • • Chapter ⒈范围 Chapter ⒉术语和定义 Chapter ⒊信息安全管理体系要求 Chapter ⒋控制细则(与第一部份对应)
19
第二部份-章节
• • • • • 4. 1安全方针 4.2组织安全 4.3资产分类和控制 4.4人员安全 4.5实物和环境安全 • • • • • 4.6通信和操作管理 4.7访问控制 4.8系统开发和维护 4.9商务连续性管理 4.10符合性
率先由英国贸工部倡导
8
ISO17799/BS7799 Structure
Management overview
Standards for“Best practise” ISO17799/BS7799,Part1-Guidelines Specifications for Certification ISO17799/BS7799,Part2 Requirements standard
2000
1999
ISO17799/BS7799发布 瑞典开始试点认证 瑞典标准SS 62 77 99 Part 1&2发布 新版英国标准BS 7799 Part 1&2发布 英国开始试点认证
BS-7799标准
(Clause numbers refer to BS 7799-1:1999) (条款号对应于BS 7799-1:1999的条款号)
3. Security policy安全方针
3.1 Information security policy 信息安全方针
目标:对信息安全提供管理层的指导和支持
如何进行系统输出的检验以确保满足顾客的要求。
各类信息安全管理规范的补充和完善
这类文件的整理,主要涉及业务过程具体运作的指 导书、信息安全记录、各类表格等,可对机构现有 的这类文件进行确认,明确补充需要使之达到标准 要求。
这类文件的整理涉及的范围更广,在整理、编制过 程中应充分发挥相关人员的积极性和智慧。通过相 关人员的参与,也使他们更清楚了解其工作的流程, 在以后的实施中会自觉地按文件的规定去做,因为 这些指导书是他们自己编制的。
7799 的10大Domain
安全方针 安全组织 资产分类及控制 人员安全 物理和环境安全 通信和运作管理 系统访问控制 系统开发与维护 业务连续性规划 符合性
Overview of controls from BS7799:1999 BS7799:1999控制措施概述
BS7799发展历史与展望
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会 指导下制定完成。 1993年,BS7799标准由英国贸易工业部立项 1995年,BS 7799-1:1995 《信息安全管理实施细则》
1998年,BS 7799-2:1998 《信息安全管理体系规范》
1999年,对BS 7799-1:1995 及BS 7799-2:1998 重新修 订发布
BS7799发展历史与展望 (续)
ISO17799说明
1、商业持续规划
这节的主要内容包括:1)防止商业活动的中断;2)防止关键商业过程免受重大失误或灾难的影响。
2、系统访问控制
这节的主要内容有:1 ) 控制访问信息;2 ) 阻止非法访问信息系统 3)确保网络服务得到保护 4 ) 阻止非法访问计算机5 ) 检测非法行为。6 ) 保证在使用移动计算机和远程网络设备时信息的安全
1、建立信息管理框架:设立方向、信息安全目标,定义信息安全方针,同时管理层应承诺该方针。
2、评审组织的信息安全风险,投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡。
3、选择和实施控制措施,使确定的安全风险减少到可接受的程度。不同的组织将选择不同的控制措施。
6、人员安全
这部分的主要内容包括:1)减少错误,偷窃,欺骗或资源误用等人为风险;2)确保使用者了解信息安全的威胁和,在他们的正常的工作中有相应的训练,以便利于信息安全政策的贯彻和实施;3)通过从以前事件和故障中汲取教训,最大限度降低安全的损失。
7、安全组织
这节的主要内容包括:1 ) 在公司内部管理信息安全;2 ) 保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ;3 ) 当信息处理的责任需借助于外力是时,维持信息的安全。
BS7799-2:1999 《信息安全管理体系规范》
而且BS7799-1:1999已被 ISO (International Organization for Standardization) 接纳成为国际标准ISO17799:2000。
ISO17799 是一个详细的安全标准。包括安全内容的所有准则,由十个独立的部分组成, 每一节都覆盖了会(BIS)制定的信息安全管理标准,全名是 BS7799 Code of Practice for Information Security,是目前国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:
这节的主要内容包括:1)防止商业活动的中断;2)防止关键商业过程免受重大失误或灾难的影响。
2、系统访问控制
这节的主要内容有:1 ) 控制访问信息;2 ) 阻止非法访问信息系统 3)确保网络服务得到保护 4 ) 阻止非法访问计算机5 ) 检测非法行为。6 ) 保证在使用移动计算机和远程网络设备时信息的安全
1、建立信息管理框架:设立方向、信息安全目标,定义信息安全方针,同时管理层应承诺该方针。
2、评审组织的信息安全风险,投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡。
3、选择和实施控制措施,使确定的安全风险减少到可接受的程度。不同的组织将选择不同的控制措施。
6、人员安全
这部分的主要内容包括:1)减少错误,偷窃,欺骗或资源误用等人为风险;2)确保使用者了解信息安全的威胁和,在他们的正常的工作中有相应的训练,以便利于信息安全政策的贯彻和实施;3)通过从以前事件和故障中汲取教训,最大限度降低安全的损失。
7、安全组织
这节的主要内容包括:1 ) 在公司内部管理信息安全;2 ) 保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ;3 ) 当信息处理的责任需借助于外力是时,维持信息的安全。
BS7799-2:1999 《信息安全管理体系规范》
而且BS7799-1:1999已被 ISO (International Organization for Standardization) 接纳成为国际标准ISO17799:2000。
ISO17799 是一个详细的安全标准。包括安全内容的所有准则,由十个独立的部分组成, 每一节都覆盖了会(BIS)制定的信息安全管理标准,全名是 BS7799 Code of Practice for Information Security,是目前国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:
信息安全管理体系规范与使用指南
信息安全管理体系规范与使用指南英国标准——BS7799-2:2002信息安全治理体系——规范与使用指南目录前言0 介绍0.1总则0.2过程方法0.0.3其他治理体系的兼容性1 范畴1.1概要1.2应用2标准参考3名词与定义4信息安全治理体系要求4.1总则4.2建立和治理信息安全治理体系4.2.1建立信息安全治理体系4.2.2实施和运营(对比中文ISO9001确认)?信息安全治理体系4.2.3监控和评审信息安全治理体系4.2.4爱护和改进信息安全治理体系4.3文件化要求4.3.1总则4.3.2文件操纵4.3.3记录操纵5治理职责5.1治理承诺?(对比中文ISO9001确认)5.2资源治理5.2.1资源提供5.2.2培训、意识和能力6信息安全治理体系治理评审6.1总则6.2评审输入?(对比中文ISO9001确认)6.3评审输出?(对比中文IS9001确认)7信息安全治理体系改进7.1连续改进7.2纠正措施7.3预防措施附件A(有关标准的)操纵目标和操纵措施A.1介绍A.2最佳实践指南A.3安全方针A.4组织安全A.5资产分级和操纵A.6人事安全A.7实体和环境安全A.8通信与运营安全A.9访问操纵A.10系统开发和爱护A.11业务连续性治理A.12符合附件B(情报性的)本标准使用指南B1概况B.1.1PDCA模型B.1.2打算与实施B.1.3检查与改进B.1.4操纵措施小结B2打算时期B.2.1介绍B.2.2信息安全方针B.2.3信息安全治理体系范畴B.2.4风险识别与评估B2.5风险处理打算B3实施时期B.3.1介绍B.3.2资源、培训和意识B.3.3风险处理B4实施时期B.4.1介绍B.4.2常规检查B.4.3自我监督程序B.4.4从其它事件中学习B.4.5审核B.4.6治理评审B.4.7趋势分析B5改进时期B.5.1介绍B.5.2不符合项B.5.3纠正和预防措施B.5.4OECD原则和BS7799-2附件C(情报)ISO9001:2000、ISO14001与BS7799-2:2002条款对比0 介绍0.1 总则本标准的目的是为治理者和他们的职员们提供建立和治理一个有效的信息安全治理体系(信息安全治理体系)有模型。
BS7799的介绍
ISCA
对资产进行赋值
根据资产在公司中使用的人数及本身的价值、 重要性,对资产进行赋值。 信息资产分别具有不同的安全属性,机密性、完 整性和可用性分别反映了资产在三个不同方面 的特性。安全属性的不同通常也意味着安全控 制、保护功能需求的不同。通过考察三种不同 安全属性,可以得出一个能够基本反映资产价 值的数值。对信息资产进行赋值的目的是为了 更好地反映资产的价值,以便于进一步考察资 产相关的弱点、威胁和风险属性,并进行量化。
ISCA
建立控件列表
控件的定义:
为ISMS所需要的对其进行资产评估和安全措施的依据;分为10个控 件条款,36个控件目标,127个控件
控件的分类
信息安全策略 安全组织 资产归类和控制 个人安全 物理和环境安全 交流和操作管理 访问控制 系统扩充和维护 符合性
ISCA
建立与威胁相关的控件列表
ISCA
BS7799-1介绍
BS7799-1为现在的ISO17799 BS7799-1首发于己于1995年,他为信息安全提供 了一套全面综合最佳实践经验的控制措施.其目 的是将信息系统用于工业和商业用途时为确定 实施控制措施的范围提供一个参考依据,并且能 够让各种规模的组织所采用. 1999年的修订版考虑到最新的信息处理技术应用, 特别是网络和通讯的发展情况.同时加强信息安 全所涉及的商业问题和责任问题.
ISCA
可用性(Availability) 根据资产可用性属性的不同,将它分为5个不 同的等级,分别对应资产在可用性方面的价值 或者在可用性方面受到损失时对资产价值的影 响
赋值
ISCA
含义
解释
4
Very High
可用性价值非常关键,具有致命性的潜在 影响 可用性价值较高,潜在影响严重,企业将 蒙受严重损失,难以弥补 可用性价值中等,潜在影响重大,但可以 弥补 可用性价值较低,潜在影响可以忍受,较 容易弥补 可用性价值或潜在影响可以忽略
BS7799标准详解
BS7799
(1995)
BS7799-1
(1995公布,1999修订)
BS7799-2
(1998公布,1999修订)
ISO/IEC177991:2000
ISO/IEC 27001
(2005)
BS 7799 的组成
BS7799-1:《信息安全管理实施细则》
正文前设立了“前言”和“介绍”,其“介绍”中“对什么是 信息安全、为什么需要信息安全、如何确定安全需要、评估 安全风险、选择控制措施、信息安全起点、关键的成功因素、 制定自己的准则”等内容作了说明。 该标准的正文规定了127个安全控制措施来帮助组织识别在 运作过程中对信息安全有影响的元素,组织可以根据适用的法 律法规和章程加以选择和使用,或者增加其他附加控制。这 127个控制措施被分成10个方面,成为组织实施信息安全管理 的实用指南。
1993年,万维网在Internet上出现,为信息系统的网络化创造了前所未有的条件。
20世纪90年代以来,出现了不少信息系统方面的新概念,诸如经理信息系统(EIS)、 战略信息系统(SIS)和计算机集成制造系统(CIMS)等。
没有绝对的安全
安全体系不是安全产品的简单加和
什么是BS7799?
BS7799是英国标准协会(British Standards Institute, BSI)针对信息安全管理而制定的一个标准,最早始 于1995年,后来几经改版,成为了目前被广泛接受 的信息安全管理标准。
【实施方法】:天威诚信设定了专职安全组织-安全管理部,并任命该部门 的负责人安全经理来负责及协调与安全相关的所有活动。另外,考虑到责任范 围及知识域全面性,天威诚信还组织高层安全管理小组以及跨部门安全小组这 两个非常设性的行政组织来实现不同信息安全管理的控制需要。
信息安全工程习题和答案
第一章一、填空题1.信息保障的三大要素是______、______、______2.在bs7799信息安全管理体系中,信息安全的主要目标是信息的______、______、______的保持3.信息安全一般包括______、______、信息安全和______四个方面的内容。
4.信息安全管理是通过维护信息的______、______、______等,来管理和保护信息资产的一项体制二、名词解释1.信息安全2.信息安全管理四、论述1.我国信息安全管理现状如何?第二章一、填空题1.BS7799信息安全管理领域的一个权威标准,其最大意义就在于它给______一整套可“______”的信息安全管理要领。
2.SSE-CMM将安全工程划分为三个基本的安全区域,即______、______、______3.SSE-CMM包含了______个级别,我国的信息和信息系统的安全保护等级共分为______级二、名词解释1.信息安全管理体系ISMS2.信息安全等级保护3.信息安全管理体系认证三、简答1.建立ISMS有什么作用?2.可以采用哪些模式引入BS7799?3.我国对于信息和信息系统的安全保护等级是如何划分的?4.SSE-CMM将安全工程划分为哪些基本的过程区域?每一个区域的含义是什么?5.建立信息安全管理体系一般要经过哪些基本步骤?四、论述1.PDCA分为哪几个阶段?每一个阶段的主要任务是什么?2.等级保护的实施分为哪几个阶段?每一个阶段的主要步骤是什么?3.试述BS7799的主要内容。
第三章一、填空题1.资产管理的主要任务是______、______等2.脆弱性分为______、______、______3.风险评估方法分为______、______、______4.OCTAVE是一种信息安全风险评估方法,它指的是______、______、______5.组织根据______与______的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行______和______的过程二、名词解释(1)资产的价值(2)威胁(3)脆弱性(4)安全风险(5)风险评估(6)风险管理(7)安全控制(8)适用性声明三、简答1.叙述风险评估的基本步骤。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ol l l 2第 l l l lO 1 o o 。 @o 0 。9 。 2 期 年
维普资讯
Io ao " ^ n r tn e 删蝴 豳●■■■ 每_术{厦 fm i r c 技 r■ _
的 循 环 不 断 改 进 信 息 安 全 管 理 体 系 ,这 也 是 B¥7 9 —2: 79
关 键 词 信息安全管理体系 B79 标准 风 S79
险评估
作 亦 正 在 进 行 。 BS7 9 7 9是 国 际 上 具 有 代 表 性 的 信 息 安 全
管 理体 系 标准 ,并 已得 到 了 很 多 国家 的认 可 。目前 ,荷 兰 、
丹 麦 、 澳 大 利 亚 、 巴 西 等 国 已 同 意 使 用 该 标 准 ; 日 本 、瑞 士 、卢 森 堡 等 国 也 表 示 对 BS7 9 7 9标 准 感 兴 趣 ;我 国 的 台
《 息 安全 管 理体 系 规 范》 信 ,它 规 定 信 息 安 全 管 理 体 系 要 求
6 资 源管 理
7I SMS 评 审
8 改 进 Байду номын сангаас
与 信 息 安 全 控 制 要 求 ,是 一 个 组 织 的 全 面 或 部 分 信 息 安 全 管 理体 系 评估 的基 础 , 以作 为 一个 正 式认 证方 案 的根 据 。 可 BS7 9 —1 BS7 9 -2经 过 修 订 于 1 9 79 与 79 9年 重 新 予 以 发 9
息 安全 管理 体 系 认证 。
兰 、澳 大 利 亚 等 国 均 制 定 了 有 关 信 息 安 全 的 标 准 。在 信 息 安 全 管理 方 面 , 国标 准 委 员会 ( 英 BSI 定 的 BS7 9 )制 7 9已 经 成 为 目 前 世 界 上 应 用 最 广 泛 、最 典 型 的 信 息 安 全 管 理 标 准 ,它 是 在 BSIDI 的 BDD/ / SQ 2信 息 安 全 管 理 委 员 会 指 导 下 制 定 完 成 的 。BS7 9 标 准 于 1 9 年 由 英 国 贸 易 工 业 79 3 9 部 立 项 ,1 9 年 首 次 出 版 BS7 9 —1 9 5《 息 安 全 管 95 7 9 :1 9 信 理 实 施细 则 》 它提 供 了 一套 综合 的 、 信 息 安 全最 佳 惯例 , 由
发 展
随 着 在 世 界 范 围 内 信 息 化 水 平 的 不 断 发 展 ,信 息 安 全
逐 渐 成为 人 们 关注 的 焦点 ,各个 机构 、组 织 、个人 部 在探
寻 如何 保 障 信 息安 全 的问 题 。 国 、 国 、 威 , 典 、 英 美 挪 瑞 芬
20 0 2年 9月 ,全 球共 有 1 2 各 类 组织 通 过 了 BS7 9 信 4 家 79
一
、
B 7 9信 息 安 全 管 理 体 系标 准 的 S79
湾 、 港 也 在 推广 该 标准 。 多 国家 的 政 府机 构 、 行 、 香 许 银 证
券 、保 险 公 司 、 电 信 运 营 商 、 网 络 公 司 及 许 多 跨 国 公 司 已 采 用 了 此 标 准 对 自 己 的 信 息 安 全 进 行 系 统 的 管 理 。 截 至
布 ,1 9 版 考 虑 了 信 息 处 理 技 术 , 其 是 在 网 络 和 通 信 领 99 尤
可 以看 出 , BS7 9 — 2 0 标 准 结 构 上 的 修 订 更 加 贴 7 9 2:0 2
近I SO9 0 : 0 0, 好 地 采 用 了 过 程 的 方 法 , 用 PDOA 0 120 更 利
20 0 2与 BS7 9 -2:9 9的 一 个 重 要 的 差 别 。 79 19 以下 是 标 准 改版 的 动 因 :
BS7 9 -2:0 2 息 安 全 管 理 体 系 规 范 作 为 体 系 认 证 79 20信 的 唯 一 参 考 标 准 ,其 修 订 版 中 有 下 列 几 个 突 出 的 部 分 : 1 标准第 4 . 节到 第 7节 规 定 了基 于 P CA过 程 模 式的 信 息 D 安 全 管理 体 系 。 是 对 包 含在 19 版 第 3 中 的 “ 程 ” 扩 充 。 这 9 9 节 过 的 2 1 9 版第 4 中 的控 制 目标 和 控 制方 式在标 准附 录 . 9 9 节 A 中 表 述 。 附 录 包 含 的 控 制 目标 与控 制 方 式 采 自 I / O S
理体系规范 )的 由来 、其修 订版的特点及 其与其他管 ) 理标准 的相 容性。 对于建 立信息安全管理体 系的重点 部分——风 险评估 ,亦作 了简要的介绍 。
可 ,正 式 成 为 国 际 标 准 一
I SO/I 7 9 :2 0 《 EQ1 9 —1 0 0 信 7
息 技术 一
信息 安 全 管理 实 施细 则 》 其第 二 部 分 的转 化 工 ,
摘 要
介绍了B79— : 0 S79 22 2 0 信息安全管
域 应用 的 近 期发 展 ,同 时还 非 常强 调 了 商务 涉 及 的信 息 安
全 及 信 息 安 全 的 责 任 。2 0 0 0年 1 2月 , BS7 9 —1 1 9 79 : 9 9
《 息安 全 管 理 实施 细 则 》 过 了 国际 标准 化 组 织 I 信 通 SO的 认
维普资讯
信 息 技 术 与 应 用
B 7 9 ・-0 2 7 922 0 蔑魔晒耥 S .
BS7 9 — 2 0 n s ¥ s r  ̄ 7 9 2: 0 2 a d Ri kA¥ e s n
山东科飞 管理咨询公司 王毅 刚 吴 昌伦
组 成 的 实 施 规 则 ,作 为 确 定 工 商 业 信 息 系 统 在 大 多 数 情 况
二 、B 7 9 — :0 2 S 7 9 2 2 0 简介
20 0 2年 9月 5日 ,BSI 布 了 最 新 版 的 BS7 9 -2 发 79 :
20 0 2标 准 , 新 版 的 标 准 结 构 如 下 :
0 引 言 1 范 围 2 引用标 准 3 术 语 及 定 义 4 信 息 安 全 管 理 体 系 5 管 理 职 责
所 需 控 制 范 围 的 唯 一 参 考 基 准 ,并 且 适 用 于 大 、 中 、小 组
织。19 8年 ,英 国公 布 了标 准 的 第 二 部分 ( 9 BS7 9 —2 79 )