第1页 / 共120页
第2页 / 共120页
第3页 / 共120页
第4页 / 共120页
第5页 / 共120页
第6页 / 共120页
第7页 / 共120页
第8页 / 共120页
ISO17799:2005标准-中文版(信息安全管理实施细则).pdf
Code of practice for information
security management
Information Technology-
Security Techniques-
信息技术
安全技术
信息安全管理实施指南
ISO/IEC17799:2005 信息安全管理实施指南
目录
Ⅰ版本说明................................................................................................................................... VII
Ⅱ文件说明..................................................................................................................................VIII
Ⅲ 前言...........................................................................................................................................IX
0 简介 ..............................................................................................................................................1
0.1 什么是信息安全?............................................................................................................1
0.2 为什么需要信息安全.........................................................................................................1
0.3 如何确定安全要求.............................................................................................................1
0.4 评估安全风险.....................................................................................................................2
0.5 选择控制措施....................................................................................................................2
0.6 信息安全起点.....................................................................................................................2
0.7 关键成功因素.....................................................................................................................3
0.8 开发组织自己的指导方针.................................................................................................3
1.范围 ...............................................................................................................................................4
2.术语与定义....................................................................................................................................5
2.1 资产.....................................................................................................................................5
2.2 控制措施.............................................................................................................................5
2.3 指南.....................................................................................................................................5
2.4 信息处理设施.....................................................................................................................5
2.5 信息安全.............................................................................................................................5
2.6 信息安全事件 information security event..........................................................................5
2.7 信息安全事故 information security incident .....................................................................6
2.8 方针.....................................................................................................................................6
2.9 风险.....................................................................................................................................6
2.10 风险分析...........................................................................................................................6
2.11 风险评估...........................................................................................................................6
2.12 风险评价...........................................................................................................................6
2.13 风险管理...........................................................................................................................6
2.14 风险处置...........................................................................................................................6
2.15 第三方...............................................................................................................................7
2.16 威胁...................................................................................................................................7
2.17 脆弱性...............................................................................................................................7
3 本标准的架构................................................................................................................................8
3.1 条款.....................................................................................................................................8
3.2 主要安全类.........................................................................................................................8
4 风险评估和处置............................................................................................................................9
4.1 评估安全风险.....................................................................................................................9
4.2 安全风险的处置.................................................................................................................9
5.安全方针......................................................................................................................................11
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- I -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
5.1 信息安全方针...................................................................................................................11
5.1.1 信息安全策略文档................................................................................................11
5.1.2 信息安全方针评审.......................................................................................................12
6 组织信息安全.............................................................................................................................13
6.1 内部组织...........................................................................................................................13
6.1.1 信息安全管理承诺...............................................................................................13
6.1.2 信息安全协调.......................................................................................................14
6.1.3 信息安全职责分配...............................................................................................14
6.1.4 信息处理设施的授权问题...................................................................................15
6.1.5 保密协议...............................................................................................................15
6.1.6 与政府机构的联系...............................................................................................16
6.1.7 与特殊利益团体的联系.......................................................................................16
6.1.8 信息安全的独立评审...........................................................................................17
6.2 外部组织..........................................................................................................................17
6.2.1 识别与外部组织相关的风险................................................................................18
6.2.2 当与顾客接触时,强调安全...............................................................................19
6.2.3 在第三方协议中强调安全...................................................................................20
7 资产管理.....................................................................................................................................23
7.1 资产责任..........................................................................................................................23
7.1.1 资产清单...............................................................................................................23
7.1.2 资产所有者关系...................................................................................................24
7.1.3 资产的可接受使用...............................................................................................24
7.2 信息分类..........................................................................................................................25
7.2.1 分类指南...............................................................................................................25
7.2.2 信息标识与处置....................................................................................................25
8 人力资源安全.............................................................................................................................27
8.1 雇佣³前 ............................................................................................................................27
8.1.1 角色和职责...........................................................................................................27
8.1.2 选拔.......................................................................................................................28
8.1.3 雇佣条款和条件...................................................................................................28
8.2 雇佣中.............................................................................................................................29
8.2.1 管理职责...............................................................................................................29
8.2.2 信息安全意识、教育和培训...............................................................................30
8.2.3 惩戒过程...............................................................................................................30
8.3 雇佣的终止或变更.........................................................................................................31
8.3.1 终止职责................................................................................................................31
8.3.2 归还资产...............................................................................................................32
8.3.3 撤销访问权限.......................................................................................................32
9 物理和环境安全.........................................................................................................................33
9.1 安全区域..........................................................................................................................33
9.1.1 物理安全边界.......................................................................................................33
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- II -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
9.1.2 物理进入控制.......................................................................................................34
9.1.3 办公室、房间和设施的安全................................................................................34
9.1.4 防范外部或环境威胁...........................................................................................35
9.1.5 在安全区域工作...................................................................................................35
9.1.6 公共访问和装卸区域............................................................................................35
9.2 设备安全...........................................................................................................................36
9.2.1 设备选址与保护....................................................................................................36
9.2.2 支持性设施...........................................................................................................37
9.2.3 电缆安全...............................................................................................................37
9.2.4 设备维护...............................................................................................................38
9.2.5 场外设备安全.......................................................................................................38
9.2.6 设备的安全处置或重用........................................................................................39
9.2.7 资产转移...............................................................................................................39
10 通信和操作管理.......................................................................................................................41
10.1 操作程序和职责............................................................................................................41
10.1.1 文件化的操作程序.............................................................................................41
10.1.2 变更管理.............................................................................................................41
10.1.3 职责分离.............................................................................................................42
10.1.4 开发、测试与运营设施的分离.........................................................................42
10.2 第三方服务交付管理....................................................................................................43
10.2.1 服务交付.............................................................................................................43
10.2.2 第三方服务的监视和评审.................................................................................44
10.2.3 管理第三方服务的变更.....................................................................................44
10.3 系统策划与验收............................................................................................................45
10.3.1 容量管理.............................................................................................................45
10.3.2 系统验收.............................................................................................................46
10.4 防范恶意和移动代码....................................................................................................46
10.4.1 防范恶意代码.....................................................................................................47
10.4.2 防范移动代码.....................................................................................................48
10.5 备份................................................................................................................................48
10.5.1 信息备份.............................................................................................................48
10.6 网络安全管理................................................................................................................49
10.6.1 网络控制.............................................................................................................49
10.6.2 网络服务安全.....................................................................................................50
10.7 介质处理........................................................................................................................50
10.7.1 移动介质的管理.................................................................................................51
10.7.2 介质的销毁.........................................................................................................51
10.7.3 信息处置程序.....................................................................................................52
10.7.4 系统文档安全.....................................................................................................52
10.8 信息交换........................................................................................................................53
10.8.1 信息交换策略和程序.........................................................................................53
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- III -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
10.8.2 交换协议.............................................................................................................54
10.8.3 物理介质传输安全.............................................................................................55
10.8.4 电子消息.............................................................................................................55
10.8.5 业务信息系统.....................................................................................................56
10.9 电子商务服务................................................................................................................57
10.9.1 电子商务..............................................................................................................57
10.9.2 在线交易.............................................................................................................58
10.9.3 公共可用信息.....................................................................................................58
10.10 监视..............................................................................................................................59
10.10.1 审计日志...........................................................................................................59
10.10.2 监视系统的使用...............................................................................................60
10.10.3 保护日志信息...................................................................................................61
10.10.4 管理员和操作者日志.......................................................................................61
10.10.5 错误日志...........................................................................................................62
10.10.6 时钟同步...........................................................................................................62
11 访问控制...................................................................................................................................64
11.1 访问控制的业务要求....................................................................................................64
11.1.1 访问控制策略.....................................................................................................64
11.2 用户访问管理................................................................................................................65
11.2.1 用户注册.............................................................................................................65
11.2.2 特权管理.............................................................................................................66
11.2.3 用户口令管理.....................................................................................................66
11.2.4 用户访问权限的评审.........................................................................................67
11.3 用户责任........................................................................................................................67
11.3.1 口令的使用.........................................................................................................68
11.3.2 无人值守的用户设备.........................................................................................68
11.3.3 桌面和屏幕清空策略.........................................................................................69
11.4 网络访问控制................................................................................................................70
11.4.1 网络服务使用策略.............................................................................................70
11.4.2 外部连接用户鉴别.............................................................................................70
11.4.3 网络设备标识.....................................................................................................71
11.4.4 远程诊断和配置端口保护..................................................................................71
11.4.5 网络隔离.............................................................................................................72
11.4.6 网络连接控制.....................................................................................................73
11.4.7 网络路由控制.....................................................................................................73
11.5 操作系统访问控制........................................................................................................74
11.5.1 安全登陆程序.....................................................................................................74
11.5.2 用户标识与鉴别.................................................................................................75
11.5.3 口令管理系统.....................................................................................................75
11.5.4 系统设施的使用..................................................................................................76
11.5.5 会话超时.............................................................................................................77
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- IV -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
11.5.6 连接时间限制.....................................................................................................77
11.6 应用系统和信息访问控制............................................................................................77
11.6.1 信息访问限制.....................................................................................................78
11.6.2 敏感系统隔离.....................................................................................................78
11.7 移动计算和远程工作....................................................................................................79
11.7.1 移动计算及通讯.................................................................................................79
11.7.2 远程工作.............................................................................................................80
12 信息系统的获取、开发和保持...............................................................................................82
12.1 信息系统的安全要求....................................................................................................82
12.1.1 安全要求分析和规范.........................................................................................82
12.2 应用系统的正确处理....................................................................................................83
12.2.1 输入数据确认.....................................................................................................83
12.2.2 内部处理控制.....................................................................................................84
12.2.3 消息完整性.........................................................................................................84
12.2.4 输出数据确认.....................................................................................................85
12.3 加密控制........................................................................................................................85
12.3.1 使用加密控制的策略..........................................................................................85
12.3.2 密钥管理.............................................................................................................86
12.4 系统文件安全................................................................................................................87
12.4.1 操作软件控制.....................................................................................................88
12.4.2 系统测试数据的保护.........................................................................................89
12.4.3 对程序源代码的访问控制.................................................................................89
12.5 开发和支持过程安全....................................................................................................90
12.5.1 变更控制程序.....................................................................................................90
12.5.2 操作系统变更后的应用系统技术评审..............................................................91
12.5.3 软件包的变更限制.............................................................................................91
12.5.4 信息泄漏.............................................................................................................92
12.5.5 软件委外开发......................................................................................................92
12.6 技术脆弱点管理............................................................................................................93
12.6.1 技术脆弱点控制.................................................................................................93
13 信息安全事故管理...................................................................................................................95
13.1 报告信息安全事故和弱点............................................................................................95
13.1.1 报告信息安全事件.............................................................................................95
13.1.2 报告安全弱点.....................................................................................................96
13.2 信息安全事故管理和改进............................................................................................96
13.2.1 职责和程序.........................................................................................................97
13.2.2 从信息安全事故中学习.....................................................................................98
13.2.3 收集证据.............................................................................................................98
14 业务连续性管理.....................................................................................................................100
14.1 业务连续性管理的信息安全方面..............................................................................100
14.1.1 在业务连续性管理过程中包含信息安全.......................................................100
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- V -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
14.1.2 业务连续性和风险评估...................................................................................101
14.1.3 开发并实施包括信息安全的连续性计划.......................................................101
14.1.4 业务连续性计划框架......................................................................................102
14.1.5 BCP 的测试、保持和再评估..........................................................................103
15 符合性.....................................................................................................................................104
15.1 与法律法规要求的符合性..........................................................................................104
15.1.1 适用法律法规的识别.....................................................................................104
15.1.2 知识产权(IPR)............................................................................................104
15.1.3 组织记录的保护.............................................................................................105
15.1.4 个人信息的数据保护和隐私.........................................................................106
15.1.5 预防信息处理设施的误用.............................................................................106
15.1.6 密码控制的法律法规.....................................................................................107
15.2 与安全策略和标准的符合性,以及技术符合性......................................................107
15.2.1 符合安全策略和标准.....................................................................................107
15.2.2 技术符合性检查.............................................................................................108
15.3 信息系统审计考虑因素..............................................................................................109
15.3.1 信息系统审核控制..........................................................................................109
15.3.2 信息系统审核工具的保护..............................................................................109
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- VI -
V1.0
刘青
ISO/IEC17799:2005 信息安全管理实施指南
Ⅰ版本说明
版本
V1.0
日期
2005/11
作者
刘青
备注
文件名称
文件编号
日 期
信息安全管理实施指南
ISO/IEC 17799:2005 Chs
2005/12
页 码
版 本
译 者
- VII -
V1.0
刘青
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
