第1页 / 共84页
第2页 / 共84页
第3页 / 共84页
第4页 / 共84页
第5页 / 共84页
第6页 / 共84页
第7页 / 共84页
第8页 / 共84页
ISO17799中文版.doc
目录
前言
介绍
什么是信息安全?
为什么需要信息安全?
如何确定安全需要?
评估安全风险
选择控制措施
信息安全起点
关键的成功因素
制订自己的准则
1范围
2名词和定义
2.1 信息安全
2.2 风险评估
2.3 风险管理
3安全策略
3.1 信息安全策略
3.1.1 信息安全策略文档
3.1.2 复查和评价
4 组织的安全
4.1 信息安全的基本架构
4.1.1 管理信息安全论坛
4.1.2 信息安全协作
4.1.3 信息安全责任的分配
4.1.4 信息处理方法的授权过程。
4.1.5 专家信息安全建议
4.1.6 组织间的合作
4.1.7 信息安全的独立检查
4.2第三方访问的安全
4.2.1 判断第三方访问的风险
4.2.1.1 访问的类型
4.2.1.2 访问的原因
4.2.1.3 现场承包方
4.2.2 第三方合同的安全要求
4.3 外包
4.3.1 外包合同的安全要求
5资产分类和管理
5.1 资产的可计量性
5.1.1 资产清单
5.2 信息分类
5.2.1 分类原则
5.2.2 信息标识和处理
6 人员安全
6.1 工作定义和外包的安全
6.1.1把安全包括在工作责任中
6.1.2 人员筛选和策略
6.1.3 保密协议
6.1.4 用工条款
6.2 用户培训
6.2.1 信息安全教育和培训
6.3 对安全事故和故障做出反应
6.3.1 报告安全事故
6.3.2 报告安全缺陷
6.3.3报告软件故障
6.3.4 吸取事故教训
6.3.5 惩处程序
7 物理的和环境的安全
7.1 安全区域
7.1.1 物理安全界线
7.1.2 物理进入控制
7.1.3 保护办公室、房间和设施
7.1.4 在安全区域工作
7.1.5 隔离的送货和装载区域
7.2 设备安全
7.2.1 设备定位和保护
7.2.2 电力供应
7.2.3 电缆安全
7.2.4 设备维护
7.2.5 外部设备的安全
7.2.6 设备的安全处置或者再利用
7.3 一般性管理措施
7.3.1 清洁桌面和清洁屏幕策略
7.3.2 财产的转移
8 通信和运营管理
8.1 操作过程和责任
8.1.1 记录在案的操作过程
8.1.2 运行变更管理
8.1.3 意外事故管理程序
8.1.4 责任的分离
8.1.5开发过程和运行过程的分离
8.1.6 外部设施的管理
8.2 系统规划和验收
8.2.1 容量规划
8.2.2系统验收
8.3 防止恶意软件
8.3.1 防止恶意软件的管理措施
8.4 内务管理
8.4.1 信息备份
8.4.2 操作员日志
8.4.3 事故记录
8.5 网络管理
8.5.1 网络管理措施
8.6 备份介质处理和安全
8.6.1 对可移动的计算机存储介质的管理
8.6.2 存储介质的处置
8.6.3 信息处理程序
8.6.4 系统文件的安全
8.7 信息和软件的交换
8.7.1信息和软件交换协议
8.7.2转运时介质的安全
8.7.3电子商务安全
8.7.4 电子邮件的安全
8.7.4.1安全风险
8.7.4.2电子邮件使用策略
8.7.5 电子办公系统的安全
8.7.6 公众可访问的系统
8.7.6 信息交换的其它形式
9访问控制
9.1访问控制的业务需要
9.1.1访问控制策略
9.1.1.1 策略和业务的要求
9.1.1.2 访问控制规定
9.2 用户访问管理
9.2.1 用户注册
9.2.2 特权管理
9.2.3 用户密码管理
9.2.4 用户访问权限的复查
9.3 用户责任
9.3.1 密码使用
9.3.2 无人值守用户设备
9.4 网络访问控制
9.4.1 网络服务的使用策略
9.4.2 强制路径
9.4.3 外部连接的用户认证
9.4.4 节点鉴别
9.4.5 远程诊断接口的保护
9.4.6 网络分离
9.4.7 网络连接管理
9.4.8 网络路径选择控制
9.4.9 网络访问安全
9.5 操作系统访问管理
9.5.1 自动终端识别
9.5.2 终端登录程序
9.5.3 用户识别和鉴定
9.5.4 密码口令管理系统
9.5.5 系统实用程序的使用
9.5.7 终端暂停
9.5.8 连接时间的限制
9.6 应用程序访问控制
9.6.1 信息访问限制
9.6.2 敏感系统的隔离
9.7检测系统访问和使用
9.7.1 事件记录
9.7.2 检测系统使用
9.7.2.1 程序和风险区域。
9.7.2.2 风险因素
9.7.2.3记录和检查事件
9.7.3 时钟同步
9.8 移动计算和远程工作
9.8.1 移动计算
9.2.8 远程工作
10系统的开发与维护
10.1 系统的安全需要
10.1.1安全性要求分析和规范
10.2.1 输入数据的验证
10.2.2 内部作业的管理
10.2.2.1 风险区域
10.2.2.2 检查和控制
10.2.3 文电鉴别
10.2.4 输出数据验证
10.3 密码管理措施
10.3.1使用密码控制措施的策略
10.3.2 信息加密
10.3.3 数字签名
10.3.4 非拒绝服务
10.3.5密钥管理
10.3.5.1 密码关键性的保护
10.3.5.2 标准、程序和方法
10.4 信息文件的安全
10.4.1 操作软件的控制
10.4.2系统测试数据的保护
10.4.3 对程序资源库的访问控制
10.5 开发和支持过程中的安全
10.5.1 变更控制程序
10.5.2 操作系统变更的技术复查
10.5.3 改变软件包的限制
10.5.4 隐蔽通道和特洛伊代码(渗透性代码)
10.5.5 外购软件开发
11 业务连续性管理
11.1业务连续性管理的几个方面
11.1.1业务连续性管理程序
11.1.2 业务连续性和影响分析
11.1.3编写和执行连续性计划
11.1.4 业务连续性计划框架
11.1.5 测试、维护和重新评估业务连续性计划
11.1.5.1 测试此项计划
11.1.5.2维护并重新评估此项计划
12 符合性
12.1 符合法律要求
12.1.1适用法律的辨别
12.1.2 知识产权(IPR)
12.1.2.1 著作权(版权)
12.1.2.2软件版权
12.1.3 保护组织记录
12.1.4 数据保护和个人信息的保密
12.1.5 防止信息处理设备的误用
12.1.6 密码管理的规定
12.1.7 证据的搜集
12.1.7.1 证据的规定
12.1.7.2 证据的可采纳性
12.1.7.3 证据的质量和完备性
12.2 安全策略和技术符合性的检查
12.2.1 符合安全策略
12.2.2技术符合性检测
12.3系统审查相关事项
12.3.1 系统审查管理程序
12.3.2系统审查工具的保护
索引
ISO/IEC 17799:2000 (E)
国际标准 ISO/IEC 17799
第一版 2000-12-01
信息技术-信息安全管理业务规范
参考号:ISO/IEC 17799:2000(E)
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
目录
目录 .................................................................................................................................................... 2
前言 .................................................................................................................................................... 7
介绍 .................................................................................................................................................... 8
什么是信息安全? .................................................................................................................... 8
为什么需要信息安全? ............................................................................................................ 8
如何确定安全需要?................................................................................................................ 9
评估安全风险 ............................................................................................................................ 9
选择控制措施 .......................................................................................................................... 10
信息安全起点 .......................................................................................................................... 10
关键的成功因素...................................................................................................................... 11
制订自己的准则...................................................................................................................... 11
1 范围 .......................................................................................................................................... 12
2 名词和定义.............................................................................................................................. 12
2.1 信息安全 ........................................................................................................................... 12
2.2 风险评估 ........................................................................................................................... 12
2.3 风险管理 ........................................................................................................................... 12
3 安全策略 .................................................................................................................................. 13
3.1 信息安全策略 ................................................................................................................... 13
3.1.1 信息安全策略文档 ................................................................................................13
3.1.2 复查和评价............................................................................................................ 13
4 组织的安全 .................................................................................................................................. 14
4.1 信息安全的基本架构.......................................................................................................14
4.1.1 管理信息安全论坛 ................................................................................................14
4.1.2 信息安全协作 ........................................................................................................14
4.1.3 信息安全责任的分配............................................................................................15
4.1.4 信息处理方法的授权过程。 ................................................................................15
4.1.5 专家信息安全建议 ................................................................................................16
4.1.6 组织间的合作 ........................................................................................................16
4.1.7 信息安全的独立检查............................................................................................16
4.2 第三方访问的安全 ............................................................................................................ 16
4.2.1 判断第三方访问的风险 ........................................................................................17
4.2.2 第三方合同的安全要求 ........................................................................................18
4.3 外部采购 ........................................................................................................................... 19
4.3.1 外购合同的安全要求............................................................................................19
5 资产分类和管理 ........................................................................................................................... 19
5.1 资产的可计量性............................................................................................................... 19
5.1.1 资产清单 ................................................................................................................ 20
5.2 信息分类 ........................................................................................................................... 20
5.2.1 分类原则 ................................................................................................................ 20
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
5.2.2 信息标识和处理....................................................................................................21
6 人员安全 ...................................................................................................................................... 21
6.1 工作定义和外包的安全 ...................................................................................................21
6.1.1 把安全包括在工作责任中.....................................................................................21
6.1.2 人员筛选和策略....................................................................................................22
6.1.3 保密协议 ................................................................................................................ 22
6.1.4 用工条款 ................................................................................................................ 22
6.2 用户培训 ........................................................................................................................... 23
6.2.1 信息安全教育和培训............................................................................................23
6.3 对安全事故和故障做出反应 ...........................................................................................23
6.3.1 报告安全事故 ........................................................................................................23
6.3.2 报告安全缺陷 ........................................................................................................23
6.3.3 报告软件故障......................................................................................................... 24
6.3.4 吸取事故教训 ........................................................................................................24
6.3.5 惩处程序 ................................................................................................................ 24
7 物理的和环境的安全 .................................................................................................................. 24
7.1 安全区域 ........................................................................................................................... 24
7.1.1 物理安全界线 ........................................................................................................25
7.1.2 物理进入控制 ........................................................................................................25
7.1.3 保护办公室、房间和设施....................................................................................25
7.1.4 在安全区域工作....................................................................................................26
7.1.5 隔离的送货和装载区域 ........................................................................................26
7.2 设备安全 ........................................................................................................................... 27
7.2.1 设备定位和保护....................................................................................................27
7.2.2 电力供应 ................................................................................................................ 27
7.2.3 电缆安全 ................................................................................................................ 28
7.2.4 设备维护 ................................................................................................................ 28
7.2.5 外部设备的安全....................................................................................................28
7.2.6 设备的安全处置或者再利用 ................................................................................29
7.3 一般性管理措施............................................................................................................... 29
7.3.1 清扫桌面和清洁屏幕策略....................................................................................29
7.3.2 财产的转移............................................................................................................ 30
8 通信和运营管理 .......................................................................................................................... 30
8.1 操作过程和责任............................................................................................................... 30
8.1.1 记录在案的操作过程............................................................................................30
8.1.2 运行变更管理 ........................................................................................................30
8.1.3 意外事故管理程序 ................................................................................................31
8.1.4 责任的分离............................................................................................................ 31
8.1.5 开发过程和运行过程的分离.................................................................................32
8.1.6 外部设施的管理....................................................................................................32
8.2 系统规划和验收............................................................................................................... 33
8.2.1 容量规划 ................................................................................................................ 33
8.2.2 系统验收................................................................................................................. 33
8.3 防止恶意软件 ................................................................................................................... 34
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
8.3.1 防止恶意软件的管理措施....................................................................................34
8.4 内务管理 ........................................................................................................................... 35
8.4.1 信息备份 ................................................................................................................ 35
8.4.2 操作员日志............................................................................................................ 35
8.4.3 事故记录 ................................................................................................................ 36
8.5 网络管理 ........................................................................................................................... 36
8.5.1 网络管理措施 ........................................................................................................36
8.6 备份介质处理和安全.......................................................................................................37
8.6.1 对可移动的计算机存储介质的管理....................................................................37
8.6.2 存储介质的处置....................................................................................................37
8.6.3 信息处理程序 ........................................................................................................38
8.6.4 系统文件的安全....................................................................................................38
8.7 信息和软件的交换 ...........................................................................................................38
8.7.1 信息和软件交换协议.............................................................................................39
8.7.2 转运时介质的安全.................................................................................................39
8.7.3 电子商务安全......................................................................................................... 39
8.7.4 电子邮件的安全....................................................................................................40
8.7.5 电子办公系统的安全............................................................................................41
8.7.6 公众可访问的系统 ................................................................................................41
8.7.6 信息交换的其它形式............................................................................................42
9 访问控制 ....................................................................................................................................... 42
9.1 访问控制的业务需要 ........................................................................................................43
9.1.1 访问控制策略......................................................................................................... 43
9.2 用户访问管理 ................................................................................................................... 44
9.2.1 用户注册 ................................................................................................................ 44
9.2.2 特权管理 ................................................................................................................ 44
9.2.3 用户密码管理 ........................................................................................................45
9.2.4 用户访问权限的复查............................................................................................45
9.3 用户责任 ........................................................................................................................... 45
9.3.1 密码使用 ................................................................................................................ 46
9.3.2 无人值守用户设备 ................................................................................................46
9.4 网络访问控制 ................................................................................................................... 47
9.4.1 网络服务的使用策略............................................................................................47
9.4.2 强制路径 ................................................................................................................ 47
9.4.3 外部连接的用户认证............................................................................................48
9.4.4 节点鉴别 ................................................................................................................ 48
9.4.5 远程诊断接口的保护............................................................................................48
9.4.6 网络分离 ................................................................................................................ 49
9.4.7 网络连接管理 ........................................................................................................49
9.4.8 网络路径选择控制 ................................................................................................49
9.4.9 网络访问安全 ........................................................................................................50
9.5 操作系统访问管理 ...........................................................................................................50
9.5.1 自动终端识别 ........................................................................................................50
9.5.2 终端登录程序 ........................................................................................................50
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
9.5.3 用户识别和鉴定....................................................................................................51
9.5.4 密码口令管理系统 ................................................................................................51
9.5.5 系统实用程序的使用............................................................................................52
9.5.7 终端暂停 ................................................................................................................ 52
9.5.8 连接时间的限制....................................................................................................53
9.6 应用程序访问控制 ...........................................................................................................53
9.6.1 信息访问限制 ........................................................................................................53
9.6.2 敏感系统的隔离....................................................................................................54
9.7 检测系统访问和使用 ........................................................................................................54
9.7.1 事件记录 ................................................................................................................ 54
9.7.2 检测系统使用 ........................................................................................................54
9.7.3 时钟同步 ................................................................................................................ 56
9.8 移动计算和远程工作.......................................................................................................56
9.8.1 移动计算 ................................................................................................................ 56
9.2.8 远程工作 ................................................................................................................ 57
10 系统的开发与维护 ..................................................................................................................... 58
10.1 系统的安全需要............................................................................................................. 58
10.1.1 安全性要求分析和规范 .......................................................................................58
10.2.1 输入数据的验证 ..................................................................................................58
10.2.2 内部作业的管理 ..................................................................................................59
10.2.3 文电鉴别 .............................................................................................................. 60
10.2.4 输出数据验证 ......................................................................................................60
10.3 密码管理措施................................................................................................................. 60
10.3.1 使用密码控制措施的策略 ...................................................................................60
10.3.2 信息加密 .............................................................................................................. 61
10.3.3 数字签名 .............................................................................................................. 61
10.3.4 非拒绝服务 ..........................................................................................................62
10.3.5 密钥管理 ............................................................................................................... 62
10.4 信息文件的安全............................................................................................................. 63
10.4.1 操作软件的控制 ..................................................................................................63
10.4.2 系统测试数据的保护 ...........................................................................................64
10.4.3 对程序资源库的访问控制 ..................................................................................64
10.5 开发和支持过程中的安全.............................................................................................64
10.5.1 变更控制程序 ......................................................................................................65
10.5.2 操作系统变更的技术复查 ..................................................................................65
10.5.3 改变软件包的限制 ..............................................................................................65
10.5.4 隐蔽通道和特洛伊代码(渗透性代码) ..........................................................66
10.5.5 外购软件开发 ......................................................................................................66
11 业务连续性管理........................................................................................................................ 66
11.1 业务连续性管理的几个方面.......................................................................................... 67
11.1.1 业务连续性管理程序........................................................................................... 67
11.1.2 业务连续性和影响分析 ......................................................................................67
11.1.3 编写和执行连续性计划 .......................................................................................68
11.1.4 业务连续性计划框架.......................................................................................... 68
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
11.1.5 测试、维护和重新评估业务连续性计划..........................................................69
12 符合性 ........................................................................................................................................ 70
12.1 符合法律要求................................................................................................................. 70
12.1.1 适用法律的辨别 ...................................................................................................70
12.1.2 知识产权(IPR)..................................................................................................... 70
12.1.3 保护组织记录 ......................................................................................................71
12.1.4 数据保护和个人信息的保密 ..............................................................................72
12.1.5 防止信息处理设备的误用 ..................................................................................72
12.1.6 密码管理的规定 ..................................................................................................73
12.1.7 证据的搜集 ..........................................................................................................73
12.2 安全策略和技术符合性的检查.....................................................................................74
12.2.1 符合安全策略 ......................................................................................................74
12.2.2 技术符合性检测 ...................................................................................................74
12.3 系统审查相关事项 ..........................................................................................................75
12.3.1 系统审查管理程序 ..............................................................................................75
12.3.2 系统审查工具的保护 ...........................................................................................75
索引 .................................................................................................................................................. 76
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
前言
ISO(国际标准化组织)和 IEC(国际电工委员会)形成了一个专门体系,进行世界性的标准
化工作。 ISO 或 IEC 成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推
广,这些技术委员会要设法应对一些特殊领域的技术活动。 ISO 和 IEC 技术委员会在共同
感兴趣的领域中合作。其他与 ISO 和 IEC 有联络的国际性组织、政府和非政府机构也参与
了这项工作。
国际标准是根据 ISO/IEC 指导方针第 3 部分中的规定起草的。
在信息技术领域,ISO 和 IEC 已经建立了一个联合技术委员会,叫做 ISO/IEC JTC 1. 该联
合技术委员会采纳的国际标准草案要经由成员体投票。 若作为国际标准正式出版,则需要
至少百分之七十五的成员体投票赞成。
请您注意,该国际标准中的一些内容可能涉及专利权问题。ISO 和 IEC 不负责辨别任何或者
所有这样的专利权。
国际标准 ISO/IEC 17799 由英国标准协会筹备起草(BS 7799), 随后被联合技术委员会——
信息技术 ISO/IEC JTC 1 按照特殊的“快速程序”所采纳。该标准同时得到了 ISO 和 IEC 各
个成员体的批准。
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
介绍
什么是信息安全?
信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要
适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、
减少业务损失并且使投资和商务机会获得最大的回报。
信息可以以多种形式存在。它能被打印或者写在纸上,能够电化存储;也可以由邮局或者用
电子方式发送;还可以在电影中展示或者在交谈中提到。无论以任何形式存在,或者以何种
方式共享或存储, 信息都应当得到恰当的保护。
在这里,信息安全特指保护:
a) 保密性:确保信息只能够由得到授权的人访问。
b) 完整性:保护信息的正确性和完整性以及信息处理方法。
c) 有效性:保证经授权的用户可以访问到信息。如果需要的话,还能够访问相关资产。
信息安全通过实施一整套的控制达到。这些控制措施可能是策略、做法、程序、组织结构或
者软件功能。需要建立这些控制措施以确保实现该机构特殊的安全目标。
为什么需要信息安全?
信息及其辅助程序、系统和网络,是重要的商业资产。信息的保密性、完整性和有效性对于
保持竞争能力、资金流动、盈利率、法律柔量和商业形象都十分关键。
各种组织和它们的信息系统及网络日益面临着来自四面八方的安全威胁。 这些威胁的来源
有计算机诈骗、间谍活动、蓄意破坏、火灾和水灾等等。 能够损坏信息的因素比如计算机
病毒、计算机黑客和拒绝服务,已经越来越常见、越来越富于挑战性并且愈加复杂。
这些组织对信息系统及其服务的依赖,意味着它们更容易受到安全威胁。 公众网络和私有
网络的互相链接和信息共享增加了实现访问控制的难度。 分布式计算的趋势已经逐渐削弱
了集中化专家控制模式的效率。
很多信息系统的设计并不安全。 通过技术手段可以得到的安全是很有限的,还应当有适当
的管理和程序的帮助。 为确认采用何种控制措施,需要进行认真规划而且要关注细节问题。
信息安全管理至少要求组织中所有雇员参与其中。 它可能还需要供应商、客户和股东的参
与。也可能需要来自组织以外的专家的建议。
©ISO/IEC 2000 -版权所有
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
