2022年网络安全管理标准BS .pdf
《2022年网络安全管理标准BS .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全管理标准BS .pdf(13页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网络安全管理标准BS799 下载(中文) -1信息安全管理BS 7799-1:1999 第一部分:信息安全管理业务手则前言BS 7799 本部分内容,即信息安全管理,是在BSI/DISC 委员会BDD/2 指导下完成的。它取代了已经停止使用的BS 7799:1995。BS 7799 由两个部分组成:l 第一部分:信息安全管理业务守则;l 第二部分:信息安全管理系统规范。BS 7799-1 首发于1995 年,它为信息安全提供了一套全面综合最佳实践经验的控制措施。其目的是将信息系统用于工业和商业用途时为确定实施控制措施的范围提供一个参考依据,并且能够让各种规模的组织所采用。本标准使用组织这一术语
2、,既包括赢利性组织,也包括诸如公共部门等非赢利性组织。1999 年的修订版考虑到最新的信息处理技术应用,特别是网络和通讯的发展情况。它也更加强调了信息安全所涉及的商业问题和责任问题。本文档所说明的控制措施不可能完全适用于所有情况。它没有考虑到本地系统、环境或技术上的制约因素。并且在形式上也不可能完全适合组织的所有潜在用户。因此,本文档还需要有进一步的指导说明作为补充。例如,在制定公司策略或公司间贸易协定时,可以使用本文档作为一个基石。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1
3、 页,共 13 页 - - - - - - - - - British Standard 作为一个业务守则,在形式上采用指导和建议结合的方式。在使用时,不应该有任何条条框框,尤其特别注意,不要因为要求遵守守则而因噎废食。本标准在起草时就已经假定一个前提条件,即标准的执行对象是具有相应资格的、富有经验的有关人士。附件 A 的信息非常丰富,其中包含一张表,说明了1995 年版各部分与1999 年版各条款间的关系。British Standard 无意包容合约的所有必要条款。British Standards 的用户对他们正确使用本标准自负责任。符合 British Standard 不代表其本身豁
4、免法律义务。什么是信息安全?信息是一种资产, 就象其它重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上,以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。信息安全具有以下特征:a) 保密性:确保只有经过授权的人才能访问信息;b) 完整性:保护信息和信息的处理方法准确而完整;c) 可用性:确保经过授权的用户在需要时可以访问信
5、息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。为什么需要信息安全信息和支持进程、系统以及网络都是重要的业务资产。为保证组织富有竞争力,保持现金流顺畅和组织赢利,以及遵纪守法和维护组织的良好商业形象,信息的保密性、完整性和可用性是至关重要的。各个组织及其信息系统和网络所面临的安全威胁与日俱增,来源也日益广泛,包括利用计算机欺诈、窃取机密、恶意诋毁破坏等行为以及火灾或水灾。危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险
6、恶,而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享,增大了对访问进行控制的难度。分布式计算尽管十分流行,但降低了集中式专家级控制措施的有效性。很多信息系统在设计时,没有考虑到安全问题。通过技术手段获得安全保障十分有限,必须辅之以相应的管理手段名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 13 页 - - - - - - - - - 和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要
7、周密计划,并对细节问题加以注意。作为信息安全管理的最基本要求,组织内所有的雇员都应参与信息安全管理。信息安全管理还需要供应商、客户或股东的参与。也需要参考来自组织之外的专家的建议。如果在制定安全需求规范和设计阶段时就考虑到了信息安全的控制措施,那么信息安全控制的成本会很低,并更有效率。如何制定安全要求组织确定自己的安全要求,这是安全保护的起点。安全要求有三个主要来源。第一个来源是对组织面临的风险进行评估的结果。通过风险评估,确定风险和安全漏洞对资产的威胁,并评价风险发生的可能性以及潜在的影响。第二个来源是组织、其商业伙伴、承包商和服务提供商必须满足的法律、法令、规章以及合约方面的要求。第三个来
8、源是一组专门的信息处理的原则、目标和要求,它们是组织为了进行信息处理必须制定的。评估安全风险安全要求是通过对安全风险的系统评估确定的。应该将实施控制措施的支出与安全故障可能造成的商业损失进行权衡考虑。风险评估技术适用于整个组织,或者组织的某一部分以及独立的信息系统、特定系统组件或服务等。在这些地方,风险评估技术不仅切合实际,而且也颇有助益。进行风险评估需要系统地考虑以下问题:a) 安全故障可能造成的业务损失,包含由于信息和其它资产的保密性、完整性或可用性损失可能造成的后果;b) 当前主要的威胁和漏洞带来的现实安全问题,以及目前实施的控制措施。评估的结果有助于指导用户确定适宜的管理手段,以及管理
9、信息安全风险的优先顺序,并实施所选的控制措施来防范这些风险。必须多次重复执行评估风险和选择控制措施的过程,以涵盖组织的不同部分或各个独立的信息系统。对安全风险和实施的控制措施进行定期审查非常重要,目的是:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 13 页 - - - - - - - - - a) 考虑业务要求和优先顺序的变更;b) 考虑新出现的安全威胁和漏洞;c) 确认控制措施方法是否适当和有效。应该根据以前的评估结果以及管理层可以接受的风险程度变化对系统安全执行不
10、同程度的审查。通常先在一个较高的层次上对风险进行评估(这是一种优先处理高风险区域中的资源的方法),然后在一个具体层次上处理特定的风险。选择控制措施一旦确定了安全要求,就应选择并实施适宜的控制措施,确保将风险降低到一个可接受的程度。可以从本文档或其它控制措施集合选择适合的控制措施,也可以设计新的控制措施,以满足特定的需求。管理风险有许多方法,本文档提供了常用方法的示例。但是,请务必注意,其中一些方法并不适用于所有信息系统或环境,而且可能不适用于所有组织。例如,8.1.4 说明了如何划分责任来防止欺诈行为和错误行为。在较小的组织中很难将所有责任划分清楚,因此需要使用其它方法以达到同样的控制目的。在
11、降低风险和违反安全造成的潜在损失时,应该根据实施控制措施的成本选择控制措施。还应该考虑声誉受损等非货币因素。本文档中的一些控制措施可以作为信息安全管理的指导性原则,这些方法适用于大多数组织。在下文的“信息安全起点”标题下,对此做了较为详细的解释。信息安全起点很多控制措施都可以作为指导性原则,它们为实施信息安全提供了一个很好的起点。这些方法可以是根据基本的法律要求制定的,也可以从信息安全的最佳实践经验中获得。从规律规定的角度来看,对组织至关重要的控制措施包括:a) 知识产权(参阅12.1.2) ;b) 组织记录的保护(参阅12.1.3) ;c) 对数据的保护和个人信息的隐私权保护(参阅12.1.
12、4) 。在保护信息安全的实践中,非常好的常用控制措施包括:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 13 页 - - - - - - - - - a) 信息安全策略文档(参阅3.1.1) ;b) 信息安全责任的分配(参阅4.1.3) ;c) 信息安全教育和培训(参阅6.2.1) ;d) 报告安全事故(参阅6.3.1) ;e) 业务连续性管理(参阅11.1) 。这些控制措施适用于大多数组织,并可在大多数环境中使用。请注意, 尽管本文档中的所有文档都很重要,但一种方法是
13、否适用,还是取决于一个组织所面临的特定安全风险。因此,尽管采用上述措施可以作为一个很好的安全保护起点,但不能取代根据风险评估结果选择控制措施的要求。成功的关键因素以往的经验表明,在组织中成功地实施信息安全保护,以下因素是非常关键的:a) 反映组织目标的安全策略、目标以及活动;b) 与组织文化一致的实施安全保护的方法;c) 来自管理层的实际支持和承诺;d) 对安全要求、风险评估以及风险管理的深入理解;e) 向全体管理人员和雇员有效地推销安全的理念;f) 向所有雇员和承包商宣传信息安全策略的指导原则和标准;g) 提供适当的培训和教育;h) 一个综合平衡的测量系统,用来评估信息安全管理的执行情况和反
14、馈意见和建议,以便进一步改进。制定自己的指导方针业务规则可以作为制定组织专用的指导原则的起点。本业务规则中的指导原则和控制措施并非全部适用。因此,还可能需要本文档未包括的其它控制措施。出现上述情况时,各控制措施之间相互参照很有用,有名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 13 页 - - - - - - - - - 利于审计人员和业务伙伴检查是否符合安全指导原则。BS 7799 本部分内容为那些负责执行或维护组织安全的人员提供使用信息安全管理的建议。目的是为制定组
15、织安全标准和有效安全管理提供共同基础,并提高组织间相互协调的信心。2 术语和定义在说明本文档用途中应用了以下定义。2.1 信息安全信息保密性、完整性和可用性的保护注意保密性的定义是确保只有获得授权的人才能访问信息。完整性的定义是保护信息和处理方法的准确和完整。可用性的定义是确保获得授权的用户在需要时可以访问信息并使用相关信息资产。2.2 风险评估评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性2.3 风险管理以可以接受的成本,确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程3 安全策略 3.1 信息安全策略目标:提供管理指导,保证信息安全。管理层应制定一个明
16、确的安全策略方向,并通过在整个组织中发布和维护信息安全策略,表明自己对信息安全的支持和保护责任。3.1.1 信息安全策略文档策略文档应该由管理层批准,根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责任,并制定组织的管理信息安全的步骤。至少应包括以下指导原则:a) 信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性(参阅简介);b) 陈述信息安全的管理意图、支持目标以及指导原则;c) 简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组织非常重要,例如:1) 符合法律和合约的要求;2) 安全教育的要求;3) 防止并检测病毒和其它恶意软件;4)业务连续性
17、管理;5) 违反安全策略的后果;d) 确定信息安全管理的一般责任和具体责任,包括报告安全事故;e) 参考支持安全策略的有关文献,例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。安全策略应该向组织用户传达,形式上是针对目标读者,并为读者接受和理解。3.1.2 审查评估每个策略应该有一个负责人,他根据明确规定的审查程序对策略进行维护和审查。审查过程应该确保在发生影响最初风险评估的基础的变化(如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更)时,对策略进行相应的审查。还应该进行以下预定的、阶段性的审查:a) 检查策略的有效性,通过所记录的安全事故的性质、数量以
18、及影响反映出来;b) 控制措施的成本及其业务效率的影响;c)技术变化带来的影响。目标:管理组织内部的信息安全。应该建立管理框架,在组织内部开展和控制信息安全的管理实施。应该建立有管理领导层参加的管理论坛,以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。根据需要,应该建立专家提出信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 13 页 - - - - - - - - - 安全建议的渠道,并供整个组织使用。建立与公司外部的安全专家的联系,保持与业界的潮流、监
19、视标准和评估方法同步,并在处理安全事故时吸收他们的观点。应该鼓励采用跨学科跨范围的信息安全方法,例如,让管理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作,让他们参与保险和风险管理的工作。1.1.1 管理信息安全论坛信息安全是一种由管理团队所有成员共同承担的业务责任。应该建立一个管理论坛,确保对安全措施有一个明确的方向并得到管理层的实际支持。论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。该论坛可以作为目前管理机构的一个组成部分。通常,论坛有以下作用:a) 审查和核准信息安全策略以及总体责任;b) 当信息资产暴露受到严重威胁时,监视重大变化;c) 审查和监
20、控安全事故;d) 审核加强信息安全的重要活动。一个管理人员应负责所有与安全相关的活动。1.1.2 信息安全的协调在大型组织中,需要建立一个与组织规模相宜的跨部门管理论坛,由组织有关部门的管理代表参与,通过论坛协调信息安全控制措施的实施情况。通常,这类论坛:a) 就整个公司的信息安全的作用和责任达成一致;b) 就信息安全的特定方法和处理过程达成一致,如风险评估、安全分类系统;c) 就整个公司的信息安全活动达成一致并提供支持,例如安全警报程序;d) 确保将安全作为制定信息计划的一个部分;e) 对控制措施是否完善进行评估,并协调新系统或新服务的特定信息安全控制措施的实施情况;f) 审查信息安全事故;
21、g) 在整个组织中增加对信息安全工作支持的力度。1.1.3 信息安全责任的划分应该明确保护个人资产和执行具体安全程序步骤的责任。信息安全策略(请参阅条款3)应提供在组织内分配安全任务和责任的一般指导原则。如果需要,可以为特定的站点、系统或服务补充更加详细的指导原则。应明确说明对各个实际资产和信息资产以及安全进程(如业务连续性规划)的保护责任。在很多组织中,指定信息安全管理员负责开展和实施安全保护,并帮助确定控制措施。但是,资源管理以及实施控制措施仍由各个管理人员负责。一种常用的方法是为每项信息资产指定一个所有者,并由他负责该资产的日常安全问题。信息资产的所有者将其所承担的安全责任委托给各个管理
22、人员或服务提供商。尽管所有者仍对该资产的安全负有最终责任,但可以确定被委托的人是否正确履行了责任。一定要明确说明各个管理人员所负责的范围;特别是要明确以下范围。a) 必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。b) 应该确定负责各个资产和安全进程的管理人员,并记录责任的具体落实情况。c) 应明确规定授权级别并进行备案。1.1.4 信息处理设施的授权程序对于新的信息处理设施,应该制定管理授权程序。应考虑以下问题。a) 新设施应获得适当的用户管理审核,授权新设施的范围和使用。应获得负责维护本地信息系统安全环境的管理人员的批准,以确保符合所有相关安全策略和要求。b) 如果需要,应检
23、查硬件和软件以确保它们与其它系统组件兼容。c) 请注意,某些连接可能需要对类型进行核实。d) 使用个人信息处理工具处理业务信息和其它必要的控制措施应得到授权。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 13 页 - - - - - - - - - e) 在工作场所使用个人信息处理工具会带来新的漏洞,因此需要进行评估和授权。在联网的环境中,这些控制措施特别重要。1.1.5 专家信息安全建议很多组织都需要专家级的信息安全建议。理想情况下,一位资深的全职信息安全顾问应该提出
24、以下建议。并不是所有组织都希望雇佣专家顾问。在这种情况下, 我们建议专家负责协调公司内部的知识和经验资源,以确保协调一致,并在安全决策方面提供帮助。各个组织应该与公司以外的顾问保持联系,在自己不了解的领域,倾听他们的专门建议。信息安全顾问或其它专家应负责为信息安全的各种问题提供建议,这些意见既可以来自他们本人,也可以来自外界。组织的信息安全工作的效率如何,取决于他们对安全威胁评估的质量和建议使用的控制措施。为得到最高的效率和最好的效果,信息安全顾问可以直接与管理层联系。在发生可疑的安全事故或破坏行为时,应尽早向信息安全顾问或其它专家进行咨询,以得到专家的指导或可供研究的资源。尽管多数内部安全调
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年网络安全管理标准BS 2022 网络安全 管理 标准 BS
限制150内