信息安全概述BS7799.ppt

信息安全概述信息安全标准介绍BS7799 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 信息安全的CIA目标 保护信息的保密性 完整性和可用性 BS7799 信息安全管理概述 组织的信息安全需求 法律法规与合同条约的要求 有关信息安全的法律法规是对组织的强制性要求 组织应该将适用于组织的法律法规转化为组织的信息安全要求 计算机信息系统安全保护条例 知识产权保护 互联网安全管理规定 考虑业务合作者和客户对组织提出的信息安全要求 包括合同要求 招标条件和承诺 组织的原则 目标和规定 组织为业务正常运作所特别制定的原则 目标及信息处理的规定 加强内部管理的要求 风险评估的结果 安全控制要求应针对每项资产所面临的威胁 存在的弱点 产生的潜在影响和发生的可能性等综合因素来分析确定 这是信息安全管理的基础 信息安全管理概述 信息安全管理概述 信息安全的成败取决于两个因素 技术和管理 安全技术是信息安全的构筑材料 安全管理是真正的粘合剂和催化剂 人们常说 三分技术 七分管理 可见管理对信息安全的重要性 信息安全管理 InformationSecurityManagement 作为组织完整的管理体系中一个重要的环节 它构成了信息安全具有能动性的部分 是指导和控制组织的关于信息安全风险的相互协调的活动 其针对对象就是组织的信息资产 现实世界里大多数安全事件的发生和安全隐患的存在 与其说是技术上的原因 不如说是管理不善造成的 理解并重视管理对于信息安全的关键作用 对于真正实现信息安全目标来说尤其重要 信息安全管理的核心就是风险管理 信息安全管理 BS7799的安全观 技术和产品是基础 管理才是关键产品和技术 要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进 易于理解 方便操作的安全策略对信息安全至关重要建立一个管理框架 让好的安全策略在这个框架内可重复实施 并不断得到修正 就会拥有持续安全根本上说 信息安全是个管理过程 而不是技术过程 信息安全管理概述 威胁 漏洞 安全控制 安全风险 资产 安全需求 资产价值和潜在影响 抵御 利用 增加 增加 暴露 拥有 增加 需要 减少 满足 信息安全管理诸要素 AccessControls AssetClassificationControls InformationSecurityPolicy SecurityOrganisation PersonnelSecurity PhysicalSecurity SystemDevelopment ContinuityPlanning Compliance 信息安全管理概述 BS7799信息安全管理的内容 InfosecurityIncidentmanagement 基于风险分析的安全管理方法 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动 制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制和处理安全保证信息安全策略方针为信息安全管理提供导向和支持 控制目标与控制方式的选择应该建立在风险评估的基础上 考虑控制成本与风险平衡的原则 将风险降低到组织可接受的水平 需要全员参与 遵循管理的一般模式 PDCA模型 信息安全管理概述 PDCA信息安全管理模型 根据风险评估结果 法律法规要求 组织业务运作自身需要来确定控制目标与控制措施 实施所选的安全控制措施 针对检查结果采取应对措施 改进安全状况 依据策略 程序 标准和法律法规 对安全措施的实施情况进行符合性检查 信息安全管理概述 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 英国标准协会 BSI 英国标准学会 BritishStandardsInstitution BSI 著名的ISO9000 ISO14000 ISO17799 BS7799等标准的编写机构英国标准学会 BSI 是世界上最早的全国性标准化机构 它受政府控制但得到了政府的大力支持 BSI不断发展自己的工作队伍 完善自己的工作机构和体制 把标准化和质量管理以及对外贸易紧密结合起来开展工作BSI的宗旨 1 为增产节约努力协调生产者和用户之间的关系 促进生产 达到标准化 包括简化 2 制定和修订英国标准 并促进其贯彻执行3 以学会名义 对各种标志进行登记 并颁发许可证4 必要时采取各种行动 保护学会利益 BS7799标准简介 BS7799标准简介 什么是BS7799 英国标准协会 BritishStandardsInstitute BSI 制定的信息安全标准 由信息安全方面的最佳惯例组成的一套全面的控制集 信息安全管理方面最受推崇的国际标准 BS7799的目的 为信息安全管理提供建议 供那些在其机构中负有安全责任的人使用 它旨在为一个机构提供用来制定安全标准 实施有效的安全管理时的通用要素 并得以使跨机构的交易得到互信 BS7799标准简介 BS7799标准简介 BS7799的历史沿革 1990年代初 英国贸工部 DTI 成立工作组 立项开发一套可供开发 实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架 1993年9月 颁布 信息安全管理实施细则 形成BS7799的基础 1995年2月 首次出版BS7799 1 1995 信息安全管理实施细则 1998年2月 英国公布BS7799 2 信息安全管理体系规范 1999年4月 BS7799 1与BS7799 2修订后重新发布 2000年12月 国际标准组织ISO IECJTC1 SC27工作组认可通过BS7799 1 颁布ISO IEC17799 1 2000 信息技术 信息安全管理实施细则 2002年9月 BSI对BS7799 2进行了改版 用来替代原标准 BS7799 2 1999 使用 并可望通过ISO组织认可 ISO27001 2005 建立信息安全管理体系 ISMS 的一套规范 SpecificationforInformationSecurityManagementSystems 其中详细说明了建立 实施和维护信息安全管理体系的要求 指出实施机构应该遵循的风险评估标准 BS7799Part1 BS7799 1995 1999 2000 2002 2005 2007 ISO IEC17799 JISQ27002 ISO IEC17799 JISX5080 ISO IEC27001 2005version 2000version 2005 06 2005 2006 2006 BS7799Part2 ISMSVer1 0 ISMSVer2 0 JISQ27001 2005 2006 2005 2006 BS7799标准简介 BS7799的历史沿革 BS7799标准简介 BS7799的发展现状 BS7799技术委员会是BSI DISCCommitteeBDD 2 成员包括 金融服务 英国保险协会 渣打会计协会 汇丰银行等通信行业 大英电讯公司等零售业 MarksandSpencerplc国际组织 壳牌 联合利华 毕马威 KPMG 等目前除英国之外 国际上已有荷兰 丹麦 挪威 瑞典 芬兰 澳大利亚 新西兰 南非 巴西 日本等国采用BS7799 我国的台湾 香港地区也在推广该标准 日本的金融业 印度的软件业 欧洲的制造业在BS7799认证方面表现积极 全球目前有750多家机构通过了BS7799认证 涉及政府机构 银行 保险公司 电信企业 网络公司和许多跨国公司 可查询 BS7799简介 BS7799 老版 的内容 第一部分是信息安全管理实施细则 CodeofPracticeforInformationSecurityManagement 在10个标题中定义了127项安全控制 第二部分是建立信息安全管理系统 ISMS 的一套规范 SpecificationforInformationSecurityManagementSystems 详细说明了建立 实施和维护信息安全管理系统的要求 指出实施机构应该遵循的风险评估标准 BS7799简介 BS7799新版已经出台 ISO17799 2005从10个域变到11个域 增加了 信息安全事件管理 去掉了9项控制 增加了17项控制 一共有133项控制加强了对人员离职 移动通信 软件漏洞和补丁管理的控制要求BS7799 2 2002 ISO27001 2005 略做修改 附录引向ISO17799 2005原来的条款6 管理评审 分成现在的6 内审 7 管理评审 两个部分ISO17799 2000 GB T19716 2005 BS7799简介 ISO17799 2005内容框架 其他类似或相关文档 BSIDISC提供了一组关于BS7799的系列指导文件 PD3000系列 PD3001 PreparingforBS7799CertificationPD3002 GuidetoRiskAssessmentandRiskManagementPD3003 AreyoureadyforaBS7799Audit PD3004 GuidetoBS7799AuditingPD3005 GuidetotheselectionofBS7799controls澳大利亚和新西兰等同采用BS7799 发布了AS NZS4444 后来 根据ISO IEC17799 2000颁布了AS NZSISO IEC17799 2001 根据BS7799 2 2002又颁布了AS NZS7799 2 2003 此外 他们也有自己的信息安全管理标准 即AS NZS4360 ISO IECTR13335 即IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 分5个部分 是信息安全管理方面的指导性标准 专注于IT领域 并不用于审计和认证 ISO TR13569 银行和相关金融服务信息安全指南 BS7799标准简介 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 信息安全策略安全组织资产分类和控制人员安全物理和环境安全通信和操作管理访问控制系统获得 开发和维护信息安全事件管理业务连续性管理依从性 信息安全管理实施细则 11个方面 39个目标 133个控制措施 信息安全管理实施细则 ISO17799 2005前言简介什么是信息安全 信息是一种资产 有多种存在形式 应该通过有效控制加以保护 为什么需要信息安全如何建立安全需求 安全需求的三个来源 评估安全风险 安全需求经过系统地评估安全风险而得到确认 选择控制 安全控制可以从7799或其它有关标准选择 也可以自己设计满足特定要求的控制 信息安全起点 基于法律要求和信息安全最佳实践来选择控制措施 关键的成功因素开发你自己的指南范围术语和定义2 1定义本标准的结构3 1条款3 2主安全目录4风险评估和处理4 1评估安全风险4 2处理安全风险 信息安全管理实施细则 5 信息安全策略 目标 信息安全策略 为信息安全提供与业务需求和法律法规相一致的管理指示及支持安全策略应该做到 对信息安全加以定义陈述管理层的意图分派责任约定信息安全管理的范围对特定的原则 标准和遵守要求进行说明对报告可疑安全事件的过程进行说明定义用以维护策略的复查过程 信息安全管理实施细则 信息安全管理实施细则 6 安全组织 目标 信息安全基础设施 在组织内部管理信息安全外部组织 保持组织的被外部组织访问 处理 沟通或管理的信息及信息处理设备的安全包含的内容 建立管理委员会 定义安全管理的角色和责任对软硬件的采购建立授权过程与第三方签订的协议中应覆盖所有相关的安全要求 外包合同中的安全需求包括内部组织和外部伙伴 信息安全管理实施细则 7 资产管理 目标 资产责任 实现并保持组织资产的适当保护信息分类 确保对信息资产的保护达到恰当的水平包含的内容 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产 按照信息资产所属系统或所在部门列出资产清单 所有的信息资产都应该具有指定的属主并且可以被追溯责任 信息应该被分类 以标明其需求 优先级和保护程度 根据组织采用的分类方案 为信息标注和处理定义一套合适的程序 信息安全管理实施细则 8 人力资源安全 目标 雇佣前 确保员工 合同访和第三方用户了解他们的责任并适合于他们所考虑的角色 减少盗窃 滥用或设施误用的风险 雇佣中 确保所有的员工 合同方和第三方用户了解信息安全威胁和相关事宜 他们的责任和义务 并在他们的日常工作中支持组织的信息安全方针 减少人为错误的风险 解聘和变更 确保员工 合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行 包含的内容 故意或者无意的人为活动可能给数据和系统造成风险在正式的工作描述中建立安全责任 员工入职审查 信息安全管理实施细则 9 物理和环境安全 目标 安全区域 防止非授权访问 破坏和干扰业务运行的前提条件及信息 设备安全 预防资产的丢失 损坏或被盗 以及对组织业务活动的干扰 包含的内容 应该建立带有物理入口控制的安全区域应该配备物理保护的硬件设备应该防止网络电缆被塔线窃听将设备搬离场所 或者准备报废时 应考虑其安全 信息安全管理实施细则 10 通信和操作管理 目标 操作程序和责任 确保信息处理设施的正确和安全操作 第三方服务交付管理 实施并保持信息安全的适当水平 确保第三方交付的服务符合协议要求 系统规划与验收 减少系统失效带来的风险 防范恶意代码和移动代码 保护软件和信息的完整性 备份 保持信息和信息处理设施的完整性和可用性网络安全管理 确保对网络中信息和支持性基础设施的安全保护 介质处理和安全 防止对资产的未授权泄漏 修改 移动或损坏 及对业务活动的干扰 信息和软件的交换 应保持组织内部或组织与外部组织之间交换信息和软件的安全 电子商务服务 确保电子商务的安全及他们的安全使用 监督 检测未经授权的信息处理活动 包含的内容 防病毒 防恶意软件进行变更控制做好备份 存储介质的安全处理 保存正确的访问日志 系统文件的安全性电子邮件安全性保护传输中的数据 信息安全管理实施细则 11 访问控制 目标 访问控制的业务需求 控制对信息的访问 用户访问管理 确保授权用户的访问 并预防信息系统的非授权访问 用户责任 预防未授权用户的访问 信息和信息处理设施的破坏或被盗 网络访问控制 防止对网络服务未经授权的访问 操作系统访问控制 防止对操作系统的未授权访问 应用访问控制 防止对应用系统中信息的未授权访问 移动计算和远程工作 确保在使用移动计算和远程工作设施时信息的安全 包含的内容 口令的正确使用对终端的物理访问自动终止时间软件监视等 信息安全管理实施细则 12 系统获得 开发与维护 目标 系统的安全需求 确保安全内建于信息系统中 应用系统的安全 防止应用系统信息的错误 丢失 未授权的修改或误用 加密控制 通过加密手段来保护细腻的保密性 真实性或完整性 系统文件的安全 确保系统文档的安全 开发和支持过程的安全 保持应用系统软件和信息的安全 技术漏洞管理 减少由利用公开的技术漏洞带来的风险 包含的内容 在系统设计时应该考虑输入数据校验 数据加密 数据文件的安全性 测试数据的保护软件开发和维护中应该建立配置管理 变更控制等机制 信息安全管理实施细则 13 信息安全事件管理 目标 报告信息安全事件和弱点 确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施 信息安全事故的管理和改进 确保使用持续有效的方法管理信息安全事故 包含的内容 正常的事件报告和分类程序 这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点所有的员工 合同方和第三方用户都应该知晓这套报告程序 要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方 信息安全管理实施细则 14 业务连续性管理 目标 业务连续性管理的信息安全方面 防止业务活动的中断 保护关键业务流程不会受信息系统重大失效或自然灾害的影响 并确保他们的及时恢复 包含的内容 全面理解业务连续性计划 BCP 理解组织面临的风险 识别关键业务活动和优先次序 确认可能对业务造成影响的中断 应该设计 实施 测试和维护BCP 信息安全管理实施细则 15 符合性 目标 与法律法规要求的符合性 避免违反法律 法规 规章 合同要求和其他的安全要求 符合安全方针 标准 技术符合性 确保系统符合组织安全方针和标准 信息系统审核的考虑因素 最大化信息系统审核的有效性 最小化来自 对信息系统审核的影响 包含的内容 组织应该确保遵守相关的法律法规和合同义务软件版权 知识产权等 信息安全管理实施细则 BS7799认证最基本的控制项 与法律相关的控制措施 知识产权 IntellectualPropertyRights 防止非拥有者授权的复制 避免侵犯知识产权保护组织的记录 保护重要的记录不丢失 破坏和伪造数据保护和个人信息隐私 遵守所在国的数据保护法律与最佳惯例相关的控制措施 信息安全策略文件 为信息安全提供管理方向和支持信息安全责任的分配 分派安全责任 使信息安全在组织内部得以有效管理信息安全教育和培训 保证用户有信息安全威胁意识 关心信息安全并支持组织信息安全策略报告安全事件 最大程度减小安全事件和故障造成的破坏 监视事件 从中吸取教训业务连续性管理 减少业务活动中断 保护关键业务过程不受重大事件或灾难影响 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 信息安全管理体系规范 解释标准的作用和所用的定义解释相关术语解释建立和维护文档化的ISMS的要求列举可用的控制和控制目标是依照BS7799对组织的ISMS进行评估认证的基础 信息安全管理体系规范 BS7799 2简介 BS7799标准对信息安全管理体系 ISMS 并没有一个明确的定义 可以将其理解为组织管理体系的一部分 ISMS涉及到的内容 用于组织信息资产风险管理 确保组织信息安全的 包括为制定 实施 评审和维护信息安全策略所需的组织机构 目标 职责 程序 过程和资源 标准要求的ISMS建立过程 制定信息安全策略 确定体系范围 明确管理职责 通过风险评估确定控制目标和控制方式 体系一旦建立 组织应该按规定要求进行运作 保持体系的有效性 ISMS应形成一定的文档 包括策略 适用性声明文件和实施安全控制所需的程序文件 一个文档化的ISMS应该阐述 要保护的资产 组织进行风险管理的途径 控制目标和控制方式 需要的保障程度 建立ISMS管理框架的过程 信息安全管理体系规范 信息安全管理体系规范 BS7799的输出结果 ISMS的文档体系 Procedures程序 WorkInstructions checklists forms etc 工作指导书 检查清单 表格等 Records纪录 SecurityManual安全手册 Policy scoperiskassessment statementofapplicability Describesprocesseswho what when where Describeshowtasksandspecificactivitiesaredone ProvidesobjectiveevidenceofcompliancetoISMSrequirements 第一级关于BS7799的管理框架的方针策略 第二级 第三级 第四级 信息安全管理体系规范 为了与诸如ISO9000和ISO14001这样的管理体系标准保持一致 也为了引入PDCA模型 以便建立 实施 维护和持续改进组织的信息安全管理体系 2002年9月5日 BS7799 2 2002草案经过广泛的讨论 终于发布成为正式标准 与此同时 BS7799 2 1999被废止 信息安全管理体系规范 BS7799 2新版本的特点 引入了PDCA模型 与其他管理体系标准保持协调关系 基于PDCA模型的信息安全管理过程方法 对风险评估过程 控制选择和适用性声明内容之间的联系予以澄清 在定义上也有改进 附录中提供了对此新版本使用的指南 附录中还列举了BS7799 2 2002 ISO9001 2000和ISO14001 1996之间的一致性 信息安全管理体系规范 PDCA模型在ISMS过程中的运用 信息安全管理体系规范 建立ISMS Plan 定义ISMS的范围 从业务 组织 位置 资产和技术等方面考虑 定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明 SoA 取得管理层对残留风险的承认和实施并操作ISMS的授权 信息安全管理体系规范 实施和操作ISMS Do 制定风险处理计划 RiskTreatmentPlan 实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源实施能够激发安全事件检测和响应的程序和控制 信息安全管理体系规范 信息安全管理体系规范 监视和复审ISMS Check 执行监视程序和控制对ISMS的效力进行定期复审 看其是否满足安全策略和目标 安全控制是否有效 复审残留风险和可接受风险的水平 考虑到各种变化情况按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响 信息安全管理体系规范 维护和改进ISMS Act 对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 BS7799认证过程 通过BS7799认证的好处 依据BS7799 2对组织的信息安全管理体系 ISMS 进行认证 可以证明组织已经遵照BS7799 2标准的要求实施了信息安全管理的体系 帮助组织获得最佳的信息安全运作方式 保证业务活动的安全 降低风险 避免损失 保持核心竞争优势 提高组织在商业活动中的信誉 满足客户的要求 保证可持续发展 符合法律法规的要求 认证过程 BS7799认证过程 BS7799认证过程 BS7799认证过程 成功的关键因素 安全策略 目标和活动应该反映业务目标实施信息安全的方法应该与组织的文化保持一致来自高级管理层的明确的支持和承诺深刻理解安全需求 风险评估和风险管理向所有管理者和员工有效地推广安全意识分发信息安全策略 指南和标准给所有员工及签约人提供适当的培训和教育建立完整而平衡地测量体系 用来评估信息安全管理体系的表现 提供改进的反馈建议 信息安全管理概述BS7799标准简介信息安全管理实施细则信息安全管理体系规范BS7799认证过程BS7799总结展望其它安全标准 BS7799总结展望 总结BS7