ISO17799信息安全管理的最佳实践标准.ppt

,ISO17799信息安全管理的最佳实践标准,曹鹏网络安全产品营销中心解决方案部部长CISP北京caopeng沈阳东软软件股份有限公司,安全是个管理问题,装修后房间需要换锁吗,7799简介,内容目录,BS7799产生背景BS7799发展历史BS7799基本概念BSI内容介绍BS7799认证BS7799工具介绍BSI简介BS7799建立和实施的目的和意义并非仅适用于英国,BS7799产生背景,目前组织对信息安全管理基本上还处在一种静态的、局部的、少数人负责的、突击式的、事后纠正式的管理方式，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失随着信息技术的发展，电子商务及Internet应用的普及，大家普遍认识到解决信息安全问题不应仅从技术方面着手，同时更应加强信息安全的管理工作，通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题的目的。基于这种认识，提出了“三分技术，七分管理”的信息安全原则。BS7799它广泛地涵盖了所有的安全议题，是一个非常详尽甚至有些复杂的信息安全标准。,WhydoweneedBS7799anyway?TheLogicArgument,BS7799发展历史,BS7799发展历史,1993年1月：成立行业工作小组1993年9月：实施要则出版1995年2月：BS7799-1出版1998年2月：BS7799-2出版1999年4月：BS7799-1和BS7799-2:1999出版2000年12月：BS7799-1做了23处修改后，成为ISO/IEC177992002年9月：BS7799-2:2002出版,BS7799体现以下原则,制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在风险评估基础之上预防控制为主的思想原则动态管理原则全员参与原则遵循管理的一般循环模式PDCA持续改进模式商务持续性原则,BS7799基本概念,传递,破坏？,存储,使用,出错,丢失！,信息处理方式,在某些组织中，完整性和/或可用性比保密性更重要,ISO17799关于信息安全的概念,BS7799内容介绍,BS7799内容介绍,BS7799共分为两部分：第一部分是信息安全管理实施细则，主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分是信息安全管理体系规范（ISMS)，详细说明了建立、实施和维护信息安全管理系统的要求，指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象，并对自己的需求采取适当的控制。BS7799由三个主段落组成，即总则、系统要求和控制，可分为强制性过程和选择性控制,BS7799内容介绍,BS7799-1（ISO/IEC17799）andBS7799-2:2002是一套以风险管理、风险评估为基础的信息安全管理体系,BS7799内容介绍,BS7799（ISO/IEC17799）内容包括：10subjectdomains;36managementobjectives;127controls;and500detailcontrols.,访问控制,ISO17799信息安全管理,信息安全方针,安全组织,人事安全,物理安全,系统开发,连续运营计划,符合性,信息,客户记录,人事记录,法律记录,通信管理,资产分级控制,BS7799-1(ISO/IEC17799),1安全方针SecurityPolicy,目标：提供管理方向和支持信息安全信息安全策略文件、评审和评价信息安全定义，总目标和范围，安全的重要性管理企图的说明，以支持信息安全的目的和原则风险管理方法承诺符合ISO17799标准详细方针消费者信任行动数据保护行动,详细方针,可以包括:服从法律和合同要求组织应急计划要求数据备份要求避免病毒安全教育要求系统和数据访问控制报告安全事故对恶意行为和不适当访问及使用的惩处行动,2、安全组织,3资产分级与控制,资产的可核查性目标：维护组织资产的相应保护信息分类目标：确保信息资产受到相应级别的保护所有主要信息资产都应清点并指定专人负责,这些资产必须是在信息安全管理体系范围之内的,资产Assets,资产是组织认为有价值的东西，例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务,信息资产清单应包括哪些项目,资产的名称资产的位置资产负责人资产重要性信息资产分级,信息分级很重要,信息有公开和敏感之分，敏感信息的程度也不相同，信息分级可以明确信息的保护要求、区分哪些是公开信息，哪些是敏感信息、可以确定信息的敏感等级、从而确定信息控制的优先权和保护等级，保证信息资产受到适当级别的保护。分级工作应该由信息的创立人或者是指定的所有者来确定。正确的标识“绝密”“机密”“秘密”“一般”不同级别的信息在管理方面应该是区别对待传递、复制、销毁、存储,4、人员安全PersonnelSecurity,“粗暴裁员”体现管理严格,联想员工亲历联想大裁员：公司不是家,招聘长期雇员时应该考察的方面,是否有人品证明，例如工作推荐或者是个人推荐申请人的履历表的完整性和准确性检查声明的学术或专业资格的确认身份的查验（身份证或类似文件）,物理与环境安全,安全区域Secureareas,物理周边安全物理进入控制办公室、房间和设备安全在安全区域工作分离运输和装卸区域,I.D.,运营程序Operationalprocedures,文件化运营程序运营变化控制事故管理程序责任分离开发和运营设备的分离外部设施的管理,设备安全Equipmentsecurity,设备设置和保护电源供应线路安全设备维护退出办公的设备的安全清理和重新使用的设备的安全,一般控制Equipmentsecurity,清理桌面和清空屏幕策略记录纸和计算机媒体的存放敏感和关键业务信息的保护无人值守时设备的保护财产的移动,通信和运营管理,保证信息处理设施的安全和正确运营-运营程序和责任-系统计划和接收-预防恶意软件-内务-网络管理-媒介管理和安全-信息和软件交换的安全,IT,操作规程和职责,目标：确保信息处理措施正确和安全操作文件化的操作规程操作变更控制事故管理规程责任分离开发和运行设施分离外部设施管理,系统计划和接收,目标：使系统故障的风险减到最小容量计划系统接收,2001,1990,恶意软件防护,目标：保护软件和信息的完整性恶意软件控制,内务管理Housekeeping,目标：维护信息处理和通信服务的完整性和可用性信息备份操作者日志故障记录,网络管理,目标：确保保卫网络中的信息和保护支持性基础设施网络的操作职责与计算机操作分开建立远程设备管理的职责和规程建立专门的控制，保卫在公用网络传输数据的保密性和完整性紧密协调管理活动,媒体处置和安全,目标：防止资产损坏和业务活动中断可移动的计算机媒体的管理媒体的处置信息处置规程系统文件的安全,信息和软件的交换,目标：防止组织之间交换的信息的丢失、修改或滥用信息和软件交换协定运输中的媒体安全电子商务的安全电子邮件的安全,7访问控制AccessControl,控制对信息的访问-业务要求对访问进行控制-用户访问管理-用户职责-网络访问控制-操作系统访问控制-应用访问控制-系统访问和使用监控-移动计算设备和通信,使用者访问管理,使用者注册优先权管理使用者口令字管理审核使用者访问权限,SystemAdministratorMenu,网络访问控制,网络服务使用方针规定的过程使用者授权使用外部连接分支授权远程诊断港的防护网络的分离网络连接控制网络路径控制网络服务安全,应用访问控制,信息访问限制敏感系统隔离,移动计算机和通信,移动计算机设备通信网络设备,8、系统开发和维护,系统开发与维护,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,我国法律对信息安全的要求,宪法的要求刑法的要求中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例商用密码管理条例,ISO17799控制目标与控制措施,ISO17799控制目标与控制措施,安全条款小结,1安全方针2安全组织3资产分类和控制4人事安全5物理和环境安全6通信和运营管理7访问控制8系统开发和维护9商务连续性计划10符合,安全组织,ISO17799（BS7799）实施,资产分级及控制,信息安全方针,应用控制措施,运营实现过程,检查过程,纠正措施,管理评审,计划,纠正,检查,实施,BS7799-2：2002,利用PDCA方法建设信息安全体系,BS7799管理过程,确定信息安全管理方针1、确定ISMS(信息安全管理体系)的范围2、进行风险分析3、选择控制目标并进行控制4、建立业务持续计划5、建立并实施安全管理体系,认证情况（一）,BS7799与ISO9000质量管理体系标准、ISO14000环境管理体系标准、OHSAS18000职业安全卫生管理体系标准同属管理体系标准，在体系的建立和评审认证上遵循同样的原理和原则ISO17799作为信息安全管理方面的审核标准，对信息安全产业的作用和意义，就仿佛是ISO9000质量认证标准之于许多制造业。通过该标准的认证，可以为企业提供可靠的安全服务，树立企业的信息安全形象。目前澳大利亚、新西兰、巴西、捷克、芬兰、冰岛、爱尔兰、荷兰、挪威、瑞典、印度已经把BS7799转化为国家信息安全管理标准，我国信息安全等级保护制度安全管理部分也是重点参考了它的内容所编写的。,认证情况（二）,该标准自公布以来，英国、澳大利亚、巴西、荷兰、新西兰和挪威等国已开始采用。已有政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司纷纷采用，并收到了良好的效果和回报。中国人民保险公司厦门市分公司签订了我国第一份BS7799信息安全管理体系认证协议;这也是我国第一份有关信息安全管理体系认证的协议,BS7799工具介绍,BS7799工具介绍,Cobra微软安全自我评估工具,Cobra,Cobra是一套专门用于进行风险分析的工具软件，其中也包含促进安全策略执行、外部安全标准（ISO17799）评定的功能模块。用Cobra进行风险分析时，分3个步骤：调查表生成、风险调查、报告生成。,Cobra,微软自我安全评估工具,微软自我安全评估工具,BS7799实施的必要性,越来越多的工业和商业企业开始使用信息系统，为保障信息系统的安全，须采取一系列措施，BS7799则为这些措施的落实提供了一套检查方法可以使用户与企业的业务运行在一个可信任的平台之上企业之间竞争的需要，BS7799认证将成为企业在市场上进行竞争的一道分水岭，尤其在用户在选择涉及安全的服务提供商的时候降低信息安全事件对企业的业务影响促进企业业务的可持续增长,建立和实施的目的和意义,通过促进企业建立信息安全管理体系，确保信息技术的安全使用，保证企业经营管理的正常运作，减少因信息技术失控而造成经济损失，提高企业的社会形象和市场竞争力。建立信息安全管理体系并获得经认可的认证公司的认证，不仅能提高组织自身的安全管理水平，将企业的安全风险控制在可接受的程度，减小安全遭到破坏带来的损失，保证业务的可持续运作；并且能向客户及利益相关方展示组织对信息安全的承诺，增强投资方和股票持有者的投资信息，向政府及行业主管部门证明组织对相关法律法规的符合，并且得到国际上的承认。可以借此向客户展示其服务相比其他竞争对手更加安全、可靠，树立和增强企业的信息安全形象，提高企业的综合竞争力。,国内外大公司安全管理成功案例介绍,天威诚信-国内第一家PKI/CA最早通过ISO17799认证的公司NOKIA世界著名高科技公司,安全管理成功的要点,严格执行，也需要灵活处理。信息安全作为独立部门存在。分层次化的执法手段。技术与管理手段是不能分开的。