信息安全管理基础培训

中远网络(北京)有限公司信息安全管理体系基础培训北京安言信息技术有限公司欢迎您参加这次《信息安全管理体系基础知识》培训班，本课程是我们特意为北京中远网络公司度身定制的，旨在引领大家理解信息安全管理最佳实践，以便更好地开展即将启动的项目。衷心祝愿您在整个课程过程中与我们度过紧凑而富有成效的美好时光。关于课程内容及授课效果的意见和建议，请及时反馈给我们，以便我们改进自身工作。再次欢迎您的参与，真诚感谢您的支持与合作！我们的目标理解信息、信息安全和信息安全管理理解信息安全风险评估与风险管理理解BS7799/ISO27001标准本身的条款内容掌握一种实施ISMS的方法和途径了解ISO27001认证的完整过程用ISO27001指导企业进行信息安全的各项活动第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望内容目录积极参与，小组讨论，活跃气氛遵守时间请将移动电话设置为震动有问题请随时提出课堂注意事项让我们开始吧！什么是信息？什么是信息安全？为什么要强调信息安全管理？怎样做好信息安全管理？什么是BS7799/ISO27001？

BS7799/ISO27001对信息安全管理有什么指导意义？信息安全管理体系如何认证？需要首先搞清楚的几个问题第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望什么是信息？信息安全概述什么是信息？Information消息、信号、数据、情报和知识信息本身是无形的，借助于信息媒体以多种形式存在或传播：存储在计算机、磁带、纸张等介质中记忆在人的大脑里通过网络、打印机、传真机等方式进行传播信息借助媒体而存在，对现代企业来说具有价值，就成为信息资产：计算机和网络中的数据硬件、软件、文档资料

关键人员组织提供的服务具有价值的信息资产面临诸多威胁，需要妥善保护有价值的内容——ISO9000信息安全概述企业信息安全管理关注的信息类型内部信息组织不想让其竞争对手知道的信息客户信息顾客/客户不想让组织泄漏的信息共享信息需要与其他业务伙伴分享的信息信息安全概述信息的处理方式创建传递销毁存储使用更改信息安全概述什么是信息安全？信息安全概述采取措施保护信息资产，使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行，使安全事件对业务造成的影响减到最小，确保组织业务运行的连续性。信息安全概述信息安全的发展历史20世纪60年代前60年代到80年代20世纪80年代末以后电话、电报、传真强调的是信息的保密性对安全理论和技术的研究只侧重于密码学

通信安全，即COMSEC计算机软硬件极大发展关注保密性、完整性和可用性目标

信息安全，即INFOSEC

代表性成果是美国的TCSEC和欧洲的ITSEC测评标准互联网技术飞速发展，信息无论是对内还是对外都得到极大开放信息安全从CIA中又衍生出可控性、抗抵赖性、真实性等特性，并且从单一的被动防护向全面而动态的防护、检测、响应、恢复发展

信息保障（InformationAssurance），从整体角度考虑安全体系建设

美国的IATF规范

信息安全概述CIAonfidentialityntegrityvailability信息安全基本目标信息安全概述企业重大泄密事件屡屡发生信息安全概述敏感信息遭受篡改也会导致恶劣后果信息安全概述破坏导致系统瘫痪后果非常严重信息安全概述C保密性（Confidentiality）——确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性（Integrity）——确保信息在存储、使用、传输过程中不会被非授权篡改，防止授权用户或实体不恰当地修改信息，保持信息内部和外部的一致性。可用性（Availability）——确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标，也是基本原则，与之相反的是DAD三元组：C.I.A.和D.A.D.IADisclosureAlterationDestruction泄漏破坏篡改信息安全概述Confidentiality

机密性Availability

可用性Integrity

完整性信息安全概述其他概念和原则

私密性（Privacy）——个人和组织控制私用信息采集、存储和分发的权利。

身份识别（Identification）——用户向系统声称其真实身份的方式。

身份认证（Authentication）——测试并认证用户的身份。

授权（Authorization）——为用户分配并校验资源访问权限的过程。

可追溯性（Accountability）——确认系统中个人行为和活动的能力。

抗抵赖性（Non-repudiation）——确保信息创建者就是真正的发送者的能力。

审计（Audit）——对系统记录和活动进行独立复查和审核，确保遵守性信息安全概述信息安全的重要性信息作为资产，就像其他重要的商务资产那样，有价值，因而要妥善保护信息安全是国家安全的需要信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一信息安全是保护个人隐私与财产的需要许多组织都曾面临过严重的威胁，包括基于计算机的欺诈和蓄意破坏现在，组织又面临更复杂的威胁，例如计算机病毒、黑客和拒绝服务攻击网络技术的高速发展增加了对计算机系统未授权访问的机会组织跨地区分布，集中式的、专家控制为主的信息安全管理系统比较困难许多信息系统的设计本身就不安全通过技术手段获得的安全是有限的，还应该通过恰当的管理和程序来支持信息安全概述法律法规与合同要求组织原则目标和业务需要风险评估的结果从什么方面考虑信息安全？信息安全概述常规的技术措施物理安全技术：环境安全、设备安全、媒体安全

系统安全技术：操作系统及数据库系统的安全性

网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估

应用安全技术：Email安全、Web访问安全、内容过滤、应用系统安全

数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA特性

认证授权技术：口令认证、SSO认证（例如Kerberos）、证书认证等

访问控制技术：防火墙、访问控制列表等审计跟踪技术：入侵检测、日志审计、辨析取证

防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系

灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份信息安全概述防火墙网络入侵检测病毒防护主机入侵检测漏洞扫描评估VPN通道访问控制信息安全概述有没有更好的途径？信息安全概述信息安全管理信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。人们常说，三分技术，七分管理，可见管理对信息安全的重要性。信息安全管理（InformationSecurityManagement）是组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。

信息安全管理的核心就是风险管理。信息安全概述信息安全管理面临的一些问题国家的信息安全法律法规体系建设还不是很完善组织缺乏信息安全意识和明确的信息安全策略对信息安全还持有传统的认识，即重技术，轻管理安全管理缺乏系统管理的思想，还是就事论事式的静态管理信息安全概述调查显示有8成企业安全管理不理想信息安全概述各行业安全管理状况都不容乐观信息安全概述安全管理各方面能力都很低下信息安全概述信息安全管理应该是体系化的信息安全必须从整体去考虑，必须做到“有计划有目标、发现问题、分析问题、采取措施解决问题、后续监督避免再现”这样的全程管理的路子这就是信息安全管理体系，它应该成为组织整体经营管理体系的一部分务必重视信息安全管理加强信息安全建设工作信息安全概述怎样实现信息安全？信息安全概述通常的信息安全建设方法采购各种安全产品，由产品厂商提供方案：防病毒，防火墙，IDS，Scanner，VPN等通常由IT部门的技术人员兼职负责日常维护，甚至根本没有日常维护这是一种以产品为核心的信息安全解决方案这种方法存在众多不足：难以确定真正的需求：保护什么？保护对象的边界？保护到什么程度？管理和服务跟不上，对采购产品运行的效率和效果缺乏评价通常用漏洞扫描代替风险评估，对风险的认识很不全面这种方法是“头痛医头，脚痛医脚”，很难实现整体安全不同厂商、不同产品之间的协调也是难题信息安全概述真正有效的方法技术和产品是基础，管理才是关键产品和技术，要通过管理的组织职能才能发挥最佳作用

技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进、易于理解、方便操作的安全策略对信息安全至关重要建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全根本上说，信息安全是个管理过程，而不是技术过程信息安全概述对信息安全的正确认识安全不是产品的简单堆积，也不是一次性的静态过程，它是人员、技术、操作三者紧密结合的系统工程，是不断演进、循环发展的动态过程信息安全概述基于风险分析的安全管理方法信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。制定信息安全策略方针风险评估和管理控制目标和方式选择风险控制安全保证信息安全策略方针为信息安全管理提供导向和支持。控制目标与控制方式的选择应该建立在风险评估的基础上。考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平。对风险实施动态管理。需要全员参与。遵循管理的一般模式——PDCA模型。信息安全概述安全管理模型——PDCA根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施。实施所选的安全控制措施。针对检查结果采取应对措施，改进安全状况。依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。信息安全概述BS7799定义的信息安全管理体系建立一个信息安全管理框架评估安全风险选择并实施控制信息安全管理体系ISMS设定信息安全的方向和目标，定义管理层承诺的策略确定安全需求根据需求采取措施消减风险，以实现既定安全目标信息安全概述ISMS必须明确的内容要保护的资产控制目标和控制措施需要保证的程度风险管理的途径信息安全概述实施ISMS的过程定义ISMS的范围定义ISMS策略定义一个系统化的风险管理途径识别风险评估风险识别并评价风险处理的可选方案选择控制目标和控制措施，以便处理风险准备适用性声明（SoA）获得管理层批准信息安全概述ISMS是一个文档化的体系对管理框架的概括包括策略、控制目标、已实施的控制措施、适用性声明（SoA）各种程序文件实施控制措施并描述责任和活动的程序文件覆盖了ISMS管理和运行的程序文件

证据能够表明组织按照BS7799要求采取相应步骤而建立了管理框架各种Records：在操作ISMS过程当中自然产生的证据，可识别过程并显现符合性信息安全概述实施ISMS的关键成功因素（CSF）安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育建立有效的信息安全事件管理流程

建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进信息安全概述第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望英国标准协会（BSI）

英国标准学会（BritishStandardsInstitution，BSI）著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构

英国标准学会（BSI）是世界上最早的全国性标准化机构，它受政府控制但得到了政府的大力支持。BSI不断发展自己的工作队伍，完善自己的工作机构和体制，把标准化和质量管理以及对外贸易紧密结合起来开展工作

BSI的宗旨：

1.为增产节约努力协调生产者和用户之间的关系，促进生产，达到标准化（包括简化）

2.制定和修订英国标准，并促进其贯彻执行

3.以学会名义，对各种标志进行登记，并颁发许可证

4.必要时采取各种行动，保护学会利益BS7799简介国际标准化组织（ISO）

国际标准化组织（InternationalOrganizationforStandardization，ISO）

国际标准化组织是世界上最大的非政府性标准化专门机构，它在国际标准化中占主导地位。

ISO的主要活动是制定国际标准，协调世界范围内的标准化工作，组织各成员国和技术委员会进行报交流，以及与其他国际性组织进行合作，共同研究有关标准问题。随着国际贸易的发展，对国际标准的要求日益提高，ISO的作用也日趋扩大，世界上许多国家对ISO也越加重视。

ISO的目的和宗旨是：在世界范围内促进标准化工作的发展，以利于国际物资交流和互助，并扩大在知识、科学、技术和经济方面的合作。BS7799简介什么是BS7799？英国标准协会（BritishStandardsInstitute，BSI）制定的信息安全标准。

由信息安全方面的最佳惯例组成的一套全面的控制集。

信息安全管理方面最受推崇的国际标准。BS7799简介BS7799的目的"为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用。它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信"。BS7799简介BS7799的历史沿革

1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。

1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。

1995年2月——首次出版BS7799-1:1995《信息安全管理实施细则》。

1998年2月——英国公布BS7799-2:《信息安全管理体系规范》。

1999年4月——BS7799-1与BS7799-2修订后重新发布。

2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799:2000《信息技术——信息安全管理实施细则》。

2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用。

2005年6月——ISO17799:2000改版，成为ISO17799:2005。

2005年10月——ISO正式采用BS7799-2:2002，命名为ISO27001:2005。BS7799简介BS7799的发展现状

BS7799技术委员会是BSI-DISCCommitteeBDD/2，成员包括：金融服务：英国保险协会，渣打会计协会，汇丰银行等通信行业：大英电讯公司等零售业：MarksandSpencerplc

国际组织：壳牌，联合利华，毕马威（KPMG）等

目前除英国之外，国际上已有荷兰（SPE20003）、丹麦和瑞典（SS627799）、挪威、芬兰、澳大利亚和新西兰（AS/NZS4444）、南非、巴西、日本（JISX5080）等国采用BS7799。我国的台湾、香港地区也在推广该标准。日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极。

全球目前有2000多家机构通过了BS7799/ISO27001认证，涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司。（可查询http:///）目前大陆地区通过信息安全管理体系认证的有近30家。BS7799简介截至2006年初，全球通过BS7799/ISO27001认证的有2000多家机构/BS7799简介BS7799认证的发展趋势图此图摘自http://www.gammassl.co.uk/2003年2月前到2005年底BS7799简介建立ISMS并通过认证的意义可以强化员工的信息安全意识，规范组织信息安全行为。对组织的关键信息资产进行全面系统的保护，维持竞争优势。在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。促使管理层坚持贯彻信息安全保障体系。BS7799简介ISO17799/ISO27001的内容框架

ISO17799：源自BS7799-1。工具包，体现了三分技术七分管理的思想

ISO27001：源自BS7799-2。框架体系，是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案安全策略Securitypolicy人力资源安全Humanresourcessecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandoperationsmanagement信息系统获取、开发和维护Informationsystemsacquisition,developmentandmaintenance组织信息安全Organizinginformationsecurity资产管理Assetmanagement访问控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement业务连续性管理Businesscontinuitymanagement符合性ComplianceBS7799简介新版本的变化特点

ISO17799:2005

从10个域变到11个域，增加了“信息安全事件管理”去掉了9项控制，增加了17项控制，一共有133项控制加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求

BS7799-2:2002ISO27001:2005（略做修改）

附录引向ISO17799:2005

原来的条款6（管理评审）分成现在的6（内审）、7（管理评审）两个部分

ISO17799:2000GB/T19716:2005BS7799简介ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicyBS7799的输出结果BS7799简介其他类似或相关的标准规范1

ISO7498-2（GB/T9387-2,1995）

1989年ISO组织制定的《信息处理系统开放系统互连基本参考模型第2部分安全体系结构》，该标准对安全服务及相关机制进行了一般描述

ISO15408（GB/T18336,2001，即CC标准）

1993年6月，美国、加拿大及欧洲四国共同协商并起草通过了CC标准，最终将其推进到国际标准。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价标准

SSE-CMM（ISO/IECDIS21827）美国国家安全局（NSA）于1993年提出的专门用于系统安全工程的能力成熟度模型构想。该模型定义了一个安全工程过程应有的特征，这些特征是完善安全工程的根本保证

IATF

美国国家安全局（NSA）制定的InformationAssuranceTechnicalFramework，为保护美国政府和工业界的信息与信息技术设施提供技术指南

ISO/TR13569

银行和相关金融服务信息安全指南BS7799简介其他类似或相关的标准规范2

BSIDISC提供了一组关于BS7799的系列指导文件（PD3000系列）：

PD3001–PreparingforBS7799CertificationPD3002–GuidetoRiskAssessmentandRiskManagementPD3003–“AreyoureadyforaBS7799Audit?”PD3004–GuidetoBS7799AuditingPD3005–GuidetotheselectionofBS7799controlsAS/NZS4444

澳大利亚和新西兰等同采用的BS7799（后来，根据ISO/IEC17799:2000颁布了AS/NZSISO/IEC17799:2001，根据BS7799-2:2002又颁布了AS/NZS7799.2:2003）

AS/NZS4360

澳大利亚和新西兰自己的信息安全管理标准

ISO/IECTR13335

即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），分5个部分。是信息安全管理方面的指导性标准，专注于IT领域，并不用于审计和认证BS7799简介第一部分信息安全概述BS7799/ISO27001简介信息安全管理体系认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望选择认证机构信息安全管理体系认证明确认证的范围定义认证范围是让认证机构和审核员确定评估程序的基础。定义认证范围时，组织应该考虑：文档化的适用性声明组织的相关活动要包括在内的组织范围地理位置信息系统边界、平台和应用包括在内的支持活动排除在外的因素认证机构在展开认证过程之前将与组织在认证范围上达成一致意见。信息安全管理体系认证认证之前做好准备进行ISO27001认证之前，组织可以参照以下检查列表来做准备：董事会和管理层的签署承诺已签署并发布的安全策略文档已识别的资产风险评估的结果文档已作出的风险管理决策已识别的可用控制文档化的适用性声明文档化的业务连续性计划，并得到了实施和测试文档化的ISMS程序，并且发布和实施确定ISMS有效性的内部复审信息安全管理体系认证认证过程选择受认可的认证机构Phase1：文档审核Phase2：现场审查维持认证组织应该向认证机构提供必要的信息复审风险评估文档、安全策略和适用性声明复审ISMS的其他文档

ISMS的实施情况，符合性审查风险管理决策的基础组织被授予证书后，审核组每年都会对其ISMS符合性进行检查。证书三年有效，之后需要再次认证。组织必须向认证机构通报任何变化。预审（Pre-assessment）可选信息安全管理体系认证文档审核一般来说都是现场进行的审核ISMS框架，以考查其是否符合ISO27001的4-8部分的要求查看策略、范围、风险评估、风险管理、控制选择和适用性声明相关的文件审核员或许不会非常深入地查看特定程序文件的细节，但却期望能直接在标准、程序和工作指导书上签署意见符合性审核对来自文档审核阶段的不符合项进行究根问底审核抽样，以验证ISMS底实施和操作审核小组组长会提交一个建议，但并不做最终认证决策对于审核期间记录在案的不符合项，组织必须在一个月之内采取纠正性措施信息安全管理体系认证信息安全管理体系认证实施BS7799认证项目的建议过程信息安全管理体系认证成功的关键因素安全策略、目标和活动应该反映业务目标实施信息安全的方法应该与组织的文化保持一致来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理向所有管理者和员工有效地推广安全意识信息安全管理体系认证成功的关键因素（续）向所有管理者、员工及签约人分发信息安全策略、指南和标准为信息安全管理活动提供资金支持提供适当的培训和教育建立有效的信息安全事件管理流程

建立衡量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进信息安全管理体系认证第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望风险

风险管理（RiskManagement）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。风险评估风险管理

风险评估（RiskAssessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。风险评估与管理风险评估和管理的目标低影响高可能性高影响高可能性高影响低可能性低影响低可能性威胁带来的影响威胁发生的可能性目标采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。风险评估与管理风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险管理目标更形象的描述风险评估与管理绝对的零风险是不存在的，要想实现零风险，也是不现实的；计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。

绝对的安全是不存在的！

在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”显然，这样的计算机是无法使用的。风险评估与管理关键是实现成本利益的平衡安全控制的成本安全事件的损失最小化的总成本低高高安全成本/损失所提供的安全水平风险评估与管理与风险管理相关的概念资产（Asset）——任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。威胁（Threat）——可能对资产或组织造成损害的某种安全事件发生的潜在原因，通常需要识别出威胁源（Threatsource）或威胁代理（Threatagent）。弱点（Vulnerability）——也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。风险（Risk）——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性（Likelihood）——对威胁发生几率（Probability）或频率（Frequency）的定性描述。影响（Impact）——后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。安全措施（Safeguard）——控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。残留风险（ResidualRisk）——在实施安全措施之后仍然存在的风险。风险评估与管理安全措施安全需求防范采取提出减少威胁弱点资产资产价值利用导致导致暴露增加具有风险风险要素关系模型风险评估与管理风险管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）风险评估与管理风险管理过程识别并评价资产识别并评估威胁识别并评估弱点现有控制确认评估风险（测量与等级划分）接受保持现有控制选择控制目标和控制方式制定/修订适用性声明实施选定的控制YesNo确认并评估残留风险定期评估风险评估风险消减风险接受风险管理风险评估与管理定量与定性风险评估方法定性风险分析优点计算方式简单，易于理解和执行不必精确算出资产价值和威胁频率不必精确计算推荐的安全措施的成本流程和报告形式比较有弹性缺点本质上是非常主观的，其结果高度依赖于评估者的经验和能力，很难客观地跟踪风险管理的效果对关键资产财务价值评估参考性较低并不能为安全措施的成本效益分析提供客观依据定量风险分析优点评估结果是建立在独立客观地程序或量化指标之上的可以为成本效益审核提供精确依据，有利于预算决策量化的资产价值和预期损失易理解可利用自动化工具帮助分析缺点信息量大，计算量大，方法复杂没有一种标准化的知识库，依赖于提供工具或实施调查的厂商投入大，费时费力定量风险评估：试图从数字上对安全风险进行分析评估的一种方法。定性风险评估：凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素的大小或高低程度定性分级。风险评估与管理识别并评估信息资产

数据信息：存在于电子媒介中的各种数据和资料，包括源代码、数据库、数据文件、系统文件等

书面文件：合同，策略方针，企业文件，重要商业结果

软件资产：应用软件，系统软件，开发工具，公用程序

实物资产：计算机和通信设备，磁介质，电源和空调等技术性设备，家具，场所

人员：承担特定职能和责任的人员

服务：计算和通信服务，其他技术性服务，例如供暖、照明、水电、UPS等

组织形象与声誉：企业形象，客户关系等，属于无形资产信息资产价值评估标准高（3）：非常重要，缺了这个资产（CIA的丧失），业务活动将中断并且遭受不可挽回的损失中（2）：比较重要，缺了这个资产（CIA的丧失或受损），业务活动将被迫延缓，造成明显损失低（1）：不太重要，缺了这个资产，业务活动基本上不受影响风险评估与管理识别并评估威胁人员威胁：故意破坏和无意失误

系统威胁：系统、网络或服务出现的故障

环境威胁：电源故障、污染、液体泄漏、火灾等

自然威胁：洪水、地震、台风、雷电等威胁可能性评估标准高（3）：非常可能，在业务活动持续期间，时刻都有可能出现中（2）：比较可能，在业务活动持续期间，有可能多次出现低（1）：不太可能，在业务活动持续期间，不大可能出现风险评估与管理识别并评估弱点技术性弱点：系统、程序、设备中存在的漏洞或缺陷。

操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。

管理性弱点：策略、程序、规章制度、人员意识、组织结构等方面的不足。弱点严重性评估标准高（3）：很容易被利用中（2）：可被利用，但不是太容易低（1）：基本上不可能被利用风险评估与管理人最常犯的一些错误将口令写在便签上，贴在电脑监视器旁开着电脑离开，就像离开家却忘记关灯那样轻易相信来自陌生人的邮件，好奇打开邮件附件使用容易猜测的口令，或者根本不设口令丢失笔记本电脑不能保守秘密，口无遮拦，泄漏敏感信息随便在服务器上接Modem，或者随意将服务器连入网络事不关己，高高挂起，不报告安全事件在系统更新和安装补丁上总是行动迟缓只关注外来的威胁，忽视企业内部人员的问题风险评估与管理风险场景：一个个人经济上存在问题的公司职员（公司并不了解这一点）有权独立访问某类高敏感度的信息，他可能窃取这些信息并卖给公司的竞争对手。确定风险因子：后果为2，弱点值为3，威胁值为3

评估风险：套用风险分析矩阵，该风险被定为高风险（18）应对风险：根据公司风险评估计划中确定的风险接受水平，应该对该风险采取措施予以消减。风险评价示例

风险可能性威胁值123弱点值123123123风险影响/资产价值1123246369224648126121833696121891827风险评估与管理第一部分信息安全概述BS7799/ISO27001简介信息安全管理与认证之道第二部分风险评估与管理过程及方法Part1－信息安全管理实施细则Part2－信息安全管理体系规范总结和展望提供了一套由最佳实践构成的控制目标和控制，涉及11个方面，包括39个控制目标和133项控制措施,可作为参考文件使用，但并不是认证评审的依据。ISO17799:2005安全策略组织信息安全资产管理人力资源安全物理和环境安全通信和操作管理访问控制信息系统获取、开发和维护信息安全事件管理业务连续性管理符合性ISO17799:2005信息安全管理实施细则11个方面39个目标133个控制措施10个方面36个目标127个控制措施对比ISO17799:2000老版……ISO17799:2005信息安全管理实施细则“Notallofthecontrolsdescribedinthisdocumentwillberelevanttoeverysituation.Itcannottakeaccountoflocalsystem,environmentalortechnologicalconstraints.Itmaynotbeinaformthatsuitseverypotentialuserinanorganization.Consequentlythedocumentmayneedtobesupplementedbyfurtherguidance.Itcanbeusedasabasisfromwhich,forexample,acorporatepolicyoraninter-companytradingagreementcanbedeveloped.”并不是所有此处描述的控制都与各种环境相关，这里并没有考虑本地系统、环境或者技术性的约束，不大可能以一种适合组织内部各类潜在用户的形式展现。因此，还需要通过进一步的指导方针来补充此文，组织可以将其作为基础，继而开发自己的策略或者公司间贸易协议。ISO17799:2005信息安全管理实施细则法律要求和最佳实践控制措施

与法律相关的控制措施：

知识产权（IntellectualPropertyRights）：遵守知识产权保护和软件产品保护的法律（15.1.2）

保护组织的记录：保护重要的记录不丢失、破坏和伪造（15.1.3）

数据保护和个人信息隐私：遵守所在国的数据保护法律（15.1.4）

与最佳实践相关的控制措施：

信息安全策略文件：高管批准发布信息安全策略文件，并广泛告知（5.1.1）

信息安全责任的分配：清晰地定义所有的信息安全责任（6.1.3）

信息安全意识、教育和培训：全员员工及相关人员应该接受恰当的意识培训（8.2.2）

正确处理应用程序：防止应用程序中的信息出错、损坏或被非授权篡改及误用（12.2）

漏洞管理：防止利用已发布的漏洞信息来实施破坏（12.6）

管理信息安全事件和改进：确保采取一致和有效的方法来管理信息安全事件（13.2）业务连续性管理：减少业务活动中断，保护关键业务过程不受重大事件或灾难影响（14）尽管选择以上控制是信息安全很好的起点，但还是不能代替基于风险评估选择合适的安全控制。

ISO17799:2005信息安全管理实施细则5安全策略5.1信息安全策略5.1.1信息安全策略文件5.1.2信息安全策略复查目标：为信息安全提供与业务需求和法律法规相一致的管理指示及支持。ISO17799:2005信息安全管理实施细则信息安全策略的定义信息安全策略（或者方针）是由组织的最高管理者正式制订和发布的信息安全目标和方向，用于指导信息安全管理体系的建立和实施过程。策略方针的目的和意义为组织提供了关注的焦点，指明了方向，确定了目标确保信息安全管理体系被充分理解和贯彻实施统领整个信息安全管理体系方针文件的内容信息安全的定义、整体目标和范围；对管理层支持信息安全目标和原则的意图的声明和承诺；建立控制目标和控制的框架，包括风险评估和风险管理的框架；对安全策略、原则、标准以及符合性需求的简单说明；信息安全管理责任，包括报告安全事件；对策略支持文档的引用参考；

由管理者批准，正式发布，并得到全员贯彻。安全策略的复查策略应有一个属主，负责按复查程序维护和复查该策略。如果发生任何影响最初风险评估基础的变化，都应复查策略。也应定期复查安全策略。

策略复审应该考虑到管理评审的结果ISO17799:2005信息安全管理实施细则要点提示用最简单、明确的语言直击主题保持与具体规范、指南、记录等文件的区别信息安全策略应该人手一份，并保证充分理解要定期评审和修订ISO17799:2005信息安全管理实施细则信息安全策略体系的层次性方针Policy程序Procedure标准Standard强制性指南Guideline建议性基线Baseline最低标准目标要求具体步骤实现方法战略层次战术层次战役层次ISO17799:2005信息安全管理实施细则最高方针示例6组织信息安全6.1内部组织6.1.1管理层对信息安全的责任6.1.2信息安全协调机制6.1.3分派信息安全责任6.1.4信息处理设施的批准程序6.1.5保密协议6.1.6保持和权威机构的联系6.1.7保持和专业团队联系6.1.8对信息安全做独立评审目标：在组织内建立发起和控制信息安全实施的管理框架。6.2外部伙伴6.2.1识别与外部伙伴相关的风险6.2.2和客户交往时注意安全6.2.3在第三方协议中注明安全目标：维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。ISO17799:2005信息安全管理实施细则组织应该建立起有效的信息安全管理框架，以便发起并控制组织内部信息安全的实施。信息安全管理委员会外部安全专家信息安全独立评审信息安全管理框架权威机构ISO17799:2005信息安全管理实施细则识别与外部伙伴相关的风险

外部伙伴可能包括：服务提供商（例如ISP、网络和通信服务、维护和支持服务提供商等），管理安全服务（MSS）客户外包服务（IT系统设施和运维、数据采集、呼叫中心）管理和业务咨询顾问、审计师软件产品和IT系统的开发者和供应商保洁快餐等外部服务临时工、短期兼职人员等如果需要让外部伙伴访问组织的信息处理设施或信息，有必要先做一次风险评估，找到特别的安全控制需求。应该考虑到是物理访问，还是逻辑访问，是现场访问还是非现场访问。还应考虑需要访问哪些设施和信息？信息的价值，必要的控制，授权以及监督方式，出错可能造成的影响，对安全事件的响应，法律法规等。在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。ISO17799:2005信息安全管理实施细则在第三方协议中体现安全

信息安全方针用来保护资产的各种控制措施描述将被提供的产品和服务确保用户意识到信息安全责任对人员调换做出规定硬件和软件安装及维护的责任清晰的Report结构和格式变更管理流程任何必要的物理保护措施和机制访问控制策略：允许的访问方法，授权流程，禁止声明

信息安全事件及问题处理机制期望的SLA及监督报告机制监督、撤销等权利，审计责任约定法律责任知识产权保护中止或重新协商协议的条件ISO17799:2005信息安全管理实施细则7资产管理7.1资产责任7.1.1资产清单7.1.2资产属主7.1.3对资产的可接受使用目标：保持对组织资产的恰当的保护。所有资产都应该责任到人。7.2信息分类7.2.1分类指南7.2.2信息标注及处理目标：确保信息资产得到适当级别的保护。组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。按照信息资产所属系统或所在部门列出资产清单。所有的信息资产都应该具有指定的属主并且可以被追溯责任。信息应该被分类，以标明其需求、优先级和保护程度。根据组织采用的分类方案，为信息标注和处理定义一套合适的程序。TopSecretSecretConfidentialRestrictedISO17799:2005信息安全管理实施细则信息资产的类型信息：数据库和数据文件，合同和协议，系统文件，用户手册，培训资料等软件资产：应用软件，系统软件，开发工具，工具程序实物资产：计算机和通信设备，移动介质，电源空调等技术性设备人员：承担特定职能和责任的人员，资质、技能和经验服务：计算和通信服务，环境支持服务等组织形象与声誉：无形资产ISO17799:2005信息安全管理实施细则识别资产时的注意事项

所有主要信息资产都应清点并指定专人负责这些资产必须是在信息安全管理体系范围之内的

BS7799标准认为,“资产”没必要包括通常考虑的组织内所有有价值的东西组织必须确定哪些资产在损失后对组织的产品及服务会产生实质上的影响ISO17799:2005信息安全管理实施细则资产清单示例ISO17799:2005信息安全管理实施细则信息资产的属主、保管者和用户属主（Owner）：信息属主可能是组织的某个决策者或者管理者，或者部门负责人，或者是信息的创建者，对必须保护的信息资产负责，承担着“duecare”的责任，但日常的数据保护工作则由保管者承担。信息属主的责任在于：基于业务需求，对信息分类等级作出最初决定；定期复查分类方案，根据业务需求的变化作出更改；向保管者委派承担数据保护任务的责任保管者（Custodian）：受信息属主委托而负责保护信息，通常由IT系统人员来承担，其职责包括：定期备份，测试备份数据的有效性；必要时对数据进行恢复；根据既定的信息分类策略，维护保留下来的记录用户（User）：任何在日常工作中使用信息的人（操作员、雇员或外部伙伴），即数据的消费者，应该注意：用户必须遵守安全策略中定义的操作程序；用户必须在工作期间承担保护信息安全的责任；用户必须只将公司的计算资源用作公司目的，不能做个人使用ISO17799:2005信息安全管理实施细则目标：确保雇员、合同工和第三方用户理解其自身责任，适合角色定位，减少偷窃、欺诈或误用设施带来的风险。8人力资源安全8.1聘用前的控制8.1.1角色和责任8.1.2人员筛选（Screening）8.1.3聘用条件和条款8.2聘用期间8.2.1管理层职责8.2.2信息安全意识、教育和培训8.2.3惩罚机制目标：确保所有雇员、合同工和第三方用户都意识到信息安全威胁、利害关系、责任和义务，并在其正常工作当中支持组织的安全策略，减少人为错误导致的风险。8.3解聘或变更8.3.1解聘责任8.3.2返还资产8.3.3去除访问权限目标：确保雇员、合同工和第三方用户按照既定方式离职或变更职位。ISO17799:2005信息安全管理实施细则人员安全重要提示

人员和组织安全是信息安全管理的难点，因为：人本身就是一个最复杂的因素信息安全的“潜在性”使得安全组织和人才培养不容易获得认可信息安全人才的培养是一个高难的过程信息安全组织需要和企业文化进行磨合避免信息安全组织和业务组织对立ISO17799:2005信息安全管理实施细则人员筛选时做背景检查背景检查是工作申请过程的一个部分，组织至少会审查申请人简历中的基本信息。对于敏感职位，可能还会考虑进一步的调查。调查过程中，组织可以请求访问申请人的信用和犯罪记录，甚至可以聘请外部公司对申请人进行调查，以确定是否存在潜在问题或利益冲突。通过背景检查，可以防止：因为人员解雇而导致法律诉讼因为雇用疏忽而导致第三方的法律诉讼雇用不合格的人员丧失商业秘密员工从一般岗位转入信息安全重要岗位，组织也应当对其进行检查，对于处在有相当权力位置的人员，这种检查应定期进行。ISO17799:2005信息安全管理实施细则增强全员的安全意识安全意识（Securityawareness），泛指组织员工对安全和安全控制重要性的一般性的、集体的意识。促进安全意识，可以减少人员的非授权活动，可以增强保护控制的效率，有助于避免欺诈和对计算资源的浪费员工具有安全意识的标志：认知可能存在的安全问题及其危害，理解安全所需明白自身的安全职责，恪守正确的行为方式促进安全意识的方法和途径多种多样：交互性的、实时的介绍，课程，视频出版发布物品，新闻传单，张贴物，简报，布告栏，Intranet

奖金和赞誉等激励机制提醒物，比如登录banner，笔、便签、鼠标垫等随身物品安全意识材料应该直接、简单和清楚，易于理解，要有创新和变化ISO17799:2005信息安全管理实施细则安全培训和教育培训（Training）不同于意识，其目的是传授安全相关的工作技能，主要对象为信息系统管理和维护人员，通常利用一对一的课堂形式，包括：为操作者和具体用户提供的安全相关的职务培训为与敏感安全位置相关的具体的部门或人员提供的技能培训为IT支持人员和系统管理员提供的技术性安全培训为安全实践者和信息系统审计师提供的高级信息安全培训为高级管理者、职能经理和业务单位经理提供的安全培训教育（Education）更为深入，其目的是为安全专业人士提供工作所需的专业技术，一般通过外部程序实现，并且应该成为职业规划的一部分具体的安全软件和硬件的产品培训也很重要ISO17799:2005信息安全管理实施细则加强人员离职控制人员离职往往存在安全风险，特别是雇员主动辞职时解雇通知应选择恰当的时机，例如重要项目结束，或新项目启动前使用标准的检查列表（Checklist）来实施离职访谈离职者需在陪同下清理个人物品确保离职者返还所有的公司证章、ID、钥匙等物品与此同时，立即消除离职者的访问权限，包括：解除对系统、网络和物理设施的访问权解除电话，注销电子邮箱，锁定Internet账号通知公司其他人员、外部伙伴或客户，声明此人已离职ISO17799:2005信息安全管理实施细则目标：防止资产的丢失、损害和破坏，防止组织的各项活动被打断。9物理和环境安全9.1安全区域9.1.1物理安全边界9.1.2物理入口控制9.1.3保护办公场所、房间和设施9.1.4防止外部和环境威胁9.1.5在安全区内工作9.1.6公共访问和交接区域目标：防止非授权物理访问、破坏和干扰组织的安全区边界。9.2设备安全9.2.1设备的安置与保护9.2.2供电9.2.3电缆安全9.2.4设备维护9.2.5场外设备的安全9.2.6设备报废或重用时的安全9.2.7财物迁移I.D.ISO17799:2005信息安全管理实施细则物理安全要点提示

清晰划定安全区域边界围墙、门锁、照明、告警、监视系统专门设立接待区，限制物理访问外来人员登记及陪同定期检查访问记录关键设施不要放置在公共区域关键区域不做显眼标记防止火灾、水灾、地震、爆炸等自然或人为灾难安全区域内工作，禁止摄影摄像，加强监督一定要注意那些不在视野范围内的东西ISO17799:2005信息安全管理实施细则注意你的身边！注意最细微的地方！ISO17799:2005信息安全管理实施细则我们来看一个可怕的案例您肯定用过银行的ATM机，您插入银行卡，然后输入密码，然后取钱，然后拔卡，然后离开，您也许注意到您的旁边没有别人，您很小心，可是，您真的足够小心吗？……ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则ISO17799:2005信息安全管理实施细则关于场外设备使用的提示

无论是谁，信息处理设施要带到组织边界外使用，必须得到相关授权场外设备或介质不应该单独置于公共区域，笔记本电脑应该放在不显眼的包里注意设备防暴、防磁、防热、防水、防震家庭办公时，遵守设备加锁保存、桌面净空、计算机访问控制及安全通信策略可以考虑购买适当的保险ISO17799:2005信息安全管理实施细则目标：确保正确并安全地操作信息处理设施。10通信和操作管理10.1操作程序和责任10.1.1操作程序的文档化10.1.2变更管理10.1.3职责分离10.1.5开发、测试和运营设施的分离10.3系统规划及验收10.3.1容量管理10.3.2系统验收目标：减少系统故障带来的风险。10.4抵御恶意和移动代码10.4.1恶意代码控制10.4.2移动代码控制目标：保护软件和信息的完整性。10.2第三方服务交付管理10.2.1服务交付10.2.2监督和复查第三方服务10.2.3第三方服务变更管理目标：根据第三方服务交付协议，实施并保持恰当的信息安全和服务交付水平。ISO17799:2005信息安全管理实施细则目标：维护信息和信息处理设施的完整性及可用性。10.5备份10.5.1信息备份10.7介质处理10.7.1移动计算机介质的管理10.7.2介质的处置10.7.3信息处理程序10.7.4系统文件的安全目标：防止非授权泄漏、篡改、废除和破坏资产，防止业务活动中断。10.8信息的交换10.8.1信息交换策略和程序10.8.2交换协议10.8.3传输中的物理介质10.8.4电子信息交换10.8.5业务信息系统目标：保持组织内部和与外部实体间进行信息交换的安全性。10.6网络安全管理10.6.1网络控制10.6.2网络服务的安全目标：确保网络中的信息以及支持技术设施得到保护。ISO17799:2005信息安全管理实施细则目标：确保电子商务服务的安全性，保证安全使用电子商务服务。10.9电子商务服务10.9.1电子商务10.9.2在线交易10.9.3公共可用信息10.10监视10.10.1审计日志10.10.2监视系统使用10.10.3保护日志信息10.10.4管理员和操作日志10.10.5故障日志10.10.6时钟同步目标：发现非授权活动。ISO17799:2005信息安全管理实施细则通信和操作管理提示

明确操作管理理程序和责任，包括信息处理、备份、故障处理、介质处理、系统重启和恢复、日志审计等事务定义变更管理责任和流程，做好信息处理设施的变更控制对第三方服务实施有效监督，确保其符合既定协议的要求。应该定期检查服务报告，分析安全事件相关信息，复查第三方审计记录制定专门的策略，禁止使用非授权软件，防止恶意代码做好系统的备份容灾规划移动介质使用是一个管理难题，应该采取有效措施，防止信息泄漏ISO17799:2005信息安全管理实施细则变更管理一般流程ISO17799:2005信息安全管理实施细则关于职责分离不应有人从头到尾地完全控制一项牵涉到敏感的、有价值的、或者关键信息的任务，例如金融交易中，一个人负责数据录入，另一个人负责检查，第三人确认最终交易应该分离：开发/生产；安全管理/审计；加密密钥管理/密钥更改小型组织实施职责分离比较困难，可以采取其他一些控制措施，如活动监控、跟踪检查和监督管理等但安全审计务必要有独立性ISO17799:2005信息安全管理实施细则目标：控制对信息的访问。应该根据业务和安全需求对信息、系统和业务流程加以控制，还应该考虑信息传播和授权的策略。11访问控制11.1访问控制的业务需求11.1.1访问控制策略11.2用户访问的管理11.2.1用户注册11.2.2特权管理11.2.3用户口令管理11.2.4用户访问权限的复审目标：确保授权用户的访问，防止非授权访问信息系统。11.3用户责任11.3.1口令使用11.3.2无人值守的用户设备11.3.3桌面清理和清屏策略目标：防止非授权用户访问、破坏、窃取信息及信息处理设施。ISO17799:2005信息安全管理实施细则目标：保护网络服务，防止非授权访问，对内部和外部的网络访问都应该得到控制。11.4网络访问控制11.4.1网络服务使用策略11.4.2对外部连接用户进行身份认证11.4.3识别网络中的设备11.4.4远程诊断和配置端口的保护11.4.5网络隔离11.4.6网络连接控制11.4.7网络路由控制11.5操作系统访问控制11.5.1安全的登录程序11.5.2用户身份识别与认证11.5.3口令管理系统11.5.4系统工具的使用11.5.5会话超时11.5.6限制连接时间目标：防止对信息系统的非授权访问。ISO17799:2005信息安全管理实施细则11.6应用和信息访问控制11.6.1信息访问限制11.6.2敏感系统的隔离目标：防止非授权访问信息系统中的信息。11.7移动计算和通讯11.7.1移动计算和通信11.7.2远程工作（Teleworking）目标：确保使用移动计算和通讯设施时的信息安全。ISO17799:2005信息安全管理实施细则访问控制重要提示

关于访问控制策略：

根据业务制订的策略才能实施策略内容：所需访问的信息，访问控制规则，用户访问权限，其他访问控制要求没有明确允许就是缺省禁止，最小权限原则等口令是常见的访问控制措施，也是重要的信息资产，应妥善保护和管理关于网络访问控制：组织网络与其他组织网络或者公共网之间进行正确的连接用户和设备都具有适当的身份验证机制在用户访问信息服务时进行控制关于操作系统访问控制：识别和验证来访者身份。如果需要，还要验证每个合法用户的终端节点或位置记录成功和失败的系统访问提供适当的身份验证方法。如果使用了口令管理系统，则应该确保使用高质量的口令根据情况限制用户连接时间ISO17799:2005信息安全管理实施细则访问控制重要提示（续）

关于应用访问控制：考虑应用系统的安全，不得不考虑业务流程如果业务流程有安全隐患，应用系统是无法避免这些危险的。底层系统和网络更是无能为力关于系统监控：日志、入侵监测系统、漏洞分析扫描器都是很好的工具，但是如果没有有效的审计措施的话，都无法发挥大作用关于移动计算的访问控制：可变性太大有时会涉及“人格”问题、“工作热情”问题执行控制需要坚决的政策和有力的执行要关注新技术的冲击ISO17799:2005信息安全管理实施细则目标：确保安全内建于信息系统中。12信息系统获取、开发和维护12.1信息系统的安全需求12.1.1安全需求分析和规范12.2应用程序中正确的处理12.2.1输入数据的验证12.2.2内部处理控制12.2.3消息完整性12.2.4输出数据的验证目标：防止应用程序中的信息出错、丢失、被非授权篡改或误用。12.3密码控制12.3.1密码控制使用策略12.3.2密钥管理目标：通过加密手段，保护信息的保密性、真实性或完整性。12.4系统文件安全12.4.1控制运营系统上的软件12.4.2保护系统测试数据12.4.3对源代码的访问控制目标：控制对系统文件和程序源代码的访问，使IT项目及其支持活动安全进行，确保系统文件的安全性。ISO17799:2005信息安全管理实施细则目标：维护应用系统软件和信息的安全。应该严格控制项目和支持环境。12.5开发和支持过程的安全12.5.1变更控制程序12.5.2运营系统变更后对应用做技术评审12.5.3限制对软件包的变更12.5.4信息泄漏12.5.5外包的软件开发12.6技术漏洞管理12.6.1控制技术漏洞目标：防止因为利用已发布漏洞而实施的破坏。ISO17799:2005信息安全管理实施细则系统开发安全性的重要提示

建立安全的软件开发过程和编码规范开发一个有关如何利用加密控制对信息进行保护的策略（哪些信息要加密，加密的强度如何，移动介质或传输中的加密，密钥管理，角色和责任，法律法规限制等）对密码技术的应用，其关键在于密钥管理：生成，分发和传输使用和验证保存，消除和恢复对正式上线的运营系统应严加控制，做好软件开发的变更控制和管理不将运营系统上的敏感信息直接用作测试系统需要对外包开发提高警惕（代码所属权，知识产权，资格认定，第三方保证，合同中对质量和安全功能的要求，中间审计，安装前测试）ISO17799:2005信息安全管理实施细则关于漏洞管理

为了实施有效的漏洞管理，必须先有一个完整的资产列表，并且需要知道软件厂商、版本号、当前部署状况、软件的责任人等信息应该建立漏洞管理相关角色和责任：漏洞监视，漏洞评估，补丁跟踪定义新漏洞发现时的通知时限对发现漏洞的处理，与变更管理、信息安全事件管理等相关，漏洞管理可以看作是变更管理的一个子集补丁安装前必须做相关风险评估和测试必须采取相应的审计机制ISO17799:2005信息安全管理实施细则目标：确保与信息系统相关的信息安全事件和缺陷能够及时发现，以便采取纠正措施。13信息安全事件管理13.1报告信息安全事件和缺陷13.1.1报告信息安全事件13.1.2报告安全缺陷13.2管理信息安全事件和改进13.2.1责任和程序13.2.2从信息安全事件中吸取教训13.2.3证据搜集目标：确保采取一致和有效的方法来管理信息安全事件。ISO17799:2005信息安全管理实施细则信息安全事件管理一般流程ISO17799:2005信息安全管理实施细则14业务连续性管理14.1业务连续性管理的信息安全方