收藏
下载资源

信息安全概述BS7799

上传人:l****i 文档编号:280657932 上传时间:2022-04-22 格式:PPT 页数:66 大小:2.84MB
返回 下载 相关 举报
信息安全概述BS7799_第1页
第1页 / 共66页
信息安全概述BS7799_第2页
第2页 / 共66页
信息安全概述BS7799_第3页
第3页 / 共66页
信息安全概述BS7799_第4页
第4页 / 共66页
信息安全概述BS7799_第5页
第5页 / 共66页
点击查看更多>>
资源描述

《信息安全概述BS7799》由会员分享,可在线阅读,更多相关《信息安全概述BS7799(66页珍藏版)》请在金锄头文库上搜索。

1、信息安全概述信息安全概述信息安全标准介绍信息安全标准介绍BS7799 信息安全管理概述信息安全管理概述信息安全管理概述信息安全管理概述 BS7799BS7799标准简介标准简介 信息安全管理实施细则信息安全管理实施细则 信息安全管理体系规范信息安全管理体系规范 BS7799BS7799认证过程认证过程 BS7799BS7799总结展望总结展望 其它安全标准其它安全标准信息安全的信息安全的CIA目标目标 保护信息保护信息的的#性、完整性、完整性和可用性性和可用性 BS7799BS7799信息安全管理概述ConfidentialityConfidentialityIntegrityIntegrit

2、yAvailabilityAvailabilityInformationInformation组织的信息安全需求组织的信息安全需求u 法律法规与合同条约的要求: u 有关信息安全的法律法规是对组织的强制性要求,组织应该将适用于组织的法律法规转化为组织的信息安全要求.u 计算机信息系统安全保护条例,知识产权保护,互联网安全管理规定u 考虑业务合作者和客户对组织提出的信息安全要求,包括合同要求、招标条件和承诺.u 组织的原则、目标和规定:u 组织为业务正常运作所特别制定的原则、目标及信息处理的规定.u 加强内部管理的要求.u 风险评估的结果:u 安全控制要求应针对每项资产所面临的威胁、存在的弱点、

3、产生的潜在影响和发生的可能性等综合因素来分析确定.u 这是信息安全管理的基础.信息安全管理概述信息安全管理概述u 信息安全的成败取决于两个因素:技术和管理. u 安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂.u 人们常说,三分技术,七分管理,可见管理对信息安全的重要性. u 信息安全管理Information Security Management作为组织完整的管理体系中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产. u 现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,不

4、如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正实现信息安全目标来说尤其重要. u 信息安全管理的核心就是风险管理.信息安全管理信息安全管理BS7799的安全观的安全观u 技术和产品是基础,管理才是关键u 产品和技术,要通过管理的组织职能才能发挥最佳作用u 技术不高但管理良好的系统远比技术高超但管理混乱的系统安全u 先进、易于理解、方便操作的安全策略对信息安全至关重要u 建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修正,就会拥有持续安全u 根本上说,信息安全是个管理过程,而不是技术过程信息安全管理概述威胁威胁漏洞漏洞安全控制安全控制安全风险安全风险资产

5、资产安全需求安全需求资产价值和资产价值和潜在影响潜在影响抵御利用增加增加暴露拥有增加需要减少满足信息安全管理诸要素信息安全管理诸要素AccessControlsAsset ClassificationControlsInformation Security PolicySecurity OrganisationPersonnelSecurityPhysicalSecuritySystemDevelopmentContinuityPlanningComplianceCommunicationsManagement信息安全管理概述BS7799信息安全管理的内容信息安全管理的内容Info secur

6、ity Incident management 基于风险分析的安全管理方法基于风险分析的安全管理方法u 信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动.u 制定信息安全策略方针u 风险评估和管理u 控制目标和方式选择u 风险控制和处理u 安全保证u 信息安全策略方针为信息安全管理提供导向和支持.u 控制目标与控制方式的选择应该建立在风险评估的基础上.u 考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平.u 需要全员参与.u 遵循管理的一般模式PDCA模型.信息安全管理概述PDCA信息安全管理模型信息安全管理模型 根据风险评估结果、法律法根据风险评估结果、法律法规要求、

7、组织业务运作自身需要规要求、组织业务运作自身需要来确定控制目标与控制措施来确定控制目标与控制措施. . 实施所选的安全控制措施实施所选的安全控制措施. . 针对检查结果采取应对针对检查结果采取应对措施措施, ,改进安全状况改进安全状况. . 依据策略、程序、标准依据策略、程序、标准和法律法规和法律法规, ,对安全措施的对安全措施的实施情况进行符合性检查实施情况进行符合性检查. .信息安全管理概述 信息安全管理概述信息安全管理概述 BS7799BS7799标准简介标准简介标准简介标准简介 信息安全管理实施细则信息安全管理实施细则 信息安全管理体系规范信息安全管理体系规范 BS7799BS7799

8、认证过程认证过程 BS7799BS7799总结展望总结展望 其它安全标准其它安全标准英国标准协会英国标准协会BSIu英国标准学会BritishStandardsInstitution,BSIu著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构u英国标准学会BSI是世界上最早的全国性标准化机构,它受政府控制但得到了政府的大力支持.BSI不断发展自己的工作队伍,完善自己的工作机构和体制,把标准化和质量管理以及对外贸易紧密结合起来开展工作uBSI的宗旨:u1.为增产节约努力协调生产者和用户之间的关系,促进生产,达到标准化包括简化u2.制定和修订英国标准,并促进其贯

9、彻执行u3.以学会名义,对各种标志进行登记,并颁发许可证u4.必要时采取各种行动,保护学会利益BS7799标准简介BS7799标准简介什么是什么是BS 7799?u 英国标准协会British Standards Institute,BSI制定的信息安全标准.u 由信息安全方面的最佳惯例组成的一套全面的控制集.u 信息安全管理方面最受推崇的国际标准.BS 7799的目的的目的 为信息安全管理提供建议,供那些在其机构中负有安全责任的人使用.它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素,并得以使跨机构的交易得到互信.BS7799标准简介BS7799标准简介BS 7799的历

10、史沿革的历史沿革u 1990年代初 英国贸工部DTI成立工作组,立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架.u 1993年9月 颁布信息安全管理实施细则,形成BS 7799的基础.u 1995年2月 首次出版BS 7799-1:1995信息安全管理实施细则.u 1998年2月 英国公布BS 7799-2:信息安全管理体系规范.u 1999年4月 BS 7799-1与BS 7799-2修订后重新发布.u 2000年12月 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1,颁布ISO/IEC 17799-1:2000信息技术信息

11、安全管理实施细则. u 2002年9月 BSI对BS 7799-2进行了改版,用来替代原标准BS 7799-2:1999使用,并可望通过ISO组织认可.uISO27001:2005 建立信息安全管理体系ISMS的一套规范Specification for Information Security Management Systems,其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准 .BS7799Part1BS7799Part1BS7799BS7799199519992000200220052007ISO/IEC17799ISO/IEC17799ISO/

12、IEC17799ISO/IEC17799JISX5080JISX5080ISO/IEC27001ISO/IEC270012005 version2000 version2005/062005-20062006BS7799Part2BS7799Part2ISMSVer1.0ISMSVer1.0ISMSVer2.0ISMSVer2.02005-20062005-2006BS7799标准简介BS 7799的历史沿革的历史沿革BS7799标准简介BS 7799的发展现状的发展现状u BS 7799技术委员会是BSI-DISC Committee BDD/2,成员包括:u 金融服务:英国保险协会,渣打会

13、计协会,汇丰银行等u 通信行业:大英电讯公司等u 零售业:Marks and Spencer plcu 国际组织:壳牌,联合利华,毕马威KPMG等u 目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西、日本等#用BS 7799.u 我国的#、#地区也在推广该标准.u 日本的金融业、印度的软件业、欧洲的制造业在BS7799认证方面表现积极.u 全球目前有750多家机构通过了BS 7799认证,涉及政府机构、银行、保险公司、电信企业、网络公司和许多跨国公司.可查询:/u 目前大陆地区通过信息安全管理体系认证的有6家.BS 7799简介BS 7799老版的内容老版的

14、内容u 第一部分是信息安全管理实施细则Code of Practice for Information Security Management,在10个标题中定义了127项安全控制:u 第二部分是建立信息安全管理系统ISMS的一套规范Specification for Information Security Management Systems,详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准.安全策略安全策略安全策略安全策略 Security policySecurity policy安全组织安全组织安全组织安全组织 Security organisat

15、ionSecurity organisation资产分类与控制资产分类与控制资产分类与控制资产分类与控制 Asset classification & controlAsset classification & control人员安全人员安全人员安全人员安全 Personnel Personnel securitysecurity物理与环境安全物理与环境安全物理与环境安全物理与环境安全 Physical & Physical & environmental securityenvironmental security通信与操作管理通信与操作管理通信与操作管理通信与操作管理 Communicat

16、ions & Communications & operations operations managementmanagement系统开发与维护系统开发与维护系统开发与维护系统开发与维护 Systems development Systems development & maintenance& maintenance访问控制访问控制访问控制访问控制 Access controlAccess control业务连续性管理业务连续性管理业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management符合性符合性符合性符合性 ComplianceComplianceBS 7799简介BS 7799新版已经出台新版已经出台uu ISO17799:2005 ISO17799:2005uu 从从1010个域变到个域变到1111个域个域, ,增加了增加了 信息安全事件管理信息安全事件管理 uu 去掉了去掉了9 9项控制项控制, ,增加了增加了1717项控制项控制, ,一共有一共有133133项控制项控制uu 加

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号