《信息安全管理业务手则》由会员分享,可在线阅读,更多相关《信息安全管理业务手则(148页珍藏版)》请在金锄头文库上搜索。
1、信息安全全管理业业务手则则前言 BS 77999 本本部分内内容,即即信息安安全管理理,是在在 BSSI/DDISCC 委委员会 BDDD/2 指导下下完成的的。它取取代了已已经停止止使用的的 BSS 77799:19995。BS 777999 由两两个部分分组成:a) 第一部分分:信息息安全管管理业务务守则;b) 第二部分分:信息息安全管管理系统统规范。BS 777999-1 首发于于 19995 年,它它为信息息安全提提供了一一套全面面综合最最佳实践践经验的的控制措措施。其其目的是是将信息息系统用用于工业业和商业业用途时时为确定定实施控控制措施施的范围围提供一一个参考考依据,并并且能够够让
2、各种种规模的的组织所所采用。本标准使使用组织织这一术术语,既既包括赢赢利性组组织,也也包括诸诸如公共共部门等等非赢利利性组织织。19999 年的的修订版版考虑到到最新的的信息处处理技术术应用,特特别是网网络和通通讯的发发展情况况。它也也更加强强调了信信息安全全所涉及及的商业业问题和和责任问问题。本文档所所说明的的控制措措施不可可能完全全适用于于所有情情况。它它没有考考虑到本本地系统统、环境境或技术术上的制制约因素素。并且且在形式式上也不不可能完完全适合合组织的的所有潜潜在用户户。因此此,本文文档还需需要有进进一步的的指导说说明作为为补充。例例如,在在制定公公司策略略或公司司间贸易易协定时时,可
3、以以使用本本文档作作为一个个基石。Brittishh Sttanddardd 作为为一个业业务守则则,在形形式上采采用指导导和建议议结合的的方式。在使用时,不应该有任何条条框框,尤其特别注意,不要因为要求遵守守则而因噎废食。本标准在在起草时时就已经经假定一一个前提提条件,即即标准的的执行对对象是具具有相应应资格的的、富有有经验的的有关人人士。附附件 AA 的信信息非常常丰富,其其中包含含一张表表,说明明了 119955 年版版各部分分与 119999 年版版各条款款间的关关系。BBrittishh Sttanddardd 无意意包容合合约的所所有必要要条款。British Standards
4、的用户对他们正确使用本标准自负责任。符合 BBrittishh Sttanddardd 不代代表其本本身豁免免法律义义务。什么是信信息安全全?信息是一一种资产产,就象象其它重重要的商商业资产产一样,它它对一个个组织来来说是有有价值的的,因此此需要妥妥善进行行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息存在的形式多种多样。它可以打印或写在纸上,以电子文档形式储存,通过邮寄或电子手段传播,以胶片形式显示或在交谈中表达出来。不管信息的形式如何,或通过什么手段进行共享或存储,都应加以妥善保护。信息安全全具有以以下特征征:a
5、) 保密性:确保只只有经过过授权的的人才能能访问信信息;b) 完整性:保护信信息和信信息的处处理方法法准确而而完整;c) 可用性:确保经经过授权权的用户户在需要要时可以以访问信信息并使使用相关关信息资资产。信息安全全是通过过实施一一整套适适当的控控制措施施实现的的。控制制措施包包括策略略、实践践、步骤骤、组织织结构和和软件功功能。必必须建立立起一整整套的控控制措施施,确保保满足组组织特定定的安全全目标。为什么需需要信息息安全信息和支支持进程程、系统统以及网网络都是是重要的的业务资资产。为为保证组组织富有有竞争力力,保持持现金流流顺畅和和组织赢赢利,以以及遵纪纪守法和和维护组组织的良良好商业业形
6、象,信信息的保保密性、完完整性和和可用性性是至关关重要的的。各个组织织及其信信息系统统和网络络所面临临的安全全威胁与与日俱增增,来源源也日益益广泛,包包括利用用计算机机欺诈、窃窃取机密密、恶意意诋毁破破坏等行行为以及及火灾或或水灾。危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝服务攻击等等,这些行为呈蔓延之势遍、用意更加险恶,而且手段更加复杂。组织对信息系统和服务的依赖意味着自身更容易受到安全威胁的攻击。公共网络与专用网络的互联以及对信息资源的共享,增大了对访问进行控制的难度。分布式计算尽管十分流行,但降低了集中式专家级控制措施的有效性。很多信息系统在设计时,没有考虑到安全问题。通过技
7、术手段获得安全保障十分有限,必须辅之以相应的管理手段和操作程序才能得到真正的安全保障。确定需要使用什么控制措施需要周密计划,并对细节问题加以注意。作为信息息安全管管理的最最基本要要求,组组织内所所有的雇雇员都应应参与信信息安全全管理。信息安安全管理理还需要要供应商商、客户户或股东东的参与与。也需需要参考考来自组组织之外外的专家家的建议议。如果在制制定安全全需求规规范和设设计阶段段时就考考虑到了了信息安安全的控控制措施施,那么么信息安安全控制制的成本本会很低低,并更更有效率率。如何制定定安全要要求组织确定定自己的的安全要要求,这这是安全全保护的的起点。安全要要求有三三个主要要来源。第一个个来源是
8、是对组织织面临的的风险进进行评估估的结果果。通过风风险评估估,确定定风险和和安全漏漏洞对资资产的威威胁,并并评价风风险发生生的可能能性以及及潜在的的影响。第二个来来源是组组织、其其商业伙伙伴、承承包商和和服务提提供商必必须满足足的法律律、法令令、规章章以及合合约方面面的要求求。第三个来来源是一一组专门门的信息息处理的的原则、目目标和要要求,它它们是组组织为了了进行信信息处理理必须制制定的。评估安全全风险安全要求求是通过过对安全全风险的的系统评评估确定定的。应应该将实实施控制制措施的的支出与与安全故故障可能能造成的的商业损损失进行行权衡考考虑。风风险评估估技术适适用于整整个组织织,或者者组织的的
9、某一部部分以及及独立的的信息系系统、特特定系统统组件或或服务等等。在这这些地方方,风险评评估技术术不仅切切合实际际,而且且也颇有有助益。进行风险险评估需需要系统统地考虑虑以下问问题:a) 安全故障障可能造造成的业业务损失失,包含含由于信信息和其其它资产产的保密密性、完完整性或或可用性性损失可可能造成成的后果果;b) 当前主要要的威胁胁和漏洞洞带来的的现实安安全问题题,以及及目前实实施的控控制措施施。评估的结结果有助助于指导导用户确确定适宜宜的管理理手段,以以及管理理信息安安全风险险的优先先顺序,并并实施所所选的控控制措施施来防范范这些风风险。必必须多次次重复执执行评估估风险和和选择控控制措施施
10、的过程程,以涵涵盖组织织的不同同部分或或各个独独立的信信息系统统。对安全风风险和实实施的控控制措施施进行定定期审查查非常重重要,目目的是:a) 考虑业务务要求和和优先顺顺序的变变更;b) 考虑新出出现的安安全威胁胁和漏洞洞;c) 确认控制制措施方方法是否否适当和和有效。应该根据据以前的的评估结结果以及及管理层层可以接接受的风风险程度度变化对对系统安安全执行行不同程程度的审审查。通通常先在在一个较较高的层层次上对对风险进进行评估估(这是是一种优优先处理理高风险险区域中中的资源源的方法法),然然后在一一个具体体层次上上处理特特定的风风险。选择控制制措施一旦确定定了安全全要求,就就应选择择并实施施适
11、宜的的控制措措施,确确保将风风险降低低到一个个可接受受的程度度。可以从从本文档档或其它它控制措措施集合合选择适适合的控控制措施施,也可可以设计计新的控控制措施施,以满满足特定定的需求求。管理风风险有许许多方法法,本文文档提供供了常用用方法的的示例。但是,请请务必注注意,其其中一些些方法并并不适用用于所有有信息系系统或环环境,而而且可能能不适用用于所有有组织。例如,88.1.4 说说明了如如何划分分责任来来防止欺欺诈行为为和错误误行为。在在较小的的组织中中很难将将所有责责任划分分清楚,因因此需要要使用其其它方法法以达到到同样的的控制目目的。在降低风风险和违违反安全全造成的的潜在损损失时,应应该根
12、据据实施控控制措施施的成本本选择控控制措施施。还应该该考虑声声誉受损损等非货货币因素素。本文档档中的一一些控制制措施可可以作为为信息安安全管理理的指导导性原则则,这些些方法适适用于大大多数组组织。在在下文的的“信息安安全起点点”标题下下,对此此做了较较为详细细的解释释。信息安全全起点很多控制制措施都都可以作作为指导导性原则则,它们们为实施施信息安安全提供供了一个个很好的的起点。这些方方法可以以是根据据基本的的法律要要求制定定的,也也可以从从信息安安全的最最佳实践践经验中中获得。从规律规规定的角角度来看看,对组组织至关关重要的的控制措措施包括括:a) 知识产权权(参阅阅12.1.22);b) 组
13、织记录录的保护护(参阅阅12.1.33);c) 对数据的的保护和和个人信信息的隐隐私权保保护(参参阅122.1.4)。在保护信信息安全全的实践践中,非非常好的的常用控控制措施施包括:a) 信息安全全策略文文档(参参阅3.1.11);b) 信息安全全责任的的分配(参参阅4.1.33);c) 信息安全全教育和和培训(参参阅6.2.11);d) 报告安全全事故(参参阅6.3.11);e) 业务连续续性管理理(参阅阅11.1)。这些控制制措施适适用于大大多数组组织,并并可在大大多数环环境中使使用。请请注意,尽尽管本文文档中的的所有文文档都很很重要,但但一种方方法是否否适用,还还是取决决于一个个组织所所
14、面临的的特定安安全风险险。因此此,尽管管采用上上述措施施可以作作为一个个很好的的安全保保护起点点,但不不能取代代根据风风险评估估结果选选择控制制措施的的要求。成功的关关键因素素以往的经经验表明明,在组组织中成成功地实实施信息息安全保保护,以以下因素素是非常常关键的的:a) 反映组织织目标的的安全策策略、目目标以及及活动;b) 与组织文文化一致致的实施施安全保保护的方方法;c) 来自管理理层的实实际支持持和承诺诺;d) 对安全要要求、风风险评估估以及风风险管理理的深入入理解;e) 向全体管管理人员员和雇员员有效地地推销安安全的理理念;f) 向所有雇雇员和承承包商宣宣传信息息安全策策略的指指导原则
15、则和标准准;g) 提供适当当的培训训和教育育;h) 一个综合合平衡的的测量系系统,用用来评估估信息安安全管理理的执行行情况和和反馈意意见和建建议,以以便进一一步改进进。制定自己己的指导导方针业务规则则可以作作为制定定组织专专用的指指导原则则的起点点。本业务务规则中中的指导导原则和和控制措措施并非非全部适适用。因此,还还可能需需要本文文档未包包括的其其它控制制措施。出现上上述情况况时,各各控制措措施之间间相互参参照很有有用,有有利于审审计人员员和业务务伙伴检检查是否否符合安安全指导导原则。目录11222术语和和定义132.1信信息安全全132.2风风险评估估132.3风风险管理理133安全策策略143.1信信息安全全策略143.1.1信息息安全策策略文档档143.1.2审查查评估144组织的的安全154.1信信息安全全基础设设施154.1.1管理理信息安安全论坛坛154.1.2信息息安全的的协调154.1.3信息息安全责责任的划划分154.1.4信息息处理设设施的授授权程序序164.1.5专家家信息安安全建议议164.1.6组织织间的合合作164.1.7信息息安全的的独立评评审174.2第第三方访访问的安安全性174.
