BS7799-1:1999《信息安全管理實(shí)施細(xì)則》內(nèi)容介紹

BS7799-1:1999(ISO/IEC1799:2000)標(biāo)準(zhǔn)在正文前設(shè)立了“前言”和“介紹”,其“介紹”中“對(duì)什么是信息安全?為什么需要信息安全?如何確定安全需要?評(píng)估安全風(fēng)險(xiǎn)?選擇控制措施?信息安全起點(diǎn)?關(guān)鍵的成功因素?制定自己的準(zhǔn)則”等內(nèi)容作了說(shuō)明,BS7799標(biāo)準(zhǔn)中介紹,信息安全(Information security)是指信息的保密性(Confidentiality)?完整性(Integrity)和可用性(Availability)的保持?

BS7799保密性定義為保障信息僅僅為那些被授權(quán)使用的人獲取?

BS7799完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性?

BS7799可用性定義為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)?

BS7799標(biāo)準(zhǔn)對(duì)“為什么需要信息安全”時(shí)介紹,信息?信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)?信息的保密性?完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)?資金流動(dòng)?效益?法律符合性和商業(yè)形象都是至關(guān)重要的?然而,越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙?間諜?蓄意破壞?火災(zāi)?水災(zāi)等大范圍的安全威脅,諸如計(jì)算機(jī)病毒?計(jì)算機(jī)入侵?DOS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺(jué)?組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴(lài)意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪(fǎng)問(wèn)控制的難度?許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的,所以?xún)H依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性,所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持?

BS7799標(biāo)準(zhǔn)的正文規(guī)定了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)作過(guò)程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用,或者增加其他附加控制?這127個(gè)控制措施被分成10個(gè)方面,成為組織實(shí)施信息安全管理的實(shí)用指南,這十個(gè)方面分別是:

(1)安全方針:制定信息安全方針,為信息安全提供管理指導(dǎo)和支持?

(2)組織安全:建立信息安全基礎(chǔ)設(shè)施,來(lái)管理組織范圍內(nèi)的信息安全;

維持被第三方所訪(fǎng)問(wèn)的組織的信息處理設(shè)施和信息資產(chǎn)的安全,以及當(dāng)信息處理外包給其他組織時(shí),維護(hù)信息的安全?

(3)資產(chǎn)的分類(lèi)與控制:核查所有信息資產(chǎn),以維護(hù)組織資產(chǎn)的適當(dāng)保護(hù),并做好信息分類(lèi),確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)?

(4)人員安全:注意工作職責(zé)定義和人力資源中的安全,以減少人為差錯(cuò)?盜竊?欺詐或誤用設(shè)施的風(fēng)險(xiǎn);做好用戶(hù)培訓(xùn),確保用戶(hù)知道信息安全威脅和事務(wù),并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全政策;制定對(duì)安全事故和故障的響應(yīng)流程,使安全事故和故障的損害減到最小,并監(jiān)視事故和從事故中學(xué)習(xí)?

(5)物理和環(huán)境的安全:定義安全區(qū)域,以避免對(duì)業(yè)務(wù)辦公場(chǎng)所和信息的未授權(quán)訪(fǎng)問(wèn)?損壞和干擾;保護(hù)設(shè)備的安全,防止信息資產(chǎn)的丟失?損壞或泄露和業(yè)務(wù)活動(dòng)的中斷;同時(shí)還要做好一般控制,以防止信息和信息處理設(shè)施的泄露或盜竊?

(6)通信和操作管理:制定操作規(guī)程和職責(zé),確保信息處理設(shè)施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則,將系統(tǒng)故障的風(fēng)險(xiǎn)減低到最小;防范惡意軟件,保護(hù)軟件和信息的完整性;建立內(nèi)務(wù)規(guī)程,以維護(hù)信息處理和通信服務(wù)的完整性和可用性;確保信息在網(wǎng)絡(luò)中的安全,以及保護(hù)其支持基礎(chǔ)設(shè)施;建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失?修改或誤用?

(7)訪(fǎng)問(wèn)控制:制定訪(fǎng)問(wèn)控制的業(yè)務(wù)要求,以控制對(duì)信息的訪(fǎng)問(wèn);建立全面的用戶(hù)訪(fǎng)問(wèn)管理,避免信息系統(tǒng)的未授權(quán)訪(fǎng)問(wèn);讓用戶(hù)了解他對(duì)維護(hù)有效訪(fǎng)問(wèn)控制的職責(zé),防止未授權(quán)用戶(hù)的訪(fǎng)問(wèn);對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)加以控制,保護(hù)網(wǎng)絡(luò)服務(wù);建立操作系統(tǒng)級(jí)的訪(fǎng)問(wèn)控制,防止對(duì)計(jì)算機(jī)的未授權(quán)訪(fǎng)問(wèn);建立應(yīng)用訪(fǎng)問(wèn)控制,防止未授權(quán)用戶(hù)訪(fǎng)問(wèn)保存在信息系統(tǒng)中的信息;監(jiān)視系統(tǒng)訪(fǎng)問(wèn)和使用,檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)計(jì)算和遠(yuǎn)程工作時(shí),也要確保信息安全?

(8)系統(tǒng)開(kāi)發(fā)和維護(hù):標(biāo)識(shí)系統(tǒng)的安全要求,確保安全被構(gòu)建在信息系統(tǒng)內(nèi);控制應(yīng)用系統(tǒng)的安全,防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的丟失?被修改或誤用;使用密碼控制,保護(hù)信息的保密性?真實(shí)性或完整性;控制對(duì)系統(tǒng)文件的訪(fǎng)問(wèn),確保按安全方式進(jìn)行IT項(xiàng)目和支持活動(dòng);嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程,維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全?

(9)業(yè)務(wù)持續(xù)性管理:目的為了減少業(yè)務(wù)活動(dòng)的中斷,使關(guān)鍵業(yè)務(wù)過(guò)程免受主要故障或天災(zāi)的影響?

(10)符合性:信息系統(tǒng)的設(shè)計(jì)?操作?使用和管理要符合法律要求,避免任何犯罪?違反民法?違背法規(guī)?規(guī)章或合約義務(wù)以及任何安全要求;定期審查安全政策和技術(shù)符合性,確保系統(tǒng)符合組織安全政策和標(biāo)準(zhǔn);還要控制系統(tǒng)審核,使系統(tǒng)審核過(guò)程的效力最大化,干擾最小化?

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202109/ccaa_27682.html