点击下载:ISO/IEC 17799:2000 (英文版) BS7799-2:2002 (英文版)
BS7799标准是由英国标准协会(BIS)制定的信息安全管理标准,全名是 BS7799 Code of Practice for Information Security,是目前国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:
BS7799-1:1999 《信息安全管理实施细则》
BS7799-2:1999 《信息安全管理体系规范》
而且BS7799-1:1999已被 ISO (International Organization for Standardization) 接纳成为国际标准ISO17799:2000。
ISO17799 是一个详细的安全标准。包括安全内容的所有准则,由十个独立的部分组成, 每一节都覆盖了不同的主题和区域:
1、商业持续规划
这节的主要内容包括:1)防止商业活动的中断;2)防止关键商业过程免受重大失误或灾难的影响。
2、系统访问控制
这节的主要内容有:1 ) 控制访问信息;2 ) 阻止非法访问信息系统 3)确保网络服务得到保护 4 ) 阻止非法访问计算机5 ) 检测非法行为。6 ) 保证在使用移动计算机和远程网络设备时信息的安全
3、系统开发和维护
这节的主要内容有:1 ) 确保信息安全保护深入到操作系统中;2 ) 阻止应用系统中的用户数据的丢失,修改或误用;3 ) 确保信息的保密性,可靠性和完整性;4 ) 确保IT项目工程及其支持活动是在安全的方式下进行的;5 ) 维护应用程序软件和数据的安全。
4、物理和环境安全
这部分的主要内容有:阻止对业务机密和信息非法的访问,损坏干扰;阻止资产的丢失,损坏或遭受危险,使业务活动免受干扰;阻止信息和信息处理设备的免受损坏或盗窃。
5、符合性
这部分的主要内容有:1 ) 避免违背刑法、民法、条例或契约责任、以及各种安全要求;2 ) 确保组织系统符合安全方针和标准; 3 ) 使系统审查过程的绩效最大化,并将干扰因素降到最小。
6、人员安全
这部分的主要内容包括:1)减少错误,偷窃,欺骗或资源误用等人为风险;2)确保使用者了解信息安全的威胁和,在他们的正常的工作中有相应的训练,以便利于信息安全政策的贯彻和实施;3)通过从以前事件和故障中汲取教训,最大限度降低安全的损失。
7、安全组织
这节的主要内容包括:1 ) 在公司内部管理信息安全;2 ) 保持组织的信息采集设施和可被第三方利用的信息资产的安全性 ;3 ) 当信息处理的责任需借助于外力是时,维持信息的安全。
8、计算机与网络管理
这节的目的是:1 ) 确保信息处理设备的正确和安全的操作;2 ) 降低系统失效的风险到最小;3 ) 保护软件和信息的完整性;4 ) 维护信息处理和通讯的完整性和可用性;5 ) 确保网络信息的安全措施和支持基础结构的保护;6 ) 防止资产被损坏和业务活动被干扰中断;7 ) 防止组织间的交易信息遭受损坏,修改或误用。
9、资产分类和控制
这节的主要阐述了:对于共同的资产给予适当的保护并且确保那些信息资产得到适当水平的保护。
10、安全政策
这节的目的是:为信息安全提供管理方向和支持。
BS 7799 PART 2 是一个规范。使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系,包括以下三个步骤:
1、建立信息管理框架:设立方向、信息安全目标,定义信息安全方针,同时管理层应承诺该方针。
2、评审组织的信息安全风险,投资控制措施需要在信息的价值、所面临的风险和这些风险对组织运营的影响间保持一个平衡。
3、选择和实施控制措施,是确定的安全风险减少到可接受的程度。不同的组织将选择不同的控制措施。
实施 ISO/IEC 17799并不能是组织完全摆脱信息安全遭破坏,但实施该标准使信息安全被破坏的可能性降低,因此降低投资和信息安全事故发生后的被破坏的程度。