返回
信息安全管理-英国标准

信息安全管理-英国标准

ID:18971038

大小:391.50 KB

页数:214页

时间:2018-09-27

信息安全管理-英国标准_第1页
信息安全管理-英国标准_第2页
信息安全管理-英国标准_第3页
信息安全管理-英国标准_第4页
信息安全管理-英国标准_第5页
资源描述:

《信息安全管理-英国标准》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理-英国标准BS7799-1:1999英国标准信息安全管理—第一部分:信息安全管理的实施准则1CS35>.9><>02<>0-3S6W未经BSI许可,不许翻印,版权法保护范围除外BS7799-1:1999范围BS7799标准的该部分为那些初始化、实现或维护组织的系统安全的人,提供了信息安全管理的建议。其目的在于为系统安全标准提供基本依据和有效的安全管理实践,使人们有足够的信心去处理组织内部事物。一些术语和定义本文中会用到如下术语:2>.1信息安全(informationsecurity)保密性的保持(preservationofconfidentiality),信息

2、的完整性和可应用性(integrityandavailabilityofinformation)注:保密性是指,确保只有特定权限的人才能够访问到信息。完整是指,要保证信息和处理方法的正确和完整。可应用性是指,确保那些已被授权的用户在他们需要的时候,确实可以访问得到信息以及相关内容。2>.2风险评估即系统信息或者是信息处理系统遭受攻击的可能性,对于这些威胁产生的可能性及其后果的评估。2>.3风险管理即付出可以接受的代价,来识别、控制和减少影响信息系统安全的风险的过程。安全政策3>.1信息安全政策目标:提供信息管理的方向以及对信息安全系统的支持管理系统应确立一个明确的政策方向,并

3、且,通过在组织中应用和采用该安全政策,可以有效地支持系统信息的安全性。1信息安全政策文献一份政策文献应该由管理系统支持,出版,并在此问题上与所有的员工进行很好的沟通。它应声明管理责任,并且规范组织的信息安全管理方法。其中,应至少涵盖下述要素:信息安全的定义,其整体目标、范围以及支持共享信息系统安全的重要性(请看介绍);一份支持信息安全目标及原理的管理意图的声明;安全政策、原理、标准以及一些特定组织的需求的简要说明,例如:法律及合同条文的需要;安全教育的需要;防范病毒及其他恶意攻击软件的需要;商务连续性的需要;违反安全政策的后果;有关信息安全的总体及一些细节责任的定义,包括有关

4、安全性事件的报告;支持该安全政策的参考文献,比如一些安全政策的细节和特定信息系统的处理过程或者用户需遵守的安全规定等。在组织内部,该政策应该以相关方式与所有的用户进行沟通,对所有的读者来说都是可以接触的、易懂的。3>.1>.2审查及评价该政策应规定特定人员来负责维护,并按照特定的审查过程进行查看。该程序确保在系统内发生了可能带来风险的变化时,都会启动这样的审查。这些启动审查的变化例如,重大安全事件,新的系统漏洞或者系统组织结构的变化。此外还应包括有计划的、定期的系统审查,具体如下:政策的效率,由系统记录的安全事件的特性,数量及影响来决定;b)商务活动效率的代价和控制活动对其产

5、生的影响;c)技术变化所带来的影响。4安全组织4>.1信息安全设施目标:管理组织内部的信息安全。一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策,指定安全系统中的各类角色,并协调组织内各项因素,以实现信息安全。必要时,在系统内应具备一些专用的信息安全知识,供组织内部使用。同时,完备的信息安全系统应时时与组织外部的安全专家联络,跟踪最新动向,监测标准和评估方法,并在处理安全事件时,提供适当的解决办法。在信息安全系统中应鼓励采用多重接入的方法,例如,在涉及经理、用户、管理者、应用设计者、审计人员和安全职员之间的协作关系时,应根据不

6、同的需求来不同对待,或者在保险及风险管理等领域,需要更专门的技术来实现。4>.1>.1信息安全管理论坛信息安全是由管理队伍中所有成员分担的一种商务责任。建立管理论坛可以确保其明确的方向,同时对系统安全提供有效的支持。论坛通过适当的责任和充分的资源可以提高系统的安全性。论坛是现存的管理系统的一部分,通常来说,论坛通常实现下述责任:审查并支持信息安全政策的责任;b)监视使信息系统遭受威胁的重大变化;c)审查及检测安全事件;d)支持加强系统安全性的主动措施。一个管理人员应当对所有与信息安全相关的活动负责。4>.1>.2信息安全协作在一个大的组织中,由各相关组织的管理代表组成的具备交

7、叉功能的论坛对于实现信息安全的控制的协调是十分必要的。通常,这种论坛是这样的:支持组织内部的特殊角色和信息安全的责任;b)支持信息安全的特殊的方法和过程,比如,风险评估,安全等级系统等;c)同意并支持组织内部信息安全的主动措施,如,安全防范程序;d)确保安全是信息计划过程的一部分;e)对于新系统或者业务,协调其信息安全控制的细节的实施的充分性;f)复查信息安全事件;g)在组织内部,提高对信息安全支持的透明度。4>.1>.3信息安全责任的分配应当明确定义保护个人财产的责任和实施安全措施的特定过程。信息安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。