it政策-信息安全bs7799-1(iso)(编辑修改稿)

it政策-信息安全bs7799-1(iso)(编辑修改稿)内容摘要：

........................... 50 用户身份识别和验证 ................................................ 51 口令管理系统 ...................................................... 51 系统实用程序的使用 ................................................ 52 保护用户的威胁报警 ................................................ 52 10 终端超时 ......................................................... 52 连接时间限制 ...................................................... 53 应用程序访问控制 ................................................ 53 信息访问限制 ...................................................... 53 敏感系统的隔离 .................................................... 54 监控系统的访问和使用 ............................................. 54 事件日志记录 ...................................................... 54 监控系统的使用 .................................................... 54 时钟同步 ......................................................... 55 移动计算和远程工作 ............................................... 56 移动计算 ......................................................... 56 远程工作 ......................................................... 57 10 系统开发与维护 .................................................. 57 系统的安全要求 ................................................ 57 安全要求分析和说明 .............................................. 58 应用系统中的安全 ............................................... 58 输入数据验证 .................................................... 58 内部处理的控制 .................................................. 59 消息验证 ....................................................... 59 输出数据验证 .................................................... 60 加密控制措施 .................................................. 60 加密控制措施的使用策略 .......................................... 60 加密 ........................................................... 61 数字签名 ....................................................... 61 不否认服务 ...................................................... 62 密钥管理 ....................................................... 62 系统文件的安全 ................................................ 63 操作软件的控制 .................................................. 63 系统测试数据的保护 .............................................. 63 对程序源代码库的访问控制 ......................................... 64 开发和支持过程中的安全 .......................................... 64 变更控制程序 .................................................... 64 操作系统变更的技术评审 .......................................... 65 对软件包变更的限制 .............................................. 65 隐蔽通道和特洛伊代码 ............................................ 66 外包的软件开发 .................................................. 66 11 业务连续性管理 .................................................. 67 业务连续性管理的特点 ........................................... 67 业务连续性管理程序 .............................................. 67 业务连续性和影响分析 ............................................ 67 编写和实施连续性计划 ............................................ 68 业务连续性计划框架 .............................................. 68 11 业务连续性计划的检查、维护和重新分析 ............................. 69 12 符合性 ......................................................... 70 符合法律要求 .................................................. 70 确定适用法律 .................................................... 70 知识产权 (IPR)................................................... 70 组织记录的安全保障 .............................................. 71 个人信息的数据保护和安全 ......................................... 71 防止信息处理设施的滥用 .......................................... 72 加密控制措施的调整 .............................................. 72 证据收集 ....................................................... 72 安全策略和技术符合性的评审 ...................................... 73 符合安全策略 .................................................... 73 技术符合性检查 .................................................. 74 系统审计因素 .................................................. 74 系统审计控制措施 ................................................ 74 系统审计工具的保护 .............................................. 75 范围 1 BS 7799 本部分内容为那些负责执行或维护组织安全的人员提供使用信息安全管理的建议。 目的是为制定组织安全标准和有效安全管理提供共同基础，并提高组织间相互协调的信心。 2 术语和定义 在说明本文档用途中应用了以下定义。 信息安全 信息保密性、完整性和可用性的保护 注意 保密性的定义是确保只有获得授权的人才能访问信息。 完整性的定义是保护信息和处理方法的准确和完整。 可用性的定义是确保 获得授权的用户在需要时可以访问信息并使用相关信息资产。 风险评估 12 评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性 风险管理 以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程 3 安全策略 信息安全策略 目标： 提供管理指导，保证信息安全。 管理层应制定一个明确的安全策略方向，并通过在整个组织中发布和维护信息安全策略，表明自己对信息安全的支持和保护责任。 信息安全策略文档 策略文档应该由管理层批准，根据情况向所有员工公布传达。 文档应说明管理人员承担的义 务和责任，并制定组织的管理信息安全的步骤。 至少应包括以下指导原则： a) 信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性（参阅简介） ； b) 陈述信息安全的管理意图、支持目标以及指导原则 ； c) 简要说明安全策略、原则、标准以及需要遵守的各项规定。 这对组织非常重要，例如： 1) 符合法律和合约的要求； 2) 安全教育的要求 ； 3) 防止并检测病毒和其它恶意软件； 4)业务连续性管理； 5) 违反安全策略的后果； d) 确定信息安全管理的一般责任和具体责任，包括报告安全事故 ； e) 参考支持安全策略的有关文 献，例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。 安全策略应该向组织用户传达，形式上是针对目标读者，并为读者接受和理解。 审查评估 每个策略应该有一个负责人，他根据明确规定的审查程序对策略进行维护和审查。 审查过程应该确保在发生影响最初风险评估的基础的变化（如发生重大安 13 全事故、出现新的漏洞以及组织或技术基础结构发生变更）时，对策略进行相应的审查。 还应该进行以下预定的、阶段性的审查 ： a) 检查策略的有效性，通过所记录的安全事故的性质、数量以及影响反映出来； b) 控制措施的成本及其业务效率的 影响 ； c) 技术变化带来的影响。 4 组织的安全 信息安全基础设施 目标： 管理组织内部的信息安全。 应该建立管理框架，在组织内部开展和控制信息安全的管理实施。 应该建立有管理领导层参加的管理论坛，以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。 根据需要，应该建立专家提出信息安全建议的渠道，并供整个组织使用。 建立与公司外部的安全专家的联系，保持与业界的潮流、监视标准和评估方法同步，并在处理安全事故时吸收他们的观点。 应该鼓励采用跨学科跨范围的信息安全方法，例如，让管理人员、用户、行政人员、应用程序设计人 员、审计人员以及安全人员和专家协同工作，让他们参与保险和风险管理的工作。 管理信息安全论坛 信息安全是一种由管理团队所有成员共同承担的业务责任。 应该建立一个管理论坛，确保对安全措施有一个明确的方向并得到管理层的实际支持。 论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。 该论坛可以作为目前管理机构的一个组成部分。 通常，论坛有以下作用： a) 审查和核准信息安全策略以及总体责任 ； b) 当信息资产暴露受到严重威胁时，监视重大变化； c) 审查和监控安全事故 ； d) 审核加强信息安全的重要活动。 一个管理人员应负责所有与安全 相关的活动。 信息安全的协调 在大型组织中，需要建立一个与组织规模相宜的跨部门管理论坛，由组织有关部门的管理代表参与，通过论坛协调信息安全控制措施的实施。