ISO-17799中文版：信息安全策略与管理指南

ISO-17799中文版，全称为《信息技术—信息安全管理业务规范》，是由国际标准化组织（ISO）和国际电工委员会（IEC）联合发布的标准，旨在为组织提供信息安全管理体系的框架和最佳实践。该标准于2000年12月1日首次发布，主要关注信息安全策略的制定、风险评估和管理、组织结构、资产保护等方面。 1. **信息安全策略文档** - ISO-17799强调了信息安全策略文档的重要性，它是管理层批准并公开发布的文件，阐述了组织的信息安全承诺，包含了信息安全的定义、目标、范围，以及安全保密性的关键作用。策略文档应简洁明了，解释管理意图和目标，涉及法律遵从性和合同要求，如规定安全教育的需求。 2. **风险评估与管理** - 标准要求组织定期评估其信息安全风险，明确哪些环节可能存在威胁，并根据评估结果选择合适的控制措施。关键步骤包括确定安全需求、评估风险以及根据评估结果来设计和实施控制措施。 3. **信息安全架构** - 组织应建立信息安全的基本架构，包括管理信息安全论坛，促进跨部门的协作；明确信息安全责任分配，确保每个人对信息资产的处理有适当的授权；并接受专家意见，进行组织间的合作，并通过独立检查确保信息安全的实施。 4. **资产分类与管理** - 资产分类是信息安全的重要环节，组织需要识别、分类和保护其信息资产，包括对第三方访问的管理和对外部采购合同中的安全要求。 5. **第三方访问与外购** - 对第三方访问进行风险评估，制定相应的安全要求合同条款，确保供应商遵循同等或高于组织自身的安全标准。外购时同样需考虑安全控制措施的融入。 ISO-17799中文版提供了一套全面的信息安全管理体系指南，帮助组织构建一个系统化、风险导向的信息安全环境，确保信息资产的安全和保密，符合法律法规要求，降低潜在的风险。遵循这一标准，有助于提升组织的整体信息安全水平。