没有合适的资源?快使用搜索试试~ 我知道了~
首页ISO17799中文版
ISO17799中文版
5星 · 超过95%的资源 需积分: 50 68 下载量 195 浏览量
更新于2023-03-03
评论 1
收藏 1.34MB DOC 举报
国际标准ISO17799中文版 ISO(国际标准化组织)和IEC(国际电工委员会)形成了一个专门体系,进行世界性的标准化工作。 ISO或IEC成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推广,这些技术委员会要设法应对一些特殊领域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域中合作。其他与ISO和IEC有联络的国际性组织、政府和非政府机构也参与了这项工作。
资源详情
资源评论
资源推荐
ISO/IEC 17799:2000 (E)
国际标准 ISO/IEC 17799
第一版 2000-12-01
信息技术-信息安全管理业务规范
参考号:ISO/IEC 17799:2000(E)
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
目录
目录.....................................................................................................................................................2
前言.....................................................................................................................................................7
介绍.....................................................................................................................................................8
什么是信息安全?.....................................................................................................................8
为什么需要信息安全?.............................................................................................................8
如何确定安全需要?.................................................................................................................9
评估安全风险.............................................................................................................................9
选择控制措施...........................................................................................................................10
信息安全起点...........................................................................................................................10
关键的成功因素.......................................................................................................................10
制订自己的准则.......................................................................................................................11
1 范围................................................................................................................................................12
2 名词和定义....................................................................................................................................12
2.1 信息安全.............................................................................................................................12
2.2 风险评估.............................................................................................................................12
2.3 风险管理.............................................................................................................................12
3 安全策略........................................................................................................................................13
3.1 信息安全策略.....................................................................................................................13
3.1.1 信息安全策略文档..................................................................................................13
3.1.2 复查和评价..............................................................................................................13
4 组织的安全....................................................................................................................................14
4.1 信息安全的基本架构.........................................................................................................14
4.1.1 管理信息安全论坛..................................................................................................14
4.1.2 信息安全协作..........................................................................................................14
4.1.3 信息安全责任的分配..............................................................................................15
4.1.4 信息处理方法的授权过程。.................................................................................15
4.1.5 专家信息安全建议..................................................................................................15
4.1.6 组织间的合作..........................................................................................................16
4.1.7 信息安全的独立检查..............................................................................................16
4.2 第三方访问的安全.............................................................................................................16
4.2.1 判断第三方访问的风险..........................................................................................17
4.2.2 第三方合同的安全要求..........................................................................................17
4.3 外包.....................................................................................................................................18
4.3.1 外包合同的安全要求..............................................................................................19
5 资产分类和管理............................................................................................................................19
5.1 资产的可计量性.................................................................................................................19
5.1.1 资产清单..................................................................................................................19
5.2 信息分类.............................................................................................................................20
5.2.1 分类原则..................................................................................................................20
5.2.2 信息标识和处理......................................................................................................20
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
6 人员安全........................................................................................................................................21
6.1 工作定义和外包的安全.....................................................................................................21
6.1.1 把安全包括在工作责任中......................................................................................21
6.1.2 人员筛选和策略......................................................................................................21
6.1.3 保密协议..................................................................................................................22
6.1.4 用工条款..................................................................................................................22
6.2 用户培训.............................................................................................................................22
6.2.1 信息安全教育和培训..............................................................................................22
6.3 对安全事故和故障做出反应.............................................................................................23
6.3.1 报告安全事故..........................................................................................................23
6.3.2 报告安全缺陷..........................................................................................................23
6.3.3 报告软件故障..........................................................................................................23
6.3.4 吸取事故教训..........................................................................................................24
6.3.5 惩处程序..................................................................................................................24
7 物理的和环境的安全....................................................................................................................24
7.1 安全区域.............................................................................................................................24
7.1.1 物理安全界线..........................................................................................................24
7.1.2 物理进入控制..........................................................................................................25
7.1.3 保护办公室、房间和设施......................................................................................25
7.1.4 在安全区域工作......................................................................................................26
7.1.5 隔离的送货和装载区域..........................................................................................26
7.2 设备安全.............................................................................................................................26
7.2.1 设备定位和保护......................................................................................................26
7.2.2 电力供应..................................................................................................................27
7.2.3 电缆安全..................................................................................................................27
7.2.4 设备维护..................................................................................................................28
7.2.5 外部设备的安全......................................................................................................28
7.2.6 设备的安全处置或者再利用.................................................................................28
7.3 一般性管理措施.................................................................................................................29
7.3.1 清洁桌面和清洁屏幕策略......................................................................................29
7.3.2 财产的转移..............................................................................................................29
8 通信和运营管理............................................................................................................................30
8.1 操作过程和责任.................................................................................................................30
8.1.1 记录在案的操作过程..............................................................................................30
8.1.2 运行变更管理..........................................................................................................30
8.1.3 意外事故管理程序..................................................................................................30
8.1.4 责任的分离..............................................................................................................31
8.1.5 开发过程和运行过程的分离..................................................................................31
8.1.6 外部设施的管理......................................................................................................32
8.2 系统规划和验收.................................................................................................................32
8.2.1 容量规划..................................................................................................................33
8.2.2 系统验收..................................................................................................................33
8.3 防止恶意软件.....................................................................................................................33
8.3.1 防止恶意软件的管理措施......................................................................................34
8.4 内务管理.............................................................................................................................34
8.4.1 信息备份..................................................................................................................35
8.4.2 操作员日志..............................................................................................................35
8.4.3 事故记录..................................................................................................................35
8.5 网络管理.............................................................................................................................35
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
8.5.1 网络管理措施..........................................................................................................36
8.6 备份介质处理和安全.........................................................................................................36
8.6.1 对可移动的计算机存储介质的管理.....................................................................36
8.6.2 存储介质的处置......................................................................................................37
8.6.3 信息处理程序..........................................................................................................37
8.6.4 系统文件的安全......................................................................................................38
8.7 信息和软件的交换.............................................................................................................38
8.7.1 信息和软件交换协议..............................................................................................38
8.7.2 转运时介质的安全..................................................................................................38
8.7.3 电子商务安全..........................................................................................................39
8.7.4 电子邮件的安全......................................................................................................40
8.7.5 电子办公系统的安全..............................................................................................40
8.7.6 公众可访问的系统..................................................................................................41
8.7.6 信息交换的其它形式..............................................................................................41
9 访问控制........................................................................................................................................42
9.1 访问控制的业务需要.........................................................................................................42
9.1.1 访问控制策略..........................................................................................................42
9.2 用户访问管理.....................................................................................................................43
9.2.1 用户注册..................................................................................................................43
9.2.2 特权管理..................................................................................................................43
9.2.3 用户密码管理..........................................................................................................44
9.2.4 用户访问权限的复查..............................................................................................44
9.3 用户责任.............................................................................................................................44
9.3.1 密码使用..................................................................................................................45
9.3.2 无人值守用户设备..................................................................................................45
9.4 网络访问控制.....................................................................................................................45
9.4.1 网络服务的使用策略..............................................................................................46
9.4.2 强制路径..................................................................................................................46
9.4.3 外部连接的用户认证..............................................................................................47
9.4.4 节点鉴别..................................................................................................................47
9.4.5 远程诊断接口的保护..............................................................................................47
9.4.6 网络分离..................................................................................................................47
9.4.7 网络连接管理..........................................................................................................48
9.4.8 网络路径选择控制..................................................................................................48
9.4.9 网络访问安全..........................................................................................................48
9.5 操作系统访问管理.............................................................................................................49
9.5.1 自动终端识别..........................................................................................................49
9.5.2 终端登录程序..........................................................................................................49
9.5.3 用户识别和鉴定......................................................................................................50
9.5.4 密码口令管理系统..................................................................................................50
9.5.5 系统实用程序的使用..............................................................................................51
9.5.7 终端暂停..................................................................................................................51
9.5.8 连接时间的限制......................................................................................................51
9.6 应用程序访问控制.............................................................................................................52
9.6.1 信息访问限制..........................................................................................................52
9.6.2 敏感系统的隔离......................................................................................................52
9.7 检测系统访问和使用.........................................................................................................53
9.7.1 事件记录..................................................................................................................53
9.7.2 检测系统使用..........................................................................................................53
©ISO/IEC 2000 -版权所有
ISO/IEC 17799:2000 (E)
9.7.3 时钟同步..................................................................................................................54
9.8 移动计算和远程工作.........................................................................................................55
9.8.1 移动计算..................................................................................................................55
9.2.8 远程工作..................................................................................................................55
10 系统的开发与维护......................................................................................................................56
10.1 系统的安全需要...............................................................................................................56
10.1.1 安全性要求分析和规范........................................................................................56
10.2.1 输入数据的验证....................................................................................................57
10.2.2 内部作业的管理....................................................................................................57
10.2.3 文电鉴别................................................................................................................58
10.2.4 输出数据验证........................................................................................................58
10.3 密码管理措施...................................................................................................................59
10.3.1 使用密码控制措施的策略....................................................................................59
10.3.2 信息加密................................................................................................................59
10.3.3 数字签名................................................................................................................60
10.3.4 非拒绝服务............................................................................................................60
10.3.5 密钥管理................................................................................................................60
10.4 信息文件的安全...............................................................................................................61
10.4.1 操作软件的控制....................................................................................................62
10.4.2 系统测试数据的保护............................................................................................62
10.4.3 对程序资源库的访问控制....................................................................................62
10.5 开发和支持过程中的安全...............................................................................................63
10.5.1 变更控制程序........................................................................................................63
10.5.2 操作系统变更的技术复查....................................................................................63
10.5.3 改变软件包的限制................................................................................................64
10.5.4 隐蔽通道和特洛伊代码(渗透性代码)...........................................................64
10.5.5 外购软件开发........................................................................................................64
11 业务连续性管理..........................................................................................................................65
11.1 业务连续性管理的几个方面...........................................................................................65
11.1.1 业务连续性管理程序............................................................................................65
11.1.2 业务连续性和影响分析........................................................................................65
11.1.3 编写和执行连续性计划........................................................................................66
11.1.4 业务连续性计划框架............................................................................................66
11.1.5 测试、维护和重新评估业务连续性计划...........................................................67
12 符合性..........................................................................................................................................68
12.1 符合法律要求...................................................................................................................68
12.1.1 适用法律的辨别....................................................................................................68
12.1.2 知识产权(IPR).......................................................................................................68
12.1.3 保护组织记录........................................................................................................69
12.1.4 数据保护和个人信息的保密...............................................................................70
12.1.5 防止信息处理设备的误用....................................................................................70
12.1.6 密码管理的规定....................................................................................................70
12.1.7 证据的搜集............................................................................................................71
12.2 安全策略和技术符合性的检查.......................................................................................71
12.2.1 符合安全策略........................................................................................................72
12.2.2 技术符合性检测....................................................................................................72
12.3 系统审查相关事项...........................................................................................................72
12.3.1 系统审查管理程序................................................................................................73
12.3.2 系统审查工具的保护............................................................................................73
©ISO/IEC 2000 -版权所有
剩余63页未读,继续阅读
zhangyanlihere
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论4