没有合适的资源?快使用搜索试试~ 我知道了~
首页ISO-17799_2005信息安全管理实施指南
资源详情
资源评论
资源推荐
Information Technology-
Security Techniques-
Code of practice for information
security management
信息技术
安全技术
信息安全管理实施指南
ISO/IEC17799:2005 信息安全管理实施指南
文件名称 信息安全管理实施指南 页 码
- I -
文件编号
ISO/IEC 17799:2005 Chs
版 本
V1.0
目录
0 简介 ..............................................................................................................................................1
0.1 什么是信息安全?............................................................................................................1
0.2 为什么需要信息安全.........................................................................................................1
0.3 如何确定安全要求.............................................................................................................1
0.4 评估安全风险.....................................................................................................................2
0.5 选择控制措施....................................................................................................................2
0.6 信息安全起点.....................................................................................................................2
0.7 关键成功因素.....................................................................................................................3
0.8 开发组织自己的指导方针.................................................................................................3
1.范围 ...............................................................................................................................................4
2.术语与定义....................................................................................................................................5
2.1 资产.....................................................................................................................................5
2.2 控制措施.............................................................................................................................5
2.3 指南.....................................................................................................................................5
2.4 信息处理设施.....................................................................................................................5
2.5 信息安全.............................................................................................................................5
2.6 信息安全事件 information security event..........................................................................5
2.7 信息安全事故 information security incident .....................................................................6
2.8 方针.....................................................................................................................................6
2.9 风险.....................................................................................................................................6
2.10 风险分析...........................................................................................................................6
2.11 风险评估...........................................................................................................................6
2.12 风险评价...........................................................................................................................6
2.13 风险管理...........................................................................................................................6
2.14 风险处置...........................................................................................................................6
2.15 第三方...............................................................................................................................7
2.16 威胁...................................................................................................................................7
2.17 脆弱点...............................................................................................................................7
3 本标准的架构................................................................................................................................8
3.1 条款...............................................................................................................................
......8
3.2 主要安全类.........................................................................................................................8
4 风险评估和处置............................................................................................................................9
4.1 评估安全风险.....................................................................................................................9
4.2 安全风险的处置.................................................................................................................9
5.安全方针......................................................................................................................................11
5.1 信息安全方针...................................................................................................................11
5.1.1 信息安全策略文档................................................................................................11
5.1.2 信息安全方针评审...............................................................................................12
6 组织信息安全.............................................................................................................................13
ISO/IEC17799:2005 信息安全管理实施指南
文件名称 信息安全管理实施指南 页 码
- II -
文件编号
ISO/IEC 17799:2005 Chs
版 本
V1.0
6.1 内部组织...........................................................................................................................13
6.1.1 信息安全管理承诺...............................................................................................13
6.1.2 信息安全协调.......................................................................................................14
6.1.3 信息安全职责分配...............................................................................................14
6.1.4 信息处理设施的授权问题...................................................................................15
6.1.5 保密协议...............................................................................................................15
6.1.6 与政府机构的联系...............................................................................................16
6.1.7 与特殊利益团体的联系.......................................................................................16
6.1.8 信息安全的独立评审...........................................................................................17
6.2 外部组织..........................................................................................................................17
6.2.1 识别与外部组织相关的风险................................................................................17
6.2.2 当与顾客接触时,强调安全...............................................................................19
6.2.3 在第三方协议中强调安全...................................................................................20
7 资产管理.....................................................................................................................................22
7.1 资产责任..........................................................................................................................22
7.1.1 资产清单...............................................................................................................22
7.1.2 资产所有者关系...................................................................................................23
7.1.3 资产的可接受使用...............................................................................................23
7.2 信息分类..........................................................................................................................24
7.2.1 分类指南...............................................................................................................24
7.2.2 信息标识与处置....................................................................................................24
8 人力资源安全.............................................................................................................................26
8.1 雇佣³前 ............................................................................................................................26
8.1.1 角色和职责...........................................................................................................26
8.1.2 选拔.......................................................................................................................27
8.1.3 雇佣条款和条件...................................................................................................27
8.2 雇佣中.............................................................................................................................28
8.2.1 管理职责...............................................................................................................28
8.2.2 信息安全意识、教育和培训...............................................................................29
8.2.3 惩戒过程...............................................................................................................29
8.3 雇佣的终止或变更.........................................................................................................30
8.3.1 终止职责................................................................................................................30
8.3.2 归还资产
...............................................................................................................30
8.3.3 撤销访问权限.......................................................................................................31
9 物理和环境安全.........................................................................................................................32
9.1 安全区域..........................................................................................................................32
9.1.1 物理安全边界.......................................................................................................32
9.1.2 物理进入控制.......................................................................................................33
9.1.3 办公室、房间和设施的安全................................................................................33
9.1.4 防范外部或环境威胁...........................................................................................34
9.1.5 在安全区域工作...................................................................................................34
9.1.6 公共访问和装卸区域............................................................................................34
ISO/IEC17799:2005 信息安全管理实施指南
文件名称 信息安全管理实施指南 页 码
- III -
文件编号
ISO/IEC 17799:2005 Chs
版 本
V1.0
9.2 设备安全...........................................................................................................................35
9.2.1 设备选址与保护....................................................................................................35
9.2.2 支持性设施...........................................................................................................36
9.2.3 电缆安全...............................................................................................................36
9.2.4 设备维护...............................................................................................................37
9.2.5 场外设备安全.......................................................................................................37
9.2.6 设备的安全处置或重用........................................................................................38
9.2.7 资产转移...............................................................................................................38
10 通信和操作管理.......................................................................................................................39
10.1 操作程序和职责............................................................................................................39
10.1.1 文件化的操作程序.............................................................................................39
10.1.2 变更管理.............................................................................................................39
10.1.3 职责分离.............................................................................................................40
10.1.4 开发、测试与运营设施的分离.........................................................................40
10.2 第三方服务交付管理....................................................................................................41
10.2.1 服务交付.............................................................................................................41
10.2.2 第三方服务的监视和评审.................................................................................42
10.2.3 管理第三方服务的变更.....................................................................................42
10.3 系统策划与验收............................................................................................................43
10.3.1 容量管理.............................................................................................................43
10.3.2 系统验收.............................................................................................................43
10.4 防范恶意和移动代码....................................................................................................44
10.4.1 防范恶意代码.....................................................................................................44
10.4.2 防范移动代码.....................................................................................................45
10.5 备份................................................................................................................................46
10.5.1 信息备份.............................................................................................................46
10.6 网络安全管理................................................................................................................47
10.6.1 网络控制.............................................................................................................47
10.6.2 网络服务安全.....................................................................................................47
10.7 介质处理........................................................................................................................48
10.7.1 移动介质的管理.................................................................................................48
10.7.2 介质的销毁.........................................................................................................49
10.7.3 信息处置程序.....................................................................................................49
10.7.4
系统文档安全.....................................................................................................50
10.8 信息交换........................................................................................................................50
10.8.1 信息交换策略和程序.........................................................................................50
10.8.2 交换协议.............................................................................................................52
10.8.3 物理介质传输安全.............................................................................................52
10.8.4 电子消息.............................................................................................................53
10.8.5 业务信息系统.....................................................................................................53
10.9 电子商务服务................................................................................................................54
10.9.1 电子商务..............................................................................................................54
ISO/IEC17799:2005 信息安全管理实施指南
文件名称 信息安全管理实施指南 页 码
- IV -
文件编号
ISO/IEC 17799:2005 Chs
版 本
V1.0
10.9.2 在线交易.............................................................................................................55
10.9.3 公共可用信息.....................................................................................................56
10.10 监视..............................................................................................................................56
10.10.1 审计日志...........................................................................................................56
10.10.2 监视系统的使用...............................................................................................57
10.10.3 保护日志信息...................................................................................................58
10.10.4 管理员和操作者日志.......................................................................................59
10.10.5 错误日志...........................................................................................................59
10.10.6 时钟同步...........................................................................................................60
11 访问控制...................................................................................................................................61
11.1 访问控制的业务要求....................................................................................................61
11.1.1 访问控制策略.....................................................................................................61
11.2 用户访问管理................................................................................................................62
11.2.1 用户注册.............................................................................................................62
11.2.2 特权管理.............................................................................................................63
11.2.3 用户口令管理.....................................................................................................63
11.2.4 用户访问权限的评审.........................................................................................64
11.3 用户责任........................................................................................................................64
11.3.1 口令的使用.........................................................................................................65
11.3.2 无人值守的用户设备.........................................................................................65
11.3.3 桌面和屏幕清空策略.........................................................................................66
11.4 网络访问控制................................................................................................................66
11.4.1 网络服务使用策略.............................................................................................67
11.4.2 外部连接用户鉴别.............................................................................................67
11.4.3 网络设备标识.....................................................................................................68
11.4.4 远程诊断和配置端口保护..................................................................................68
11.4.5 网络隔离.............................................................................................................69
11.4.6 网络连接控制.....................................................................................................69
11.4.7 网络路由控制.....................................................................................................70
11.5 操作系统访问控制........................................................................................................70
11.5.1 安全登陆程序.....................................................................................................71
11.5.2 用户标识与鉴别.................................................................................................71
11.5.3 口令管理系统.....................................................................................................72
11.5.4 系统设施的使用..................................................................................................73
11.5.5 会话超时.............................................................................................................73
11.5.6 连接时间限制.....................................................................................................74
11.6 应用系统和信息访问控制............................................................................................74
11.6.1 信息访问限制.....................................................................................................74
11.6.2 敏感系统隔离.....................................................................................................75
11.7 移动计算和远程工作....................................................................................................75
11.7.1 移动计算及通讯.................................................................................................75
11.7.2 远程工作.............................................................................................................76
剩余111页未读,继续阅读
njgwbn1
- 粉丝: 0
- 资源: 4
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 数据结构1800题含完整答案详解.doc
- 医疗企业薪酬系统设计与管理方案.pptx
- 界面与表面技术界面理论与表面技术要点PPT学习教案.pptx
- Java集合排序及java集合类详解(Collection、List、Map、Set)讲解.pdf
- 网页浏览器的开发 (2).pdf
- 路由器原理与设计讲稿6-交换网络.pptx
- 火电厂锅炉过热汽温控制系统设计.doc
- 企业识别CIS系统手册[收集].pdf
- 物业管理基础知识.pptx
- 第4章财务预测.pptx
- 《集成电路工艺设计及器件特性分析》——实验教学计算机仿真系.pptx
- 局域网内共享文件提示没有访问权限的问题借鉴.pdf
- 第5章网络营销策略.pptx
- 固井质量测井原理PPT教案.pptx
- 毕业实习总结6篇.doc
- UGNX建模基础篇草图模块PPT学习教案.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0