构建信息安全管理体系：ISO/IEC 17799：2005中国版详解

ISO17799：2005C，全称为《信息安全技术 - 信息安全管理实用规则 - Code of Practice for Information Security Management》（IDT ISO/IEC 17799：2005），是由全国信息安全标准化技术委员会信息安全管理工作组（WG7）制定的一份信息安全管理体系（ISMS）指导性标准。该标准是ISO/IEC 27000系列的一部分，该系列共包含10个标准，旨在帮助企业、组织和个人理解和实施有效的信息安全管理和控制。 ISO17799的目标是为组织提供一套全面的框架，帮助它们识别、评估和管理信息安全风险，确保信息资产的安全。标准覆盖了多个关键领域，包括信息安全方针、组织结构、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制以及信息系统获取、开发和维护等。 主要内容包括： 1. **信息安全基础**：阐述了信息安全的概念，强调了其重要性和建立安全要求的必要性，同时给出了评估安全风险和选择适当控制措施的方法。 2. **风险评估与处理**：详细描述了如何进行风险评估，包括识别可能的风险源和潜在影响，并提出应对策略来降低风险。 3. **安全方针**：定义了信息安全方针，这是整个管理体系的核心，指导组织确定信息安全目标和策略。 4. **组织架构**：区分了内部组织结构和外部各方关系，强调了责任分配和协调的重要性。 5. **资产管理**：强调资产的保护，包括资产识别、分类和责任管理。 6. **人力资源安全**：涵盖员工的招聘、培训、监控以及离职管理，确保员工行为符合信息安全政策。 7. **物理和环境安全**：关注设施安全、设备保护以及防止未经授权的访问。 8. **通信和操作管理**：涉及操作规程、第三方服务、系统规划、恶意和移动代码防御、备份策略、网络安全、介质管理和信息交换规范。 9. **访问控制**：明确访问控制的业务需求，包括用户权限管理、网络访问控制、操作系统和应用层面的控制，以及针对移动计算和远程工作的措施。 10. **信息系统生命周期管理**：规定了信息系统获取、开发过程中应遵循的安全要求，确保正确处理和保护信息。 通过遵循ISO17799：2005C，组织能够建立一个系统化的信息安全管理体系，提高整体安全性，降低信息泄露和损失的风险，符合国际信息安全管理的最佳实践。这份标准具有广泛的应用价值，尤其适合各类组织，如企业、政府机构和非盈利组织，在信息化社会中实现可持续的信息安全保障。