制定讉K控制{略往往是有制定一个资源清单开始的Q这个清单同时还可以作ؓ购买保险和风险管理的依据。资源清单需要列出所有的各式各样的资源,清单同时要对资源q行分类Q分清各个资源的安全U别?br />对于讉K的控制一般有两种单模式:
1、普遍允许所有的问,除了被列在黑名单上的人是不被允许讉K的?br />2、普遍禁止所有的问,除了被列在允许访问名单上的h可以讉K资源?br />很明昄二种讉K控制更加安全一些?br />作ؓ常识Q访问权限对于每一个用户都应该是不完全一LQ也不应该是怹不变的。访问权限有些时候是会被取消的,如:某职员不再在公司任职、升q、换岗位或者被炒鱿gQ?br />有一U访问权限叫做分散式权限Q其工作原理是不允许M一个h员可以单独完成一w要Q务。D例:财务转̎需要有两个分工人员共同完成Q会计和出纳。如银行金库有外围安全h员和内卫安全人员。外面的不能完全q入金库Q里面的人没有外面的人出不来?br />有一U安全措施是通过保密来做到的Q就是ؓ了不被攻击,你不告诉别h你手头上到底有什么。这个听上去很不错,但是却不是我们要讨论的信息安全的方向。我们不q样做?br />对于被授权了的用户也是有不同的用权限的Q如Q?br />只读、写权利、执行权利、添加权利等?br />对于使用权限的分发一般有三种ҎQMandatory讉K控制、Discretionary讉K控制、Role-based讉K控制?br />Mandatory讉K控制对各个对象或者各个访问者进行进行授权。这U访问控制往往机遇对象和访问者制定了一pd的控制条令,在执行过E中严格执行q些条o?br />Discretionary讉K控制一般把讉K权限赋予一些特定的理人员Q然后有q些人员军_哪些用户可以使用资源、哪些不可以。一般来讲这U控制方法没有固定的讉K条例?br />Role based讉K控制的访问权限是Z用户的n份的Q如学生只能够读学校服务器上的文档,老师有写的权利。但是对于每个个体,是可以拥有多个n份的Q对于一个n份可以对应很多个体的。如学生会主席小明又是学生又是学校工作h员,很显Ӟ一般学校有副校长n份的Z止一个?br />现实工作中Mandatory和Discretionaryq两U访问控制是l合在一起用的。这U结合的讉K控制一般是q样工作的:Mandatory讉K控制首先生效Q被Mandatory允许的hl箋被Discretionary讉K控制pȝ审核Q只有两U访问控刉被允许用h被授权用资源。这U做法的好处在于可以防止某些资源的拥有者私自把资源l未授权的用户用,如公司职员把他的客户关系l公司竞争对手。当Ӟq有一个好处就在于如果DiscretionaryU别高于Mandatory的话Q可以允许“特D情况”的资源讉KQ如果某个用户不被条文允怽是却有这必要的话Q这样充分体现灵zL?br />讉K控制的手D分Z大类Q物理上的访问控Ӟ逻辑上的讉K控制?br />物理讉K控制是用物理手D对资源q行保护Q如Q围墙、门、锁、警卫、n份识别牌{。这些方法确保未被授权的人员不能够损坏盗取设备,不允总们访问敏感地点和数据?br />逻辑讉K控制使用一些程序对信息安全q行保护Q如Q密码、Pin、问{机制、强制用访问策略?br />逻辑讉K控制可以在物理访问控制实效以后l对资源q行保护Q如飞天大盗打晕警卫把公司电脑弄回家但是发现自己没有密码不能解密文档Q对公司造成的损׃会太大?br />物理控制除了防止Zؓ行ؓ外,q肩负着对事故及自然灑֮的防护,如:火灾、漏雨、断c龙卷风、战争,抑或外星人入侵?
逻辑手段则是Z在物理保护实效后对资料l保护和对付黑客的入c?br />一个用户如果要通过逻辑讉K控制获得讉K权限一般有两个步骤Q?、用户首先要xw䆾?、用Lw䆾识别。例如:你首先向门卫说你是什么hQ然后给他们看你的工作证Q输入门密码等{?br />之所以要对用Lw䆾q行验证是出于两个考虑的:
1、用L真实w䆾是用来决定是否给q个问资源的前提条g?br />2、用L真实w䆾需要记录下来,以后一旦出了问题可以作为有效的法律依据?br />Z以上两个原因Q这个系l必ȝ保黑客不能乔装打扮成某个合法的用戗用户也必须被保证自׃用的pȝ实是真真正正的pȝ而不是坏人做的鱼c?br />对于用户的n份验证一般是Z三个基础上的?br />1、一些只有某个用L道,别h都不知道的东ѝ?br />2、一些只有某个用h有,别h都不拥有的东ѝ?br />3、一些只有某个用h拥有的特性?br />当然现实工作中,往往都是以上三种措施的结合用?br />一些只有某个用L道,别h不知道的东西Q如Q密码、Pin。这U方法的好处在于便宜且被q泛接受和用,q且作废Ҏ单。缺点在于要求用戯忆下来这些密码,M知道你密码的人就可以代替你行使你的权利,而且没有办法对用戯行控Ӟ例如有些用户喜欢写下密码在纸上,q是不被允许的,q有是有可能用户丢׃密码但是却不知道他已l丢׃密码?br />一些只有用h有,别h不用L东西Q如Qn份识别牌、钥匙、制服、磁卡、o牌(圣火令?Q这U方法的好处在于q些东西是不被共享的Q所以黑客的需要有一个钥匙或者磁卡o牌才能允许访问,而且一旦丢失,用户马上可以发现问题然后采取措施。缺点在于额外花费,q且存在物品的管理问题,如:q些物品的分发、取代和挂失之类的问题?br />一些只有某个用h有的Ҏ(一般ؓ生物Ҏ)Q如Q声音特性、指UV容貌、眼x描、手写签名等?br />但是Z往往却很担心q种生物识别pȝ的出错情c如温度、湿度工作环境、用时间等都会对识别系l的正常工作带来影响。还有就是h员会存在感冒、手指受伤、模仿签名、眼睛不见了、易容(双面枭雄Q)之类的问题。所以一旦出现问题,会带来两U类型的错误QFRR和FARQ意思是错误拒绝率和错误允许率。所以系l一般要在这两种率之间找一个^衡点Q如Q如果错误拒l率讄要想讄的很低的话,错误允许率就会变高;错误允许率要低,错误决绝率就会很高。所以就存在q么一个EER{同错误率,意思是错误拒绝率等于错误允许率相等的比率?br />生物识别pȝ的好处在于对用户的要求基本上没有什么,只要用户的确是他本h可以了。缺点在于这U系l比其他两种pȝ要贵许多Q而且识别信息是不保密的(?每个人都知道bill gates长得那个LQ,有些时候会出错Q用L抵触情AQ如Q很多h不愿意在国出入境处像罪犯一h手印Q,隐私问题?br />现实工作中ؓ了更加安全,一般是q三U手D늚l合使用?br />现在让我们来讨论一下密码的U类Q?br />重复使用密码和一ơ性密码?br />
重复使用密码的优点在于其被广泛接受和使用、便宜、作废简单。其~点在于q种Ҏ很不可靠、要求用戯忆下来、密码容易被猜到和窃取?/font>
一ơ性密码可以是在一个很长的密码清单里随即选取也可以是同步实时产生的。一ơ性密码的好处在于光度安全性。但是缺点在于其产生而外费用Q而且使用同步实时产生密码机制需要用h带特D设备,而且存在L和用户之间的旉同步的管理?br />用户密码理办法Q?br />1、要求用L|协议保证密码的安全Q如果出了问题应该负相应责Q?br />2、确保最初始的密码是一个零时密码(可以把初始密码设|很奇怪,q用户修改Q?br />3、通过一个安全的方式l用户密码(不要通过W三方的电邮发送你的密码)?br />关于l用L密码理的徏议:1、保证密码安全?br />2、不要写在纸上,除非你保证这个纸可以保证安全Q如Q锁在密码箱保险柜里?br />3、定期换密码?br />4、采用不于6位数的密码,密码要便于记忆、不Ҏ被猜、到不要全是数字或者全是字W?br />5、只要有一Ҏ疑泄密,马上换密码?br />6、修改初始密码一旦你W一ơ登入系l后?br />7、不要让选择C密码q样的东ѝ?br />8、不要和别hq密码Q好像没听过q种说法Q?br />什么是PIN-Personal Identification Number是一l唯一的用户个人的数字?br />Pin分ؓ一般常规的Pin和Offset pin。PIN的标准有 ANSI x9.8,AS2805-2000
关于Pin值的产生Q?br />Pin可以是随即生的。用戯定义的。derived Pin?br />随即产生的Pin的好处在于不Ҏ被猜出来Q但是缺点却在于q样的Pin很难被记住?br />用户自定义的Pin好处在于Ҏ记忆Q但是却有很高的风险被猜出来?br />被计的Pin的好处如银行不需要记住所有的用户的PinQ但是缺点在于数据和Pin是一对一的关p,Pin不可以被修改?br />Offset derived Pin用来克服derived pin的缺点,Pin可以被修改,只需要更具修改后的Pin重新计算出Offset然后储存在卡上,Offset不需要保密,因ؓOffset不不能给黑客猜出PInM提示?/font>
]]>
]]>
ISO/IEC17799覆盖那些内容Q?
作ؓ一个通用的信息安全管理指南,ISO/IEC17799的目的ƈ不是告诉你有?怎么?的细节,它所阐述的主题是安全{略和优U的、具有普遍意义的安全操作。该标准特别声明Q它?制订一个机构自q标准时的出发?Qƈ不是说它所包含的所有方针和控制{略都是放之四v而皆准的Q也不是其它未列出的便不再要求。在q样的原则指gQ这?5늚文档要地讨论了如下的主题Q?
* 建立机构的安全策?
* 机构的安全基设施
* 资分类和控?
* 人员安全
* 物理与环境安?br />* 通讯与操作管?
* 讉K控制
* pȝ开发和l护
* 业务q箋性管?
* 遵@?
ISO/IEC17799不涉及哪些内容?
ISO/IEC17799不是一技术性的信息安全操作手册Q它讨论的主题很q泛Q如上所列。但是,它对每一内容的讨论都没有深入下厅R所以,ISO/IEC17799没有提供关于M安全主题的确定或专门的材料?
17799没有提供_的信息以帮助一个机构进行深入的信息安全查,它离认证目也还差得q。但是,作ؓ对各cM息安全主题的高别概qͼ17799昄是非常有用的Q它有助于h们在高理中理解每一cM息安全主题的基础性问题?br />需要说明,目前已经有几个国家指出,17799的某些部分与其国家法律存在着冲突Q尤其是在隐U领域?br />
ISO/IEC17799与密码、数字签名或PKI互操作性的关系是怎样的?
17799涉及C些密码的事情。但是,17799中没有包含与密码目的开发和理--比如PKI互操作?-有关的够信息?7799中谈论PKI的内容不q区区几句话?br />NIST发布?00-21《密码实施准则》现在可以免费下载,q里面包含了建立各种与密码有关的安全目时的实施准则Q可见http://csrc.nist.gov/publications/nistpubs/index.html?br />
ISO/IEC17799与BS7799的关pL样的?
BS7799是英国标准学会(BSIQ开发的一由两部分组成的安全理标准Q在英国政府的支持下Q它在英国得C非常q泛的应用。BS7799的两部分如下Q?br />* 7799-1Q第一部分Q:《信息安全管理操作规则》。它不是一个机构的信息安全理目的规?-q种规范UCؓ"信息安全理pȝQISMSQ?Q而且Q到目前为止Q?799-1q不能用于认证的目的。请注意QISO/IEC17799的当前版本(不久它就会出新版本)是完全基于BS7799-1的?br />* 7799-2Q第二部分)Q《信息安全管理系l规范》。该部分是安全控制的"核对?QchecklistQ。英国方面认为,BS7799-2是ISMSQ可以用于认证的依据?799-2与ISO/IEC17799没有直接联系?br />BSI?000q初BS7799-1交给了ISO/IEC JTC1Q国际标准化l织和国际电工委员会的联合技术委员会Q,以供各成员国对其投票表决。根据ISO的规定,JTC1的永久成员或与JTC1有Ac联pȝl织Q都可以来自Q何地方的已有标准直接提交lISO/IEC JTC1Q不用作M修改Q作为国际草案标准(DISQ接受投。需要注明的是,BS7799的内Ҏ在几q前曾l以非正式方式交l过ISO/IEC JTC1Q但在投时遭到了否冟뀂这一ơ提交的版本是修改过的?br />
ISO/IEC17799与ISO/IEC15408Q即CCQ《IT安全评估公共准则》)的关pL怎样的?
单地_q两个标准之间没有Q何紧密联p,它们没有相同或类似的主题?ISO/IEC15408旨在支持产品Q最l是指已l在pȝ中安装了的品,虽然目前指的是一般品)中IT安全特征的技术性评估。ISO/IEC15408标准q有一个重要作用,卛_可以用于描述用户对安全性的技术需求?
ISO/IEC17799则不同,它不是一技术标准,而是理标准。它处理的是对ITpȝ中非技术内容的查。这些内容与人员、流E、物理安全以及一般意义上的安全管理有兟?br />一般说来,l过ISO/IEC15408评估的IT安全产品有助于确保一个机构安全项目的成功Q这些IT产品的用能够极大地减少机构所面的安全风险。如有兴知道一个机构如何用ISO/IEC15408来迎接安全挑战,可以参考NIST 800-23《联邦机构安全保障和采购指南/使用可信或经评估的品指南》,该文献可以见于:http://csrc.nist.gov/publications/nistpubs/index.html?
ISO/IEC17799有没有第二部分,像BS7799一P
BSI没有提交BS7799-2Q可能的原因会在后面的问题回{中有所暗示。目前没有迹象表明BSI是否会在来提交W二部分。ISO/IEC JTC1q没有计划去制定ISO/IEC17799-2。ISO有没有类gISO9000q程质量认证目的ISO/IEC17799pȝ安全认证目QISO/IEC17799是一U操作规则,或称之ؓ信息安全理斚wQ它没有辑ֈ必要的详l别,无法支持q种认证。正如上面说qͼ没有划去制定ISO/IEC17799-2Q去Z个机构的信息安全理目提供_详细的参照规范。在cM于ISO/IEC17799-2的标准被ISO/IEC JTC1接受以前Q不可能?官方"的ISO/IEC17799认证目。当ӞZ可以去选择BS7799-2Q与ISO/IEC17799一起非正式使用Q更切地说Q是与BS7799-1一起用)Q以完成某种形式的系l安?认证"Q但q不能等同于ISO认证。要着重指出,到目前ؓ止,已知的正式认可的认证Ҏ是根?799-2实施的,而不是根据ISO/IEC17799?br />围绕ISO/IEC17799被国际标准化l织的采UE,Z对它?不正常现?存在哪些争议Q?
ISO/IEC17799是在很多国家的反对声中被采纳的。ISO/IEC JTC1 SC27Q联合技术委员会下的W?7分委员会QIT安全技术组Q内安全标准化工作的很多U极参与国对2000q夏季的DISQ国际草案标准)投票议论ULQ由"不正常现?引发的争议包括:对于q到选票的接受、把明显的反对票Cؓ赞成、对DIS投票ҎQ该Ҏ要求开会考虑投票中提交的大量技术评论)的拒l、投结束后ISO/IEC JTC1标准׃不正常的速度q速发布……。成员国中,德国、法国、加拿大已经p些不正常现象向ISO/IEC权力机关提出了抗议。加拿大最q提Z17799内容中的28?~陷报告"。美国也曾考虑提出cM的抗议,但最l没有行动,但他支持其他国家的抗议?
分别是哪些成员国投了DIS 17799的赞成票和反对票Q?
英国昄要投赞成。他的支持者有澛_利亚、新西兰、巴西以及其?4个成员国。反对国则包括比利时、加拿大、法国、d国、意大利、日本以及美国。有一个特点值得注意Q?大经强国中Q除了英国,其他6个国家反寚w过DIS 17799?
国对ISO/IEC17799的态度如何Q?
国?000q?月提交的DIS 17799意见中,反对其成为ISO/IEC17799。JTC1以及SC27Q第27分委会)的美国技术顾问组QTAGQ中的大多数成员可以说代表了国工业界,虽然国政府的官方立未表达过Q但来自商业部(通过NISTQ和国防部(通过DISA--国防信息pȝ局Q的国技术顾问组成员们支持美国代表的立场。现在,国强烈希望对这文档早做大的修改,q希望能正确考虑2000q夏Z提出的那些持反对立场的技术评论?
Z么美国反对ISO/IEC17799Q?
下面?000q?月美国代表对17799提出的评Z的主要观点:
1.当前Q尚未看到有Mq切需要得必d一个计机安全"操作规则"q样一个难以量化的领域中制定国际标准?操作规则"所涉及的领域最好交由方针文档来处理Q比如现有的"ISO13335《IT安全理斚w》(GMITSQ?pd?
2.虽然DIS 17799作ؓ自我评估和改良工h是很有h值的Q但它不能成ZU标准,因ؓ它不包含技术标准所必需的测量精度?
3.虽然DIS 17799看v来是一不错的文档Q它描述了一U有用的安全ҎQ但q不能看出它比其它的"操作规则"--cM?操作规则"很多Q某些也已经是ISO的文档(其它很多则被q泛接受为安全管理文档,包括NIST发布的安全管理文档)--在技术上有何更加合理之处Q或更适于提供安全理的普遍方针?
4. 很多其它安全理文档中列出的大量有用的安全管理信息却没有包含在DIS 17799之中Q所以如果DIS 17799能成为国际标准的话,它无疑是不全面的Q这U不全面已到了人无法接受的地步?
5.17799试图成ؓ国际标准的评审时间太短,不以全面分析其不。与此对照的是,同样也是讨论安全理的ISO13335:《IT安全理斚w》系列(W一至第五部分)Q已l在国际C会中开发了很多q_光l历了相当多的讨论和评估?
NIST对ISO/IEC17799持什么立场?
NIST一直支持美国代表以前以及现在的立场QJTC1以及SC27的美国技术顾问组中的相当多数国政府及工业界人士也支持美国代表的立场?
除了上述的保留意见外Q美国代表还觉得ISO/IEC17799太贵了。相反,NIST一直在开发大量非常有用的文档Q这些文档能够有效支持一个机构的信息安全目Q但它们是免费的?
NIST的哪些文档可以用于替代ISO/IEC17799Q?
NIST|站上有各类非常有用的安全文档,可见于:
http://csrc.nist.gov/publications/nistpubs/index.html?
国代表认ؓQ在NIST的SP 800pdQSpecial Publication 800-seriesQ中Q下列文档对一个机构的信息安全理意义很大Q?
* SP 800-12Q《计机安全手册》(Computer Security HandbookQ?
* SP 800-14Q《公认[安全]原则和操作》(Generally Accepted [Security] Principles & PracticesQ?
* SP 800-18Q《安全计划开发指南》,QGuide for Developing Security PlansQ?
SP 800pd中,q有些文档也会对信息安全理有帮助:
* SP 800-23Q《联邦机构安全保障和采购指南/使用可信或经评估的品指南》,QGuide to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated ProductsQ?
* SP 800-26Q《ITpȝ自我评估指南》,QSelf-Assessment Guide for IT
SystemsQ?
q有哪些ISO/IEC文档可以替代ISO/IEC17799Q?
ISO/IEC13335《IT安全理斚w》(GMITSQ系列用处非常大Q可以作为替代?3335?个部分组成,分别如下Q?
* ISO/IEC13335-1:1996《IT安全的概念与模型?
* ISO/IEC13335-2:1997《IT安全理和计划制定?
* ISO/IEC13335-3:1998《IT安全理技术?
* ISO/IEC13335-4:2000《安全措施的选择?
* ISO/IEC13335-5Q目前尚未正式公布)《网l安全管理方针?
q些文档中,某些正在更新Q关于更新的信息可以见于Qhttp://www.ncits.org/tc_home/t4htm/index.htm?
作ؓ国际标准QISO/IEC17799目前的情冉|样Q?
虽然很多国家ISO/IEC17799视ؓ合法的国际标准,但也有些国家持不同意见。上面所谈到的那些技术或处理E序斚w的抱怨还没有被ISO/IEC的权力机兛_分考虑。因此,在当前的情况下,?7799的看法尚未出C致?
ISO/IEC JTC1正在对一个得到强有力支持的提议进行投,该提议希望考虑以前的那些持反对立场的技术性意见,立即开始对17799q行修改。这份提议包括:
* hW?7分委会(SC27Q秘书处在成员国之间发v一ơ投信Qletter ballotQ活动,以征求各成员国对早修订17799的支持意见?
* 保当改?7799Ӟ能够认真考虑加拿大提出的~陷报告以及其他成员国代表的评论?
* 要求W?7分委会秘书处发布l稿号召QcallQ,以及对编辑的提名号召Q即SC27发布号召来征?7799改版后的文稿以及号召相关斚w对编辑进行提名)?
也许Q只有这一U办法才能够qxZ?7799的争论。值得人兴奋的是,ISO/IEC JTC1 SC27的成员最q批准由来自德国的Oliver Weisman担Q提交?7799修订计划的代ȝQƈ且还在未来通过开攄方式选择一名正式的ȝ?
ȝ来说NIST发布?7799 FAQ为我们更深入C?7799而提供了宝贵的资料,重要的是Q它阐述了几个权威机构对信息安全理标准的看?-其是对于这cȝ理标准的本质的认识。安全标准的制定是在几个不从层次上展开?-产品、系l、管理等。到目前为止Qh们对产品标准的争议一般是围绕具体的测评指标和所参照的评Cp(TCSEC和CCQ而展开Q但对由不同产品有机l合而成的信息系l的安全标准以及信息安全的管理标准的争议的重点还在方法学上,而且Q这些争论在短时间内不会有定的结果,待研I的内容q很多。如果不考虑政治或集团利益因素的话,所有的q些争论和研I工作无疑将大大促进信息安全的发展?
Ҏ英国斚w发布的资料,?999q被调查?000家公怸Q有过50%的公司已l准备或正在采纳BS7799Q超q?0%的公司对BS7799在促q商业信息安全、徏立信息安全框架方面的作用׃不疑。但BS7799/ISO17799在其他国家中昄没有受到q样热烈的欢q。原因是很容易从上文看出的。而我们的很多单位却在盲目地摘?799/17799,一些媒体甚x大力报道我国"成ؓl英国、瑞怹后,W三个用BS7799标准q行信息安全理体系认证的国Ӟ从而中国的信息安全管理和认证工作Q跨入了世界前列"。跨入世界前列是我们希望实现的,但这U跨入却没有丝毫必要L沾自喜。也许,对国际信息安全发展Ş成全面的认识、踏t实实做好基性理论研IӞ形成我们自己的看法,拿出我们自己的东西,才是我们更应该做的?img src ="http://www.tkk7.com/jiangmin/aggbug/63465.html" width = "1" height = "1" />
]]>
?林祖?/b>
|
BS7799/ISO17799目前是徏立信息安全体pd认的国际标准Q内Ҏ及信息安全技术、管理和法律问题。依据BS7799/ISO17799的实施原则,企业可以、分析和降低信息安全风险。该标准涉及内容颇多Q本文约误业内的专Ӟ提纲挈领地阐qC该国际标准的具体实施步骤Q以帮助企业信息安全理人员建立有效的信息安全管理机制? 1 实施ISO17799前的准备工作 q是成功建立信息安全理体系的关键,主要包括以下的内宏V? Q?Q企业主要管理h员参? 目实施的成功需要企业主要管理h员对信息安全理体系框架及功能的认、审批,没有主要理人员的参与,目的运作可能会遇到困难q可能被无限地g期,主要理人员包括企业的各个层面:q营、技术、预等人员? Q?Q成立项目管理委员会 委员会中必须有企业的主要理人员Q实施的目l理必须来自企业的不同管理部门? 目l理通常是企业负责运营的人ƈ且能把项目放在优先位|上Q他必须熟悉实施程q能把握实施的有效性。在一些大型企业里Q首席信息安全官应该担当q个职位? 
? 与项目有关的其他委员会和组 与项目有关的其他委员会和组在图1中说明? 在大多数情况下,ISO17799标准在一个企业内部的实施需要企业内各个理部门的介入,?列出了ISO17799在实施过E中涉及的企业管理部门?  2 定义信息安全理体系QISMSQ?/b> 当项目管理委员会成立后,必须立企业基本情况定义信息安全理体系框架。安全的范围扩展到整个企业,信息安全理体系必须在企业管理的控制之下。如果企业不能控制信息安全管理体p,信息安全理体系׃能有效发挥作用? Q?Q定义ISMS Z能更好更准确地定义企业的ISMSQ首先要清晰地定义以下内宏V? ?目标Q徏立ISMS是ؓ了考核企业W合ISO17799标准或企业希望获得BS7799-2审核认证Q? ?范围Q定义徏立ISMS涉及的管理部门、需要采取的措施、措施的优先U别及对部门的重要性; ?限制条gQISMS范围限制的定义依据是Q企业的特点、企业的地理位置、资产(关键数据的库存)、技术等Q? ?界面Q企业在建立ISMS时必考虑企业信息pȝ同其他系l、其他组l和外部供应者的界面。注? 在ISMS定义限制中不可能完全包括所有外界提供服务和zd的界?但在ISMS认证时必考虑Qƈ应该是企业信息安全风险评估的一部分Q例如,向合作方׃n计算机、通信pȝ{设? ?依赖关系QISMS必须遵@特定的安全需求,q些需求可能是法律斚w的或是商业方面的Q例如:国际ȝl织必须遵@HIPPAQ中国必遵循公安部{保护制度Q? ?例外情况QQ何被SGSI定义的要素或域(|络的一部分或管理单元)Q如果没有进行过安全试或被安全{略覆盖Q必MZ外说明; ?l织内容Qؓ满特定目标在企业环境中实施的加强措施,例如Q从企业外部讉K内部资源需要采用特D的安全措施? Q?Q获得企业内已经存在的文档资? Z评估已经实施的安全措施,查已l存在的文档资料是非常必要的。例如:ISO9000质量理手册、ISO14001环境理手册和信息安全策略手册等。涉及到ISMS定义的每个部门的理人员必须列出在他们部门内与数据安全相关的文档资料库清单? 可能涉及的资料有Q? ?安全{略文档资料Q? ?{略制定相关的标准和审批手箋Q管理和技术方面)Q? ?风险评估报告Q? ?风险处置计划Q? ?目前ISMS中存在的信息安全控制和管理方面的说明文档Q例如:审计日志、审计跟t记录、计机安全事g报告{等? 3 风险评估 Q?Q?Z么要q行风险评估Q? 无论企业的大和cdQ对所有企业来_脆弱点的存在都将威胁企业信息的保密性、完整性和可用性。保护措施采取得及Ӟ安全变得越有效和廉仗ؓ了更Ҏ定义和选择安全控制措施Q以便更好地理企业人力和胦务资源,必须识别目前企业存在的威胁? Q?Q初期检? 首先应该ҎISO17799需求的控制炏V过E和E序对企业信息安全管理框架状态做一ơ评估。另外必L高企业对安全标准和实践(如从每个安全问题的分析中学习Q的认识。在ISMS实施前要做调查,而且在实施后也要做调查,目的在于查原来的漏洞是否弥补Q检查改q的E度。需要生一个ISO17799W合情况报告? Q?Q资产定义和评估 信息安全风险评估的初期过E是对企业敏感和关键数据的定义。企业必d指导业务q营、胦务运营和相关市场战略的信息等建立信息库,Ҏ信息和其重要{做相应的处理Q保密、内部用、公开{等Q? Q?Q定义和评估环境资 因ؓ数据是一个无形资产,它必M有Ş的Ş式来掌握、处理、存储、打印、披露和通信。因此,企业的无形资产需要针对CIALQ保密性、完整性、可用性、合法性)q行定义和hD明。例如:在硬盘中存储的胦务数据具有高保密性要求、中{完整性要求和中等可用性要求? 可根据以下内容进行分c:建筑和设备、文档资料、Y件、计机讑֤、h力资源和服务? Q?Q定义和评估威胁和脆弱? 脆弱性可能被威胁利用Ҏ据生负面媄响(如数据信息披霌Ӏ腐蚀、毁坏、法律纠ULQ。对企业面的商业约束、地域的法律U束、环境约束都必须作出明确定义? 4 处置风险 当风险已l定义后Q必d定如何管理这些风险。下面的内容可以描述如何理风险Q初始的安全{略Q保障需求的{Q风险评估结果;存在的商业、法律和理规定U束? Q?Q通常有四U风险处|的Ҏ ?降低风险Q实施控制措施将风险降低到可接受的等U; ?接受风险Q计出风险值ƈ知道如何承担风险的后果; ?回避风险Q忽略风险不是正的解决办法.然而风险可以通过资产移出风险区域而避免风险发生或完全攑ּ可能产生安全q的商业活动来回避风险Q? ?转移风险Q通过购买、保险或外包来{U风险? Q?Q选择控制? 在大多数情况下,必须选择控制w低风险? 在完成风险评C后,企业需要在每一个目标信息环境中Q对选择的控刉q行实施Q以侉K从ISO17799标准。企业选择能够承受Q经上Q防护措施来防护面的威胁。在最l风险处|计划出来前Q企业可以接受或拒绝的保护方案? Q?Q风险处|计? 风险处置计划包含所有相关信息:理d和职责、管理责Mh、风险管理的优先{{等? 对企业来Ԍ有一些附加控制在标准中没有描qͼ但也是需要的。一个由外部咨询N协助的风险评C很有帮助? Q?Q控刉的实? 现在可以开始实施风险处|计划了。企业应该尽其所能在理、技术、逻辑、物理和环境控制斚wq行劝止、防护、检、纠正、恢复和补偿工作。如?所C?  Q?Q控制措施及其定义的原则 ?劝止Q降低威胁的可能性; ?防止Q保护或降低资的脆弱性; ?U正Q降低风险和影响的损失; ?:攻d安全的脆弱性,针对d建立防护和纠正措施; ?恢复Q恢复资源和能力Q? ?补偿Q对控制措施的替代方案? 应该咨询信息安全专家和法律专Ӟ保控制措施的选择和实施是正确的? 5 培训和提高意?/b> 信在ISMS中的企业员工有能力ƈ能保证质量地完成他们的Q务。在q种情况下企业要Q? ?明确在企业中涉及信息安全工作的h员需要掌握的技术; ?提供适当的培训,如果必要可以雇䄦有经验能够胜d作的员工Q? ?评估培训和培训后工作的有效性; ?l护每个员工的教肌Ӏ培训情况,掌握他们的能力、经验和资格? 企业必须信在ISMS中的相关人员知道辑ֈISMS目标的方法ƈ知道他们所做的相关信息安全zd的重要性? 开发一个企业内部的信息安全培训计划Q教育企业内部员工是很重要的? 企业员工是抵制信息安全R害的最廉h的代表。通常Q他们首先受C息安全事件媄响,能够防止和降低安全事件发生时产生的媄响。安全控制中人员因素是非帔R要的Q其中可以说员工对安全意识的理解其重要。认识和报告可能产生安全事故的事件应该成为员工的本能Q这也必L为安全意识培训的目标。员工每时每ȝ信息安全意识必将是企业信息资产的最好保护伞? Q?Q?在开始信息安全意识培训前 要理解提高信息安全意识、培训和教育三者之间的不同Q如?所C?  Q?Q在提高信息安全意识中的一些关键因? ?建立企业文化Q员工在企业环境和文化中得到z礼Q? ?明确企业ȝ的参与; ?理解员工在安全方面的重要性; ?利用企业内部的共同媒介充分利用内部h员的力量Q传l的Ҏ有企业网站、内部邮Ӟ ?挖掘现有的资源; ?建立{略、流E、表格和相关查表Q? ?定义希望的最l结果:需要撰写的文档、需要编写的手册、编写Email、组l网站内宏V定义外部网l资源、确认新老员工能够遵循规则? Q?Q在提高意识培训期间 ?定义意识培训计划的目标,目标必须W合企业发展战略。例如:让员工理解安全威胁,使员工能在行动中能力保护企业的信息pȝ? ?定义企业的目标组Q主要的、次要的Q,例如Q普通员工、技术和理; ?Ҏl定义信息的使用Q? ?了解企业l织的现Ӟ ?详细描述计划中要采取的行动; ?文档资料的分? ?{略、标准和程必须电子? ?如果可能Z息安全部门设计一个LOGOQ这样可以很快地定部门的性质Q; ?培训通常内容为:风险、基本原则(介绍、CIA概念、好习惯{)、开发、特D信息、演C、处理威胁、风险和脆弱性的解决Ҏ、职责,让员工签|保密协议,按年度执行? Q?Q意识培训实施以? ?评估培训的满意度Q? ?评估培训的A献; ?认知识得到传递; ?记录和更新培训后工作中发生的变化和新的措施? 6 审计准备 Q?QISMSW合情况诊断 BS7799-2认证需要对信息安全理体系实施详细情况的符合性进行证实。完成调查表有利于搞清企业理中针对ISMS的开发、控制、检查、维护和改进是不是确实在q行。同时也验证企业理BS7799-2认证需要文档的能力和行安全需求要求的能力? Q?Q应用状? 在审计前必须ȝ目前的应用状态。这个文档提供每个ISO1779控制点的应用和不应用的情况,包括在哪里应用及每个控制点的实施状态? 针对控制目标选择、控制点选择和控制地点的选择理由作出短的解释Q包括在ISO17799标准中列出的但被企业拒绝实施的控制措施的理由? 7 审计——BS7799-2认证 BS7799-2的认证目前是完全自愿的。企业如果成功完成BS7799-2认证说明它们具备理信息安全的能力,能够保企业的信息安全;而且Q这个企业更Ҏ扑ֈ合作伙伴和投资h。BS7799-2认证的信誉已l是一个公认的事实Q通过认证的企业能够通过信息安全控制措施保企业信息的安全和保密? 认证机构对企业的ISMS认证不少于两个阶D,除非有可以理解的Ҏ说明Q如对一个很的l织的认证)Q认证审计有两个部分? (1) 文档资料审计 文档资料审计的一个目标是能够让认证机构认识到l织在徏立ISMS内容斚w的情况包括安全策略、安全目标、风险管理的Ҏ。同时也可以作ؓ下一ơ审计的参照点ƈ说明企业针对审计所开展准备的情况? 文档资料审计包括文档资料查,q些工作必须在控制实施审计前完成。审计认证机构必dISMS设计和实施相x档资料做全面的检查,包括Q安全策略状态、ISMS的范围定义、ISMS的所有流E和控制支持、风险评估报告、风险处|计划、有关信息安全处理的计划q营和有效控制的程、ISMS一致和有效q营的确认记录、应用的状态? 文档资料审计l果必须形成报告。报告可以帮助确定什么时候进行下一阶段审计。同时也被用于选择下一步审计小l的成员Q这些h掌握技术,能处理ISMS中的Ҏ情况。在q入到审计的下一个阶D|Q认证机构需要通知在控制实施审计阶D需要的Ҏ文档资料、信息和报告? Q?Q控制实施审? 控制实施审计依据文档资料审计报告的结行。认证机构根据文档资料审计结论制定审计计划,然后方能开始控制实施审计。审计的地点是企业ISMS实施的地炏V? 审计包括Q? ?认企业对自己制定安全策略、目标和程的遵循情况; ?认企业ISMS针对BS7799-2要求的符合情况和企业自己制定{略目标的达到情况(查企业有一个处理系l能满BS7799 clauses4-7的要求)QISMS的符合性诊断可以利用Callio 17799工具来完成; ?信息安全相关风险的评估和ISMS的设计结果,包括Q风险评估方法、风险定义、风险评估、风险处|、控制目标和风险处置控制的选择、应用状态的准备Q? ?查目标和目标处理的结果; ?Ҏ目标和预定的l果q行监控、测试、报告和查? Q?Q审计者的报告 认证机构希望公布审计l果的报告和程可以多样化。包括可以在审计会议上以书面的或口头的Ş式,在最后审计结束时l出正式的书面报告,报告描述企业是否W合BS7799-2需求? 企业被邀请参与审计报告注释的~写Q需要描qC们将要采取的U正计划Q列出在审计期间需要遵循的标准。如果需要重新评?认证机构必须正式通知企业? Q?Q认证决{? 认证决策必须p证机构最后给出。决{的依据是审计过E中攉到的信息和其他相关的信息。参与者的意见不能作ؓ认证决策的意见? 认证企业最l从认证机构那里获得BS7799-2证书。证书中的信息包括认证的范围、认证的有效日期、应用状态的版本说明和认证机构名U、LOGO和认证标志? Q?Q再评估和监控流E? 认证机构必须对ISMS认证企业q行周期性的监控审计Q频率由认证机构把握Q通常情况下每六个月做一ơ,q样的监控和审计的目的是验证企业能够持箋地符合认证要求和BS7799-2标准? ISMS本n的再评估每三q执行一ơ。因此,企业臛_三年要做一ơBS7799-2认证? 8 控制持箋改善 无论你是否获得BS7799-2认证Q最重要的是正式通过ISMS的实施管理体pL善信息安全。检查更新需要定期执行,因ؓ安全是在随时发生变化的。例如:q期的防病毒软g是没有什么用处的? Q?QPDCA理模式 BS7799-2标准适合Plan-do-Check-Act模式Q这样便能同其他ISO标准一_如ISO9001和ISO14001? q种模式循环的风险管理和持箋改善所带来的成。如?所C? 
? PDCA模型 ?是PDCA模型四个阶段的陈q? 
? PDCA模型?个阶D解?/center> Q?Q持l的改进 在这一点上Q启动两个@环步骤:监控和改qISMS? ?实施监控E序和其他控Ӟ允许Q快速检处理结果中的错误;Ҏ安全规则快速定义不W合情况Qƈ能及时报告安全事Ӟ认所有的安全d无论是个人承担的q是有信息技术部门实施的都在按照计划q行Q根据企业确定优先别和安全规则Q定义不W合情况需要采取的行动? ?Z审计l果、安全事件、关注方提出的徏议和意见指导周期性的有效ISMS查(包括安全目标、安全策略和安全措施Q? ?查剩余风险和接受风险的等U,q考虑它们发生的变化:l织机构的变化;技术的变化Q业务目标和程的变化;外部事g变化Q例如法律、法规和公共观念{? ?考核ISMS理规则Q至一q一ơ)Q确认ISMS的范围是合适的q有改进意见。ISMS理查的更多信息? ?对可能媄响ISMS有效性和执行的活动和事g的关注? l护和改qISMSQ确定ISMSq营是持l不断的Q企业必: ?实施定义的改q; ?采取必要的纠正和防护措施Q从企业q去的安全经验或其他l验中学习,攉更多的ISMS改进信息Q? ?在协议范围内分nl果Q? ?保针对目标的改q在计划中? Q?QISMS理? 通则Q从理的角度讲必须定期查ISMS以便保充分、能力和有效。检查必Mؓ目标和策略变化的改进和评估创造机会。检查的l果必须是文档化的,有记录ƈ妥善保管? 查的输入Q? ?ISMS审计和检查结果; ?xҎ供的׃n信息Q? ?改善ISMS执行和效率的技术、品和程信息Q? ?防护和纠正措施的状态; ?前期风险评估没有x的威胁和漏洞Q? ?前期理查的后箋zdQ? ?影响ISMS的修改; ?改进? 查的输出Q? ?ISMS的有效改q工? ?影响ISMS的内部和外部事gQ如Q业务需求的变化、安全需求变化、媄响目前业务需求的业务程变化、法律和理环境变化、风险别和/或风险接受别的变化Q? ?资源的需求变化? Q?Q内部ISMS审计 企业必须定期实施ISMS内部审计Q时间应该根据控制目标、控刉、流E和手箋来确定? Q?Q持l改q? 企业通过信息安全{略的落实、安全目标实现、审计结果利用、监控事件的分析、管理检查的安全防范和纠正活动,保持箋改进ISMS的有效性? Q?Q纠正活? 企业要采取行动消除实施和q营q程中的不符合结果,防止再次发生错误。纠正措施必d括下面信息: ?定义实施和运营中的不W合部分Q? ?定义不符合的原因Q? ?定消除重新发生需要采取的行动Q? ?定义和实施需要采取的U正措施? Q?Q防护措? 企业必须Ҏ来可能发生的不符合情况采取措施ƈ防止再次发生。防护措施对潜在的不W合影响是合适的。防护措施的程应该包括如下信息Q? ?定义潜在的不W合情况及原因; ?定义和实施需要的防护措施Q? ?获得U正措施的结果; ?查防护措施; ?风险发展的定义和描述控制风险的步骤? Q?Q记录控? 记录的创建和保存是企业符合ISMS需求和有效q营的证据。记录需要控Ӟ必须考虑相关的法律。记录必L合法的、可辨别的和可访问的。控刉要明定义,存储、保护、访问、保存时间和记录攄必须文档化。必d记录的范围和需求做理规定? 程处理和相兛_全事仉要记录,如:讉K者的{记录、审计报告、访问授权请求,{等? Q本文作者ؓ北京思源新创信息安全资讯有限公司信息安全高咨询专家Q? Q计机世界?2005q?9?5?W?4?D8、D9、D10Q?/p> |
]]>