BS7799-1:1999《信息安全管理實施細則》內容介紹
發布時間:2025-04-22 點擊:50
BS7799-1:1999《信息安全管理實施細則》內容介紹
BS7799-1:1999(ISO/IEC1799:2000)標準在正文前設立了“前言”和“介紹”,其“介紹”中“對什么是信息安全?為什么需要信息安全?如何確定安全需要?評估安全風險?選擇控制措施?信息安全起點?關鍵的成功因素?制定自己的準則”等內容作了說明,BS7799標準中介紹,信息安全(Information security)是指信息的保密性(Confidentiality)?完整性(Integrity)和可用性(Availability)的保持?
BS7799保密性定義為保障信息僅僅為那些被授權使用的人獲取?
BS7799完整性定義為保護信息及其處理方法的準確性和完整性?
BS7799可用性定義為保障授權使用人在需要時可以獲取信息和使用相關的資產?
BS7799標準對“為什么需要信息安全”時介紹,信息?信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產?信息的保密性?完整性和可用性對保持競爭優勢?資金流動?效益?法律符合性和商業形象都是至關重要的?然而,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙?間諜?蓄意破壞?火災?水災等大范圍的安全威脅,諸如計算機病毒?計算機入侵?DOS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺?組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度?許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持?
BS7799標準的正文規定了127個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制?這127個控制措施被分成10個方面,成為組織實施信息安全管理的實用指南,這十個方面分別是:
(1)安全方針:制定信息安全方針,為信息安全提供管理指導和支持?
(2)組織安全:建立信息安全基礎設施,來管理組織范圍內的信息安全;
維持被第三方所訪問的組織的信息處理設施和信息資產的安全,以及當信息處理外包給其他組織時,維護信息的安全?
(3)資產的分類與控制:核查所有信息資產,以維護組織資產的適當保護,并做好信息分類,確保信息資產受到適當程度的保護?
(4)人員安全:注意工作職責定義和人力資源中的安全,以減少人為差錯?盜竊?欺詐或誤用設施的風險;做好用戶培訓,確保用戶知道信息安全威脅和事務,并準備好在其正常工作過程中支持組織的安全政策;制定對安全事故和故障的響應流程,使安全事故和故障的損害減到最小,并監視事故和從事故中學習?
(5)物理和環境的安全:定義安全區域,以避免對業務辦公場所和信息的未授權訪問?損壞和干擾;保護設備的安全,防止信息資產的丟失?損壞或泄露和業務活動的中斷;同時還要做好一般控制,以防止信息和信息處理設施的泄露或盜竊?
(6)通信和操作管理:制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統故障的風險減低到最小;防范惡意軟件,保護軟件和信息的完整性;建立內務規程,以維護信息處理和通信服務的完整性和可用性;確保信息在網絡中的安全,以及保護其支持基礎設施;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失?修改或誤用?
(7)訪問控制:制定訪問控制的業務要求,以控制對信息的訪問;建立全面的用戶訪問管理,避免信息系統的未授權訪問;讓用戶了解他對維護有效訪問控制的職責,防止未授權用戶的訪問;對網絡訪問加以控制,保護網絡服務;建立操作系統級的訪問控制,防止對計算機的未授權訪問;建立應用訪問控制,防止未授權用戶訪問保存在信息系統中的信息;監視系統訪問和使用,檢測未授權的活動;當使用移動計算和遠程工作時,也要確保信息安全?
(8)系統開發和維護:標識系統的安全要求,確保安全被構建在信息系統內;控制應用系統的安全,防止應用系統中用戶數據的丟失?被修改或誤用;使用密碼控制,保護信息的保密性?真實性或完整性;控制對系統文件的訪問,確保按安全方式進行IT項目和支持活動;嚴格控制開發和支持過程,維護應用系統軟件和信息的安全?
(9)業務持續性管理:目的為了減少業務活動的中斷,使關鍵業務過程免受主要故障或天災的影響?
(10)符合性:信息系統的設計?操作?使用和管理要符合法律要求,避免任何犯罪?違反民法?違背法規?規章或合約義務以及任何安全要求;定期審查安全政策和技術符合性,確保系統符合組織安全政策和標準;還要控制系統審核,使系統審核過程的效力最大化,干擾最小化?
辦理增值電信業務許可證申請流程
aeo認證咨詢公司,AEO-T認證在運輸業中的作用
企業高新技術證書到期用更換嗎
什么是ISO14064碳中和認證
中藥材如何進行gap認證?需要多少錢?
ISO9001認證周期需要多久
到哪申報ISO9001質量認證要什么條件
ISO14001: 2015理解與實施(5.2 環境方針)
BS7799-1:1999(ISO/IEC1799:2000)標準在正文前設立了“前言”和“介紹”,其“介紹”中“對什么是信息安全?為什么需要信息安全?如何確定安全需要?評估安全風險?選擇控制措施?信息安全起點?關鍵的成功因素?制定自己的準則”等內容作了說明,BS7799標準中介紹,信息安全(Information security)是指信息的保密性(Confidentiality)?完整性(Integrity)和可用性(Availability)的保持?
BS7799保密性定義為保障信息僅僅為那些被授權使用的人獲取?
BS7799完整性定義為保護信息及其處理方法的準確性和完整性?
BS7799可用性定義為保障授權使用人在需要時可以獲取信息和使用相關的資產?
BS7799標準對“為什么需要信息安全”時介紹,信息?信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產?信息的保密性?完整性和可用性對保持競爭優勢?資金流動?效益?法律符合性和商業形象都是至關重要的?然而,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙?間諜?蓄意破壞?火災?水災等大范圍的安全威脅,諸如計算機病毒?計算機入侵?DOS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺?組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度?許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持?
BS7799標準的正文規定了127個安全控制措施來幫助組織識別在運作過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制?這127個控制措施被分成10個方面,成為組織實施信息安全管理的實用指南,這十個方面分別是:
(1)安全方針:制定信息安全方針,為信息安全提供管理指導和支持?
(2)組織安全:建立信息安全基礎設施,來管理組織范圍內的信息安全;
維持被第三方所訪問的組織的信息處理設施和信息資產的安全,以及當信息處理外包給其他組織時,維護信息的安全?
(3)資產的分類與控制:核查所有信息資產,以維護組織資產的適當保護,并做好信息分類,確保信息資產受到適當程度的保護?
(4)人員安全:注意工作職責定義和人力資源中的安全,以減少人為差錯?盜竊?欺詐或誤用設施的風險;做好用戶培訓,確保用戶知道信息安全威脅和事務,并準備好在其正常工作過程中支持組織的安全政策;制定對安全事故和故障的響應流程,使安全事故和故障的損害減到最小,并監視事故和從事故中學習?
(5)物理和環境的安全:定義安全區域,以避免對業務辦公場所和信息的未授權訪問?損壞和干擾;保護設備的安全,防止信息資產的丟失?損壞或泄露和業務活動的中斷;同時還要做好一般控制,以防止信息和信息處理設施的泄露或盜竊?
(6)通信和操作管理:制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統故障的風險減低到最小;防范惡意軟件,保護軟件和信息的完整性;建立內務規程,以維護信息處理和通信服務的完整性和可用性;確保信息在網絡中的安全,以及保護其支持基礎設施;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟件在組織之間交換時丟失?修改或誤用?
(7)訪問控制:制定訪問控制的業務要求,以控制對信息的訪問;建立全面的用戶訪問管理,避免信息系統的未授權訪問;讓用戶了解他對維護有效訪問控制的職責,防止未授權用戶的訪問;對網絡訪問加以控制,保護網絡服務;建立操作系統級的訪問控制,防止對計算機的未授權訪問;建立應用訪問控制,防止未授權用戶訪問保存在信息系統中的信息;監視系統訪問和使用,檢測未授權的活動;當使用移動計算和遠程工作時,也要確保信息安全?
(8)系統開發和維護:標識系統的安全要求,確保安全被構建在信息系統內;控制應用系統的安全,防止應用系統中用戶數據的丟失?被修改或誤用;使用密碼控制,保護信息的保密性?真實性或完整性;控制對系統文件的訪問,確保按安全方式進行IT項目和支持活動;嚴格控制開發和支持過程,維護應用系統軟件和信息的安全?
(9)業務持續性管理:目的為了減少業務活動的中斷,使關鍵業務過程免受主要故障或天災的影響?
(10)符合性:信息系統的設計?操作?使用和管理要符合法律要求,避免任何犯罪?違反民法?違背法規?規章或合約義務以及任何安全要求;定期審查安全政策和技術符合性,確保系統符合組織安全政策和標準;還要控制系統審核,使系統審核過程的效力最大化,干擾最小化?
辦理增值電信業務許可證申請流程
aeo認證咨詢公司,AEO-T認證在運輸業中的作用
企業高新技術證書到期用更換嗎
什么是ISO14064碳中和認證
中藥材如何進行gap認證?需要多少錢?
ISO9001認證周期需要多久
到哪申報ISO9001質量認證要什么條件
ISO14001: 2015理解與實施(5.2 環境方針)