BS7799标准详解PPT演示课件

.,1,.,1,BS7799,小组成员：,.,2,.,2,为什么需要标准？,.,3,.,3,信息系统的广泛运用,一、电子数据处理系统单项数据处理阶段(20世纪50年代中期到60年代中期)1954年，通用电气公司利用计算机进行工资计算成为基于计算机的企业信息系统应用的开端。综合数据处理阶段(20世纪60年代中期到70年代初期)二、管理信息系统三、决策支持系统(70年代提出，80年代发展)1993年，万维网在Internet上出现，为信息系统的网络化创造了前所未有的条件。20世纪90年代以来，出现了不少信息系统方面的新概念，诸如经理信息系统（EIS）、战略信息系统（SIS）和计算机集成制造系统（CIMS）等。,.,4,.,4,没有绝对的安全,.,5,.,5,安全体系不是安全产品的简单加和,.,6,.,6,什么是BS7799？,BS7799是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准，最早始于1995年，后来几经改版，成为了目前被广泛接受的信息安全管理标准。,.,7,.,7,BS7799(1995),BS7799-1(1995公布，1999修订),BS7799-2(1998公布，1999修订),ISO/IEC17799-1:2000,ISO/IEC 27001(2005),.,8,.,8,BS 7799 的组成,.,9,.,9,BS7799-1:信息安全管理实施细则,正文前设立了“前言”和“介绍”,其“介绍”中“对什么是信息安全、为什么需要信息安全、如何确定安全需要、评估安全风险、选择控制措施、信息安全起点、关键的成功因素、制定自己的准则”等内容作了说明。该标准的正文规定了127个安全控制措施来帮助组织识别在运作过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。这127个控制措施被分成10个方面,成为组织实施信息安全管理的实用指南。,.,10,.,10,一.安全策略,1.信息安全策略目的：提供管理指导，保证信息安全。管理层应制定一个明确的安全策略方向，并通过在整个组织中发布和维护信息安全策略，表明自己对信息安全的支持和保护责任。1.1信息安全策略文档策略文档应该由管理层批准，根据情况向所有员工公布传达。文档应说明管理人员承担的义务和责任，并制定组织的管理信息安全的步骤。至少应包括以下指导原则：信息安全的定义、其总体目标及范围以及安全作为保障信息共享的机制所具有的重要性（参阅简介）；,.,11,.,11,陈述信息安全的管理意图、支持目标以及指导原则；简要说明安全策略、原则、标准以及需要遵守的各项规定。这对组织非常重要，例如:1) 符合法律和合约的要求；2) 安全教育的要求；确定信息安全管理的一般责任和具体责任，包括报告安全事故;参考支持安全策略的有关文献，例如针对特定信息系统的更为详尽的安全策略和方法以及用户应该遵守的安全规则。,.,12,.,12,1.2审查评估每个策略应该有一个负责人，他根据明确规定的审查程序对策略进行维护和审查。审查过程应该确保在发生影响最初风险评估的基础的变化（如发生重大安全事故、出现新的漏洞以及组织或技术基础结构发生变更）时，对策略进行相应的审查。还应该进行以下预定的、阶段性的审查：检查策略的有效性，通过所记录的安全事故的性质、数量以及影响反映出来；控制措施的成本及其业务效率的影响。,.,13,.,13,2.具体实施案例【信息安全策略的建设要点】：BS7799定义了安全策略是为信息安全活动提供了管理的方向以及所需的支持手段和管理层的承诺，同时安全策略还应该明确定义企业机构中安全策略的维护责任。典型的安全策略包含内容非常广泛，包括信息安全的定义和目的，以及在信息共享运转机制中安全防范的领域和重要性；管理意图的阐述，信息安全目标和原则的支持；安全策略、原则和标准的简要说明以及对机构尤其重要的规范实施条件的解释；阐述信息安全的职责；等等。【实施方法与形式】天威诚信公司结合认证机构的建设特点，结合自身业务要求及运营风险，依据认证中心不同运营控制域分别制定了六个方面的安全策略，分别是人员安全策略、物理安全策略、逻辑安全策略、通讯安全策略密钥安全策略以及安全与审计策略。在实际运营建设中，天威诚信参照BS7799建议的控制措施，对安全策略进行文档化控制，在企业范围内最大化的为广大用户及内部员工所了解和接受，并指导各种规定制度、操作程序的制定及实施，并定期进行评审和评估。,.,14,.,14,二.组织安全,1.信息安全基础设施目标：管理组织内部信息安全。应该建立管理框架，在组织内部开展和控制信息安全的管理实施。应该建立有管理领导层参加的管理论坛，以批准信息安全策略、分配安全责任并协调组织范围的安全策略实施。根据需要，应该建立专家提出信息安全建议的渠道，并供整个组织使用。建立与公司外部的安全专家的联系，保持与业界的潮流、监视标准和评估方法同步，并在处理安全事故时吸收他们的观点。应该鼓励采用跨学科跨范围的信息安全方法，例如，让管理人员、用户、行政人员、应用程序设计人员、审计人员以及安全人员和专家协同工作，让他们参与保险和风险管理的工作。,.,15,.,15,1.1管理信息安全论坛信息安全是一种由管理团队所有成员共同承担的业务责任。应该建立一个管理论坛，确保对安全措施有一个明确的方向并得到管理层的实际支持。论坛应通过合理的责任分配和有效的资源管理促进组织内部安全。该论坛可以作为目前管理机构的一个组成部分。通常，论坛有以下作用：审查和核准信息安全策略以及总体责任；当信息资产暴露受到严重威胁时，监视重大变化。,.,16,.,16,1.2信息安全协调在大型组织中，需要建立一个与组织规模相宜的跨部门管理论坛，由组织有关部门的管理代表参与，通过论坛协调信息安全控制措施的实施情况。通常，这类论坛：就整个公司的信息安全的作用和责任达成一致；就信息安全的特定方法和处理过程达成一致，如风险评估、安全分类系统；就整个公司的信息安全活动达成一致并提供支持，例如安全警报程序。,.,17,.,17,1.3信息安全责任的划分应该明确保护个人资产和执行具体安全程序步骤的责任。信息安全策略应提供在组织内分配安全任务和责任的一般指导原则。必须确定并明确说明由谁负责各种资产和与每个系统相关的安全进程。要明确以下范围。应该确定负责各个资产和安全进程的管理人员，并记录责任的具体落实情况。1.4信息处理设施的授权程序对于新的信息处理设施，应该制定管理授权程序。应考虑以下问题。新设施应获得适当的用户管理审核，授权新设施的范围和使用。应获得负责维护本地信息系统安全环境的管理人员的批准，以确保符合所有相关安全策略和要求。如果需要，应检查硬件和软件以确保它们与其它系统组件兼容。,.,18,.,18,1.5专家信息安全建议很多组织都需要专家级的信息安全建议。理想情况下，一位资深的全职信息安全顾问应该提出以下建议。信息安全顾问或其它专家应负责为信息安全的各种问题提供建议，这些意见既可以来自他们本人，也可以来自外界。组织的信息安全工作的效率如何，取决于他们对安全威胁评估的质量和建议使用的控制措施。为得到最高的效率和最好的效果，信息安全顾问可以直接与管理层联系在发生可疑的安全事故或破坏行为时，应尽早向信息安全顾问或其它专家进行咨询，以得到专家的指导或可供研究的资源。尽管多数内部安全调查是在管理层的控制下进行的，但仍然应该邀请安全顾问，倾听他们的建议，或由他们领导、实施这一调研活动。,.,19,.,19,1.6组之间的合作与执法机关、管理部门、信息服务提供商和通信运营商签署的合同应保证：在发生安全事故时，能迅速采取行动并获得建议。同样的，也应该考虑加入安全组织和业界论坛。应严格限制对安全信息的交换，以确保组织的保密信息没有传播给未经授权的人。1.7信息安全的独立审评审查工作应该由组织内部的审计职能部门、独立管理人员或专门提供此类服务的第三方组织负责执行，而且这些人员必须具备相应的技能和经验。,.,20,.,20,2.第三方访问的安全性目标：维护第三方的组织信息处理设施和信息资产的安全性。要严格控制第三方对组织的信息处理设备的使用。 如果存在对第三方访问的业务需求，必须进行风险评估，以确定所涉及的安全问题和控制要求。必须与第三方就控制措施达成一致，并在合同中规定。 第三方的访问可能涉及到其它人员。授予第三方访问权限的合约应该包括允许指定其它符合条件的人员进行访问和有关条件的规定条款。 在制定这类合约或考虑信息处理外包时，可以将本标准作为一个基础。2.1确定第三方访问的风险访问类型访问理由现场的承包商,.,21,.,21,2.2第三方合同要求第三方对组织信息处理设施的访问，应该根据包含所有必要安全要求的正式合同进行，确保符合组织的安全策略和标准，应确保组织和第三方之间对合同内容不存在任何歧义。为满足供应商，组织应首先满足自己。在合约中应考虑以下条款：信息安全的常规策略；对资产的保护。3.外包目标：在将信息处理责任外包给另一组是保障信息安全。在双方的合同中，外包协议应阐明信息系统、网络和/或桌面环境中存在的风险、安全控制措施以及方法步骤。,.,22,.,22,4.具体实施案例【安全组织的建设要点】：安全组织包含三个控制目标：企业信息基础架构、第三方访问安全以及外包。安全组织要求定义企业机构内部与信息安全有关的组织和协作，如何落实安全责任，与安全有关的授权过程，同时，要求管理者能够识别第三方合作和外包过程中的风险，并通过相关的合同控制安全风险。【实施方法】：天威诚信设定了专职安全组织安全管理部，并任命该部门的负责人安全经理来负责及协调与安全相关的所有活动。另外，考虑到责任范围及知识域全面性，天威诚信还组织高层安全管理小组以及跨部门安全小组这两个非常设性的行政组织来实现不同信息安全管理的控制需要。在实际运行管理中，天威诚信参照BS7799建议的控制措施对于三个控制目标进行多方面的管理控制：定期、不定期的组织信息安全专题会议来改进、批准企业内部各种安全计划，监视、评审企业内部信息安全活动及涉及信息安全的业务流程的执行，讨论、消除安全事件给企业带来的安全风险等等。,.,23,.,23,进行全员化企业安全文化的建设，将安全责任落实到各业务部门、各负责人身上，例如信息维护人员必须熟知逻辑安全策略的要求，并切实将逻辑安全策略落实到具体业务工作中。组织跨部门安全小组会议，进行各种信息安全活动的交流。必要时聘请外部专家给与信息安全管理工作指导性的建议及意见。采用合理技术手段及管理措施来控制第三方对公司物理及逻辑方面的访问，并采用不同形式与第三方进行保密要求的约定。对于外包，在进行外包活动前，天威诚信会组织专业人员进行严格的考察、讨论，满足认证中心的安全条件是外包活动的必要条件，另外在实施外包活动中，天威诚信会依据外包合同进行各种必要的审计工作。,.,24,.,24,三.资产分类管理,1.资产责任目标：对组织资产进行适当的保护。所有主要的信息资产应进行登记，并指定资产的所有人。 确定资产的责任帮助确保能够提供适当的保护。 应确定所有主要资产的所有者，并分配维护该资产的责任。可以委托负责实施控制措施的责任。资产的责任由资产的指定所有责负责。1.1资产目录资产清单能帮助您确保对资产实施有效的保护，也可以用于其它商业目的，如保健、金融保险等（资产评估）。编辑资产清单的过程是资产评估的一个重要方面。组织应确定其资产及其相对价值和重要性。利用以上信息，组织可以根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。,.,25,.,25,2.信息分类目标：保证信息资产得到适当的保护。应该对信息分类，指明其需要、优先顺序和保护级别。信息的敏感程度和关键程度各不相同。有些信息需要加强保护或进行特别对待。可以使用信息分类系统定义合适的保护级别，并解释对特别处理手段的需要。2.1分类原则在对信息进行分类并制定相关的保护性控制措施时，应该考虑以下问题：对共享信息或限制信息共享的业务需求，以及与这种需求相关的业务影响，如对信息未经授权的访问或损害。2.2信息标识处理根据组织采用的分类方法，明确标记和处理信息的妥善步骤，是非常重要的。这些步骤应包括实际存在的信息和电子形式的信息的标记和处理步骤。,.,26,.,26,3.具体实施案例【资产分类及控制的建设要点】：资产分类及控制包括两个控制目标：资产责任和信息分类。资产责任要求建立起翔实、全面的资产目录；而信息分类则要求建立企业的信息分类原则，通过信息标准和相关处理来确保信息资产能够得到适当等级的保护。【实施方法与形式】：天威诚信作为专业的认证中心，除了针对资产的价值进行相应保护外，针对可提供各种不同功能、服务的设备、设施对其重要性也进行了判断分类，并配合物理方面安全保护措施，对各种资产进行了分区域的保护。如：对与密钥生成有关的服务器要设定四个层级以上的物理保护，还要提供UPS电源、恒温恒湿等物理条件。另外，对于文件、信息资料等，天威诚信进行四个保密等级（机密、秘密、敏感、公开四个等级）的标示及管理控制。对于内部信息的传输，天威诚信更是利用自身的技术、管理优势进行了证书管理机制。,.,27,.,27,四.人员安全,1.责任定义与资源管理的安全性目标：降低设施误操作、偷窃、诈骗或滥用等方面的人为风险。在招聘阶段，就应该说明安全责任，将其写入合同，并在雇用期间进行监督。 特别是对于从事敏感工作的员工更是如此。所有员工和使用信息处理设施的第三方用户都应签署保密（不公开）协议。1.1考虑工作中的安全因素在组织的信息安全策略中应该阐明安全任务和职责，并进行备案。还应包括实施和维护安全策略的总体责任，以及保护特殊资产、执行特殊特别安全程序或活动的责任。1.2人员选拔安全在考虑就业申请时应该对固定员工进行审查。,.,28,.,28,1.3保密协议签署保密协议的目的是提醒签约人注意，这些信息是保密的。员工应该签定保密协议并将其作为初步雇佣的条款和条件。1.4雇佣条例和条件雇佣条款和条件应该规定员工的信息安全责任。如有需要，该责任在结束雇用关系后的一段特定的时间内仍然有效。条款中还应该包括如果雇员无视安全要求，那么可对其采取措施。2.用户培训目标：保证用户了解信息安全存在的威胁和问题，在正常工作中切实遵守组织安全策略。 应对用户进行安全步骤和正确使用信息处理设备的培训，将可能的安全风险降到最低。,.,29,.,29,3.对安全事故和故障的处理目标：最大限度降低由于事故和故障而遭受的损失，对此类事故进行监控并吸取教训。将影响安全的事故通过适当的管理渠道尽快汇报。3.1安全事故报告将影响安全的事故通过适当的管理渠道尽快汇报。3.2安全漏洞报告和软件故障报告应该要求信息服务用户在发现或怀疑系统或服务出现安全漏洞或受到威胁时，立即进行记录并汇报，应建立报告软件故障的程序步骤。,.,30,.,30,3.4纪律检查程序应该建立正式的处分流程，处罚那些违反组织安全策略和规定的员工。对那些无视安全工作步骤的雇员来说，这种方法就是一种威慑。另外，如果怀疑某些员工有严重或长期违反组织安全的行为，这一方法能保证对他们的处罚是正确和公平的。4.具体实施案例【资产分类及控制的建设要点】：人员安全包括三个控制目标：工作定义和资源中的安全、用户培训、对安全事件和故障的响应。该部分与安全组织一道，构成了企业安全管理的基础。“工作定义和资源中的安全”要求采取有效措施减少人员失误、盗窃、欺诈以及对设施的滥用。“用户培训”要求确保员工知晓和理解安全策略、制度、安全威胁等，有效地支持企业安全策略的执行。,.,31,.,31,“对安全事件和故障的响应”要求采取措施将安全事件和故障造成的损害降低到最低水平，对此类事件进行监控并从中汲取知识和吸取经验。安全响应需要有效的流程体系和工具来保障其质量。【实施方法与形式】：根据认证中心实际业务运营风险，天威诚信针对人员安全控制管理重点制定了人员安全策略，针对三个控制目标分别制定了可信雇员政策、职责分割政策、安全应急管理办法等子策略，并结合安全管理规范进行实际运营过程中的人员安全管理。参照BS7799建议的控制措施对于三个控制目标天威诚信进行多方面的管理控制：“可信雇员政策”是人员安全系统的基础。所有有权访问天威诚信敏感CA操作的人员必须是值得信任的。可信人员是指必须接受并通过特定的背景调查，表明他们有能力维持进行关键操作，并且具有必要的信任级别。可信人员是指所有参与CA中心工作的人员CA中心工作员和非CA中心工作员。,.,32,.,32,根据可信雇员政策，天威诚信制定了相应的可信人员调查评估标准与审查标准，以及调查、审查程序。“职责分割政策”针对天威诚信认证中心每个职能的功能领域制定了相应的责任范围及物理安全要求。并配合物理区域设定及访问控制系统来共同管理天威诚信认证中心中的各种职能的成员。天威诚信针对每一名员工（正式、非正式）及第三方用户都签署不同形式的保密协议，以约束保密行为。对于正式员工除了在劳动合同中给与保密活动特殊的约定外，还针对员工离职后在一段时间内不允许就职于相同职位进行了经济补偿的约定。所有新员工都必须经过相应的安全培训，涉及到安全管理、技术、实施的员工还必须经过相应考核。天威诚信对于所有影响业务运行的事件、事故都进行了存档工作，并定期整理、学习，纳入到新的安全策略制定讨论中。,.,33,.,33,对于运营中出现的安全事件、安全事故，天威诚信进行了明确的界定。对于普通的安全事件由各业务部门进行记录上报或由安全管理部直接查明后记录归档；针对于不同业务领域的安全事故，天威诚信组织成立了不同知识结构的安全应急响应小组进行及时的相应处理工作。为了维持安全策略的正常实施，警戒安全时间、事故的再次发生，天威诚信还制定违规处罚办法以确保公正、有效处理安全事件、事故。,.,34,.,34,五.实际和环境安全,1.安全区目标：防止对公司工作场所和信息的非法访问、破坏和干扰。应该将关键或敏感的商业信息处理设备放在安全的地方，使用相应的安全防护设备和准入控制手段以及有明确标志的安全隔离带进行保护。应使这些设备免受未经授权的访问、损害或干扰。 根据所确定的风险的具体情况，提供相应的保护。对纸张、介质和信息处理设备建议采取桌面清空和屏幕清空策略，降低对纸张、介质和信息处理设备进行未经授权访问所带来的风险和损害。1.1实际安全隔离带可以在组织办公区域和信息处理设备周围建立几个实际的防护设备，提供物理保护。每个防护设备都划分出一个安全区，这都提高了整体的保护效果。,.,35,.,35,1.2安全区出入控制措施安全区应该使用适当的出入控制措施予以保护。不经批准，任何人员不得出入。1.3办公场所，房屋和设施的安全保障1.4在安全区工作与其他区域隔离的交货和装在区域2.设备安全目标：目标：防止资产流失、受损或毁坏以及业务活动中断。 应保证设备免受安全方面的威胁和环境的危害。 要降低对数据进行未经授权访问的风险并免受损失或损坏，必须对设备（包括不在现场使用的设备）进行保护。还需要考虑设备的位置和选址问题。可能需要特殊的控制措施来保护免遭危险或非法访问，并保护辅助设施，例如电源和电缆等基础设施。,.,36,.,36,2.1设备的选址与保护应该注重设备的选址与保护，减少来自环境威胁和危险以及降低非法访问的风险。2.2电源和电缆安全应该防止设备出现电源故障，防止其它供电不正常的现象。电源线缆与通信电缆承载数据或支持性的信息服务，不应被截断或受损。2.4设备维护应对设备进行妥善地维护，以保证其持续地可用并保持完整。2.5场外设备的安全和设备安全处置与重用不管其所有权如何,在公司办公区域以外使用信息处理设备经过由管理层授权。对于存储敏感信息的存储设备，应将其销毁，或重写数据，而不能只使用标准的删除功能。,.,37,.,37,3.常规控制措施目标：防止信息或信息处理设施受损或被盗。应防止将信息和信息处理设备暴露给未经授权的人，或被未经授权的人修改或偷窃，并应采取控制措施，将损失或损害最小化。3.1桌面与屏幕管理策略在组织中，对于纸张和可移动的存储介质，应采取桌面清空策略；对于信息处理设备，应采取屏幕清空策略，以降低在工作时间内外，对信息进行未经授权访问所带来的风险、损失和损害。3.2资产处置未经授权，不允许将设备、信息或软件带离工作场所。如有必要，应使设备处于注销状态，在归还设备后在重新登录。现场检查是否有未经授权就移动财产的行为。每个人都应知道，随时会进行现场检查。,.,38,.,38,4.具体设施案例【物理和环境安全的建设要点】：物理和环境安全包括三个控制目标：安全区域、设备安全和一般控制措施。“安全区域”目的是防止业务设施和信息受到未经授权的物理访问、损害和干扰。而“设备安全”的控制措施可以防止资产丢失、受损和受到威胁，防止业务活动受到干扰，包括电信供应和线路安全等等。“一般控制措施”包括清理桌面和屏幕、以及资产清理等。【实施方法与形式】：物理和环境安全是认证中心最基础的安全保障。天威诚信针对物理和环境安全管理重点制定了物理安全策略，物理安全的重要性不仅在于其对认证中心资产的明显保护作用，而且还为认证中心提供了一种安全的管理方法。天威诚信针对认证（CA）中心制定了完善的物理安全系统。具体包括：CA设施的物理建设措施、CA设施的分层访问控制措施、物理侵入检测系统建设措施，设备、设施保障措施，运营管理措施等：,.,39,.,39,天威诚信对建筑物如：整体建筑、墙壁、地板和天花板、入口门、其它门、窗口、其他孔口都制定详细安全要求。天威诚信针对CA运营的实际风险，建设了7个物理安全层次来保护CA中心特定的信息资产。7个物理安全层次一般可分为初级、敏感、高度敏感三个级别的区域。天威诚信配合物理层级的划分，进行了访问系统及侵入检测系统等安全措施的建设，将访问控制系统是与控制各层门进出的门禁系统相结合的设备方面结合前面所述资产等级的保护以及物理层级的划分，天威诚信对于资产建立了明确的保护机制。电源方面，天威诚信采用双路供电、配合UPS电源组、以及多台大功率发电机。,.,40,.,40,关于设备其他保护，天威诚信采用FM200气体灭火装置并配合小规模处理的消防瓶以及后备的干式水喷淋灭火装置。对于特定要求的设备，天威诚信还采用了屏蔽室来加以保护。另外，天威诚信对于水灾害、化学效应等威胁因素进行实时的运营控制与防护。对于一般的运营控制，如对文件资料、各类机器设备以及屏幕保护的管理控制，天威诚信制定的安全管理规范来对实际运营中的各种风险进行控制管理。,.,41,.,41,六.通信与操作管理,1.操作程序和责任目标：保证信息处理设施的操作安全无误。 应该建立所有信息处理设施的管理和操作的责任和程序。其中包括制定适当的操作指令和事故事件的响应程序。在适当的情况下进行职责划分，降低无意或有意造成的系统滥用风险。1.1明确的操作程序和操作变更控制应对安全策略确定的操作程序进行备案并维护。操作程序应作为正式文档来处理，对它进行改动需要得到管理层授权。应该控制对信息处理设施和系统的变动。,.,42,.,42,1.2事故处理程序应该明确事故管理责任，制定相关程序，保证对安全事故反应迅速、有效且有条不紊。制定针对各种可能存在的安全事故的措施，这些事故包括：信息系统故障和服务丢失；拒绝服务；适当地收集和获得审查记录和类似证据1.3责任划分责任划分是降低偶然或故意的系统滥用风险。为减少非法篡改或滥用信息或服务，应考虑对某些管理或执行责任或者责任范围进行划分。,.,43,.,43,1.4开发设施与运营设施分离开发设施、测试设施与操作设施分离对实现划分职责的目的非常重要。应制定软件从开发向操作使用转移的规则，并进行备案。应考虑以下控制措施：开发和操作软件尽可能在不同的计算机处理器上运行，或者在不同的域或目录中。1.5外部设施管理使用外部合同商管理信息处理设施可能会造成潜在的安全暴露，例如在承包商的办公地点可能危害、破坏数据安全或丢失数据。这些风险应事先得到确认，与承包商达成适当的控制措施并写入合同中。,.,44,.,44,2.系统规范与验收目标：最大限度降低系统故障的风险。预先规划和准备是必不可少，这样可以确保有足够的容量和资源。应该制定未来容量要求的预算规划，从而降低系统超载的风险。在验收和使用新的系统前，应该建立系统的操作要求，并对这些要求进行备案和检测。2.1容量规划容量需求需要进行监视，并且还应该制定未来的容量要求的规划，确保系统有足够的处理能力和存储空间。大型计算机尤其需要注意，因为增加大型机的新容量成本会更加高昂并且交付周期也更长。大型机的管理员应监视主要系统资源的使用情况，使用这一信息来识别和避免可能出现的威胁系统安全或用户服务的瓶颈，同时制定适当的补救措施。,.,45,.,45,2.2系统验收建立新的信息系统、系统升级和新版本的验收标准，并在验收前履行适当的系统测试。管理员应确保明确制定新系统的验收要求和标准，并且这些标准和要求得到认可、记录和经过检验。应考虑以下因素：性能和计算机容量要求；错误恢复和重新启动的步骤，以及应急计划。对于重要的新技术发展，运营部门和用户应关注发展过程的每个阶段，确保被提议的系统设计具有很高的操作效率。执行适当的检验测试可以确认所有验收标准是否完全达到。,.,46,.,46,3.防止恶意软件目标：保护软件和信息的完整性。软件和信息处理设施易受恶意软件的攻击，比如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹。应提醒用户警觉未授权软件或恶意软件的危险，并且管理员应适当地引入特殊的控制手段检测或防范这些软件的侵袭。尤其是，采取防范措施检查和预防个人计算机上的计算机病毒是必不可少的。3.1恶意软件的控制和措施应执行防范恶意软件的检测和预防控制措施以及适当的通知用户的方法。恶意软件的防范措施应根据安全意识、适当的系统访问和变更管理控制来制定。应考虑以下控制措施：一个正式策略，要求遵守软件许可，禁止使用未授权的软件；安装并定期更新抗病毒的检测和修复软件来检查计算机和其它介质，将它作为一种预防控制手段或者常规手段。,.,47,.,47,4.内务处理目标：维护信息处理和通信服务的完整性和可用性。4.1信息备份应定期备份数个核心业务信息和软件的副本。拥有足够的备份设备可以确保在发生灾难或介质故障后能够恢复所有关键业务信息和软件。应定期检测各个系统的备份安排，确保他们符合业务连续性计划的要求。应考虑以下指导方针：最基本的备份信息以及完整准确的备份副本记录和文档化的恢复步骤应储存在一个很远的位置，这个位置足可以避免受主站点的灾难波及。对于重要的业务应用程序应保留至少三代或三个周期的备份信息。 备份信息应给予适当级别的物理和环境保护（参见条款 7），这个级别和主站点应用的标准一致。对主站点应用的控制应扩展到覆盖备份站点。,.,48,.,48,4.2操作人员日志和错误日志记录操作人员应保留他们活动的日志记录，应有一个明确的处理报告的错误的规则。根据需要，日志记录应包括：系统启动和结束时间；系统错误和采取的纠正措施；审查错误日志，确保错误已经得到满意的解决； 审查纠正措施，确保没有违反控制措施，并且采取的行动都得到充分的授权。应根据操作步骤对操作人员的日志记录定期进行独立的检查。,.,49,.,49,5.网络管理目标：保证网络信息安全，保护支持性的体系结构。5.1网络控制措施获得并维护网络安全需要一系列控制措施。网络管理员应执行控制措施确保网络中的数据安全，并保护连接的服务避免非法访问。尤其，应考虑以下各项：根据需要，应将网络的操作职责和计算机的操作职责分离； 应制定远程设备（包括用户区域的设备）的管理职责和程序。,.,50,.,50,6.介质处理与安全目标：防止资产受损以及应制定适当的操作步骤来保护文档、计算机介质（磁带、磁盘和盒式磁带）、输入/输出数据和系统文档避免损坏、盗窃和非法访问。业务活动中断。应控制介质并对其进行物理保护。6.1计算机活动介质的管理应该制定对计算机活动介质（如磁带、磁盘、盒式磁带以及打印报告）的管理的方法。应考虑以下指导方针。如果不再需要，应该清除再可重复使用的介质上要删除的内容。 删除介质中的组织内容需要得到批准，并且为维护审计追踪应该保留所有这类删除的记录。,.,51,.,51,6.2介质处理介质不再需要使用时应对其进行安全可靠的处置。介质处置不认真可能会将敏感信息泄露给外人。为减少风险，应建立安全处置介质的正式步骤。6.3信息处理程序为了保护此类信息免遭受非法公开或滥用，应该制定信息处理和存储程序。6.4系统文档的安全系统文档可以包含一系列的敏感信息，例如：对应用程序进程、过程、数据结构和授权程序的说明，应考虑以下控制措施来保护系统文档不受非法访问。应安全储存系统文档。系统文档的访问列表应让少数知道，使用需经过应用程序所有者授权。,.,52,.,52,7.信息和软件交换目标：防止组织间交换信息时信息受损、修改或滥用。应控制组织间的信息和软件的交换，并且交换应符合有关立法。7.1信息和软件交换的协议为了便于组织间以电子方式或手工方式交换信息和软件，应该签署协议，有些协议可以为正式协议，适当的时候还包括软件第三方协议。这些协议的内容应反映有关业务信息的敏感度。7.2传输中介质的安全在实际传输过程中，信息容易受到非法访问、滥用或破坏，比如在通过邮局服务或速递公司发送介质的时候。应使用以下控制措施来保护在站点之间传送的计算机介质。,.,53,.,53,7.3电子商务安全电子商务包括使用电子数据交换（EDI）、电子邮件和通过公共网络如 Internet 在线交易。电子商务易受网络威胁的攻击，可能会导致欺诈活动、合同纠纷以及泄露或修改信息。应使用控制措施保护电子商务不受这类威胁。7.4电子邮件安全和策略电子邮件正在用于业务通信交流，正在取代传统的交流形式例如电传和信函。应考虑采取控制措施来减少电子邮件带来的安全风险。公司应制定关于使用电子邮件的策略。对电子邮件的攻击，例如病毒、拦截；电子邮局附件保护；,.,54,.,54,7.5电子办公系统安全应该制定并实施策略和指导原则，控制与电子办公系统相关的业务和安全风险。通过结合以下各项，这些方法提供了快速传播和共享业务信息的机会：文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、一般语音通信、多媒体、邮寄服务/设施、传真机。7.6信息公布系统应小心保护电子公布信息的完整性防止非法进行修改，因为这类修改可能会损害发布组织的声誉。信息公布系统上的信息（例如通过 Internet 可以访问的 Web 服务器上的信息）必须符合司法部门制定有关安装系统或进行交易的法规。在将信息公布以前，应该有一个正式的授权过程。,.,55,.,55,7.7其他信息交换形式应该制定程序和控制措施，保护通过使用语音、传真和视频通信设施进行的信息交换。在使用这些设施时由于缺乏意识、策略或方法，信息可能遭到破坏，例如在公共场所使用移动电话被偷听，应答机器被偷听，非法访问拨入语音邮件系统或者使用传真设备错误将传真发给另外一个人等。8.具体实施案例【通讯和操作管理的建设要点】：通信和运行管理包括七个控制目标：操作程序和责任、系统计划和接收、恶意软件防护、内务管理、网络管理、介质处理与安全、以及信息和软件交流。“操作程序和责任”目标是确保信息处理设施操作的正确性和安全性，包括书面操作程序记录、变更管理、事件管理和职责分离等控制措施。,.,56,.,56,“系统计划和接收”的控制措施包括容量规划和系统接收，目标是将系统故障的风险降低到最低水平。“恶意软件防护”的目标是保护软件和信息的完整性免受恶意软件的伤害。“内务管理”的目标是维护信息处理和通信服务的完整性和可用性，控制措施包括信息备份、操作日志和错误日志。“网络管理”目标是保卫网络中的信息、保护支持性的基础架构。“介质处理与安全”对于目前移动性越来越高的企业IT环境来说具有特殊意义，其目标是防止资产受到破坏，防止商业活动受到干扰。“信息和软件交换”则要求采取措施，防止信息在交流过程中丢失、被修改或者被误用。通信和运行管理是通常意义上的网络信息安全所主要考虑的内容，受到较高的重视。,.,57,.,57,【实施方法与形式】：为了确保天威诚信CA中心各项信息处理操作的正确性和安全性，我们一方面制定了系统操作运行指南，另一方面采用了世界领先的网络管理平台并集成了安全管理模块。该平台一方面实现了网络管理，另一方面可基于角色地从网络及安全两个方面确保通信和运行的安全。专用网管软件的采用很好解决了性能监控、故障管理、配置管理、变更控制等问题。专用安全管理平台模块的采用很好解决了多种安全产品的有机结合的问题，为风险管理提供了有效的技术机制。该机制使得风险要素可准确地通过各种底层支撑产品（防火墙、扫描器、入侵检测、审计）进行采集，并最终汇总到管理平台进行事件间的关联分析，从而以更为准确、适用的方式呈现在管理者面前。,.,58,.,58,对于恶意软件防护方面，我们在系统层面采用安全加固技术保证了其自身的安全性。在应用方面我们采用专用内容过滤技术防止各种恶意内容到达企业内部。另外，考虑到安全的动态性，我方采用定期的、持续性的专业风险评估服务对系统进行定期评估以便及时发现新的安全风险。最后，建立了一个完善的备份系统，确保系统的全面备份和及时恢复。,.,59,.,59,七.访问控制,1.访问控制的业务要求目标：控制对信息的访问。应该根据业务要求和安全要求对信息访问与业务流程加以控制。1.1访问控制策略策略要求与业务要求应该明确访问控制的业务要求并记录在案。应该在访问策略陈述中明确规定每个用户或用户组的访问控制规则与权限。应该向用户和服务提供商明确说明访问控制应该达到的业务要求。该策略应该考虑以下内容：各个业务应用的安全要求。确定与业务应用有关的所有信息。,.,60,.,60,访问控制规则制定访问控制规则时，应该谨慎考虑以下情况：区分必须始终实施的规则和有选择、有条件地实施的规则。2.用户访问管理目标：防止对信息系统的非法访问。2.1用户注册应该制定正式的用户注册和取消注册程序，规范对所有多用户信息系统与服务的访问授权。应该通过正式的用户注册程序来控制多用户信息服务的访问权限。该程序应该包括以下内容：使用唯一用户 ID，以便将用户与其操作联系起来，使用户对其操作其责。组 ID 只有适合所进行的工作，才允许使用。,.,61,.,61,2.2权限管理应该严格限制权限（用户能借此越过系统或应用程序控制措施的任何多用户信息系统的功能或设施）的分配和使用。系统权限使用不当常常是系统出现故障的主要作用因素，结果导致系统遭到破坏。对于要求防范非法访问的多用户系统，应该制定正式的授权程序，对权限分配进行控制。应该考虑采取以下步骤：应该确定与每个系统产品（如操作系统、数据库管理系统和各个应用程序）相关的权限，还应该确定需要为其分配这些权限的员工类别。2.3用户口令管理口令是在用户访问信息系统和服务时对其身份进行验证的一种方法。应该通过正式的管理程序来控制口令的分配。采用这种方法就应该：要求用户签署声明，保证个人口令安全，确保工作组口令仅在本组成员间共享。,.,62,.,62,2.4用户访问权限检查为了保证对访问数据和信息服务进行有效控制，管理层应该制定正式的程序，定期对用户访问权限进行检查3.用户责任目标：防止非法的用户访问。授权用户的合作态度对有效地保障安全至关重要。3.1口令的使用选择使用口令时，用户应该按照安全可靠的措施进行。口令是一种用户身份验证方法，并因此确定对信息处理设施或服务的访问权限。建议所有用户：保证口令安全，选用高质量的口令，最少要有 68个字符。如果不能安全保存，应避免在纸上记录口令。,.,63,.,63,3.2无人值守的设备用户应该确保对无人值守的设备进行适当的保护。4.网络访问控制目标：保护网络化服务。应该控制对内外网络服务的访问。4.1网络服务的使用策略与网络服务的连接如果不安全，就会影响整个组织。只应该向用户提供对专门授权使用的服务的直接访问权限。与敏感或重要业务应用或与处于高风险区域（如组织无法进行安全管理和控制的公共或外部区域）的用户进行网络连接时，这种控制措施显得尤其重要。4.2实施控制的路径从用户终端到计算机服务的路径需要进行控制。,.,64,.,64,4.3外部连接的用户身份验证外部连接为非法访问业务信息提供了可能，如拨号访问方法。所以，远程用户访问应该进行身份验证。远程用户的身份验证可以通过使用加密技术、硬件标记或问答协议等等来完成。专线或网络用户地址检查工具也可用来对连接源提供安全保障。4.4节点验证可以使用与远程计算机进行自动连接的工具对业务应用进行非法访问。4.5远程诊断端口的保护对诊断端口的访问应该严加控制。这些诊断端口如果不予以保护就会提供一条非法访问途径。,.,65,.,65,4.6网络划分随着商业合作伙伴关系的建立，要求对信息处理和连网设施进行互连或共享。因此，网络在不断地扩充，超越了传统的组织界限。控制大型网络安全的一种方法是将其分割成不同的逻辑网络域（如组织的内部网络域和外部网络域），每个域都使用一个明确的安全界限来加以保护。4.7网络连接控制共享网络，特别是跨组织共享网络的访问控制策略要求，可能要求采用控制措施以限制用户连接权限。此类控制措施可以通过过滤通信量的网关采用预定义表或规则的方法加以实施。,.,66,.,66,4.9网络服务安全使用网络服务的组织应该确保所有服务的安全性都有明确说明。5.操作系统访问控制目标：防止非法的计算机访问。应该使用操作系统级别的安全设施限制对计算机资源的访问。5.1终端自动识辨功能应该考虑使用终端自动识别功能来验证与具体位置和便携设备的连接。如果会话必须从某一位置或计算机终端开始，则可以使用终端自动识别技术。,.,67,.,67,5.2终端登录程序通过安全的登录程序应该能够访问信息服务。计算机系统登录程序按其设计应该最大限度地降低非法访问的几率。因而，登录程序应该最大限度地减少公开的系统信息，避免为非法用户提供方便。5.3用户身份识别和验证所有用户（包括技术支持员工，如操作员、网络管理员、系统程序员和数据库管理员）都应该有一个个人专用的唯一标识符（用户 ID），以便操作能够追溯到具体责任人。5.4口令管理系统口令是验证用户是否具有计算机服务访问权限的主要方法之一。口令管理系统应该提供有效的交互手段，保证使用高质量的口令。,.,68,.,68,5.5系统实用程序的使用大多数计算机系统都有一个或多个能够越过系统和应用控制措施的系统实用程序。要对其使用严加限制和控制。5.6保护用户的威胁报警应该考虑为可能受到威胁的用户提供威胁报警功能。6.应用程序访问控制目标：防止对信息系统中信息的非法访问。6.1信息访问限制和敏感系统的隔离,.,69,.,69,7.监控系统的访问和使用目标：检测非法活动。应该对系统进行进行监控，检测与访问控制策略不符的情况，将可以监控的事件记录下来，在出现安全事故时作为证据使用。7.1事件日志记录应该创建记录异常事件和安全相关事件的审计日志并按照协商认可的保留期限将其保留一段时间。7.2程序和风险领域和时钟同步应该制定信息处理设施使用情况的监控程序，计算机时钟的正确设置十分重要。它可以保证审计日志的准确性。8.移动计算和远程工作目标：保证在使用移动计算和远程工作设施时信息的安全性。,.,70,.,70,9.具体实施案例【系统访问控制的建设要点】：系统访问控制包括八个控制目标：访问控制策略、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、监控系统的访问和使用、以及移动计算和远程办公。“访问控制策略”要求建立覆盖公司核心业务的系统访问策略，以指导相关的IT活动。“用户访问管理”则要求建立用户身份注册、权限管理、口令管理以及访问控制审查手段。“用户责任”要求明确用户在口令和信息设备使用方面的责任。“网络访问控制”、“操作系统访问控制”、“应用访问控制”包括非常多的内容，分别从网络层、操作系统层和应用层，提出要求，目标是在不同层面建立身份与口令管理、隔离、访问控制、认证、超时、敏感信息保护、审计、以及路由、执行路径等安全保护手段。“监控系统的访问和使用”要求采取手段，保证时钟同步，记录监控系统的使用和各种事件。“移动计算和远程办公”的目标是保证使用移动计算和远程办公设施时的安全。,.,71,.,71,【实施方法与形式】：天威诚信根据自身业务运营特点，从网络、系统、应用、数据库、数据信息五个层面制定了全面的、有效的天威诚信系统访问控制安全策略，并在该策略的指导下来实现整体的、全面的、有效的访问控制机制。在网络访问控制层面，我们采用防火墙在各安全域间建立安全的网络边界，同时对关键的业务进行了更多层次的、不同级别的纵深防护；在系统访问控制层面，我们对系统层面除了启用系统自身的访问控制机制外，我们对关键业务主机部署了超越操作系统的、更为强大细化的专业访问控制产品；在用户访问管理方面，一方面专门制度了帐户口令管理制度，另一方面采用一次性口令认证机制和双因素认证机制来实现系统及应用的安全访问，这一系列的访问均有用户访问控制策略做指导。,.,72,.,72,在用户责任方面我们在安全策略中明确了不同主体在使用客体时的责任。在应用层面，我们采用专用的中间件产品进行安全及逻辑控制；在数据库方面一方面采用专用访问控制产品来严格限制访问边界，另一方面严格限制了数据库中各对象的访问权限。对于数据信息的访问控制，我们采用了加密、完整性校验等技术，另外对于属于最高安全性的数据信息，我们对其所属的网络和环境采用了最严格的物理隔离措施，使其与其它工作区及外部网络进行完全物理隔离。最后，我们对各项访问控制措施采用了集中审计机制，以便对违规行为及时发现和分析。,.,73,.,73,八.系统开发与维护,1.系统安全要求目标：保证信息系统内建有安全机制。其中包括基础设施、业务应用程序和用户开发的应用程序。设计和实施支持应用或服务的业务进程是安全的关键。在开发信息系统前应该确定安全要求，并形成统一认识。所有安全要求，包括后退安排，都应该在项目的需求阶段确定并进行合理说明，然后达成一致意见并将意见备案作为信息系统整个业务的组成部分。2.应用系统中的安全目标：防止应用系统中用户数据的丢失、修改或滥用。应用系统应设计包含适当的控制措施和审计追踪或活动日志记录，包括在用户写入的应用程序中。这些系统应包括对输入数据、内部处理和输出数据的检验功能。,.,74,.,74,3.加密控制措施目标：保护信息的安全性、真实性或完整性。加密系统和技术应该用于保护具有风险的信息和那些控制措施没有提供足够保护的信息。4.系统文件安全目标：确保安全地进行 IT 项目和支持活动。应控制对系统文件的访问。保护系统完整性应是应用系统或软件所属的用户部门或开发小组的责任。5.开发和支持过程中的安全目标：维护应用系统软件和信息的安全性。应该严格控制项目和支持环境。负责应用程序的管理员还应该负责项目或支持环境的安全。他们应该确保对所有提议的系统变更进行审查，检查它们是否破坏系统或操作环境的安全。,.,75,.,75,6.具体实施案例【系统开发与维护的建设要点】：系统开发和维护包括五个控制目标：系统的安全要求、应用系统安全、密码控制、系统文件的安全、以及开发和支持过程中的安全。“系统的安全要求”是指保证在开发的信息系统中已经建立了安全机制。“应用系统安全”要求在输入数据验证、内部处理、消息认证、输出数据验证等方面采取安全措施。“密码控制”要求建立开发维护过程中关于密码使用的策略，采取有效的密码、密钥管理、数字签名等技术。“系统文件安全”要求采取措施，保护运行软件、系统测试数据以及源程序库的安全。“开发和支持过程中的安全”要求在软件工程生命周期的各个环节的活动中都考虑到安全因素，在变更控制的程序、操作系统变更评审、软件包变更控制、隐蔽通道和后门、以及软件开发外包等方面采取安全控制。,.,76,.,76,【实施方法与形式】：天威诚信的运行体系中涉及了少量的开发内容，尽管如此，我们还是对这些开发工作按照软件工程生命周期的各个环节进行了严格控制，充分考虑了各项活动中的安全因素。另外对密钥生产过程的每个过程中可能隐藏的安全因素均进行了全面的考虑并严格控制每个过程。密钥生产过程首先定义了密钥管理员、密钥生成规程主管的职责。然后充分考了用户级和主要/安全管理级（D/SO）秘密分管者的指定、秘密分管者联系策略、秘密共享的调动和调用过程、特殊区域可进出人员的指定、特殊区域可进出人员的联系策略、特殊区域可进出人员职责的调动和调用过程、激活与恢复、CSU/加密卡安全管理尺度、运送、存储等过程。另外，制定了处理中心任务和职责责任隔离、 CSU/加密卡运送签收文件、运送过程（香港北京）的描述等详尽的规范。,.,77,.,77,九.业务连续性管理,1.业务连续管理的特点目标：防止业务活动中断，保证重要业务流程不受重大故障和灾难的影响。应该实施业务连续性管理程序，预防和恢复控制相结合，将灾难和安全故障（可能是由于自然灾害、事故、设备故障和蓄意破坏等引起）造成的影响降低到可以接受的水平。应该分析灾难、安全故障和服务损失的后果。应该制定和实施应急计划，确保能够在要求的时间内恢复业务流程。应该维护和执行此类计划，使之成为其它所有管理程序的一部分。业务连续性管理应该采用控制措施，确定和降低风险，限制破坏性事件造成的后果，确保重要操作及时恢复。,.,78,.,78,2.具体实施案例【业务连续性规划的建设要点】：业务连续性管理只有一个控制目标：“业务连续性管理的各个方面”，要求制定相应策略和管理制度，消除商业活动受到的干扰，保护关键的商业程序不受重大故障或者灾难的影响。【实施方法与形式】：天威诚信为维护整个组织的业务连续性，结合BS7799的控制目标制定应急管理程序、灾难恢复计划、备份计划等安全策略、规定，并参照BS7799的控制措施进行日常运行管理：编制、执行了“应急管理程序”、“灾难恢复计划”、“备份计划”等管理程序。落实各种应急措施的责任人，并明确其在业务连续性计划中的职责。定期、不定期的评审、评定业务连续性计划的有效性,.,79,.,79,对重大危险源采用消除风险、转移风险、与相应机构共同承担风险的原则，另外对于重要业务购买相应的保险以降低风险带来的损失。,