Copyright HewlettPackard Company 2002 ISO 17799BS 7799 BS
© Copyright Hewlett-Packard Company 2002
信息安全管理基础 ISO 17799/BS 7799 李 丹 BS 7799 Lead Auditor 惠普咨询与服务 2002年 11月 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 2
什么是信息? 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 5
让我们想象。。。。。 通过这些信息, 我可以统治世界 2021/10/25 © Copyright Hewlett-Packard Company 2002 13
直接问某个人 不要忘记最薄弱的环节 Hi, It’s John isn’t it? No, Dave Johnson, you can use D dot Johnson. 口令破解 (最直接的方法) My word, you’re a dead ringer, sorry old chap, what about today’s match, did you see it? No, Formula 1, is my sport, follow Ferrari, nearest I’ll get to one! …… Username: D. Johnson Password: Ferrari 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 21
另一个薄弱的环节 2021/10/25 • 问题: 如何探听信息秘密? (并不总是IT) © Copyright Hewlett-Packard Company 2002 Page 24
设备失败 • 缺乏有计划的灾难恢复和备份 • 没有UPS(Un-interruptible Power Supply) 2021/10/25 © Copyright Hewlett-Packard Company 2002 25
• 业务要求 • 法律要求 信息安全管理和业务需求 • 基本模块 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 39
关于 ISO 17799/BS 7799 2021/10/25 • 历史 • 发展 • 现状 • 将来 • 其它文档 © Copyright Hewlett-Packard Company 2002 Page 47
业务守则(第一部分) ISO 17799/BS 7799 信息安全管理 和 系统规范(第二部分) 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 48
其它文档 技术报告:ISO/TR 13569 银行和相关金融服务-信息安全指导原则 第二版: 1997 -10 -01 2021/10/25 © Copyright Hewlett-Packard Company 2002 54
BS 7799第二部分要求必须进行风险 评估以明晰对于资产的威胁。 风险评估 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 60
如何确定资产的价值? 资产价值和潜在影响 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 61
可能性 2021/10/25 • 事故发生的可能性 © Copyright Hewlett-Packard Company 2002 Page 64
风险评估的 具和方法 • @Rish • Analy. Z • BDSS(Bayesian Decision Support System) • COBRA(Consultative, Objective and Bi-functional Risk Analysis) • CONTROL-IT • CRAMM(CCTA Risk Analysis and Management Method) • DDIS • IST/RAMP(International Security Technology/Risk analysis management program) • LAVA(Los alamos Vulnerability Analysis) • LRAM & ALRAM(Automated Livermore Risk Analysis Methodology) • MELISA • PREDICT • RANK-IT • Risiko • Risk. PAC • Security By Analysis • XRM(e. Xpert Risk Management) 2021/10/25 © Copyright Hewlett-Packard Company 2002 68
信息安全维护 2021/10/25 • 管理承诺 • 策略 • 教育 • 控制 • 检查 © Copyright Hewlett-Packard Company 2002 Page 71
• 设置 • 维护 检查 -日志文件 • 事故监控 • 趋势分析 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 77
CESG进行了超过40种健康检查 • 口令管理 常见问题 • 信任关系 • OEM补丁(很少安装) 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 79
记住,还有其它ISMS要求的文档 ISMS文档结构 2021/10/25 • 法律文件 • 公司文件 • 合同 • 其它没有被ISO 17799/BS 7799覆 盖的控制措施 © Copyright Hewlett-Packard Company 2002 Page 100
目标: 信息安全策略文档 2021/10/25 为信息安全提供管理指导原则和支持 © Copyright Hewlett-Packard Company 2002 Page 115
控制措施总览 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 120
• 信息安全策略文档 4. 1 信息安全策略 2021/10/25 • 复审和评估 © Copyright Hewlett-Packard Company 2002 Page 121
• 明确第三方访问的风险 4. 2. 2 第三方访问 2021/10/25 • 与第三方合同中安全要求 © Copyright Hewlett-Packard Company 2002 Page 124
4. 2. 3 外包服务 2021/10/25 服务外包合同中的安全要求 © Copyright Hewlett-Packard Company 2002 Page 125
4. 3. 1 资产管理责任 2021/10/25 资产的详细目录 © Copyright Hewlett-Packard Company 2002 Page 127
4. 3. 2 信息分类 • 分类原则 • 信息标签和处理 最高机密 机密 保密 限制 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 128
4. 4. 2 用户培训 2021/10/25 信息安全的教育和培训 © Copyright Hewlett-Packard Company 2002 Page 131
4. 5. 3 通用控制 2021/10/25 • 桌面清理原则 • 财产的移动 © Copyright Hewlett-Packard Company 2002 Page 136
• 容量规划 4. 6. 2 系统规划与验收 2021/10/25 • 系统验收 © Copyright Hewlett-Packard Company 2002 Page 139
4. 6. 3 防止恶意软件 2021/10/25 • 对于恶意软件的控制 © Copyright Hewlett-Packard Company 2002 Page 140
• 信息备份 4. 6. 4 清理 作 2021/10/25 • 操作日志 • 错误记录 © Copyright Hewlett-Packard Company 2002 Page 141
4. 6. 5 网络管理 2021/10/25 • 网络控制 © Copyright Hewlett-Packard Company 2002 Page 142
4. 7. 1 访问控制的业务要求 2021/10/25 • 访问控制策略 © Copyright Hewlett-Packard Company 2002 Page 146
4. 7. 3 用户职责 2021/10/25 • 口令的使用 • 没有使用的用户设备 © Copyright Hewlett-Packard Company 2002 Page 148
4. 7. 6 应用访问控制 2021/10/25 • 信息访问限制 • 敏感系统的隔离 © Copyright Hewlett-Packard Company 2002 Page 151
• 日志 4. 7. 7 监控系统访问和使用 2021/10/25 • 监控系统使用情况 • 时钟同步 © Copyright Hewlett-Packard Company 2002 Page 152
4. 7. 8 移动电脑和远程办公 2021/10/25 • 移动电脑 • 远程办公 © Copyright Hewlett-Packard Company 2002 Page 153
4. 8. 1 系统的安全要求 2021/10/25 • 安全要求的分析和规范 © Copyright Hewlett-Packard Company 2002 Page 155
4. 10. 2 安全策略和技术的复审 2021/10/25 • 与安全策略相符 • 技术遵从性检查 © Copyright Hewlett-Packard Company 2002 Page 164
• 系统审计控制 4. 10. 3 系统审计考虑 2021/10/25 • 系统审计 具的保护 © Copyright Hewlett-Packard Company 2002 Page 165
评估和认证 第九部分 • 流程 • 维护 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 167
鉴定 第十部分 • 现在的发展情况 • 选项 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 178
• DTI发起的标准 • 1998年发布在Infosecurity C: CURE • 以BS 7799 -2: 1999为认证标准 • BSI DISC是DTI指定的C: CURE的管 理者 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 180
• 根据BS 7799 -2: 1999制订了鉴定标 准 • 同欧洲相关组织密切合作 UKAS • 基于ISO/IEC 62/EN 45012 • 同C: CURE的要求类似 • 认证实体有责任验证认证员资质 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 181
• 荷兰的鉴定机构 Rv. A (Raad voor Accreditatie) • 它也定义了自认证的流程 • 基于BS 7799 -1: 1995 • 接受UKAS制订的标准 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 182
谢谢大家! End of Training 2021/10/25 © Copyright Hewlett-Packard Company 2002 Page 185
© Copyright Hewlett-Packard Company 2002
- Slides: 186