文件名称:iso_iec_17799
文件大小:95KB
文件格式:RAR
更新时间:2011-12-16 08:56:43
国际标准 ISO/IEC 17799
目录 3 前言 8 介绍 9 什么是信息安全? 9 为什么需要信息安全? 9 如何确定安全需要? 10 评估安全风险 10 选择控制措施 11 信息安全起点 11 关键的成功因素 12 制订自己的准则 12 1 范围 13 2 名词和定义 13 2.1 信息安全 13 2.2 风险评估 13 2.3 风险管理 13 3 安全策略 14 3.1 信息安全策略 14 3.1.1 信息安全策略文档 14 3.1.2 复查和评价 14 4 组织的安全 15 4.1 信息安全的基本架构 15 4.1.1 管理信息安全论坛 15 4.1.2 信息安全协作 15 4.1.3 信息安全责任的分配 16 4.1.4 信息处理方法的授权过程。 16 4.1.5 专家信息安全建议 17 4.1.6 组织间的合作 17 4.1.7 信息安全的独立检查 17 4.2第三方访问的安全 17 4.2.1 判断第三方访问的风险 18 4.2.2 第三方合同的安全要求 19 4.3 外部采购 20 4.3.1 外购合同的安全要求 20 5资产分类和管理 20 5.1 资产的可计量性 20 5.1.1 资产清单 21 5.2 信息分类 21 5.2.1 分类原则 21 5.2.2 信息标识和处理 22 6 人员安全 22 6.1 工作定义和外包的安全 22 6.1.1把安全包括在工作责任中 22 6.1.2 人员筛选和策略 23 6.1.3 保密协议 23 6.1.4 用工条款 23 6.2 用户培训 24 6.2.1 信息安全教育和培训 24 6.3 对安全事故和故障做出反应 24 6.3.1 报告安全事故 24 6.3.2 报告安全缺陷 24 6.3.3报告软件故障 25 6.3.4 吸取事故教训 25 6.3.5 惩处程序 25 7 物理的和环境的安全 25 7.1 安全区域 25 7.1.1 物理安全界线 26 7.1.2 物理进入控制 26 7.1.3 保护办公室、房间和设施 26 7.1.4 在安全区域工作 27 7.1.5 隔离的送货和装载区域 27 7.2 设备安全 28 7.2.1 设备定位和保护 28 7.2.2 电力供应 28 7.2.3 电缆安全 29 7.2.4 设备维护 29 7.2.5 外部设备的安全 29 7.2.6 设备的安全处置或者再利用 30 7.3 一般性管理措施 30 7.3.1 清扫桌面和清洁屏幕策略 30 7.3.2 财产的转移 31 8 通信和运营管理 31 8.1 操作过程和责任 31 8.1.1 记录在案的操作过程 31 8.1.2 运行变更管理 31 8.1.3 意外事故管理程序 32 8.1.4 责任的分离 32 8.1.5开发过程和运行过程的分离 33 8.1.6 外部设施的管理 33 8.2 系统规划和验收 34 8.2.1 容量规划 34 8.2.2系统验收 34 8.3 防止恶意软件 35 8.3.1 防止恶意软件的管理措施 35 8.4 内务管理 36 8.4.1 信息备份 36 8.4.2 操作员日志 36 8.4.3 事故记录 37 8.5 网络管理 37 8.5.1 网络管理措施 37 8.6 备份介质处理和安全 38 8.6.1 对可移动的计算机存储介质的管理 38 8.6.2 存储介质的处置 38 8.6.3 信息处理程序 39 8.6.4 系统文件的安全 39 8.7 信息和软件的交换 39 8.7.1信息和软件交换协议 40 8.7.2转运时介质的安全 40 8.7.3电子商务安全 40 8.7.4 电子邮件的安全 41 8.7.5 电子办公系统的安全 42 8.7.6 公众可访问的系统 42 8.7.6 信息交换的其它形式 43 9访问控制 43 9.1访问控制的业务需要 44 9.1.1访问控制策略 44 9.2 用户访问管理 45 9.2.1 用户注册 45 9.2.2 特权管理 45 9.2.3 用户密码管理 46 9.2.4 用户访问权限的复查 46 9.3 用户责任 46 9.3.1 密码使用 47 9.3.2 无人值守用户设备 47 9.4 网络访问控制 48 9.4.1 网络服务的使用策略 48 9.4.2 强制路径 48 9.4.3 外部连接的用户认证 49 9.4.4 节点鉴别 49 9.4.5 远程诊断接口的保护 49 9.4.6 网络分离 50 9.4.7 网络连接管理 50 9.4.8 网络路径选择控制 50 9.4.9 网络访问安全 51 9.5 操作系统访问管理 51 9.5.1 自动终端识别 51 9.5.2 终端登录程序 51 9.5.3 用户识别和鉴定 52 9.5.4 密码口令管理系统 52 9.5.5 系统实用程序的使用 53 9.5.7 终端暂停 53 9.5.8 连接时间的限制 54 9.6 应用程序访问控制 54 9.6.1 信息访问限制 54 9.6.2 敏感系统的隔离 55 9.7检测系统访问和使用 55 9.7.1 事件记录 55 9.7.2 检测系统使用 55 9.7.3 时钟同步 57 9.8 移动计算和远程工作 57 9.8.1 移动计算 57 9.2.8 远程工作 58 10系统的开发与维护 59 10.1 系统的安全需要 59 10.1.1安全性要求分析和规范 59 10.2.1 输入数据的验证 59 10.2.2 内部作业的管理 60 10.2.3 文电鉴别 61 10.2.4 输出数据验证 61 10.3 密码管理措施 61 10.3.1使用密码控制措施的策略 61 10.3.2 信息加密 62 10.3.3 数字签名 62 10.3.4 非拒绝服务 63 10.3.5密钥管理 63 10.4 信息文件的安全 64 10.4.1 操作软件的控制 64 10.4.2系统测试数据的保护 65 10.4.3 对程序资源库的访问控制 65 10.5 开发和支持过程中的安全 65 10.5.1 变更控制程序 66 10.5.2 操作系统变更的技术复查 66 10.5.3 改变软件包的限制 66 10.5.4 隐蔽通道和特洛伊代码(渗透性代码) 67 10.5.5 外购软件开发 67 11 业务连续性管理 67 11.1业务连续性管理的几个方面 68 11.1.1业务连续性管理程序 68 11.1.2 业务连续性和影响分析 68 11.1.3编写和执行连续性计划 69 11.1.4 业务连续性计划框架 69 11.1.5 测试、维护和重新评估业务连续性计划 70 12 符合性 71 12.1 符合法律要求 71 12.1.1适用法律的辨别 71 12.1.2 知识产权(IPR) 71 12.1.3 保护组织记录 72 12.1.4 数据保护和个人信息的保密 73 12.1.5 防止信息处理设备的误用 73 12.1.6 密码管理的规定 74 12.1.7 证据的搜集 74 12.2 安全策略和技术符合性的检查 75 12.2.1 符合安全策略 75 12.2.2技术符合性检测 75 12.3系统审查相关事项 76 12.3.1 系统审查管理程序 76 12.3.2系统审查工具的保护 76 索引 77
【文件预览】:
国际标准中文 ISO IEC 17799.rtf