BS7799信息安全管理标准

BS7799是目前业界最盛行的英国BSI办法的信息安全管理体系标准，此为中文翻译版。
目录
Worldwide Standards 2
Having trouble locating an overseas standard? BSI has the solution… 2
WITH BSI, YOUR SEARCH IS OVER BEFORE IT’S EVEN BEGUN 2
第一部分：信息安全管理惯例 3
序 14
简介 15
什么是信息安全？ 15
为什么需要信息安全 15
如何制定安全需求 16
评估安全风险 16
选择控制 16
信息安全的出发点 17
关键的成功因素 17
开发你自己的指导方针 17
1.范围 19
2.术语与定义 20
2.1信息安全 20
2.2风险评估 20
2.3风险管理 20
3.安全策略 21
3.1信息安全策略 21
3.1.1信息安全策略文件 21
3.1.2复审及评估 21
4.安全组织 22
4.1信息安全基础设施 22
4.1.1管理信息安全论坛 22
4.1.2信息安全的协调 22
4.1.3信息安全责任的分配 23
4.1.4信息处理设备的授权步骤 23
4.1.5信息安全专家的意见 23
4.1.6组织之间的合作 24
4.1.7信息安全的独立复审 24
4.2第三方访问的安全 24
4.2.1确认第三方访问的风险 24
4.2.1.1访问的种类 24
4.2.1.2访问的原因 25
4.2.1.3现场合同方 25
4.2.2第三方合同的安全要求 25
4.3外包服务 26
4.3.1外包合同的安全要求 26
5.资产分类与控制 28
5.1资产的使用说明 28
5.1.1资产清单 28
5.2信息分类 28
5.2.1分类的指南 29
5.2.2信息标注及处理 29
6.人员安全 30
6.1岗位定义及资源分配的安全 30
6.1.1岗位责任的安全 30
6.1.2人事过滤及策略 30
6.1.3保密协议 31
6.1.4雇佣条款 31
6.2用户培训 31
6.2.1信息安全教育及培训 31
6.3安全事件及失常的反应措施 31
6.3.1报告安全事件 32
6.3.2报告安全的弱点 32
6.3.3报告系统的故障 32
6.3.4吸取教训 32
6.3.5处罚程序 32
7.物理与环境的安全 33
7.1安全区域 33
7.1.1物理安全地带 33
7.1.2物理入口的控制 33
7.1.3保护办公室、房间及设备 34
7.1.4在安全地带工作 34
7.1.5隔离的交付及装载地方 34
7.2设备的安全 35
7.2.1设备的放置及保护 35
7.2.2电力的供应 36
7.2.3电缆线路的安全 36
7.2.4设备的维护 36
7.2.5设备离开大厦的安全 37
7.2.6设备的安全清除或重用 37
7.3一般控制 37
7.3.1收拾桌子及清除屏幕的策略 37
7.3.2财物的搬迁 38
8.通讯与操作的管理 39
8.1操作步骤及责任 39
8.1.1文档化操作程序 39
8.1.2操作变动的控制 39
8.1.3安全事件管理程序 40
8.1.4责任分开制 40
8.1.5开发及正式使用设备的分开 41
8.1.6外部设备的管理 41
8.2系统规划及接收 41
8.2.1储存量的计划 42
8.2.2系统接收 42
8.3对付恶意软件 42
8.3.1控制恶意软件 43
8.4备份及恢复性常务管理 43
8.4.1信息备份 43
8.4.2操作员日志 44
8.4.3对错误进行记录 44
8.5网络管理 44
8.5.1网络控制 44
8.6介质的处理与安全 45
8.6.1可移动计算机介质的管理 45
8.6.2介质的清除 45
8.6.3信息处理的程序 46
8.6.4系统说明文档的安全 46
8.7信息与软件的交换 46
8.7.1信息及软件交换协议 46
8.7.2传递中介质的安全 47
8.7.3电子商务的安全 47
8.7.4电子邮件的安全 48
8.7.4.1安全风险 48
8.7.4.2电子邮件的策略 48
8.7.5电子办公室系统的安全 48
8.7.6可公用的系统 49
8.7.7其它形式的信息交换 49
9.访问控制 50
9.1访问控制的业务需求 50
9.1.1访问控制策略 50
9.1.1.1策略及业务需求 50
9.1.1.2访问控制规定 50
9.2用户访问的管理 51
9.2.1用户登记 51
9.2.2特权管理 51
9.2.3用户口令的管理 52
9.2.4用户访问权限的检查 52
9.3用户责任 52
9.3.1口令的使用 52
9.3.2无人看管的用户设备 53
9.4网络访问控制 53
9.4.1网络服务的使用策略 53
9.4.2强制式路径 54
9.4.3外部连接的用户认证 54
9.4.4 网点认证 54
9.4.5远程诊断端口的保护 55
9.4.6网络的隔离 55
9.4.7网络连接控制 55
9.4.8网络路由的控制 55
9.4.9 网络服务的安全 56
9.5操作系统的访问控制 56
9.5.1自动认证终端 56
9.5.2终端的登录程序 56
9.5.3用户标识及认证 57
9.5.4口令管理系统 57
9.5.5系统工具的使用 58
9.5.6为保障安全的人员配备强迫警钟 58
9.5.7终端超时 58
9.5.8连接时间的限制 58
9.6应用系统的访问控制 58
9.6.1信息访问的限制 59
9.6.2敏感系统的隔离 59
9.7系统访问和使用的监控 59
9.7.1事件记录 59
9.7.2监控系统的使用 60
9.7.2.1风险的程序及区域 60
9.7.2.2风险因素 60
9.7.2.3对事件进行日志记录和审查 60
9.7.3时钟的同步 61
9.8移动操作及远程办公 61
9.8.1移动操作 61
9.8.2远程工作 62
10.系统开发与维护 63
10.1系统的安全要求 63
10.1.1安全要求分析及规格 63
10.2应用系统中的安全 63
10.2.1输入数据的核实 63
10.2.2内部处理的控制 64
10.2.2.1有风险的地方 64
10.2.2.2检查及控制 64
10.2.3消息认证 64
10.2.4输出数据的核实 65
10.3密码控制 65
10.3.1密码控制的使用策略 65
10.3.2加密 66
10.3.3数字签名 66
10.3.4不可抵赖服务 66
10.3.5密钥管理 67
10.3.5.1密钥的保护 67
10.3.5.2标准、程序及方法 67
10.4系统文件的安全 68
10.4.1运行软件的控制 68
10.4.2系统测试数据的保护 68
10.4.3源程序库的访问控制 68
10.5开发及支持程序的安全 69
10.5.1改动控制程序 69
10.5.2操作系统改动的技术检查 70
10.5.3更改软件包的限制 70
10.5.4隐蔽通道及特洛伊代码 70
10.5.5外包软件的开发 70
11.业务连续性管理 71
11.1.关于业务连续性管理 71
11.1.1业务连续性管理的过程 71
11.1.2业务连续性及影响的分析 71
11.1.3撰写及实施连续性计划 72
11.1.4业务连续性计划的框架 72
11.1.5测试、维护及重新评估业务连续性计划 73
11.1.5.1测试该计划 73
11.1.5.2维护及重新评估该计划 73
12.遵循性 74
12.1是否遵守法律 74
12.1.1确定适用的法律 74
12.1.2知识产权 74
12.1.2.1版权 74
12.1.2.2软件版权 74
12.1.3保障机构的记录 75
12.1.4数据保护及个人信息的隐私 75
12.1.5防止信息处理设备被滥用 76
12.1.6密码控制的规定 76
12.1.7证据的收集 76
12.1.7.1证据的规则 76
12.1.7.2证据的适用性 77
12.1.7.3证据的质量和完备性 77
12.2核对安全策略及技术合格性 77
12.2.1与安全策略一致 77
12.2.2技术遵循性的检查 77
12.3系统审计的考虑 79
12.3.1系统审计控制 79
12.3.2对系统审计工具的保护 79
第二部分：信息安全管理系统的规范 81
1. 范围 82
2. 术语与定义 82
2.1 适用性说明 82
3.信息安全管理系统的要求 82
3.1概要 82
3.2建立一个管理框架 82
3.3实施 83
3.4文档 83
3.5文档控制 83
3.6记录 84
4.详细监控 86
4.1安全策略 86
4.1.1 信息安全策略 86
4.1.1.1信息安全策略文档 86
4.1.1.2检查和评价 86
4.2安全组织 86
4.2.1信息安全基础设施 86
4.2.1.1 管理层信息安全论坛 86
4.2.1.2 信息安全的协调 86
4.2.1.3 信息安全职责的分配 86
4.2.1.4 信息处理设施的授权过程 87
4.2.1.5 专家信息安全建议 87
4.2.1.6 各机构之间的协作 87
4.2.1.7 信息安全的独立检查 87
4.2.2第三方访问的安全 87
4.2.2.1第三方访问的风险的识别 87
4.2.2.2在第三方合同中的安全要求 87
4.2.3外部采购 87
4.2.3.1 在外购合同中的安全要求 87
4.3资产分类与控制 88
4.3.1资产的可说明性 88
4.3.1.1资产的盘点 88
4.3.2信息分类 88
4.3.2.1分类方针 88
4.3.2.2信息标签和处理 88
4.4人员安全 88
4.4.1工作定义和资源中的安全 88
4.4.1.1工作责任的安全 88
4.4.1.2员工筛选和策略 88
4.4.1.3保密协议 89
4.4.1.4雇佣的条款和条件 89
4.4.2 用户培训 89
4.4.2.1 信息安全教育和培训 89
4.4.3 安全事故与故障的处理 89
4.4.3.1 报告突发安全事故 89
4.4.3.2 报告安全弱点 89
4.4.3.3 报告软件故障 89
4.4.3.4 从事故中吸取教训 89
4.4.3.5 纠正过程 90
4.5物理与环境的安全 90
4.5.1 安全地区 90
4.5.1.1 物理安全边界 90
4.5.1.2 物理接口控制 90
4.5.1.3 保护办公室、房间和设施 90
4.5.1.4 在安全地区工作 90
4.5.1.5 隔离的运输和装载地区 90
4.5.2 设备安全 90
4.5.2.1 设备放置地点的选择与保护 91
4.5.2.2 电源供应 91
4.5.2.3 电缆安全 91
4.5.2.4 设备维护 91
4.5.2.5 在机构外部使用设备时应注意的安全性 91
4.5.2.6 设备应该被安全地处理掉和再使用 91
4.5.3 一般控制 91
4.5.3.1 清洁桌面与清洁屏幕策略 91
4.5.3.2 资产的删除 91
4.6通讯与操作的管理 92
4.6.1 操作过程与职责 92
4.6.1.1 记录操作过程 92
4.6.1.2 针对操作变化的控制 92
4.6.1.3 事件管理程序 92
4.6.1.4 职责分离 92
4.6.1.5 开发设施与操作设施的分离 92
4.6.1.6 外部设施管理 92
4.6.2 系统计划与验收 92
4.6.2.1 容量计划 92
4.6.2.2 系统验收 93
4.6.3 针对恶意软件的防护 93
4.6.3.1 采取控制来防范恶意软件 93
4.6.4 内务处理 93
4.6.4.1 信息备份 93
4.6.4.2 操作员日志 93
4.6.4.3 出错日志 93
4.6.5 网络管理 93
4.6.5.1 网络控制 93
4.6.6 介质处理和安全 94
4.6.6.1 计算机可移动介质的管理 94
4.6.6.2 介质处理 94
4.6.6.3 信息处理程序 94
4.6.6.4 系统文档的安全 94
4.6.7 信息及软件的交换 94
4.6.7.1 信息和软件的交流协议 94
4.6.7.2 传输过程中的介质安全 94
4.6.7.3 电子商务安全 94
4.6.7.4 电子邮件安全 95
4.6.7.5 电子办公系统的安全 95
4.6.7.6 信息发布系统的安全 95
4.6.7.7 其它方式的信息交换 95
4.7 访问控制 95
4.7.1 访问控制的商业需求 95
4.7.1.1 访问控制策略 95
4.7.2 用户访问管理 95
4.7.2.1 用户注册 95
4.7.2.2 特权管理 96
4.7.2.3 用户口令管理 96
4.7.2.4 用户访问权限审查 96
4.7.3 用户职责 96
4.7.3.1 口令的使用 96
4.7.3.2 易被忽略的用户设备 96
4.7.4 网络访问控制 96
4.7.4.1 网络服务的使用策略 96
4.7.4.2 增强的路径 96
4.7.4.3 外部连接的用户认证 96
4.7.4.4 节点认证 97
4.7.4.5 对远程诊断端口的保护 97
4.7.4.6 网络隔离 97
4.7.4.7 网络连接控制 97
4.7.4.8 网络路由控制 97
4.7.4.9 网络服务的安全性 97
4.7.5 操作系统访问控制 97
4.7.5.1 自动终端认证 97
4.7.5.2 终端登录过程 97
4.7.5.3 用户标识和认证 98
4.7.5.4 口令管理系统 98
4.7.5.5 系统工具的使用 98
4.7.5.6 用警告信息保护用户 98
4.7.5.7 终端超时 98
4.7.5.8 连接时间的限制 98
4.7.6 应用系统的访问控制 98
4.7.6.1 信息访问限制 98
4.7.6.2 敏感系统的隔离 99
4.7.7 监控对系统的访问和使用 99
4.7.7.1 事件日志 99
4.7.7.2 监控对系统的使用情况 99
4.7.7.3 时钟同步 99
4.7.8 移动计算与远程工作 99
4.7.8.1 移动计算 99
4.7.8.2 远程工作 99
4.8 系统开发与维护 99
4.8.1 系统的安全需求 99
4.8.1.1 安全需求分析与描述 100
4.8.2 应用系统的安全 100
4.8.2.1 对输入数据进行有效性确认 100
4.8.2.2 对内部处理的控制 100
4.8.2.3 消息认证 100
4.8.2.4 对输出数据进行有效性确认 100
4.8.3 密码控制 100
4.8.3.1 密码控制的使用策略 100
4.8.3.2 加密 100
4.8.3.3 数字签名 100
4.8.3.4 不可否认服务 101
4.8.3.5 密钥管理 101
4.8.4 系统文件的安全性 101
4.8.4.1 对业务软件的控制 101
4.8.4.2 对系统测试数据的保护 101
4.8.4.3 对程序源代码库的访问控制 101
4.8.5 在软件开发与支持过程中的安全性 101
4.8.5.1 变化控制程序 101
4.8.5.2 针对操作系统变化的技术审查 101
4.8.5.3 限制对软件包的修改 102
4.8.5.4 隐蔽信道和特洛依木马代码 102
4.8.5.5 外包软件开发 102
4.9 业务连续性管理 102
4.9.1 业务连续性管理的各个方面 102
4.9.1.1 业务连续性管理的进程 102
4.9.1.2 业务连续性与影响分析 102
4.9.1.3 连续性计划的撰写与实施 102
4.9.1.4 业务连续性计划的框架 102
4.9.1.5 测试、维护与重新评估业务连续性计划 103
4.10遵循性 103
4.10.1 与法律要求的一致性 103
4.10.1.1 识别适用的立法 103
4.10.1.2 知识产权 103
4.10.1.3 保护机构的文档记录 103
4.10.1.4 数据保护与个人信息隐私 103
4.10.1.5 防止信息处理设备的误用 103
4.10.1.6 密码控制制度 103
4.10.1.7 证据收集 103
4.10.2 安全策略与技术遵循性的复审 104
4.10.2.1 安全策略遵循性 104
4.10.2.2 技术遵循性检查 104
4.10.3 系统审计的考虑 104
4.10.3.1 系统审计控制 104
4.10.3.2 系统审计工具的保护 104