文档介绍:第四部分:信息安全管理实用规则
ISO/IEC27002:2005
教学目标
通过8课时“信息安全管理实用规则ISO/IEC27002”内容的教学,帮助学员:
了解《信息安全管理实用规则ISO/IEC 27002》的基本框架
掌握标准条款的内容要点
信息技术安全技术信息安全管理实用规则
1 范围
2 术语和定义
3 本标准的结构
4 风险评估和处理
5 安全方针
6 信息安全组织
7 资产管理
8 人力资源安全
9 物理和环境安全
10 通信和操作管理
11 访问控制
12 信息系统获取、开发和维护
13 信息安全事件管理
14 业务连续性管理
15 符合性
1 范围
本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。
本标准的控制目标和控制措施旨在满足风险评估所识别的要求。本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。
2 术语和定义
资产:任何对组织有价值的东西[ISO/IEC13335-1:2004]。
控制措施:管理风险的手段,包括策略、程序、指南、措施或者组织结构,它们可以是行政的、技术的、管理的或者法律的。
指南:关于应该做些什么以及如何做,以达到策略中所要求的目标的描述[ISO/IEC13335-1:2004]。
信息处理设施:任何信息处理系统,服务或基础设施,或放置它们的物理场所。
2 术语和定义
信息安全:保持信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性。
信息安全事态:信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044:2004]。
信息安全事件:一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044:2004]。
方针:由管理者正式表述的整体意图和方向。
风险:事件的概率及其结果的组合[ISO Guide 73:2002]。
风险分析:系统地使用信息来识别风险来源和估计风险[ISO Guide 73:2002]。
风险评估:风险分析和风险评价的全过程[ISO Guide 73:2002]。
风险评价:将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO Guide 73:2002]。
2 术语和定义
风险管理:指导和控制一个组织相关风险的协调活动[ISO Guide 73:2002]。
风险处理:选择并且执行控制措施来更改风险的过程[ISO Guide 73:2002]。
第三方:就被讨论的问题而言,公认的与当事各方无关的个人或组织[ISO Guide 2:1996]。
威胁:可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-1:2004]。
脆弱性:可被一个或多个威胁利用的一项资产的或一组资产的弱点。
2 术语和定义
章节
主要安全类别
3 本标准的结构
章节
每一章包含许多主要安全类别。11个章节(连同每一章中所包含的主要安全类别的数量)是:
安全方针(1);
信息安全组织(2);
资产管理(2);
人力资源安全(3);
物理和环境安全(2);
通信和操作管理(10);
7. 访问控制(7);
8. 信息系统获取、开发和维护(6);
9. 信息安全事件管理(2);
10. 业务连续性管理(1);
11. 符合性(3)。