信息技術(shù) 安全技術(shù)信息安全管理實(shí)用規(guī)則

1、信息技術(shù) 安全技術(shù)信息安全管理實(shí)用規(guī)則Information technology-Security techniques-Code of practice for information security management（IDT ISO/IEC 17799：2005）（征求意見(jiàn)稿） 目 次III 前 言IV 引 言IV0.1 什么是信息安全？IV0.2 為什么需要信息安全？IV0.3 如何建立安全要求V0

2、.4 評(píng)估安全風(fēng)險(xiǎn)V0.5 選擇控制措施V0.6 信息安全起點(diǎn)VI0.7 關(guān)鍵的成功因素 VI0.8 開(kāi)發(fā)你自己的指南11 范圍 12 術(shù)語(yǔ)和定義33 本標(biāo)準(zhǔn)的結(jié)構(gòu) 33.1 章節(jié)33.2 主要安全類別44 風(fēng)險(xiǎn)評(píng)估和處理44.1 評(píng)估安全風(fēng)險(xiǎn)44.2 處理安全風(fēng)險(xiǎn)55 安全方針 55.1 信息安全方針66 信息安全組織 66.1 內(nèi)部組織116.2 外部各方157 資產(chǎn)管理前 言引 言什么是信息安全？象其他重

3、要業(yè)務(wù)資產(chǎn)一樣，信息也是對(duì)組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)，因此需要加以適當(dāng)?shù)乇Ｗo(hù)。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的、范圍越來(lái)越廣的威脅和脆弱性當(dāng)中（也可參考關(guān)于信息系統(tǒng)和網(wǎng)絡(luò)的安全的 OECD 指南） 。信息可以以多種形式存在。它可以打印或?qū)懺诩埳?、以電子方式存?chǔ)、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語(yǔ)言表達(dá)。無(wú)論信息以什么形式存在，用哪種方法存儲(chǔ)或共享，都應(yīng)對(duì)它進(jìn)行適當(dāng)?shù)乇Ｗo(hù)。信

4、息安全是保護(hù)信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最大化。信息安全是通過(guò)實(shí)施一組合適的控制措施而達(dá)到的，包括策略、過(guò)程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在需要時(shí)需建立、實(shí)施、監(jiān)視、評(píng)審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。這個(gè)過(guò)程應(yīng)與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行。為什么需要信息安全？信息及其支持過(guò)程、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義、實(shí)現(xiàn)、保持和改進(jìn)信息安全對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、現(xiàn)金周

5、轉(zhuǎn)、贏利、守法和商業(yè)形象可能是至關(guān)重要的。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來(lái)自各個(gè)方面的安全威脅，包括計(jì)算機(jī)輔助欺詐、間諜活動(dòng)、惡意破壞、毀壞行為、火災(zāi)或洪水。諸如惡意代碼、計(jì)算機(jī)黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅，已經(jīng)變得更加普遍、更有野心和日益復(fù)雜。信息安全對(duì)于公共和專用兩部分的業(yè)務(wù)以及保護(hù)關(guān)鍵基礎(chǔ)設(shè)施是非常重要的。在這兩部分中信息安全都將作為一個(gè)使動(dòng)者，例如實(shí)現(xiàn)電子政務(wù)或電子商務(wù)，避免或減少相關(guān)風(fēng)險(xiǎn)。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、