信息技術 安全技術信息安全管理實用規(guī)則

1、信息技術 安全技術信息安全管理實用規(guī)則Information technology-Security techniques-Code of practice for information security management（IDT ISO/IEC 17799：2005）（征求意見稿） 目 次III 前 言IV 引 言IV0.1 什么是信息安全？IV0.2 為什么需要信息安全？IV0.3 如何建立安全要求V0

2、.4 評估安全風險V0.5 選擇控制措施V0.6 信息安全起點VI0.7 關鍵的成功因素 VI0.8 開發(fā)你自己的指南11 范圍 12 術語和定義33 本標準的結構 33.1 章節(jié)33.2 主要安全類別44 風險評估和處理44.1 評估安全風險44.2 處理安全風險55 安全方針 55.1 信息安全方針66 信息安全組織 66.1 內部組織116.2 外部各方157 資產管理前 言引 言什么是信息安全？象其他重

3、要業(yè)務資產一樣，信息也是對組織業(yè)務至關重要的一種資產，因此需要加以適當?shù)乇Ｗo。在業(yè)務環(huán)境互連日益增加的情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中（也可參考關于信息系統(tǒng)和網(wǎng)絡的安全的 OECD 指南） 。信息可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段傳送、呈現(xiàn)在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當?shù)乇Ｗo。信

4、息安全是保護信息免受各種威脅的損害，以確保業(yè)務連續(xù)性，業(yè)務風險最小化，投資回報和商業(yè)機遇最大化。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能。在需要時需建立、實施、監(jiān)視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業(yè)務目標。這個過程應與其他業(yè)務管理過程聯(lián)合進行。為什么需要信息安全？信息及其支持過程、系統(tǒng)和網(wǎng)絡都是重要的業(yè)務資產。定義、實現(xiàn)、保持和改進信息安全對保持競爭優(yōu)勢、現(xiàn)金周

5、轉、贏利、守法和商業(yè)形象可能是至關重要的。各組織及其信息系統(tǒng)和網(wǎng)絡面臨來自各個方面的安全威脅，包括計算機輔助欺詐、間諜活動、惡意破壞、毀壞行為、火災或洪水。諸如惡意代碼、計算機黑客搗亂和拒絕服務攻擊等導致破壞的安全威脅，已經變得更加普遍、更有野心和日益復雜。信息安全對于公共和專用兩部分的業(yè)務以及保護關鍵基礎設施是非常重要的。在這兩部分中信息安全都將作為一個使動者，例如實現(xiàn)電子政務或電子商務，避免或減少相關風險。公共網(wǎng)絡和專用網(wǎng)絡的互連、