信息安全管理與法律法規(guī)概論保障信息安全有三個(gè)支柱，一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。而日常提及信息安全時(shí)，多是在技術(shù)相關(guān)的領(lǐng)域，例如入侵檢測(cè)技術(shù)、防火墻技術(shù)、反病毒技術(shù)、加密技術(shù)、VPN技術(shù)等等。這是因?yàn)樾畔踩夹g(shù)和產(chǎn)品的采納，能夠快速見(jiàn)到直接效益，同時(shí)，技術(shù)和產(chǎn)品的發(fā)展水平也相對(duì)較高，此外，技術(shù)廠商對(duì)市場(chǎng)的培育，不斷提升著人們對(duì)信息安全技術(shù)和產(chǎn)品的認(rèn)知度。雖然在面對(duì)信息安全事件時(shí)總是在嘆息：“道高一尺、魔高一丈”，在反思自身技術(shù)的不足，實(shí)質(zhì)上人們此時(shí)忽視的是另外兩個(gè)層面的保障。本章來(lái)講述信息安全管理與法律法規(guī)的相關(guān)知識(shí)。目錄第16章信息安全管理與法律法規(guī)16.1信息系統(tǒng)安全管理16.1.1信息安全管理概述16.1.2信息安全管理模式16.1.3信息安全管理體系的作用16.1.4構(gòu)建信息安全管理體系步驟16.1.5BS7799、ISO/IEC17799和ISO2700116.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證16.2信息安全相關(guān)法律法規(guī)16.2.1國(guó)內(nèi)信息安全相關(guān)法律法規(guī)16.2.2國(guó)外信息安全相關(guān)法律法規(guī)思考題16.1信息系統(tǒng)安全管理俗話說(shuō)“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足，缺乏明確的信息安全方針、完整的信息安全管理制度，相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開(kāi)發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問(wèn)題。所以，需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。16.1.1信息安全管理概述信息、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的安全性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、Dos攻擊、黑客等手段造成的信息災(zāi)難已變得更加普遍，有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴(lài)意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到信息安全管理的支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專(zhuān)家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會(huì)更低、效率會(huì)更高。16.1.2信息安全管理模式在信息安全管理方面，BS7799標(biāo)準(zhǔn)提供了指導(dǎo)性建議，即基于PDCA（Plan、Do、Check和Act，即戴明環(huán)）的持續(xù)改進(jìn)的管理模式，如圖16.1所示。16.1.2信息安全管理模式16.1.2信息安全管理模式PDCA（Plan、Do、Check和Act）是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休哈特（WalterShewhart）于19世紀(jì)30年代構(gòu)想的，后來(lái)被戴明（EdwardsDeming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。隨著全面質(zhì)量管理理念的深入發(fā)展，PDCA最終得以普及。作為一種抽象模型，PDCA把相關(guān)的資源和活動(dòng)抽象為過(guò)程進(jìn)行管理，而不是針對(duì)單獨(dú)的管理要素開(kāi)發(fā)單獨(dú)的管理模式，這樣的循環(huán)具有廣泛的通用性，因而很快從質(zhì)量管理體系（QMS）延伸到其他各個(gè)管理領(lǐng)域，包括環(huán)境管理體系（EMS）、職業(yè)健康安全管理體系（OHSMS）和信息安全管理體系（ISMS）。16.1.2信息安全管理模式為了實(shí)現(xiàn)ISMS，組織應(yīng)該在計(jì)劃（Plan）階段通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求，然后根據(jù)需求設(shè)計(jì)解決方案；在實(shí)施（Do）階段將解決方案付諸實(shí)現(xiàn)；解決方案是否有效？是否有新的變化？應(yīng)該在檢查（Check）階段予以監(jiān)視和審查；一旦發(fā)現(xiàn)問(wèn)題，需要在措施（Act）階段予以解決，以便改進(jìn)ISMS。通過(guò)這樣的過(guò)程周期，組織就能將確切的信息安全需求和期望轉(zhuǎn)化為可管理的信息安全體系。16.1.2信息安全管理模式概括起來(lái)，PDCA模型具有以下特點(diǎn)，同時(shí)也是信息安全管理工作的特點(diǎn)：PDCA順序進(jìn)行，依靠組織的力量來(lái)推動(dòng)，像車(chē)輪一樣向前進(jìn)，周而復(fù)始，不斷循環(huán)，持續(xù)改進(jìn)；組織中的每個(gè)部門(mén)，甚至每個(gè)人，在履行相關(guān)職責(zé)時(shí)，都是基于PDCA這個(gè)過(guò)程的，如此一來(lái)，對(duì)管理問(wèn)題的解決就成了大環(huán)套小環(huán)并層層遞進(jìn)的模式；每經(jīng)過(guò)一次PDCA循環(huán)，都要進(jìn)行總結(jié)，鞏固成績(jī)，改進(jìn)不足，同時(shí)提出新的目標(biāo)，以便進(jìn)入下一次更高級(jí)的循環(huán)。16.1.3信息安全管理體系的作用

任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如：缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制；保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確；雇員信息安全意識(shí)薄弱，缺少防范意識(shí)，外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所；組織信息系統(tǒng)管理制度不夠健全；組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問(wèn)題，與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等；16.1.3信息安全管理體系的作用

組織信息系統(tǒng)備份設(shè)備仍有欠缺；組織信息系統(tǒng)安全防范技術(shù)投入欠缺；軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺；計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺；檔案、記錄等缺少可靠貯存場(chǎng)所；缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃。16.1.3信息安全管理體系的作用

其實(shí)，組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)BS7799標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，就可以從根本上保證業(yè)務(wù)的連續(xù)性。組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用：16.1.3信息安全管理體系的作用

強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；使組織的生意伙伴和客戶(hù)對(duì)組織充滿信心，如果通過(guò)體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度；促使管理層堅(jiān)持貫徹信息安全保障體系。16.1.4構(gòu)建信息安全管理體系步驟1.建立一個(gè)完整的信息安全管理體系步驟建立一個(gè)完整的信息安全管理體系可以采用如下步驟：(1)定義范圍(2)定義方針(3)確定風(fēng)險(xiǎn)評(píng)估的方法(4)識(shí)別風(fēng)險(xiǎn)(5)評(píng)估風(fēng)險(xiǎn)(6)識(shí)別并評(píng)估風(fēng)險(xiǎn)處理的措施(7)為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施(8)準(zhǔn)備適用性聲明16.1.4構(gòu)建信息安全管理體系步驟2.構(gòu)建信息安全管理體系的關(guān)鍵因素構(gòu)建一個(gè)成功的信息安全管理體系的關(guān)鍵成功因素在于：(1)最高領(lǐng)導(dǎo)層對(duì)管理體系的承諾；(2)體系與整個(gè)組織文化的一致性，與業(yè)務(wù)營(yíng)運(yùn)目標(biāo)的一致性；(3)理清職責(zé)權(quán)限；(4)有效的宣傳、培訓(xùn)，提升意識(shí)，不僅要針對(duì)內(nèi)部員工，也要針對(duì)合作伙伴、供應(yīng)商、外包服務(wù)商等。(5)盤(pán)清信息資產(chǎn)、明確信息安全的要求，明晰風(fēng)險(xiǎn)評(píng)估和處理的方法和流程；(6)均衡的測(cè)量監(jiān)控體系，持續(xù)監(jiān)控各種變化，從監(jiān)控結(jié)果中尋求持續(xù)改進(jìn)的機(jī)會(huì)。16.1.4構(gòu)建信息安全管理體系步驟3.HTP模型信息安全的建設(shè)是一個(gè)系統(tǒng)工程，它需求對(duì)信息系統(tǒng)的各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架，并要時(shí)時(shí)兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會(huì)對(duì)系統(tǒng)構(gòu)成威脅?？梢砸霉芾韺W(xué)上的木桶原理加以說(shuō)明。木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(zhǎng)短不一，那么木桶的最大容量不取決于長(zhǎng)的木板，而取決于最短的那塊木板。這個(gè)原理同樣適用信息安全。一個(gè)組織的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。信息從產(chǎn)生到銷(xiāo)毀的生命周期過(guò)程中包括了產(chǎn)生、收集、加工、交換、存儲(chǔ)、檢索、存檔、銷(xiāo)毀等多個(gè)事件，表現(xiàn)形式和載體會(huì)發(fā)生各種變化，這些環(huán)節(jié)中的任何一個(gè)都可能影響整體信息安全水平。要實(shí)現(xiàn)信息安全目標(biāo)，一個(gè)組織必須使構(gòu)成安全防范體系這只“木桶”的所有木板都要達(dá)到一定的長(zhǎng)度。從宏觀的角度來(lái)看，信息安全可以由以下HTP模型來(lái)描述：人員與管理(Humanandmanagement)、技術(shù)與產(chǎn)品(Technologyandproducts)、流程與體系(ProcessandFramework)，如圖16.2所示。16.1.4構(gòu)建信息安全管理體系步驟16.1.4構(gòu)建信息安全管理體系步驟其中人是信息安全最活躍的因素，人的行為是信息安全保障最主要的方面。人特別是內(nèi)部員工既可以是對(duì)信息系統(tǒng)的最大潛在威脅，也可以是最可靠的安全防線。統(tǒng)計(jì)結(jié)果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成得，70%-80%是由于內(nèi)部員工的疏忽或有意泄密造成的。站在較高的層次上來(lái)看信息和網(wǎng)絡(luò)安全的全貌就會(huì)發(fā)現(xiàn)安全問(wèn)題實(shí)際上都是人的問(wèn)題，單憑技術(shù)是無(wú)法實(shí)現(xiàn)從“最大威脅”到“最可靠防線”轉(zhuǎn)變的。以往的各種安全模型，其最大的缺陷是忽略了對(duì)人的因素的考慮，在信息安全問(wèn)題上，要以人為本，人的因素比信息安全技術(shù)和產(chǎn)品的因素更重要。與人相關(guān)的安全問(wèn)題涉及面很廣，從國(guó)家的角度考慮有法律、法規(guī)、政策問(wèn)題；從組織角度考慮有安全方針政策程序、安全管理、安全教育與培訓(xùn)、組織文化、應(yīng)急計(jì)劃和業(yè)務(wù)持續(xù)性管理等問(wèn)題；從個(gè)人角度來(lái)看有職業(yè)要求、個(gè)人隱私、行為學(xué)、心理學(xué)等問(wèn)題。在信息安全的技術(shù)防范措施上，可以綜合采用商用密碼、防火墻、防病毒、身份識(shí)別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動(dòng)反擊等多種技術(shù)與產(chǎn)品來(lái)保護(hù)信息系統(tǒng)安全，但不應(yīng)把部署所有安全產(chǎn)品與技術(shù)和追求信息安全的零風(fēng)險(xiǎn)為目標(biāo)，安全成本太高，安全也就失去其意義。組織實(shí)現(xiàn)信息安全應(yīng)采用“適度防范”(Rightsizing)的原則，就是在風(fēng)險(xiǎn)評(píng)估的前提下，引入恰當(dāng)?shù)目刂拼胧?，使組織的風(fēng)險(xiǎn)降到可以接受的水平，保證組織的業(yè)務(wù)的連續(xù)性和商業(yè)價(jià)值最大化就達(dá)到了安全的目的。16.1.4構(gòu)建信息安全管理體系步驟信息安全不是一個(gè)孤立靜止的概念，信息安全是一個(gè)多層面、多因素的、綜合的、動(dòng)態(tài)的過(guò)程。一方面，如果組織憑著一時(shí)的需要，想當(dāng)然去制定一些控制措施和引入某些技術(shù)產(chǎn)品，都難免存在掛一漏萬(wàn)、顧此失彼的問(wèn)題，使得信息安全這只“木桶”出現(xiàn)若干“短木塊”，從而無(wú)法提高安全水平。正確的做法是遵循國(guó)內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實(shí)踐過(guò)程，考慮到組織對(duì)信息安全的各個(gè)層面的實(shí)際需求，在風(fēng)險(xiǎn)分析的基本上引入恰當(dāng)控制，建立合理安全管理體系，從而保證組織賴(lài)以生存的信息資產(chǎn)的安全性、完整性和可用性；另一方面，這個(gè)安全體系統(tǒng)還應(yīng)當(dāng)隨著組織環(huán)境的變化、業(yè)務(wù)發(fā)展和信息技術(shù)提高而不斷改進(jìn)，不能一勞永逸，一成不變。因此實(shí)現(xiàn)信息安全需要完整的體系來(lái)保證。16.1.5BS7799、ISO/IEC17799和ISO270011.信息安全管理標(biāo)準(zhǔn)的產(chǎn)生1995年2月，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)就提出制定信息安全管理標(biāo)準(zhǔn)，并迅速于1995年5月制訂完成，且于1999年重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分:BS7799-1，《信息安全管理實(shí)施規(guī)則》；BS7799-2《信息安全管理體系規(guī)范》；其中BS7799-1:1999于2000年12月通過(guò)ISO/IECJTC1(國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委員會(huì)的聯(lián)合技術(shù)委員會(huì))認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC17799:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。這是通過(guò)ISO表決最快的一個(gè)標(biāo)準(zhǔn)，足見(jiàn)世界各國(guó)對(duì)該標(biāo)準(zhǔn)的關(guān)注和接受程度。而在2002年9月5日英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)又發(fā)布了新版本BS7799-2:2002替代了BS7799-2:1999。16.1.5BS7799、ISO/IEC17799和ISO27001BS7799-1(ISO/IEC1799:2000)《信息安全管理實(shí)施細(xì)則》是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，主要為組織制定其信息安全策略和進(jìn)行有效的信息安全控制提供了一個(gè)大眾化的最佳慣例。BS7799-2《信息安全管理體系規(guī)范》規(guī)定了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。正如該標(biāo)準(zhǔn)的適用范圍介紹的一樣，本標(biāo)準(zhǔn)適用以下場(chǎng)合:組織按照本標(biāo)準(zhǔn)要求建立并實(shí)施信息安全管理體系，進(jìn)行有效的信息安全風(fēng)險(xiǎn)管理，確保商務(wù)可持續(xù)性發(fā)展;作為尋求信息安全管理體系第三方認(rèn)證的標(biāo)準(zhǔn)。BS7799-2明確提出信息安全管理要求，BS7799-1則對(duì)應(yīng)給出了通用的控制方法(措施)，因此，BS7799-2才是認(rèn)證的依據(jù)，嚴(yán)格的說(shuō)組織獲得的認(rèn)證是獲得了BS7799-2的認(rèn)證，BS7799-1為BS7799-2的具體實(shí)施提供了指南，但標(biāo)準(zhǔn)中的控制目標(biāo)、控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標(biāo)和控制方式。ISO組織在2005年對(duì)ISO17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005國(guó)際標(biāo)準(zhǔn)。16.1.5BS7799、ISO/IEC17799和ISO270012.BS7799-1:1999《信息安全管理實(shí)施細(xì)則》內(nèi)容介紹

BS7799-1:1999(ISO/IEC1799:2000)標(biāo)準(zhǔn)在正文前設(shè)立了“前言”和“介紹”，其“介紹”中“對(duì)什么是信息安全、為什么需要信息安全、如何確定安全需要、評(píng)估安全風(fēng)險(xiǎn)、選擇控制措施、信息安全起點(diǎn)、關(guān)鍵的成功因素、制定自己的準(zhǔn)則”等內(nèi)容作了說(shuō)明，標(biāo)準(zhǔn)中介紹，信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。保密性定義為保障信息僅僅為那些被授權(quán)使用的人獲取。完整性定義為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性?？捎眯远x為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。標(biāo)準(zhǔn)對(duì)“為什么需要信息安全”時(shí)介紹，信息、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DOS攻擊等手段造成的信息災(zāi)難已變得更加普遍，有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴(lài)意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以?xún)H依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。16.1.5BS7799、ISO/IEC17799和ISO27001該標(biāo)準(zhǔn)的正文規(guī)定了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)作過(guò)程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。這127個(gè)控制措施被分成10個(gè)方面，成為組織實(shí)施信息安全管理的實(shí)用指南，這十個(gè)方面分別是:(1)安全方針:制定信息安全方針，為信息安全提供管理指導(dǎo)和支持。(2)組織安全:建立信息安全基礎(chǔ)設(shè)施，來(lái)管理組織范圍內(nèi)的信息安全;維持被第三方所訪問(wèn)的組織的信息處理設(shè)施和信息資產(chǎn)的安全，以及當(dāng)信息處理外包給其他組織時(shí)，維護(hù)信息的安全。16.1.5BS7799、ISO/IEC17799和ISO27001(3)資產(chǎn)的分類(lèi)與控制:核查所有信息資產(chǎn)，以維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)，并做好信息分類(lèi)，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。(4)人員安全:注意工作職責(zé)定義和人力資源中的安全，以減少人為差錯(cuò)、盜竊、欺詐或誤用設(shè)施的風(fēng)險(xiǎn);做好用戶(hù)培訓(xùn)，確保用戶(hù)知道信息安全威脅和事務(wù)，并準(zhǔn)備好在其正常工作過(guò)程中支持組織的安全政策;制定對(duì)安全事故和故障的響應(yīng)流程，使安全事故和故障的損害減到最小，并監(jiān)視事故和從事故中學(xué)習(xí)。(5)物理和環(huán)境的安全:定義安全區(qū)域，以避免對(duì)業(yè)務(wù)辦公場(chǎng)所和信息的未授權(quán)訪問(wèn)、損壞和干擾;保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失、損壞或泄露和業(yè)務(wù)活動(dòng)的中斷;同時(shí)還要做好一般控制，以防止信息和信息處理設(shè)施的泄露或盜竊。16.1.5BS7799、ISO/IEC17799和ISO27001(6)通信和操作管理:制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)故障的風(fēng)險(xiǎn)減低到最小;防范惡意軟件，保護(hù)軟件和信息的完整性;建立內(nèi)務(wù)規(guī)程，以維護(hù)信息處理和通信服務(wù)的完整性和可用性;確保信息在網(wǎng)絡(luò)中的安全，以及保護(hù)其支持基礎(chǔ)設(shè)施;建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失、修改或誤用。(7)訪問(wèn)控制:制定訪問(wèn)控制的業(yè)務(wù)要求，以控制對(duì)信息的訪問(wèn);建立全面的用戶(hù)訪問(wèn)管理，避免信息系統(tǒng)的未授權(quán)訪問(wèn);讓用戶(hù)了解他對(duì)維護(hù)有效訪問(wèn)控制的職責(zé)，防止未授權(quán)用戶(hù)的訪問(wèn);對(duì)網(wǎng)絡(luò)訪問(wèn)加以控制，保護(hù)網(wǎng)絡(luò)服務(wù);建立操作系統(tǒng)級(jí)的訪問(wèn)控制，防止對(duì)計(jì)算機(jī)的未授權(quán)訪問(wèn);建立應(yīng)用訪問(wèn)控制，防止未授權(quán)用戶(hù)訪問(wèn)保存在信息系統(tǒng)中的信息;監(jiān)視系統(tǒng)訪問(wèn)和使用，檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)計(jì)算和遠(yuǎn)程工作時(shí)，也要確保信息安全。16.1.5BS7799、ISO/IEC17799和ISO27001(8)系統(tǒng)開(kāi)發(fā)和維護(hù):標(biāo)識(shí)系統(tǒng)的安全要求，確保安全被構(gòu)建在信息系統(tǒng)內(nèi);控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶(hù)數(shù)據(jù)的丟失、被修改或誤用;使用密碼控制，保護(hù)信息的保密性、真實(shí)性或完整性；控制對(duì)系統(tǒng)文件的訪問(wèn)，確保按安全方式進(jìn)行IT項(xiàng)目和支持活動(dòng)；嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程，維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全。(9)業(yè)務(wù)持續(xù)性管理:目的為了減少業(yè)務(wù)活動(dòng)的中斷，使關(guān)鍵業(yè)務(wù)過(guò)程免受主要故障或天災(zāi)的影響。(10)符合性:信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理要符合法律要求，避免任何犯罪、違反民法、違背法規(guī)、規(guī)章或合約義務(wù)以及任何安全要求;定期審查安全政策和技術(shù)符合性，確保系統(tǒng)符合組織安全政策和標(biāo)準(zhǔn);還要控制系統(tǒng)審核，使系統(tǒng)審核過(guò)程的效力最大化，干擾最小化。(待續(xù))16.1.5BS7799、ISO/IEC17799和ISO270013.BS7799-2:2002《信息安全管理體系規(guī)范》內(nèi)容介紹

BS7799-2:2002標(biāo)準(zhǔn)詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)(ISMS)的要求，指出實(shí)施組織需遵循某一風(fēng)險(xiǎn)評(píng)估來(lái)鑒定最適宜的控制對(duì)象，并對(duì)自己的需求采取適當(dāng)?shù)目刂?。本部分提出了?yīng)該如何建立信息安全管理體系的步驟：16.1.5BS7799、ISO/IEC17799和ISO27001

(1)定義信息安全策略。信息安全策略是組織信息安全的最高方針，需要根據(jù)組織內(nèi)各個(gè)部門(mén)的實(shí)際情況，分別制訂不同的信息安全策略。例如，規(guī)模較小的組織單位可能只有一個(gè)信息安全策略，并適用于組織內(nèi)所有部門(mén)、員工;而規(guī)模大的集團(tuán)組織則需要制訂一個(gè)信息安全策略文件，分別適用于不同的子公司或各分支機(jī)構(gòu)。信息安全策略應(yīng)該簡(jiǎn)單明了、通俗易懂，并形成書(shū)面文件，發(fā)給組織內(nèi)的所有成員。同時(shí)要對(duì)所有相關(guān)員工進(jìn)行信息安全策略的培訓(xùn)，對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn)，以使信息安全方針真正植根于組織內(nèi)所有員工的腦海并落實(shí)到實(shí)際工作中。16.1.5BS7799、ISO/IEC17799和ISO27001(2)定義ISMS的范圍。

ISMS的范圍確定需要重點(diǎn)進(jìn)行信息安全管理的領(lǐng)域，組織需要根據(jù)自己的實(shí)際情況，在整個(gè)組織范圍內(nèi)、或者在個(gè)別部門(mén)或領(lǐng)域構(gòu)架ISMS。在本階段，應(yīng)將組織劃分成不同的信息安全控制領(lǐng)域，以易于組織對(duì)有不同需求的領(lǐng)域進(jìn)行適當(dāng)?shù)男畔踩芾怼?3)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估的復(fù)雜程度將取決于風(fēng)險(xiǎn)的復(fù)雜程度和受保護(hù)資產(chǎn)的敏感程度，所采用的評(píng)估措施應(yīng)該與組織對(duì)信息資產(chǎn)風(fēng)險(xiǎn)的保護(hù)需求相一致。風(fēng)險(xiǎn)評(píng)估主要對(duì)ISMS范圍內(nèi)的信息資產(chǎn)進(jìn)行鑒定和估價(jià)，然后對(duì)信息資產(chǎn)面對(duì)的各種威脅和脆弱性進(jìn)行評(píng)估，同時(shí)對(duì)已存在的或規(guī)劃的安全管制措施進(jìn)行鑒定。風(fēng)險(xiǎn)評(píng)估主要依賴(lài)于商業(yè)信息和系統(tǒng)的性質(zhì)、使用信息的商業(yè)目的、所采用的系統(tǒng)環(huán)境等因素，組織在進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估時(shí)，需要將直接后果和潛在后果一并考慮。16.1.5BS7799、ISO/IEC17799和ISO27001(4)信息安全風(fēng)險(xiǎn)管理。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)管理。信息安全風(fēng)險(xiǎn)管理主要包括以下幾種措施:降低風(fēng)險(xiǎn):在考慮轉(zhuǎn)嫁風(fēng)險(xiǎn)前，應(yīng)首先考慮采取措施降低風(fēng)險(xiǎn);避免風(fēng)險(xiǎn):有些風(fēng)險(xiǎn)很容易避免，例如通過(guò)采用不同的技術(shù)、更改操作流程、采用簡(jiǎn)單的技術(shù)措施等;轉(zhuǎn)嫁風(fēng)險(xiǎn):通常只有當(dāng)風(fēng)險(xiǎn)不能被降低或避免、且被第三方(被轉(zhuǎn)嫁方)接受時(shí)才被采用。一般用于那些低概率、但一旦風(fēng)險(xiǎn)發(fā)生時(shí)會(huì)對(duì)組織產(chǎn)生重大影響的風(fēng)險(xiǎn)。接受風(fēng)險(xiǎn):用于那些在采取了降低風(fēng)險(xiǎn)和避免風(fēng)險(xiǎn)措施后，出于實(shí)際和經(jīng)濟(jì)方面的原因，只要組織進(jìn)行運(yùn)營(yíng)，就必然存在并必須接受的風(fēng)險(xiǎn)。16.1.5BS7799、ISO/IEC17799和ISO27001(5)確定管制目標(biāo)和選擇管制措施。管制目標(biāo)的確定和管制措施的選擇原則是費(fèi)用不超過(guò)風(fēng)險(xiǎn)所造成的損失。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，組織應(yīng)實(shí)時(shí)對(duì)選擇的管制目標(biāo)和管制措施加以校驗(yàn)和調(diào)整，以適應(yīng)變化了的情況，使組織的信息資產(chǎn)得到有效、經(jīng)濟(jì)、合理的保護(hù)。(6)準(zhǔn)備信息安全適用性聲明。信息安全適用性聲明紀(jì)錄了組織內(nèi)相關(guān)的風(fēng)險(xiǎn)管制目標(biāo)和針對(duì)每種風(fēng)險(xiǎn)所采取的各種控制措施。信息安全適用性聲明的準(zhǔn)備，一方面是為了向組織內(nèi)的員工聲明對(duì)信息安全面對(duì)的風(fēng)險(xiǎn)的態(tài)度，在更大程度上則是為了向外界表明組織的態(tài)度和作為，以表明組織已經(jīng)全面、系統(tǒng)地審視了組織的信息安全系統(tǒng)，并將所有有必要管制的風(fēng)險(xiǎn)控制在能夠被接受的范圍內(nèi)。16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證信息技術(shù)已經(jīng)成為應(yīng)用面極廣、滲透性很強(qiáng)的戰(zhàn)略性技術(shù)。信息安全產(chǎn)品和信息系統(tǒng)固有的敏感性和特殊性，直接影響國(guó)家的安全利益和經(jīng)濟(jì)利益。各國(guó)政府紛紛采取頒布標(biāo)準(zhǔn)，實(shí)行測(cè)評(píng)和認(rèn)證制度等方式，對(duì)信息安全產(chǎn)品的研制、生產(chǎn)、銷(xiāo)售、使用和進(jìn)出口實(shí)行嚴(yán)格、有效的控制。美、英、德、法、澳、加、荷、韓等國(guó)家先后建立了國(guó)家信息安全測(cè)評(píng)認(rèn)證體系。我國(guó)為適應(yīng)全球信息化的發(fā)展趨勢(shì)，順應(yīng)進(jìn)入WTO的客觀要求，于1997年依循國(guó)際慣例正式啟動(dòng)信息安全測(cè)評(píng)認(rèn)證工作，并于1998年底，正式建立我國(guó)的信息安全測(cè)評(píng)認(rèn)證體系，如圖所示。16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證其中，國(guó)家信息安全測(cè)評(píng)認(rèn)證管理委員會(huì)是經(jīng)國(guó)務(wù)院產(chǎn)品質(zhì)量監(jiān)督行政主管部門(mén)授權(quán)，代表國(guó)家對(duì)中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心運(yùn)作的獨(dú)立性和在測(cè)評(píng)認(rèn)證活動(dòng)中的公正性、科學(xué)性和規(guī)范性實(shí)施監(jiān)督管理的機(jī)構(gòu)。其成員由信息安全相關(guān)的管理部門(mén)、使用部門(mén)和研制開(kāi)發(fā)部門(mén)三方面的代表組成。管理委員會(huì)下設(shè)專(zhuān)家委員會(huì)和投訴與申訴委員會(huì)。中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心（以下簡(jiǎn)稱(chēng)國(guó)家中心）是代表國(guó)家具體實(shí)施信息安全測(cè)評(píng)認(rèn)證的實(shí)體機(jī)構(gòu)。根據(jù)國(guó)家授權(quán)，依據(jù)產(chǎn)品標(biāo)準(zhǔn)和國(guó)家質(zhì)量認(rèn)證的法律、法規(guī)結(jié)合信息安全產(chǎn)品的特點(diǎn)開(kāi)展測(cè)評(píng)認(rèn)證工作。授權(quán)測(cè)評(píng)機(jī)構(gòu)是認(rèn)證中心根據(jù)業(yè)務(wù)發(fā)展和管理需要而授權(quán)成立的、具有測(cè)試評(píng)估能力的獨(dú)立機(jī)構(gòu)。16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證國(guó)家中心根據(jù)業(yè)務(wù)發(fā)展和管理需要而授權(quán)成立的、具有測(cè)試、評(píng)估能力的獨(dú)立機(jī)構(gòu)。所有授權(quán)測(cè)評(píng)機(jī)構(gòu)均須通過(guò)中國(guó)實(shí)驗(yàn)室國(guó)家認(rèn)可委員會(huì)（CNAL）的認(rèn)可，并經(jīng)國(guó)家中心的現(xiàn)場(chǎng)審核，審核合格者，國(guó)家中心方可批準(zhǔn)，并正式授權(quán)。到目前為止，國(guó)家中心根據(jù)發(fā)展需要，已批準(zhǔn)籌建了14家授權(quán)測(cè)評(píng)機(jī)構(gòu)。其中，上海測(cè)評(píng)中心、計(jì)算機(jī)測(cè)評(píng)中心、東北測(cè)評(píng)中心、華中測(cè)評(píng)中心、深圳測(cè)評(píng)中心已獲得正式授權(quán)；西南測(cè)評(píng)中心、身份認(rèn)證產(chǎn)品與技術(shù)測(cè)評(píng)中心等5個(gè)授權(quán)測(cè)評(píng)機(jī)構(gòu)已掛牌試運(yùn)行；其它4個(gè)授權(quán)測(cè)評(píng)機(jī)構(gòu)正處于籌建階段。這14家授權(quán)測(cè)評(píng)機(jī)構(gòu)為：16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心上海測(cè)評(píng)中心（正式授權(quán)）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心計(jì)算機(jī)測(cè)評(píng)中心（正式授權(quán)）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心華中測(cè)評(píng)中心（正式授權(quán)）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心東北測(cè)評(píng)中心（正式授權(quán)）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心深圳測(cè)評(píng)中心（正式授權(quán)）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心西南測(cè)評(píng)中心（試運(yùn)行期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心云南測(cè)評(píng)中心（試運(yùn)行期間）16.1.6信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心重慶測(cè)評(píng)中心（試運(yùn)行期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心互操作性測(cè)評(píng)中心（試運(yùn)行期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心身份認(rèn)證產(chǎn)品與技術(shù)測(cè)評(píng)中心（試運(yùn)行期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心山東測(cè)評(píng)中心（籌建期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心通訊安全測(cè)評(píng)中心（籌建期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心西北測(cè)評(píng)中心（籌建期間）中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心河南測(cè)評(píng)中心（籌建期間）16.2信息安全相關(guān)法律法規(guī) 16.2.1國(guó)內(nèi)信息安全相關(guān)法律法規(guī) 國(guó)內(nèi)主要的信息安全相關(guān)法律法規(guī)如下：信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例2006—2020年國(guó)家信息化發(fā)展戰(zhàn)略網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度信息安全等級(jí)保護(hù)管理辦法(試行)互聯(lián)網(wǎng)信息服務(wù)管理辦法中華人民共和國(guó)電信條例中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例16.2.1國(guó)內(nèi)信息安全相關(guān)法律法規(guī)公用電信網(wǎng)間互聯(lián)管理規(guī)定聯(lián)網(wǎng)單位安全員管理辦法（試行）文化部關(guān)于加強(qiáng)網(wǎng)絡(luò)文化市場(chǎng)管理的通知證券期貨業(yè)信息安全保障管理暫行辦法中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法科學(xué)技術(shù)保密規(guī)定計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定計(jì)算機(jī)軟件保護(hù)條例16.2.1國(guó)內(nèi)信息安全相關(guān)法律法規(guī)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)電子認(rèn)證服務(wù)密碼管理辦法互聯(lián)網(wǎng)IP地址備案管理辦法計(jì)算機(jī)病毒防治管理辦法中華人民共和國(guó)電子簽名法認(rèn)證咨詢(xún)機(jī)構(gòu)管理辦法中華人民共和國(guó)認(rèn)證認(rèn)可條例16.2.1國(guó)內(nèi)信息安全相關(guān)法律法規(guī)認(rèn)證培訓(xùn)機(jī)構(gòu)管理辦法中華人民共和國(guó)產(chǎn)品質(zhì)量法中華人民共和國(guó)產(chǎn)品質(zhì)量認(rèn)證管理?xiàng)l例商用密碼管理?xiàng)l例網(wǎng)上證券委托暫行管理辦法信息安全產(chǎn)品測(cè)評(píng)認(rèn)證管理辦法產(chǎn)品質(zhì)量認(rèn)證收費(fèi)管理辦法16.2.2國(guó)外信息安全相關(guān)法律法規(guī)1990年美國(guó)人JohnPerryBarlow第一個(gè)使用“CyberSpace”一詞來(lái)表示網(wǎng)絡(luò)世界。因此現(xiàn)在國(guó)際上一般用“Cyberlaw”或者“CyberspaceLaw”來(lái)表示網(wǎng)絡(luò)法。但是由于相對(duì)于傳統(tǒng)法規(guī)建設(shè)而言，網(wǎng)絡(luò)立法發(fā)展時(shí)間很短，所以現(xiàn)在有關(guān)網(wǎng)絡(luò)案件的審理，大多是依據(jù)傳統(tǒng)法律與新制定的網(wǎng)絡(luò)法規(guī)的結(jié)合進(jìn)行的。下面是一些主要的法律。16.2.2國(guó)外信息安全相關(guān)法律法規(guī)1)美國(guó)《數(shù)字時(shí)代版權(quán)法》。美國(guó)國(guó)會(huì)于1998年10月12日通過(guò)，28日克林頓簽署生成法律。該法是為了貫徹執(zhí)行世界知識(shí)產(chǎn)權(quán)保護(hù)組織(WIPO)1996年12月簽訂的條約，要求公共圖書(shū)館、學(xué)校、教育機(jī)構(gòu)等各種團(tuán)體和個(gè)人，不得非法拷貝、生產(chǎn)或傳播包括商業(yè)軟件在內(nèi)的各種信息資料。(2)歐盟《數(shù)據(jù)庫(kù)指令》，1996年3月歐共體制定。該指令主要為了保護(hù)數(shù)據(jù)庫(kù)版權(quán)。(3)歐盟《