信息安全标准与法律法规5

第9章 信息安全国际标准
4. ISO/IEC27002的使用说明

来自百度文库

ISO/IEC27002:2005的通用性，体现在标准中提 出的控制措施是从信息安全工作实践中总结出来 的，是最佳实践。任何规模、任何性质的有信息 安全要求的组织，不管其是否建设ISMS，都可以 从标准中找到适合自己使用的控制措施来满足其 信息安全要求。 另外，ISO/IEC27002:2005中提出的控制目标和 控制措施，对一个具体的组织并不一定全部适用， 也不一定就是信息安全控制措施的全部。任何组 织还可以根据具体情况选择ISO/IEC27002:2005 以外的控制目标和控制措施。
第9章 信息安全国际标准
2. ISO/IEC27002的范围 ISO/IEC27002为组织实施信息安全管理提供 建议，供一个组织中负责信息安全工作的人员使 用。该标准适用于各个领域、不同类型、不同规 模的组织。对于标准中提出的任何一项具体的信 息安全控制措施，组织应考虑本国的法律法规以 及组织的实际情况来选择使用。参照本标准，组 织可以开发自己的信息安全准则和有效的安全管 理方法，并提供不同组织间的信任。

第9章 信息安全国际标准
1. ISO/IEC27002的由来
上个世纪90年代末，人们开始意识到管理在解决信息 安全问题中的作用。1993年9月，由英国贸工部（DTI） 组织许多企业参与编写了一个信息安全管理的文本－“信 息安全管理实用规则（Code of practice for information security management）”，1995年2月，在该文本的基 础上，英国发布了国家标准BS7799-1:1995。1999年英 国对该标准进行了修订后发布1999年版，2000年12月被 采纳成为国际标准，即ISO/IEC17799:2000。2005年6月 15日，该标准被修订发布为ISO/IEC17799:2005。2007 年4月正式更名为ISO/IEC 27002。
第9章 信息安全国际标准
5.我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。 2002年，全国信息安全标准化技术委员会 （www.tc260.org.cn） 成立之初，其第七工作组（WG7）就开始 了ISO/IEC17799的研究和制标工作。 2005年6月15日，我国发布了国家标准“GB/T197162005信息安全管理实用规则”，修改采用 ISO/IEC17799:2000。 2006年，根据ISMS国际标准的发展和我国的实际需要， 全国信息安全标准化技术委员会又提出了GB/T19716-2005的 修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定 和研究计划。相信不久，对应最新ISMS国际标准的国家标准 就会发布，以供大家遵照使用。
第9章 信息安全国际标准
1.

ISO/IEC27002的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是 网络技术的应用而来的。人们在解决信息安全问题以满足 信息安全要求的过程中，经历了由“重技术轻管理”到 “技术和管理并重”的两个不同阶段。 当信息安全问题开始出现的初期，人们解决信息安全问题 的主要途径就是安装和使用信息安全产品，如加密机、防 火墙、入侵检测设备等。信息安全技术和产品的应用，一 定程度上解决了部分信息安全问题。但是人们发现仅仅靠 这些产品和技术还不够，即使采购和使用了足够先进、足 够多的信息安全产品，仍然无法避免一些信息安全事件的 发生。与组织中个人有关的信息安全问题、信息安全成本 和效益的平衡、信息安全目标、业务连续性、信息安全相 关法规符合性等，这些问题与信息安全的要求都密切相关， 而仅仅通过产品和技术是无法解决的。
第9章 信息安全国际标准
4. ISO/IEC27002的使用说明

ISO/IEC27002:2005作为信息安全管理的最佳实践，它的 应用既有专用性的特点，也有通用性特点。 说它具有专用性，是因为作为信息安全管理体系标准族 （ISMS标准）中的一员，目前它与ISMS的要求标准 ISO/IEC27001:2005是组合使用的，ISO/IEC27001:2005 中的规范性附录A就是ISO/IEC27002:2005的控制目标和 控制措施集。对于期望建设和实施ISMS的组织，应根据 ISO/IEC27001:2005的要求，选择ISMS范围，制定信息 安全方针和目标，实施风险评估，根据风险评估的结果， 选择控制目标和控制措施，制定和实施风险处理计划，执 行内部审核和管理评审，以持续改进。
第9章 信息安全国际标准
3. ISO/IEC27002的主要内容



ISO/IEC27002:2005是一个通用的信息安全控制措施集， 这些控制措施涵盖了信息安全的方方面面，是解决信息安 全问题的最佳实践。 标准从什么是信息安全、为什么需要信息安全、如何建立 安全要求和选择控制等问题入手，循序渐进，从11个方面 提出了39个信息安全控制目标和133个控制措施。每一个 具体控制措施，标准还给出了详细的实施方面的信息，以 方便标准的用户使用。 值得注意的是，标准中推荐的这133个控制措施，并非信 息安全控制措施的全部。组织可以根据自己的情况选择使 用标准以外的控制措施来实现组织的信息安全目标。

第9章 信息安全国际标准
互操作标准



对称加密标准DES,3DES, IDEA以及被普遍看好的AES 非对称加密标准RSA VPN标准IPSec 传输层加密标准SSL 数字证书标准X.509 安全电子邮件标准S-MIME 安全电子交易标准SET 通用脆弱性描述标准CVE
第9章 信息安全国际标准
第9章 信息安全国际标准
3. ISO/IEC27002的主要内容
从内容和机构上看，可以将标准分为四个部分： 一、引言部分。 主要介绍了信息安全的基础知识，包括什么是 信息安全、为什么需要信息安全、如何建立安全 要求、评估安全风险等8个方面内容。 二、标准的通用要素部分（1～3章）。 第1章是标准的范围，给出了该标准的内容概 述、用途及目标。第2章是术语和定义，介绍了资 产、控制措施、指南、信息处理设施、信息安全 等十七个术语。第3章则给出了该标准的结构。
测评认证标准 “桔皮书”（TCSEC） 信息产品通用测评准则（CC/ISO 15408） 安全系统工程能力成熟度模型（SSE-CMM）
第9章 信息安全国际标准
管理标准 信息安全管理标准（ISO 13335） 信息安全管理体系标准（ISO 17799，由英 国标准协会的BS7799演进而来）
信息安全标准与法律法规
数计/软件学院 钟尚平
讲授内容

第一部分 总论
第1章 信息安全概述与涉及的法律问题 第2章 立法，司法和执法组织 第3章 信息安全法律规范

第二部分 信息安全法律法规
第4章 信息系统安全保护相关法律法规 第5章 互联网络管理相关法律法规 第6章 其它有关信息安全的法律法规 第7章 依法实践，保障信息安全
第9章 信息安全国际标准
第9章 信息安全国际标准
目前，国际上有影响的信息安全标准体系： 1.ISO/IEC的国际标准13335,27000系列； 2.美国国家标准和技术委员会（NIST）的特 别出版物系列； 3.英国标准组织(BSI)的7799系列。
第9章 信息安全国际标准
标准的类型 ◇互操作标准 ◇测评认证标准 ◇管理标准
8.1 概述 3.信息安全标准

基础类标准
如：GB17859-1999《计算机信息系统安全保护等级划分准则》
应用类标准 如：GBT 20271-2006 《信息系统通用安全技术要求》 GB/T 22240-2008 《信息系统安全等级保护定级指南》
产品类标准 其它类标准
第三部分 信息安全标准
第9章 信息安全国际标准
3. ISO/IEC27002的主要内容
三、风险评估和处理部分。 该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。 四、控制措施部分（5～15章）。 这是标准的主体部分，包括11个控制措施章节，分别是：


安全方针（控制目标：1个，控制措施： 2个） 信息安全组织（控制目标：2个，控制措施：11个） 资产管理（控制目标：2个，控制措施： 5个） 人力资源安全（控制目标：3个，控制措施：9个） 物理和环境安全（控制目标：2个，控制措施：13个） 通信和操作管理（控制目标：10个，控制措施：32个） 访问控制（控制目标：7个，控制措施：25个） 信息系统获取、开发和维护（控制目标：6个，控制措施：16个） 信息安全事件管理（控制目标：2个，控制措施：5个） 业务连续性管理（控制目标：1个，控制措施： 5个） 15符合性（控制目标：3个，控制措施：10个）

第三部分 信息安全标准
第8章 我国的信息安全标准 第9章 信息安全国际标准

第四部分 中华人民共和国网络安全法
第三部分 信息安全标准
第8章 我国的信息安全标准
8.1 概述
8.1 概述
1.标准的定义：按国家标准GB／T 39351—83定义：标准是对重复性事物和概
念所做的统一规定，它以科学、技术和实践经验 的综合为基础，经过有关方面协商一致，由主管 机构批准，以特定的形式发布，作为共同遵守的 准则和依据 。 2.标准的分级和分类 我国标准分为四级：国家标准、行业标准、地方 标准和企业标准 。
谢谢大家！
第9章 信息安全国际标准

信息安全管理实用规则 :ISO/IEC 27002
第9章 信息安全国际标准

ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一（当 时称之为ISO/IEC17799，2007年4月正式更名为 ISO/IEC 27002）。它从信息安全的诸多方面， 总结了一百多项信息安全控制措施，并给出了详 细的实施指南，为组织采取控制措施、实现信息 安全目标提供了选择，是信息安全的最佳实践。
8.1 概述
2.标准的分级和分类



按标准发生作用的范围和审批标准级别来分类：国家标准、 行业标准、地方标准和企业标准 。 按标准的约束性分类：强制性标准和推荐性标准。 按标准在标准系统中的地位和作用分类：基础标准和一般 标准。 按标准化对象在生产过程中的作用分类:产品标准 ,原材料 标准，零部件标准，工艺和工艺设备标准，设备维修标准， 检验和试验方法标准等。 按标准的性质分类：技术标准，管理标准和工作标准。