ISO/IEC17799：2000信息技术(doc 61页)

ISO/IEC17799：2000信息技术目录：
1、范围 
2、术语及定义 
3、安全方针 
3.1信息安全方针    
3.1.1信息安全方针文件
3.1.2评审和评估 
4、组织安全 
4.1信息安全基础 
4.2第三方访问的安全性
4.3外协
5资产的归类和控制
5.1资产的责任
5.2信息归类
6人员安全
6.1工作规定及资源的安全  
6.2用户培训
6.3安全事故和故障的反应
7物理和环境安全
7.1安全区域
7.2设备安全        
7.3控制总则
8通信和操作管理
8.1操作程序和责任
8.2系统规划与验收       
8.3防范恶意的软件       
8.4内务处理       
8.5网络管理      
8.6媒体处理和安全       
8.7信息与软件交换       
9  访问控制
9.1  访问控制的商务需要
9.2  用户访问管理
9.3  用户职责
9.4  网络访问控制
9.5  操作系统访问控制
9.6  应用访问控制
9.7  监督系统的访问和使用
9.8  移动式计算和远程工作
10 系统开发和维护
10.1 系统安全要求
10.2 应用系统中的安全
10.3 密码技术控制
10.4 系统文件的安全
10.5 开发和支持处理中的安全           
11 商务连续性管理
11.1 商务连续性管理方面
12 符合性
12.1 符合法规要求               
12.2 安全方针和技术符合性评审
12.3 系统审核方面需要考虑的事项

 

ISO/IEC17799：2000信息技术内容提要：
什么是信息安全？
信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要妥善保护。信息安全使信息避免一系列威胁，保障商务的连续性，最大限度地减小商务的损失，最大限度地获取投资和商务的回报。
信息可以以多种形式存在。它可以是打印或写在纸上，电子形式存贮，通过邮件或用电子手段传输，显示在胶片上或表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，它应总是得到妥善保护的。
信息安全的维持可表征为：
A机密性：确保信息仅可让授权获取的人士访问；
B完整性：保护信息和处理方法的准确和完善；
C可用性：确保授权人需要时可以获取信息和相应的资产。
信息安全通过执行一套适当的控制来达到。它可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，以保障组织特定安全目标的实现。
为什么需要信息安全？
信息及支持过程，系统和网络都是重要的商务资产。信息的机密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商务形象是至关重要的。
因此，组织及其信息系统和网络面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得更加普遍，更加野心勃勃，更加错综复杂。

..............................