BS7799和ISO/IEC17799信息安全管理体系及其认证认可相关知识问答PDF电子书下载

目录 1

第一章 BS 7799和ISO/IEC 17799概括性问题 1

1．什么是信息？ 1

2．什么是信息安全？ 1

3．为什么需要信息安全？ 2

4．我国的信息安全管理现状如何？ 4

5．针对我国的信息安全管理现状，我国的信息安全管理工作应如何开展？ 6

6．如何保障信息安全？ 6

7．什么是信息安全管理体系（ISMS）？ 7

8．组织内建立信息安全管理体系（ISMS）的作用有哪些？ 8

9．对组织内部成功实施ISMS至关重要的因素有哪些？ 9

10．本书中关于BS 7799和ISO/IEC 17799的各种版本分别是怎么区别的？ 9

12．BS 7799的发展历程是怎样的？ 10

11．BS 7799由哪几部分组成？ 10

13．BS 7799是否仅适用于英国？ 11

14．BS 7799是否包含对英国法律体系的特殊要求？ 12

15．BS 7799是否是一个国际标准？ 12

16．目前有多少国家接受BS 7799为其国家标准？ 12

17．为什么只有BS7799第一部分被提议成为ISO/IEC标准？ 13

18．什么是ISO，它与IEC有什么关系？ 13

19．BS 7799中是否规定了具体的风险评估方法？ 14

20．本书中为什么将BS 7799标准中的“Policy”译为“方针”？ 14

21．ISO/IEC 17799：2000的目的是什么？ 15

22．ISO/IEC 17799：2000和BS 7799的关系是怎样的？ 15

23．ISO/IEC 17799：2000包括哪些内容？ 15

24．ISO/IEC 17799：2000不涉及哪些内容？ 17

25．ISO/IEC 17799：2000是由谁制定的？ 17

27．ISO/IEC 17799：2000是否可以用作信息安全管理体系的认证标准？ 18

26．ISO/IEC 17799：2000是否也像BS 7799一样有第二部分？ 18

28．ISO/IEC 17799是否可以被组织独立应用？ 19

29．什么是CC标准，其发展历程如何？ 19

30．CC标准与BS 7799有什么异同？ 21

31．什么是ISO/IEC TR 13335，它与ISO/IEC 17799有什么关系？ 21

32．如何确定组织的信息安全要求？ 23

33．信息安全管理标准化有什么意义？ 23

34．我国信息安全管理标准化工作应如何开展？ 24

35．我国为信息安全标准化做了哪些工作？ 25

第二章 BS 7799-2涉及的问题 28

36．BS 7799-2适用于哪些类型的组织？ 28

37．BS 7799-2于2002年重新修订的主要原因是什么？ 28

40．BS 7799-2：2002颁布后按BS 7799-2：1999颁发的证 29

39．BS 7799-2：2002引入了新的审核和认证要求吗？ 29

38．BS 7799-2：2002主要修订内容是什么？ 29

书还有效吗？ 30

41．BS 7799-2：2002引用了哪些标准？ 30

42．BS 7799-2：2002引入了新的控制方式吗？ 30

43．BS 7799-2：2002有利于各种管理体系的整合认证吗？ 30

44．BS 7799-2：2002是由谁修订的？ 32

45．什么是ISMS IUG？ 33

46．风险评估在BS 7799-2：2002中是否仍然是建立信息安全管理体系的关键步骤？ 33

47．什么是过程方法？ 33

48．过程方法鼓励用户关注哪些信息安全内容？ 34

49．什么是PDCA过程模式？ 34

50．按照BS 7799-2：2002要求PDCA四个阶段的工作是如何分布的？ 35

52．是否可以考虑对标准进行删减，删减的原则是什么？ 36

51．BS 7799-2：2002中给出哪些术语和定义？ 36

54．信息安全管理体系的设计和实施受哪些因素影响？ 37

55．组织应该将信息安全管理体系放在一个什么高度？ 37

53．信息安全管理体系的总要求是什么？ 37

56．建立ISMS的具体步骤是怎样的？ 38

57．ISMS策划与准备阶段涉及的工作有哪些？ 39

58．ISMS建立过程中培训教育工作如何开展？ 40

59．如何准确描述ISMS的范围？ 40

60．ISMS建立过程中现状调查与风险评估的主要工作有哪些？ 41

61．现状调查与风险评估的工作流程是怎样的？ 41

62．ISMS策划的具体工作有哪些？ 42

64．ISMS至少应该包括哪些文件？ 43

65．信息安全管理体系文件编写要求有哪些？ 43

63．什么是信息安全管理体系文件？ 43

66．编写信息安全管理体系文件的主要依据有哪些？ 44

67．ISMS是如何控制体系文件的？ 45

68．各组织的ISMS文件是否可以不同？ 45

69．什么是信息安全管理手册？ 45

70．信息安全管理手册包括哪些内容？ 46

71．程序文件应该包括哪些内容？ 46

72．编写信息安全管理体系程序文件应遵循哪些原则？ 46

73．信息安全管理体系程序文件的内容与格式有哪些要求？ 47

74．编写信息安全管理体系程序文件时应注意哪些事项？ 48

75．程序文件与作业指导性文件有何区别和联系？ 48

76．什么是记录？ 49

77．组织为什么要保留记录？ 49

79．ISMS运行过程中，组织应注意哪些方面？ 50

78．ISMS如何控制记录？ 50

80．组织在提高员工能力方面应该做哪些工作？ 51

81．最高管理者如何支持信息安全管理体系？ 52

82．信息安全管理体系建立文件化的程序的目的是什么？ 52

83．什么是管理评审？ 52

84．管理评审的输入有哪些？ 53

85．管理评审的输出有哪些？ 53

86．信息安全管理体系评审的步骤是怎样的？ 54

87．通过哪些方法持续改进信息安全管理体系？ 54

90．纠正措施的具体步骤是怎样的？ 56

91．什么是预防措施？ 56

92．预防措施的具体步骤是怎样的？ 56

89．什么是纠正措施？ 56

88．ISMS的内部审核周期多长？ 56

93．什么是控制概要？ 57

94．控制概要（SoC）和适用性声明（SoA）在BS 7799-2：2002中有何关系？ 57

95．ISMS如何处理与上级ISMS或者下级ISMS的关系？ 57

96．什么是风险处理计划？ 58

第三章 风险评估涉及的问题 59

97．什么是威胁？ 59

98．评估威胁发生的可能性需要考虑哪些方面？ 60

99．什么是薄弱点？ 60

100．什么是风险？ 61

101．什么是风险评估？ 61

102．什么是安全控制？ 61

106．什么是风险管理？ 62

105．为什么要进行风险评估？ 62

104．什么是适用性声明？ 62

103．什么是剩余风险？ 62

107．风险评估与ISO/IEC 17799和BS 7799-2的关系？ 63

108．风险评估时应考虑哪些因素？ 63

109．风险评估过程中哪些内容应该被文件化？ 63

110．怎样才能确保识别全部重要信息资产？ 64

111．对于已识别的风险组织应如何进行处理？ 64

112．风险评估的基本步骤有哪些？ 65

113．影响威胁发生的可能性的因素有哪些？ 65

114．安全控制可分为哪几类，每一类的作用是什么？ 66

115．风险控制过程涉及的活动有哪些？ 66

116．根据风险评估的深度，风险评估方法有哪几种？ 67

117．什么是基本的风险评估，此评估方法适用于何种组织？ 67

119．基本风险评估的优点有哪些？ 68

118．基本风险评估活动涉及的具体内容有哪些？ 68

120．基本风险评估的缺点有哪些？ 69

121．什么是详细的风险评估？ 69

122．详细风险评估活动涉及的具体内容有哪些？ 70

123．详细风险评估的优点有哪些？ 71

124．详细风险评估的缺点有哪些？ 71

125．什么是联合评估方法？ 71

126．联合评估方法的优点有哪些？ 71

127．联合评估方法的缺点有哪些？ 72

128．组织在选择风险评估方法时，应该考虑哪些方面的内容？ 72

129．信息安全风险评估应在何时进行？ 73

131．信息安全方针和标准、指南、程序、控制有什么区别？ 74

130．什么是信息安全方针？ 74

第四章 ISO/IEC 17799（BS 7799-1）涉及的问题 74

第一节 信息安全方针（策略）中涉及的问题 74

132．为什么需要信息安全方针？ 75

133．信息安全方针包括哪些信息？ 76

134．什么时候进行信息安全方针的评审？ 78

135．信息安全方针的评审包括哪些内容？ 78

136．ISO/IEC 17799中明确提出哪些信息安全方针？ 78

137．如何保证信息安全方针得到贯彻执行？ 79

138．如何衡量信息安全方针优劣？ 80

第二节 安全组织中涉及的问题 81

139．信息安全组织机构包括哪些内容？ 81

140．信息安全管理论坛的作用是什么？ 83

141．信息安全协调委员会的作用是什么？ 83

143．信息处理设施的授权程序应考虑哪些方面？ 84

142．信息安全权责的分配应该遵循什么原则？ 84

144．向谁咨询信息安全相关的问题？ 85

145．组织在信息安全事宜上可能需要哪些外部支持？ 86

146．如何能够保证在发生信息安全事件时能够迅速得到外部支持？ 86

147．什么是审核的独立性？ 86

148．信息安全审核为什么要坚持独立性？ 86

149．在信息安全管理体系中哪些人员属于第三方？ 87

150．第三方访问的类型有哪几种？ 87

151．第三方访问的原因是什么？ 87

152．为什么要控制第三方访问？ 88

153．第三方访问的控制目标是什么？ 88

154．哪些第三方访问需要授权？ 88

155．第三方访问合同中的安全要求有哪些？ 89

156．怎样执行第三方访问授权程序？ 90

158．外包合同中应该包含哪些安全要求？ 91

157．对第三方访问的控制措施有哪些？ 91

第三节 资产的分类和控制中涉及的问题 92

159．为什么要进行信息资产盘点？ 92

160．为防止信息资产被盗与丢失，组织可采取哪些控制 92

措施？ 93

161．哪些资产在需要盘点之列？ 93

162．维护一份信息资产清单有什么好处？ 93

163．信息资产清单应包括哪些项目？ 94

164．为什么要对信息进行分级？ 94

165．组织应如何进行信息分级？ 94

167．谁来确定信息的级别？ 95

168．谁负责维护信息级别的适宜性？ 95

166．信息分级应该坚持什么原则？ 95

169．怎样对信息进行标识？ 96

170．信息标识应该注意哪些问题？ 96

171．不同分级的信息在管理的哪些方面存在区别？ 96

第四节 人员安全中涉及的问题 97

172．人员安全控制的目的是什么？ 97

173．为加强组织内部人员的安全控制，组织应采取何种措施？ 97

174．工作职责应该包括哪些信息安全职责？ 98

175．应对哪部分人员进行信息安全考察？ 98

176．信息安全的人员考察过程应在什么时候进行？ 99

177．在招聘长期雇员时应该考察哪些方面？ 99

178．为什么需要签订保密协议？ 99

182．雇用条款中应包括哪些方面的安全要求？ 100

181．保密方面的约定可能突破雇用合同期吗？ 100

180．保密方面的约定可以突破组织的范围吗？ 100

179．什么时候需要保密协议？ 100

183．用户培训的目的是什么？ 101

184．组织需要对哪些用户进行信息安全培训？ 101

185．组织的信息安全培训主要有哪些内容？ 101

186．用户培训时机怎么来确定？ 102

187．在安全事件与安全故障响应中组织应注意哪几方面？ 102

188．什么是安全事件？ 103

189．为什么需要信息安全报告与响应机制？ 103

190．谁来报告信息安全事件和可疑现象？ 104

191．安全事件与安全故障报告程序中应明确规定哪些内容？ 104

192．哪些内容需要报告？ 104

195．谁来确认信息安全薄弱点？ 105

196．如何来提高信息安全事件报告和响应的效率效果？ 105

194．影响信息安全事件响应优先次序的因素有哪些？ 105

193．谁来响应信息安全报告？ 105

197．发生软件故障时应采取何种措施？ 106

198．员工违背了信息安全方针和程序怎么办？ 106

第五节 物理和环境安全中涉及的问题 107

199．什么是安全区域（Security Areas）？ 107

200．为什么需要设立安全区域？ 107

201．如何确保安全区域安全？ 107

202．为安全区域建立安全周界时应考虑哪些因素？ 108

203．如何控制安全区域的物理进出？ 109

204．如何保证办公室、房间和设施的安全？ 109

205．组织应对在安全区域内的人员采取哪些控制？ 110

207．设备的定置需要考虑哪些因素？ 111

206．组织应如何对存储区域和传送区域加以控制？ 111

209．电缆可能有哪些威胁？ 113

210．需要对电缆采取哪些控制？ 113

208．在安排供电方面需要考虑的因素有哪些？ 113

211．对于敏感和重要系统的电缆需要采取哪些额外控制？ 114

212．设备维护应考虑哪些方面？ 114

213．设备要外出维修时候应注意哪些问题？ 115

214．什么是场所外设备？ 115

215．怎样管理和使用工作场所外的设备？ 116

216．如何保证设备的处置和再使用安全？ 116

217．清除桌面（Clear Desk）方针和清除屏幕（Clear Screen）方针包括哪些要求？ 117

218．为什么需要制定清除桌面方针和清除屏幕方针？ 117

第六节 通信和运作管理中涉及的问题 118

220．运作程序和职责控制包括哪些方面的内容？ 118

219．如何控制资产迁移？ 118

221．运作程序和职责控制的目的是什么？ 120

222．组织的运作程序（Operating Procedures）应该对哪些方面进行规范？ 120

223．如何控制信息处理设施和系统的更改？ 120

234．事件管理程序的目的是什么？ 121

235．事件管理程序应该涵盖哪些类型的安全事件？ 121

226．事件管理程序应该涵盖哪些行动？ 121

237．事件管理程序为什么要强调证据的收集？ 122

228．为什么要强调职责分离？ 122

229．职责分离应该考虑哪些因素？ 122

230．如果职责分离有困难怎么办？ 123

231．直接在运行系统进行开发会带来哪些风险？ 123

232．开发设施和运行设施隔离可采用哪些控制？ 123

234．为什么需要对系统进行容量策划？ 124

233．外包设施控制需要考虑哪些因素？ 124

235．系统容量策划需要考虑哪些因素？ 125

236．系统验收标准应考虑哪几方面？ 125

237．怎么能够保证系统满足验收标准？ 125

238．什么是“恶意软件”（Malicious Software）？ 125

239．恶意软件的控制应该考虑哪些因素？ 126

240．什么是“内务管理”？ 127

241．为什么需要信息备份？ 128

242．如何保证备份的有效性？ 128

243．操作者记录中应记录哪些内容？ 128

244．对操作日志的核查要求有哪些？ 129

245．处理故障报告应遵循哪些规则？ 129

24．可采用的网络安全控制措施有哪些？ 130

247．网络所面临的典型威胁包括哪些？ 130

246．什么是“网络管理”？ 130

249．可移动计算机媒体的管理需要坚持什么原则？ 131

250．哪些媒体的处置需要考虑安全问题？ 131

251．信息媒体的处置应该坚持哪些原则？ 131

252．系统文档为什么重要？ 132

253．如何保证系统文档安全？ 132

254．信息和软件交换的协议应该考虑哪些因素？ 133

255．媒体传送过程中需要采取哪些控制？ 133

256．电子商务活动可分为哪几种？ 134

257．确保电子商务安全应该考虑哪些因素？ 135

258．电子邮件给组织带来哪些风险？ 136

260．在确保电子办公系统安全时应该考虑哪些方面？ 137

259．电子邮件使用方针主要包括哪些内容？ 137

261．公众可访问信息系统的控制要达到的什么样的目的？ 138

262．使用声音、传真和视频通信应注意哪些问题？ 139

第七节 访问控制中涉及的问题 140

263．什么是访问控制？ 140

264．为什么要制定访问控制方针？ 140

265．访问控制方针要考虑哪些方面？ 140

266．在制定访问控制规则时应该考虑些什么问题？ 141

267．如何对用户访问进行管理？ 141

268．用户注册过程应该包含的内容有哪些？ 142

269．什么是特权？ 142

270．特权分配程序应考虑哪些方面？ 142

271．如何管理用户口令？ 143

274．用户在访问控制方面要承担哪些职责？ 144

272．什么是身份鉴别？ 144

273．什么时候进行用户访问权限的评审？ 144

275．用户如何来选择健壮的口令？ 145

276．用户应该养成哪些使用口令的好习惯？ 145

277．用户如何保证无人值守设备的安全？ 145

278．组织的网络访问控制包括哪些工作？ 146

279．网络服务的使用控制方针应该涵盖哪些内容？ 148

280．强制路径包括哪些形式？ 148

281．什么是节点？ 149

282．什么是VPN？ 149

283．为什么要实施路径强制？ 149

286．为什么要进行网络隔离？ 150

285．如何保护远程诊断端口？ 150

284．对远程终端识别可采用哪些方法？ 150

287．网络隔离应该坚持什么原则？ 151

288．应该限制哪些网络连接？ 152

289．如何进行路由控制？ 152

290．组织在运作系统访问控制方面应如何开展工作？ 153

291．什么是自动终端识别？ 153

282．自动终端鉴别主要应用于哪些场合？ 154

293．一个安全的登录程序应该注意哪些问题？ 154

294．对谁进行身份识别和鉴别？ 155

295．一个良好的口令管理系统应该具有哪些特征？ 155

297．什么是强制警报？ 156

298．什么是终端超时？ 156

296．如何控制工具软件的使用？ 156

299．什么是连接时间限制？ 157

300．应用系统应具备哪些安全功能？ 157

301．应用系统的信息访问控制应该考虑哪几方面？ 157

302．信息系统监控包括哪些方面的内容？ 158

303．审核日志应该记录哪些信息？ 158

304．如何确定审核日志的评审频度？ 159

305．日志系统可能遭遇哪些威胁？ 160

306．为什么要求计算机时钟同步？ 160

307．移动计算设施可能给组织带来哪些风险？ 160

308．应该采取哪些措施来加强远程办公的安全？ 161

第八节 系统开发和维护中涉及的问题 162

309．信息系统开发的安全要求有哪些？ 162

310．设计阶段如何确保应用系统安全？ 162

312．应用系统的内部完整性检查应该包括哪些方面？ 163

311．应用系统的输入确认可以从哪些方面考虑控制？ 163

313．什么是信息鉴别？ 164

344．输出数据确认主要包括哪些内容？ 164

315．组织在加密技术控制方面可采取哪些措施？ 165

316．在制定加密方针时应该考虑哪些问题？ 165

317．什么是数字签名？ 166

318．什么是PKI？ 166

319．什么是数字证书？ 167

320．PKI可以提供哪些服务？ 168

321．数字证书的原理是什么？ 169

322．什么是CA中心？ 169

323．CA中心具有哪些功能？ 170

325．从哪里获得数字证书？ 171

324．数字证书有哪些类型？ 171

326．数字证书丢失了怎么办？ 172

327．什么是无否定服务？ 172

328．什么是公开密钥密码体制？ 173

329．什么是秘密密钥密码体制？ 173

330．对称密码体制的密钥失去机密性会带来哪些风险？ 173

331．密钥保护需要考虑哪些问题？ 174

332．组织应如何确保系统文件的安全？ 175

333．为保护运行系统应该对软件采取哪些控制？ 175

334．如何保护系统试验数据？ 176

335．对源程序库应该采取哪些控制？ 176

336．为确保开发和支持过程中的安全，组织应采取哪些控制措施？ 177

337．对应用软件更改应该进行哪些控制？ 177

338．操作系统（Operating System）的更改应该进行怎样的技术评审？ 178

340．在进行软件包更改之前需要考虑哪些安全因素？ 179

341．什么是隐藏通道？ 179

339．什么是软件包？ 179

342．如何规避隐藏通道和特洛伊码？ 180

343．开发软件外包应该考虑进行哪些控制？ 180

第九节 业务持续性管理中涉及的问题 181

344．什么是业务持续性计划（Business Continuity Plan-ning）？ 181

345．为保证业务持续发展从安全角度组织应该做哪些工作？ 181

346．组织在建立业务持续性管理过程中，应考虑哪些关键因素？ 183

347．制定业务持续发展计划时应该考虑哪些因素？ 183

348．为什么必须测试业务持续性计划？ 184

349．确立业务持续性计划方案时，组织应考虑哪些内容？ 184

350．灾难恢复计划与业务持续性计划之间的区别是什么？ 185

352．在确保符合法律法规方面，组织应从哪些方面加以考虑？ 186

351．业务持续性管理的目的是什么？ 186

第十节 符合法律法规和方针相关的问题 186

353．什么是知识产权？ 188

354．中国在知识产权保护方面有哪些法律法规？ 189

355．组织对记录进行保护的目的是什么？ 189

356．在记录保护方面组织应采取哪些控制措施？ 189

357．证据法则中对组织收集的证据有哪些规定？ 190

358．安全方针符合性评审包括哪些内容？ 191

359．技术符合性评审包括哪些内容？ 191

360．符合法律法规要求的目的是什么？ 192

361．我国宪法中是否有关于信息安全的要求？ 192

362．我国刑法中是否有关于信息安全的要求？ 194

363．《中华人民共和国国家安全法》赋予国家安全机关信息安全方面的职权有哪些？ 196

364．《中华人民共和国国家安全法》赋予公民和组织信息安全方面的权利和义务有哪些？ 197

365．《计算机信息系统安全保护条例》要求组织承担哪些责任？ 198

366．《商用密码管理条例》要求组织承担哪些责任？ 200

367．由全国人民代表大会及其常务委员会通过的涉及信息安全的法律法规有哪些？ 203

368．国务院为执行宪法和法律而制定的信息安全有关的行政法规有哪些？ 204

369．国务院各部委制定的信息安全方面的部门规章及规范性文件有哪些？ 205

370．系统审核应注意哪些问题？ 207

第五章 有关认证、认可的问题 208

371．什么是认可？ 208

372．什么是认可机构？ 208

373．什么是国家认可制度？ 208

374．什么是国际互认？ 209

375．目前有哪些著名国际互认组织？ 209

376．中国的国家认可制度发展情况如何？ 210

377．什么是认证？ 212

378．什么是认证机构？ 212

379．认证的依据是什么？ 212

380．贯彻BS 7799是否必须进行认证？ 212

381．我国目前的信息安全产品认证用标准主要有哪些？ 213

382．我国目前的信息系统安全认证用标准主要有哪些？ 218

383．我国目前的信息安全服务认证用标准主要有哪些？ 218

384．认证与认可有哪些区别？ 220

385．ISMS认证的目的和作用是什么？ 220

386．组织申请信息安全管理体系认证的基本条件是什么？ 221

387．什么是文件审核？ 222

388．什么是初始审核？ 222

391．什么是现场审核？ 223

390．ISMS审核必须经过初访吗？ 223

389．初始审核所需时间受哪些因素影响？ 223

392．ISMS现场审核可能得出什么结论？ 224

393．什么是体系审核？ 224

394．信息安全管理体系审核的依据是什么？ 225

395．信息安全管理体系审核的基本步骤有哪些？ 225

396．ISMS内部审核策划阶段应做好哪些工作？ 225

397．信息安全管理体系内审员应具备的基本技能有哪些？ 226

398．信息安全管理体系内部审核员的作用是什么？ 226

399．信息安全管理体系审核的准备工作应如何展开？ 228

400．核查表（Checklist）对审核员来说起什么作用？ 229

401．设计核查表（Checklist）时应注意哪些问题？ 230

403．在选择信息安全管理体系审核组长时，主要应考虑哪些因素？ 231

404．审核员的职责有哪些？ 231

402．信息安全管理体系审核组长的职责有哪些？ 231

405．合格审核员应具备哪些能力？ 232

406．合格审核员所应掌握的知识有哪些？ 234

407．在选择信息安全管理体系内部审核员时，主要应考虑哪些因素？ 234

408．信息安全管理体系审核实施阶段的步骤有哪些？ 235

409．信息安全管理体系审核的首次会议应该涉及哪些议题？ 235

410．信息安全管理体系审核的末次会议应该涉及哪些议题？ 236

411．ISMS不符合项的种类有哪些？ 237

412．对于出现的每一个不符合项，组织应该采取哪些措施？ 237

413．ISMS审核报告中具体应该包括哪些内容？ 238

414．信息安全管理体系认证证书中应包含哪些内容？ 238

415．ISMS认证是否是终身有效的？ 239

416．对组织ISMS监督审核的目的和要求是什么？ 239

参考文献 241