目录 1
第一章 BS 7799和ISO/IEC 17799概括性问题 1
1.什么是信息? 1
2.什么是信息安全? 1
3.为什么需要信息安全? 2
4.我国的信息安全管理现状如何? 4
5.针对我国的信息安全管理现状,我国的信息安全管理工作应如何开展? 6
6.如何保障信息安全? 6
7.什么是信息安全管理体系(ISMS)? 7
8.组织内建立信息安全管理体系(ISMS)的作用有哪些? 8
9.对组织内部成功实施ISMS至关重要的因素有哪些? 9
10.本书中关于BS 7799和ISO/IEC 17799的各种版本分别是怎么区别的? 9
12.BS 7799的发展历程是怎样的? 10
11.BS 7799由哪几部分组成? 10
13.BS 7799是否仅适用于英国? 11
14.BS 7799是否包含对英国法律体系的特殊要求? 12
15.BS 7799是否是一个国际标准? 12
16.目前有多少国家接受BS 7799为其国家标准? 12
17.为什么只有BS7799第一部分被提议成为ISO/IEC标准? 13
18.什么是ISO,它与IEC有什么关系? 13
19.BS 7799中是否规定了具体的风险评估方法? 14
20.本书中为什么将BS 7799标准中的“Policy”译为“方针”? 14
21.ISO/IEC 17799:2000的目的是什么? 15
22.ISO/IEC 17799:2000和BS 7799的关系是怎样的? 15
23.ISO/IEC 17799:2000包括哪些内容? 15
24.ISO/IEC 17799:2000不涉及哪些内容? 17
25.ISO/IEC 17799:2000是由谁制定的? 17
27.ISO/IEC 17799:2000是否可以用作信息安全管理体系的认证标准? 18
26.ISO/IEC 17799:2000是否也像BS 7799一样有第二部分? 18
28.ISO/IEC 17799是否可以被组织独立应用? 19
29.什么是CC标准,其发展历程如何? 19
30.CC标准与BS 7799有什么异同? 21
31.什么是ISO/IEC TR 13335,它与ISO/IEC 17799有什么关系? 21
32.如何确定组织的信息安全要求? 23
33.信息安全管理标准化有什么意义? 23
34.我国信息安全管理标准化工作应如何开展? 24
35.我国为信息安全标准化做了哪些工作? 25
第二章 BS 7799-2涉及的问题 28
36.BS 7799-2适用于哪些类型的组织? 28
37.BS 7799-2于2002年重新修订的主要原因是什么? 28
40.BS 7799-2:2002颁布后按BS 7799-2:1999颁发的证 29
39.BS 7799-2:2002引入了新的审核和认证要求吗? 29
38.BS 7799-2:2002主要修订内容是什么? 29
书还有效吗? 30
41.BS 7799-2:2002引用了哪些标准? 30
42.BS 7799-2:2002引入了新的控制方式吗? 30
43.BS 7799-2:2002有利于各种管理体系的整合认证吗? 30
44.BS 7799-2:2002是由谁修订的? 32
45.什么是ISMS IUG? 33
46.风险评估在BS 7799-2:2002中是否仍然是建立信息安全管理体系的关键步骤? 33
47.什么是过程方法? 33
48.过程方法鼓励用户关注哪些信息安全内容? 34
49.什么是PDCA过程模式? 34
50.按照BS 7799-2:2002要求PDCA四个阶段的工作是如何分布的? 35
52.是否可以考虑对标准进行删减,删减的原则是什么? 36
51.BS 7799-2:2002中给出哪些术语和定义? 36
54.信息安全管理体系的设计和实施受哪些因素影响? 37
55.组织应该将信息安全管理体系放在一个什么高度? 37
53.信息安全管理体系的总要求是什么? 37
56.建立ISMS的具体步骤是怎样的? 38
57.ISMS策划与准备阶段涉及的工作有哪些? 39
58.ISMS建立过程中培训教育工作如何开展? 40
59.如何准确描述ISMS的范围? 40
60.ISMS建立过程中现状调查与风险评估的主要工作有哪些? 41
61.现状调查与风险评估的工作流程是怎样的? 41
62.ISMS策划的具体工作有哪些? 42
64.ISMS至少应该包括哪些文件? 43
65.信息安全管理体系文件编写要求有哪些? 43
63.什么是信息安全管理体系文件? 43
66.编写信息安全管理体系文件的主要依据有哪些? 44
67.ISMS是如何控制体系文件的? 45
68.各组织的ISMS文件是否可以不同? 45
69.什么是信息安全管理手册? 45
70.信息安全管理手册包括哪些内容? 46
71.程序文件应该包括哪些内容? 46
72.编写信息安全管理体系程序文件应遵循哪些原则? 46
73.信息安全管理体系程序文件的内容与格式有哪些要求? 47
74.编写信息安全管理体系程序文件时应注意哪些事项? 48
75.程序文件与作业指导性文件有何区别和联系? 48
76.什么是记录? 49
77.组织为什么要保留记录? 49
79.ISMS运行过程中,组织应注意哪些方面? 50
78.ISMS如何控制记录? 50
80.组织在提高员工能力方面应该做哪些工作? 51
81.最高管理者如何支持信息安全管理体系? 52
82.信息安全管理体系建立文件化的程序的目的是什么? 52
83.什么是管理评审? 52
84.管理评审的输入有哪些? 53
85.管理评审的输出有哪些? 53
86.信息安全管理体系评审的步骤是怎样的? 54
87.通过哪些方法持续改进信息安全管理体系? 54
90.纠正措施的具体步骤是怎样的? 56
91.什么是预防措施? 56
92.预防措施的具体步骤是怎样的? 56
89.什么是纠正措施? 56
88.ISMS的内部审核周期多长? 56
93.什么是控制概要? 57
94.控制概要(SoC)和适用性声明(SoA)在BS 7799-2:2002中有何关系? 57
95.ISMS如何处理与上级ISMS或者下级ISMS的关系? 57
96.什么是风险处理计划? 58
第三章 风险评估涉及的问题 59
97.什么是威胁? 59
98.评估威胁发生的可能性需要考虑哪些方面? 60
99.什么是薄弱点? 60
100.什么是风险? 61
101.什么是风险评估? 61
102.什么是安全控制? 61
106.什么是风险管理? 62
105.为什么要进行风险评估? 62
104.什么是适用性声明? 62
103.什么是剩余风险? 62
107.风险评估与ISO/IEC 17799和BS 7799-2的关系? 63
108.风险评估时应考虑哪些因素? 63
109.风险评估过程中哪些内容应该被文件化? 63
110.怎样才能确保识别全部重要信息资产? 64
111.对于已识别的风险组织应如何进行处理? 64
112.风险评估的基本步骤有哪些? 65
113.影响威胁发生的可能性的因素有哪些? 65
114.安全控制可分为哪几类,每一类的作用是什么? 66
115.风险控制过程涉及的活动有哪些? 66
116.根据风险评估的深度,风险评估方法有哪几种? 67
117.什么是基本的风险评估,此评估方法适用于何种组织? 67
119.基本风险评估的优点有哪些? 68
118.基本风险评估活动涉及的具体内容有哪些? 68
120.基本风险评估的缺点有哪些? 69
121.什么是详细的风险评估? 69
122.详细风险评估活动涉及的具体内容有哪些? 70
123.详细风险评估的优点有哪些? 71
124.详细风险评估的缺点有哪些? 71
125.什么是联合评估方法? 71
126.联合评估方法的优点有哪些? 71
127.联合评估方法的缺点有哪些? 72
128.组织在选择风险评估方法时,应该考虑哪些方面的内容? 72
129.信息安全风险评估应在何时进行? 73
131.信息安全方针和标准、指南、程序、控制有什么区别? 74
130.什么是信息安全方针? 74
第四章 ISO/IEC 17799(BS 7799-1)涉及的问题 74
第一节 信息安全方针(策略)中涉及的问题 74
132.为什么需要信息安全方针? 75
133.信息安全方针包括哪些信息? 76
134.什么时候进行信息安全方针的评审? 78
135.信息安全方针的评审包括哪些内容? 78
136.ISO/IEC 17799中明确提出哪些信息安全方针? 78
137.如何保证信息安全方针得到贯彻执行? 79
138.如何衡量信息安全方针优劣? 80
第二节 安全组织中涉及的问题 81
139.信息安全组织机构包括哪些内容? 81
140.信息安全管理论坛的作用是什么? 83
141.信息安全协调委员会的作用是什么? 83
143.信息处理设施的授权程序应考虑哪些方面? 84
142.信息安全权责的分配应该遵循什么原则? 84
144.向谁咨询信息安全相关的问题? 85
145.组织在信息安全事宜上可能需要哪些外部支持? 86
146.如何能够保证在发生信息安全事件时能够迅速得到外部支持? 86
147.什么是审核的独立性? 86
148.信息安全审核为什么要坚持独立性? 86
149.在信息安全管理体系中哪些人员属于第三方? 87
150.第三方访问的类型有哪几种? 87
151.第三方访问的原因是什么? 87
152.为什么要控制第三方访问? 88
153.第三方访问的控制目标是什么? 88
154.哪些第三方访问需要授权? 88
155.第三方访问合同中的安全要求有哪些? 89
156.怎样执行第三方访问授权程序? 90
158.外包合同中应该包含哪些安全要求? 91
157.对第三方访问的控制措施有哪些? 91
第三节 资产的分类和控制中涉及的问题 92
159.为什么要进行信息资产盘点? 92
160.为防止信息资产被盗与丢失,组织可采取哪些控制 92
措施? 93
161.哪些资产在需要盘点之列? 93
162.维护一份信息资产清单有什么好处? 93
163.信息资产清单应包括哪些项目? 94
164.为什么要对信息进行分级? 94
165.组织应如何进行信息分级? 94
167.谁来确定信息的级别? 95
168.谁负责维护信息级别的适宜性? 95
166.信息分级应该坚持什么原则? 95
169.怎样对信息进行标识? 96
170.信息标识应该注意哪些问题? 96
171.不同分级的信息在管理的哪些方面存在区别? 96
第四节 人员安全中涉及的问题 97
172.人员安全控制的目的是什么? 97
173.为加强组织内部人员的安全控制,组织应采取何种措施? 97
174.工作职责应该包括哪些信息安全职责? 98
175.应对哪部分人员进行信息安全考察? 98
176.信息安全的人员考察过程应在什么时候进行? 99
177.在招聘长期雇员时应该考察哪些方面? 99
178.为什么需要签订保密协议? 99
182.雇用条款中应包括哪些方面的安全要求? 100
181.保密方面的约定可能突破雇用合同期吗? 100
180.保密方面的约定可以突破组织的范围吗? 100
179.什么时候需要保密协议? 100
183.用户培训的目的是什么? 101
184.组织需要对哪些用户进行信息安全培训? 101
185.组织的信息安全培训主要有哪些内容? 101
186.用户培训时机怎么来确定? 102
187.在安全事件与安全故障响应中组织应注意哪几方面? 102
188.什么是安全事件? 103
189.为什么需要信息安全报告与响应机制? 103
190.谁来报告信息安全事件和可疑现象? 104
191.安全事件与安全故障报告程序中应明确规定哪些内容? 104
192.哪些内容需要报告? 104
195.谁来确认信息安全薄弱点? 105
196.如何来提高信息安全事件报告和响应的效率效果? 105
194.影响信息安全事件响应优先次序的因素有哪些? 105
193.谁来响应信息安全报告? 105
197.发生软件故障时应采取何种措施? 106
198.员工违背了信息安全方针和程序怎么办? 106
第五节 物理和环境安全中涉及的问题 107
199.什么是安全区域(Security Areas)? 107
200.为什么需要设立安全区域? 107
201.如何确保安全区域安全? 107
202.为安全区域建立安全周界时应考虑哪些因素? 108
203.如何控制安全区域的物理进出? 109
204.如何保证办公室、房间和设施的安全? 109
205.组织应对在安全区域内的人员采取哪些控制? 110
207.设备的定置需要考虑哪些因素? 111
206.组织应如何对存储区域和传送区域加以控制? 111
209.电缆可能有哪些威胁? 113
210.需要对电缆采取哪些控制? 113
208.在安排供电方面需要考虑的因素有哪些? 113
211.对于敏感和重要系统的电缆需要采取哪些额外控制? 114
212.设备维护应考虑哪些方面? 114
213.设备要外出维修时候应注意哪些问题? 115
214.什么是场所外设备? 115
215.怎样管理和使用工作场所外的设备? 116
216.如何保证设备的处置和再使用安全? 116
217.清除桌面(Clear Desk)方针和清除屏幕(Clear Screen)方针包括哪些要求? 117
218.为什么需要制定清除桌面方针和清除屏幕方针? 117
第六节 通信和运作管理中涉及的问题 118
220.运作程序和职责控制包括哪些方面的内容? 118
219.如何控制资产迁移? 118
221.运作程序和职责控制的目的是什么? 120
222.组织的运作程序(Operating Procedures)应该对哪些方面进行规范? 120
223.如何控制信息处理设施和系统的更改? 120
234.事件管理程序的目的是什么? 121
235.事件管理程序应该涵盖哪些类型的安全事件? 121
226.事件管理程序应该涵盖哪些行动? 121
237.事件管理程序为什么要强调证据的收集? 122
228.为什么要强调职责分离? 122
229.职责分离应该考虑哪些因素? 122
230.如果职责分离有困难怎么办? 123
231.直接在运行系统进行开发会带来哪些风险? 123
232.开发设施和运行设施隔离可采用哪些控制? 123
234.为什么需要对系统进行容量策划? 124
233.外包设施控制需要考虑哪些因素? 124
235.系统容量策划需要考虑哪些因素? 125
236.系统验收标准应考虑哪几方面? 125
237.怎么能够保证系统满足验收标准? 125
238.什么是“恶意软件”(Malicious Software)? 125
239.恶意软件的控制应该考虑哪些因素? 126
240.什么是“内务管理”? 127
241.为什么需要信息备份? 128
242.如何保证备份的有效性? 128
243.操作者记录中应记录哪些内容? 128
244.对操作日志的核查要求有哪些? 129
245.处理故障报告应遵循哪些规则? 129
24.可采用的网络安全控制措施有哪些? 130
247.网络所面临的典型威胁包括哪些? 130
246.什么是“网络管理”? 130
249.可移动计算机媒体的管理需要坚持什么原则? 131
250.哪些媒体的处置需要考虑安全问题? 131
251.信息媒体的处置应该坚持哪些原则? 131
252.系统文档为什么重要? 132
253.如何保证系统文档安全? 132
254.信息和软件交换的协议应该考虑哪些因素? 133
255.媒体传送过程中需要采取哪些控制? 133
256.电子商务活动可分为哪几种? 134
257.确保电子商务安全应该考虑哪些因素? 135
258.电子邮件给组织带来哪些风险? 136
260.在确保电子办公系统安全时应该考虑哪些方面? 137
259.电子邮件使用方针主要包括哪些内容? 137
261.公众可访问信息系统的控制要达到的什么样的目的? 138
262.使用声音、传真和视频通信应注意哪些问题? 139
第七节 访问控制中涉及的问题 140
263.什么是访问控制? 140
264.为什么要制定访问控制方针? 140
265.访问控制方针要考虑哪些方面? 140
266.在制定访问控制规则时应该考虑些什么问题? 141
267.如何对用户访问进行管理? 141
268.用户注册过程应该包含的内容有哪些? 142
269.什么是特权? 142
270.特权分配程序应考虑哪些方面? 142
271.如何管理用户口令? 143
274.用户在访问控制方面要承担哪些职责? 144
272.什么是身份鉴别? 144
273.什么时候进行用户访问权限的评审? 144
275.用户如何来选择健壮的口令? 145
276.用户应该养成哪些使用口令的好习惯? 145
277.用户如何保证无人值守设备的安全? 145
278.组织的网络访问控制包括哪些工作? 146
279.网络服务的使用控制方针应该涵盖哪些内容? 148
280.强制路径包括哪些形式? 148
281.什么是节点? 149
282.什么是VPN? 149
283.为什么要实施路径强制? 149
286.为什么要进行网络隔离? 150
285.如何保护远程诊断端口? 150
284.对远程终端识别可采用哪些方法? 150
287.网络隔离应该坚持什么原则? 151
288.应该限制哪些网络连接? 152
289.如何进行路由控制? 152
290.组织在运作系统访问控制方面应如何开展工作? 153
291.什么是自动终端识别? 153
282.自动终端鉴别主要应用于哪些场合? 154
293.一个安全的登录程序应该注意哪些问题? 154
294.对谁进行身份识别和鉴别? 155
295.一个良好的口令管理系统应该具有哪些特征? 155
297.什么是强制警报? 156
298.什么是终端超时? 156
296.如何控制工具软件的使用? 156
299.什么是连接时间限制? 157
300.应用系统应具备哪些安全功能? 157
301.应用系统的信息访问控制应该考虑哪几方面? 157
302.信息系统监控包括哪些方面的内容? 158
303.审核日志应该记录哪些信息? 158
304.如何确定审核日志的评审频度? 159
305.日志系统可能遭遇哪些威胁? 160
306.为什么要求计算机时钟同步? 160
307.移动计算设施可能给组织带来哪些风险? 160
308.应该采取哪些措施来加强远程办公的安全? 161
第八节 系统开发和维护中涉及的问题 162
309.信息系统开发的安全要求有哪些? 162
310.设计阶段如何确保应用系统安全? 162
312.应用系统的内部完整性检查应该包括哪些方面? 163
311.应用系统的输入确认可以从哪些方面考虑控制? 163
313.什么是信息鉴别? 164
344.输出数据确认主要包括哪些内容? 164
315.组织在加密技术控制方面可采取哪些措施? 165
316.在制定加密方针时应该考虑哪些问题? 165
317.什么是数字签名? 166
318.什么是PKI? 166
319.什么是数字证书? 167
320.PKI可以提供哪些服务? 168
321.数字证书的原理是什么? 169
322.什么是CA中心? 169
323.CA中心具有哪些功能? 170
325.从哪里获得数字证书? 171
324.数字证书有哪些类型? 171
326.数字证书丢失了怎么办? 172
327.什么是无否定服务? 172
328.什么是公开密钥密码体制? 173
329.什么是秘密密钥密码体制? 173
330.对称密码体制的密钥失去机密性会带来哪些风险? 173
331.密钥保护需要考虑哪些问题? 174
332.组织应如何确保系统文件的安全? 175
333.为保护运行系统应该对软件采取哪些控制? 175
334.如何保护系统试验数据? 176
335.对源程序库应该采取哪些控制? 176
336.为确保开发和支持过程中的安全,组织应采取哪些控制措施? 177
337.对应用软件更改应该进行哪些控制? 177
338.操作系统(Operating System)的更改应该进行怎样的技术评审? 178
340.在进行软件包更改之前需要考虑哪些安全因素? 179
341.什么是隐藏通道? 179
339.什么是软件包? 179
342.如何规避隐藏通道和特洛伊码? 180
343.开发软件外包应该考虑进行哪些控制? 180
第九节 业务持续性管理中涉及的问题 181
344.什么是业务持续性计划(Business Continuity Plan-ning)? 181
345.为保证业务持续发展从安全角度组织应该做哪些工作? 181
346.组织在建立业务持续性管理过程中,应考虑哪些关键因素? 183
347.制定业务持续发展计划时应该考虑哪些因素? 183
348.为什么必须测试业务持续性计划? 184
349.确立业务持续性计划方案时,组织应考虑哪些内容? 184
350.灾难恢复计划与业务持续性计划之间的区别是什么? 185
352.在确保符合法律法规方面,组织应从哪些方面加以考虑? 186
351.业务持续性管理的目的是什么? 186
第十节 符合法律法规和方针相关的问题 186
353.什么是知识产权? 188
354.中国在知识产权保护方面有哪些法律法规? 189
355.组织对记录进行保护的目的是什么? 189
356.在记录保护方面组织应采取哪些控制措施? 189
357.证据法则中对组织收集的证据有哪些规定? 190
358.安全方针符合性评审包括哪些内容? 191
359.技术符合性评审包括哪些内容? 191
360.符合法律法规要求的目的是什么? 192
361.我国宪法中是否有关于信息安全的要求? 192
362.我国刑法中是否有关于信息安全的要求? 194
363.《中华人民共和国国家安全法》赋予国家安全机关信息安全方面的职权有哪些? 196
364.《中华人民共和国国家安全法》赋予公民和组织信息安全方面的权利和义务有哪些? 197
365.《计算机信息系统安全保护条例》要求组织承担哪些责任? 198
366.《商用密码管理条例》要求组织承担哪些责任? 200
367.由全国人民代表大会及其常务委员会通过的涉及信息安全的法律法规有哪些? 203
368.国务院为执行宪法和法律而制定的信息安全有关的行政法规有哪些? 204
369.国务院各部委制定的信息安全方面的部门规章及规范性文件有哪些? 205
370.系统审核应注意哪些问题? 207
第五章 有关认证、认可的问题 208
371.什么是认可? 208
372.什么是认可机构? 208
373.什么是国家认可制度? 208
374.什么是国际互认? 209
375.目前有哪些著名国际互认组织? 209
376.中国的国家认可制度发展情况如何? 210
377.什么是认证? 212
378.什么是认证机构? 212
379.认证的依据是什么? 212
380.贯彻BS 7799是否必须进行认证? 212
381.我国目前的信息安全产品认证用标准主要有哪些? 213
382.我国目前的信息系统安全认证用标准主要有哪些? 218
383.我国目前的信息安全服务认证用标准主要有哪些? 218
384.认证与认可有哪些区别? 220
385.ISMS认证的目的和作用是什么? 220
386.组织申请信息安全管理体系认证的基本条件是什么? 221
387.什么是文件审核? 222
388.什么是初始审核? 222
391.什么是现场审核? 223
390.ISMS审核必须经过初访吗? 223
389.初始审核所需时间受哪些因素影响? 223
392.ISMS现场审核可能得出什么结论? 224
393.什么是体系审核? 224
394.信息安全管理体系审核的依据是什么? 225
395.信息安全管理体系审核的基本步骤有哪些? 225
396.ISMS内部审核策划阶段应做好哪些工作? 225
397.信息安全管理体系内审员应具备的基本技能有哪些? 226
398.信息安全管理体系内部审核员的作用是什么? 226
399.信息安全管理体系审核的准备工作应如何展开? 228
400.核查表(Checklist)对审核员来说起什么作用? 229
401.设计核查表(Checklist)时应注意哪些问题? 230
403.在选择信息安全管理体系审核组长时,主要应考虑哪些因素? 231
404.审核员的职责有哪些? 231
402.信息安全管理体系审核组长的职责有哪些? 231
405.合格审核员应具备哪些能力? 232
406.合格审核员所应掌握的知识有哪些? 234
407.在选择信息安全管理体系内部审核员时,主要应考虑哪些因素? 234
408.信息安全管理体系审核实施阶段的步骤有哪些? 235
409.信息安全管理体系审核的首次会议应该涉及哪些议题? 235
410.信息安全管理体系审核的末次会议应该涉及哪些议题? 236
411.ISMS不符合项的种类有哪些? 237
412.对于出现的每一个不符合项,组织应该采取哪些措施? 237
413.ISMS审核报告中具体应该包括哪些内容? 238
414.信息安全管理体系认证证书中应包含哪些内容? 238
415.ISMS认证是否是终身有效的? 239
416.对组织ISMS监督审核的目的和要求是什么? 239
参考文献 241