ISO/IEC17799：2000信息技術(doc 61頁)

ISO/IEC17799：2000信息技術目錄：
1、範圍
2、術語及定義
3、安全方針
3.1信息安全方針
3.1.1信息安全方針文件
3.1.2評審和評估
4、組織安全
4.1信息安全基礎
4.2第三方訪問的安全性
4.3外協
5資產的歸類和控製
5.1資產的責任
5.2信息歸類
6人員安全
6.1工作規定及資源的安全
6.2用戶培訓
6.3安全事故和故障的反應
7物理和環境安全
7.1安全區域
7.2設備安全
7.3控製總則
8通信和操作管理
8.1操作程序和責任
8.2係統規劃與驗收
8.3防範惡意的軟件
8.4內務處理
8.5網絡管理
8.6媒體處理和安全
8.7信息與軟件交換
9 訪問控製
9.1 訪問控製的商務需要
9.2 用戶訪問管理
9.3 用戶職責
9.4 網絡訪問控製
9.5 操作係統訪問控製
9.6 應用訪問控製
9.7 監督係統的訪問和使用
9.8 移動式計算和遠程工作
10 係統開發和維護
10.1 係統安全要求
10.2 應用係統中的安全
10.3 密碼技術控製
10.4 係統文件的安全
10.5 開發和支持處理中的安全
11 商務連續性管理
11.1 商務連續性管理方麵
12 符合性
12.1 符合法規要求
12.2 安全方針和技術符合性評審
12.3 係統審核方麵需要考慮的事項

ISO/IEC17799：2000信息技術內容提要：
什麼是信息安全？
信息像其他重要的商務資產一樣，也是一種資產，對一個組織而言具有價值，因而需要妥善保護。信息安全使信息避免一係列威脅，保障商務的連續性，最大限度地減小商務的損失，最大限度地獲取投資和商務的回報。
信息可以以多種形式存在。它可以是打印或寫在紙上，電子形式存貯，通過郵件或用電子手段傳輸，顯示在膠片上或表達在會話中。不論信息采用什麼方式或采取什麼手段共享和存貯，它應總是得到妥善保護的。
信息安全的維持可表征為：
A機密性：確保信息僅可讓授權獲取的人士訪問；
B完整性：保護信息和處理方法的準確和完善；
C可用性：確保授權人需要時可以獲取信息和相應的資產。
信息安全通過執行一套適當的控製來達到。它可以是方針、慣例、程序、組織結構和軟件功能來實現，這些控製方式需要確定，以保障組織特定安全目標的實現。
為什麼需要信息安全？
信息及支持過程，係統和網絡都是重要的商務資產。信息的機密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商務形象是至關重要的。
因此，組織及其信息係統和網絡麵臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大範圍的安全威脅，諸如計算機病毒、計算機盜竊、服務器的非法入侵破壞已變得更加普遍，更加野心勃勃，更加錯綜複雜。

..............................