7、访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制,防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面,确保使用移动式计算和电传工作设施的信息安全;
8、系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或完整性;加强系统文件的安全,确保IT方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全;
9、商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;
10、符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果最大化,并使系统审核过程的影响最小化。
在国际标准ISO/IEC 17799给出了为实现信息安全认证所需的各项措施的详细指导,具有很强的可操作性和指导性。
说到底,信息安全工作的目的就是在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,提供安全需求的保证,而BS 7799信息安全认证标准正是总和了这些要求。组织可以根据自身特点,在ISO/IEC 17799指导下,实现信息安全的要求。
