ISO信息安全管理體系介紹_第1頁
ISO信息安全管理體系介紹_第2頁
ISO信息安全管理體系介紹_第3頁
ISO信息安全管理體系介紹_第4頁
ISO信息安全管理體系介紹_第5頁
已閱讀5頁,還剩48頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

ISO27001信息安全管理體系介紹

2009年3月1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)?信息的泄漏是否會(huì)給企業(yè)帶來重大影響?信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響?信息的可用性對(duì)企業(yè)是否帶來重大影響?我們是否清楚知道什么信息對(duì)企業(yè)是重要的?信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)?我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式,是否收到足夠保護(hù)?信息安全事件給企業(yè)造成的最大/最壞影響?1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則信息資產(chǎn)信息:數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排(fallbackarrangement)、審核跟蹤記錄(audittrails)、歸檔信息;軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序;物理資產(chǎn):計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備;服務(wù):計(jì)算和通信服務(wù)(例如,網(wǎng)絡(luò)瀏覽、域名解析)、公用設(shè)施(例如,供暖,照明,能源,空調(diào));人員,他們的資格、技能和經(jīng)驗(yàn);無形資產(chǎn),如組織的聲譽(yù)和形象。信息資產(chǎn)類型:信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式:信息資產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷毀/拋棄信息資產(chǎn)的生命周期:產(chǎn)生使用存貯傳輸銷毀/拋棄什么是信息安全?ISO27001將信息安全定義如下:保證信息的保密性,完整性,可用性;另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性保密性可用性保密性:信息不能被未授權(quán)的個(gè)人,實(shí)體或者過程利用或知悉的特性可用性:根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性完整性:保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估ISMS介紹ISO27001信息安全管理體系要求目錄5ISO27002信息安全管理實(shí)用規(guī)則信息安全管理體系(ISMS)介紹InformationSecurityManagementSystem(ISMS)信息安全管理體系基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:信息安全管理體系要求是綜合信息安全管理和技術(shù)手段,保障組織信息安全的一種方法ISMS是管理體系(MS)家族的一個(gè)成員ISO/IECJTC1/SC27/WG1(國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1),WG1做為ISMS標(biāo)準(zhǔn)的工作組,負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南ISO27000系列標(biāo)準(zhǔn)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC27000基礎(chǔ)與術(shù)語起草中,未發(fā)布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS實(shí)用規(guī)則2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS實(shí)施指南起草中,未發(fā)布ISO/IEC27004ISMSMetricsandMeasurementISMS的測(cè)量起草中,未發(fā)布ISO/IEC27005InformationSecurityRiskManagement信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC27006Certificationand

Registrationprocess審核認(rèn)證機(jī)構(gòu)要求2007年2月ISO27001的歷史等同的國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)GB/T22080-2008信息技術(shù)術(shù)安全全技術(shù)信信息安安全管理理體系要要求GB/T22081-2008信息技術(shù)術(shù)安全全技術(shù)信信息安安全管理理實(shí)用規(guī)規(guī)則我國(guó)已將將ISO27001和ISO27002系列標(biāo)準(zhǔn)準(zhǔn)等同轉(zhuǎn)轉(zhuǎn)化為國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)。2008年9月,經(jīng)國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)化管理理委員會(huì)會(huì)批準(zhǔn),,全國(guó)信信息安全全標(biāo)準(zhǔn)化化技術(shù)委委員會(huì)發(fā)發(fā)布兩個(gè)個(gè)新的國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn),并于于2008年11月1日起實(shí)施施。提升競(jìng)爭(zhēng)爭(zhēng)力提高合規(guī)規(guī)性滿足利益益相關(guān)方方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提升內(nèi)部控制符合國(guó)家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率ISO27001當(dāng)前獲得得ISO27001證書的組組織分布布(2008年9月)1234信息安全全概述信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安全全管理體體系要求求目錄5ISO27002信息安全全管理實(shí)實(shí)用規(guī)則則ISO27001信息安全全管理體體系要求求相關(guān)方受控的信息安全全信息安全全要求和期期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全全管理體體系(InformationSecuritryManagementSystems)是組織織在整體體或特定定范圍內(nèi)內(nèi)建立信信息安全全方針和和目標(biāo),,以及完完成這些些目標(biāo)所所用方法法的體系系。它是是直接管管理活動(dòng)動(dòng)的結(jié)果果,表示示成方針針、原則則、目標(biāo)標(biāo)、方法法、過程程、核查查表(Checklists)等要素素的集合合。定義范圍圍和邊界界定義安全全策略定義風(fēng)險(xiǎn)險(xiǎn)評(píng)估方方法識(shí)別風(fēng)險(xiǎn)險(xiǎn)識(shí)別和評(píng)評(píng)價(jià)風(fēng)險(xiǎn)險(xiǎn)識(shí)別和評(píng)評(píng)價(jià)風(fēng)險(xiǎn)險(xiǎn)處理的的可選措措施為處理風(fēng)風(fēng)險(xiǎn)選擇擇控制目目標(biāo)和控控制措施施獲得管理理者對(duì)建建議的殘殘余風(fēng)險(xiǎn)險(xiǎn)的批準(zhǔn)準(zhǔn)獲得管理理者對(duì)實(shí)實(shí)施和運(yùn)運(yùn)行ISMS的授權(quán)準(zhǔn)備適用用性聲明明(SoA)建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和和運(yùn)行ISMS制定風(fēng)風(fēng)險(xiǎn)處處理計(jì)計(jì)劃實(shí)施風(fēng)風(fēng)險(xiǎn)處處理計(jì)計(jì)劃實(shí)施培培訓(xùn)和和意識(shí)識(shí)教育育計(jì)劃劃管理ISMS的運(yùn)行行管理ISMS的資源源應(yīng)急響響應(yīng)、、事故故管理理監(jiān)視和和評(píng)審審ISMS檢查Check建立ISMS保持和和改進(jìn)ISMS監(jiān)視和和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和和運(yùn)行ISMS執(zhí)行監(jiān)監(jiān)視與與評(píng)審審程序序和其其它控控制措措施ISMS有效性性的定定期評(píng)評(píng)審測(cè)量控控制措措施的的有效效性定期實(shí)實(shí)施ISMS內(nèi)部審審核定期進(jìn)進(jìn)行ISMS管理評(píng)評(píng)審保持和和改進(jìn)進(jìn)ISMS檢查Check建立ISMS保持和和改進(jìn)ISMS監(jiān)視和和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和和運(yùn)行ISMS實(shí)施已已識(shí)別別的ISMS改進(jìn)措措施采取合合適的的糾正正和預(yù)預(yù)防措措施從安全全經(jīng)驗(yàn)驗(yàn)中吸吸取教教訓(xùn)向所有有相關(guān)關(guān)方溝溝通措措施和和改進(jìn)進(jìn)情況況1234信息安安全概概述信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安安全管管理體體系要要求目錄5ISO27002信息安安全管管理實(shí)實(shí)用規(guī)規(guī)則風(fēng)險(xiǎn)的的概念念風(fēng)險(xiǎn)是是指遭遭受損損害或或損失失的可可能性性,是是實(shí)現(xiàn)現(xiàn)一個(gè)個(gè)事件件的不不想要要的負(fù)負(fù)面結(jié)結(jié)果的的潛在在因素素。對(duì)信息息系統(tǒng)統(tǒng)而言言:兩兩種因因素造造成對(duì)對(duì)其使使命的的實(shí)際際影響響:一個(gè)特特定的的威脅脅源利利用或或偶然然觸發(fā)發(fā)一個(gè)個(gè)特定定的信信息系系統(tǒng)脆脆弱性性的概概率上述事事件發(fā)發(fā)生之之后所所帶來來的影影響在ISO/IECGUIDE73將風(fēng)險(xiǎn)險(xiǎn)定義義為::事件件的概概率及及其結(jié)結(jié)果的的組合合。風(fēng)險(xiǎn)管管理的的目標(biāo)標(biāo)風(fēng)險(xiǎn)管管理指指標(biāo)識(shí)識(shí)、控控制和和減少少可能能影響響信息息系統(tǒng)統(tǒng)資源源的不不確定定事件件或使使這些些事件件降至至最少少的全全部過過程。。風(fēng)險(xiǎn)管管理被被認(rèn)為為是良良好管管理的的一個(gè)個(gè)組成成部分分。風(fēng)險(xiǎn)管管理的的目標(biāo)標(biāo):高影響響低概率率高影響響高概率率低影響響低概率率底影響響低概率率影響概率控制目目標(biāo)概率信息安安全風(fēng)風(fēng)險(xiǎn)管管理一一般方方法資產(chǎn)識(shí)識(shí)別威脅識(shí)識(shí)別分析和和評(píng)價(jià)價(jià)風(fēng)險(xiǎn)風(fēng)險(xiǎn)處處理計(jì)劃識(shí)別脆脆弱性性當(dāng)前控控制措施分分析風(fēng)險(xiǎn)監(jiān)監(jiān)控、、檢查查與溝溝通識(shí)別威威脅威脅威威脅可可多種種屬性性來刻刻畫::威脅脅的主主體((威脅脅源))、能能力、、資源源、動(dòng)動(dòng)機(jī)、、途徑徑幾種常常見威威脅::自然災(zāi)災(zāi)害計(jì)算機(jī)機(jī)犯罪罪員工操操作失失誤商業(yè)間間諜黑客ISO27001將威脅脅定義義如下下:可能導(dǎo)導(dǎo)致對(duì)對(duì)系統(tǒng)統(tǒng)或組組織的的損害害的不不期望望事件件發(fā)生生的潛潛在原原因識(shí)別脆脆弱性性脆弱性性常被被成為為漏洞洞幾種常常見脆脆弱性性:簡(jiǎn)單口口令員工安安全意意思淡淡薄第三方方缺乏乏保密密協(xié)議議變更管管理薄薄弱明文傳傳輸信信息經(jīng)驗(yàn)表表明::大多多數(shù)重重大的的脆弱弱性通通常是是由于于缺乏乏良好好的流流程或或指定定了不不適當(dāng)當(dāng)?shù)男判畔舶踩?zé)責(zé)任才才出現(xiàn)現(xiàn)的,,但是是進(jìn)行行風(fēng)險(xiǎn)險(xiǎn)評(píng)估估時(shí)往往往過過分注注重技技術(shù)脆脆弱性性。ISO27001將脆弱弱性定定義如如下::可能會(huì)會(huì)被一一個(gè)或或多個(gè)個(gè)威脅脅所利利用的的資產(chǎn)產(chǎn)或一一組資資產(chǎn)的的弱點(diǎn)點(diǎn)分析當(dāng)當(dāng)前控控制ISO27002將控制制定義義如下下:管理風(fēng)風(fēng)險(xiǎn)的的方法法,包包括策策略、、規(guī)程程、指指南、、慣例例或組組織結(jié)結(jié)構(gòu)。。它們們可以以是行行政、、技術(shù)術(shù)、管管理、、法律律等方方面的的??刂拼氪胧┮惨灿糜谟诜雷o(hù)護(hù)措施施或?qū)?duì)策的的同義義詞。。本步的的目標(biāo)標(biāo)是對(duì)對(duì)已經(jīng)經(jīng)實(shí)現(xiàn)現(xiàn)或規(guī)規(guī)劃中中的安安全防防護(hù)措措施進(jìn)進(jìn)行分分析——單位通通過這這些措措施來來減小小或消消除一一個(gè)威威脅源源利用用系統(tǒng)統(tǒng)脆弱弱性的的可能能性((或概概率))風(fēng)險(xiǎn)的的分析析與評(píng)評(píng)價(jià)風(fēng)險(xiǎn)分分析::系統(tǒng)統(tǒng)地使使用信信息來來識(shí)別別風(fēng)險(xiǎn)險(xiǎn)來源源和估估計(jì)風(fēng)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)評(píng)價(jià):將估計(jì)計(jì)的風(fēng)風(fēng)險(xiǎn)與與給定定的風(fēng)風(fēng)險(xiǎn)準(zhǔn)準(zhǔn)則加加以比比較以以確定定風(fēng)險(xiǎn)險(xiǎn)嚴(yán)重重性的的過程程存在定定性、、定量量?jī)煞N種風(fēng)險(xiǎn)險(xiǎn)分析析方法法實(shí)例::風(fēng)險(xiǎn)處處理策策略經(jīng)過風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估后后識(shí)別別出來來的風(fēng)風(fēng)險(xiǎn),,接著著便是是制定定其對(duì)對(duì)應(yīng)的的風(fēng)險(xiǎn)險(xiǎn)處理理計(jì)劃劃.可能的的風(fēng)險(xiǎn)險(xiǎn)處理理計(jì)劃劃包括括以下下四種種之一一或四四種的的組合合:采取適適當(dāng)?shù)牡目刂浦拼胧┦﹣斫到档?reduce)風(fēng)險(xiǎn)。。了解并并客觀觀地接接受(accept)風(fēng)險(xiǎn),倘若他他們清清除的的符合合公司司策略略并在在可接接受風(fēng)風(fēng)險(xiǎn)范范圍之之內(nèi),,或者者如果果采取取控制制(control)措施施的話話,成成本太太高。。通過放放棄當(dāng)當(dāng)前的的某些些活動(dòng)動(dòng)來規(guī)規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)發(fā)生。。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至至其它它組織織,例例如如保險(xiǎn)險(xiǎn)公司司、供供應(yīng)商商等。。定義風(fēng)風(fēng)險(xiǎn)接接收水水平風(fēng)險(xiǎn)處處理計(jì)計(jì)劃完完成后后的殘殘余風(fēng)風(fēng)險(xiǎn)水水平應(yīng)應(yīng)在可可接受受風(fēng)險(xiǎn)險(xiǎn)水平平之內(nèi)內(nèi)初始風(fēng)險(xiǎn)水水平(高))可接受受的風(fēng)風(fēng)險(xiǎn)水水平((Low)殘余風(fēng)風(fēng)險(xiǎn)風(fēng)險(xiǎn)級(jí)級(jí)別高中低殘余風(fēng)風(fēng)險(xiǎn)風(fēng)險(xiǎn)控控制措措施風(fēng)險(xiǎn)控控制措措施控制措措施選選擇從針對(duì)對(duì)性和和實(shí)施施方式式來看看,控控制措措施分分三類類:管理(Administrative)性:安全策策略,流程,組織與與職責(zé)責(zé)等操作(Operation)性:人員職職責(zé),事故反反應(yīng),意識(shí)培培訓(xùn),系統(tǒng)開開發(fā)等等等技術(shù)(Technical)性:加密,訪問控控制,審計(jì)等等或者從從功能能上來來分,控制措措施類類型包包括::威懾性性(Deterrent):告示、、標(biāo)語語預(yù)防性性(Preventive):培訓(xùn),,操作作手冊(cè)冊(cè),加加密,,身份份認(rèn)證證檢測(cè)性性(Detective):CCTV,保安,,報(bào)警警糾正性性(Corrective):培訓(xùn),,問責(zé)責(zé),應(yīng)應(yīng)急響響應(yīng),,災(zāi)備備風(fēng)險(xiǎn)成本最佳投投資點(diǎn)點(diǎn)基本原原則實(shí)施安安全控控制措措施的的代價(jià)價(jià)不應(yīng)應(yīng)該大大于要要保護(hù)護(hù)的資資產(chǎn)的的價(jià)值值選擇控控制措措施時(shí)時(shí)的成成本效效益分分析1234信息安安全概概述信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估ISMS介紹ISO27001信息安安全管管理體體系要要求目錄5ISO27002信息安安全管管理實(shí)實(shí)用規(guī)規(guī)則ISO27002信息安安全管管理體體系實(shí)實(shí)用規(guī)規(guī)則一、安全方針(SecurityPolicy)二、組織信息安全(OrganizingInformationSecurity)三、資產(chǎn)管理(AssetManagement)四、人力資源安全(HumanResourceSecurity)五、物理及環(huán)境安全(PhysicalandEnvironmentalSecurity)六、通信與操作管理(CommunicationsandOperationsManagement)八、系統(tǒng)獲取、開發(fā)與維護(hù)(InformationSystemAcquisition,DevelopmentandMaintenance)七、訪問控制(AccessControl)九、信息安全事件管理(InformationSecurityIncidentManagement)十、業(yè)務(wù)持續(xù)性管理(BusinessContinuityManagement)十一、符合性(Compliance)11個(gè)安全全域,,39個(gè)控制制目標(biāo)標(biāo),133個(gè)控制制點(diǎn)控制域域1:安全全方針針信息安安全方方針文文件信息安安全方方針文文件的的評(píng)審審1.1信息安安全方方針依據(jù)業(yè)業(yè)務(wù)要要求和和相關(guān)關(guān)法律律法規(guī)規(guī)提供供管理理指導(dǎo)導(dǎo)并支支持信信息安安全控制域域2:組織織信息息安全全信息安安全的的管理理承諾諾信息安安全協(xié)協(xié)調(diào)信息安全全職責(zé)的的分配信息處理理設(shè)施的的授權(quán)過過程保密性協(xié)協(xié)議2.1內(nèi)部組織織在組織內(nèi)內(nèi)管理信信息安全全與外部各各方相關(guān)關(guān)風(fēng)險(xiǎn)的的識(shí)別處理與顧顧客有關(guān)關(guān)的安全全問題處理第三三方協(xié)議議中的安安全問題題2.2組織外部部各方保持組織織的被外外部各方方訪問、、處理、、管理或或與外部部進(jìn)行通通信的信信息和信信息處理理設(shè)施的的安全控制域3:資產(chǎn)管管理資產(chǎn)清單單資產(chǎn)責(zé)任任人資產(chǎn)的合合格使用用3.1資產(chǎn)責(zé)任任實(shí)現(xiàn)和保保持對(duì)組組織資產(chǎn)產(chǎn)的適當(dāng)當(dāng)保護(hù)分類指南南信息的標(biāo)標(biāo)記和處處理3.2資產(chǎn)分類確保信息息受到適適當(dāng)級(jí)別別的保護(hù)護(hù)控制域4:人力資資源安全全角色和職職責(zé)背景審查查任用條款款和條件件4.1任用之前前確保雇員員、承包包方人員員和第三三方人員員理解其其職責(zé)、、考慮對(duì)對(duì)其承擔(dān)擔(dān)的角色色是適合合的,以以降低設(shè)設(shè)施被竊竊、欺詐詐和誤用用的風(fēng)險(xiǎn)險(xiǎn)管理職責(zé)責(zé)信息安全全意識(shí)、、教育和和培訓(xùn)紀(jì)律處理理過程4.2任用中確保所有有的雇員員、承包包方人員員和第三三方人員員知悉信信息安全全威脅和和利害關(guān)關(guān)系、他他們的職職責(zé)和義義務(wù)、并并準(zhǔn)備好好在其正正常工作作過程中中支持組組織的安安全方針針,以減減少人為為過失的的風(fēng)險(xiǎn)終止職責(zé)責(zé)資產(chǎn)的歸歸還撤銷訪問問權(quán)4.3任用的終止或變化確保雇員員、承包包方人員員和第三三方人員員以一個(gè)個(gè)規(guī)范的的方式退退出一個(gè)個(gè)組織或或改變其其任用關(guān)關(guān)系控制域5:物理和和環(huán)境安安全物理安全全邊界物理入口口控制辦公室、、房間和和設(shè)施的的安全保保護(hù)外部和環(huán)環(huán)境威脅脅的安全全防護(hù)在安全區(qū)區(qū)域工作作公共訪問問、交接接區(qū)安全全5.1安全區(qū)域域防止對(duì)組組織場(chǎng)所所和信息息的未授授權(quán)物理理訪問、、損壞和和干擾設(shè)備安置置和保護(hù)護(hù)支持性設(shè)設(shè)施布纜安全全設(shè)備維護(hù)護(hù)組織場(chǎng)所所外的設(shè)設(shè)備安全全設(shè)備的安安全處置置和再利利用資產(chǎn)的移移動(dòng)5.2設(shè)備安全防止資產(chǎn)產(chǎn)的丟失失、損壞壞、失竊竊或危及及資產(chǎn)安安全以及及組織活活動(dòng)的中中斷控制域6:通信和和操作管管理文件化的的操作程程序變更管理理責(zé)任分割割開發(fā)、測(cè)測(cè)試和運(yùn)運(yùn)行設(shè)施施分離6.1操作程序序和職責(zé)責(zé)確保正確確、安全全的操作作信息處處理設(shè)施施服務(wù)交付付第三方服服務(wù)的監(jiān)監(jiān)視和評(píng)評(píng)審第三方服服務(wù)的變變更管理理6.2第三方服務(wù)交付管理實(shí)施和保保持符合合第三方方服務(wù)交交付協(xié)議議的信息息安全和和服務(wù)交交付的適適當(dāng)水準(zhǔn)準(zhǔn)容量管理理系統(tǒng)驗(yàn)收收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失失效的風(fēng)風(fēng)險(xiǎn)降至至最小控制域6:通信和和操作管管理(續(xù)續(xù))控制惡意意代碼控制移動(dòng)動(dòng)代碼6.4防范惡意意和移動(dòng)動(dòng)代碼保護(hù)軟件件和信息息的完整整性信息備份份6.5備份保持信息息和信息息處理設(shè)設(shè)施的完完整性及及可用性性網(wǎng)絡(luò)控制制網(wǎng)絡(luò)服務(wù)務(wù)安全6.6網(wǎng)絡(luò)安全全管理確保網(wǎng)絡(luò)絡(luò)中信息息的安全全性并保保護(hù)支持持性的基基礎(chǔ)設(shè)施施控制域6:通信和和操作管管理(續(xù)續(xù))可移動(dòng)介介質(zhì)的管管理介質(zhì)的處處置信息處理理程序系統(tǒng)文件件安全6.7介質(zhì)處置置防止資產(chǎn)產(chǎn)遭受未未授權(quán)泄泄露、修修改、移移動(dòng)或銷銷毀以及及業(yè)務(wù)活活動(dòng)的中中斷信息交換換策略和和程序交換協(xié)議議運(yùn)輸中的的物理介介質(zhì)電子消息息發(fā)送業(yè)務(wù)信息息系統(tǒng)6.8信息的交換保持組織織內(nèi)信息息和軟件件交換及及與外部部組織信信息和軟軟件交換換的安全全電子商務(wù)務(wù)在線交易易公共可用用信息6.9電子商務(wù)務(wù)服務(wù)確保電子商務(wù)務(wù)服務(wù)的安全全及其安全使使用控制域6:通信和操作作管理(續(xù)))審計(jì)日志監(jiān)視系統(tǒng)的使使用日志信息的保保護(hù)管理員和操作作員日志故障日志時(shí)鐘同步6.10監(jiān)視檢測(cè)未經(jīng)授權(quán)權(quán)的信息處理理活動(dòng)控制域7:訪問控制訪問控制策略略7.1訪問控制的業(yè)業(yè)務(wù)要求控制對(duì)信息的的訪問用戶注冊(cè)特殊權(quán)限管理理用戶口令管理理用戶訪問權(quán)的的復(fù)查7.2用戶訪問管理理確保授權(quán)用戶戶訪問信息系系統(tǒng),并防止止未授權(quán)的訪訪問口令使用無人值守的用用戶設(shè)備清空桌面和屏屏幕策略7.3用戶職責(zé)防止未授權(quán)用用戶對(duì)信息和和信息處理設(shè)設(shè)施的訪問、、危害或竊取取控制域7:訪問控制((續(xù))使用網(wǎng)絡(luò)服務(wù)務(wù)的策略外部連接的用用戶鑒別網(wǎng)絡(luò)上的設(shè)備備標(biāo)識(shí)遠(yuǎn)程診斷和配配置端口的保保護(hù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制制網(wǎng)絡(luò)路由控制制7.4網(wǎng)絡(luò)訪問控制制防止對(duì)網(wǎng)絡(luò)服服務(wù)的未授權(quán)權(quán)訪問安全登錄程序序用戶標(biāo)識(shí)和鑒鑒別口令管理系統(tǒng)統(tǒng)系統(tǒng)實(shí)用工具具的使用會(huì)話超時(shí)聯(lián)機(jī)時(shí)間的限限定7.5操作系統(tǒng)訪問控制防止對(duì)操作系系統(tǒng)的未授權(quán)權(quán)訪問信息訪問限制制敏感系統(tǒng)隔離離7.6應(yīng)用和信息訪問控制防止對(duì)應(yīng)用系系統(tǒng)中信息的的未授權(quán)訪問問控制域7:訪問控制((續(xù))移動(dòng)計(jì)算和通通訊遠(yuǎn)程工作7.7移動(dòng)計(jì)算和遠(yuǎn)遠(yuǎn)程工作確保使用移動(dòng)動(dòng)計(jì)算和遠(yuǎn)程程工作設(shè)施時(shí)時(shí)的信息安全全控制域8:信息系統(tǒng)獲取取、開發(fā)和維維護(hù)安全要求分析析和說明8.1信息系統(tǒng)的安安全要求確保安全是信信息系統(tǒng)的一一個(gè)有機(jī)組成成部分輸入數(shù)據(jù)驗(yàn)證證內(nèi)部處理的控控制消息完整性輸出數(shù)據(jù)驗(yàn)證證8.2應(yīng)用中的正確處理防止應(yīng)用系統(tǒng)統(tǒng)中的信息的的錯(cuò)誤、遺失失、未授權(quán)的的修改及誤用用使用密碼控

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論