信息安全管理實用規則(doc 60頁)
信息安全管理規則目錄:
前言…………III
引言…………IV
1 範圍…………1
2 術語和定義…………1
2.1 信息安全 …………1
2.2 風險評估 …………1
2.3 風險管理 …………1
3 安全策略…………1
3.1 信息安全策略…………1
4 組織的安全…………2
4.1 信息安全基礎設施…………2
4.2 第三方訪問的安全…………4
4.3 外包…………6
5 資產分類和控製…………7
5.1 資產的可核查性…………7
5.2 信息分類…………7
6 人員安全…………8
6.1 崗位設定和18新利真人网
的安全…………8
6.2 用戶培訓…………10
6.3 對安全事故和故障的響應…………10
7 物理和環境的安全…………11
7.1 安全區域…………11
7.2 設備安全…………13
7.3 一般控製…………15
8 通信和操作管理…………16
8.1 操作規程和職責…………16
8.2 係統規劃和驗收…………19
8.3 防範惡意軟件…………19
8.4 內務處理…………20
8.5 網絡管理…………21
8.6 媒體處置和安全…………21
8.7 信息和軟件的交換…………23
9 訪問控製…………26
9.1 訪問控製的業務要求…………27
9.2 用戶訪問管理…………27
9.3 用戶職責…………29
9.4 網絡訪問控製…………30
9.5 操作係統訪問控製…………32
9.6 應用訪問控製…………35
9.7 對係統訪問和使用的監督…………35
9.8 移動計算和遠程工作…………37
10 係統開發和維護…………38
10.1 係統的安全要求…………38
10.2 應用係統的安全…………39
10.3 密碼控製…………41
10.4 係統文件的安全…………43
10.5 開發和支持過程的安全…………44
11 業務連續性管理…………46
11.1 業務連續性管理的各方麵…………46
12 符合性…………48
12.1 符合法律要求…………48
12.2 安全策略和技術符合性的評審…………51
12.3 係統審核考慮…………52
信息安全管理規則簡介:
什麼是信息安全?
象其他重要業務資產一樣,信息也是一種資產。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務損害減至最小,使投資回報和業務機會最大。
信息可能以各種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電子手段發送、呈現在膠片上或用言語表達。無論信息采用什麼形式或者用什麼方法存儲或共享,都應對它進行適當地保護。
信息安全在此表現為保持下列特征:
a) 保密性:確保信息僅被已授權訪問的人訪問;
b)完整性:保護信息及處理方法的準確性和完備性;
c) 可用性:確保已授權用戶在需要時可以訪問信息和相關資產。
信息安全是通過實現一組合適控製獲得的。控製可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控製,以確保滿足該組織的特定安全目標。
……
..............................