信息安全管理规范.pdfVIP

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

信息安全管理规范1

信息安全管理体系规范(PartI)

(信息安全管理实施细则)

目录

前言

一、信息安全范围

二、术语与定义

三、安全政策

3.1信息安全政策

四、安全组织

4.1信息安全基础架构

4.2外部存取的安全管理

4.3委外资源管理

五、资产分类与管理

5.1资产管理权责

5.2信息分类

六、个人信息安全守则

6.1工作执掌及资源的安全管理

6.2教育培训

6.3易发事件及故障处理

七、使用环境的信息安全管理

7.1信息安全区

7.2设备安全

7.3日常管制

八、通讯和操作过程管理

8.1操作程序书及权责

8.2系统规划及可行性

8.3侵略性软件防护

8.4储存管理

8.5网络管理

8.6媒体存取及安全性

8.7信息及软件交换

九、存取管理

9.1存取管制的工作要求

9.2使用者存取管理

9.3使用者权责

9.4网络存取管制

9.5操作系统存取管理

9.6应用软件存取管理

9.7监控系统的存取及使用

9.8移动计算机及拨接服务管理

十、信息系统的开发和维护

10.1信息系统的安全要求

10.2应用软件的安全要求

10.3资料加密技术管制

10.4系统档案的安全性

10.5开发和支持系统的安全性

十一、维持运营管理

11.1持续运营的方面

十二、合法性

12.1合乎法律要求

12.2对信息安全政策和技术应用的审查

12.3系统稽核的考虑

前言

何谓信息安全?

对一个单位或组织来说,信息和其它商业资产一样有价值,

因此要加以适当的保护。信息安全就是保护信息免受来自各方面

的众多威胁,从而使单位能够进行持续经营,使其对经营的危害

降至最小程度,并将投资和商业机会得以最大化。

信息可以许多形式存在-可以印在或写在纸上,以电子方式

进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转

述。无论信息以何种方式存在,或以何种形式分享或储存,都要

对其进行恰当保护。

信息安全的主要特征在于保护其

-必威体育官网网址性:确保只有那些经过授权的人员可以接触信息

-完整性:保护信息和信息处理办法的准确性和完整性

-可得性:确保在需要时,经过授权的使用者可接触信息和

相关的资产

信息安全可通过一套管制手段得以实现;此管制手段可为政

策、行为规范、流程、组织结构和软件功能。必须建立此类管制

手段来确保各单位的具体安全目标得以实现。

为何需要信息安全?

信息和信息支持程序、系统及网络是重要的经营资产。信息

的必威体育官网网址性、完整性和可得性对维持单位的竞争优势、现金流动、

赢利性、合法性和商业形象至关重要。

单位及其信息系统和网络正面临着来自各方面的越来越多

的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火

灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务

攻击等已经变得越来越普遍、更具野心和复杂。

对信息系统和服务的依赖表明单位在安全威胁面前已越来

越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了

进行存取管制的难度。分散化的计算机模式进一步减弱了中央

化、专业化管制的有效性。

许多信息系统本身的设计就很不安全。通过技术手段达到的

安全很有限,因此要通过恰当的管理和流程加以支持。确认采取

的管制措施时需要详细审慎的计划和构思。信息安全管理至少要

求单位所有员工的参与。同时,也要求供货商、客户和股东的参

与。单位外部的专家建议有时也很必要。

如果能在具体规章和设计阶段就将信息安全管制方面的内

容纳入其中,则其成本会便宜许多。

如何设置安全要求?

单位能够确认其安全方面的要求至关重要。在这方面,主要

有三个来源:

第一个来源是对单位面临的风险进行评估。通过风险评估,

可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可

能性,并对其潜在的冲击加以估计。

第二个来源是某单位、其运营伙伴、签约方和服务提供商所

必须满足的法律、法规、规章或契约方面的要求。

第三个来源是单位为支持其运营而开发出的一套针对信息

处理的原则、目标和要求。

评估安全风险

安全要求是通过对安全风险的系统评估而确认的。管制方面

的支出需要和安全失控时产生的危害进行平衡和比较。风险评估

技巧可运用到整个组织或局部,也可针对其实用性、现

文档评论(0)

150****5835 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档