返回
信息安全管理实用规则》(草案)060327sgxl

信息安全管理实用规则》(草案)060327sgxl

ID:22511932

大小:530.50 KB

页数:98页

时间:2018-10-29

信息安全管理实用规则》(草案)060327sgxl_第1页
信息安全管理实用规则》(草案)060327sgxl_第2页
信息安全管理实用规则》(草案)060327sgxl_第3页
信息安全管理实用规则》(草案)060327sgxl_第4页
信息安全管理实用规则》(草案)060327sgxl_第5页
资源描述:

《信息安全管理实用规则》(草案)060327sgxl》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息技术安全技术信息安全管理实用规则Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement(IDTISO/IEC17799:2005)(征求意见稿,2006年3月27日)91目次前言III引言IV0.1什么是信息安全?IV0.2为什么需要信息安全?IV0.3如何建立安全要求IV0.4评估安全风险V0.5选择控制措施V0.6信息安全起点V0.7关键的成功因素VI0.8开发你自己的指南VI1范围12术语和

2、定义13本标准的结构33.1章节33.2主要安全类别34风险评估和处理44.1评估安全风险44.2处理安全风险45安全方针55.1信息安全方针56信息安全组织66.1内部组织66.2外部各方117资产管理157.1对资产负责157.2信息分类178人力资源安全188.1任用之前188.2任用中218.3任用的终止或变化229物理和环境安全249.1安全区域249.2设备安全2710通信和操作管理3010.1操作程序和职责3010.2第三方服务交付管理3310.3系统规划和验收3410.4防范恶意和移动代码3510.5备

3、份3710.6网络安全管理3810.7介质处置3910.8信息的交换419110.9电子商务服务4510.10监视4711访问控制5111.1访问控制的业务要求5111.2用户访问管理5211.3用户职责5411.4网络访问控制5611.5操作系统访问控制6011.6应用和信息访问控制6311.7移动计算和远程工作6412信息系统获取、开发和维护6612.1信息系统的安全要求6612.2应用中的正确处理6712.3密码控制7012.4系统文件的安全7212.5开发和支持过程中的安全7412.6技术脆弱性管理7613信息

4、安全事故管理7813.1报告信息安全事件和弱点7813.2信息安全事故和改进的管理7914业务连续性管理8214.1业务连续性管理的信息安全方面8215符合性8615.1符合法律要求8615.2符合安全策略和标准以及技术符合性8915.3信息系统审核考虑9091前言91引言0.1 什么是信息安全?象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息

5、系统和网络的安全的OECD指南)。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过

6、程联合进行。0.2 为什么需要信息安全?信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者,例如实现电子政务或

7、电子商务,避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。0.3 如何建立安全要求组织识别出其安全要求是非常重要的,安全要求有三个主要来

8、源:1、一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。2、91另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。1、第三个来源是组织开发的支持其运行的信

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。