当前位置:文档之家› 信息安全管理体系BS7799-2(3)标准

信息安全管理体系BS7799-2(3)标准

信息安全管理体系BS7799-2(3)标准
信息安全管理体系BS7799-2(3)标准

BS7799-2:2002

目录

0 总则..... .. (2)

0.1 总则 (2)

0.2 过程方法 (2)

1 范围.. .. (3)

1.1 概要 (3)

1.2 应用 (3)

2 引用标准 (4)

3名词 (4)

4信息安全管理体系要求 (5)

4.1 总则 (5)

4.2 建立和管理ISMS (5)

4.3 文件要求 (7)

5 管理职责 (8)

5.1 管理承诺 (8)

5.2 资源管理 (8)

6 信息安全管理体系的管理评审 (8)

6.1 总则 (8)

6.2 评审输入 (9)

6.3 评审输出 (9)

6.4 内部信息安全管理体系审核 (9)

7 ISMS 改进.... .改进 (10)

7.1 持续改进 (10)

7.2 纠正措施 (10)

7.3 预防措施 (10)

附录A (引用) 控制目标和控制措施 (11)

附录B( 情报性的) 标准使用指南 (25)

附录C( 情报性的) ISO 9001:2000?ISO14001 与BS7799-2:2002 条款对照 (31)

0 介绍

0.1 总则

本标准的目的是为业务经理和他们的员工提供建立和管理一个有效的信息安全管理体系(ISMS)模型。采用ISMS 应是一个组织的战略决定。一个组织的ISMS 的设计和实施受业务需要和业务目标、产生的安全需求、采用的过程及组织的大小和结构的影响。上述因素和他们的支持过程预计会随事件变化而变化。希望简单的情况是用简单的ISMS 解决方案。

本标准可以由内部、外部包括认证组织使用,审核一个组织是否符合其本身的需要及客户和法

律的要求。

0.2 过程方法

本标准推荐采用过程的方法开发、实施和改进一个组织的ISMS 的有效性。

一个组织必须识别和管理许多活动使其有效地运行。一个活动使用资源和在管理状态下使其

能够把输入转换为输出,这可以被认为是一个过程。经常地,一个过程的输出直接形成了下一个过程的输入。

在一个组织中应用一个过程的体系,并识别这些过程、过程间的相互作用及过程的管理,可

以叫做过程的方法。过程的方法鼓励使用者强调以下重要性:

a) 理解信息安全需求和建立信息安全方针和目标的需要;

c) 监控和评审ISMS 的有效性和绩效;

d) 在客观评价的基础上持续改进。

本标准采用的,适用于ISMS 的模型,如图一所示。图一显示ISMS 怎样考虑输入利益相关

方的信息安全需求和期望,通过必要的行动产生信息安全结果(即:管理的信息安全),此结果满足这些需要和期望。一个需求的例子可能是信息安全事故不要对组织引起财务损失或引起高层主管的尴尬。一个期望的例子可能是如果严重的事故发生——也许组织的电子商务网站被黑客入侵——将有被培训过的员工通过使用的程序减小其影响。这显示了本标准在第四部分至第七部分的联系。本模型就是众所周知的“Plan-Do-Check-Act”(PDCA)模型,本模型可以用于所有的过程。PACA 模型可以简单地描述如下图:

图一:应用于ISMS 过程的PDCA 模型

计划(建立ISMS)建立与管理风险和改进信息安全有关的安全方针、目标、目的、过

程和程序,以达到与组织整体方针和目标相适应的结果。

实施(实施和运作ISMS)实施和运作信息安全方针、控制措施、过程和程序。

检查(监控和评审ISMS)针对安全方针、目标和实践经验等评审和(如果使用)测量过程的

绩效并向管理层报告结果共评审

改进(维护和改进ISMS)在管理评审的结果的基础上,采取纠正和预防行动以持续改进

ISMS。

0.3 与其他管理体系标准的兼容性

本标准与ISO 9001:2000 与ISO 14001:1996 相结合以支持实施和运作安全体系的一致性和整合。

在附件C 中的表格显示BS 7799, ISO 9001,ISO 14001 各部分不同语

句间的对应关系。

本标准使组织能够联合或整合其ISMS 及相关管理体系的要求。

表一

1范围

1.1 概要

本标准规范在组织整个业务风险的环境下建立、实施、维护和改进一个文件化的ISMS 模型。

它规范了制定实施安全控制措施的方法以适应不同组织或相关方的需求。(见附件B,提供了使用该规范的指南)。

ISMS 保证足够的和性价比高的安全控制措施以充分保护信息资产并给与客户和其他利益相

关方信心。这将增强竞争优势、扩大现金流、提高组织赢利能力、法律符合及赢得良好的商务形象。

1.2 应用

本标准提出的要求使一般性的并试图用于所有的组织,不管其类型、大小和业务性质。当由

于组织的性质和业务使本标准中的某些要求不能使用,可以考虑删减。

除非删减不影响组织的能力,或符合由风险评估和适用的法律确定的信息安全要求,否则不PDCA 模型应用与信息安全管理体系过程

相关单位

信息

安全需求

和期望

相关单位

管理状态

下的信息

安全

建立ISMS

实施和

改进ISMS

监控和

评审ISMS

计划PLAN

开发、维护

和改进循环

检查CHECK

实施

DO

改进

ACTION

能声称符合本标准。任何能够满足风险接受标准的删减必须证明是正当的并需要提供证据,证明相关风险被负责人员正当地接受。对于删减条款4,5,6,和7 的要求不能接受。

2 引用标准

ISO 9001:2000 质量管理体系-要求

ISO/IEC 17799:2000 信息技术—信息安全管理实践指南

ISO 指南73:2001 风险管理指南-名词

3 名词和定义

从本英国标准的目的出发,以下名词和定义适用。

3.1 可用性

保证被授权的使用者需要时能够访问信息及相关资产。[BS ISO/IEC 17799:2000]

3.2 保密性

保证信息只被授权的人访问。[BS ISO/IEC 17799:2000]

3.3 信息安全

安全保护信息的保密性、完整性和可用性

3.4 信息安全管理体系(ISMS)

是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护

信息安全。

注意:管理体系包括组织的结构、方针、计划、活动、责任、实践、程序、过程和资源。3.5 完整性

保护信息和处理过程的准确和完整。[BS ISO/IEC 17799:2000]

3.6 风险接受

接受一个风险的决定[ISO Guide 73]

3.7 风险分析

系统化地使用信息识别来源和估计风险[ISO Guide 73]

3.8 风险评估

风险分析和风险评价的整个过程[ISO Guide 73]

3.9 风险评价

比较估计风险与给出的风险标准,确定风险严重性的过程。[ISO Guide 73]

3.10 风险管理

指导和控制组织风险的联合行动

3.11 风险处理

选择和实施措施以更改风险的处理过程[ISO Guide 73]

3.12 适用性声明

描述适用于组织的ISMS 范围的控制目标和控制措施。这些控制目标和控制措施是建立在风

险评估和处理过程的结论和结果基础上。

组织应在组织整体业务活动和风险的环境下开发、实施、维护和持续改进文件化的ISMS。对于该标准的目的,使用的过程是建立在图一所示的PDCA 模型基础上。

4.2 建立和管理ISMS

4.2.1 建立ISMS

组织应:

a) 应用业务的性质、组织、资产和技术定义ISMS 的范围。

b) 应用组织的业务性质、组织、资产和技术定义ISMS 的方针,方针应:

1)包括为其目标建立一个框架并为信息安全活动建立整体的方向和原则。

2)考虑业务及法律或法规的要求,及合同的安全义务。

3)建立组织战略和风险管理的环境,在这种环境下,建立和维护信息安全管理

体系。

4)建立风险评价的标准和风险评估定义的结构。[见4.2.1c]

5)经管理层批准

c) 定义风险评估的系统化的方法

识别适用于ISMS 及已识别的信息安全、法律和法规要求的风险评估方法。为

ISMS 建立方针和目标以降低风险至可接受的水平。确定接受风险的标准和识别

可接受风险的水平[见5.1f]

d) 定义风险:

1)在ISMS 的范围内,识别资产及其责任人

2)识别对这些资产的威胁

3)识别可能被威胁利用的脆弱性

4)识别资产失去保密性、完整性和可用性的影响

e) 评估风险

1)评估由于安全故障带来的业务损害,要考虑资产失去保密性、完整性和可用

性的潜在后果;

2)评估与这些资产相关的主要威胁、脆弱点和影响造成此类事故发生的现实的

可能性和现存的控制措施;

3)估计风险的等级

4)确定介绍风险或使用在c 中建立的标准进行衡量确定需要处理;

f) 识别和评价供处理风险的可选措施:

可能的行动包括:

1)使用合适的控制措施

2)知道并有目的地接受风险,同时这些措施能清楚地满足组织方针和接受风险

的标准[见4.2.1c]

3)避免风险;

4)转移相关业务风险到其他方面如:保险业,供应商等。

6

g) 选择控制目标和控制措施处理风险:

应从本标准附件A 中选择合适的控制目标和控制措施,选择应该根据风险评估

和风险处理过程的结果调整。

注意:附件A 中列出的控制目标和控制措施,作为本标准的一部分,并不是所

有的控制目标和措施,组织可能选择附加的控制措施

h) 准备一份适用性声明。从上面4.2.1(g)选择的控制目标和控制措施以及被选择的

原因应在适用性声明中文件化。从附件A 中剪裁的控制措施也应加以记录;

i) 提议的残余风险应获得管理层批准并授权实施和运作ISMS。

4.2.2 实施和运作ISMS

a) 识别合适的管理行动和确定管理信息安全风险的优先顺序(即:风险处理计划)-[见条款5];

b) 实施风险处理计划以达到识别的控制目标,包括对资金的考虑和落实安全角色和责任。

c) 实施在4.2.1(g)选择的控制目标和控制措施

d) 培训和意识[见5.2.2];

e) 管理运作过程;

f) 管理资源[见5.2];

g) 实施程序和其他有能力随时探测和回应安全事故。

4.2.3 监控和评审ISMS

组织应:

a) 执行监控程序和其他控制措施,以:

1)侦测处理结果中的错误;

2)及时识别失败的和成功的安全破坏事故;

3)能够使管理层决定已分派给员工的或通过信息技术实施的安全活动是

否达到了预期的目标;

4)确定解决安全破坏的行动是否反映了业务的优先级。

b) 进行常规的ISMS 有效性的评审(包括符合安全方针和目标,及安全控制措施的评审)考虑安全评审的结果、事故、来自所有利益相关方的建议和反馈;

c) 评审残余风险和可接受风险的水平,考虑以下变化:

1)组织

2)技术

3)业务目标和过程

4)识别威胁

5)外部事件,如:法律、法规的环境发生变化或社会环境发生变化。

d) 在计划的时间段内实施内部ISMS 审核。

e) 经常进行ISMS 管理评审(至少每年评审一个周期)以保证信息安全管理体系

的范围仍然足够,在ISMS 过程中的改进措施已被识别(见条款6 ISMS 的管理

评审);

f) 记录所采取的行动,和能够影响ISMS 的有效性或绩效的事件[见4.3.4]。4.2.4 维护和改进ISMS

组织应经常:

a) 实施以识别的对于ISMS 的改进措施

7

b) 采取合适的纠正和预防行动[见7.2和7.3]. 应用从其它组织的安全经验和组织内学到的知识。

c) 沟通结果和行动并得到所有参与相关方的同意。

d) 确保改进行动达到了预期的目标。

4.3 文件要求

4.3.1 总则

ISMS 文件应包括:

a) 文件化的安全方针文件和控制目标;

b) ISMS 范围[见4.2.1]和程序及支持ISMS 的控制措施

c) 风险评估报告[见4.2.1];

d) 风险处理计划[见4.2.2];

e) 组织需要的文件化程序以确保有效计划运营和对信息安全过程的控制[见6.1]

f) 本标准要求的记录[见4.3.4];

注1:当本标准中出现“文件化的程序”,这意味着建立、文件化、实施和维护该程序。

注2: See ISO 9001

注3:文件和记录可以用多种形式和不同媒体。

4.3.2 文件控制

ISMS 要求的文件应保护和控制。应建立文件化的程序确定管理所需的文件:

a) 文件发布须得到批准,以确保文件的充分性;

b) 必要时对文件进行审批与更新,并再次批准;

c) 确保文件的更改和现行修订状态得到识别;

d) 确保在使用处可获得适用文件的有关版本;

e) 确保文件保持清晰、易于识别;

f) 确保外来文件得到识别,并控制其分发;

g) 确保文件的发放在控制状态下;

h) 防止作废文件的非预期使用;

i) 若因任何原因而保留作废文件时,对这些文件进行适当的标识。

4.3.3 记录控制

应建立并保持纪录,以提供符合要求和信息安全管理体系的有效运行的证据。记录应当被

控制。信息安全管理体系应考虑任何有关的法律要求。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的储存、保护、检索、保存期限和处置所需的控制。一个管理过程将确定记录的程度。

应保留4.2 概要的过程绩效记录和所有与信息安全管理体系有关的安全事故发生的纪录。

举例

记录的例子如:访问者的签名簿,审核记录和授权访问记录。

5 管理职责

5.1 管理承诺

管理层应提供其承诺建立、实施、运行、监控、评审、维护和改进信息安全管理体系的证据,包括:

a) 建立信息安全方针;

b) 确保建立信息安全目标和计划;

c) 为信息安全确立角色和责任;

d) 向组织传达信息安全目标和符合信息安全方针的重要性、在法律条件下组织的

责任及持续改进的需要。

e) 提供足够的资源以开发、实施,运行和维护信息安全管理体系[见5.2.1];

f) 确定可接受风险的水平;

g) 进行信息安全管理体系的评审[见条款6]。

5.2 资源管理

5.2.1 提供资源

组织将确定和提供所需的资源,以:

a) 建立、实施、运行和维护信息安全管理体系;

b) 确保信息安全程序支持业务要求;

c) 识别和强调法律和法规要求及合同安全的义务;

d) 正确地应用所有实施的控制措施以维护足够的安全;

e) 必要时,进行评审,并适当回应这些评审的结果;

f) 需要时,改进信息安全管理体系的有效性。

5.2.2 培训,意识和能力

组织应确保所有被分配信息安全管理体系职责的人员具有履行要求的任务能力。组织应:

a) 确定从事影响信息安全管理体系的人员所必要的能力;

c) 评价提供的培训和所采取行动的有效性;

d) 保持教育、培训、技能、经验和资格的纪录[见4.3.3]

组织应确保所有相关的人员知道他们信息安全活动的适当性和重要性以及他们满足信息安全

管理目标所需要采取的活动。

6 信息安全管理体系的管理评审

6.1 总则

管理层应按规定的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性

和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要,包括安全方针和安全目标。评审的结果因清楚地文件化,应保持管理评审的纪录[见4.3.3]

6.2 评审输入

管理评审的输入应包括以下方面的信息:

a) 信息安全管理体系审核和评审的结果;

b) 相关方的反馈;

c) 可以用于组织改进其信息安全管理体系业绩和有效性的技术,产品或程序;

d) 预防和纠正措施的状况;

e) 以前风险评估没有足够强调的脆弱点或威胁;

f) 以往管理评审的跟踪措施;

g) 任何可能影响信息安全管理体系的变更;

h) 改进的建议。

6.3 评审输出

管理评审的输出应包括以下方面有关的任何决定和措施:

a) 信息安全管理体系有效性的改进;

b) 修改影响信息安全的程序,必要时,以回应内部或外部可能影响信息安全管理体系的事件,包括以下的变更:

1)业务要求;

2)安全要求;

3)业务过程影响现存的业务要求;

4)法规或法律环境;

5)风险的等级和/或可接受风险的水平;

6) 资源需求。

6.4 内部信息安全管理体系审核

组织应按规定的时间间隔进行内部信息安全管理体系审核,以确定信息安全管理体系的控制

目标、控制措施、过程和程序是否:

a) 符合本标准和相关法律法规的要求;

b) 符合识别的信息安全要求;

c) 被有效地实施和维护;

d) 达到预想的业绩。

任何审核活动应进行规划,规划应考虑过程的状况和重要性,要审核的范围以及前次审核的

结果。应确定审核的标准,范围,频率和方法。选择审核员及进行审核应确保审核过程的客观和公正。审核员不应审核他们自己的工作。

应在一个文件化的程序中确定和实施审核,报告结果和维护记录[见4.3.3]的责任及要求。负

责被审核区域的管理者应确保采取没有延迟的措施以减少由于不符合管理措施引起的事故。改进措施应包括验证采取的措施和报告验证的结果[见条款7]。

7 ISMS 改进

7.1 持续改进

组织应通过使用安全方针、安全目标、审核结果、对监控事件的分析、纠正和预防行动和管

理评审的信息来持续改进ISMS 的有效性。

组织应采取措施,以消除不合格的、与实施和运行信息安全管理体系有关的原因,防止不合格的再发生。应为纠正措施编制形成文件的程序,确定以下的要求:

a) 识别实施和/或运行信息安全管理体系的不合格事件;

b) 确定不合格的原因;

c) 评价确保不合格不再发生的措施的需求;

d) 确定和实施所需的纠正措施;

e) 记录所采取措施的结果[见4.3.3];

f) 评审所采取的纠正措施。

7.3 预防措施

组织应针对未来的不合格事件确定预防措施以防止其发生。预防措施应与潜在问题的影响程度相适应。应为预防措施编制形成文件的程序,以确定以下方面的要求:

a) 识别潜在的不合格事件及其原因;

b) 确定和实施所需的预防措施;

c) 记录所采取措施的结果[见4.3.3];

d) 评审所采取的预防措施;识别已变更的风险和确保注意力关注在重大的已变更的风险上。纠正措施的优先权应以风险评估的结果为基础确定。

注:预防不合格的措施总是比纠正措施更节约成本。

附录A (引用) 控制目标和控制措施

控制目标和控制措施

A.1 介绍

从A.3 到A.12 列出的控制目标和控制措施是直接引用并与BS ISO/IEC 17799:2000 条款3 到12 一致。在表中的清单并不彻底,一个组织可能考虑另外必要的控制目标和控制措施。在这些表中选择控制目标和控制措施是条款4.2.1 规定的信息安全管理体系过程的一部分。

A.2 实践指南规范

BS ISO/IEC 17799:2000 条款3 至12 提供最佳实践的实施建议和指南以支持A.3 到A.12 规范的控制措施。

A.3 安全方针

BS ISO/IEC

17799:2000

编号

A.3.1 信息安全方针

控制目标:提供管理方向和支持信息安全

3.1

控制措施

A.3.1.1 信息安全方针文件

管理层应提供一份方针文件,出版并沟通,

适当时,给所有员工。

3.1.1

A.3.1.2 评审和评价应经常评审方针文件,在发生决定性的变化

时,确保方针的适宜性

3.1.2

12

A.4 组织安全

BS ISO/IEC

17799:2000

编号

A.4.1 信息安全基础设施

控制目标:在组织中管理信息安全

控制措施

A.4.1.1 管理信息安全委员

信息安全管理委员会确保明确的目标和

管理层对启动安全管理可见的支持。管

理委员会应通过适当的承诺和充足的资

源推广安全

4.1.1

A.4.1.2 信息安全协作在大的组织中,应使用一个由从各组织相

关单位的管理者代表组成的跨职能部门

的委员会,协作实施信息安全控制措施。

4.1.2

A.4.1.3 落实信息安全责任应明确定义保护每种资产和负责特定安

全过程的责任

4.1.3

A.4.1.4 对信息处理设施的

授权过程

应建立对于新的信息处理设施的管理授

权过程

4.1.4

A.4.1.5 专家信息安全建议

应从内部或外部搜集专家的信息安全建

议并在组织内部实施协作。

4.1.5

A.4.1.6 组织间的合作与执法机关、主管机关、信息服务提供者,

及通信业者应维持适当的接触

4.1.6

A.4.1.7 独立的信息安全审

应对信息安全方针的实施进行独立的审

4.1.7

A.4.2 第三方访问的安全

控制目标:维护组织的信息处理设施及信息资产被第三方访问时的安全4.2

控制措施

A.4.2.1 确认第三方访问的风

应对第三方访问组织的信息处理设施所

带来的风险进行评估,并实施适当的安

全控制

4.2.1

A.4.2.2 与第三方的合约中的

安全要求

涉及第三方访问组织的信息处理设施的

安排,应以包含必要的安全要求在内的

正式合约为基础。

4.2.2

控制目标:当信息处理的责任委托其它组织时,应维护信息的安全

4.3

A.4.3.1

外包合约中的安全要求当组织将全部或部分的信息系统、网络、及/或桌上型计算机环境的管理及控制外

包时,在双方同意的合约中应说明安全

的要求。

4.3.1

13

A.5 资产分类与控制

BS ISO/IEC

17799:2000

编号

A.5.1 资产的保管责仸

控制目标:维持对于组织的资产的适切保护

5.1

控制措施

A.5.1.1

资产的清单

应列出并维持一份与每个信息系统有

关的所有重要资产的清单

A.5.2 信息分类

控制目标:确保信息资产受到适当程度的保护

5.2

控制措施

A.5.2.1 分类原则信息的分类及相关的保护控制,应适合

于企业运营对于信息分享或限制的需

要,以及这些需要对企业营运所带来的

冲击

5.2.1

A.5.2.2 信息的标识及处理

应制定信息标识及处理的程序,以符合

组织所采行的分类法则

5.2.2

14

A.6 人事安全

BS ISO/IEC

17799:2000

编号

A.6.1 工作说明及人力资源的安全

控制目标:降低因人员错误、偷窃、诈欺或设施滥用所造成的风险6.1

控制措施

A.6.1.1

将安全需求列入工

作职责中

组织在信息安全方针中所规定的安全角

色及责任,应适度地书面化于工作职责说

明书中

A.6.1.2 人员背景调查政策应在招聘员工时,执行正式员工的验证查

6.1.2

A 6.1.3

保密合约

员工应签署保密协议作为其聘用劳动合

同的一部份

6.1.3

A.6.1.4 聘用合同聘用合同中应陈述员工对信息安全的责

6.1.4

6.2 使用者培训

控制目标:确保员工了解信息安全的威胁及相关事项,并且具备在其日常工作过程中支持组织信息安全方针的能力

6.2

控制措施

A.6.2.1

信息安全的教育与

培训

组织的所有员工以及相关的第三方使

用者,对于组织方针及程序应接受适

当、定期更新的训练

6.2.1

A.6.3 安全事故及故障的响应

控制目标:将安全事故及故障所造成的损害降到最小,并监督此类事件,从中吸取教训

6.3

A.6.3.1

安全事故报告组织应明确信息安全事故报告的方式、

报告的内容、报告的受理部门,即安全

事件应在被发现之后尽快由适当的受

理途径进行通报

6.3.1

A.6.3.2 安全弱点的报告应要求信息服务的使用者记下并报告

任何观察到的或可疑的有关系统或服

务方面的安全弱点或威胁

6.3.2

A.6.3.3 软件事故的报告应建立报告软件事故报告的相关程序

并实施

6.3.3

A.6.3.4 从事故中吸取教训应有适当机制以量化与监督安全事故

及事故与故障的种类、数量、及成本

6.3.4

A.6.3.5 惩处的流程员工违反组织安全方针及程序,应由正

式的惩处流程来处理

6.3.5

15

A.7 实体及环境安全

BS ISO/IEC

编号

A.7.1 安全区域

控制目标:防止未经授权的进入、访问、破坏及干扰企业运行场所及信息7.1

控制措施

A.7.1.1

实体安全边界

组织应有安全的边界以保护包含信息处

理设施的区域

7.1.1

A.7.1.2

实体进出控制安全区域应有适当的进出控制加以保护,

以确保只有经授权的人员可以进出

7.1.2

A.7.1.3

办公处所及设备

的保护

应划定安全区域,以保护具有特殊安全需

求的办公处所及设备

7.1.3

A.7.1.4

在安全区域中的

作业

应对在安全区域中进行的作业有额外的

控制方法及指导原则以加强安全区域的

安全

7.1.4

A.7.1.5

传送和储存区域

的隔离

传诵及储存区域应加以控制,如有可能应

与信息处理设施隔离,以避免未经授权的

访问

7.1.5

A.7.2 设备安全

控制目标:预防资产丢失、破坏或泄露及防止企业业务活动的中断

7.2

控制措施

A.7.2.1

? ? ? ? ? ? ?

?

应妥善安置及保护设备,以降低来自环境

的威胁与危险所造成的风险以及未经授

权的访问

7.2.1

A.7.2.2

电源供应

应保护设备免于电力失效及其它电力异

常的影响

A.7.2.3 电缆传输安全传输资料或支持信息服务的电力及通讯电缆,应予以保护免于被拦截或破坏

7.2.3

A.7.2.4

设备维护

设备应进行正确维护,以确保其持续的

可用性及完整性

7.2.4

A.7.2.5 组织以外的设备

安全

任何在组织所在地以外使用的信息处理

设备应要求管理层授权

7.2.5

A.7.2.6

设备报废或再利

用的安全防护

设备在报废或再利用前,应清除在设备中

的信息

7.2.6

A 7.3 一般控制

控制目标:防止信息及信息处理设备的损毁或失窃

7.3

控制措施

A.7.3.1

办公桌面清理及

计算机屏幕画面

净清除策略

组织应具备办公桌面清理及计算机屏幕

画面清除的政策,以降低因信息被未经授

权访问、遗失及损害所造成的风险

7.3.1

A.7.3.2 资产的移出未经授权不得移出组织所拥有的设备、信息及软件

7.3.2

16

A.8 通讯与操作管理

BS ISO/IEC

17799:2000

编号

A.8.1 作业程序及责仸

控制目标:确保正确、安全地操作信息处理设备

8.1

控制措施

A.8.1.1

文件化的作业

程序

由条款4.1.1.1 所制定的信息安全政策所指明

的作业程序应加以文件化及维护

8.1.1

操作变更控制

对信息处理设施及系统的变更应加以控制

8.1.2

A.8.1.3

事故管理程序应建立事故的管理责任及程序,以确保迅速、有效及有序地反应安全事件和收集与事故有

关数据,如审核线索和日志

8.1.3

A.8.1.4 职务分离

职务及负责范围应加以分离,以降低未经授

权的修改或者滥用使用信息或服务的机会

8.1.4

A.8.1.5

开发与运营设

备的隔离

为防止开发和测试活动对正在运行系统的影

响,开发及测试设备应与运营设备分离。应

确定和文件化从开发状态到运行状态移植软

件的规定。

8.1.5

A.8.1.6

外部设备的管

使用外部的设备管理服务之前,应鉴别其风

险,并与承包商协议适当的控制方法,并纳

入合约内容之中

8.1.6

A.8.2 系统规划及验收

控制目标:将系统失效的风险降至最小

8.2

控制措施

A.8.2.1

容量规划

容量需求应加以监督,并应作出对于未来容

量需求的推测,以确保拥有合适的运算处理

能力及储存空间

8.2.1

A.8.2.2

系统验收

应建立新信息系统、升级及新版本的验收标

准,并且在系统投入使用前对其进行适当的

测试

8.2.2

A.8.3 对恶意软件的防范

控制目标:保护软件及信息的完整性不受恶意软件的损害8.3

控制措施

A.8.3.1

恶意软件的控制应具有侦测性及预防性的控制方法以防范

8.3.1

A.8.4 日常事务处理

控制目标:维持信息处理及通讯服务的完整性及可用性

8.4

控制措施

17

A.8.4.1 信息备份应定期备份重要的企业运营信息和软件,并

经常测试

8.4.1

A.8.4.2

操作员日志

作业人员应维持一份记录其作业活动的工

作日志。操作日志应受到经常性的,独立的

审查。

8.4.2

A.8.4.3 故障记录应通报错误并采取改正行动8.4.3

A.8.5网络管理

控制目标:确保网络中信息的安全以及支持系统受到保护

8.5

控制措施

A.8.5.1 网络控制应实行一系列的用于实现和保持网络安全

的控制措施。

8.5.1

A.8.6 存储媒体的处理与安全

控制目标:防止资产遭受损害以及企业营运活动遭受干扰

8.6

控制措施

A.8.6.1

可移动式计算机

存储媒体的管理

对于可移动式计算机储存媒体例如磁带、磁

盘以及打印出来的报告的管理应加以控制

8.6.1

A.8.6.2 存储媒体的报废不再需要的储存媒体,应可靠并安全地处置8.6.2 A.8.6.3

信息的处理程序

应建立信息的处理及储存程序,以保护信息

不被未经授权的泄漏或不当使用

8.6.3

A.8.6.4 系统文件的安全应保护系统文件以防未经授权的访问8.6.4

A.8.7 信息及软件的交换

控制目标:防止在组织间交换的信息遭受遗失、修改及不当使用

8.7

控制措施

A.8.7.1 信息及软件交换

协议

以电子化或人工方式在组织间交换信息及

软件时,应签订协议,其中有些可能是正式

8.7.1

A.8.7.2

存储媒体的运送

安全

运送存储媒体时应保护其不遭受未经授权

的泄漏、不当使用或毁坏

8.7.2

A.8.7.3 电子商务安全应保护电子商务免于诈欺行为、合约争议以及信息被泄漏及修改

8.7.3

A.8.7.4 电子邮件的安全应开发一份电子邮件的使用策略,并应有降低电子邮件所造成的安全风险的适当控制

方法

8.7.4

A.8.7.5 电子化办公系统

的安全

为控制电子化办公系统所带来的业务与安

全风险,各项政策与指导原则应加以拟定并

实施

8.7.5

A.8.7.6 公开发布系统信息在成为公众可取用前应有正式的授权

过程,应保护这类信息的完整性以防止未经

授权的修改

8.7.6

A.8.7.7 其它形式的信息

交换

应有适当的策略、程序及控制方法来保护经

由传真、语音及影像等通讯设施进行的信息

交换

8.7.7

18

A.9 访问控制

BS ISO/IEC

17799:2000

编号

A 9.1 企业运营对访问控制的要求

控制目标:控制对于信息的访问

9.1

控制措施

A 9.1.1

访问控制策略

企业运营对访问控制的要求应加以界定并

文件化,并明确规定访问控制的业务要求。

9.1.1

A.9.2 使用者访问管理

控制目标:确保访问信息系统的权限被适当地授权、落实和维护9.2

控制措施

应有正式的使用者注册及注销的程序,对用

户访问信息系统和服务的权限进行控制

9.2.1

A.9.2.2

特殊权限的管理对于特殊权限的分配及使用,应加以限制及

控制

9.2.2

A.9.2.3 使用者密码管理对于密码的分配,应通过正式的管理流程加以控制

9.2.3

A.9.2.4

使用者访问权限

的审查

为确保访问控制的有效性,管理层应定期对

使用者的访问权限进行评审。

9.2.4

A. 9.3 使用者责仸

控制目标:防止未经授权的使用者访问

9.3

控制措施

A.9.3.1 密码的使用应要求使用者在选择及使用密码时,遵循良

好的安全惯例

9.3.1

A.9.3.2

无人看管的用户

设备

应要求使用者确保无人看管的用户设备有

适当的保护

9.3.2

A.9.4 网络访问控制

控制目标:保护网络化的服务

控制措施

A.9.4.1 使用网络服务的

政策

使用者应仅能直接访问已获特别授权使用

的服务

9.4.1

A.9.4.2 强制性的路径由使用者的终端机至网络服务器间的路径

应加以控制

9.4.2

A.9.4.3 外部连接的用户

身份鉴别

应对远程用户的访问进行身份者认证9.4.3

A.9.4.4 节点认证自动连接远程计算机系统的设施应被认证9.4.4 A.9.4.5 远程诊断端口的

保护

对于诊断端口的访问应可靠地加以控制9.4.5

A.9.4.6 网络隔离应采取可在网络中以群组方式隔离信息服

务、使用者及信息系统的控制方法

9.4.6

A.9.4.7 网络连接的控制在共享式的网络中,使用者的联机能力应依照访问控制策略加以限制

9.4.7

19

A.9.4.8 网络路由的控制在共享式的网络中,应有路由控制方法以确保计算机连接及信息流不违反所制定的企

业的访问控制政策

9.4.8

A.9.4.9

网络服务的安全对于组织使用网络服务业者提供的所有网

络服务的安全特性,应提供清楚的说明

9.4.9

A.9.5 操作系统访问控制

控制目标:防止未经授权的计算机访问

9.5

控制措施

A.9.5.1 自动化的终端机

识别

应使用自动化的终端机识别,以认证连接到

特定场所及可移动式设备的联机

9.5.1

A.9.5.2 终端机登录程序使用安全登录程序访问信息服务,可以减少非授权访问的机会

9.5.2

A.9.5.3

用户识别和身份

鉴别

所有使用者应有唯一的识别码〈使用者代

号〉专供其个人的使用,以便各项活动可以

追溯至应负责的个人。应使用一种适当的认

证技术以真实地识别使用者的身份

9.5.3

A.9.5.4

口令字管理系统

密码管理系统应提供有效的、交互式的设施

以确保使用优质的密码

9.5.4

A.9.5.5 系统工具的使用系统工具的使用应加以限制并严格控制9.5.5 A.9.5.6

提供受胁迫警报

以保护使用者

对于可能成为他人胁迫的目标的使用者,应

提供受胁迫警报

9.5.6

A.9.5.7

终端机逾时终止

在高风险场所或为高风险系统服务终端机,

加以关闭以防止未经授权的人进行访问

9.5.7

A.9.5.8

连接时间的限制应使用连接时间的限制,以提供高风险的应

用程序附加的安全保护

9.5.8

A.9.6 应用程序访问控制

控制目标:防止未经授权的访问保持在信息系统中的信息

9.6

控制措施

A.9.6.1

信息访问限制对于信息及应用系统的功能的访问应依照

访问控制策略加以限制

9.6.1

A.9.6.2

敏感系统的隔离敏感系统应有专有的计算机环境,应在专用

计算机上运行,仅与可信赖的应用系统共享

资源。

9.6.2

A.9.7 系统访问及使用的监控

控制目标:侦测未经授权的活动

9.6.2

控制措施

A.9.7.1 事件记录应产生记载着异常状况及其它安全相关事

件的审核日志,并保存一定的期间以协助未

来的调查及访问控制的监控

9.7.1

A.9.7.2 系统使用的监控应建立监控信息处理设施使用情况的程序,并且应定期对监控活动的结果进行审查

9.7.2

A.9.7.3 时钟同步计算机的定时器应同步以便能准确地记录9.7.3

20

.9.8 可移动式计算机运算及计算机通讯远距工作

控制目标:确保使用可移动式计算机及远程工作设施的信息安全9.8

控制措施

A.9.8.1

可移动式计算机运

应有适当的正式政策并且采用适当的控制

方法,以防范使用可移动式计算机运算设施

进行工作时所造成的风险,特别是在未被保

护的环境中工作时

9.8.1

A.9.8.2

远程工作应开发策略、程序和标准以便授权及控制远

程工作

9.8.2

21

BS ISO/IEC

17799:2000

编号

A.10.1 系统的安全要求

控制目标:确保安全机制已构成信息系统的一部分

10.1

控制措施

A.10.1.1

安全要求的分析

及标准

对于使用新系统或改进原有系统的企业运

营要求,应将对控制方法的要求制定于其中

10.1.1

A.10.2 应用系统中的安全

控制目标:防止应用系统中的用户资料遗失、被修改及误用10.2

控制措施

A.10.2.1

输入资料的验证

输入到应用系统的资料应加以验证,以确保

资料是正确且适当的

10.2.1

A.10.2.2

内部处理控制

验证检查应成为系统的一部份,以侦测出数

据处理过程中的错误

10.2.2

A.10.2.3

消息验证

当有保护消息内容完整性的安全要求时,应

针对应用程序进行消息验证

10.2.3

A.10.2.4

输出资料的验证

从应用系统输出的资料应加以验证,以确保

对所储存的资料的处理流程是正确的,且就

其情况而言是适当的

10.2.4

A.10.3 密码学的控制方法

控制目标:保护信息的机密性、真实性或完整性

10.3

控制措施

A.10.3.1 运用密码技术的

控制方法

应建立并实施保护信息的密码技术控制使

用方针

10.3.1

A.10.3.2 资料加密应使用资料加密,以保护机密或关键信息的机密性

三级等保,安全管理制度,信息安全管理体系文件编写规范

* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日

[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受 到有关产权及版权法保护。任何个人、机构未经XXXX X勺书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部。

总则 细则 体系文件的格式 附则 第一早 第二早 第三章 第四章 附件.. 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签

第一章总则 第一条为规范XXXX X言息安全管理体系文件的编写和标识,确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》 (JR/T 0071 —2012),结合XXXXX实际,制定本规范。 第二条本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条网络与信息安全工作领导小组办公室负责组织XXXX X言息安全管理体系各级文件的编写和修订;负责XXXX X 言 息安全管理体系文件编码的分配和统一管理。 第二章细则 第四条体系文件类型包括: (一)管理策略:是指对信息系统安全运行提出策略性要求的文件,是信息安全管理体系的一级文件。 (二)管理规定:是指根据信息安全管理体系的管理策略要求提出详细规定的文件,是信息安全管理体系的二级文件。 (三)管理规范、操作手册:是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件,是信息安全管理体系的三级文件。 (四)运行记录、表单、工单:是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件,是信息安全管理体系的四级文

2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)

信息安全管理体系程序文件目录

信息安全管理体系作业文件目录

1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规

公司IT信息安全管理制度4.doc

公司IT信息安全管理制度4 **IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS 2003等)软件。 5、平台软件是指:防伪防窜货系统、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop 等)。 第三条职责

1、信息网络部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报行政部,在征得公司领导同意后,由网络信息管理员负责进行添置。 4、电脑操作应按规定的程序进行。

【精品推荐】ISO27001信息安全管理体系全套文件

目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7

6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15

参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月

信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下

ISMS手册信息安全管理体系手册

ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:

a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:

最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)

XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施

[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序

ISO27001信息安全管理体系标准中文版

ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)

0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要

Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)

信息安全管理制度汇编98250

内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二〇一六年一月

目录 一、总则 (6) 二、安全管理制度 (7) 第一章管理制度 (7) 1.安全组织结构 (7) 1.1信息安全领导小组职责 (7) 1.2 信息安全工作组职责 (8) 1.3信息安全岗位 (9) 2.安全管理制度 (11) 2.1安全管理制度体系 (11) 2.2安全方针和主策略 (12) 2.3安全管理制度和规范 (12) 2.4安全流程和操作规程 (14) 2.5安全记录单 (14) 第二章制定和发布 (15) 第三章评审和修订 (16) 三、安全管理机构 (17) 第一章岗位设置 (17) 1.组织机构 (17) 2.关键岗位 (19) 第二章人员配备 (21) 第三章授权和审批 (23) 第四章沟通和合作 (25) 第五章审核和检查 (27) 四、人员安全管理 (29) 第一章人员录用 (29) 1.组织编制 (29) 2.招聘原则 (29) 3.招聘时机 (29) 4.录用人员基本要求 (30) 5.招聘人员岗位要求 (30) 6.招聘种类 (30) 6.1 外招 (30) 6.2 内招 (31) 7.招聘程序 (31) 7.1 人事需求申请 (31) 7.2 甄选 (31) 7.3 录用 (33)

第二章保密协议 (34) 第三章人员离岗 (36) 第三章人员考核 (38) 1.制定安全管理目标 (38) 2.目标考核 (39) 3.奖惩措施 (39) 第四章安全意识教育和培训 (40) 1.安全教育培训制度 (40) 第一章总则 (40) 第二章安全教育的含义和方式 (40) 第三章安全教育制度实施 (40) 第四章三级安全教育及其他教育内容 (42) 第五章附则 (44) 第五章外部人员访问管理制度 (45) 1.总则 (45) 2.来访登记控制 (45) 3.进出门禁系统控制 (46) 4.携带物品控制 (47) 五、系统建设管理 (48) 第一章安全方案设计 (48) 1.概述 (48) 2.设计要求和分析 (49) 2.1安全计算环境设计 (49) 2.2安全区域边界设计 (50) 2.3安全通信网络设计 (51) 2.4安全管理中心设计 (51) 3.针对本单位的具体实践 (52) 3.1安全计算环境建设 (52) 3.2安全区域边界建设 (53) 3.3安全通信网络建设 (53) 3.4安全管理中心建设 (54) 3.5安全管理规范制定 (55) 3.6系统整体分析 (55) 第二章产品采购和使用 (56) 第三章自行软件开发 (59) 1.申报 (59) 2.安全性论证和审批 (59) 3.复议 (59)

ISO 270001 信息安全管理体系标准业务

一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。

2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态

信息安全管理体系建设

佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月

一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体

网络与信息安全管理体系

网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1,公司成立信息安全领导小组,就是信息安全的最高决策机构。 2,信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3,信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4,信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全

2,信息安全工作组的主要职责包括: (一)、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; (二)、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; (三)、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; (四)、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (五)、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; (六)、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; (七)、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 (八)、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 (九)、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全

企业内部信息安全管理体系

企业内部信息安全管理体系 建议书 太极英泰信息科技XX

目录 1理昌科技网络现状和安全需求分析:2 1.1概述2 1.2网络现状:3 1.3安全需求:3 2解决方案:4 2.1 总体思路:4 2.2TO-KEY主动反泄密系统:5 2.2.1系统结构:5 2.2.2系统功能:6 2.2.3主要算法:6 2.2.4问题?7 2.3打印机管理错误!未定义书签。 2.3.1打印机管理员碰到的问题错误!未定义书签。 2.3.2产品定位错误!未定义书签。 2.3.3产品目标错误!未定义书签。 2.3.4概念—TO-KEY电子钥匙预付费错误!未定义书签。 2.3.5功能错误!未定义书签。 3方案实施与成本分析错误!未定义书签。 1企业网络现状和安全需求分析: 1.1 概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要

解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2 网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3 安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求,和目前的网络现状,我们可以从下面几个方面去考虑信息泄露的途径: ●通过网络方式将信息发送出去,包括MAIL、QQ、MSN、FTP等多种文件传输方 式。 ●通过对内部网络的窃听来非法获取信息 ●内部人员在其他人的计算机上种植木马,引导外部人员获取XX信息。可以有效逃 避网络督察的监控。 ●内部人员将文件以密文方式发送出去,也能逃避网络督察的监控,网络上的加密工 具太多了。 ●通过COPY方式将文件传送出去。 ●非法获取内部非自己权限内的信息,包括获取他人计算机上的信息以及越权访问服 务器上的信息等。 ●网络管理人员将服务器上的信息复制出去。 ●制造计算机硬盘故障,将硬盘以维修的理由携带出去。 ●制造计算机故障,以维修的理由,将计算机带出公司 ●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。

《信息安全管理体系要求》ISOIEC 27001 2013(E)

目录 前言 (3) 0 引言 (4) 0.1 总则 (4) 0.2 与其他管理系统标准的兼容性 (4) 1. 范围 (5) 2 规范性引用文件 (5) 3 术语和定义 (5) 4 组织景况 (5) 4.1 了解组织及其景况 (5) 4.2 了解相关利益方的需求和期望 (5) 4.3 确立信息安全管理体系的范围 (6) 4.4 信息安全管理体系 (6) 5 领导 (6) 5.1 领导和承诺 (6) 5.2 方针 (6) 5.3 组织的角色,职责和权限 (7) 6. 计划 (7) 6.1 应对风险和机遇的行为 (7) 6.2 信息安全目标及达成目标的计划 (9) 7 支持 (9) 7.1 资源 (9) 7.2 权限 (9) 7.3 意识 (10) 7.4 沟通 (10) 7.5 记录信息 (10) 8 操作 (11) 8.1 操作的计划和控制措施 (11) 8.2 信息安全风险评估 (11) 8.3 信息安全风险处置 (11) 9 性能评价 (12) 9.1监测、测量、分析和评价 (12) 9.2 内部审核 (12) 9.3 管理评审 (12) 10 改进 (13) 10.1 不符合和纠正措施 (13) 10.2 持续改进 (14) 附录A(规范)参考控制目标和控制措施 (15) 参考文献 (28)

前言

0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4])及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性 本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。 附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。

信息安全管理体系建立方案

信息安全管理体系建立方案 (初稿) 信息技术部 2012年2月

随着企业的发展状大,信息安全逐渐被集团高层所重视,但直到目前为止还没有一套非常完善的信息安全管理方案,而且随着新技术的不断涌现,安全防护又如何能做到一劳永逸的坚守住企业信息安全的大门便成为每个信息技术部门永恒不变的课题。 作为天一药业集团的新兴部门,信息技术部存在的意义绝对不是简单的电脑维修,它存在的意义在于要为企业建设好信息安全屏障,保护企业的信息安全,同时通过信息交互平台,简化办公流程,提高工作效率,这才是部门存在的目的和意义,信息技术部通过不断的学习,研究,通过大量的调研,终于开始着手建立属于天一药业自己的信息堡垒。 企业信息安全主要包括了四个方面的容,即实体安全、运行安全、信息资产安全和人员安全,信息技术部将从这四个方面详细提出解决方案,供领导参考,评议。 一、实体安全防护: 所谓实体安全就是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施和过程。要想做好实体安全就必须要保证以下几点的安全: 1、环境安全: 每个实体都存在于环境当中,环境的安全对于实体来讲尤为重要,但对于环境来讲要想做到100%的安全那

是不现实的,因为环境是在不断的变化的,所以我们只能做到相对的安全,对于天一集团来讲,集团及各子厂所在的地理位置即称之为环境,计算机实体设备都存放于这个环境之中,所以要求集团及各子厂的办公楼要具备一定的防灾(防震,防火,防水,防盗等)能力。 机房作为服务器所在的环境,要求机房要具备防火、防尘、防水、防盗的能力,所以根据现用《机房管理制度》要求,集团现用机房的环境除不具备防尘能力外,基本上仍能满足环境安全条件。 2、设备及媒体安全: 计算机设备、设施(含网络)、媒体设备的安全需要具备一定的安全保障,而为了保障设备安全,首先需要确定设备对象,针对不同的管理设备制订相应的保障条例,比如计算机设备的管理条例中就应该明确规定里面的散件也应属于固定资产,应对散件加强管理,每次固定资产盘点时应仔细核对其配置信息,而不是只盘点主机数量。同时为了保障机器中配件的安全,需要对所有设备加装机箱锁,由信息技术部,行政部共同掌握钥匙。 散件的使用情况必须建立散件库台帐,由信息技术部管理,行政部将对信息部进行监督。 对于移动设备(笔记本、移动硬盘、U盘等)不允许带离集团,如必须带离集团需要经信息部、行政

相关主题
相关文档 最新文档