当前位置:文档之家 › 信息安全管理第七章

信息安全管理第七章

  • 格式:ppt
  • 大小:457.00 KB
  • 文档页数:54

下载文档原格式

  / 54

合集下载

网络信息安全管理规定

网络信息安全管理规定

网络信息安全管理规定第一章总则为了加强网络信息安全管理,保护网络信息安全,维护国家和个人利益,制定本规定。

第二章网络信息安全管理的基本原则第一条网络信息安全管理应当遵循合法、公正、公平的原则,确保网络信息的真实性、准确性、及时性和完整性。

第二条网络信息安全管理应当遵循针对性、灵活性和全面性的原则,根据不同网络信息的特点和风险状况,采取相应的安全管理措施。

第三条网络信息安全管理应当遵循预防为主、综合治理的原则,通过技术手段、管理措施和法律法规等综合手段,预防和控制网络信息安全风险。

第四条网络信息安全管理应当遵循安全优先的原则,将网络信息安全放在管理和发展的首要位置,为网络信息的安全提供必要的保障。

第三章网络信息安全管理的主体责任第一条国家机关、企事业单位、社会组织等网络信息管理主体应当建立健全网络信息安全责任制,明确网络信息安全管理的主体责任。

第二条国家机关、企事业单位、社会组织等网络信息管理主体应当设立专门机构或配备专业人员,负责网络信息安全管理。

建立网络信息安全管理制度,明确职责权限、安全措施和安全控制措施,规范网络信息的获取、存储、传输和处理等行为。

第四条国家机关、企事业单位、社会组织等网络信息管理主体应当加强网络信息安全意识教育和培训,提高网络信息安全管理能力。

第四章网络信息安全管理的技术措施第一条国家机关、企事业单位、社会组织等网络信息管理主体应当采用安全可靠的技术措施,保护网络信息系统的安全。

第二条国家机关、企事业单位、社会组织等网络信息管理主体应当根据网络信息的特点和风险级别,采取相应的技术防护措施,包括但不限于防火墙、入侵检测、数据加密等技术手段。

第三条国家机关、企事业单位、社会组织等网络信息管理主体应当建立网络信息系统的弱点与漏洞定期检查和修复机制,确保系统的安全性和稳定性。

第四条国家机关、企事业单位、社会组织等网络信息管理主体应当建立网络流量监控和数据备份机制,及时发现和处理网络安全事件,并保障网络信息的可追溯来源。

信息安全管理办法

信息安全管理办法

信息安全管理办法信息安全管理办法第一章总则第一条为加强公司信息安全管理,推进信息安全体系建设,保障信息系统安全稳定运行,根据国家有关法律、法规和《公司信息化工作管理规定》,制定本办法。

第二条本办法所指的信息安全管理,是指计算机网络及信息系统(以下简称信息系统)的硬件、软件、数据及环境受到有效保护,信息系统的连续、稳定、安全运行得到可靠保障。

第三条公司信息安全管理坚持“谁主管谁负责、谁运行谁负责”的基本原则,各信息系统的主管部门、运营和使用单位各自履行相关的信息系统安全建设和管理的义务与责任。

第四条信息安全管理,包括管理组织与职责、信息安全目标与工作原则、信息安全工作基本要求、信息安全监控、信息安全风险评估、信息安全培训、信息安全检查与考核。

第五条本办法适用于公司总部、各企事业单位及其全体员工。

第二章信息安全管理组织与职责第六条公司信息化工作领导小组是信息安全工作的最高决策机构,负责信息安全政策、制度和体系建设规划的审批,部署并协调信息安全体系建设,领导信息系统等级保护工作。

第七条公司建立和健全由总部、企事业单位以及信息技术支持单位三方面组成,协调一致、密切配合的信息安全组织和责任体系。

各级信息安全组织均要明确主管领导,确定相关责任,设置相应岗位,配备必要人员。

第八条信息管理部是公司信息安全的归口管理部门,负责落实信息化工作领导小组的决策,实施公司信息安全建设与管理,确保重要信息系统的有效保护和安全运行。

具体职责包括:组织制定和实施公司信息安全政策标准、管理制度和体系建设规划,组织实施信息安全项目和培训,组织信息安全工作的监督和检查。

第九条公司保密部门负责信息安全工作中有关保密工作的监督、检查和指导。

第十条企事业单位信息部门负责本单位信息安全的管理,具体职责包括:在本单位宣传和贯彻执行信息安全政策与标准,确保本单位信息系统的安全运行,实施本单位信息安全项目和培训,追踪和查处本单位信息安全违规行为,组织本单位信息安全工作检查,完成公司部署的信息安全工作。

第7章 IT治理概述-信息安全管理与风险评估(第2版)-赵刚-清华大学出版社

第7章 IT治理概述-信息安全管理与风险评估(第2版)-赵刚-清华大学出版社

信息安全管理与风险评估
简单叙述“IT治理”的基本概念。 简单叙述你对“IT治理与IT管理”的理解。 查阅资料,归纳IT治理支持手段。 什么是“ITIL”?其包括哪些“管理流程”? 简单叙述“COBIT 5.0的5个原则和7个驱动
因素”。
7.2 IT治理支持手段
IT治理标准主要有:COBIT、PRINCE2、ITIL、ISO/IEC 27001以及COSO发布的内部控制框架等。 COBIT提供控制和审计; PRINCE2提供结构化项目管理方法; ITIL提供整个过程的服务管理; ISO/IEC 27001提供安全管理。 CISR强调决策权的分配; IT-CMM可以判定企业信息化级别。
信息安全管理与风险评估
7.2 IT治理支持手段
4. COBIT模型:
COBIT5原则
信息安全管理与风险评估
7.2 IT治理支持手段
5.标准间的相互关系: COBIT、ITIL、ISO/IEC 27001和 PRINCE2在管理IT上各有优势, 如COBIT重点在于IT控制和IT度量评价; ITIL重点在于IT过程管理,强调IT支持和IT交付:ISO/IEC 27001重点在于IT安全控制; PRINCE2重点在于项目管理,强调项目的可控性,明确项 目管理中人员角色的具体职责,同时实现项目管理质量的 不断改进。
信息安全管理与风险评估
信息安全管理与风险评估
7.1 IT治理
IT治理是组织根据自身文化和信息化水平构建适 合组织发展的架构并实施的一种管理过程,是平衡IT资 源和组织利益相关者之间IT决策权力归属与责任分配的 一种管理模式,旨在规避IT风险和增加IT收益风险评估
信息安全管理与风险评估
7.2 IT治理支持手段
4. COBIT 模 型 : COBIT(Control Objectives for Information and related Technology)是目前国际上通用的 信息系统审计的标准,由ISACA(The Information System Audit and Control Association,美国信息系统审计与控制 协会)在1996年公布。 2012年4月,ISACA官方正式发布COBIT5.0。COBIT5.0提 出了能使组织在一套包含7个驱动因素整体方法下、建立 有效治理和管理框架的5个原则,以优化信息和技术的投 资及使用以满足相关者的利益。

信息安全管理规章制度

信息安全管理规章制度

信息安全管理规章制度第一章总则第一条为了加强信息安全管理,保护企业和个人信息安全,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本制度。

第二条本制度适用于公司内部信息安全管理,包括信息收集、存储、使用、传输、处理和销毁等各个环节。

第三条公司应当树立信息安全意识,采取有效措施,确保信息和信息系统的安全。

第四条公司应当明确信息安全管理责任,建立健全信息安全责任制度,明确各级人员的信息安全职责。

第二章信息安全管理组织第五条公司应当设立信息安全管理部门,负责公司信息安全工作的组织、协调和监督。

第六条信息安全管理部门应当制定信息安全政策和规章制度,组织信息安全培训和宣传,提高员工信息安全意识。

第七条信息安全管理部门应当定期进行信息安全风险评估,制定风险控制措施,并监督实施。

第八条信息安全管理部门应当建立信息安全事件应急响应机制,及时处理信息安全事件,并报告上级领导。

第三章信息安全防护措施第九条公司应当采取技术措施和管理措施,保护信息和信息系统的安全。

第十条公司应当建立信息分级制度,对不同级别的信息采取不同的保护措施。

第十一条公司应当加强访问控制,限制未经授权的访问和操作。

第十二条公司应当加强数据加密保护,对敏感数据进行加密存储和传输。

第十三条公司应当加强网络安全防护,建立防火墙、入侵检测和入侵防范系统。

第十四条公司应当定期进行信息系统安全检查,及时发现和整改安全隐患。

第十五条公司应当建立信息安全审计制度,对信息安全活动进行审计和监控。

第四章信息安全使用和处理第十六条公司应当合法收集和使用个人信息,明确收集和使用目的,并取得信息主体同意。

第十七条公司应当建立健全个人信息保护措施,防止个人信息泄露、损毁和滥用。

第十八条公司应当加强对信息系统使用人员的管理,规范使用行为,防止非法使用和泄露信息。

第十九条公司应当加强对信息系统输出信息的控制,确保输出信息的安全和合规。

第五章信息安全培训和宣传第二十条公司应当定期组织信息安全培训和宣传活动,提高员工信息安全意识和技能。

网络与信息安全管理办法

网络与信息安全管理办法

学校网络与信息安全管理办法第一章总则第一条为加强学校网络与信息安全管理,充分发挥校园网的作用,促进信息资源的交流与共享,维护公共利益和学校稳定,根据《网络安全法》和其他法律、法规的规定,结合学校实际,制定本办法。

第二条学校网络与信息安全工作,是指对于由校内各单位建设或管理,服务学校教学科研管理工作的校园网络、校园网站、数据中心和应用系统的预防和防御工作。

其核心内容是防止发生网络攻击、信息破坏、有害程序入侵、信息化设备设施故障等。

第二章管理体制与责任第三条学校网络与信息安全总体坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。

第四条学校设立“网络安全与信息化领导小组”,学校书记、校长任组长,其他成员任副组长,各二级学院、部室(单位)负责人为组员,主要负责领导全校网络安全与信息化工作。

小组下设两个办公室,信息安全办公室设在办公室,负责信息安全和网络舆情管控;网络安全办公室设在网络中心,负责网络安全管理。

第五条办公室是信息安全监管部门,负责校园网站建设、信息发布、内容审核与安全监管,负责校园网络舆情信息的监控和管理,开展网上疏导和正面宣传,做好对外宣传工作。

第六条网络中心是网络安全技术支撑部门,负责学校整体网络安全防护体系的建设,负责为全校各单位网络安全工作提供技术指导与服务支持。

第七条学校各二级单位是本单位网络与信息安全责任主体,单位主要负责人为所属网络与信息安全的第一责任人,负责本单位网络与信息安全管理工作。

各二级单位应明确指定专人担任网络安全管理员与信息安全管理员,分别负责本单位网络与信息安全具体业务工作,人员变动时应及时调整并分别向管理部门(信息安全管理员报办公室,网络安全管理员报网络中心)报备,人员变动及权限变更应做好台账记录。

第三章校园网络安全管理第八条校园网络包括校园有线网络和无线网络,涉及光缆、网络机房、网络设备、域名管理、安全防护、认证计费、网络接入与运维等,由网络中心负责建设和运行维护管理。

信息安全管理制度规定内容

信息安全管理制度规定内容

信息安全管理制度规定内容第一章总则第一条为满足公司信息系统安全管理的需要,保障公司信息安全,提高信息资源管理和利用水平,根据国家有关法律、法规,结合公司实际情况,制定本管理制度。

第二条公司信息安全管理制度是指内部管理体系,包括授予员工权限的原则、保护机密性信息的策略和程序、监控和检测安全事件的方法和程序、预防和应对安全事故的措施、信息资源的保护和安全培训等。

第三条本制度适用于公司全球范围内的信息系统、网络、信息资源、信息处理设备和关键信息基础设施的管理。

第四条公司信息安全管理制度的制定和实施应符合国家相关法律法规,维护国家利益和公共利益,保护公民权益和社会秩序,符合公司经营管理要求,规范公司信息资源的利用。

第五条本制度所称信息安全包括保密性、完整性、可用性和不可抵赖性等方面。

第六条所有公司员工都应当执行信息安全管理制度的规定,维护公司信息资源的安全性。

第二章信息安全管理机构第七条公司设立信息安全管理委员会,负责公司信息安全管理工作的协调、决策和监督。

第八条公司设立信息安全管理部门,负责制定信息安全管理制度和具体实施安全管理工作,包括信息系统的安全策略、特定安全事件的预防和处理。

第九条公司部门领导负责本部门的信息安全保护工作。

第三章信息安全保护责任第十条信息系统的责任者负责该信息系统的安全工作,包括信息系统的设计、实施、操作和维护。

第十一条信息系统管理者需制定信息系统安全管理规章制度,监督和管理本系统的安全工作。

第十二条公司所有员工有责任保护公司的信息资源,任何破坏公司信息安全的行为都将受到制裁。

第四章信息资产管理第十三条公司信息资源应当进行分类、归档和备份。

第十四条公司信息资源的登记、使用、保管、维护和报废等所有环节应当进行严格控制。

第十五条公司信息资源的访问权限应当按照需求进行授权,并且进行审计。

第五章信息系统运行管理第十六条公司信息系统应当进行定期的安全检查和漏洞扫描,及时发现并修复安全风险。

公司网络与信息安全管理办法

公司网络与信息安全管理办法第一章总则第一条为加强公司网络与信息安全管理,保障公司信息系统的安全稳定运行,保护公司及客户的合法权益,根据国家有关法律法规和公司实际情况,制定本办法。

第二条本办法适用于公司及所属各单位的网络与信息安全管理工作。

第三条网络与信息安全管理工作应遵循“预防为主、综合治理、人员防范与技术防范相结合”的原则。

第二章管理职责第四条公司成立网络与信息安全领导小组,负责统筹规划、协调指导公司网络与信息安全工作。

第五条信息技术部门负责公司网络与信息系统的建设、运行维护和安全管理,制定并实施相关安全策略和管理制度。

第六条各部门应明确本部门网络与信息安全责任人,负责落实本部门的网络与信息安全工作。

第三章人员安全管理第七条公司员工应遵守公司网络与信息安全管理制度,妥善保管个人账号和密码,不得随意泄露。

第八条新员工入职时应接受网络与信息安全培训,了解公司相关规定和要求。

第九条对涉及重要信息系统操作的人员,应进行背景审查和定期审查。

第十条员工离职时,应及时收回其相关系统的访问权限。

第四章设备与环境安全管理第十一条公司应加强对网络设备、服务器、终端等硬件设备的管理,定期进行维护和保养。

第十二条对重要设备应采取冗余备份、防火、防水、防盗等措施,确保设备的安全运行。

第十三条机房等重要场所应具备完善的物理环境安全设施,如门禁系统、监控系统、消防系统等,并定期进行检查和维护。

第五章网络安全管理第十四条公司应建立完善的网络访问控制策略,对不同用户和网络区域进行访问权限划分。

第十五条定期对网络进行安全漏洞扫描和风险评估,及时发现并处理安全隐患。

第十六条加强对无线网络的安全管理,设置强密码,并定期更换。

第十七条严禁私自搭建未经批准的网络设备和网络服务。

第六章信息系统安全管理第十八条对公司各类信息系统进行分类管理,明确安全等级和保护要求。

第十九条信息系统开发过程中应遵循安全开发规范,进行安全测试和评估。

第二十条信息系统上线前应进行安全验收,运行过程中应定期进行安全检查和维护。

企业信息安全管理制度

企业信息安全管理制度第一章总则第一条为了加强企业信息安全管理,保护企业资产和业务数据的安全,特制定本制度。

第二条本制度适用于企业全体员工,包括管理层、技术人员、行政人员以及其他相关人员。

第三条企业信息安全管理的目标是确保信息资产的保密性、完整性和可用性,防止信息泄露、篡改和丢失。

第二章组织架构与职责第四条成立企业信息安全领导小组,负责制定信息安全策略、监督信息安全工作并处理重大信息安全事件。

第五条设立信息安全管理部门,负责具体执行信息安全管理制度、开展信息安全风险评估和检查,并提供信息安全技术支持和培训。

第六条各部门应设立信息安全责任人,负责本部门信息安全工作的落实和日常管理。

第三章信息资产分类与保护第七条对企业信息资产进行分类,根据资产的重要性和敏感程度,采取相应的保护措施。

第八条加强对重要信息资产的物理保护,如设立门禁系统、安装监控设备等,防止未经授权的访问和破坏。

第九条对重要数据进行备份和恢复,确保数据的可靠性和可用性。

第四章信息安全技术与措施第十条建立完善的网络安全防护体系,包括防火墙、入侵检测系统、安全漏洞扫描等,防止网络攻击和恶意软件的侵入。

第十一条采用加密技术保护数据的传输和存储,确保数据的保密性。

第十二条对员工使用的终端设备进行安全管理,包括安装防病毒软件、定期更新操作系统和应用程序等。

第五章信息安全培训与意识提升第十三条定期开展信息安全培训,提高员工的信息安全意识和技能。

第十四条鼓励员工积极参与信息安全工作,及时报告发现的安全问题和隐患。

第六章信息安全事件处理与应急响应第十五条建立信息安全事件处理机制,对发生的信息安全事件进行及时响应和处理。

第十六条制定信息安全应急预案,确保在突发事件发生时能够迅速恢复业务运行。

第七章监督与考核第十七条信息安全管理部门定期对各部门的信息安全工作进行检查和评估,确保信息安全管理制度的落实。

第十八条将信息安全工作纳入企业的绩效考核体系,对在信息安全工作中表现突出的个人和部门进行表彰和奖励。

企业信息安全管理制度

企业信息安全管理制度第一章总则第一条为了加强企业信息安全管理工作,保障企业信息安全,根据《中华人民共和国网络安全法》等法律法规,结合企业实际情况,制定本制度。

第二条本制度适用于企业内部所有信息系统的安全管理,包括计算机网络、信息系统、数据存储、传输、处理等各个环节。

第三条企业应建立健全信息安全组织机构,明确信息安全管理部门及其职责,制定信息安全管理制度,加强信息安全培训和教育,提高全体员工的信息安全意识。

第四条企业应遵循预防为主、全面防护的原则,采取技术手段和管理措施,确保信息安全,保障企业正常运营。

第五条企业应建立健全信息安全事件应急预案,及时应对和处理信息安全事件,减轻或消除信息安全事件对企业的影响。

第二章信息资产管理第六条企业应建立信息资产清单,明确信息资产的分类、分布、使用和管理情况,定期对信息资产进行清查和盘点。

第七条企业应根据信息资产的重要性和敏感性,实行分级管理,对重要信息资产实施重点保护。

第八条企业应加强对信息资产的访问控制,对信息资产的使用和管理实行权限管理,确保信息资产的安全。

第三章信息系统安全管理第九条企业应建立信息系统安全管理制度,明确信息系统安全管理的责任和义务,制定信息系统安全策略和措施。

第十条企业应定期对信息系统进行安全检查和评估,及时发现和解决信息系统安全问题。

第十一条企业应加强对信息系统运维人员的管理,确保信息系统运维人员具备相应的技术能力和职业道德。

第十二条企业应采取技术手段,对信息系统进行实时监控和日志记录,及时发现和处理信息系统安全事件。

第四章数据安全管理第十三条企业应建立数据安全管理制度,明确数据安全管理的职责和义务,制定数据安全策略和措施。

第十四条企业应对数据进行分类管理,对敏感数据实施重点保护,确保数据的机密性、完整性和可用性。

第十五条企业应加强对数据存储、传输、处理等环节的安全管理,采取技术手段和管理措施,确保数据安全。

第十六条企业应建立健全数据备份和恢复机制,确保数据在发生安全事件时能够及时恢复。

信息安全管理的制度法规

第一章总则第一条为加强信息安全管理工作,保障国家信息安全,维护社会稳定,促进信息化建设,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规,结合本地区实际情况,制定本制度。

第二条本制度适用于本地区各类组织和个人,包括但不限于政府机关、企事业单位、社会团体、公民等。

第三条信息安全管理工作应当遵循以下原则:(一)依法管理:遵守国家法律法规,严格执行信息安全管理制度。

(二)预防为主:建立健全信息安全防护体系,加强信息安全管理,预防信息安全事件发生。

(三)综合管理:从技术、管理、人员等多方面入手,综合施策,确保信息安全。

(四)责任到人:明确信息安全责任,落实信息安全责任追究制度。

第二章信息安全管理体系第四条建立健全信息安全管理体系,明确信息安全管理组织架构、职责分工、工作流程等。

第五条设立信息安全管理部门,负责信息安全工作的组织、协调、指导和监督。

第六条各级组织应当设立信息安全责任人,负责本组织的信息安全工作。

第七条建立信息安全风险评估制度,定期开展信息安全风险评估,及时发现和消除信息安全风险。

第八条建立信息安全事件报告和处理制度,确保信息安全事件得到及时报告、处理和调查。

第三章信息安全管理制度第九条建立信息安全管理制度,包括但不限于以下内容:(一)网络安全管理制度:明确网络安全防护措施,规范网络使用行为。

(二)数据安全管理制度:加强数据安全管理,确保数据安全。

(三)信息系统安全管理制度:加强信息系统安全管理,确保信息系统安全稳定运行。

(四)信息安全培训制度:定期开展信息安全培训,提高信息安全意识。

(五)信息安全审计制度:对信息安全工作进行审计,确保信息安全制度得到有效执行。

第十条严格执行信息安全管理制度,确保信息安全制度得到有效落实。

第四章信息安全技术措施第十一条加强信息安全技术防护,包括但不限于以下措施:(一)网络边界防护:加强网络边界防护,防止恶意攻击和非法访问。

(二)入侵检测与防御:部署入侵检测与防御系统,及时发现和阻止入侵行为。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

对新购进的信息处理设施履行审批手续,审批内 容包括设施的使用目的、场所及安全技术要求

设施在正式安装或投入使用前进行安全技术方面 的验证,如检查软硬件兼容性问题。
对信息处理设施的使用者进行授权,明确使用者 保护信息处理设施的责任,防止信息处理设施的 滥用 对于在工作场所使用个人信息处理设施的情况进 行评定并予以授权
--信息可能由于安全管理不当而面临第三方访问 的风险,第三方访问所带来的典型的威胁是资源的 未经授权的访问和错误使用。组织应对第三方访问 的活动进行风险评估,具体确定控制要求
(2)第三方访问控制措施
--根据对第三方访问风险评估的结果,采取适宜 的控制方法对其进行安全控制

对第三方访问实行访问授权管理,未经授权的第 三方不得进行任何方式的访问 对于经过授权进行实物访问的第三方应佩带易于 识别的标志,在其访问重要信息安全场所应有专 人陪同,并告知访问人员有关的重要安全注意事 项等

从外部专家那里获得信息安全建议,例如从网络 设备商、网络安全机构那里等。
从公开的信息渠道获取有关的信息安全建议,如 专业出版物、网络安全机构的定期公告等。

(6)加强与其他组织间的协作
--国家与信 息 安 全有 关 的执法机构、管理 机 关 有 公 安 部、安 全部、保密局、商用密码管理 办公室、信息产业部等 --组织有必要保持与当地执法机关、管理机关、 信息服务供应商和电信运营商的适当联系,以确保 在出现安全事故时尽快采取适当的行动和取得建议
--若组织规模小,也可以从外部聘请专业审核机 构或审核人员进行内部审核
--组织为寻求对外提供信息安全信任,可进行第 三方认证,对于外部的审核人员所带来的风险应予 以识别,并进行充分的控制
2.第三方访问安全
(1)识别出第三方访问的风险 --第三方访问是指除组织员工以外的其他组织或 人员对组织信息处理设施和信息资产的访问 --访问类型包括实物访问和逻辑访问 --第三方可能由于一系列原因被许可访问,包括 临时访问和常驻现场两种审和审批信息安全方针 分配信息安全管理职责 确认风险评估的结果 对 与 信 息 安全 管 理有关的重大更改事项进行 决策 评审和监测信息安全事故 审批与信息安全管理有关的其他重要事项
--组织最高管理者在管理层指定一名信息安全管 理经理,分管组织的信息安全管理事宜,负责组织 的信息安全方针的贯彻与落实,就信息安全管理的 效果与有关重大问题及时与最高管理者进行沟通
--防止基础设施设备等资产的损坏、丢失、敏感 信息泄露及商务活动的中断,主要包括安全区域控 制(或物理访问控制)、设备安全及媒体安全三 个方面的安全控制


对于长期访问(进行长期逻辑访问和常驻现场的) 第三方,通过签订信息安全合同或在商务合同中 明确规定经过双方确认的信息安全条款来进 行 安全控制
(3)外包控制
--组织根据商务运作的需要,可能把信息系统、 网络和桌面系统的管理和控 制 的部分或全部进行 外包 --有效的控制方法就是在双方的合同中,明确规 定信息系统、网络和桌面系统的风险。安全控制与 程序,并按照合同的要求进行实施
--合同应强调

什么安排要到位,才能确保涉及外包的所有各方 包括分承包商意识到他们的安全责任。 如何确定和检测组织商务资产的完整性和保密性。 采用什么实物的和逻辑的控制,以限制和限定授 权用户对组织敏感商务信息的访问 发生灾难时,服务可用性怎样维持 要向外包设备提供什么级别的实物安全 审核的权利





二、实物与环境安全
案例: 美国NASDAQ事故 1994年8月1日,由于一只松鼠通过位于康涅狄格 网络主计算机附近的一条电话线挖洞,造成电源紧 急控制系统损坏,NASDAQ电子交易系统日均超 过3亿股的股票市场暂停营业近34分钟
--实物与环 境 安 全是保护信息系统基础设施、 设备、媒体免受非法的实物访问、自然灾害和环境 危害


( 5 )建立渠道,获取信息安全的建议
--信息安全性的某些方面对于外行来说是复杂的 和困难的,有时对内行来说同样是复杂的和困难的
--组织可通过以下方式,获取信息安全方面的建 议以支持信息安全管理

从组织内部挑选懂技术和管理的信息安全方面的 专家,为管理层提供信息安全解决方案,参与安 全事故的调查,解答内部员工工作遇到的实际问 题并及时提供预防性的安全咨询建议
--职责缺乏或界定不清,最终导致控制得不到有 效的实施,形成管理风险 --组织最高管理者应确保对以下职责进行规定并 形成书面文件

管理层职责 部门职责 信息安全有关的管理、操作、验证等人员的职责
( 4 )建立信息处理设施授权程序
--信息处理设施包括计算机网络设施、通信设施、 电子办公设施、网络安全设施、实物安全保护设施 等等 --以下提供具体控制措施
(2) 在组织内部,建立一个内部协调机制便于信 息安全控制的具体实施
--对于规模较大的组织,一项安全控制活动需要 多个部门的共同参与才能得以实现,为能迅速解决 控制过程出现的问题,防止内部互相推诿的现象发 生,提高工作效率,由与信息安全有关的部门代表 组成的一个跨部门管理论坛,解决一些实际的问题
(3) 明确规定保护信息资产和执行具体安全过程 的责任
第七章 机构与物理安全
电影:反求工程
一、安全组织
1.信息安全组织机构
--信息安全三分靠技术,七分靠管理,建立有效 的信息安全管理组织机构是信息安全管理的基础。 不健全的安全管理机制是信息安全最大的薄弱点
(1)建立信息安全管理的议事决策机构――信息 安全管理论坛
--信息安 全 管 理 论 坛由组织的最高管理层及 与信息安全管理有关的部门负责人、管理技术人员 组成,定期召开会议,就以下重要信息安全议题进 行讨论并做出决策,为组织信息安全管理提供导向 与支持
(7)对组织信息安全进行独立评审
--内部审核由组织内部接受信息安全管理体系审 核培训的、且有一定经验和技能的内部审核员进行。 在正式审核前应成立审核组,任命审核组长,对审 核方案进行策划,按计划进行审核 --所谓审核的独立性是指审核员与被审核方保持 适当的独立性,即审核员不应审核自己的工作,确 保审核结果的公正和可靠