信息安全管理实用规则(doc 60页)

信息安全管理规则目录：
前言…………III
引言…………IV
1 范围…………1
2 术语和定义…………1
2.1 信息安全  …………1
2.2 风险评估  …………1
2.3 风险管理  …………1
3 安全策略…………1
3.1 信息安全策略…………1
4 组织的安全…………2
4.1 信息安全基础设施…………2
4.2 第三方访问的安全…………4
4.3 外包…………6
5 资产分类和控制…………7
5.1 资产的可核查性…………7
5.2 信息分类…………7
6 人员安全…………8
6.1 岗位设定和人力资源的安全…………8
6.2 用户培训…………10
6.3 对安全事故和故障的响应…………10
7 物理和环境的安全…………11
7.1 安全区域…………11
7.2 设备安全…………13
7.3 一般控制…………15
8 通信和操作管理…………16
8.1 操作规程和职责…………16
8.2 系统规划和验收…………19
8.3 防范恶意软件…………19
8.4 内务处理…………20
8.5 网络管理…………21
8.6 媒体处置和安全…………21
8.7 信息和软件的交换…………23
9 访问控制…………26
9.1 访问控制的业务要求…………27
9.2 用户访问管理…………27
9.3 用户职责…………29
9.4 网络访问控制…………30
9.5 操作系统访问控制…………32
9.6 应用访问控制…………35
9.7 对系统访问和使用的监督…………35
9.8 移动计算和远程工作…………37
10 系统开发和维护…………38
10.1 系统的安全要求…………38
10.2 应用系统的安全…………39
10.3 密码控制…………41
10.4 系统文件的安全…………43
10.5 开发和支持过程的安全…………44
11 业务连续性管理…………46
11.1 业务连续性管理的各方面…………46
12 符合性…………48
12.1 符合法律要求…………48
12.2 安全策略和技术符合性的评审…………51
12.3 系统审核考虑…………52

 

 

信息安全管理规则简介：
什么是信息安全？
象其他重要业务资产一样，信息也是一种资产。它对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务损害减至最小，使投资回报和业务机会最大。
信息可能以各种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段发送、呈现在胶片上或用言语表达。无论信息采用什么形式或者用什么方法存储或共享，都应对它进行适当地保护。
信息安全在此表现为保持下列特征：
a） 保密性：确保信息仅被已授权访问的人访问；
b）完整性：保护信息及处理方法的准确性和完备性；
c） 可用性：确保已授权用户在需要时可以访问信息和相关资产。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定安全目标。
……

..............................