信息安全管理体系建立的通用方法(DOC 63页)
信息安全管理体系建立的通用方法(DOC 63页)内容简介
12.1信息安全管理体系概述
12.1.1什么是信息安全管理体系
12.1.2信息安全管理体系的作用
12.1.3信息安全管理体系的准备
12.2建立信息安全管理体系原则
12.2.1PDCA原则
12.2.2文件化
12.2.3领导重视
12.2.4全员参与
12.3信息安全管理体系的建立
12.3.1建立信息安全管理体系
12.3.2文件要求
12.3.3文件控制
12.3.4记录控制
12.4实施和运作信息安全管理体系
12.5监控和评审信息安全管理体系
12.5.1监控信息安全管理体系
12.5.2维护和改进信息安全管理体系
12.5.3信息安全管理体系的管理评审
12.5.3.1评审输入
12.5.3.2评审输出
12.5.3.3内部信息安全管理体系审核
12.6信息安全管理体系改进
12.6.1持续改进
12.6.2纠正措施
12.6.3预防措施
12.7控制措施的选择
12.7.1安全方针
12.7.1.1信息安全方针
12.7.1.2评审与鉴定
12.7.10持续运营管理
12.7.10.1持续运营管理的方面
12.7.11遵从性
12.7.11.1遵守法律要求
12.7.11.2安全方针和技术依从情况检查
12.7.11.3系统审核事项
12.7.2安全组织
12.7.2.1信息安全基础结构
12.7.2.2第三方访问安全管理
12.7.2.3委外资源管理
12.7.3资产分类与控制
12.7.3.1资产责任
12.7.3.2信息分类
12.7.4人员安全
12.7.4.1岗位定义和资源分配的安全
12.7.4.2用户培训
12.7.4.3安全事故和故障的响应
12.7.5物理和环境安全
12.7.5.1安全区域
12.7.5.2设备安全
12.7.5.3常规控制措施
12.7.6通信和操作管理
12.7.6.1操作程序和责任
12.7.6.2系统规划和接收
12.7.6.3恶意软件的防护
12.7.6.4内务处理
12.7.6.5网络管理
12.7.6.6媒体的处理和安全
12.7.6.7信息和软件的交换
12.7.7访问控制
12.7.7.1访问控制的商业要求
12.7.7.2用户访问管理
12.7.7.3用户职责
12.7.7.4网络访问控制
12.7.7.5操作系统访问控制
12.7.7.6应用访问控制
12.7.7.7监控系统访问与使用
12.7.7.8移动计算和远程工作
12.7.8系统开发和维护
12.7.8.1系统的安全需求
12.7.9应用系统中的安全
12.7.9.1加密控制
12.7.9.2系统文件的安全
12.7.9.3开发和支持过程的安全
目标:为信息安全提供管理指导和支持。
目标:保护信息的秘密性,真实性或完整性
目标:保护网络服务,控制对内部网络和外部网络服务的访问。
目标:保护软件和信息的完整性。
目标:保持信息处理和通信服务的完整性和可用性。
目标:保持对组织资产的适当保护。
目标:保持应用系统软件和信息的安全
目标:保证第三方访问组织的信息处理设备和信息资产时的安全性。
目标:在组织内部管理信息安全。
目标:将系统失效的风险降到最低。
目标:将系统审核过程的利益最大化,将其干扰最小化。
目标:尽量减小安全事故和故障造成的损失,监督此类事件并吸取教训。
目标:当把信息处理的责任委托给其他组织时,要确保委外信息的安全性
目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。
目标:控制对信息的访问
目标:检测未授权的行为
目标:确保以一种安全的方式进行IT计划和支持活动。应当控制对系统文件的访问。
目标:确保使用可移动的计算和远程工作设施时的信息的安全。
目标:确保信息资产受到适当级别的保护;
目标:确保对信息处理设备正确和安全的操作。
目标:确保对网络中信息和支持性的基础设施的保护。
目标:确保把安全置于信息系统内部。
目标:确保用户意识到信息安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力。
目标:确保系统符合组织的安全方针和标准。
目标:避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。
目标:防止丢失、修改或误用组织之间交换的信息。
目标:防止丢失,修改或误用使用者在应用系统中的数据。
目标:防止信息和信息处理设备的损坏或被盗。
目标:防止对信息系统内部的信息的未授权访问。
目标:防止对信息系统的未授权访问
目标:防止对商业场所和信息未经授权的访问、破坏和干扰。
目标:防止对计算机的未授权访问
目标:防止未授权的用户访问
目标:防止资产损失和商业活动的中断
目标:防止资产的丢失、损坏或泄漏以及商业活动的中断。
目标:降低人为错误、盗窃、诈骗或误用设备的风险。
..............................
12.1.1什么是信息安全管理体系
12.1.2信息安全管理体系的作用
12.1.3信息安全管理体系的准备
12.2建立信息安全管理体系原则
12.2.1PDCA原则
12.2.2文件化
12.2.3领导重视
12.2.4全员参与
12.3信息安全管理体系的建立
12.3.1建立信息安全管理体系
12.3.2文件要求
12.3.3文件控制
12.3.4记录控制
12.4实施和运作信息安全管理体系
12.5监控和评审信息安全管理体系
12.5.1监控信息安全管理体系
12.5.2维护和改进信息安全管理体系
12.5.3信息安全管理体系的管理评审
12.5.3.1评审输入
12.5.3.2评审输出
12.5.3.3内部信息安全管理体系审核
12.6信息安全管理体系改进
12.6.1持续改进
12.6.2纠正措施
12.6.3预防措施
12.7控制措施的选择
12.7.1安全方针
12.7.1.1信息安全方针
12.7.1.2评审与鉴定
12.7.10持续运营管理
12.7.10.1持续运营管理的方面
12.7.11遵从性
12.7.11.1遵守法律要求
12.7.11.2安全方针和技术依从情况检查
12.7.11.3系统审核事项
12.7.2安全组织
12.7.2.1信息安全基础结构
12.7.2.2第三方访问安全管理
12.7.2.3委外资源管理
12.7.3资产分类与控制
12.7.3.1资产责任
12.7.3.2信息分类
12.7.4人员安全
12.7.4.1岗位定义和资源分配的安全
12.7.4.2用户培训
12.7.4.3安全事故和故障的响应
12.7.5物理和环境安全
12.7.5.1安全区域
12.7.5.2设备安全
12.7.5.3常规控制措施
12.7.6通信和操作管理
12.7.6.1操作程序和责任
12.7.6.2系统规划和接收
12.7.6.3恶意软件的防护
12.7.6.4内务处理
12.7.6.5网络管理
12.7.6.6媒体的处理和安全
12.7.6.7信息和软件的交换
12.7.7访问控制
12.7.7.1访问控制的商业要求
12.7.7.2用户访问管理
12.7.7.3用户职责
12.7.7.4网络访问控制
12.7.7.5操作系统访问控制
12.7.7.6应用访问控制
12.7.7.7监控系统访问与使用
12.7.7.8移动计算和远程工作
12.7.8系统开发和维护
12.7.8.1系统的安全需求
12.7.9应用系统中的安全
12.7.9.1加密控制
12.7.9.2系统文件的安全
12.7.9.3开发和支持过程的安全
目标:为信息安全提供管理指导和支持。
目标:保护信息的秘密性,真实性或完整性
目标:保护网络服务,控制对内部网络和外部网络服务的访问。
目标:保护软件和信息的完整性。
目标:保持信息处理和通信服务的完整性和可用性。
目标:保持对组织资产的适当保护。
目标:保持应用系统软件和信息的安全
目标:保证第三方访问组织的信息处理设备和信息资产时的安全性。
目标:在组织内部管理信息安全。
目标:将系统失效的风险降到最低。
目标:将系统审核过程的利益最大化,将其干扰最小化。
目标:尽量减小安全事故和故障造成的损失,监督此类事件并吸取教训。
目标:当把信息处理的责任委托给其他组织时,要确保委外信息的安全性
目标:抵制商业活动的中断,保护关键的商业过程免受主要的故障或灾难的影响。
目标:控制对信息的访问
目标:检测未授权的行为
目标:确保以一种安全的方式进行IT计划和支持活动。应当控制对系统文件的访问。
目标:确保使用可移动的计算和远程工作设施时的信息的安全。
目标:确保信息资产受到适当级别的保护;
目标:确保对信息处理设备正确和安全的操作。
目标:确保对网络中信息和支持性的基础设施的保护。
目标:确保把安全置于信息系统内部。
目标:确保用户意识到信息安全的威胁和利害关系,并具有在日常工作过程中支持组织安全方针的能力。
目标:确保系统符合组织的安全方针和标准。
目标:避免触犯任何刑事、民事法律、法规或违反合同约定的责任和任何安全要求。
目标:防止丢失、修改或误用组织之间交换的信息。
目标:防止丢失,修改或误用使用者在应用系统中的数据。
目标:防止信息和信息处理设备的损坏或被盗。
目标:防止对信息系统内部的信息的未授权访问。
目标:防止对信息系统的未授权访问
目标:防止对商业场所和信息未经授权的访问、破坏和干扰。
目标:防止对计算机的未授权访问
目标:防止未授权的用户访问
目标:防止资产损失和商业活动的中断
目标:防止资产的丢失、损坏或泄漏以及商业活动的中断。
目标:降低人为错误、盗窃、诈骗或误用设备的风险。
..............................
下一篇:尚无数据