信息技术--信息安全管理实用规则(DOC 60)

目    次
前言 III
引言 IV
1 范围 1
2 术语和定义 1
2.1 信息安全   1
2.2 风险评估   1
2.3 风险管理   1
3 安全策略 1
3.1 信息安全策略 1
4 组织的安全 2
4.1 信息安全基础设施 2
4.2 第三方访问的安全 4
4.3 外包 6
5 资产分类和控制 7
5.1 资产的可核查性 7
5.2 信息分类 7
6 人员安全 8
6.1 岗位设定和人力资源的安全 8
6.2 用户培训 10
6.3 对安全事故和故障的响应 10
7 物理和环境的安全 11
7.1 安全区域 11
7.2 设备安全 13
7.3 一般控制 15
8 通信和操作管理 16
8.1 操作规程和职责 16
8.2 系统规划和验收 19
8.3 防范恶意软件 19
8.4 内务处理 20
8.5 网络管理 21
8.6 媒体处置和安全 21
8.7 信息和软件的交换 23
9 访问控制 26
9.1 访问控制的业务要求 27
9.2 用户访问管理 27
9.3 用户职责 29
9.4 网络访问控制 30
9.5 操作系统访问控制 32
9.6 应用访问控制 35
9.7 对系统访问和使用的监督 35
9.8 移动计算和远程工作 37
10 系统开发和维护 38
10.1 系统的安全要求 38
10.2 应用系统的安全 39
10.3 密码控制 41
10.4 系统文件的安全 43
10.5 开发和支持过程的安全 44
11 业务连续性管理 46
11.1 业务连续性管理的各方面 46
12 符合性 48
12.1 符合法律要求 48
12.2 安全策略和技术符合性的评审 51
12.3 系统审核考虑 52

 

..............................