信息安全管理重点概要
1国家宏观信息安全管理方面,主要有以下几方面问题:
(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.
(2)管理问题。(包括三个层次:组织建设、制度建设和人员意识)
(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.
2微观信息安全管理方面存在的主要问题为:
(1)缺乏信息安全意识与明确的信息安全方针。
(2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。
3信息安全的基本概念(重点CIA)
信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。
C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.
I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.
A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等
4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要
c.信息安全是保护个人隐私与财产的需要
5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制
方式)c.组织的原则、目标与要求
6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。
7 图1-1信息安全管理PDCA持续改进模式:.doc
系统的信息安全管理原则:
(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上
(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受
(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然
(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理
(7)全员参与的原则:
(8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
组织商务运作自
的机会,
采取措施持续性计划
实施组织所
选择的控制
与控制方式
予以改进
因此,系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。
8 威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。如病毒和黑客攻击,小偷偷盗等.
9薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等.
威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.
10风险(Risk),即特定威胁事件发生的可能性与后果的结合。特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小.
经济代理人面对的随机状态可以用某种具体的概率值表示.这里的风险只表示结果的不确定性及发生的可能性大小.
11风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析
12 风险管理(Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。
a.安全控制(Security Control),降低安全风险的惯例、程序或机制。
b.剩余风险(Residual Risk),实施安全控制后,剩余的安全风险。
c.适用性声明(Applicability Statement),适用于组织需要的目标和控制的评述。
(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)
图2-2风险评估与管理的术语关系图.doc
(1)资产具有价值,并会受到威胁的潜在影响。
(2)薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成影响。
(3)威胁与薄弱点的增加导致安全风险的增加。
(4)安全风险的存在对组织的信息安全提出要求
(5)安全控制应满足安全要求。
(6)组织通过实施安全控制防范威胁,以降低安全风险。
15 .风险评估应考虑的因素:(1)信息资产及其价值(2)对这些资产的威胁,以及他们发
生的可能性(3)薄弱点(4)已有的安全控制措施
16 .风险评估的基本步骤
(1)按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁识别与评价
(3)对应每一威胁,对资产或组织存在的薄弱点进行识别与评价
(4)对已采取的安全控制进行确认
(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级
17资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。在对资产进行估价时,不仅要考虑资产的账面价格,更重要的是要考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.
18 威胁发生的可能性分析:
确定威胁发生的可能性是风险评估的重要环节,组织应根据经验和(或)有关的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下列因素的影响:
(1)资产的吸引力,如金融信息、国防信息等(2)资产转化成报酬的容易程度
(3)威胁的技术含量(4)薄弱点被利用的难易程度
19威胁发生的可能性大小(具体根据需要定,可能取大于1的值,也可能取小于1的值,
但肯定不小于0)可以采取分级赋值的方法予以确定。如将可能性分为三个等级:
非常可能=3;大概可能=2;不太可能=1
威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的。如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。因此,具体环境下某一威胁发生的可能性应考虑具体资产的薄弱点对这一威胁发生可能性的社会均值予以修正:P TV=P T*P V 式中P TV——考虑资产薄弱点因素的威胁发生的可能性;
P T——未考虑资产薄弱点因素的威胁发生的可能性,即这一威胁发生可能性的组织、行业、地区或社会均值;
P V——资产的薄弱点被威胁利用的可能性
评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同,即导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要度)为限。
威胁的潜在影响I=资产相对价值V*价值损失程度C L
价值损失程度C L是一个小于等于1大于0的系数,资产遭受安全事故后,其价值可能完全丧失(即C L=1),但不可能对资产价值没有任何影响(即C L≠0)。为简化评价过程,可以用资产的相对价值代替其所面临的威胁产生的影响,即用V代替I,让C L=1。
20薄弱点评价与已有控制措施的确认:a.薄弱点的识别与评价表2-2有关实物和环境安全方面的薄弱点.doc b.对已有的安全控制进行确认图2-5控制措施与风险程度关系图.doc
21三元风险函数R=R(PT,PV,V) 至二元风险函数R=R(PTV,V)<均为增函数>
图2-6 风险区域示意图(见笔记本最后一页1)
22风险测量方法事例:
例2-1 使用风险矩阵表进行测量(预先价值矩阵—Matrix with predefined value)表2-3风险价值矩阵表.doc
利用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小:威胁发生的可能性定性划分为三级:低、中、高(0~2);薄弱点被利用的可能性也定性划分为三级:低、中、高(0~2);受到威胁的资产的相对价值定性划分为五级:(0~4)
共有3*3*5=45种风险情况,依据风险函数特性将这45种风险情况按照某种规律赋值,形成事先确定的风险价值表(即确定风险函数R的矩阵表达式)
表2-3 风险价值矩阵表
例2-2二元乘法风险测量,计算公式为:R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险,风险大小为两者因素值之乘积表2-4二元乘法风险计算表.doc
表2-4 二元乘法风险计算表
威胁影响(资产)威胁发生的风险威胁的等级价值I 可能性P TV R
威胁A 5 2 10 2
威胁B 2 4 8 3
威胁C 3 5 15 1
威胁D 1 3 3 5
威胁E 4 1 4 4
威胁F 2 4 8 3
即,在此我们将威胁发生的可能性定性划分为1~5级,威胁所造成的影响也定性划分为1~5级。对于某一资产因不同威胁所产生的风险大小与风险排序(或者说威胁的等级)就是上表所述的情形。
注意:由于采用乘法计算风险,因此,这里的变量数值最好不要取为0
例2-3 关于网络系统的风险测量举例
R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO)式中:V----系统的重要性;PO---防止威胁发生的可能性, PTV = 1-PO ;PD---防止系统性能降低的可能性, CL= 1-PD
表2-5风险计算结果.doc
以某个网络系统作为信息资产的风险测量对象来开展
根据网络系统的重要性(系统的相对价值)V、威胁发生的可能性P TV、威胁发生时防止性能降低的可能性P D,三个因素来评价风险的大小。
V……系统的重要性,为系统的保密性C、完整性IN、可用性A三项评价值的乘积,即V=C ×IN×A
风险计算示例:如某组织有三个网络系统:管理、工程与电子商务
系统的保密性、完整性、可用性均定性划分为低(1)、中(2)、高(3)三个等级;
P O、P D均划分为5级,并赋予以下数值:均设定为小于1(why?);很低………………0.1;低………………0.3;中………………0.5;高………………0.7;很高………………0.9 则,该组织这三个系统的风险大小及排序如下:
表2-5 风险计算结果
网络系保密性完整性可用性网络系统防止威防止系统风险风险
统名称 C IN A 重要性胁发生性能降低排序
V P O P D R
管理 1 3 2 6 0.1 0.3 3.78 2
工程 2 3 2 12 0.5 0.5 3.00 3
电子商务 3 3 2 18 0.3 0.3 8.82 1
例2-4 可接受的和不可接受的风险区分方法
表2-6威胁频率值计算表.doc 测量风险的另一个方法就是只区别可接受的和不可接受的风险,这样就能以较少的精力完成。利用此方法,风险测量的结果仅是可接受的(T)或不可接受的(N)
例如:P T定性划分为三级:低、中、高(0~2);P V也定性划分为三级:低、中、高(0~2);受到威胁的资产的相对价值定性地划分为五级(0~4)
风险测量如下:表2-6 威胁频率值计算表
威胁发生的可能性低中高
P T0 1 2
薄弱点被利用的可能性L M H L M H L M H P V0 1 2 0 1 2 0 1 2
威胁频率值P TV0 1 2 1 2 3 2 3 4
注意:1、威胁频率值就是威胁真实发生的可能性大小,即考虑了薄弱点被利用的可能性后对威胁发生可能性的修正;
2、由于这里的可能性值有为0,因此,此时用赋值方法,而不用乘法法来计算,即不用P TV=P T×P V
表2-7风险矩阵表.doc
表2-7 风险矩阵表R=R(P TV,V)
威胁频率值
资产相对价值V 0 1 2 3 4
0 T T T T N
1 T T T N N
2 T T N N N
3 T N N N N
4 N N N N N
23风险优先级别确定
例2-5利用区间的方法将例2-1计算的风险进行等级划分
表2-8风险等级划分示例.doc
对于风险级别高的资产应被优先分配资源进行保护
可接受与不可接受的界限应当考虑风险控制成本与风险(机会损失成本)的平衡
即风险控制成本<机会损失成本(高风险)不可接受即实施控制是值得的
风险控制成本>机会损失成本(低风险)可接受即实施控制是不值得的
风险控制成本=机会损失成本平衡即实施控制与否无所谓
风险控制成本是指实施和维持所选择的控制的费用之和
机会损失成本是指资产一旦遭受威胁所造成的损失预期值
表2-8 风险等级划分示例
风险数值区间风险等级
6,7,8 1级,高风险,优先重点控制
3,4,5 2级,一般风险,进行适当控制
0,1,2 3级,低风险,可以接受
24风险控制过程图2-7风险控制过程.doc(见笔记本)
25安全控制的识别和选择:选择依据①以风险评估的结果为依据②以费用因素为依据
如果风险控制成本大于机会损失成本,则所提议的控制是不合适的,即所指的风险可接受,如果控制费用比组织计划的安全预算要高,也是不合适的,但如果预算不足以提供足够数量和质量的控制,导致不必要的风险,那么就应对其关注.安全控制预算应为一个限制性因素予以考虑.
26 风险控制:降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁
④减少薄弱点⑤减少威胁可能的影响程度⑥探测有害事故,对其做出反应并恢复,属及时捕捉威胁
27 风险接受:信息系统绝对安全(即零风险)是不可能的.
组织在实施选择的控制后,总仍有残留的风险,称之为残留风险或残余风险或剩余风险。
造成残余风险的原因:可能是某些资产未被有意识保护所致,如假设的低风险;或者被提及的控制需要高费用而未采取应有的控制
残余风险应在可接受的范围内,即应满足:
残余风险Rr=原有风险Ro-控制△R
残余风险Rr≤可接受风险Rt
风险接受就是一个对残余风险进行确认和评价的过程:按照风险评估确定的风险测量方法对实施安全控制后的资产风险进行重新计算,以获得残余风险的大小,并将残余风险分为可接受或不可接受的风险.
风险是随时间而变化的,风险管理应是一个动态的管理过程,因此组织要动态地定期进行风险评估,甚至在以下情况进行临时评估,以便及时识别需要控制的风险并进行有效的控制:⑴当组织新增信息资产时. ⑵当系统发生重大变更时. ⑶发生严重信息安全事故时.
⑷组织认为有必要时.
28风险评估与管理方法(分类,各风险评估含义及优缺点)
风险评估和风险管理的时间\力度,以及具体开展的深度应与组织的环境和安全要求相称.
A基本的风险评估:是指应用直接和简易的方法达到基本的安全水平,就能满足组织及其商业环境的所有要求。适用范围:适用于商业运作不是非常复杂的组织,并且组织对信息处理和网络的依赖程度不高。
优点:(1)风险评估所需资源最少,简便易行(2)同样或类似的控制能被许多信息安全管理体系所采用,不需要耗费很大的精力。如果多个商业要求类似,并且在相同的环境中运作,这些控制可以提供一个经济有效的解决方案。
缺点:(1)如果安全水平被设置的太高,就可能需要过多的费用或控制过度;如果水平太低,对一些组织来说,可能会得不到充分的安全。(由于方法是基本的,不细,较粗,因此,评
估结果可能也较粗,不够精确,有一定的出入)(2)对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级,评估最初的控制是否仍然充分就有一定的困难。
B详细的风险评估:是指估,在此基础上开展风险评估并随后被用于安全控制的识别和选择。对资产的详细识别和估价,以及那些对资产形成威胁和相关薄弱点水平的详细评
优点:(1)能获得一个更精确的安全风险的认识,从而更为精确地识别反映组织安全要求的安全水平。(2)可以从详细的风险评估中获得额外信息,使与组织更改相关的安全管理受益。缺点:(1)需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界,需要管理者持续关注,因而需要花费相当的时间、精力和技术才能获得可行的结果。(2)不能把一个系统的控制方案简单移植到另一个系统中,甚至是一个以为类似的系统中。
C 联合评估方法:就是首先使用基本的风险评估方法,识别信息安全管理体系范围内具有潜在的高风险或对商业运作来说极为关键的资产,然后根据基本的风险评估的结果,将信息安全管理体系范围内的资产分成二类:一类需要应用一个详细的风险评估方法以达到适当保护,另一类通过基本的评估方法选择的控制就可.
优点:将基本和详细风险评估方法优点结合起来,既节省评估时间与精力,又能确保获得一个全面系统的评估结果,而且组织的资源与资金能够被应用在最能发挥作用的地方,具有高风险的信息系统能够被优先关注.
缺点:如果在高风险内的信息系统的识别不正确,那么可能导致错误的结果.
D 基线风险评估:是指组织根据自己的实际情况(所在行业、业务环境与性质等),对信息资产进行基线安全检查,即将信息资产中现有的安全措施与安全基线规定的措施进行比较,找出其中的差距,由此得出基本的安全要求,通过选择并实施标准的安全措施来消减和控制风险。
所谓安全基线是指在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使信息资产达到一定的安全防护水平。
安全基线来源(1)国际标准和国家标准,如ISO17799;(2)行业标准或推荐,如德国联邦安全局的《IT基线保护手册》;(3)来自其他有类似商务目标和规模的组织的惯例。
基线评估的优点与缺点
29风险评估和管理方法的选择应考虑的因素:⑴商务环境⑵商务性质和重要性⑶对支持组织商务的信息系统的技术性和非技术性的依赖⑷商务及其支持系统、应用软件和服务的复杂性⑸商业伙伴和外部业务以及合同关系的数量
30一个通用的经验规则:信息安全对组织及其商务越重要,一旦遭受威胁损害,损失就越多,就越需要人们对信息安全投入更多的时间和资源.
31十大最佳安全控制惯例:安全方针\安全组织\资产分类\人员安全\实物与环境安全\通信与运作管理\访问控制\系统开发与维护\商务持续性管理\依从(或称符合性)
信息安全管理简要概述
第六章信息安全管理 第一节信息安全管理概述 一、信息安全管理的内容 1、什么信息安全管理? 通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源,以期有效达到组织信息安全目标的活动。 2、信息安全管理的主要活动 制定信息安全目标和寻找实现目标的途径; 建设信息安全组织机构,设置岗位、配置人员并分配职责; 实施信息安全风险评估和管理;制定并实施信息安全策略; 为实现信息安全目标提供资源并实施管理; 信息安全的教育与培训;信息安全事故管理;信息安全的持续改进。 3、信息安全管理的基本任务 (1)组织机构建设(2)风险评估(3)信息安全策略的制定和实施 (4)信息安全工程项目管理(5)资源管理 ◆(1)组织机构建设 ★组织应建立专门信息安全组织机构,负责: ①确定信息安全要求和目标;②制定实现信息安全目标的时间表和预算 ③建立各级信息安全组织机构和设置相应岗位④分配相应职责和建立奖惩制度 ⑤提出信息安全年度预算,并监督预算的执行⑥组织实施信息安全风险评估并监督检查 ⑦组织制定和实施信息安全策略,并对其有效性和效果进行监督检查 ⑧组织实施信息安全工程项目⑨信息安全事件的调查和处理 ⑩组织实施信息安全教育培训⑾组织信息安全审核和持续改进工作 ★组织应设立信息安全总负责人岗位,负责: ①向组织最高管理者负责并报告工作②执行信息安全组织机构的决定 ③提出信息安全年度工作计划④总协调、联络 ◆(2)风险评估 ★信息系统的安全风险 信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。 ★信息安全风险评估 是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程 它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 ★信息系统安全风险评估的总体目标是: 服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。 ★信息系统安全风险评估的目的是: 认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。 ★信息安全风险评估的基本要素 使命:一个单位通过信息化实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、
公司信息安全管理制度(总4页)
公司信息安全管理制度(总4 页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。 三、操作员安全管理制度 (一)操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码; (三)一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。 四、密码与权限管理制度 1、密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
企业信息安全管理条例
信息安全管理条例第一章信息安全概述 1.1、公司信息安全管理体系 信息是一个组织的血液,它的存在方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的威胁,威胁到信息的安全性。这些威胁可能来自内部,外部,意外的,还可能是恶意的。随着信息存储、发送新技术的广泛使用,信息安全面临的威胁也越来越严重了。 信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的,它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面的信息管理,使信息管理更为有效。信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人,程序和信息科技系统。 改善信息安全水平的主要手段有: 1)安全方针:为信息安全提供管理指导和支持; 2)安全组织:在公司内管理信息安全; 3)资产分类与管理:对公司的信息资产采取适当的保护措施; 4)人员安全:减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险; 5)实体和环境安全:防止对商业场所及信息未授权的访问、损坏及干扰;
6)通讯与运作管理:确保信息处理设施正确和安全运行; 7)访问控制:妥善管理对信息的访问权限; 8)系统的获得、开发和维护:确保将安全纳入信息系统的整个生命周期; 9)安全事件管理:确保安全事件发生后有正确的处理流程与报告方式; 10)商业活动连续性管理:防止商业活动的中断,并保护关键的业务过程免受重大故 障或灾害的影响; 11)符合法律:避免违反任何刑法和民法、法律法规或者合同义务以及任何安全要求。 1.2、信息安全建设的原则 1)领导重视,全员参与; 2)信息安全不仅仅是IT部门的工作,它需要公司全体员工的共同参与; 3)技术不是绝对的; 4)信息安全管理遵循“七分管理,三分技术”的管理原则; 5)信息安全事件符合“二、八”原则; 6)20%的安全事件来自外部网络攻击,80%的安全事件发生在公司内部; 7)管理原则:管理为主,技术为辅,内外兼防,发现漏洞,消除隐患,确保安全。
信息安全管理练习题
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是(C)的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是(D)。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是(B)。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部 令 8. 在PDR安全模型中最核心的组件是(A)。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施
ISO27001-2013信息安全管理体系要求.
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息安全管理学习资料
一、信息安全管理 1、什么是信息安全管理,为什么需要信息安全管理? 国际标准化组织对信息安全的定义是:“在技术上和管理上维数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。当今的信息系统日益复杂,其中必然存在系统设计、实现、内部控制等方面的弱点。如果不采取适当的措施应对系统运行环境中的安全威胁,信息资产就可能会遭受巨大的损失甚至威胁到国家安全。 2、系统列举常用的信息安全技术? 密码技术、访问控制和鉴权;物理安全技术;网络安全技术;容灾与数据备份。 3、信息安全管理的主要内容有哪些? 信息安全管理从信息系统的安全需求出发,结合组织的信息系统建设情况,引入适当的技术控制措施和管理体系,形成了综合的信息安全管理架构。 4、什么是信息安全保障体系,它包含哪些内容? 5、信息安全法规对信息安全管理工作意义如何? 它能为信息安全提供制度保障。信息安全法律法规的保障作用至少包含以下三方面: 1.为人们从事在信息安全方面从事各种活动提供规范性指导; 2.能够预防信息安全事件的发生; 3.保障信息安全活动参与各方的合法权益,为人们追求合法权益提供了依据和手段。 二、信息安全风险评估 1、什么是信息安全风险评估?它由哪些基本步骤组成? 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估可分为四个阶段,第一阶段为风险评估准备;第二阶段为风险识别,第三阶段为风险评价,第四阶段为风险处理。 2、信息资产可以分为哪几类?请分别举出一两个例子说明。 可以分为数据、软件、硬件、文档、人员、服务。例如:软件有系统软件、应用软件、源程序、数据库等。服务有办公服务、网络服务、信息服务等。 3、威胁源有哪些?其常见表现形式分别是什么?
6.5.1信息安全管理体系
信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准: 要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等; 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程
信息安全管理重点概要
1国家宏观信息安全管理方面,主要有以下几方面问题: (1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线? (2)管理问题。(包括三个层次:组织建设、制度建设和人员意识) (3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰?十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目?2微观信息安全管理方面存在的主要问题为: (1 )缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的? (3)安全管理缺乏系统管理的思想。 3信息安全的基本概念(重点CIA) 信息安全(In formation security)是指信息的保密性(Con fide ntiality)、完整性(In tegrity)和可用性(Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多 少而不同? I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性? A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得?系统硬件,软件安全,可读性保障等 4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求: a.法律法规与合同要求 b.风险评估的结果(保护程度与控制 方式)c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风 险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控 制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。 7 图1-1信息安全管理PDCA持续改进模式:.doc 系统的信息安全管理原则: (1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持 (2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上 (3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受 (4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然 (5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理 (7)全员参与的原则: (8)PDCA 原则:遵循管理的一般循环模式--Pla n(策划)---Do(执行)---Check(检查)---Action (措施)的持续改进模式。PDCA模式,如图
信息安全管理重点概要
1国家宏观信息安全管理方面,主要有以下几方面问题: (1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线. (2)管理问题。(包括三个层次:组织建设、制度建设和人员意识) (3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目. 2微观信息安全管理方面存在的主要问题为: (1)缺乏信息安全意识与明确的信息安全方针。 (2)重视安全技术,轻视安全管理。信息安全大约70%以上的问题是由管理原因造成的. (3)安全管理缺乏系统管理的思想。 3信息安全的基本概念(重点CIA) 信息安全(Information security)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同. I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性. A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等 4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 5如何确定组织信息安全的要求:a.法律法规与合同要求b.风险评估的结果(保护程度与控制 方式)c.组织的原则、目标与要求 6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。 7 图1-1信息安全管理PDCA持续改进模式:.doc 系统的信息安全管理原则: (1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上 (3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受 (4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然 (5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理 (7)全员参与的原则: (8)PDCA原则:遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。PDCA模式,如图
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
公司IT信息安全管理制度4.doc
公司IT信息安全管理制度4 **IT信息安全管理制度 第一条总则通过加强公司计算机系统、办公网络、服务器系统的管理。保证网络系统安全运行,保证公司机密文件的安全,保障服务器、数据库的安全运行。加强计算机办公人员的安全意识和团队合作精神,把各部门相关工作做好。 第二条范围 1、计算机网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2、软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3、客户机的网络系统配置包括客户机在网络上的名称,IP 地址分配,用户登陆名称、用户密码、及Internet的配置等。 4、系统软件是指:操作系统(如WINDOWS XP、WINDOWS 2003等)软件。 5、平台软件是指:防伪防窜货系统、办公用软件(如OFFICE 2003)等平台软件。 6、专业软件是指:设计工作中使用的绘图软件(如Photoshop 等)。 第三条职责
1、信息网络部门为网络安全运行的管理部门,负责公司计算机网络系统、计算机系统、数据库系统的日常维护和管理。 2、负责系统软件的调研、采购、安装、升级、保管工作。 3、网络管理人员负责计算机网络系统、办公自动化系统、平台系统的安全运行;服务器安全运行和数据备份;Internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理协助各部门进行数据备份和数据归档。 4、网络管理人员执行公司保密制度,严守公司商业机密。 5、员工执行计算机安全管理制度,遵守公司保密制度。 6、系统管理员的密码必须由网络管理部门相关人员掌握。 第三条管理办法 I、公司电脑使用管理制度 1、从事计算机网络信息活动时,必须遵守《计算机信息网络国际联网安全保护管理办法》的规定,应遵守国家法律、法规,加强信息安全教育。 2、电脑由公司统一配置并定位,任何部门和个人不得允许私自挪用调换、外借和移动电脑。 3、电脑硬件及其配件添置应列出清单报行政部,在征得公司领导同意后,由网络信息管理员负责进行添置。 4、电脑操作应按规定的程序进行。
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)