ISO27001--信息安全策略
信息安全策略
目录
1. 目的 (3)
2. 范围 (3)
3. 职责与权限 (3)
4. 相关文件 (3)
5. 术语定义 (3)
6. 信息安全策略 (3)
6.1 信息安全组织策略 (3)
6.2 资产管理策略 (4)
6.3 人力资源安全策略 (6)
6.4 物理与环境安全策略 (8)
6.5 通信与操作管理策略 (9)
6.6 访问控制策略 (13)
6.7 信息系统获取开发与维护策略 (17)
6.8 信息安全事件管理策略 (19)
6.9 业务连续性管理策略 (20)
6.10 合规性策略 (21)
1. 目的
根据ISO/IEC27001:2013标准和公司实际管理需要,确定标准各条款对公司的适用性,特编制本程序。
2. 范围
适用于对ISO/IEC27001:2013标准于本公司的适用性管理。
3. 职责与权限
3.1最高管理者
负责信息安全策略的审批。
3.2综合部
负责信息安全策略的编制及修订。
4. 相关文件
a) 《信息安全管理手册》
b) 《信息安全适用性声明》
5. 术语定义
无
6. 信息安全策略
6.1 信息安全组织策略
6.1.1 综述
通过建立与本企业组织相关的以下二个安全策略,促进本企业建立合理的信息安全管理组织结构与功能,以协调、监控安全目标的实现。与本企业组织有关的策略分内部组织和外部组织两部分来描述。
6.1.2策略一:在本企业建立信息安全管理架构
策略目标:
在本企业内有效地管理信息安全。
策略内容:
本企业应建立专门的信息安全组织体系,以管理信息安全事务,指导信息安全实践。
本信息安全管理手册采用了ISO/IEC 27001:2013标准正文的全部内容,对附录A的删减见《适用性声明SOA》。
策略描述:
通过建立信息安全管理组织,启动和控制本企业范围内的信息安全工作的实施,批准信息安全方针与策略、确定安全工作分工和相应人员,以及协调和评审整个云南港电系统集成有限公司信息安全工作的实施。
根据需要,还可以在本企业范围内建立信息安全议题专家建议库,在本企业使用;建立与外部安全专家或组织(包括相关权威人士)的联系,以便跟踪行业趋势、各类标准和评估方法;当处理信息安全事故时,提供合适的联系人和联系方式,以快速及时地对安全事件进行响应;鼓励采用多学科方法来解决信息安全问题。
6.1.3策略二:对外部组织访问本企业信息资产进行管理
策略目标:
确保被外部组织访问的信息资产得到了安全保护。
策略内容:
本企业的信息处理设施和信息资产的安全不应由于客户、第三方的访问或引入外部各方的产品或服务而降低。当任何外部各方需要对本企业信息处理设施的进行访问、对信息资产的进行处理和通信时,本企业相关部门应当与外部各方签订协议,并采取有效的措施进行安全控制。
策略说明:
本企业不可避免地需要与外界进行业务往来与信息沟通,经常需要向外部组织开放其信息和信息处理设施。因此,需要对外部组织访问本企业信息资产带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订协议,向其声明本企业信息安全方针与策略,确定所需的安全控制措施。
6.2 资产管理策略
6.2.1 综述
本企业要有效地控制安全风险,首先要识别信息资产,并进行科学而有效的分类,然后在各个管理层面对资产落实责任,采用恰当的控制措施对信息资产进行风险管理,本章通过以下二个策略实施对信息资产的有效管理。
6.2.2策略一:为信息资产建立问责制
策略目标:
对本企业的信息资产建立问责制,为实施适当保护奠定基础。
策略内容:
应当对所有信息资产进行识别、建立资产清单和使用规则,明确定义信息资产责任人及其职责,为信息资产建立问责制。
策略说明:
对于本企业的所有资产要标识出责任人,通常可定义出信息资产的所有者、管理者和使用者,并明确不同责任主体的职责。对信息资产的安全控制可以由信息资产所有者委派具体的管理者来承担,但所有者和使用者仍对资产承担一定的保护责任。
6.2.3策略二:对信息资产进行分类
策略目标:
通过对信息资产的分类,明确其可以得到适当程度的保护
策略内容:
应按照信息资产的价值、法律要求及对组织的敏感程度和关键程度进行分类和进行标识。
策略描述:
信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关的业务影响。确定资产的类别,进行必要的标识,对其进行周期性评审,确保其与组织的内外环境的变化相适应,这些都应是资产所有者的职责。
本企业的信息资产分类基于业务相关性,从机密性、完整性和可用性三方面进行评估,其保护级别也根据这三个方面得出。
6.3 人力资源安全策略
6.3.1 综述
本节通过建立四个具体策略,以明确组织内与人员任用相关的安全控制,以便对人力资源进行有效的安全管理,包括内部员工及与组织相关的外部人员的任用前、任用中、任用后相关的安全职责、行为规范。
6.3.2策略一:在人员任用前进行恰当筛选
策略目标:
在对人员正式任用前,要明确新员工、合同方人员和第三方与其岗位角色相匹配的安全责任,并进行相关背景调查,以减少对信息资产非授权使用和滥用的风险。
策略内容:
确保人员的安全职责已于任用前通过适当的协议及岗位说明书加以明确说明,并对新员工、合同方的有关背景进行验证检查,对第三方的访问权限加以明确声明和严格管理。
策略说明:
在新员工及其他外部人员正式进入本企业前,就应当明确其安全职责、强调安全责任、进行背景调查,这在信息安全管理中具有重要的意义。通过对所有应聘者、合同方人员进行必要筛选,对第三方用户加以限制,可以为本企业的信息安全把好第一道关。员工、合同方人员和信息处理设施的第三方人员根据其安全角色和职责,要签署相关协议,以明确声明其对信息安全的职责。
本企业的第三方人员主要有:借调或借用外部人员、外部服务人员等。
6.3.3策略二:在人员任用中落实安全责任
策略目标:
落实信息安全管理职责,确保本企业的员工在整个任用期内的行为都符合组织信息安全政策的要求。
策略内容:
应通过建立管理职责、必要的培训和奖惩措施,使所有的员工、合同方人
员和第三方人员了解工作中面临的信息安全风险、相关责任和义务,并在日常工作中遵循组织的信息安全政策的要求;对人员的授权必须按照“最小授权”原则进行。
策略说明:
如果员工、合同方人员和第三方人员没有意识到他们工作中应当承担的安全职责,他们可能会有意或无意地对本企业的信息安全造成破坏,因此,需要在信息安全管理职责方面,对员工加以有效的限制和必要的激励,并持续进行信息安全教育与培训,可以减少信息安全事故的发生。
6.3.4策略三:任用中止与任用变更的安全控制
策略目标:
当任用关系中止或职责发生变化时,要建立规范的程序,确保冻结或取消员工、合同方人员和第三方人员所拥有的、与其目前职责不相符的对本企业信息资产的使用权。
策略内容:
从本企业退出的员工、合同方人员和第三方人员要归还其所使用的设备,并删除他们对本企业信息及信息系统的所有使用权;对于职责发生变化的员工、合同方人员和第三方人员,对其所拥有的信息资产访问权要做相应的变更,并立刻生效。
策略说明:
信息资产总是与特定的使用主体相关,当使用主体的职责发生变化时,与其职责相关的访问权限应当及时做出相应变化。
在实施此策略时,负责信息安全的管理人员需要与负责人力资源的管理人员要协作与沟通,共同负责对员工及合同方人员的任用终止处理;对于合同方的终止职责处理,要与合同方代表进行协作,其他情况下的用户可能由他们的组织来处理。
当资产的访问权和使用权发生变更及本企业人员及运行发生变化时,要及时通知各相关方。
6.4 物理与环境安全策略
6.4.1 综述
本章的以下二个策略主要是保护本企业的信息、信息系统和基础设施等免受非法的物理访问、自然灾害和环境危害。
6.4.2策略一:划分物理安全区域
策略目标:
防止对本企业的工作场所和信息的非授权物理访问、损坏和干扰。
策略内容:
重要的或敏感的信息处理设施要放置在安全区域内,并建立适当的安全屏障和物理访问授权机制。
策略说明:
可以通过在本企业边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物理保护;安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问;为重要的工作区域、公共访问区、货物交接区的安全工作建立规范与指南。
建立信息安全管理体系
6.4.3 策略二:保证信息设备的物理和环境安全
策略目标:
应保护设备免受物理的和环境的威胁。
策略内容:
防止信息设备被丢失、干扰、破坏及环境风险带来的危害,以避免本企业信息资产的损失及业务活动的中断。
策略说明:
对设备(包括离开组织使用和财产移动)的保护是减少未授权访问信息的风险和防止丢失或损坏所必需的,还应当考虑设备安放位置和报废处置方法的安全性。同时,还需要专门的控制用来防止物理威胁以及保护支持性设施(例如电、供水、排污、加热/通风和空调),及考虑采取措施保证电源布缆和通信布
缆免受窃听或损坏。
还应采取措施防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然灾难或人为灾难带来的破坏。
6.5 通信与操作管理策略
6.5.1综述
本章通过建立以下九个策略,确保组织对通信和操作过程进行有效的安全管理,通过促进组织建立信息处理设施的管理职责,开发适当的操作和事故处理程序,以降低非授权使用和滥用系统的风险,总体目标是确保员工能正确、安全地操作信息处理设施。
6.5.2策略一:建立操作职责和程序
策略目标:
确保正确、安全的操作信息处理设施。
策略内容:
应当为所有的信息处理设施建立必要的管理和操作的职责及程序。
策略说明:
与信息处理和通信设施相关的系统活动应具备形成文件的程序,例如备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等;对信息处理设施和系统的变更应加以控制;应实施责任分割,以减少疏忽或故意误用系统的风险;为了减少意外变更或未授权访问运行软件和业务数据的风险,应分离开发、测试和运行设施。
6.5.3策略二:管理第三方服务
策略目标:
在符合双方商定的协议下,保证第三方在实施服务过程中,保持信息安全和服务交付的适当水平。
策略内容:
组织应检查第三方服务协议的实施,监视协议执行的符合性,并管理服务变更,以确保交付的服务满足与第三方商定的所有要求。
策略说明:
第三方交付的服务应包括商定的安全计划、服务定义和服务管理各方面;组织应当定期监督、检查和审核第三方提供的服务、报告和记录,对服务变更进行有效管理;组织还应当确保第三方保持足够的服务能力和可用性计划,以确保商定的服务在大的服务故障或灾难后继续得以保持。
6.5.4策略三:IT系统的规划和验收
策略目标:
将IT系统失效的风险降至最小。
策略内容:
为确保足够能力和资源的可用性,以提供所需的IT系统性能,需要预先对IT系统进行规划和准备工作;应做出对于未来容量需求的预测,以减少系统过载的风险;新系统的运行要求应在验收和使用之前建立、形成文件并进行测试。
策略说明:
对于每一个新的和正在进行的信息处理活动都应识别容量要求,确保在必要时及时改进系统的可用性和效率。对系统未来容量的推测应考虑新业务、系统要求以及组织信息当前处理能力及未来发展的趋势。
管理人员要确保验收新系统的要求和准则被明确地定义,并形成文件并经过测试。新信息系统升级和新版本只有在获得正式验收后,才能作为产品。
6.5.5策略四:防范恶意和移动代码
策略目标:
保护软件和信息的完整性。
策略内容:
本企业应采取预防措施,以防范和检测恶意代码和未授权的移动代码引入到组织的信息处理设施中来。
策略说明:
软件和信息处理设施易感染恶意代码(例如计算机病毒、网络蠕虫、特洛伊木马和逻辑炸弹),缺乏控制的移动代码也可能引入风险。要让用户了解恶意
代码的危险。管理人员要实施适当的控制措施,以防范、检测并删除恶意代码,并控制移动代码的使用。
6.5.6策略五:备份
策略目标:
保持信息和信息处理设施的完整性及可用性。
策略内容:
应按照已设的备份策略,定期对组织的重要信息和软件进行备份,并定期进行恢复测试。
策略说明:
应提供足够的备份设施,以确保所有必要的信息和软件能在灾难或介质故障后进行恢复。为使备份和恢复过程更容易,备份可安排为自动进行;各个系统的备份计划应定期测试以确保他们满足业务连续性计划的要求;对于重要的系统,备份计划应包括在发生灾难时恢复整个系统所必需的所有系统信息、应用和数据;应确定最重要业务信息的保存周期以及对要永久保存的档案拷贝的任何要求。
6.5.7策略六:网络安全管理
策略目标:
确保网络中的信息和支持性基础设施得到有效保护。
策略内容:
应对本企业的网络划分安全域,确定保护级别,加强网络管理与控制以防范非法访问网络信息与非授权连接网络服务,保护网络信息与网络信息服务的安全。
策略说明:
通过安全域的划分,确定不同网络的保护边界,通过安全域内的主要系统保护级别的划分,确定网络管理与控制的程度。目的是防范威胁、保持使用网络的系统和应用程序的安全,包括信息传输;还应识别所有网络服务的安全特性、服务等级和管理要求,并包含在网络服务协议中,无论这种服务是由内部
提供的还是外包的。
6.5.8策略七:对存储介质的处理
策略目标:
防止由于对存储介质管理不当,造成未授权泄漏、修改、移动或损坏,并对业务活动造成不利影响。
策略内容:
组织应当对存储介质的使用、移动、保管及处置等操作进行有效管理。
策略说明:
存储介质包括硬盘、磁带、闪盘、可移动硬件驱动器、CD、DVD和打印的介质。为使存储介质中的数据和系统文件免遭未授权泄露、修改和破坏,应建立适当的使用、保存、删除和销毁的操作策略和相关程序。
6.5.9策略八:信息交换
策略目标:
保护在组织内及与外部团体进行信息和软件交换的安全。
策略内容:
组织内及组织间的信息和软件的交换应当基于正式的交换策略,采取必要的安全控制措施,按照交换协议执行,同时还应服从任何相关法律法规的要求。
策略说明:
如果在使用信息交换设施时缺乏安全意识、必要的策略和安全控制措施,可能会造成重要信息的泄露;如果通信设施失灵、过载或中断,则可能中断业务运行并损坏信息;如果上述通信设施被未授权用户所访问,也可能损害信息。因此,要建立策略和程序,以保护信息交换过程中信息和包含信息的物理介质的安全。
6.5.10策略九:电子商务服务
策略目标:
应确保电子商务服务的安全及其安全使用。
策略内容:
应对使用公共网络的电子商务、在线交易及公共可用系统中的信息进行保护,确保信息的安全性。
策略说明:
应保护使用公共网络的电子商务中的信息,以防止欺诈、合同争议、未授权的泄漏和修改。应保护在线交易中的信息,以防止不完全的传输、路由错误、未授权的消息修改、泄漏、未授权的消息复制或重放。(本公司目前没有电子商务,该项为后续业务扩展预留。)
应保护公共可用系统(如公司网站)中信息的完整性,以防止未经授权的修改。
6.5.11策略十:系统监测
策略目标:
检测未经授权的信息处理活动。
策略内容:
应对信息系统进行监测,记录信息安全事件,并使用操作员日志和故障日志以确保识别出信息系统的问题。
策略说明:
应建立监测信息处理系统使用的策略与程序,定期评审监测活动的结果;
通过系统操作日志、错误日志记录系统操作者的活动和系统出现错误的情况,以监测安全事件;组织的监测和日志记录活动应遵守所有相关法律的要求,并要防止对日志的非授权变更和删除。
6.6 访问控制策略
6.6.1综述
访问控制是对主体访问客体的权限或能力的一种限制,分为物理访问控制和逻辑访问控制。物理访问控制在“物理与环境安全策略”一章中已有涉及,在这里的访问控制主要是指逻辑访问控制。在网络广泛互联的今天,采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段,本章通过建立以下八个策略,以推动组织对访问控制的有效安全管理。
6.6.2策略一:根据业务需要建立访问控制规则
策略目标:
应根据业务需要,建立用户对信息的访问规则。
策略内容:
应在本企业业务和安全要求的基础上,控制对信息、信息处理设施和业务过程的访问。
策略说明:
本企业需要将满足业务需要的访问控制规则向用户和服务提供者明确地加以说明;组织应清晰地叙述每个用户或一组用户的访问控制规则和权利,应当把逻辑访问控制和物理访问控制综合起来考虑;访问控制规则应由正式的程序支持,并清晰地定义职责和范围。
6.6.3策略二:为用户访问规则的实施建立程序
策略目标:
确保只有授权用户才能访问系统,预防对信息系统的非授权访问。
策略内容:
应建立正式的程序,来控制对信息系统和服务的用户访问权的分配。
策略说明:
访问控制程序应涵盖用户访问生命周期内的各个阶段,从新用户初始注册、日常使用,到不再需要访问信息系统和服务时的用户帐号的最终撤销;应特别注意对特殊访问权的分配加以控制,因为特权用户可以修改或绕过系统的控制措施。
6.6.4策略三:明确用户职责及普及培训
策略目标:
防止未授权用户对信息和信息处理设施的访问和其他危害的行为。
策略内容:
通过必要的安全意识教育与培训,使用户认知其维护有效的访问控制的职责,特别是关于口令使用和无人值守的用户设备保护方面的职责
策略说明:
已授权用户的合作对实现有效的安全十分重要,首先应要求用户在选择及使用口令和保护无人值守的用户设备方面,遵循良好的安全习惯;实施桌面清空和屏幕清空策略以降低未授权访问或破坏纸、介质和信息处理设施的风险。
6.6.5策略四:网络访问控制
策略目标:
防止对网络服务的非授权访问。
策略内容:
对内部和外部网络服务的访问均应加以控制,以确保组织内部网络与外部网络之间的接口进行有效的控制或隔离;用户对组织信息服务的访问已根据控制规则和业务要求进行了限制。
策略说明:
网络服务的未授权访问和不安全连接会影响整个组织。对于到敏感或关键业务应用的网络连接或与高风险位置用户的网络连接而言,采取严格的控制措施就显得特别重要。
控制大型网络的安全的一种方法是将该网络分成独立的逻辑网络域,将网络隔离成若干域的准则应基于风险评估和每个域内的不同访问控制策略和访问要求,还要考虑到相关成本和加入适合的网络路由或网关技术的性能影响。
由于无线网的边界很难定义,非授权访问的风险较高,组织应特别加强对无线网的管理,需要考虑限制使用无线网,或将无线网与内部和专用网络进行隔离。
6.6.6策略五:操作系统访问控制
策略目标:
防止对操作系统的非授权访问。
策略内容:
应启用安全措施限制授权用户对操作系统的访问,这些措施包括但不限于:按照已定义的访问控制策略鉴别授权用户;记录成功和失败的系统鉴别企图;
记录专用系统特殊权限的使用;当违反系统安全策略时发布警报;提供合适的身份鉴别手段;必要时,限制用户的连接次数。
策略说明:
一般而言,目前的各种操作系统都加强了访问控制的功能,组织应当尽量启用操作系统提供的访问控制功能。只有当操作系统访问控制功能不能满足业务需要时,才寻求专门访问控制解决方案。
6.7策略六:应用系统和信息访问控制
策略目标:
防止对应用系统和信息的非授权访问。
策略内容:
对应用软件和信息的逻辑访问只限于已授权的用户,应用系统的措施包括但不限于:按照定义的访问控制策略,控制用户访问信息和应用系统功能;防止能够越过系统控制或应用控制的任何实用程序、操作系统软件和恶意软件进行未授权访问;不损坏共享信息资源的其他系统的安全;
策略说明:
应根据规定的访问控制策略,限制用户和支持人员对信息和应用系统功能的访问。对访问的限制应基于各个业务应用要求,访问控制策略也应与组织的访问策略一致。对敏感应用系统,可以考虑在独立的计算环境中运行。
6.6.8策略七:移动计算和远程工作
策略目标:
在使用移动计算和远程工作设施时,确保信息的安全。
策略内容:
当组织需要使用移动计算和远程工作时,应建立必要保护措施,以避免非保护的环境中的工作风险。
策略说明:
当使用移动计算和通信设施时,例如,便携机、掌上机、膝上机、智能卡和移动电话,应特别小心确保业务信息不被泄露。移动计算的保护措施有物理
保护、访问控制、密码技术、备份和病毒预防的要求。对远程工作场地的合适保护应到位,以防止偷窃设备和信息、未授权泄露信息、未授权远程访问组织内部系统或滥用设施等。
6.7 信息系统获取开发与维护策略
6.7.1综述
本章的六个安全策略旨在确定本企业获取、开发、维护信息系统所应遵守的关键控制点。
在信息系统获取和开发过程中就需要加强对信息安全的管理与控制,只有集成在软件开发过程中的安全措施,才能真正起到预防与控制风险的作用,而且在软件开发生命周期中,越早引入控制措施,将来运行与维护费用就越少。
6.7.2策略一:确定信息系统的安全需求
策略目标:
确保将安全作为信息系统建设的重要组成部分。
策略内容:
应用系统的所有安全需求都需要在项目需求分析阶段被确认,并且作为一个信息系统的总体构架的重要组成部分,要得到对其合理性的证明、并获得用户认可,同时要记录在案。
策略说明:
信息系统安全包括基础架构软件、外购业务应用软件和用户自主开发的软件的安全,信息系统的安全控制应该在系统开发设计阶段予以实现,要确保安全性已构成信息系统的一部分,组织应该在信息系统开发前,或在项目开始阶段,识别所有的安全要求,并作为系统设计不可缺少的一部分,进行确认与调整。
6.7.3策略二:在应用中建立安全措施
策略目标:
避免应用系统在运行过程中发生故障,并防止在应用软件系统中的用户数据的丢失、改动或者滥用。
策略内容:
应当把适当的技术控制措施、查验追踪和活动日志等控制手段设计到应用软件系统中。这些措施应当包括对输入数据、内部处理和输出数据的检验。
策略说明:
要保证应用系统的安全,需要在软件开发过程中,集成适当的安全控制技术措施,而且要在应用系统需求和应用系统设计中,明确表达出来。信息安全管理人员或IT审计人员需要在需求评审阶段,着重检查必要的输入、处理和输出控制措施是否集成在系统中。
6.7.4策略三:实施密码控制
策略目标:
保护信息的保密性、完整性和有效性。
策略内容:
对于面临非授权访问威胁的信息,当其它管理措施无法对其进行有效保护时,应当用密码系统和密码技术进行保护。
策略说明:
为防止组织敏感信息的泄露,可以利用加密技术对其进行处理后进行存储与传输;为防止重要信息被篡改或伪造,可以利用加密的办法对信息的完整性进行鉴别;在电子商务过程中,可以通过加密技术的应用(如数字签名)进行交易双方身份真实性认证,并防止抵赖行为的发生。
6.7.5策略四:保护系统文件的安全
策略目标:
为确保IT项目和支持行为以安全的方式进行,应当控制对系统文件的访问。
策略内容:
应当维护系统文件中信息的完整性,这是应用程序系统、用户及开发人员的共同责任。
策略说明:
系统文件是一种全局文件,可视为所有用户程序所用的文件(另一种解释
是一种仅供操作系统访问的文件)。系统文件面临的典型威胁是使用错误的程序版本,从而导致数据的错误处理与数据破坏,以及由于测试目的使用操作数据而导致的信息泄露。因此要采取措施保护系统文件的安全。
6.7.6策略五:保证开发和支持过程的安全
策略目标:
维护应用程序系统中的软件和信息的安全。
策略内容:
组织应当对项目和支持环境进行严格控制,即对应用系统、操作系统及软件包的更改及软件外包活动进行安全控制。
策略说明:
在应用系统的开发与维护过程中,应用程序的未授权修改、未进行评审的操作系统的更改、未加限制的软件包的更改等都会给组织的应用系统带来安全风险。应对软件开发与支持过程中的安全加以控制。
6.7.7策略六:对技术脆弱性进行管理
策略目标:
减少由利用公开的技术脆弱点带来的风险。
策略内容:
应及时获得组织所使用的信息系统的技术脆弱点的信息,评估组织对此类技术脆弱点的保护,并采取适当的措施。
策略说明:
技术脆弱点管理应该以一种有效的、系统的、可反复的方式连同可确保其有效性的措施来实施。这些考虑应包括在用操作系统和任何其它的应用。
6.8 信息安全事件管理策略
6.8.1综述
安全事件就是能导致资产丢失与损害的任何事件,为把安全事件的损害降到最低的程度,追踪并从事件中吸取教训,本企业应明确有关事故、故障和薄弱点的部门,并根据安全事件与故障的反应过程建立一个报告、反应、评价和
惩戒的机制。
以下二个策略的建立,将促进本企业有效地对信息安全事件进行管理。
6.8.2策略一:报告信息安全事件和系统弱点
策略目标:
确保与信息系统有关的安全事件和系统弱点能得到及时报告,以便采取必要的纠正措施。
策略内容:
本企业应建立有正式的报告信息安全事件和系统弱点的程序,并让所有的员工、合同方人员和第三方人员加以了解和执行。
策略说明:
本企业通过建立正式的信息安全事件报告程序,在收到信息安全事件和系统弱点报告后,可立即着手采取相应措施对安全事件进行响应。报告程序应建立报告信息安全事件的联系点,使组织内的每个人都知道这个联系点,并确保该联系点持续可用,并能提供充分且及时的响应。
6.8.3策略二:信息安全事件管理和改进
策略目标:
确保使用持续有效的方法管理信息安全事件。
策略内容:
一旦信息安全事件和弱点报告上来,应该立即明确责任,按照规程进行有效处理;组织还应建立能够量化和监控信息安全事件的类型、数量、成本的机制。
策略说明:
应该应用一个连续性的改进过程,对信息安全事件进行响应、监视、评估和总体管理。从对信息安全事件评估中获取的信息,应该用来识别再发生的事件和重大影响的事件。如果需要证据的话,则应该搜集证据以满足法律的要求。
6.9 业务连续性管理策略
6.9.1综述
信息安全管理方针和策略
1、信息安全管理方针和策略 范围 公司依据ISO/IEC27001:2013信息安全管理体系标准的要求编制《信息安全管理手册》,并包括了风险评估及处置的要求。规定了公司的信息安全方针及管理目标,引用了信息安全管理体系的内容。 1.1规范性引用文件 下列参考文件的部分或整体在本文档中属于标准化引用,对于本文件的应用必不可少。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其最新版本(包括任何修改)适用于本标准。 ISO/IEC 27000,信息技术——安全技术——信息安全管理体系——概述和词汇。 1.2术语和定义 ISO/IEC 27000中的术语和定义适用于本文件。 1.3公司环境 1.3.1理解公司及其环境 公司确定与公司业务目标相关并影响实现信息安全管理体系预期结果的能力的外部和内部问题,需考虑: 明确外部状况: ?社会、文化、政治、法律法规、金融、技术、经济、自然和竞争环境,无论国际、国内、区域,还是本地的; ?影响组织目标的主要动力和趋势; ?与外部利益相关方的关系,外部利益相关方的观点和价值观。 明确内部状况: ?治理、组织结构、作用和责任; ?方针、目标,为实现方针和目标制定的战略; ?基于资源和知识理解的能力(如:资金、时间、人员、过程、系统和技术);
?与内部利益相关方的关系,内部利益相关方的观点和价值观; ?组织的文化; ?信息系统、信息流和决策过程(正式与非正式); ?组织所采用的标准、指南和模式; ?合同关系的形式与范围。 明确风险管理过程状况: ?确定风险管理活动的目标; ?确定风险管理过程的职责; ?确定所要开展的风险管理活动的范围以及深度、广度,包括具体的内涵和外延; ?以时间和地点,界定活动、过程、职能、项目、产品、服务或资产; ?界定组织特定项目、过程或活动与其他项目、过程或活动之间的关系; ?确定风险评价的方法; ?确定评价风险管理的绩效和有效性的方法; ?识别和规定所必须要做出的决策; ?确定所需的范围或框架性研究,它们的程度和目标,以及此种研究所需资源。 确定风险准则: ?可以出现的致因和后果的性质和类别,以及如何予以测量; ?可能性如何确定; ?可能性和(或)后果的时间范围; ?风险程度如何确定; ?利益相关方的观点; ?风险可接受或可容许的程度; ?多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。 1.3.2理解相关方的需求和期望 信息安全管理小组应确定信息安全管理体系的相关方及其信息安全要求,相关的信息安全要求。对于利益相关方,可作为信息资产识别,并根据风险评估的结果,制定相应的控制措施,实施必要的管理。相关方的要求可包括法律法规要求和合同义务。
信息安全总体方针和安全策略指引
信息安全总体方针和安全 策略指引 Last updated on the afternoon of January 3, 2021
X X X公司信息安全总体方针和安全策略指引 第一章总则 第一条为了进一步深入贯彻落实国家政策文件要求,加强公司信息安全管理工作,切实提高公司信息系统安全保障能力,特制定本指引。 第二条本指引适合于公司。 第三条公司信息安全管理遵循如下原则: (一) 主要领导负责原则:公司主要领导负责信息安全管理工作,统筹规划信息安全管理目标和策略,建立信息安全保障队伍并合理配置资源; (二) 全员参与原则:公司全员参与信息系统的安全管理工作,将信息安全与本职工作相结合,相互协同工作,认真落实信息安全管理要求,共同保障信息系统安全; (三) 合规性原则:信息安全管理制度遵循国际信息安全管理标准,以国家信息安全法律、法规、标准、规范为根本依据,全面符合相关主管部门和公司的各类要求。 (四) 监督制约原则:信息系统安全管理组织结构、组织职责、岗位职责、工作流程层面、执行层面建立相互监督制约机制,降低因缺乏约束而产生的安全风险。 (五) 规范化原则:通过建立规范化的工作流程,在执行层面对信息系统安全工作进行合理控制,降低由于工作随意性而产生的安全风险,同时提升信息安全管理制度的可操作性。
(六) 持续改进原则:通过不断的持续改进,每年组织公司管理层对制度的全面性、适用性和有效性进行论证和审定,并进行版本修订。 第四条本指引适用于公司全体人员。 第二章信息安全保障框架及目标 第五条参照国内外相关标准,并结合公司已有网络与信息安全体系建设的实际情况,最终形成依托于安全保护对象为基础,纵向建立安全管理体系、安全技术体系、安全运行体系和安全管理中心的“三个体系,一个中心,三重防护”的安全保障体系框架。 (一) “三个体系”:信息安全管理体系、信息安全技术体系和信息安全运行体系,把信息安全标准的控制点和公司实际情况相结合形成相适应的体系结构框架; (二) “一个中心”:信息安全管理中心,实现“自动、平台化”的安全工作管理、统一技术管理和安全运维管理; (三) “三重防护”:安全计算环境防护措施、安全区域边界防护措施和安全网络通信防护措施,把安全技术控制措施与安全保护对象相结合。 第六条公司安全保障框架: (一) 安全管理体系:信息安全管理体系重点落实安全管理制度、安全管理机构和人员安全管理的相关控制要求,并结合公司的实际情况形成符合行业和国家信息安全标准的信息安全管理体系框架。 (二) 安全技术体系:通过安全技术在物理、网络、主机、应用和数据各个层面的实施,建立与公司实际情况相结合的安全技术体系。同时与“安
信息安全管理责任制度完整版
信息安全管理责任制度标准化管理处编码[BBX968T-XBB8968-NNJ668-MM9N]
信息安全管理责任制度 1.组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》,提高工作人员的维护网络安全的警惕性和自觉性。 2. 2. 负责对本网络用户进行安全教育和培训,使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。 3. 3. 加强对单位的信息发布的审核管理工作,杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。 4. 4. 一旦发现从事下列危害计算机信息网络安全的活动的: 5.(一)未经允许进入计算机信息网络或者使用计算机信息网络资源; 6.(二)未经允许对计算机信息网络功能进行删除、修改或者增加; 7.(三)未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加; 8.(四)故意制作、传播计算机病毒等破坏性程序的; 9.(五)从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。 10. 5. 在信息发布的审核过程中,如发现有以下行为的: 11.(一)煽动抗拒、破坏宪法和法律、行政法规实施 12.(二)煽动颠覆国家政权,推翻社会主义制度 13.(三)煽动分裂国家、破坏国家统一 14.(四)煽动民族仇恨、民族歧视、破坏民族团结 15.(五)捏造或者歪曲事实、散布谣言,扰乱社会秩序
16.(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪 17.(七)公然侮辱他人或者捏造事实诽谤他人 18.(八)损害国家机关信誉 19.(九)其他违反宪法和法律、行政法规将一律不予以发布,并保留有关原始记录,在二十四小时内向当地公安机关报告。 20. 6. 接受并配合公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001 信息安全管理手册V1.0 版本号:
信息安全管理手册iso27001 录目 1 ................................................................ 颁布令 01 2 ...................................................... 管理者代表授权书 02 3 ............................................................. 企业概况 03 3 .................................................. 信息安全管理方针目标 04 6 ............................................................ 手册的管理05 7 ......................................................... 信息安全管理手册7 (1) 范围 7 ............................................................. 1.1 总则7 ............................................................. 1.2 应用8 (2) 规范性引用文件 8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司 8 ......................................................... 3.2 信息系统 8 ....................................................... 3.3 计算机病毒 8 ..................................................... 信息安全事件3.4 8 ........................................................... 相关方3.5 9 . ..................................................... 4 信息安全管理体系9 ............................................................. 4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系 15 ........................................................ 4.3 文件要求18 ............................................................ 管理职
美国网络安全战略简析
美国网络安全战略简析 网络战信息安全令人瞩目——美国网络安全战略简析 网络安全是指为保护网络基础设施、保障安全通信以及对网络攻击所采取的措施。随着信息技术的发展和计算机网络在世界范围内的广泛应用,国家政治、经济、文化、军事等受网络的影响日益增强,给国家安全也带来了新的威胁。美国是世界上最早建立和使用计算机网络的国家,他们凭借信息高速公路开始进入网络经济时代,其国家信息高速公路、全球信息基础设施相继建成,引领美国经济持续快速增长,同时在世界网络运用方面独领风骚。2003年2月14日,美国公布了《国家网络安全战略》报告,正式将网络安全提升至国家安全的战略高度,从国家战略全局上对网络的正常运行进行谋划,以保证国家和社会生活的安全与稳定。 一体化预警网络系统在运行中 网络安全事关全局 信息技术成为经济发展的支柱。美国是当今世界信息产业的第一大国,拥有英特尔公司、微软公司、国际商用机器公司等世界上一流超级跨国公司,而网络信息系统的安全是美国经济得以繁荣和可持续增长的基石,一旦网络信息系统受到破坏,美国的经济将受到重创。 目前,美国社会的运转对计算机网络的依赖性日益加重,计算机网络已经渗透到美国政治、经济、军事、文化、生活等各个领域。各种业务处理基本实现网络化,美国的整个社会运转已经与网络密不可分;换言之,网络危机将可能导致美国整个社会陷于瘫痪。2005年8月,美国东北部和加拿大的部分地区发生的大范围停电事故并引发了电网日常运作的崩溃,社会运转迅速陷于停顿,其中7个主要机场和9个核反应堆被迫关闭,5000多万的居民生活受到了严重影响,位于纽约的世界银行总部也因网络中断而暂停工作,网络安全对国家安全的影响可见一斑。 网络系统成为攻击重点。网络攻击不受国界、武器和人员的限制,如何防范网络攻击已成为美国不得不认真对待的重大战略问题。比如,其国防部网站是美国的重要核心网站,他的被攻击次数不断增长已使美国政府忧心忡忡。9·11事件发生后,一些恐怖分子利用网络之便向美国计算机网络频频发动攻击,特别对那些要害部门的网络进行破坏,从而危害美国及其盟友国家民众的安全,“网络恐怖主义”浮出水面。 网络安全成为信息技术的薄弱环节。虽然各种杀毒软件和防火墙不断升级,但各种病毒还是不断入侵,网络安全方面的信息技术相对滞后,网络安全始终受到严重威胁。 顶层设计备受重视 美国对网络安全问题的关注由来已久,早在20世纪80年代初期,就已经着手解决并采取了一系列措施。近年来,其重大步骤主要有:保证要害部门安全;加强基础设施安全;制定网络安全战略;加强国家安全与国际网络安全合作;强化网络安全研究及政府协调与监管;实施网络安全演习等。据悉,2005年5月,美国中央情报局在弗吉尼亚州举行了为期3天、代号为“沉默地平线”的计算机网络反恐演习。演习中,中央情报局模拟了一次类似9·11恐
信息安全工作总体方针和安全策略
1.总体目标 以满足业务运行要求,遵守行业规程,实施等级保护及风险管理,确保信息安全以及实现持续改进的目的等内容作为本单位信息安全工作的总体方针。以信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断为总体目标。 2.范围 本案适用于某单位信息安全整体工作。在全单位范围内给予执行,由某部门对该项工作的落实和执行进行监督,由某部门配合某部门对本案的有效性进行持续改进。 3.原则 以谁主管谁负责为原则(或者采用其他原则例如:“整体保护原则”、“适度保护的等级化原则”、“分域保护原则”、“动态保护原则”、“多级保护原则”、“深度保护原则”和“信息流向原则”等)。 4.策略框架 建立一套关于物理、主机、网络、应用、数据、建设和管理等六个方面的安全需求、控制措施及执行程序,并在关联制度文档中定义出相关的安全角色,并对其赋予管理职责。“以人为本”,通过对信息安全工作人员的安全意识培训等方法不断加强系统分布的合理性和有效性。 4.1物理方面 依据实际情况建立机房管理制度,明确机房的出入管理办法,机房介质存放方式,机房设备维护周期及维护方式,机房设备信息保密要求,机房温湿度控制
方式等等环境要求。通过明确机房责任人、建立机房管理相关办法、对维护和出入等过程建立记录等方式对机房安全进行保护。 4.2网络方面 从技术角度实现网络的合理分布、网络设备的实施监控、网络访问策略的统一规划、网络安全扫描以及对网络配置文件等必要信息进行定期备份。从管理角度明确网络各个区域的安全责任人,建立网络维护方面相关操作办法并由某人或某部门监督执行看,确保各信息系统网络运行情况稳定、可靠、正常的运行。 4.3主机方面 要求各类主机操作系统和数据库系统在满足各类业务系统的正常运行条件下,建立系统访问控制办法、划分系统使用权限、安装恶意代码防范软件并对恶意代码的检查过程进行记录。明确各类主机的责任人,对主机关键信息进行定期备份。 4.4应用方面 从技术角度实现应用系统的操作可控、访问可控、通信可控。从管理角度实现各类控制办法的有效执行,建立完善的维护操作规程以及明确定期备份内容。 4.5数据方面 对本单位或本部门的各类业务数据、设备配置信息、总体规划信息等等关键数据建立维护办法,并由某部门或某人监督、执行。通过汇报或存储方式实现关键数据的安全传输、存储和使用。 4.6建设和管理方面 4.6.1信息安全管理机制 成立信息安全管理主要机构或部门,设立安全主管等主要安全角色,依据信
信息安全岗位职责
信息安全岗位职责 1、信息安全工程师岗位职责 1、负责信息安全管理,制定信息安全标准及相关指引和流程; 2、负责网络安全防御系统的建设、维护与管理; 3、负责信息系统安全风险评估并持续跟踪管理; 4、负责安全事件的实时响应、处理及调查取证; 5、负责自动化安全工具的开发、测试和规则模型优化等工作; 6、跟踪分析国内外安全动态,研究安全攻击、防御及测试技术。 2、网络信息安全管理员岗位职责 1.负责制定和实施网络信息安全管理制度,以技术手段隔离不良信息,及时发布预知通告,发布计算机病毒、网络病毒的危害程度、防杀措施、及补救办法。教育计算机用户和网络用户树立安全意识,主动防范病毒、黑客的侵扰,抵制不良信息;建立网络信息安全监管日志。 2.负责校园门户网站管理系统用户及密码的管理、提供包括开户、修改、暂停、注销等服务,做好各部门网站信息管理员备案,协助做好上网用户的备案工作,接受用户的咨询和服务请求。 3.依据信息安全管理规定,定期检查各单位主页内容,预防不良信息发布。 4.监督检查各网络接口计算机病毒的防治工作。 5.负责中心日常办公工作,部门通知、文件、信函等的传达工作,做好部门办公电话接
听和电话记录; 6.负责我院的信息化建设相关文件资料的收集、归类与整理,做好资料收集、编目、建档工作。 7.负责网络中心负责网络中心设备、材料、软件介质等的建档、编号与借用管理。 8.参与我院网络信息资源的系统开发、设计、建设和维护。 9.开展信息安全基础培训工作,提供信息系统安全应用的技术支持。 10.及时完成主任交办的其它任务,积极主动配合、协助中心其他岗位的工作。 3、网络信息安全工程师岗位职责 1.网络信息安全工程师的工作主要是为企业量身定做合理且经济的信息网络安全解决方案,维护日常网络安全管理,预防网络安全隐患等; 2.通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等,进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等。 4、网络信息安全工程师岗位职责 1、负责公司研发产品的安全漏洞分析与安全评测。 2、负责客户现场的安全环境的日常巡检。 3、负责收集整理公司产品相关的最新安全漏洞补丁资料,分析处理,为公司提供应用产品安全升级/加固的解决方案。 4、负责公司内部安全技术培训。 5、当发生应用安全事件时,负责构建解决方案,跟进进度,快速解决问题,保障客户
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
美国信息安全综述(提炼版)
美国信息安全综述 1美国信息安全战略的演变 美国十分重视信息安全,是最早制定和实施信息安全战略的国家,并随着形势的变化不断发展和完善。总的来说美国现行的信息安全战略属于“扩张型”信息安全战略。为实现扩张性战略目标,美国制定了较为系统的信息安全政策法规体系,组建了从国家层面、部委层面到机构层面的信息安全管理机构,在各个层面上力求做到分工合理、各司其职;国防部成立了网络战司令部,积极部署信息战:进行系统的信息安全评估,对信息安全状况、信息安全政策落实情况和信息安全能力评估,并根据评估结果调整和改革信息安全战略。 1.1克林顿政府信息安全战略 克林顿政府任职期间,即20世纪90年代中后期至2l世纪初,美国信息安全战略发展为维护信息的保密性、完整性、可用性、可控性的信息安全战略,并且正式成为国家安全战略的正式组成部分。 1998年美国政府颁发了《保护美国关键基础设施》的总统令(PDD.63),第一次就美国信息安全战略的完整概念、意义、长期与短期目标等作了说明,对由国防部提出的“信息保障”作了新的解释,并对下一步的信息安全工作做了指示。1998年底美国国家安全局制定了《信息保障技术框架》(IATF),提出了“深度防御战略”,确定了包括网络与基础设施防御、区域边界防御、计算环境防御和支撑性基础没施的深度防御目标p】。2000年总统国家安全战略报告的颁布,是美国国家信息安全政策的重大事件。在该报告中,“信息安全”被列
入其中,成为国家安全战略的正式组成部分。这标志着信息安全正式进入国家安全战略的框架,并开始具有其自身的独立地位。此外,在这一时期还成立了多个信息安全保护组织,其中包括全国性的信息保障委员会、全国性的信息保障同盟、首席信息官委员会、关键基础设施保障办公室、联邦计算机事件响应能动组等。 1.2布什政府信息安全战略 由于“9·ll”事件,使信息安全战略地位不断升级。布什政府在任期间,美国把信息安全战略置于国家总体安全战略的核心地位,非常关注贯彻实施信息安全战略措施。 2001年美国发布第13231号行政令《信息时代的关键基础设施保护》,将“总统关键基础设施保护委员会”改为行政实体“总统关键基础没施保护办公室”,作为联邦基础设施安全保护的最高管理协调机构。2003年2月发布砜网络空间的国家战略》,进一步保护国家关键基础设施安全吲。此外布什政府还渊整国家信息安全工作机构,设置直接向总统负责的总统国家安全顾问—职,设立国土安全部、国家保密局信息战处、联合参谋信息战局、信息系统安全中心,同时建立相应的其他配套的工作机构,以保证国家信息安全工作的协调、统一与效率。 1.3奥巴马政府信息安全战略 奥巴马政府虽然刚刚上任不久,不过依旧高度重视信息安全战略,积极推进网络安全评估,试图改变美国信息安全保障不力的情况,开始着手制定新的国家信息安全战略。
信息安全工作总体方针
信息安全工作总体方针 第一章总则 第一条为加强和规范信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可控、能控、在控,依据国家有关法律、法规的要求,制定本文档。 第二条本文档的目的是为本公司信息系统安全管理提供一个总体的策略性架构文件,该文件将指导信息系统的交全管理体系的建立。立全管理体系的建立是为信息系统的安全管理工作提供参照,以实现统一的安全策略管理,提高整体的网络与信息安全水平,确保安全控制措施落实到位,保障网络通信畅通和业务系统的正常运营。 第三条本文档适用各单位信息系统资产和信息技术人员的安全管理和指导,适用于信息系统安全策略的制定、安全方案的规划和安全建设的实施、适用于安全管理体系中安全管理措施的选择。 第四条引用标准及参考文件 本文档的编制参照了以下国家的标准和文件: (一)《中华人民共和国计算机信息系统安全保护条例》 (二)《关于信息安全等级保护建设的实施指异意见》(信息运安
(2009)27号)
(三)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008) (四)《信息安全技术信息系统安全管理要求》(GB/T 20269一 2006) (五)《信息系统等级保护交全建设技术方案设计要求》(报批稿) (六)《关于开展信息安全等级保护安全建设整改工作的指异意见》(公信交[2009]1429号) 第二章方针、目标和原则 第五条信息系统安全坚持"安全第一、预防为主,管理和技术并重,综合防范“的总体方针,实现信息系统安全可控、能控、在控。依照“分区、分级、分域”总体安全防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。 第六条信息系统安全总体目标是确保信息系统持续、隐定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统朋溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据云失和失密,防止有害信息在网上传播,防止对
信息安全管理责任书
信息安全管理责任书 信息安全管理责任书 随着社会信息化时代的来临,信息资源对信息化社会的重要程度越来越大。下面我为大家精心整理了信息安全管理责任书,希望能给你带来帮助。 信息安全管理责任书篇一: 信息化管理处信息安全责任书 为了保证信息系统以及网络、硬件设备的正常运行,切实加强系统管理的严密性与保密性,促进系统设备管理的有效性,特下达本责任书: 第一条: 签订对象: 信息化管理处网络管理员。 第二条: 责任期限: 系统管理员任职期间。 第三条: 在责任期内,杜绝因管理不善而发生安全责任事故。具体必须做好以下工作: 一、遵守《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网安全保护技术措施》、《福建农林大学校园网络管理规定》、《福建农林大学校园网安全保护管理暂行办法》等相关法律法规的有关规定,管理机房内系统设施。 二、应有维护计算机信息系统安全运行的足够能力,设置安全可靠的防火墙,安装防病毒软件,定期进行安全风险分析与系统漏洞测试,适时对软硬件进行升级,具有防止病毒入侵以及电脑黑客攻击的能力,确保系统安全、可靠、稳定地运行。 三、定期查看设备的外观状态、Poer状态、CPU利用率、硬盘空间、进程状态日志检查、网络接口状态、安全状态,确保设备系统的正常运行。
四、根据设备的服务功能,负责整机的系统管理、主要服务进程的健康性检查以及日常的物理维护; 五、所有设备的超级用户口令需提交给安全管理员掌握,每次修改均需重新提交。 六、为每台设备建立运行登记簿,记录所有与该机器有关的信息。 七、有权在所管辖的机器上增减用户账号,但要在确保不影响系统安全的前提下进行。 八、设备配置或账号要写明用途或身份。 九、负责设备软件包的管理和维护;应对本机所安装的软件有详细的清单,包括系统软件的名称、版本,所装应用软件的名称、版本、功能及安装时间 十、系统管理员在服务器上增减软件,需要做好记录。 十一、EmailDNS服务器其他应用服务器: 每天做一次增量备份;每周做一次全备份。备份数据保存6个月以上。 十 二、用户密码的制定和维护规则: 任何账号生成后,禁止使用缺省密码作为密码使用; 长度应大于6位,且应是字母﹑符号﹑数字混合使用; 避免使用自己的姓名﹑生日等易被人猜到的信息作为密码;避免使 用与自己的用户名相关的信息作为密码; 用户要妥善管理自己的账号密码,用户的密码严禁被他人使用。 由于设备用户自己的账号密码管理不善,造成系统安全性问题,由该密码的所有者负相应的责任。 当用户登录设备的时候,应让他人回避,以避免密码泄露。 设备用户最少每月修改一次自己的密码;超级用户口令最少每月检 查一次,最少2个月修改一次; 第四条: 本责任书自签订之日生效 责任单位: 责任人:
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
ISMS-3012信息安全方针信息安全策略管理制度
深圳市首品精密模型有限公司 信息安全方针信息安全策略管理制度 文件编号:ISMS-3012
变更履历
第一章总则 第一条为提高公司信息安全管理水平,建立、健全信息安全管理体系,贯彻执行 £027001:2013《信息技术安全技术信息安全管理体系?要求》,保障公司信息系统业务的正常进行,防止由于信息安全事件导致的公司损失,确保全体员工理解信息安全的重要性,执行信息安全管理体系文件的要求,特制定本制度。 第二条本制度是公司信息安全管理的纲领性文件,用于贯彻企业的信息安全管理方针、目标,是所有从事、涉及信息安全相关活动人员的行为准则,是向客户、向社会、向认证机构提供本公司信息安全管理保证能力的依据。 第三条信息部在得到信息安全委员会批准的前提下负责本制度的更改和建立,信息部定期对其适用性、持续性、有效性进行评审,汇总更改需求和建议并上报。 第四条本制度适用于公司所属各单位。 第二章职责分工 第五条公司信息安全管理工作由信息安全委员会指导和批准,委员会下设信息安全工作推进组,并设立信息安全顾问团。 第六条信息安全工作推进组由信息部信息安全专业人员和公司各部门主管任命的信息化专业员组成。 第七条信息安全顾问组由提供服务的外部安全产品公司或外聘的信息安全顾问组 成。 第八条信息安全工作推进组职责 (一)建立信息安全管理方针、目标和策略; (二)评估信息安全顾问组意见的可用性; (三)确定公司信息资产风险准则和信息安全事件处置措施; (四)组织并确保全公司信息安全教育活动的落实; (五)监控公司的信息安全情况,监督检查信息安全活动的落实情况,并定期向信 息安全委员会汇报; (六)向两化融管理委员会提出实现信息安全目标和符合信息安全方针的改进需 要,推行各项信息安全策略要求和控制措施; (七)负责公司信息安全内部、外部评估的具体安排;
3美国信息安全保障体系建设研究.
信息工程大学 毕业设计(论文)题目:美国信息安全保障体系建设研究 学员姓名 学号 所在单位 指导教师 技术职务 完成日期
摘要 本文通过介绍美国国家信息安全保障体系,美国信息安全保障体系的发展和美国电子政务信息安全体系对我国的启示,通过对信息安全体系做了一个总结。随着网络和信息技术的普及,电子政务成为时代发展的必然。电子政务的安全运行是维护国家利益和安全的必然要求。网络和信息安全则是确保电子政务的安全运行的关键。我国应采取各种措施,加大信息技术开发力度,推动网络安全建设与管理,以保障电子政务的健康安全运行。分析了美国信息安全法律体系考察对及其对我国的启示。 关键词:信息安全保障体系美国
目录 第一章信息安全的简介 (1) 1.1信息安全概念的演变 (1) 1.2“信息保障”的概念 (2) 第二章美国加强信息安全保障体系建设的基本做法 (4) 2.1信息安全已成为美国安全战略的重要组成部分 (4) 2.2建立各级信息安全主管机构 (5) 2.3重视发展信息战能力,实行“积极防御” (7) 2.3.1国防系统信息安全是美政府保护的重点对象 (7) 2.3.2国防部将信息安全对策提高到信息战的高度,加强信息攻击能力 .. 7 2.4以信息安全法律法规提供有力保障 (8) 2.5强化国家信息保障政策和措施 (8) 2.6不断开发和完善信息安全技术 (10) 2.6.1制定计算机安全评价标准,积极参与开发国际通用安全准则 (10) 2.6.2重视信息安全技术的发展和更新 (11) 第三章加强我国信息安全保障体系建设的建议 (13) 3.1建立统一的安全平台 (13) 3.2进一步完善我国信息安全保障的法律体系 (14) 3.2.1确立科学的信息安全法律保护理念 (14) 3.2.2构建完备的信息安全法律体系 (14) 3.2.3强化信息安全法律效率 (14) 3.3改善电子政务的应用安全 (14) 第五章总结与展望 (15) 参考文献 (16) 致谢 (17)
信息安全方针和信息安全目标(参照模板)
信息安全方针和信息安全目标 信息安全方针:信息安全人人有责 本公司信息安全管理方针包括内容如下: 一、信息安全管理机制 1.公司采用系统的方法,按照ISO/IEC 27001:2005建立信息安全管理体系,全面保护本公司的信息安全。 二、信息安全管理组织 2.公司总经理对信息安全工作全面负责,负责批准信息安全方针,确定信息安全要求,提供信息安全资源。 3.公司总经理任命管理者代表负责建立、实施、检查、改进信息安全管理体系,保证信息安全管理体系的持续适宜性和有效性。 4.在公司内部建立信息安全组织机构,信息安全管理委员会和信息安全协调机构,保证信息安全管理体系的有效运行。 5.与上级部门、地方政府、相关专业部门建立定期经常性的联系,了解安全要求和发展动态,获得对信息安全管理的支持。 三、人员安全 6.信息安全需要全体员工的参与和支持,全体员工都有保护信息安全的职责,在劳动合同、岗位职责中应包含对信息安全的要求。特殊岗位的人员应规定特别的安全责任。对岗位调动或离职人员,应及时调整安全职责和权限。 7.对本公司的相关方,要明确安全要求和安全职责。 8.定期对全体员工进行信息安全相关教育,包括:技能、职责和意识。以提高安
全意 9.全体员工及相关方人员必须履行安全职责,执行安全方针、程序和安全措施。 四、识别法律、法规、合同中的安全 10.及时识别顾客、合作方、相关方、法律法规对信息安全的要求,采取措施,保证满足安全要求。 五、风险评估 11.根据本公司业务信息安全的特点、法律法规要求,建立风险评估程序,确定风险接受准则。 12.采用先进的风险评估技术和软件,定期进行风险评估,以识别本公司风险的变化。本公司或环境发生重大变化时,随时评估。 13.应根据风险评估的结果,采取相应措施,降低风险。 六、报告安全事件 14.公司建立报告信息安全事件的渠道和相应的主管部门。 15.全体员工有报告信息安全隐患、威胁、薄弱点、事故的责任,一旦发现信息安全事件,应立即按照规定的途径进行报告。 16.接受信息安全事件报告的主管部门应记录所有报告,及时做出相应的处理,并向报告人员反馈处理结果。 七、监督检查 17.定期对信息安全进行监督检查,包括:日常检查、专项检查、技术性检查、内部审核等。