信息安全管理系统的规范
信息安全管理体系要求
信息安全管理体系 要求一、安全生产方针、目标、原则信息安全管理体系要求我们必须坚持“安全第一,预防为主,综合治理”的方针,以保障信息系统的安全稳定运行。
我们的目标是实现以下三个方面:1. 保障信息系统的完整性、可用性和保密性,防止信息泄露、篡改和破坏。
2. 提高全体员工的信息安全意识,形成良好的信息安全文化。
3. 遵循国家相关法律法规,满足行业标准和公司要求。
原则如下:1. 分级负责:明确各级管理人员和员工的信息安全职责,实行逐级负责。
2. 全面防控:对信息安全风险进行全方位、全过程的识别、评估和管控。
3. 持续改进:不断完善信息安全管理体系,提高信息安全水平。
二、安全管理领导小组及组织机构1. 安全管理领导小组成立以公司总经理为组长,分管副总经理、总工程师为副组长,各部门负责人为成员的信息安全管理领导小组。
主要负责以下工作:(1)制定和审批信息安全政策和目标;(2)组织信息安全风险评估和应急预案制定;(3)指导、协调和监督各部门信息安全工作的开展;(4)审批信息安全投入和资源配置。
2. 工作机构设立以下工作机构,负责信息安全日常管理和具体实施:(1)信息安全部:负责组织、协调、监督和检查公司信息安全工作,制定信息安全管理制度和操作规程;(2)网络运维部:负责公司网络和信息系统的基础设施建设、运维及安全防护;(3)系统开发部:负责公司信息系统开发过程中的安全管理和安全编码;(4)人力资源部:负责组织信息安全培训,提高员工信息安全意识;(5)合规部:负责监督公司信息安全合规性,确保符合国家法律法规和行业标准。
三、安全生产责任制1、项目经理安全职责项目经理作为项目安全生产的第一责任人,其主要安全职责如下:(1)负责组织制定项目安全生产计划,并确保计划的实施;(2)负责项目安全生产资源的配置,确保安全生产投入得到保障;(3)组织项目安全生产教育和培训,提高项目团队成员的安全意识;(4)定期组织安全生产检查,对安全隐患进行排查和整改;(5)建立健全项目安全生产责任制,明确项目团队成员的安全职责;(6)对项目安全生产事故进行调查、分析,提出处理意见,并落实整改措施。
信息安全服务管理规范
信息安全服务管理规范信息安全服务管理规范(ISMS)是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法,旨在确保组织能够对信息资产进行全面的管理和保护。
该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程,为组织提供一种科学、规范的管理方式,以确保信息安全工作的有效实施。
一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略,以确保信息资产得到合理的保护。
2.组织应制定详细的信息安全管理流程、规程和方法,以确保信息安全管理工作的规范实施。
3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接,形成一个完整的管理体系。
4.组织应指定信息安全管理人员,负责信息安全管理工作的日常运行和监督。
二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理,并建立相应的信息资产清单。
2.组织应对信息资产进行风险评估,根据风险评估结果确定相应的信息安全控制措施。
3.组织应对信息资产进行定期的备份和恢复,以确保信息资产的完整性和可用性。
4.组织应对信息资产进行访问控制,建立适当的权限和访问控制机制,以防止未经授权的访问和使用。
三、人员管理1.组织应对所有员工进行信息安全教育和培训,提高员工的信息安全意识和技能。
2.组织应制定并实施人员离职时的信息安全处理程序,以确保离职员工不再具有对信息资产的未授权访问权限。
3.组织应建立信息安全意识培训的考核机制,对参与培训的员工进行考核,以确保培训效果的达到。
四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护,确保信息系统和信息资产的安全性和可用性。
2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护,确保设备的正常运行。
3.组织应确保机房和其他重要区域设有门禁和监控系统,以防止未经授权的人员进入,并对设备和区域进行实时监控。
五、安全事件管理1.组织应建立完善的安全事件管理流程,对信息安全事件进行及时的响应和处置。
信息安全管理规范和保密制度(5篇)
信息安全管理规范和保密制度是组织内部为确保信息资产的安全性和保密性而制定的一套具体规范和制度。
它旨在规范和管理组织内部信息系统和信息资产的使用、存储和传输,提高信息安全管理水平,防范各类信息安全威胁,保护组织的核心利益和用户的权益。
下面将就信息安全管理规范和保密制度的主要内容展开阐述,以期为组织制定相关规范和制度提供参考。
一、信息安全管理规范1. 信息资产分类和保护a. 将信息资产按照重要程度、敏感程度和机密程度进行分类,建立相应的保护措施。
b. 制定信息资产的使用规则,明确各级用户对各类信息资产的访问权限和使用规范。
c. 防止信息资产的非法获取、篡改、毁损等行为,建立相关防护机制和安全措施。
2. 密码管理a. 建立合理的密码策略,包括密码的长度、复杂度和过期时间等要求。
b. 严格控制密码的分发和访问权限,确保只有授权用户能够使用密码。
c. 提供密码更改和重置的方式,确保丢失或泄露的密码能够及时更新。
3. 网络安全管理a. 建立网络安全策略,包括网络架构、设备安全配置和网络访问控制等。
b. 定期对网络设备和系统进行漏洞扫描和安全评估,及时修补漏洞和强化安全措施。
c. 保护网络通信的机密性和完整性,采用加密算法和安全传输协议等技术手段防止信息泄露和篡改。
4. 应用系统安全管理a. 建立应用系统的访问控制和操作审计机制,确保用户的合法性和操作的可追溯性。
b. 限制应用系统的访问权限和功能权限,确保用户只能访问其需要的功能和数据。
c. 对应用系统进行安全评估和渗透测试,及时发现和修复潜在的安全隐患。
5. 物理安全管理a. 建立物理访问控制措施,限制只有授权人员才能进入信息系统存储和处理区域。
b. 对信息系统和存储介质进行安全防护,采用监控设备和防盗设备等物理手段防止物理攻击和丢失。
二、保密制度1. 保密责任和义务a.明确组织内部人员的保密责任和义务,包括对隐私和商业机密的保护。
b.制定保密责任和义务方面的行为准则,防止信息泄露和滥用。
信息安全管理规范
信息安全管理规范一、引言信息安全是现代社会中的重要问题,随着互联网的发展和普及,信息安全的风险也日益增加。
为了保护企业和个人的信息资产安全,确保信息系统的正常运行,制定一套信息安全管理规范是必要的。
本文档旨在制定一套全面、可操作的信息安全管理规范,以指导企业在信息安全方面的工作。
二、适合范围本规范适合于企业内部所有涉及信息系统的部门和人员,包括但不限于信息技术部门、网络运维部门、安全管理部门等。
三、信息安全管理原则1. 安全性优先原则:信息安全是首要考虑的因素,任何安全威胁都应得到及时有效的应对。
2. 风险管理原则:通过风险评估和风险管理措施,降低信息安全风险。
3. 合规性原则:遵守相关法律法规和行业标准,确保信息安全管理符合法律要求。
4. 持续改进原则:不断完善信息安全管理制度和技术手段,适应不断变化的安全威胁。
四、信息安全管理体系1. 组织结构建立信息安全管理委员会,负责制定和监督信息安全策略、制度和规范的实施。
委员会由高层管理人员和相关部门负责人组成,定期召开会议,审查信息安全工作发展情况。
2. 资产管理对企业的信息资产进行分类、评估和管理,制定合理的信息资产管理策略,确保信息资产的安全性和完整性。
3. 访问控制建立严格的访问控制机制,包括身份验证、权限管理、访问审计等,确保惟独授权人员可以访问和操作相关信息系统和数据。
4. 安全运维建立健全的安全运维流程,包括漏洞管理、补丁管理、事件响应等,及时发现和处理安全漏洞和事件,保证信息系统的连续可用性和安全性。
5. 网络安全建立防火墙、入侵检测系统、安全监控系统等网络安全设施,保护企业网络免受外部攻击和恶意软件的侵害。
6. 数据安全制定数据备份、加密、归档等安全措施,确保数据的机密性、完整性和可用性。
7. 人员管理建立人员安全管理制度,包括招聘、培训、离职等方面的安全管理措施,确保员工的安全意识和责任意识。
8. 物理安全建立物理访问控制、机房环境监控等措施,保护信息系统的物理安全。
公司信息安全管理规定
公司信息安全管理规定
1. 安全意识培训,所有员工必须接受信息安全意识培训,包括如何识别和处理安全风险、保护公司机密信息等内容。
2. 访问控制,严格控制员工对公司系统和敏感信息的访问权限,确保只有授权人员可以访问相关数据和系统。
3. 数据备份,公司必须定期备份重要数据,并确保备份数据的安全存储和可恢复性。
4. 网络安全,采取必要的措施保护公司网络安全,包括防火墙、反病毒软件、加密通信等措施。
5. 设备安全,公司设备必须安装最新的安全补丁和软件,确保设备不易受到恶意攻击。
6. 审计和监控,对公司系统和数据进行定期审计和监控,及时发现和处理安全问题。
7. 信息共享,员工在共享公司信息时必须遵守相关规定,确保信息不被泄露或滥用。
8. 外部合作安全,与外部合作伙伴共享信息时,必须签订保密协议并确保信息安全传输。
9. 事件响应,建立信息安全事件响应机制,及时处理安全事件并进行事后分析和改进。
以上规定适用于公司所有员工和外部合作伙伴,违反规定将受到相应的处罚。
公司将不断完善信息安全管理制度,确保公司信息安全。
信息安全管理规范
信息安全管理规范一、引言信息安全管理规范是为了保护组织的信息资产,确保其机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险而制定的一系列规范和措施。
本文将详细介绍信息安全管理规范的制定目的、适合范围、定义、原则、责任和具体措施等内容。
二、目的本信息安全管理规范的目的是为了确保组织的信息资产得到妥善保护,防止信息泄露、篡改和破坏等安全风险,提高信息系统和网络的安全性和可靠性,保障业务的正常运行。
三、适合范围本信息安全管理规范适合于组织内的所有员工、合作火伴和供应商,涵盖所有的信息系统和网络,包括但不限于计算机、服务器、网络设备、数据库、应用程序等。
四、定义4.1 信息资产:指组织拥有的所有信息,包括但不限于电子文档、数据库、软件、硬件设备等。
4.2 信息安全:指确保信息的机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险。
4.3 信息安全管理:指对信息安全进行规划、组织、实施、监控和改进的过程。
4.4 信息安全事件:指可能导致信息资产受到威胁、损失或者破坏的事件,包括但不限于病毒攻击、网络攻击、数据泄露等。
五、原则5.1 领导承诺:组织的领导应对信息安全工作赋予足够的重视,并提供必要的资源和支持。
5.2 风险管理:组织应通过风险评估和风险处理等手段,识别和评估信息安全风险,并采取相应的措施进行管理和控制。
5.3 安全意识培训:组织应定期开展信息安全意识培训,提高员工对信息安全的认识和理解。
5.4 安全控制措施:组织应建立和完善信息安全管理体系,采取合理的安全控制措施,确保信息资产的安全性。
5.5 持续改进:组织应不断改进信息安全管理体系,提高信息安全管理水平。
六、责任6.1 高层管理人员:负责制定信息安全策略和目标,确保信息安全工作的有效实施。
6.2 信息安全管理部门:负责制定、实施和监督信息安全管理措施,协调各部门的信息安全工作。
6.3 部门经理:负责本部门的信息安全工作,确保信息资产得到妥善保护。
ISO27001文件-信息安全管理体系规范
信息安全管理体系规范(Part I)(信息安全管理实施细则)目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。
信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。
无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。
信息系统安全管理制度(五篇)
信息系统安全管理制度--____联华中安制定为加强开发区计算机信息系统安全和保密管理,保障计算机信息系统的安全,____联华中安信息技术有限公司特制定本管理制度。
第一条严格落实计算机信息系统安全和保密管理工作责任制。
按照“谁主管谁负责、谁运行谁负责、谁公开谁负责”的原则,各科室在其职责范围内,负责本单位计算机信息系统的安全和保密管理。
第二条办公室是全局计算机信息系统安全和保密管理的职能部门。
办公室负责具体管理和技术保障工作。
第三条计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。
第四条局域网分为内网、外网。
内网运行各类办公软件,专用于公文的处理和交换,属____网;外网专用于各部门和个人浏览国际互联网,属非____网。
上内网的计算机不得再上外网,涉及国家____的信息应当在指定的____信息系统中处理。
第五条购置计算机及相关设备须按保密局指定的有关参数指标由机关事务中心统一购置,并对新购置的计算机及相关设备进行保密技术处理。
办公室将新购置的计算机及相关设备的有关信息参数登记备案后统一发放。
经办公室验收的计算机,方可提供上网ip地址,接入机关局域网。
第六条计算机的使用管理应符合下列要求:(一)严禁同一计算机既上互联网又处理____信息;(二)各科室要建立完整的办公计算机及网络设备技术档案,定期对计算机及软件____情况进行检查和登记备案;(三)设置开机口令,长度不得少于____个字符,并定期更换,防止口令被盗;(四)____正版防病毒等安全防护软件,并及时进行升级,及时更新操作系统补丁程序;(五)未经办公室认可,机关内所有办公计算机不得修改上网ip地址、网关、dns服务器、子网掩码等设置;(六)严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理____信息;(七)严禁将办公计算机带到与工作无关的场所;确因工作需要需携带有____信息的手提电脑外出的,必须确保____信息安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理系统的规范第二部分:信息安全管理系统的规范11. 范围BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。
它指明了将要按照个别机构的需要而实现的安全控制的需求。
注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。
BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。
2. 术语与定义为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明适用于机构的安全要求的目标和控制的批评。
3.信息安全管理系统的要求3.1概要机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。
3.2建立一个管理框架以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一):a) 应定义信息安全策略;b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及技术;c) 应进行合适的风险评估。
风险评估应确认对资产的安全威胁、漏洞及对机构的冲击,从而定出风险的严重程度;d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险;e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制;f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的原因。
以上步骤应定期重复,确定系统的适用性。
23.3实施选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。
3.4文档信息安全管理系统的说明文档应包括以下信息:a) 按照3.2所定的步骤实现的证据;b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制;c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行动;d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关行动。
3.5文档控制机构应建立控制3.4所要求的所有文档的维护程序,以保证文档:a) 随时可用;b) 按照机构的安全策略定期检查并在必要时做出修正;c) 在版本控制下进行维护,保证在有效运作信息安全管理系统的所有地方随时可用;d) 及时去掉过时的内容;e) 标识并且保留过时的、法律需要的、或作为知识储备的部分。
文档应该是清晰可读的、标有日期(及版本日期)的、可以确认的,并且在指定时间内有序维护和保管。
3第一步策略文件定义策略ISMS 的范围定义ISMS 第二步的范围信息资产风险评估威胁、漏洞第三步进行风险评冲击估结果与结论机构的风险管第四步理办法管理这些风所要求达到的险保障程度选定的控制选项此部分的第三第五步段所列的安全选择控制目控制目标和控标以及要实制现的控制不在BS7799的其它安全控制选定的控制目标及控制适用性说明书撰写适用性第六步说明书图一:建立一个管理架构 3.6记录记录,作为信息安全管理系统运行所得结果的证据,应被妥善维护以便证明和BS-7799这4个部分的要求的遵从性对系统和机构来说是合适的,如来访者列表、审计记录、访问的授权等。
机构应建立和维护一套程序来识别、维护、保管和处理这些证明遵从性的记录。
记录应清晰可读、可识别并可追溯到有关活动。
记录的储存及维护应该注意保证随时能用、不被破坏、变坏或丢失。
54.详细监控4.1安全策略4.1.1 信息安全策略目标:为信息安全提供管理方向和支持。
4.1.1.1信息安全策略文档一份策略文档须由管理层所认可,出版并传达到全体员工。
4.1.1.2检查和评价策略须定期检查,并在存在有影响的变化时保持它的适用性。
4.2安全组织4.2.1信息安全基础设施目标:在机构内部管理信息安全。
4.2.1.1 管理层信息安全论坛为了保证有一个清晰的方向和来自管理层的可见的对安全主动性的支持,建立管理层论坛是必要的。
4.2.1.2 信息安全的协调如果从组织的规模方面来说是合适的,则可以建立一个由来自于组织内部有关部门的管理层代表组成的论坛,并被用于协调信息安全控制的实施。
4.2.1.3 信息安全职责的分配对个人资产的保护和执行特定安全过程的责任须应该明确定义。
64.2.1.4 信息处理设施的授权过程新信息处理设施的管理授权过程将被建立起来。
4.2.1.5 专家信息安全建议有关信息安全的建议将由内部人员或外部专家所提供,并且在组织内部沟通交流。
4.2.1.6 各机构之间的协作与法律实施权威、管理机构、信息服务供应商和电讯经营者之间的适当联络将要被维护和保持。
4.2.1.7 信息安全的独立检查信息安全策略的实施将被独立审查。
4.2.2第三方访问的安全目标:维护被第三方访问的信息处理设施和信息资产的安全。
4.2.2.1第三方访问的风险的识别与来自于第三方的对组织的信息处理设施的访问相联系的风险应该被评估,并且合适的安全控制应该被实现。
4.2.2.2在第三方合同中的安全要求有任何涉及第三方访问组织的信息处理设施的安排时,须签订一个正式的包含所有必须的安全要求的合同。
4.2.3外部采购目标:当为了信息处理而需要向外部的其他组织采购时,维持信息的安全。
4.2.3.1 在外购合同中的安全要求在组织外购的安全要求中,全部或部分的信息系统、网络和/或桌面环境的管理和控制须在由双方协商一致的合同中写明。
74.3资产分类与控制4.3.1资产的可说明性目标:维护对组织资产的适度保护。
4.3.1.1资产的盘点所有重要资产的目录应该起草并加以维护。
4.3.2信息分类目标:保证信息资产得到适度的保护4.3.2.1分类方针信息的分类和相关保护控制将会适合于信息共享和限制的商务需要和这些需要对商务的影响。
4.3.2.2信息标签和处理依据该机构采取的信息分类模式,一套信息标签和处理程序应该被定义。
4.4人员安全4.4.1工作定义和资源中的安全目标:减少因人为的错误、偷窃、欺骗或误用设施而引起的风险。
4.4.1.1工作责任的安全在机构的信息安全策略中所制定的安全角色和职责,应该在工作职责定义的适当地方以文件形式确定下来。
4.4.1.2员工筛选和策略确认对长期雇员的检查在工作申请时就已经定义好了。
84.4.1.3保密协议雇员将签订一份保密协议作为他们的最初条款和雇佣条件的一部分。
4.4.1.4雇佣的条款和条件雇佣的条款和条件应该包括雇员在信息安全方面的责任。
4.4.2 用户培训目标:培养用户的信息安全意识,使用户能在日常工作中用团队的安全策略来要求自己。
4.4.2.1 信息安全教育和培训所有的团队员工,以及相关的第三方用户,都应当接收适当的安全策略培训和机构策略和程序的更新。
4.4.3 安全事故与故障的处理目标:把突发安全事故与故障的危害性降到最低,监控并从中吸取教训。
4.4.3.1 报告突发安全事故突发安全事故应通过适当的管理渠道尽快报告出来。
4.4.3.2 报告安全弱点信息服务的使用者应当记录并报告观察到的和可疑的系统或服务的安全弱点或系统面临的威胁。
4.4.3.3 报告软件故障报告软件故障的程序应该建立并遵循。
4.4.3.4 从事故中吸取教训应建立适当的机制来监测和量化突发安全事件的类型、程度和损失。
94.4.3.5 纠正过程员工对团队对安全策略的违反都应当有一个正式的纠正过程。
4.5物理与环境的安全4.5.1 安全地区目标:防止对业务前提和信息的非授权访问、破坏和干扰。
4.5.1.1 物理安全边界应对包含信息处理设施的地区使用安全的边界。
4.5.1.2 物理接口控制安全地区应该通过合适的入口控制进行保护,从而保证只有合法员工才可以访问这些地区。
4.5.1.3 保护办公室、房间和设施应建立安全地区以保护那些有特殊安全需求的办公室、房间和设施。
4.5.1.4 在安全地区工作在安全地区工作时应采取附加的控制和方针来加强由保护安全地区的物理控制所提供的安全性。
4.5.1.5 隔离的运输和装载地区运输和装载地区应该受到控制,如果可能,应该和信息处理设施隔离开来以避免非授权访问。
4.5.2 设备安全目标:防止资产的丢失、破坏,防止商业活动的中断。
4.5.2.1 设备放置地点的选择与保护设备应当安置在合适的地点并受到保护以减少来自环境的威胁,减少被非授权访问的机会。
104.5.2.2 电源供应设备应当为应对电源失败和电力异常而采取适当的保护措施。
4.5.2.3 电缆安全传输数据和支持信息服务的通讯线路和电力线缆应该受到保护以免被侦听和毁坏。
4.5.2.4 设备维护设备应当根据制造商的说明和使用手册来维护,以保证连续性的可靠性和完整性。
4.5.2.5 在机构外部使用设备时应注意的安全性对在机构外部使用的设备应当建立安全程序和控制。
4.5.2.6 设备应该被安全地处理掉和再使用在设备被处理掉和再使用以前应当删除设备含有的所有信息。
4.5.3 一般控制目标:防止信息和信息处理工具遭受危害和被偷窃。
4.5.3.1 清洁桌面与清洁屏幕策略应当制定并执行清洁桌面与清洁屏幕策略,以减少非授权访问、信息的丢失与毁坏。
4.5.3.2 资产的删除属于机构的设备、信息或软件,未经许可不得擅自删除。
4.6通讯与操作的管理4.6.1 操作过程与职责目标:确保对信息处理设备的操作是正确的、安全的。
114.6.1.1 记录操作过程4.1.1.1中描述的安全策略中标出的操作过程应当被记录并得到相应的维护。
4.6.1.2 针对操作变化的控制信息处理工具和系统的任何变化都应当得到控制。
4.6.1.3 事件管理程序应建立必要的事件管理职责和程序以保证对安全事件能做出迅速、有效以及有序的响应。
4.6.1.4 职责分离应对职责进行分离以便于减少对信息和服务的非授权修改和误用。
4.6.1.5 开发设施与操作设施的分离在项目完成过程中应当将开发测试设施和操作设施分离开来。
4.6.1.6 外部设施管理在使用外部设施管理服务之前,应当弄清楚将要面临的风险、采取订约人认可的控制,并合并到合同中。
4.6.2 系统计划与验收目标:使系统失败的风险减到最小。
4.6.2.1 容量计划应当监测系统容量需求,并对未来的系统容量需求做出计划,以确保采用合适的处理能力和存储容量。
4.6.2.2 系统验收应对新的信息系统及其升级及新版本建立验收标准,并采取相应的测试。
124.6.3 针对恶意软件的防护目标:保护软件及信息的完整性。
4.6.3.1 采取控制来防范恶意软件使用探测与防范措施来防止恶意软件的侵害,并实现合适的提高用户警觉性的程序。
4.6.4 内务处理目标:维护在信息处理和通讯服务中的数据完整性和可靠性。