信息技术 安全技术 信息安全管理实用规则
sa3标准
sa3标准
SA3标准是指《信息技术安全技术信息安全管理实用规则》(GB/T 20984-2007)中的一项标准。
该标准规定了信息安全管理的基本原则、目标和要求,以及实施信息安全管理的具体步骤和方法。
根据SA3标准,信息安全管理应包括以下内容:
1. 制定信息安全政策:组织应制定明确的信息安全政策,明确组织的信息安全目标、原则和要求,为信息安全管理提供指导。
2. 建立信息安全组织结构:组织应设立专门的信息安全管理部门或人员,负责组织内部信息安全管理工作。
3. 进行信息安全风险评估:组织应定期对信息系统的安全风险进行评估,识别潜在的安全威胁和漏洞,并采取相应的控制措施。
4. 制定信息安全管理计划:组织应根据风险评估结果,制定详细的信息安全管理计划,包括安全目标、控制措施、责任分工等内容。
5. 实施信息安全控制措施:组织应按照信息安全管理计划,采取各种技术和管理手段,确保信息系统的安全性。
6. 进行信息安全培训和宣传:组织应对员工进行信息安全培训,提高员工的安全意识和技能,同时加强信息安全的宣传工作。
7. 建立信息安全审计机制:组织应定期对信息安全管理工作进行审计,检查安全控制措施的有效性,发现问题并及时整改。
8. 建立应急响应机制:组织应建立完善的应急响应机制,对突发的安全事件进行快速、有效的处置,减少损失。
9. 持续改进信息安全管理:组织应不断总结经验教训,改进信息安全管理工作,提高信息系统的安全性能。
信息安全管理实用规则
信息安全管理实用规则信息安全是现代社会中一个非常重要的话题。
随着技术的不断发展和互联网的普及,信息安全对于个人、企业和国家已经变得至关重要。
为了保护信息安全,我们需要遵守一些实用的规则。
本文将介绍一些信息安全管理的实用规则,以帮助大家更好地保护自己的信息。
1. 密码管理密码是我们保护个人信息的第一道防线。
一个强密码是由数字、字母和特殊字符组成的,并且长度不少于8位。
每个账户都应该使用不同的密码,并且定期更改密码,以防止被破解。
同时,不要将密码保存在明文中,最好使用密码管理软件来存储和管理密码。
2. 防止钓鱼网站钓鱼网站是指那些冒充合法机构网站的欺诈网站,目的是获取用户的个人信息和账户信息。
为了防止成为钓鱼网站的受害者,我们应该养成检查网站链接的习惯,不轻易点击来历不明的链接,并且在访问银行、支付平台等敏感网站时,直接输入网址而不是通过搜索引擎访问。
3. 防止恶意软件恶意软件是指那些具有恶意目的的软件,如病毒、木马、勒索软件等。
为了防止恶意软件侵入我们的设备,我们应该定期更新操作系统和应用程序,安装杀毒软件,并且不随意下载来历不明的文件和应用。
4. 保护个人隐私个人隐私是我们的基本权利,也是信息安全的重要方面。
我们应该警惕在网上泄露个人隐私的风险,不随意提供个人信息给不可信的网站和应用程序。
在公共场合,要注意避免他人窥屏或偷窥个人信息。
5. 定期备份数据数据的丢失是很常见的情况,无论是硬件故障还是恶意攻击。
为了防止数据的丢失,我们应该定期备份重要的数据,可以选择使用云存储或外部存储设备进行备份。
6. 强化网络安全意识信息安全是一个共同的责任,每个人都应该加强对网络安全的认识和意识。
我们可以通过参加信息安全培训、关注信息安全相关的新闻和动态,并与身边的人分享安全知识来提升我们的网络安全意识。
总结信息安全是我们生活中不可忽视的一部分。
通过遵守上述的实用规则,我们可以更好地保护自己的信息安全,减少信息泄露和损失的风险。
ISO27002-2019中文版
ISO/IEC 27002信息技术-安全技术-信息安全控制实用规则Information technology-Security techniques-Code of practice for information security controls目次前言 (I)引言 (II)0 简介 (II)0.1背景和环境 (II)0.2信息安全要求 (II)0.3选择控制措施 (III)0.4编制组织的指南 (III)0.5生命周期的考虑 (III)0.6相关标准 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 本标准的结构 (1)4.1章节 (1)4.2控制类别 (1)5 信息安全策略 (2)5.1信息安全的管理方向 (2)6 信息安全组织 (4)6.1内部组织 (4)6.2移动设备和远程工作 (6)7 人力资源安全 (9)7.1任用之前 (9)7.2任用中 (10)7.3任用的终止或变更 (13)8 资产管理 (13)8.1对资产负责 (13)8.2信息分类 (15)8.3介质处置 (17)9 访问控制 (19)9.1访问控制的业务要求 (19)9.2用户访问管理 (21)9.3用户职责 (24)9.4系统和应用访问控制 (25)10 密码学 (28)10.1密码控制 (28)11 物理和环境安全 (30)11.1安全区域 (30)11.2设备 (33)12 操作安全 (38)12.1操作规程和职责 (38)12.2恶意软件防护 (41)12.3备份 (42)12.4日志和监视 (43)12.5运行软件的控制 (45)12.6技术脆弱性管理 (46)12.7信息系统审计考虑 (48)13 通信安全 (49)13.1网络安全管理 (49)13.2信息传递 (50)14 系统获取、开发和维护 (54)14.1信息系统的安全要求 (54)14.2开发和支持过程中的安全 (57)14.3测试数据 (62)15 供应商关系 (62)15.1供应商关系的信息安全 (62)15.2供应商服务交付管理 (66)16 信息安全事件管理 (67)16.1信息安全事件和改进的管理 (67)17 业务连续性管理的信息安全方面 (71)17.1信息安全连续性 (71)17.2冗余 (73)18 符合性 (74)18.1符合法律和合同要求 (74)18.2信息安全评审 (77)参考文献 (79)前言ISO(国际标准化组织)和IEC(国际电工委员会)是为国际标准化制定专门体制的国际组织。
ISO/IEC-27003(CN)信息技术-安全技术 信息安全管理体系实施指南
信息技术安全技术信息安全管理实用规则
信息技术安全技术信息安全管理实用规则信息技术安全技术是保护计算机系统和网络免受未经授权访问、使用、披露、破坏、干扰、篡改、破解以及恶意软件等威胁的一系列措施。
随着信息技术的快速发展,信息安全已经成为各个领域中的重要问题。
为了有效地保护信息安全,需要遵循一些实用规则。
本文将介绍几个信息安全管理实用规则。
首先,建立完善的信息安全管理体系。
信息安全管理体系是指通过制定政策和相应的安全制度,确保组织内部和外部的各方遵守信息安全要求,并对信息资产进行有效的管理和控制。
建立完善的信息安全管理体系可以对各种安全问题进行全面管理和风险控制。
其次,加强对员工的安全教育培训。
员工是组织信息安全的最前线,他们的安全意识和行为直接影响到信息安全的实施效果。
因此,对员工进行定期的安全教育培训非常重要。
培训内容可以包括密码安全、网络安全、病毒防范、社交工程等方面的内容,让员工了解各种安全威胁和应对措施,从而有效地预防和应对安全事件。
第三,实施严格的访问控制措施。
访问控制是指对系统或网络资源的访问进行授权和管理的过程。
通过实施严格的访问控制措施,可以确保只有经过授权的人员才能够访问系统和网络资源,从而有效地防止未经授权的访问和滥用。
常见的访问控制措施包括密码策略、双因素认证、访问控制列表等。
第四,加强对系统和网络的监控和审计。
监控和审计是追踪系统和网络活动的过程,通过实时监控和后期审计可以发现潜在的安全威胁和异常行为。
这些活动可以包括对系统日志的记录和分析、入侵检测和防御系统的运行等。
通过加强对系统和网络的监控和审计,可以及时发现并应对安全事件,保障信息安全。
最后,建立紧急响应机制和灾难恢复计划。
即使实施了各种安全防护措施,也不能完全消除安全威胁的存在。
因此,建立紧急响应机制和灾难恢复计划非常重要。
在安全漏洞被发现或者安全事件发生时,可以快速采取相应的应对措施,最大程度地减少损失,并能够迅速恢复到正常的运营状态。
综上所述,信息安全管理实用规则包括建立完善的信息安全管理体系、加强员工安全教育培训、实施严格的访问控制措施、加强系统和网络的监控和审计,以及建立紧急响应机制和灾难恢复计划。
信息安全管理规范和保密制度模板范文
信息安全管理规范和保密制度模板范文一、总则1. 为促进企业信息安全管理,保障企业重要信息资产的安全性、完整性和可用性,遵守相关法律法规,制定本规范。
2. 本规范适用于全体员工、外聘人员和供应商,并穿透至企业相关合作方。
3. 所有员工必须严格遵守本规范的要求。
二、信息资产分类和保护等级1. 信息资产分为公开信息、内部信息和机密信息。
2. 具体的信息保护等级及措施由信息安全管理部门按照相关标准进行制定。
三、信息安全责任1. 企业领导层要高度重视信息安全工作,制定相关政策及目标,并进行监督。
2. 信息安全管理部门负责制订、实施、评估和监督信息安全相关制度和措施,监控信息安全风险。
3. 各部门主管负责本部门信息安全工作的组织和落实。
四、信息安全管理措施1. 员工入职时应签署保密协议,并接受相关培训。
2. 严格控制权限,所有员工只能访问其工作所需的信息,禁止私自访问不相关信息。
3. 确保网络和系统的安全性,包括定期更新设备软件、加密网络访问等。
4. 定期检查网络设备和系统,发现及时修复漏洞。
5. 加强对外部供应商、合作伙伴的信息安全管理,签署保密协议并进行监督。
6. 实施通信和数据加密措施,确保敏感信息在传输过程中的安全。
7. 定期备份关键数据,确保数据完整性和可用性。
8. 加强物理安全管理措施,包括防灾、防泄密、防火等。
五、信息安全事件处理1. 组织相关人员对信息安全事件进行调查、记录和报告。
2. 及时进行事故响应和应急处理,尽力减少损失。
3. 开展对信息安全事件的分析及评估,并进行改进措施的制定和落实。
六、信息安全教育和培训1. 针对全体员工及时开展相关信息安全培训,提高员工的信息安全意识。
2. 定期组织信息安全知识竞赛,对于表现优秀的员工进行奖励。
七、制度的监督和评估1. 建立信息安全管理评估机制,定期对信息安全制度进行评估,并进行修订和完善。
2. 对违反保密规定的行为进行相应的惩处和纠正。
八、附则本规范的解释权归公司信息安全管理部门所有。
国家标准信息安全管理实用规则
国家标准《信息技术安全技术网站可信标识技术指南》编制说明一、任务来源《信息技术安全技术网站可信标识技术指南》是全国信息安全标准化技术委员会2011年下达的信息安全国家标准制定项目,在中国电子技术标准化研究院指导下,由上海凭安网络科技有限公司(原牵头单位为上海格尔软件股份有限公司)主要负责起草,奇虎360,金山网络,腾讯科技,百度在线,北京天威诚信,上海CA,河南CA,CFCA,北京CA,中国信息安全认证中心,无线网络安全技术国家工程实验室,北龙中网,四川大学计算机学院网络与可信计算研究所等单位共同参与了该标准的起草工作。
二、编制原则本标准编制过程中,考虑到该标准在整个网站可信认证体系中的定位,是一个基础性、技术性的标准,网站可信标识是基于第三方认证的网站可信认证体系技术核心组件,各方都需要根据此标准进行交互,同时基于第三方认证的网站可信认证体系也致力于通过自主算法打造具有我国特色的认证框架,因此制定此标准考虑以下需求:•安全性:可信标识必须唯一性,不可复制与伪造,不依赖于其它方式具有自身可验证。
•互操作性:可信标识是认证体系各方操作组件,必须是开放的体系,并且数据格式都要详细定义.•扩展性:可信标识承载了已知的认证信息,也将承载未知的信息,因此必须具备内容和格式的扩展性。
•可实施性:可信标识对于认证体系的各方都具备简单、易用等特点.基于以上需求,本标准制定时遵循以下原则:•采用的可靠的安全体系(PKI)•遵循国家密码相关政策(SM2)•充分参考已有的标准规范(ASN.1,X509,LDAP)•支持网站部署模式的多样性三、主要工作过程1.2011年3月申请标准.上海格尔软件根据前期的工作实践,提出向标准的申请,编写了标准的基本内容;2.2011年4—11月试点。
上海格尔软件与奇虎360进行产品调试,验证了基于可信标识的网站认证体系的可行性;3.2011年12月标准工作任务正式下达,上海格尔与多家互联网厂商、认证机构以及第三方的技术支持部门成立了标准编制组,召开该标准编制启动工作会议。
ISMS真题汇总-(基础) - 1要求
要求-体系标准集信息安全管理的标准族【多选】【2016-06】信息安全管理的标准族在“信息技术-安全技术”的总标题下包括的国标标准有()A、ISO/IEC 27000B、ISO/IEC 27001C、ISO 19011D、ISO/IEC 27005【解析】ABD『M037』【单选】在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会(A)ISO/IEC JTC SC27(B)ISO/IEC JTC SC40(C)ISO/IEC TC27(D)ISO/IEC TC40【解析】A『S621』【单选】GB/T22080-2016/ISO/IEC27001-2013《信息技术安全技术信息安全管理体系要求》是由()提出并归口。
(A)全国信息技术标准化技术委员会(B)全国信息安全标准化技术委员会(C)全国认证认可标准化技术委员会(D)全国公共安全基础标准化技术委员会【解析】B 『S667』【单选】【2017-03】信息安全管理体系标准族中关于信息安全风险管理的标准是()(A)ISO/IEC27002(B)ISO/IEC27003(C)ISO/IEC27004(D)ISO/IEC27005【解析】D『S516』【单选】信息安全管理领域权威的标准是:(A)ISO15408(B) ISO 17799/ISO27001(英) (C) ISO9001 (D) ISO14001 【解析】B『S372』描述概述和术语的标准27000信息技术-安全技术-信息安全管理体系-概述和词汇描述要求的标准27001信息技术-安全技术-信息安全管理体系-要求27006信息技术-安全技术-提供信息安全管理体系审计和认证的机构的要求描述一般指南的标准27002信息技术-安全技术-信息安全控制实用规则27003信息技术-安全技术-信息安全管理体系实施指南27004信息技术-安全技术-信息安全管理-测量27005信息技术-安全技术-信息安全风险管理27007信息技术-安全技术-信息安全管理体系审计指南27008信息技术-安全技术-审计人员关于信息安全控制的指导原则27013信息技术-安全技术-关于综合实施ISO/IEC 27001和ISO/IEC 20000-1的指南27014信息技术-安全技术-信息安全治理TR 27016信息技术-安全技术-信息安全管理-组织经济学描述特定行业指南的标准27011 电信信息技术-安全技术-基于ISO/IEC 27002的电信组织信息安全管理指南GBT22080-2016 ISO/IEC 27001 要求【单选】【2017-03】信息安全体系的要求类标准是:A 22080-2016 B22081-2008 C ISO/IEC27003 D ISO/IEC27004【解析】A『S669』【单选】ISMS标准族中,要求类标准是()(A) ISO27002 (B)ISO27001和ISO27003 (C)ISO27002和ISO27006 ( D ) ISO27001 和ISO27006【解析】D『S670』【单选】ISO/IEC 27001 是( )A)以信息安全为主题的管理标准B)与信息安全相关的技术性标准C)编制业务连续性计划的指南D)以上都不是【解析】A『S257』【单选】【2018-03】组织应按照本标准的要求()信息安全管理体系A 策划、实现、监视和持续改进B 建立、实施、监视和持续改进C 建立、实现、维护和持续改进D 实现、维护和持续改进【解析】C 『S543』GBT22081-2016 ISO/IEC 27002 使用规则【单选】【2016-06】信息安全管理实用规则ISO/IEC 27002 属于()标准A、词汇类标准B、指南类标准C、要求类标准D、技术类标准【解析】B『S109』【单选】【2019-11】《信息技术安全技术信息安全控制实践指南》属于()标准A、词汇类标准B、指南类标准C、要求类标准D、强制标准【解析】B【单选】【2017-03】以下对GBT22081-2016 ISO/IEC 27002:2013 的描述,正确的是()A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS 时,必须满足该标准的所有要求【解析】B『S111』【单选】【2017-09】关于GBT22081-2016 下列说法错误的是:A 该标准是指南类标准B 该标准中给出了ISO27001附录A中所有的控制措施和应用指南C 该标准给出了ISMS的实施指南D 该标准的名称是《信息技术安全技术信息安全管理实用规则》【解析】D『S588』27002信息技术-安全技术-信息安全控制实用规则【单选】【2015-12】【2016-12】【2018-09】关于ISO/IEC27002 标准,以下说法正确的是:()A提供了选择控制措施的指南,可用作信息安全管理体系认证的依据B提供了选择控制措施的指南,不可用作信息安全管理体系认证的依据C提供了信息安全风险评估的指南,是ISO/IEC27001 的构成部分D提供了信息安全风险评估的依据,是实施ISO/IEC27000 的支持性标准【解析】B『S078』ISO/IEC 27004 测量【单选】【2016-12】【2017-09】ISO/IEC27000标准族中关于信息安全测量的标准是()A、27002B、27003C、27004D、27005【解析】C『S167』【单选】【2015-12】【2016-12】旨在评估信息安全管理体系有效性的标准是:A 27001 B27002 C27006 D 27004 【解析】D『S068』ISO/IEC 27014 信息安全治理【单选】【2017-09】《信息技术安全技术信息安全治理》对应的国际标准号为()A27011 B27012 C27013 D27014【单选】【】编号:42 作为信息安全治理的成果,战略方针提供了: A 、企业所需的安全要求 B 、遵从最佳实务的安全基准 C 、日常化、制度化的解决方案 D 、风险暴露的理解 【解析】A 『S486』 词汇变化【单选】【2017-03】【2017-09】下列不属于GBT22080-2016与GBT22080-2008主要关键词变化的是( ) A control 由 措施实施 改为 控制B implement 由 实施 改为 实现C asset owner 有资产责任人 改为 资产拥有者D context of the organization 组织背景 改为 组织环境【解析】D 『S490』ISO/IEC 17799【单选】ISO/IEC 17799源于以下哪个标准?A BS7799-1 B BS7799-2 C BS7799-3 D GB 7799【解析】A BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息技术 安全技术信息安全管理实用规则Information technology-Security techniques-Code of practice for information security management(ISO/IEC 17799:2005)目 次引 言 (III)0.1 什么是信息安全? (III)0.2 为什么需要信息安全? (III)0.3 如何建立安全要求 (III)0.4 评估安全风险 (IV)0.5 选择控制措施 (IV)0.6 信息安全起点 (IV)0.7 关键的成功因素 (V)0.8 开发你自己的指南 (V)1 范围 (1)2 术语和定义 (1)3 本标准的结构 (2)3.1 章节 (2)3.2 主要安全类别 (3)4 风险评估和处理 (3)4.1 评估安全风险 (3)4.2 处理安全风险 (4)5 安全方针 (4)5.1 信息安全方针 (4)6 信息安全组织 (6)6.1 内部组织 (6)6.2 外部各方 (10)7 资产管理 (15)7.1 对资产负责 (15)7.2 信息分类 (16)8 人力资源安全 (18)8.1 任用之前 (18)8.2 任用中 (20)8.3 任用的终止或变化 (21)9 物理和环境安全 (23)9.1 安全区域 (23)9.2 设备安全 (26)10 通信和操作管理 (29)10.1 操作程序和职责 (29)10.2 第三方服务交付管理 (32)10.3 系统规划和验收 (33)10.4 防范恶意和移动代码 (34)10.5 备份 (36)10.6 网络安全管理 (37)10.7 介质处置 (38)10.8 信息的交换 (40)10.9 电子商务服务 (44)10.10 监视 (46)11 访问控制 (50)11.1 访问控制的业务要求 (50)11.2 用户访问管理 (51)11.3 用户职责 (53)11.4 网络访问控制 (55)11.5 操作系统访问控制 (58)11.6 应用和信息访问控制 (62)11.7 移动计算和远程工作 (63)12 信息系统获取、开发和维护 (65)12.1 信息系统的安全要求 (65)12.2 应用中的正确处理 (66)12.3 密码控制 (68)12.4 系统文件的安全 (70)12.5 开发和支持过程中的安全 (72)12.6 技术脆弱性管理 (75)13 信息安全事件管理 (76)13.1 报告信息安全事态和弱点 (76)13.2 信息安全事件和改进的管理 (78)14 业务连续性管理 (80)14.1 业务连续性管理的信息安全方面 (80)15 符合性 (84)15.1 符合法律要求 (84)15.2 符合安全策略和标准以及技术符合性 (87)15.3 信息系统审核考虑 (88)引 言0.1什么是信息安全?象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。
在业务环境互连日益增加的情况下这一点显得尤为重要。
这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。
信息可以以多种形式存在。
它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。
无论信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。
信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。
信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。
在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。
这个过程应与其他业务管理过程联合进行。
0.2为什么需要信息安全?信息及其支持过程、系统和网络都是重要的业务资产。
定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。
各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。
诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。
信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。
在这两部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。
公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。
分布式计算的趋势也削弱了集中的、专门控制的有效性。
许多信息系统并没有被设计成是安全的。
通过技术手段可获得的安全性是有限的,应该通过适当的管理和规程给予支持。
确定哪些控制措施要实施到位需要仔细规划并注意细节。
信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。
外部组织的专家建议可能也是需要的。
0.3如何建立安全要求组织识别出其安全要求是非常重要的,安全要求有三个主要来源:1、一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。
通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。
2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。
3、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。
0.4评估安全风险安全要求是通过对安全风险的系统评估予以识别的。
用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。
风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的优先级以及实现所选择的用以防范这些风险的控制措施。
风险评估应定期进行,以应对可能影响风险评估结果的任何变化。
更多的关于安全风险评估的信息见第4.1节“评估安全风险”。
0.5选择控制措施一旦安全要求和风险已被识别并已作出风险处理决定,则应选择并实现合适的控制措施,以确保风险降低到可接受的级别。
控制措施可以从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。
安全控制措施的选择依赖于组织所作出的决定,该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法,同时还要遵守所有相关的国家和国际法律法规。
本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。
下面在题为“信息安全起点”中将更详细的解释这些控制措施。
更多的关于选择控制措施和其他风险处理选项的信息见第4.2节“处理安全风险”。
0.6信息安全起点许多控制措施被认为是实现信息安全的良好起点。
它们或者是基于重要的法律要求,或者被认为是信息安全的常用惯例。
从法律的观点看,对某个组织重要的控制措施包括,根据适用的法律:a)数据保护和个人信息的隐私(见15.1.4);b)保护组织的记录(见15.1.3);c)知识产权(见15.1.2)。
被认为是信息安全的常用惯例的控制措施包括:a)信息安全方针文件(见5.1.1);b)信息安全职责的分配(见6.1.3);c)信息安全意识、教育和培训(见8.2.2);d)应用中的正确处理(见12.2);e)技术脆弱性管理(见12.6);f)业务连续性管理(见14);g)信息安全事件和改进管理(见13.2)。
这些控制措施适用于大多数组织和环境。
应注意,虽然本标准中的所有控制措施都是重要的并且是应被考虑的,但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。
因此,虽然上述方法被认为是一种良好的起点,但它并不能取代基于风险评估而选择的控制措施。
0.7关键的成功因素经验表明,下列因素通常对一个组织成功地实现信息安全来说,十分关键:a)反映业务目标的信息安全方针、目标以及活动;b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架;c)来自所有级别管理者的可视化的支持和承诺;d)正确理解信息安全要求、风险评估和风险管理;e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识;f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见;g)提供资金以支持信息安全管理活动;h)提供适当的意识、培训和教育;i)建立一个有效的信息安全事件管理过程;j)实现一个测量1系统,它可用来评价信息安全管理的执行情况和反馈的改进建议。
0.8开发你自己的指南本实用规则可认为是组织开发其详细指南的起点。
对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。
为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。
1注意信息安全测量不在本标准范围内。
信息技术 安全技术 信息安全管理实用规则1 范围本标准给出了一个组织启动、实施、保持和改进信息安全管理的指南和一般原则。
本标准列出的目标为通常所接受的信息安全管理的目的提供了指导。
本标准的控制目标和控制措施的实施旨在满足风险评估所识别的要求。
本标准可作为建立组织的安全准则和有效安全管理惯例的实用指南,并有利于在组织间的活动中建立信心。
2 术语和定义下列术语和定义适用于本标准。
2.1 资产asset对组织有价值的任何东西[ISO/IEC 13335-1:2004]。
2.2 控制措施control管理风险的方法,包括策略、规程、指南、惯例或组织结构。
它们可以是行政、技术、管理、法律等方面的。
注:控制措施也用于防护措施或对策的同义词。
2.3 指南guideline阐明应做什么和怎么做以达到方针策略中制定的目标的描述[ISO/IEC TR 13335-1:2004]2.4 信息处理设施information processing facilities任何信息处理系统、服务或基础设施,或放置它们的场所2.5 信息安全information security保持信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等2.6 信息安全事态information security event信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044:2004]2.7 信息安全事件information security incident一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044:2004]2.8 方针policy管理者正式发布的总的宗旨和方向2.9 风险risk事件的概率及其结果的组合[ISO/IEC Guide 73:2002]2.10 风险分析risk analysis系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73:2002]2.11 风险评估risk assessment风险分析和风险评价的整个过程[ISO/IEC Guide 73:2002]2.12 风险评价risk evaluation将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73:2002]2.13 风险管理risk management指导和控制一个组织相关风险的协调活动注:风险管理一般包括风险评估、风险处理、风险接受和风险传递[ISO/IEC Guide 73:2002]2.14 风险处理risk treatment选择并且执行措施来更改风险的过程[ISO/IEC Guide 73:2002]2.15 第三方third party就所涉及的问题被公认为是独立于有关各方的个人或机构[ISO Guide 2:1996]2.16 威胁threat可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-1:2004]2.17 脆弱性vulnerability可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IEC TR 13335-1:2004]3 本标准的结构本标准包括11个安全控制措施的章节(共含有39个主要安全类别)和1个介绍风险评估和处理的章节。