ISO27001:2013访问控制策略
ISO/IEC 27001:2013信息安全管理体系要求-20140706
4.1 了解组织和它的背景 组织应确定与 ISMS 相关的目的和影响其达到预期效果的能力的内外部问题。 注:确定这些问题参考 ISO 31000 第 5.3 建立组织的外部和内部环境被考虑。
4.2 理解相关方的需求和期望 组织应确定: a) ISMS 的相关方;和 b) 这些相关方有关信息安全的要求。 注:有关各方的要求可能包括法律、监管规定和合同义务。
信息技术 安全技术 信息安全管理体系 要求
1
1 适用范围
本国际标准规定了在组织的背景下建立、实施、维护和持续改进信息安全管理体系的 要求。本标准还包括根据组织的需要来调整信息安全风险的评估和处置的要求。这个要求 安排在本国际标准中通常并有意应用到所有组织,不论组织类型、规模或性质。当一个组 织声称其符合此国际标准但没有达到 4 到 10 章规定的要求,是不可接受的。
4.3 确定 ISMS 的范围 组织应确定 ISMS 的边界和适用性,以确定其范围。 在确定此范围时,组织应考虑: a) 4.1 提及的外部和内部的问题; b) 4.2 提及的要求;和 c) 接口和执行组织之间活动被执行的依赖关系,以及其他组织的相关活动。 范围应可成为文档化信息。
4.4 ISMS 组织应按照本国际标准的要求建立、实施、保持和持续改进 ISMS。
5 领导力
2
5.1 领导力和承诺 最高管理者应展示关于 ISMS 的领导力和承诺: a) 确保信息安全方针和信息安全目标被建立,并与组织战略方向兼容; b) 确保信息安全管理体系的要求集成到组织的过程中; c) 确保信息安全管理体系所需要的资源是可用的; d) 传达有效的信息安全管理和符合信息安全管理体系要求的重要性; e) 确保信息安全管理体系达到其预期的效果; f) 指导和支持员工,有助于信息安全管理体系的效率; g) 推进持续改进;和 h) 支持其他相关管理角色展示他们的领导力,同样适用于他们的职责范围。
ISO27001:2013信息系统安全管理规范
信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。
对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制机房做为设备的集中地,对于进入有严格的要求。
只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。
系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。
严格遵守机房管理制度。
3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的用户进入到公司网络中。
第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。
为防止主机系统被不安全访问,采取以下措施:操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员保密。
在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商;调试一结束系统管理员马上更改口令。
对口令设定必需满足以下规范:5、数据库访问控制为有效的保障业务数据的安全,采取以下措施:数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。
口令必须1个月做一次修改。
业务系统后台数据库对象创建用户的口令由数据库管理员设定,由技术研发部审核。
不能向其他人开放。
口令必须1个月做一次修改。
对口令设定必需满足以下规范:根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。
不同的操作需求开放不同权限的用户。
除技术研发部的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理,必须由技术研发部人员执行。
6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:所有应用级的操作用户及初始口令统一由技术研发部设定,以个人邮件的形式分别发给各部门的操作人员。
ISO27001:2013信息安全管理体系 全套程序 35网络连接控制策略
该策略的目的是建立网络访问和使用规则。
适用范围
该策略适用于访问任何信息资源的所有人。
内容
只允许用户访问安全公布的网址;
用户不可以私自下载、安装或运行软件或应用程序,发现或揭露系统的安全薄弱点。
不允许用户以任何方式更换网络硬件。
公共文件服务器应建立相应权限的用户并设置密码,个人使用离开时,应断开连接。
网络连接控制策略
发布部门
技术部(运维组)
生效时间
2009年7月1日
批准人
张德洲
文件编号
JSWLS/IS-65-2009
介绍
自有计算机网络以来,网络安全就成为网络使用者不得不面对的问题。随着网络应用的飞速发展、Internet应用的日益广泛,计算机网络安全问题变得尤为突出这使人们对信息安全问题更加关注,建立完善的网络安全方案、保护核心资源已迫在眉睫。
未经技术部(运维组)允许,不得使用各类下载软件。
各类HUB,集线器等设备,不得随意连接或移动,未经允许。不得自组简易局域网
可无线上网的设备,不得随便接入不安全的网络,不可私自架设无线网络
ISO27001:2013通信安全管理制度
XXXXXX软件有限公司人性化科技提升业绩通信安全管理制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. Internet访问控制 (2)5. 网络隔离 (3)6. 无线网络访问管理 (3)7. 信息交流控制措施 (3)1.目的和范围通过控制网络访问权限以及公司与外部的信息传递,防止对办公网系统和应用系统的非法访问。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理,用户必须按照本管理规范访问公司办公网系统和应用系统。
4.Internet访问控制1)所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。
2)客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet,客户及第三方人员如需访问Internet应当在专设的隔离区进行。
5.网络隔离1)公司与外部通过防火墙隔离,制定严格的VLAN划分,对公司内重要部门的访问进行控制。
2)系统服务部制定VLAN访问控制说明。
3)对不同的应用系统的用户信息及其他信息进行网络隔离。
6.无线网络访问管理服务部对无线网络进行密码控制管理;员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。
7.信息交流控制措施1)信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等;2)可交流的信息,须符合《信息资产分类分级管理制度》里的密级规定;3)公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求;4)对信息交流应作适当的防范,如不要暴露敏感信息,避免被通过电话偷听或截取;5)员工、合作方以及任何其他用户不得损害公司的利益,如诽谤、骚扰、假冒、未经授权的采购等;6)不得将敏感或关键信息放在打印设施上,如复印机、打印机和传真,防止未经授权人员的访问;7)在使用电子通信设施进行信息交流时,所考虑的控制包括:保护以附件形式传输的电子信息的程序;。
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序
ISO27001-2013信息安全管理体系风险和机遇识别评价分析及应对措施控制程序1.目的和范围为了规定公司所采用的信息安全风险评估方法。
通过识别信息资产、风险等级评估本公司的信息安全风险,选择合适控制目标和控制方式将信息安全风险控制在可接受的水平,保持业务持续性发展,以满足信息安全管理方针的要求,特制订本制度。
本制度适用信息安全管理体系范围内信息安全风险评估活动。
2.引用文件1)下列文件中的条款通过本制度的引用而成为本制度的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本制度,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本制度。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)ISO/IEC 27005:2008《信息技术-安全技术-风险管理》5)《GB/T 20984-2007信息安全风险评估指南》3.职责和权限1)信息安全管理领导小组:负责汇总确认《信息安全风险评估表》,并根据评估结果形成《信息安全风险评估报告》和《残余风险批示报告》。
2)公司全体员工:在信息安全管理领导小组协调下,负责本部门使用或管理的资产的识别和风险评估;负责本部门所涉及的资产的具体安全控制工作。
信息安全管理员在本部门信息资产发生变更时,需要及时清点和评估,并报送信息安全管理领导小组更新《信息安全风险评估表》。
4.风险管理方法通过定义风险管理方法,明确风险接受准则与等级,确保能产生可比较且可重复的风险评估结果。
(如图1)风险管理流程图图1风险管理流程图4.1.风险识别通过进行风险识别活动,识别了以下内容:1)识别了信息安全管理体系范围内的资产及其责任人;2)识别了资产所面临的威胁;3)识别了可能被威胁利用的脆弱点;4)识别了丧失保密性、完整性和可用性可能对资产造成的影响。
ISO27001:2013访问控制制度
XXXXXX软件有限公司人性化科技提升业绩访问控制制度目录1. 目的和范围 (3)2. 引用文件 (3)3. 职责和权限 (3)4. 用户管理 (3)4.1. 用户注册 (3)4.2. 用户口令管理 (4)5. 权限管理 (4)5.1. 用户权限管理原则 (4)5.2. 用户访问权限设置步骤 (5)6. 操作系统访问控制 (5)6.1. 安全登录制度 (5)6.2. 会话超时与联机时间的限定 (5)7. 应用系统访问控制 (6)8. Internet访问控制 (7)9. 网络隔离 (7)10. 信息交流控制措施 (7)11. 远程访问管理 (8)10.1. 远程接入的用户认证 (8)10.2. 远程接入的审计 (9)12. 无线网络访问管理 (9)13. 笔记本使用及安全配置规定 (9)14. 外部人员使用笔记本的规定 (10)15. 实施策略 (10)16. 相关记录 (10)1.目的和范围通过控制用户权限正确管理用户,实现控制办公网系统和应用系统访问权限与访问权限的分配,防止对办公网系统和应用系统的非法访问,防止非法操作,保证生产系统的可用性、完整性、保密性,以及规范服务器的访问。
本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。
2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则3.职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理,用户必须按照本管理规范访问公司办公网系统和应用系统。
ISO27001访问控制管理程序
文件制修订记录1、适用适用于本公司的各种应用系统涉及到的逻辑访问的控制。
2、目的为对本公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。
3、职责3.1各系统的访问授权管理由管理运营部设置安全框架,由各部门主管视权限和业务情况进行分配、审批。
3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。
3.3管理运营部负责向各部门通知人事变动情况。
4、程序4.1访问控制策略4.1.1公司内部可公开的信息不作特别限定,允许所有用户访问。
4.1.2公司内部部分不公开信息,经访问授权管理运营部认可,访问授权实施部门实施后用户方可访问。
4.1.3本公司限制使用无线网络,对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性(根据敏感程度,可查表获得权限,如IP列表)4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
4.1.5相关部门主管填写《用户权限登记表》,确定访问规则后,由网络管理员开设访问帐号和设置访问权限。
4.1.6为确保含有敏感信息的系统不发生泄密事故,采取措施对敏感系统予以隔离。
采用最小权限、最少用户原则。
4.2用户访问管理4.2.1权限申请4.2.1.1授权流程部门申请——授权管理运营部审批——访问授权部门实施所有用户,包括第三方人员均需要履行访问授权手续。
申请部门根据日常管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向访问授权管理运营部提交《用户权限申请表》,经访问授权管理运营部审核批准后,将《用户权限申请表》交访问授权实施部门实施。
第三方人员的访问申请由负责接待的部门按照上述要求予以办理。
第三方人员一般不允许成为特权用户。
必要时,第三方人员需与访问接待部门签订《第三方保密协议》。
4.2.1.2《用户权限申请表》应对以下内容予以明确:A)权限申请人员;B)访问权限的级别和范围;C)申请理由;D)有效期。
27001-2013新版信息安全管理体系标准解析
ISO27001:2013
A5 安全方针 A6 信息安全组织 A7 人力资源安全 A8 资产管理 A9 访问控制 A10 密码学 A11 物理环境安全 A12 操作安全 A13 通信安全 A14 信息系统的获取、开发和维护 A15 供应商关系 A16 信息安全事件管理 A17 信息安全方面的业务连续性管理 A18 符合性
17
新版本附录A解析 A6
A6 信息安全组织
7
A6.1 内部组织
目标:建立一个管理框架,以启动和控制组织内信息安全的实施和运行。
A6.1.1 信息安全的角色和职责
所有信息安全职责应被定义及分配。
来源
A6.1.3 A8.1.1
A6.1.2 责任分割
A6.1.3 与监管机构的联系 A6.1.4 与特殊利益团体的联系 A6.1.5 项目管理中的信息安全 A6.2 移动设备和远程办公 目标:确保远程办公和使用移动设备的安全性。 A6.2.1 移动设备策略 A6.2.2 远程办公
新版本附录A解析 A5
A5 安全方针
1
来源
A5.1 信息安全管理方针
目标:依据业务要求以及相关的法律法规提供管理指导并支持信息安全。
A5.1.1 信息安全方针文件
信息安全方针文件应该由管理者批准、发布并传递给所有员工和外部相
关方。
A5.1.1
A5.1.2 信息安全方针的评审
应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审,以
应该界定任用终止或变更后依然有信息安全责任和义务的员工或承包方
人员,并进行沟通和执行。
A8.3.1
20
新版本附录A解析 A8
ISO27001:2005
A5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理和环境安全 A10 通信和运作管理 A11 访问控制 A12 信息系统的获取开发以及维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
远程用户应该通过公司批准的连接方式;
在防火墙内部连接内部网络的计算机不允许连接INTERNET,除非获得综合部的批准;
用户不得以任何方式私自安装路由器、交换机、代理服务器、无线网络访问点(包括软件和硬件)等;
在信息网、外联网安装新的服务(包括软件和硬件)必须获得综合部的批准;
公司内部部分公开信息,根据业务需求访问,访问人员提出申请,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问;
公司网络、信息系统根据业务需求访问,访问人员提出申请,认可,实施后用户方可访问;
综合部安全管理员按规定周期对访问授权进行检查和时、员工聘用期限结束时、第三方服务协议中止时;
访问控制策略
发布部门
技术部
生效时间
2015年02月01日
批准人
文件编号
XXXX-A-03-17
介绍
应根据业务和安全要求,控制对信息和信息系统的访问。
目的
该策略的目的是为了控制对信息和信息系统的访问。
适用范围
该策略适用于进行信息和信息系统访问的所有人员。
术语定义
略
访问
控制
策略
公司内部可公开的信息不作特别限定,允许所有用户访问;
用户不得私自撤除或更换网络设备。
惩罚
违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。
引用标准
略