8第八章 信息安全管理体系

信息安全管理制度规定内容第一章总则第一条为满足公司信息系统安全管理的需要，保障公司信息安全，提高信息资源管理和利用水平，根据国家有关法律、法规，结合公司实际情况，制定本管理制度。

第二条公司信息安全管理制度是指内部管理体系，包括授予员工权限的原则、保护机密性信息的策略和程序、监控和检测安全事件的方法和程序、预防和应对安全事故的措施、信息资源的保护和安全培训等。

第三条本制度适用于公司全球范围内的信息系统、网络、信息资源、信息处理设备和关键信息基础设施的管理。

第四条公司信息安全管理制度的制定和实施应符合国家相关法律法规，维护国家利益和公共利益，保护公民权益和社会秩序，符合公司经营管理要求，规范公司信息资源的利用。

第五条本制度所称信息安全包括保密性、完整性、可用性和不可抵赖性等方面。

第六条所有公司员工都应当执行信息安全管理制度的规定，维护公司信息资源的安全性。

第二章信息安全管理机构第七条公司设立信息安全管理委员会，负责公司信息安全管理工作的协调、决策和监督。

第八条公司设立信息安全管理部门，负责制定信息安全管理制度和具体实施安全管理工作，包括信息系统的安全策略、特定安全事件的预防和处理。

第九条公司部门领导负责本部门的信息安全保护工作。

第三章信息安全保护责任第十条信息系统的责任者负责该信息系统的安全工作，包括信息系统的设计、实施、操作和维护。

第十一条信息系统管理者需制定信息系统安全管理规章制度，监督和管理本系统的安全工作。

第十二条公司所有员工有责任保护公司的信息资源，任何破坏公司信息安全的行为都将受到制裁。

第四章信息资产管理第十三条公司信息资源应当进行分类、归档和备份。

第十四条公司信息资源的登记、使用、保管、维护和报废等所有环节应当进行严格控制。

第十五条公司信息资源的访问权限应当按照需求进行授权，并且进行审计。

第五章信息系统运行管理第十六条公司信息系统应当进行定期的安全检查和漏洞扫描，及时发现并修复安全风险。

第1篇第一条为加强我国信息安全管理工作，保障信息安全，根据《中华人民共和国网络安全法》等相关法律法规，制定本规定。

第二条本规定适用于我国境内所有组织和个人，包括但不限于政府机关、企事业单位、社会组织、个人等。

第三条信息安全管理工作应当遵循以下原则：（一）依法管理，明确责任；（二）预防为主，防治结合；（三）安全发展，保障利益；（四）技术创新，提升能力。

第四条各级人民政府应当加强对信息安全工作的领导，建立健全信息安全管理体系，完善信息安全保障措施，提高信息安全防护能力。

第五条任何组织和个人都有维护国家网络安全、保护个人信息安全的义务。

第二章信息安全管理制度第六条信息安全管理制度包括以下内容：（一）信息安全组织机构；（二）信息安全职责分工；（三）信息安全政策与规划；（四）信息安全技术措施；（五）信息安全培训与教育；（六）信息安全事件应对与处置；（七）信息安全监督检查。

第七条信息安全组织机构应当包括：（一）信息安全管理部门；（二）信息安全技术部门；（三）信息安全运维部门；（四）信息安全审计部门。

第八条信息安全职责分工：（一）信息安全管理部门负责制定信息安全政策、规划，组织开展信息安全培训与教育，监督检查信息安全工作；（二）信息安全技术部门负责信息安全技术措施的研发、实施与维护；（三）信息安全运维部门负责信息系统的日常运维与安全保障；（四）信息安全审计部门负责信息安全审计工作。

第九条信息安全政策与规划：（一）制定信息安全战略规划，明确信息安全发展方向；（二）制定信息安全管理制度，规范信息安全工作；（三）制定信息安全技术标准，提高信息安全防护能力。

第十条信息安全技术措施：（一）加强网络安全防护，防范网络攻击、入侵等安全风险；（二）加强数据安全保护，确保数据不被非法获取、泄露、篡改；（三）加强个人信息保护，防范个人信息泄露、滥用等风险；（四）加强关键信息基础设施保护，确保关键信息基础设施安全稳定运行。

第十一条信息安全培训与教育：（一）组织信息安全培训，提高员工信息安全意识；（二）开展信息安全教育活动，普及信息安全知识。

信息安全管理体系标准信息安全管理体系标准是指为了保护信息系统和信息资产而建立的一套完整的管理体系。

随着信息技术的飞速发展，信息安全问题日益突出，各种网络攻击、数据泄露事件层出不穷，因此建立和实施信息安全管理体系标准显得尤为重要。

首先，信息安全管理体系标准应当建立在国家法律法规和政策的基础上，充分考虑国家和行业的特点，确保信息安全管理体系的合规性和有效性。

其次，信息安全管理体系标准应当包括信息安全政策、组织结构、人员安全、物理安全、通讯安全、应用系统安全、数据安全、供应商管理、风险管理、应急响应等内容，全面覆盖信息系统和信息资产的安全保护。

在信息安全管理体系标准中，信息安全政策是首要的一环。

信息安全政策应当由高层管理者制定，明确规定信息安全的目标、原则、责任和义务，为信息安全管理体系的建立和实施提供指导和保障。

组织结构和人员安全是信息安全管理体系的重要组成部分，应当明确组织的信息安全管理机构和人员的安全责任，确保信息安全管理体系的有效运行。

物理安全和通讯安全是信息安全管理体系的重点内容，包括机房、设备、网络等的安全保护，防止未经授权的人员和设备进入和访问信息系统，保障信息系统和信息资产的完整性和可靠性。

应用系统安全和数据安全是信息安全管理体系的核心内容，包括应用系统的安全设计、开发、测试和运行，以及数据的安全存储、传输和处理，确保信息系统和信息资产不受恶意攻击和非法访问。

供应商管理、风险管理和应急响应是信息安全管理体系的补充内容，包括供应商的信息安全要求、风险的识别、评估和控制，以及信息安全事件的应急预案和演练，确保信息系统和信息资产在面临各种内外部威胁和风险时能够及时有效地做出应对和处置。

综上所述，信息安全管理体系标准是企业和组织保护信息系统和信息资产的重要手段，建立和实施信息安全管理体系标准能够有效预防和应对各种信息安全威胁和风险，保障信息系统和信息资产的安全可靠运行，提升企业和组织的竞争力和可持续发展能力。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

闫强北京邮电大学 2010-4-14引言 什么是信息安全管理 信息安全管理的PDCA模型 现存问题与发展动态信息安全管理许多组织对信息系统的依赖性不断增长 系统的缺陷是难以避免的 针对信息系统的攻击越来越多 组织中安全性最薄弱的环节是“管理”引言 什么是信息安全管理 信息安全管理的PDCA模型 现存问题与发展动态什么是信息系统安全管理信息是一种资产，像其他重要的业务资产一 样，对信息、对组织具有价值，因此需要妥 善保护。

（ISO/IEC17799）论文 消息 数据 知识 隐私 病例 程序 邮件 方案帐户 信用卡什么是信息系统安全管理（续）信息安全管理是一系列保护组织中信息资产 安全的相互协调的活动。

信息安全系统管理是一个系统工程 信息系统安全管理遵循“木桶原理” 信息系统安全管理是一个动态过程 信息系统安全管理需要一套有效的机制引言 什么是信息安全管理 信息安全管理的PDCA模型 现存问题与发展动态信息安全管理理论什么是信息安全管理体系信息安全管理体系(ISMS: Information Security Management System)是组织 在整体或特定范围内建立的信息安全方针和目 标，以及完成这些目标所用的方法和体系。

它 是直接管理活动的结果，表示为方针、原则、 目标、方法、计划、活动、程序、过程和资源。

信息安全管理理论ISMS的特点ISMS的建立基于系统、全面、科学的安全风险 评估，体现以预防为主的思想，强调遵守国家 有关信息安全的法律、法规及其他合同要求； ISMS强调全过程和动态的控制，安全控制的选 择应给予费用与风险的平衡； ISMS强调保护组织所拥有的关键性资产，而不 是全部信息资产，确保信息的机密性、完整性 和可用性，保持组织的竞争优势和业务的持续 运行。

信息安全管理理论实施ISMS的作用强化员工的信息安全意识，规范组织信息安全 行为 保护组织关键信息资产，维持企业竞争优势 在信息资产受到侵袭时，确保业务持续开展并 将损失降低到最小程度。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

第一章一、填空题1.信息保障的三大要素是______、______、______2.在bs7799信息安全管理体系中，信息安全的主要目标是信息的______、______、______的保持3.信息安全一般包括______、______、信息安全和______四个方面的内容。

4.信息安全管理是通过维护信息的______、______、______等，来管理和保护信息资产的一项体制二、名词解释1.信息安全2.信息安全管理四、论述1.我国信息安全管理现状如何？第二章一、填空题1.BS7799信息安全管理领域的一个权威标准，其最大意义就在于它给______一整套可“______”的信息安全管理要领。

2.SSE-CMM将安全工程划分为三个基本的安全区域，即______、______、______3.SSE-CMM包含了______个级别，我国的信息和信息系统的安全保护等级共分为______级二、名词解释1.信息安全管理体系ISMS2.信息安全等级保护3.信息安全管理体系认证三、简答1．建立ISMS有什么作用？2．可以采用哪些模式引入BS7799？3．我国对于信息和信息系统的安全保护等级是如何划分的？4．SSE-CMM将安全工程划分为哪些基本的过程区域？每一个区域的含义是什么？5.建立信息安全管理体系一般要经过哪些基本步骤？四、论述1.PDCA分为哪几个阶段？每一个阶段的主要任务是什么？2.等级保护的实施分为哪几个阶段？每一个阶段的主要步骤是什么？3.试述BS7799的主要内容。

第三章一、填空题1.资产管理的主要任务是______、______等2.脆弱性分为______、______、______3.风险评估方法分为______、______、______4.OCTAVE是一种信息安全风险评估方法，它指的是______、______、______5.组织根据______与______的原则识别并选择安全控制措施6.风险接受是一个对残留风险进行______和______的过程二、名词解释（1）资产的价值（2）威胁（3）脆弱性（4）安全风险（5）风险评估（6）风险管理（7）安全控制（8）适用性声明三、简答1.叙述风险评估的基本步骤。