返回
信息安全管理实用规则(27002)

信息安全管理实用规则(27002)

ID:25529515

大小:550.50 KB

页数:95页

时间:2018-11-20

信息安全管理实用规则(27002)_第1页
信息安全管理实用规则(27002)_第2页
信息安全管理实用规则(27002)_第3页
信息安全管理实用规则(27002)_第4页
信息安全管理实用规则(27002)_第5页
资源描述:

《信息安全管理实用规则(27002)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.信息技术安全技术信息安全管理实用规则Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement(ISO/IEC17799:2005)....目次引言III0.1什么是信息安全?III0.2为什么需要信息安全?III0.3如何建立安全要求III0.4评估安全风险IV0.5选择控制措施IV0.6信息安全起点IV0.7关键的成功因素V0.8开发你自己的指南V1范围12术语和定义13本标准的结构23.1章节23.2主要安全类别34风险评估

2、和处理34.1评估安全风险34.2处理安全风险45安全方针45.1信息安全方针46信息安全组织66.1内部组织66.2外部各方107资产管理157.1对资产负责157.2信息分类168人力资源安全188.1任用之前188.2任用中208.3任用的终止或变化219物理和环境安全239.1安全区域239.2设备安全2610通信和操作管理2910.1操作程序和职责2910.2第三方服务交付管理3210.3系统规划和验收3310.4防范恶意和移动代码3410.5备份3610.6网络安全管理3710.7介质处置3810.8信息的交换40....10.9电子

3、商务服务4410.10监视4611访问控制5011.1访问控制的业务要求5011.2用户访问管理5111.3用户职责5311.4网络访问控制5511.5操作系统访问控制5811.6应用和信息访问控制6211.7移动计算和远程工作6312信息系统获取、开发和维护6512.1信息系统的安全要求6512.2应用中的正确处理6612.3密码控制6812.4系统文件的安全7012.5开发和支持过程中的安全7212.6技术脆弱性管理7513信息安全事件管理7613.1报告信息安全事态和弱点7613.2信息安全事件和改进的管理7814业务连续性管理8014.1

4、业务连续性管理的信息安全方面8015符合性8415.1符合法律要求8415.2符合安全策略和标准以及技术符合性8715.3信息系统审核考虑88....引言0.1 什么是信息安全?象其他重要业务资产一样,信息也是对组织业务至关重要的一种资产,因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中(也可参考关于信息系统和网络的安全的OECD指南)。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论

5、信息以什么形式存在,用哪种方法存储或共享,都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害,以确保业务连续性,业务风险最小化,投资回报和商业机遇最大化。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。0.2 为什么需要信息安全?信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重

6、要的。各组织及其信息系统和网络面临来自各个方面的安全威胁,包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁,已经变得更加普遍、更有野心和日益复杂。信息安全对于公共和专用两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者,例如实现电子政务或电子商务,避免或减少相关风险。公共网络和专用网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。许多信息系统并没有被设计成是安全的。通过技术手段可获得的

7、安全性是有限的,应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与,还可能要求利益相关人、供应商、第三方、顾客或其他外部团体的参与。外部组织的专家建议可能也是需要的。0.3 如何建立安全要求组织识别出其安全要求是非常重要的,安全要求有三个主要来源:1、一个来源是在考虑组织整体业务战略和目标的情况下,评估该组织的风险所获得的。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响。....1、另一个来源是组织、贸易伙伴、合同方和服务提供

8、者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境。2、第三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。