信息安全管理體係建立的通用方法(DOC 63頁)
信息安全管理體係建立的通用方法(DOC 63頁)內容簡介
12.1信息安全管理體係概述
12.1.1什麼是信息安全管理體係
12.1.2信息安全管理體係的作用
12.1.3信息安全管理體係的準備
12.2建立信息安全管理體係原則
12.2.1PDCA原則
12.2.2文件化
12.2.3領導重視
12.2.4全員參與
12.3信息安全管理體係的建立
12.3.1建立信息安全管理體係
12.3.2文件要求
12.3.3文件控製
12.3.4記錄控製
12.4實施和運作信息安全管理體係
12.5監控和評審信息安全管理體係
12.5.1監控信息安全管理體係
12.5.2維護和改進信息安全管理體係
12.5.3信息安全管理體係的管理評審
12.5.3.1評審輸入
12.5.3.2評審輸出
12.5.3.3內部信息安全管理體係審核
12.6信息安全管理體係改進
12.6.1持續改進
12.6.2糾正措施
12.6.3預防措施
12.7控製措施的選擇
12.7.1安全方針
12.7.1.1信息安全方針
12.7.1.2評審與鑒定
12.7.10持續運營管理
12.7.10.1持續運營管理的方麵
12.7.11遵從性
12.7.11.1遵守法律要求
12.7.11.2安全方針和技術依從情況檢查
12.7.11.3係統審核事項
12.7.2安全組織
12.7.2.1信息安全基礎結構
12.7.2.2第三方訪問安全管理
12.7.2.3委外資源管理
12.7.3資產分類與控製
12.7.3.1資產責任
12.7.3.2信息分類
12.7.4人員安全
12.7.4.1崗位定義和資源分配的安全
12.7.4.2用戶培訓
12.7.4.3安全事故和故障的響應
12.7.5物理和環境安全
12.7.5.1安全區域
12.7.5.2設備安全
12.7.5.3常規控製措施
12.7.6通信和操作管理
12.7.6.1操作程序和責任
12.7.6.2係統規劃和接收
12.7.6.3惡意軟件的防護
12.7.6.4內務處理
12.7.6.5網絡管理
12.7.6.6媒體的處理和安全
12.7.6.7信息和軟件的交換
12.7.7訪問控製
12.7.7.1訪問控製的商業要求
12.7.7.2用戶訪問管理
12.7.7.3用戶職責
12.7.7.4網絡訪問控製
12.7.7.5操作係統訪問控製
12.7.7.6應用訪問控製
12.7.7.7監控係統訪問與使用
12.7.7.8移動計算和遠程工作
12.7.8係統開發和維護
12.7.8.1係統的安全需求
12.7.9應用係統中的安全
12.7.9.1加密控製
12.7.9.2係統文件的安全
12.7.9.3開發和支持過程的安全
目標:為信息安全提供管理指導和支持。
目標:保護信息的秘密性,真實性或完整性
目標:保護網絡服務,控製對內部網絡和外部網絡服務的訪問。
目標:保護軟件和信息的完整性。
目標:保持信息處理和通信服務的完整性和可用性。
目標:保持對組織資產的適當保護。
目標:保持應用係統軟件和信息的安全
目標:保證第三方訪問組織的信息處理設備和信息資產時的安全性。
目標:在組織內部管理信息安全。
目標:將係統失效的風險降到最低。
目標:將係統審核過程的利益最大化,將其幹擾最小化。
目標:盡量減小安全事故和故障造成的損失,監督此類事件並吸取教訓。
目標:當把信息處理的責任委托給其他組織時,要確保委外信息的安全性
目標:抵製商業活動的中斷,保護關鍵的商業過程免受主要的故障或災難的影響。
目標:控製對信息的訪問
目標:檢測未授權的行為
目標:確保以一種安全的方式進行IT計劃和支持活動。應當控製對係統文件的訪問。
目標:確保使用可移動的計算和遠程工作設施時的信息的安全。
目標:確保信息資產受到適當級別的保護;
目標:確保對信息處理設備正確和安全的操作。
目標:確保對網絡中信息和支持性的基礎設施的保護。
目標:確保把安全置於信息係統內部。
目標:確保用戶意識到信息安全的威脅和利害關係,並具有在日常工作過程中支持組織安全方針的能力。
目標:確保係統符合組織的安全方針和標準。
目標:避免觸犯任何刑事、民事法律、法規或違反合同約定的責任和任何安全要求。
目標:防止丟失、修改或誤用組織之間交換的信息。
目標:防止丟失,修改或誤用使用者在應用係統中的數據。
目標:防止信息和信息處理設備的損壞或被盜。
目標:防止對信息係統內部的信息的未授權訪問。
目標:防止對信息係統的未授權訪問
目標:防止對商業場所和信息未經授權的訪問、破壞和幹擾。
目標:防止對計算機的未授權訪問
目標:防止未授權的用戶訪問
目標:防止資產損失和商業活動的中斷
目標:防止資產的丟失、損壞或泄漏以及商業活動的中斷。
目標:降低人為錯誤、盜竊、詐騙或誤用設備的風險。
..............................
12.1.1什麼是信息安全管理體係
12.1.2信息安全管理體係的作用
12.1.3信息安全管理體係的準備
12.2建立信息安全管理體係原則
12.2.1PDCA原則
12.2.2文件化
12.2.3領導重視
12.2.4全員參與
12.3信息安全管理體係的建立
12.3.1建立信息安全管理體係
12.3.2文件要求
12.3.3文件控製
12.3.4記錄控製
12.4實施和運作信息安全管理體係
12.5監控和評審信息安全管理體係
12.5.1監控信息安全管理體係
12.5.2維護和改進信息安全管理體係
12.5.3信息安全管理體係的管理評審
12.5.3.1評審輸入
12.5.3.2評審輸出
12.5.3.3內部信息安全管理體係審核
12.6信息安全管理體係改進
12.6.1持續改進
12.6.2糾正措施
12.6.3預防措施
12.7控製措施的選擇
12.7.1安全方針
12.7.1.1信息安全方針
12.7.1.2評審與鑒定
12.7.10持續運營管理
12.7.10.1持續運營管理的方麵
12.7.11遵從性
12.7.11.1遵守法律要求
12.7.11.2安全方針和技術依從情況檢查
12.7.11.3係統審核事項
12.7.2安全組織
12.7.2.1信息安全基礎結構
12.7.2.2第三方訪問安全管理
12.7.2.3委外資源管理
12.7.3資產分類與控製
12.7.3.1資產責任
12.7.3.2信息分類
12.7.4人員安全
12.7.4.1崗位定義和資源分配的安全
12.7.4.2用戶培訓
12.7.4.3安全事故和故障的響應
12.7.5物理和環境安全
12.7.5.1安全區域
12.7.5.2設備安全
12.7.5.3常規控製措施
12.7.6通信和操作管理
12.7.6.1操作程序和責任
12.7.6.2係統規劃和接收
12.7.6.3惡意軟件的防護
12.7.6.4內務處理
12.7.6.5網絡管理
12.7.6.6媒體的處理和安全
12.7.6.7信息和軟件的交換
12.7.7訪問控製
12.7.7.1訪問控製的商業要求
12.7.7.2用戶訪問管理
12.7.7.3用戶職責
12.7.7.4網絡訪問控製
12.7.7.5操作係統訪問控製
12.7.7.6應用訪問控製
12.7.7.7監控係統訪問與使用
12.7.7.8移動計算和遠程工作
12.7.8係統開發和維護
12.7.8.1係統的安全需求
12.7.9應用係統中的安全
12.7.9.1加密控製
12.7.9.2係統文件的安全
12.7.9.3開發和支持過程的安全
目標:為信息安全提供管理指導和支持。
目標:保護信息的秘密性,真實性或完整性
目標:保護網絡服務,控製對內部網絡和外部網絡服務的訪問。
目標:保護軟件和信息的完整性。
目標:保持信息處理和通信服務的完整性和可用性。
目標:保持對組織資產的適當保護。
目標:保持應用係統軟件和信息的安全
目標:保證第三方訪問組織的信息處理設備和信息資產時的安全性。
目標:在組織內部管理信息安全。
目標:將係統失效的風險降到最低。
目標:將係統審核過程的利益最大化,將其幹擾最小化。
目標:盡量減小安全事故和故障造成的損失,監督此類事件並吸取教訓。
目標:當把信息處理的責任委托給其他組織時,要確保委外信息的安全性
目標:抵製商業活動的中斷,保護關鍵的商業過程免受主要的故障或災難的影響。
目標:控製對信息的訪問
目標:檢測未授權的行為
目標:確保以一種安全的方式進行IT計劃和支持活動。應當控製對係統文件的訪問。
目標:確保使用可移動的計算和遠程工作設施時的信息的安全。
目標:確保信息資產受到適當級別的保護;
目標:確保對信息處理設備正確和安全的操作。
目標:確保對網絡中信息和支持性的基礎設施的保護。
目標:確保把安全置於信息係統內部。
目標:確保用戶意識到信息安全的威脅和利害關係,並具有在日常工作過程中支持組織安全方針的能力。
目標:確保係統符合組織的安全方針和標準。
目標:避免觸犯任何刑事、民事法律、法規或違反合同約定的責任和任何安全要求。
目標:防止丟失、修改或誤用組織之間交換的信息。
目標:防止丟失,修改或誤用使用者在應用係統中的數據。
目標:防止信息和信息處理設備的損壞或被盜。
目標:防止對信息係統內部的信息的未授權訪問。
目標:防止對信息係統的未授權訪問
目標:防止對商業場所和信息未經授權的訪問、破壞和幹擾。
目標:防止對計算機的未授權訪問
目標:防止未授權的用戶訪問
目標:防止資產損失和商業活動的中斷
目標:防止資產的丟失、損壞或泄漏以及商業活動的中斷。
目標:降低人為錯誤、盜竊、詐騙或誤用設備的風險。
..............................
下一篇:尚無數據