資源描述:
《信息安全策略》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1���、WORD文檔可編輯信息安全策略技術(shù)資料專業(yè)分享WORD文檔可編輯目錄1.目的和范圍42.術(shù)語和定義43.引用文件54.職責(zé)和權(quán)限65.信息安全策略65.1.信息系統(tǒng)安全組織65.2.資產(chǎn)管理85.3.人員信息安全管理95.4.物理和環(huán)境安全115.5.通信和操作管理135.6.信息系統(tǒng)訪問控制175.7.信息系統(tǒng)的獲取�、開發(fā)和維護(hù)安全205.8.信息安全事故處理235.9.業(yè)務(wù)連續(xù)性管理245.10.符合性要求261附件27技術(shù)資料專業(yè)分享WORD文檔可編輯1.目的和范圍1)本文檔制定了的信息系統(tǒng)安全策略�����,作為信息安全的基本標(biāo)準(zhǔn)�����,是所有安全行為的指導(dǎo)方針����,同
2、時(shí)也是建立完整的安全管理體系最根本的基礎(chǔ)�。2)信息安全策略是在信息安全現(xiàn)狀調(diào)研的基礎(chǔ)上,根據(jù)ISO27001的最佳實(shí)踐�,結(jié)合現(xiàn)有規(guī)章制度制定而成的信息安全方針和策略文檔。本文檔遵守政府制定的相關(guān)法律���、法規(guī)���、政策和標(biāo)準(zhǔn)���。本安全策略得到領(lǐng)導(dǎo)的認(rèn)可,并在公司內(nèi)強(qiáng)制實(shí)施�����。3)建立信息安全策略的目的概括如下:a)在內(nèi)部建立一套通用的���、行之有效的安全機(jī)制��;b)在的員工中樹立起安全責(zé)任感�;c)在中增強(qiáng)信息資產(chǎn)可用性�����、完整性和保密性����;d)在中提高全體員工的信息安全意識(shí)和信息安全知識(shí)水平�。本安全策略適用于公司全體員工,自發(fā)布之日起執(zhí)行��。2.術(shù)語和定義1)解釋信息安全是指保護(hù)信
3、息資產(chǎn)免受多種安全威脅����,保證業(yè)務(wù)連續(xù)性,將安全事件造成的損失降至最小��,同時(shí)最大限度地獲得投資回報(bào)和商業(yè)機(jī)遇��?����?捎眯源_保經(jīng)過授權(quán)的用戶在需要時(shí)可以訪問信息并使用相關(guān)信息資產(chǎn)����。保密性確保只有經(jīng)過授權(quán)的人才能訪問信息。完整性保護(hù)信息和信息的處理方法準(zhǔn)確而完整�。保密信息安全規(guī)章定義的密級(jí)信息。信息安全策略正確使用和管理IT信息資源并保護(hù)這些資源使得它們擁有更好的保密性��、完整性�����、可用性的策略。風(fēng)險(xiǎn)評(píng)估評(píng)估信息安全漏洞對(duì)信息處理設(shè)備帶來的威脅和影響及其發(fā)生的可能性���。風(fēng)險(xiǎn)管理以可以接受的成本��,確認(rèn)�、控制�����、排除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)或?qū)⑵鋷淼奈:ψ钚』倪^程��。技術(shù)資料
4�����、專業(yè)分享WORD文檔可編輯計(jì)算機(jī)機(jī)房裝有計(jì)算機(jī)主機(jī)���、服務(wù)器和相關(guān)設(shè)備的���,除了安裝和維護(hù)的情況外,不允許人員在里邊工作的專用房間���。員工在系統(tǒng)內(nèi)工作的正式員工、雇傭的臨時(shí)工作人員。用戶被授權(quán)能使用IT系統(tǒng)的人員����。信息資產(chǎn)與信息系統(tǒng)相關(guān)聯(lián)的信息、信息的處理設(shè)備和服務(wù)�����。信息資產(chǎn)責(zé)任人是指對(duì)某項(xiàng)信息資產(chǎn)安全負(fù)責(zé)的人員����。合作單位是指與有業(yè)務(wù)往來的單位,包括承包商�����、服務(wù)提供商�、設(shè)備廠商、外包服務(wù)商�、貿(mào)易伙伴等。第三方訪問指非本單位的人員對(duì)信息系統(tǒng)的訪問�。IT外包服務(wù)是指企業(yè)戰(zhàn)略性選擇外部專業(yè)技術(shù)和服務(wù)資源,以替代內(nèi)部部門和人員來承擔(dān)企業(yè)IT系統(tǒng)或系統(tǒng)之上的業(yè)務(wù)流程的運(yùn)營�����、
5、維護(hù)和支持的IT服務(wù)���。安全事件利用信息系統(tǒng)的安全漏洞�,對(duì)信息資產(chǎn)的保密性����、完整性和可用性造成危害的事件。故障是指信息的處理���、傳輸設(shè)備運(yùn)行出現(xiàn)意外障礙���,以至影響信息系統(tǒng)正常運(yùn)轉(zhuǎn)的事件。安全審計(jì)通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中用來跟蹤用戶活動(dòng)的過程����。超時(shí)設(shè)置用戶如果超過特定的時(shí)限沒有進(jìn)行動(dòng)作,就觸發(fā)其他事件(如斷開連接�����、鎖定用戶等)��。1)詞語使用必須表示強(qiáng)制性的要求�����。應(yīng)當(dāng)好的做法所要達(dá)到的要求,條件允許就要實(shí)施�����?�?梢员硎鞠M_(dá)到的要求�����。1.引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款����。凡是注日期的引用文件�,其隨后所有的修改單(不
6、包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)���,然而�����,鼓勵(lì)各部門研究是否可使用這些文件的最新版本���。凡是不注日期的引用文件�����,其最新版本適用于本標(biāo)準(zhǔn)��。1)ISO/IEC27001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系要求技術(shù)資料專業(yè)分享WORD文檔可編輯1)ISO/IEC17799:2005信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則1.職責(zé)和權(quán)限信息安全管控委員會(huì):負(fù)責(zé)對(duì)信息安全策略進(jìn)行編寫�、評(píng)審��,監(jiān)督和檢查公司全體員工執(zhí)行情況����。2.信息安全策略目標(biāo):為信息安全提供管理指導(dǎo)和支持,并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致�����。1)策略下發(fā)本策略必須得到管理層批準(zhǔn)�����,并向所
7���、有員工和相關(guān)第三方公布傳達(dá)��,全體人員必須履行相關(guān)的義務(wù)�,享受相應(yīng)的權(quán)利,承擔(dān)相關(guān)的責(zé)任�。2)策略維護(hù)本策略通過以下方式進(jìn)行文檔的維護(hù)工作:必須每年按照《風(fēng)險(xiǎn)評(píng)估管理程序》進(jìn)行例行的風(fēng)險(xiǎn)評(píng)估,如遇以下情況必須及時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估:a)發(fā)生重大安全事故b)組織或技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生重大變更c(diǎn))安全管理小組認(rèn)為應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的d)其他應(yīng)當(dāng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的情形風(fēng)險(xiǎn)評(píng)估之后根據(jù)需要進(jìn)行安全策略條目修訂��,并在內(nèi)公布傳達(dá)�����。3)策略評(píng)審每年必須參照《管理評(píng)審程序》執(zhí)行公司管理評(píng)審����。4)適用范圍適用范圍是指本策略使用和涵蓋的對(duì)象�,包括現(xiàn)有的業(yè)務(wù)系統(tǒng)、硬件資產(chǎn)���、軟件資產(chǎn)�、信息��、通用
8���、服務(wù)���、物理安全區(qū)域等�����。對(duì)于即將投入使用和今后規(guī)劃的信
