10 元
下载资源

(精品)ISOIEC27001标准简介

上传人:痛*** 文档编号:246300831 上传时间:2024-10-13 格式:PPT 页数:92 大小:2.31MB
返回 下载 相关 举报
(精品)ISOIEC27001标准简介_第1页
第1页 / 共92页
(精品)ISOIEC27001标准简介_第2页
第2页 / 共92页
(精品)ISOIEC27001标准简介_第3页
第3页 / 共92页
点击查看更多>>
资源描述
HUAWEI TECHNOLOGIES CO., LTD.,Page,*,单击此处编辑母版标题样式,Huawei Confidential,英文标题,:32-35pt,颜色,: R153 G0 B0,内部使用字体,:,FrutigerNext,LT Medium,外部使用字体,: Arial,中文标题,:,30-32pt,颜色,: R153 G0 B0,字体,:,黑体,英文正文,:20-22pt,子目录,(2-5,级,) :18pt,颜色,:,黑色,内部使用字体,:,FrutigerNext,LT Regular,外部使用字体,: Arial,中文正文,:18-20pt,子目录,(2-5,级,):18pt,颜色,:,黑色,字体,:,细黑体,配色参考方案:,建议同一页面内不超过四种颜色,以下是,13,组配色方案,同一页面内只选择一组使用。(仅供参考),客户或者合作伙伴的标志放在右上角,.,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,英文目录标题,:35-40pt,颜色,: R153 G0 B0,内部使用字体,:,FrutigerNext,LT Medium,外部使用字体,: Arial,中文目录标题,:,35-40pt,颜色,: R153 G0 B0,字体,:,黑体,英文目录正文,:28-30pt,子目录,(2-5,级,) :20-30pt,颜色,:,黑色,内部使用字体,:,FrutigerNext,LT Regular,外部使用字体,: Arial,中文目录正文,:28-30pt,子目录,(2-5,级,):20-30pt,颜色,:,黑色,字体,:,细黑体,Thank you,马毅,90003454,2009,年,5,月,5,日,ISO/IEC 27001,简介,2024/10/13,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,2,BS7799,BS7799 是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标准,。,1995,年,,BS7799-1:1995,信息安全管理实施细则,首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。,1998,年,,BS7799-2:1998,信息安全管理体系规范,公布,这是对,BS7799-1,的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。,1999,年,4,月,,BS7799,的两个部分被重新修订和扩展,形成了一个完整版的,BS7799:1999,。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。,Page,3,ISO/IEC 27002(17799,),2000,年,12,月,国际标准化组织,ISO/IEC JTC 1/SC27,工作组认可,BS7799-1:1999,,正式将其转化为国际标准,即所颁布的,ISO/IEC 17799:2000,信息技术,信息安全管理实施细则,。,2005,年,6,月,,ISO/IEC 17799:2000,经过改版,形成了新的,ISO/IEC 17799:2005,,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。,ISO/IEC 17799 :2005,已更新并在,2007,年,7,月,1,日正式发布为,ISO/IEC 27002:2005,,这次更新只在于标准上的号码,内容并没有改变。,Page,4,ISO/IEC 27001,2002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,,BS7799-2:2002,正式发布,。,2005,年,,BS7799-2:2002,终于被,ISO,组织所采纳,于同年,10,月推出了,ISO/IEC 27001:2005,。,Page,5,对应国内标准,大陆,2005,年,6,月,15,日,我国发布了国家标准,信息安全管理实用规则,(,GB/T,19716-2005,),。该标准修改采用了,ISO/IEC 17799:2000,标准。,2008,年,6,月,19,日,,GB/T,19716-2005,作废,改为,GB/T 22081-2008,。,台湾省,在台湾,,BS7799-1:1999,被引用为,CNS 17799,,而,BS7799-2:2002,则被引用为,CNS 17800,。,Page,6,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,7,17799,标准内容,ISO/IEC,17799:2005,版包括,11,个方面、,39,个控制目标和,133,项控制措施,1),安全方针,7),访问控制,2),信息安全组织,8),信息系统获取、开发和维护,3),资产管理,9),信息安全事故管理,4),人力资源安全,10),业务连续性管理,5),物理和环境安全,11),符合性,6),通信和操作管理,注:详细内容见附录二,Page,8,17799:2000 Vs 17799:2005,ISO/IEC,17799:2005,版的内容与,2000,版相比,新增加了,17,项控制,在,客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证,等方面对原标准做了全新阐释或补充。去掉了原标准中的,9,项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。,Page,9,17799,的适用性,本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南,并非全部适用,,此外,很可能还需要本标准中,未包括,的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的,。,(,引用自,ISO/IEC 17799:2005,中 “,0.8 开发你自己的指南,”,),Page,10,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为,“信息安全起点”。,从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:,a),数据保护和个人信息的隐私(见,15.1.4,);,b),保护组织的记录(见,15.1.3,);,c),知识产权(见,15.1.2,)。,被认为是信息安全的常用惯例的控制措施包括:,a),信息安全方针文件(见,5.1.1,);,b),信息安全职责的分配(见,6.1.3,);,c),信息安全意识、教育和培训(见,8.2.2,);,d),应用中的正确处理(见,12.2,);,e),技术脆弱性管理(见,12.6,);,f),业务连续性管理(见,14,);,g),信息安全事故和改进管理(见,13.2,)。,这些控制措施适用于大多数组织和环境。,(,引用自,ISO/IEC 17799:2005,中 “,0.,6,信息安全起点”,),Page,11,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,12,ISMS(,信息安全管理系统,),ISO/IEC,27001:2005,版通篇就在讲一件事,,ISMS(,信息安全管理系统,),。,本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(,InformationSecurity,Management System,,简称,ISMS,)提供模型。采用,ISMS,应当是一个组织的一项战略性决策。一个组织的,ISMS,的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施,ISMS,,是本标准所期望的,例如,简单的情况可采用简单的,ISMS,解决方案。,本标准可被内部和外部相关方用于一致性评估。,(,引用自,ISO/IEC 27001:2005,中 “,0.,1,总则”,),Page,13,PDCA,(戴明环),PDCA(Plan、Do、Check,和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19 世纪30,年代构想的,后来被戴明(Edwards,Deming)采纳、宣传并运用于持续改善产品质量的过程当中,。,1、P(Plan)-计划,确定方针和目标,确定活动计划;,2、D(Do)-执行,实地去做,实现计划中的内容;,3、C(Check)-检查,总结执行计划的结果,注意效,果,找出问题,;,4、A(Action)-行动,对总结检查的结果进行处理,,成功的经验加以肯定并适当推广、标准化;失败的教,训加以总结,以免重现,未解决的问题放到下一个,PDCA循环。,Page,14,PDCA,特点,大环套小环,小环保大环,推动大循环,PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。,Page,15,PDCA,特点,(,续,),不断前进、不断提高,PDCA,循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的,PDCA,Page,16,PDCA,和,ISMS,的结合,Page,17,与其他标准的兼容性,本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、,GB/T 19001-2000(ISO 9001:2000),和,GB/T 24001-1996(ISO14001:2004),的各条款之间的关系。,本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来,。,(,引用自,ISO/IEC 27001:2005,中 “,0.,3,与其它管理体系的兼容性,”,),注:,ISO 14001:2004,环境管理体系规范及使用指南,ISO 9001:2000,国际性质量管理标准,Page,18,与其他标准的兼容性,(,续,),Page,19,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,20,重点章节,本标准的重点章节是,4,8,章。,前三章的内容结构如下所示:,引言,0.1,总则,0.2,过程方法,0.3,与其他管理体系的兼容性,1,范围,1.1,总则,1.2,应用,2,规范性引用文件,3,术语和定义,Page,21,第四章 信息安全管理体系,4.1,总要求,一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的,ISMS,。就本标准而言,使用的过程基于图,1,所示的,PDCA,模型。,4. 2,建立和管理,ISMS,4.2.1,建立,ISMS(,PLAN,),定义,ISMS,的范围,定义,ISMS,策略,定义系统的风险评估途径,识别风险,评估风险,识别并评价风险处理措施,选择用于风险处理的控制目标和控制,准备适用性声明(,SoA,),取得管理层对残留风险的承认,并授权实施和操作,ISMS,P,D,C,A,Page,22,第四章 信息安全管理体系,(,续,),4.2.2,实施和运行,ISMS(,DO,),制定风险处理计划,实施风险处理计划,实施所选的控制措施以满足控制目标,实施培训和意识程序,管理操作,管理资源(参见,5.2,),实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,Page,23,第四章 信息安全管理体系,(,续,),4.2.3,监控和评审,ISMS(,CHECK,),执行监视程序和控制,对,ISMS,的效力进行定期复审,复审残留风险和可接受风险的水平,按照预定计划进行内部,ISMS,审计,定期对,ISMS,进行管理复审,记录活动和事件可能对,ISMS,的效力或执行力度造成影响,P,D,C,A,Page,24,第四章 信息安全管理体系,(,续,),4.2.4,保持和改进,ISMS(,ACT,),对,ISMS,实施可识别的改进,采取恰当的纠正和预防措施,与所有利益伙伴沟通,确保改进成果满足其预期目标,P,D,C,A,Page,25,第四章 信息安全管理体系,(,续,),4.3,文件要求,总则,文件控制,记录控制,ISO27001,标准所要求建立的,ISMS,是一个文件化的体系,,ISO27001,认证第一阶段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个,ISO27001,认证项目实施过程中,逐步建立并完善文件体系非常重要。,Page,26,第四章 信息安全管理体系,(,续,),ISO27001 标准要求的ISMS,文件体系应该是一个层次化的体系,通常是由四个层次构成的,:,信息安全手册,:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001,标准要求建立并运行的。信息安全手册包含各个一级文件,。,一级文件,:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限于此,):,信息安全方针,风险评估报告,适用性声明(SoA,),二级文件,:各类程序文件。至少包括(可能不限于此,):,风险评估流程,风险管理流程,风险处理计划,管理评审程序,信息设备管理程序,信息安全组织建设规定,新设施管理程序,内部审核程序,第三方和外包管理规定,信息资产管理规定,工作环境安全管理规定,介质处理与安全规定,系统开发与维护程序,业务连续性管理程序,法律符合性管理规定,信息系统安全审计规定,文件及材料控制程序,安全事件处理流程,三级文件,:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化,。,四级文件,:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS,得以持续运行的有力证据,由各个相关部门自行维护,。,Page,27,第五章 管理职责,5.1,管理层责任,说明管理层在ISMS,建设过程中应该承担的责任,。,5.2,对资源的管理,5.2.1,资源提供,组织应该确定并提供ISMS,相关所有活动必要的资源,5.2.2,培训、意识和能力,通过培训,组织应该确保所有在ISMS,中承担责任的人能够胜任其职,Page,28,第六章,ISMS,内部审计,组织应该通过定期的内部审计来确定,ISMS,的控制目标、控制、过程和程序满足相关要求。,Page,29,第七章,ISMS,的管理评审,7.1,概要,管理层应该对组织的,ISMS,定期进行评审,确保其持续适宜、充分和有效。,7.2,评审输入,评审时需要的输入资料,包括内审结果。,7.3,评审输出,评审成果,应该包含任何决策及相关行动。,Page,30,第八章,ISMS,改进,8.1,持续改进,组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS,的效力,。,8.2,纠正措施,组织应该采取措施,消除并实施和操作ISMS,相关的不一致因素,避免其再次出现,。,8.3,预防措施,为了防止将来出现不一致,应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜,。,Page,31,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,32,建设,ISMS,第一步工作是建设,ISMS,系统,这部分工作可以由组织或者公司自己进行,前提是该组织拥有专业的人才。大部分的公司不具备这样的能力,这就需要一些专业的咨询公司或者安全公司等有,27001,专业实施经验的公司协助进行。,建设,ISMS,的工作不是一个纯粹的,IT,建设,而是建立一个循序渐进的体系,需要公司的全员配合,特别是公司领导层重视,需要成立专门的团队来负责这项工作。,Page,33,建设,ISMS,(续),文件化很重要,针对标准,4.3,的内容,各个层次的文件和记录都需要编写完备,这些工作也可以由第三方来协助进行。,风险评估,培训等工作的进行也需要在咨询公司的协助下进行。,ISMS,初步建立之后,需要运行一段时间,针对出现的问题进行修正。,Page,34,提出申请,待,ISMS,稳定运行一段时间之后,可以考虑提出审核申请。可以进行,27001,审核的机构在国内有,BSI(,英国标准化协会,),和,DNV(,挪威船级社,),等。,Page,35,认证审核预审,预审核(,Pre-assessment Audit,)也称预审,是在第一阶段审核之前执行的一种,非强制性要求的非正式审核,。从本质上看,预审是正式审核的预演或排练。许多组织都没有采用预审核。,预审是审核员通过使用“差距分析”方法,分析和检查组织的,ISMS,与,ISO/IEC 27001,:,2005,要求的差距,包括,(,但不仅限于,),:,分析,ISMS,方针与程序,组织当前的业务保护情况;,检查,ISMS,是否与其实际业务融合一起;,检查,ISMS,是否符合正式审核的基本条件;,检查组织还有哪些未能按照标准要求进行运行的领域,包括员工的安全意识和员工是否知道,ISMS,等;,检查,ISMS,运行的时间长度。,注:预审也是要收费的!,Page,36,认证审核桌面审核,强制性,ISMS,文件,说明,(1) ISMS,方针文件,包括,ISMS,的范围,根据,ISO/IEC 27001:2005,标准“,4.3.1,”a),和,b),的要求。,(2),风险评估程序,根据,ISO/IEC 27001:2005,标准“,4.3.1,”d),和,e),的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个,风险评估程序,。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生,风险评估报告,。,(3),风险处理程序,根据,ISO/IEC 27001:2005,标准“,4.3.1,”f),的要求,要有形成文件的“风险处理计划”。因此,可创建一个,风险处理程序,。该程序文件运行的结果应产生,风险处理计划,。,(4),文件控制程序,根据,ISO/IEC 27001:2005,标准的“,4.3.2,文件控制,”的要求,要有形成文件的“文件控制程序”。,(5),记录控制程序,根据,ISO/IEC 27001:2005,标准的“,4.3.3,记录控制,”的要求,要有形成文件的“记录控制程序”。,(6),内部审核程序,根据,ISO/IEC 27001:2005,标准的“,6,内部,ISMS,审核,”的要求,要有形成文件的“内部审核程序”。,(7),纠正措施与预防措施程序,根据,ISO/IEC 27001:2005,标准的“,8,.2,纠正措施,”的要求,要有形成文件的“纠正措施程序”。,根据,“,8.3,预防措施,”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。,(8),控制措施有效性的测量程序,根据,ISO/IEC 27001:2005,标准的“,4,.3.1 g),”,的要求,要有形成文件的“控制措施有效性的测量程序”。,(9),管理评审程序,“,管理评审,”过程不一定要形成文件,但最好形成“,管理评审程序,”文件,以方便实际工作。,(9),适用性声明,根据,ISO/IEC 27001:2005,标准的“,4,.3.1 i),”,的要求,要有形成文件的适用性声明。,Page,37,认证审核现场审核,桌面审核(文件审核)的结果作为现场审核输入。,现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。,审核内容,验证第一阶段的审核发现是否获得纠正。,证实受审核组织是否按照其方针、目标和程序,执行工作。,证实受审核组织的,ISMS,是否符合,ISO/IEC 27001:2005,第,4-8,章的所有要求,Page,38,认证审核获得证书,所有审核工作结束并达到要求后,用户会得到证书。,半年或者一年,用户需要进行复审,三年时,证书期满,需要重新审核。,Page,39,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,40,区别,ISO/IEC 17799,信息技术,信息安全管理实施细则,ISO/IEC 27001,信息技术,信息安全管理体系要求,17799,重点关注的是实施细则,同时,针对,17799,并没有认证机制。,27001,重点关注的是建设体系的要求,并且有认证机制。,Page,41,联系,ISO/IEC 27001,的附录中有,ISO/IEC 17799,中的,5,到,15,章的全部内容,也就是说在进行,ISMS,建设以及,27001,认证时,,ISO/IEC 17799,中,11,个方面,,39,个控制点,以及,133,个控制措施都作为重要的参考点,进行差距分析时,这些内容都是重要的依据。,所以,我们经常提到,27001,,实际上,27001,应该是,ISO/IEC 27001,和,ISO/IEC 17799,的组合体,两者缺一不可。,Page,42,举例,为了方便大家理解,举个例子来进行说明:,华赛公司要参加上地地区的一个卫生评比,评比通过发放,上地地区高科技企业卫生红旗,。,该次评比有个评比要求,上地地区高科技企业卫生评比要求,,要求内容包括,建立长效的卫生机制,如划定公司卫生范围,购买各种卫生用具,专门领导负责,成立专门团队,聘请专业保洁公司,组织内部检查,内部互查等等。,Page,43,举例,(,续,),该,上地地区高科技企业卫生评比要求,还附带了一个,上地地区高科技企业卫生评比细则,,细则内容包括,11,个方面,办公室卫生,机房卫生,楼道卫生,卫生间卫生,个人卫生,。,Page,44,举例,(,续,),评比由上地地区卫生检疫所进行,该次评比首先进行预查,确认达到基本要求后开始进行规范评比,检查公司的各种卫生规范,之后进行现场评比,由专门的检查员深入公司检查卫生的实际执行情况,并和相关责任人进行沟通。,评比结束,华赛公司各种卫生规范齐全,卫生情况良好,得到了海淀区环卫局颁发的,上地地区高科技企业卫生红旗,,有效期三年,三年后需要重新申请评比检查。,Page,45,举例,(,续,),通过这个例子,希望大家可以理解,27001,认证的流程,以及,17799,和,27001,的关系。,上地地区高科技企业卫生红旗,27001,认证,上地地区高科技企业卫生评比要求,ISO/IEC 27001,上地地区高科技企业卫生评比细则,ISO/IEC 17799,专业保洁公司,咨询公司,上地地区卫生检疫所,授权评审组织(,BSI,,,DNV,),海淀区环卫局,ISO,Page,46,目录,背景介绍,ISO/IEC 17799,ISO/IEC 27001,重点内容,重点章节,认证流程,17799&27001,我司业务与,ISO/IEC 27001,Page,47,安全集成,用户如果后续有进行,27001,认证的需求,在进行集成项目时会关注设备的部署,配置等情况。,我们需要作的工作是,让用户明确我们的设备部署,功能性能,日志审计,安全域划分等是符合,ISO/IEC17799:2005,中的相关控制措施的,并且,有些功能特性还是超出了,ISO/IEC17799:2005,的范围 ,极大的支持了用户,ISMS,体系的建立,可以让用户在进行,27001,认证时更加容易的通过审核。,Page,48,风险评估,公司后续需要建立的安全服务团队,早期可能更加偏向于技术评估,业务评估等,那么我们就可以协助用户在建立,ISMS,的工作中进行风险评估的工作。,在实际工作中,有些咨询公司的技术评估能力较差,在,ISMS,的建设过程中,需要专业的安全公司帮助,这就是我们的切入点。,Page,49,咨询服务,公司的安全服务团队,在人力,经验足够情况下,可以协助用户进行完整的,ISMS,体系建设。,我们需要帮助用户针对,IS0/IEC 27001:2005,的建设步骤建立完整的,ISMS,体系,并且协助用户通过认证。后续还要协助用户维护并修正,ISMS,体系,这是一个长期的工作。,Page,50,附录一,Page,51,附录二,ISO/IEC,17799:2005,版,11,个方面、,39,个控制目标和,133,项控制措施列表,1),安全方针,7),访问控制,2),信息安全组织,8),信息系统获取、开发和维护,3),资产管理,9),信息安全事故管理,4),人力资源安全,10),业务连续性管理,5),物理和环境安全,11),符合性,6),通信和操作管理,Page,52,安全方针,控制目标,信息安全方针,(,5.1,),控制措施,信息安全方针文件,(,5.1.1,),信息安全方针评审,(,5.1.2,),Page,53,信息安全组织,控制目标,内部组织,(,6.1,),控制措施,信息安全的管理承诺,(,6.1.1,),信息安全协调,(,6.1.2,),信息安全职责的分配,(,6.1.3,),信息处理设施的授权过程,(,6.1.4,),保密性协议,(,6.1.5,),与政府部门的联系,(,6.1.6,),与特定利益集团的联系,(,6.1.7,),信息安全的独立评审,(,6.1.8,),Page,54,信息安全组织(续),控制目标,外部各方,(,6.2,),控制措施,与外部各方相关风险的识别,(,6.2.1,),处理与顾客有关的安全问题,(,6.2.2,),处理第三方协议中的安全问题,(,6.2.3,),Page,55,资产管理,控制目标,对资产负责,(,7.1,),控制措施,资产清单,(,7.1.1,),资产责任人,(,7.1.2,),资产的合格使用,(,7.1.3,),Page,56,资产管理,(,续,),控制目标,信息分类,(,7.2,),控制措施,分类指南,(,7.2.1,),信息的标记和处理,(,7.2.2,),Page,57,人力资源安全,控制目标,任用之前,(,8.1,),控制措施,角色和职责,(,8.1.1,),审查,(,8.1.2,),任用条款和条件,(,8.1.3,),Page,58,人力资源安全(续),控制目标,任用中,(,8.2,),控制措施,管理职责,(,8.2.1,),信息安全意识、教育和培训,(,8.2.2,),纪律处理过程,(,8.2.3,),Page,59,人力资源安全(续),控制目标,任用的终止或变化,(,8.3,),控制措施,终止职责,(,8.3.1,),资产的归还,(,8.3.2,),撤销访问权,(,8.3.3,),Page,60,物理与环境安全,控制目标,安全区域,(,9.1,),控制措施,物理安全边界,(,9.1.1,),物理入口控制,(,9.1.2,),办公室、房间和设施的安全保护,(,9.1.3,),外部和环境威胁的安全防护,(,9.1.4,),在安全区域工作,(,9.1.5,),公共访问、交接区安全,(,9.1.6,),Page,61,物理与环境安全(续),控制目标,设备安全,(,9.2,),控制措施,设备安置和保护,(,9.2.1,),支持性设施,(,9.2.2,),布缆安全,(,9.2.3,),设备维护,(,9.2.4,),组织场所外的设备安全,(,9.2.5,),设备的安全处置和再利用,(,9.2.6,),资产的移动,(,9.2.7,),Page,62,通信与操作管理,控制目标,操作程序和职责,(,10.1,),控制措施,文件化的操作程序,(,10.1.1,),变更管理,(,10.1.2,),责任分割,(,10.1.3,),开发、测试和运行设施分离,(,10.1.4,),Page,63,通信与操作管理(续),控制目标,第三方服务交付管理,(,10.2,),控制措施,服务交付,(,10.2.1,),第三方服务的监视和评审,(,10.2.2,),第三方服务的变更管理,(,10.2.3,),Page,64,通信与操作管理(续),控制目标,系统规划和验收,(,10.3,),控制措施,容量管理,(,10.3.1,),系统验收,(,10.3.2,),Page,65,通信与操作管理(续),控制目标,防范恶意和移动代码,(,10.4,),控制措施,控制恶意代码,(,10.4.1,),控制移动代码,(,10.4.2,),Page,66,通信与操作管理(续),控制目标,备份,(,10.5,),控制措施,信息备份,(,10.5.1,),Page,67,通信与操作管理(续),控制目标,网络安全管理,(,10.6,),控制措施,网络控制,(,10.6.1,),网络服务安全,(,10.6.2,),Page,68,通信与操作管理(续),控制目标,介质处理,(,10.7,),控制措施,可移动介质的管理,(,10.7.1,),介质的处置,(,10.7.2,),信息处理程序,(,10.7.3,),系统文件安全,(,10.7.4,),Page,69,通信与操作管理(续),控制目标,信息的交换,(,10.8,),控制措施,信息交换策略和程序,(,10.8.1,),交换协议,(,10.8.2,),运输中的物理介质,(,10.8.3,),电子消息发送,(,10.8.4,),业务信息系统,(,10.8.5,),Page,70,通信与操作管理(续),控制目标,电子商务服务,(,10.9,),控制措施,电子商务,(,10.9.1,),在线交易,(,10.9.2,),公共可用信息,(,10.9.3,),Page,71,通信与操作管理(续),控制目标,监视,(,10.10,),控制措施,审计日志,(,10.10.1,),监视系统的使用,(,10.10.2,),日志信息的保护,(,10.10.3,),管理员和操作员日志,(,10.10.4,),故障日志,(,10.10.5,),时钟同步,(,10.10.6,),Page,72,访问控制,控制目标,访问控制的业务要求,(,11.1,),控制措施,访问控制策略,(,11.1.1,),Page,73,访问控制(续),控制目标,用户访问管理,(,11.2,),控制措施,用户注册,(,11.2.1,),特殊权限管理,(,11.2.2,),用户口令管理,(,11.2.3,),用户访问权的复查,(,11.2.4,),Page,74,访问控制(续),控制目标,用户职责,(,11.3,),控制措施,口令使用,(,11.3.1,),无人值守的用户设备,(,11.3.2,),清空桌面和屏幕策略,(,11.3.3,),Page,75,访问控制(续),控制目标,网络访问控制,(,11.4,),控制措施,使用网络服务的策略,(,11.4.1,),外部连接的用户鉴别,(,11.4.2,),网络上的设备标识,(,11.4.3,),远程诊断和配置端口的保护,(,11.4.4,),网络隔离,(,11.4.5,),网络连接控制,(,11.4.6,),网络路由控制,(,11.4.7,),Page,76,访问控制(续),控制目标,操作系统访问控制,(,11.5,),控制措施,安全登录程序,(,11.5.1,),用户标识和鉴别,(,11.5.2,),口令管理系统,(,11.5.3,),系统实用工具的使用,(,11.5.4,),会话超时,(,11.5.5,),联机时间的限定,(,11.5.6,),Page,77,访问控制(续),控制目标,应用和信息访问控制,(,11.6,),控制措施,信息访问限制,(,11.6.1,),敏感系统隔离,(,11.7.1,),Page,78,访问控制(续),控制目标,移动计算和远程工作,(,11.7,),控制措施,移动计算和通信,(,11.7.1,),远程工作,(,11.7.2,),Page,79,信息系统获取、开发和维护,控制目标,信息系统的安全要求,(,12.1,),控制措施,安全要求分析和说明,(,12.1.1,),Page,80,信息系统获取、开发和维护(续),控制目标,应用中的正确处理,(,12.2,),控制措施,输入数据验证,(,12.2.1,),内部处理的控制,(,12.2.2,),消息完整性,(,12.2.3,),输出数据验证,(,12.2.4,),Page,81,信息系统获取、开发和维护(续),控制目标,密码控制,(,12.3,),控制措施,使用密码控制的策略,(,12.3.1,),密钥管理,(,12.3.2,),Page,82,信息系统获取、开发和维护(续),控制目标,系统文件的安全,(,12.4,),控制措施,运行软件的控制,(,12.4.1,),系统测试数据的保护,(,12.4.2,),对程序源代码的访问控制,(,12.4.3,),Page,83,信息系统获取、开发和维护(续),控制目标,开发和支持过程中的安全,(,12.5,),控制措施,变更控制程序,(,12.5.1,),操作系统变更后应用的技术评审,(,12.5.2,),软件包变更的限制,(,12.5.3,),信息泄露,(,12.5.4,),外包软件开发,(,12.5.5,),Page,84,信息系统获取、开发和维护(续),控制目标,技术脆弱性管理,(,12.6,),控制措施,技术脆弱性的控制,(,12.6.1,),Page,85,信息安全事故管理,控制目标,报告信息安全事件和弱点,(,13.1,),控制措施,报告信息安全事件,(,13.1.1,),报告安全弱点,(,13.1.2,),Page,86,信息安全事故管理(续),控制目标,信息安全事故和改进的管理,(,13.2,),控制措施,职责和程序,(,13.2.1,),对信息安全事故的总结,(,13.2.2,),证据的收集,(,13.2.3,),Page,87,业务连续性管理,控制目标,业务连续性管理的信息安全方面,(,14.1,),控制措施,业务连续性管理过程中包含的信息安全,(,14.1.1,),业务连续性和风险评估,(,14.1.2,),制定和实施包含信息安全的连续性计划,(,14.1.3,),业务连续性计划框架,(,14.1.4,),测试、维护和再评估业务连续性计划,(,14.1.5,),Page,88,符合法律要求,控制目标,符合法律要求,(,15.1,),控制措施,可用法律的识别,(,15.1.1,),知识产权(,IPR,),(,15.1.2,),保护组织的记录,(,15.1.3,),数据保护和个人信息的隐私,(,15.1.4,),防止滥用信息处理设施,(,15.1.5,),密码控制措施的规则,(,15.1.6,),Page,89,符合法律要求(续),控制目标,符合安全策略和标准以及技术符合性,(,15.2,),控制措施,符合安全策略和标准,(,15.2.1,),技术符合性检查,(,15.2.2,),Page,90,符合法律要求(续),控制目标,信息系统审核考虑,(,15.3,),控制措施,信息系统审核控制措施,(,15.3.1,),信息系统审核工具的保护,(,15.3.2,),Page,91,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!