【正文】 。 決策并實(shí)施風(fēng)險(xiǎn)處理措施 — 根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，作出風(fēng)險(xiǎn)處理和控制的相關(guān)決策，并投入實(shí)施。2/2/2023 49信息 安全管理符合性審核167。2/2/2023 50信息 安全管理信息安全管理體系構(gòu)成167。 環(huán)境與設(shè)備管理167。 數(shù)據(jù) /文檔 /介質(zhì)167。 1合規(guī)性管理2/2/2023 51信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機(jī)與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險(xiǎn)管理業(yè)務(wù)連續(xù)性管理項(xiàng)目工程管理運(yùn)行維護(hù)管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構(gòu)成2/2/2023 52信息 安全管理方針與策略管理167。沒(méi)有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。2/2/2023 55信息 安全管理環(huán)境與設(shè)備管理167。 控制、保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)，防止受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問(wèn)題對(duì)業(yè)務(wù)系統(tǒng)的損害。 對(duì)各類(lèi)應(yīng)用和業(yè)務(wù)系統(tǒng)進(jìn)行安全管理，防止受到破壞和濫用。 保護(hù)信息系統(tǒng)項(xiàng)目過(guò)程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。 通過(guò)設(shè)計(jì)和執(zhí)行業(yè)務(wù)連續(xù)性計(jì)劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 方針與策略管理 ：是整個(gè)信息安全管理工作的基礎(chǔ)和整體指導(dǎo)，對(duì)于其他所有的信息安全管理類(lèi)都有指導(dǎo)和約束的關(guān)系。 合規(guī)性管理 ：指導(dǎo)如何檢查信息安全管理工作的效果。在實(shí)施中主要從兩個(gè)角度來(lái)考慮問(wèn)題，即風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標(biāo)準(zhǔn)167。 BS 7799是英國(guó)標(biāo)準(zhǔn)委員會(huì)（ Britsh Standards Insstitute,BSI）針對(duì)信息安全管理而制定的標(biāo)準(zhǔn)。167。167。 2023年國(guó)際信息化標(biāo)準(zhǔn)組織將其轉(zhuǎn)化為國(guó)際標(biāo)準(zhǔn)，即 ISO/IEC 17799:2023《信息技術(shù) — 信息安全管理實(shí)施細(xì)則》167。 目前有 20多個(gè)國(guó)家和地區(qū)引用 BS 7799作為本國(guó)（地區(qū)）標(biāo)準(zhǔn)，有 40多個(gè)國(guó)家和地區(qū)開(kāi)展了與此相關(guān)的業(yè)務(wù)。 2/2/2023 73信息 安全管理 信息安全管理實(shí)施細(xì)則將信息安全管理內(nèi)容劃分為11個(gè)方面， 39個(gè)控制目標(biāo)， 133項(xiàng)控制措施，供信息安全管理體系實(shí)施者參考使用，這 11個(gè)方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產(chǎn)管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問(wèn)控制 (Access Control)信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù) (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務(wù)連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。167。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設(shè)備安全管理等167。 信息安全事件管理 ：報(bào)告信息安全事件、安全缺陷；責(zé)任和程序、從信息安全事件吸取教訓(xùn)、證據(jù)收集。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項(xiàng)適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：與法律相關(guān)的控制措施：（ 1） 知識(shí)產(chǎn)權(quán) ：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律；（ 2） 保護(hù)組織的記錄 ：保護(hù)重要的記錄不丟失，不被破壞和偽造；（ 3） 數(shù)據(jù)保護(hù)和個(gè)人信息隱私 ：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。 定義 ISMS的范圍和策略167。 取得管理層對(duì)殘留風(fēng)險(xiǎn)的認(rèn)可，并獲得實(shí)施 ISMS的授權(quán)BS77992/ISO 270012/2/2023 84信息 安全管理實(shí)施 ISMS（ DO）167。 實(shí)施檢測(cè)和響應(yīng)安全機(jī)制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復(fù)查 ISMS（ CHECK）167。 復(fù)查殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進(jìn) ISMS（ ACT）167。 安全策略167。 與 ISMS有關(guān)的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過(guò)程167。 通過(guò)安全風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制措施167。 （ 3） CC的組要目標(biāo)讀者是用戶、開(kāi)發(fā)者和評(píng)估者。2/2/2023 92信息 安全管理 SSECMM（ 1） SSECMM模型是 CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支，是美國(guó)國(guó)家安全局（ NSA）領(lǐng)導(dǎo)開(kāi)發(fā)的，是專(zhuān)門(mén)用于系統(tǒng)安全工程的能力程度度模型。 ITIL 信息技術(shù)基礎(chǔ)設(shè)施庫(kù)（ IT Infrastructure Library），是由英國(guó)中央計(jì)算機(jī)與電信局（ CCTA）發(fā)布的關(guān)于 IT服務(wù)管理最佳實(shí)踐的建議和指導(dǎo)方針，旨在解決 IT服務(wù)質(zhì)量不佳的情況。 二、制定信息安全策略167。 信息安全策略是一種處理安全問(wèn)題的管理策略的描述。2/2/2023 100信息 安全管理制定信息安全策略的時(shí)間167。 一個(gè)包括軟件開(kāi)發(fā)策略在內(nèi)的安全策略對(duì)與開(kāi)發(fā)更安全的系統(tǒng)是有指導(dǎo)作用的。 安全策略給用戶的印象是企業(yè)對(duì)安全問(wèn)題非常認(rèn)真；167。 確定信息安全策略的范圍167。 先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證167。2/2/2023 105信息 安全管理嚴(yán)格的管理是確保信息安全策略落實(shí)的基礎(chǔ)167。2/2/2023 107信息 安全管理信息安全策略的設(shè)計(jì)范圍167。 針對(duì)特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。2/2/2023 110信息 安全管理針對(duì)特定系統(tǒng)的具體策略文檔167。 網(wǎng)絡(luò)安全策略167。 系統(tǒng)安全策略167。 安全教育策略167。 1商業(yè)伙伴、客戶關(guān)系策略167。 網(wǎng)絡(luò)安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問(wèn)控制（防火墻、入侵檢測(cè)系統(tǒng)、 VPN等）、安全掃描、遠(yuǎn)程訪問(wèn)、不同級(jí)別網(wǎng)絡(luò)的訪問(wèn)控制方式、識(shí)別 /認(rèn)證機(jī)制等等。 數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全儲(chǔ)存、備份周期、負(fù)責(zé)人等。 身份認(rèn)證及授權(quán)策略包括認(rèn)證及授權(quán)機(jī)制、方式、審計(jì)記錄等。 事故處理、緊急響應(yīng)策略包括響應(yīng)小組、聯(lián)系方式、事故處理計(jì)劃、控制過(guò)程等。 口令管理策略包括口令管理方式、口令設(shè)置規(guī)則、口令適應(yīng)規(guī)則等。 系統(tǒng)變更控制策略包括設(shè)備、軟件配置、數(shù)據(jù)變更管理、一致性管理等。 復(fù)查審計(jì)策略包括對(duì)安全策略的定期復(fù)查、對(duì)安全控制及過(guò)程的重新評(píng)估、對(duì)系統(tǒng)日志記錄的審計(jì)、對(duì)安全技術(shù)反戰(zhàn)的跟蹤等。 提供框架結(jié)構(gòu)和要求以進(jìn)行用戶培訓(xùn)、引導(dǎo)接受培訓(xùn)的人員確定在構(gòu)建安全計(jì)算環(huán)境的最重要因素。 可接受的使用控制；167。 引入評(píng)估控制；167。 Extra訪問(wèn)控制；167。 1口令保護(hù)；167。 1第三方網(wǎng)絡(luò)連接協(xié)議；167。2/2/2023 131信息 安全管理可接受的使用控制167。 有助于保護(hù)系統(tǒng)免受撥入訪問(wèn)而導(dǎo)致的系統(tǒng)入侵以及撥出訪問(wèn)而產(chǎn)生的系統(tǒng)泄密等問(wèn)題。 該流程提供了防病毒和相關(guān)問(wèn)題，如垃圾郵件、郵件鏈、可執(zhí)行的電子郵件附件等，未知可下栽的原地址、感染的軟盤(pán)、可寫(xiě)的文件共享和非頻繁的備份操作等建議。與之相關(guān)的文檔定義了基本安全標(biāo)準(zhǔn)，是作為企業(yè)外部主機(jī)托管的 ASP所必需考慮遵循的要求。2/2/2023 136信息 安全管理審核和風(fēng)險(xiǎn)評(píng)估167。2/2/2023 138信息 安全管理數(shù)據(jù)庫(kù)信任編碼167。需要企業(yè)評(píng)估第三方安全性和業(yè)務(wù)案例以確認(rèn)系統(tǒng)訪問(wèn)。2/2/2023 141信息 安全管理Inter DMZ設(shè)備控制167。提供多個(gè)策略定義相關(guān)的標(biāo)準(zhǔn)并提出附加要求，如指定一名與管理員單一聯(lián)系的人員。 規(guī)定了所有類(lèi)型個(gè)人執(zhí)行遠(yuǎn)程訪問(wèn)的各種形式。 該策略為企業(yè)設(shè)定路由器配置標(biāo)準(zhǔn)，如包過(guò)濾規(guī)則以防止網(wǎng)絡(luò)欺詐、簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議（ SNMP）通信和 “無(wú)侵入 ”信號(hào)等。 該協(xié)議是企業(yè)與提供相應(yīng)網(wǎng)絡(luò)連接的第三方之間的合同。 一、信息系統(tǒng)的硬件與軟件167。所以擁有一份完整的清單是非常重要的。2/2/2023 151信息 安全管理信息系統(tǒng)的數(shù)據(jù)保護(hù)167。數(shù)據(jù)是組織的命脈，所以必須有完整的機(jī)制來(lái)監(jiān)測(cè)它在整個(gè)系統(tǒng)中的活動(dòng)。 接下來(lái) 要考慮的就是強(qiáng)制執(zhí)行制度和對(duì)未授權(quán)訪問(wèn)的的懲罰制度。 用戶口令的管理2/2/2023 154信息 安全管理網(wǎng)絡(luò)服務(wù)器口令的管理167。 如發(fā)現(xiàn)口令有泄密現(xiàn)象，系統(tǒng)管理員要立即報(bào)告部門(mén)負(fù)責(zé)人，有關(guān)部門(mén)負(fù)責(zé)人報(bào)告安全部門(mén)，同時(shí)，要盡量保護(hù)好現(xiàn)場(chǎng)并記錄，須接到上一級(jí)主管批示后再更換口令。 如果網(wǎng)絡(luò)提供用戶自我更新口令的功能，用戶應(yīng)自己定期更換口令，并設(shè)專(zhuān)人負(fù)責(zé)保密和維護(hù)工作。 不要使用基于放在辦公室桌上的物品的口令167。 有效的口令必須相當(dāng)長(zhǎng)，但又不能長(zhǎng)到您無(wú)法記住他們的程度；167。 拒絕訪問(wèn)能力167。 恢復(fù)能力167。 病毒總是有可能進(jìn)入系統(tǒng)的，系統(tǒng)中設(shè)置檢測(cè)病毒機(jī)制是非常必要的。系統(tǒng)一定要有控制病毒傳播的能力。當(dāng)然，如果有后備文件，也可使用它直接覆蓋受感染文件，但一定要查清病毒的來(lái)源。 可能會(huì)遇到這樣的情況，問(wèn)題發(fā)生時(shí)，手頭沒(méi)有可用的技術(shù)，任務(wù)又必須執(zhí)行下去。2/2/2023 165信息 安全管理安全教育與培訓(xùn)策略167。167。 硬件的使用：167。 強(qiáng)制執(zhí)行2/2/2023 167信息 安全管理簡(jiǎn)單的安全培訓(xùn)策略167。2/2/2023 168信息 安全管理可接受使用策略 AUP167。2/2/2023 169信息 安全管理AUP通常包含以下主要內(nèi)容167。 用戶責(zé)任： 對(duì)信息安全策略中所有涉及到用戶信息安全責(zé)任內(nèi)容，應(yīng)當(dāng)進(jìn)行總結(jié)和提煉，以簡(jiǎn)單明了的語(yǔ)言進(jìn)行闡述，使得用戶充分了解自己對(duì)于企業(yè)、組織信息安全所承擔(dān)的責(zé)任和義務(wù)。2/2/2023 171信息 安全管理信息安全策略的維護(hù)167。 經(jīng)過(guò)修訂的安全策略，必須經(jīng)過(guò)高級(jí)管理層的批準(zhǔn)和發(fā)布。 三、網(wǎng)絡(luò)安全技術(shù)167。 物理安全技術(shù)實(shí)施的目的是保護(hù)計(jì)算機(jī)及通信線路免遭水、火、有害氣體和其他不利因素 (人為失誤、犯罪行為 )的損壞。 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。 3）計(jì)算機(jī)的實(shí)體訪問(wèn)控制。 7）計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和處理手續(xù)的有關(guān)問(wèn)題。 計(jì) 算機(jī)機(jī)房的用 電 安全技 術(shù) 主要包括不同用途 電 源分離技術(shù) 、 電 源和 設(shè)備 有效接地技 術(shù) 、 電 源 過(guò)載 保 護(hù) 技 術(shù) 和防雷 擊技 術(shù) 等。供配電系統(tǒng) + 空調(diào)系統(tǒng) + 火災(zāi)報(bào)警和消防設(shè)施+ 防水 + 防電磁泄漏 在較大的樓層內(nèi)，計(jì)算機(jī)機(jī)房應(yīng)靠近樓梯的一邊。 對(duì)重要的機(jī)房， 還應(yīng) 采取特 別 的防盜措施，如 值 班守 衛(wèi) 、出入口安裝金屬探 測(cè) 裝置等。為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)、除塵器是必不可少的設(shè)備。 為 避免火災(zāi)、水災(zāi)， 應(yīng) 采取如下具體措施 : （ 1）隔離 （ 2）火災(zāi) 報(bào) 警系 統(tǒng) （ 3） 滅 火 設(shè) 施 (4）管理措施 2/2/2023 184信息 安全管理 供 電 系 統(tǒng) 安全 電源是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的先決條件。 三類(lèi)供電：按一般用戶供電考慮。 機(jī)房的內(nèi)裝修材料一般 應(yīng) 避免使用掛毯、地毯等吸塵 、容易 產(chǎn) 生靜 電 的材料，而 應(yīng) 采用乙 烯 材料。接地是指整個(gè) 計(jì) 算機(jī)系 統(tǒng) 中各 處電 位均以大地 電 位 為 零參考 電 位。 2/2/2023 187信息 安全管理 硬件 設(shè)備 的 維護(hù) 和管理 1．硬件設(shè)備的使用管理 1）要根據(jù)硬件 設(shè)備 的具體配置情況，制定切 實(shí) 可行的硬件 設(shè)備 的操作使用 規(guī) 程，并 嚴(yán) 格按操作 規(guī) 程 進(jìn) 行操作。 2．常用硬件 設(shè)備 的 維護(hù) 和保養(yǎng) 定期 檢查 供 電 系 統(tǒng) 的各種保 護(hù) 裝置及地 線 是否正常 對(duì)設(shè)備 的物理 訪問(wèn)權(quán) 限限制在最小范 圍 內(nèi) 2/2/2023 188信息 安全管理電 磁兼容和 電 磁 輻 射的防 護(hù)