【正文】 。 決策并實施風險處理措施 — 根據(jù)風險評估的結(jié)果，作出風險處理和控制的相關決策，并投入實施。2/2/2023 49信息 安全管理符合性審核167。2/2/2023 50信息 安全管理信息安全管理體系構(gòu)成167。 環(huán)境與設備管理167。 數(shù)據(jù) /文檔 /介質(zhì)167。 1合規(guī)性管理2/2/2023 51信息 安全管理數(shù)據(jù) /文檔 /介質(zhì)管理方針和策略管理應用與業(yè)務管理主機與系統(tǒng)管理網(wǎng)絡與通信管理環(huán)境與設備管理風險管理業(yè)務連續(xù)性管理項目工程管理運行維護管理人員和組織管理合規(guī)性管理合規(guī)性管理信息安全管理體系構(gòu)成2/2/2023 52信息 安全管理方針與策略管理167。沒有絕對的安全，風險總是存在的。2/2/2023 55信息 安全管理環(huán)境與設備管理167。 控制、保護網(wǎng)絡和通信系統(tǒng)，防止受到破壞和濫用，避免和降低由于網(wǎng)絡和通信系統(tǒng)的問題對業(yè)務系統(tǒng)的損害。 對各類應用和業(yè)務系統(tǒng)進行安全管理，防止受到破壞和濫用。 保護信息系統(tǒng)項目過程的安全，確保項目的成果是可靠的安全系統(tǒng)。 通過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保信息系統(tǒng)在任何災難和攻擊下，都能夠保證業(yè)務的連續(xù)性。 方針與策略管理 ：是整個信息安全管理工作的基礎和整體指導，對于其他所有的信息安全管理類都有指導和約束的關系。 合規(guī)性管理 ：指導如何檢查信息安全管理工作的效果。在實施中主要從兩個角度來考慮問題，即風險管理和業(yè)務連續(xù)性管理。2/2/2023 69信息 安全管理第二節(jié) 信息安全管理標準167。 BS 7799是英國標準委員會（ Britsh Standards Insstitute,BSI）針對信息安全管理而制定的標準。167。167。 2023年國際信息化標準組織將其轉(zhuǎn)化為國際標準，即 ISO/IEC 17799:2023《信息技術 — 信息安全管理實施細則》167。 目前有 20多個國家和地區(qū)引用 BS 7799作為本國（地區(qū)）標準，有 40多個國家和地區(qū)開展了與此相關的業(yè)務。 2/2/2023 73信息 安全管理 信息安全管理實施細則將信息安全管理內(nèi)容劃分為11個方面， 39個控制目標， 133項控制措施，供信息安全管理體系實施者參考使用，這 11個方面包括： 安全策略（ Security Policy）組織信息安全 (Organizing Information Security)資產(chǎn)管理 (Asset Mangement)人力資源安全 (Human Resources Security)物理與環(huán)境安全 (Physical and Environmental Security)BS77991(ISO/IEC17799)2/2/2023 74信息 安全管理 通信與操作管理 (Communication and Operation Management)訪問控制 (Access Control)信息系統(tǒng)獲取、開發(fā)與維護 (Information Systems Acquisition,Development and Maintenance)信息安全事件管理 (Information Security Incident Management)業(yè)務連續(xù)性管理 (Business Continuity Management)1符合性 (Compliance)2/2/2023 75信息 安全管理167。167。 物理與環(huán)境安全 ：包括安全區(qū)域控制、設備安全管理等167。 信息安全事件管理 ：報告信息安全事件、安全缺陷；責任和程序、從信息安全事件吸取教訓、證據(jù)收集。BS77991(ISO/IEC17799)2/2/2023 78信息 安全管理167。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：與法律相關的控制措施：（ 1） 知識產(chǎn)權 ：遵守知識產(chǎn)權保護和軟件產(chǎn)品保護的法律；（ 2） 保護組織的記錄 ：保護重要的記錄不丟失，不被破壞和偽造；（ 3） 數(shù)據(jù)保護和個人信息隱私 ：遵守所在國的數(shù)據(jù)保護法律。 信息安全管理體系規(guī)范 (Specification for Information Security Management System)167。 定義 ISMS的范圍和策略167。 取得管理層對殘留風險的認可，并獲得實施 ISMS的授權BS77992/ISO 270012/2/2023 84信息 安全管理實施 ISMS（ DO）167。 實施檢測和響應安全機制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復查 ISMS（ CHECK）167。 復查殘留風險和可接受風險的水平BS77992/ISO 270012/2/2023 86信息 安全管理改進 ISMS（ ACT）167。 安全策略167。 與 ISMS有關的其它文檔BS77992/ISO 270012/2/2023 88信息 安全管理建立 ISMS的過程167。 通過安全風險評估確定控制目標和控制措施167。 （ 3） CC的組要目標讀者是用戶、開發(fā)者和評估者。2/2/2023 92信息 安全管理 SSECMM（ 1） SSECMM模型是 CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支，是美國國家安全局（ NSA）領導開發(fā)的，是專門用于系統(tǒng)安全工程的能力程度度模型。 ITIL 信息技術基礎設施庫（ IT Infrastructure Library），是由英國中央計算機與電信局（ CCTA）發(fā)布的關于 IT服務管理最佳實踐的建議和指導方針，旨在解決 IT服務質(zhì)量不佳的情況。 二、制定信息安全策略167。 信息安全策略是一種處理安全問題的管理策略的描述。2/2/2023 100信息 安全管理制定信息安全策略的時間167。 一個包括軟件開發(fā)策略在內(nèi)的安全策略對與開發(fā)更安全的系統(tǒng)是有指導作用的。 安全策略給用戶的印象是企業(yè)對安全問題非常認真；167。 確定信息安全策略的范圍167。 先進的網(wǎng)絡安全技術是網(wǎng)絡安全的根本保證167。2/2/2023 105信息 安全管理嚴格的管理是確保信息安全策略落實的基礎167。2/2/2023 107信息 安全管理信息安全策略的設計范圍167。 針對特定系統(tǒng)的具體策略2/2/2023 108信息 安全管理總體安全策略文檔167。2/2/2023 110信息 安全管理針對特定系統(tǒng)的具體策略文檔167。 網(wǎng)絡安全策略167。 系統(tǒng)安全策略167。 安全教育策略167。 1商業(yè)伙伴、客戶關系策略167。 網(wǎng)絡安全策略包括網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)絡設備的管理、網(wǎng)絡安全訪問控制（防火墻、入侵檢測系統(tǒng)、 VPN等）、安全掃描、遠程訪問、不同級別網(wǎng)絡的訪問控制方式、識別 /認證機制等等。 數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全儲存、備份周期、負責人等。 身份認證及授權策略包括認證及授權機制、方式、審計記錄等。 事故處理、緊急響應策略包括響應小組、聯(lián)系方式、事故處理計劃、控制過程等。 口令管理策略包括口令管理方式、口令設置規(guī)則、口令適應規(guī)則等。 系統(tǒng)變更控制策略包括設備、軟件配置、數(shù)據(jù)變更管理、一致性管理等。 復查審計策略包括對安全策略的定期復查、對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術反戰(zhàn)的跟蹤等。 提供框架結(jié)構(gòu)和要求以進行用戶培訓、引導接受培訓的人員確定在構(gòu)建安全計算環(huán)境的最重要因素。 可接受的使用控制；167。 引入評估控制；167。 Extra訪問控制；167。 1口令保護；167。 1第三方網(wǎng)絡連接協(xié)議；167。2/2/2023 131信息 安全管理可接受的使用控制167。 有助于保護系統(tǒng)免受撥入訪問而導致的系統(tǒng)入侵以及撥出訪問而產(chǎn)生的系統(tǒng)泄密等問題。 該流程提供了防病毒和相關問題，如垃圾郵件、郵件鏈、可執(zhí)行的電子郵件附件等，未知可下栽的原地址、感染的軟盤、可寫的文件共享和非頻繁的備份操作等建議。與之相關的文檔定義了基本安全標準，是作為企業(yè)外部主機托管的 ASP所必需考慮遵循的要求。2/2/2023 136信息 安全管理審核和風險評估167。2/2/2023 138信息 安全管理數(shù)據(jù)庫信任編碼167。需要企業(yè)評估第三方安全性和業(yè)務案例以確認系統(tǒng)訪問。2/2/2023 141信息 安全管理Inter DMZ設備控制167。提供多個策略定義相關的標準并提出附加要求，如指定一名與管理員單一聯(lián)系的人員。 規(guī)定了所有類型個人執(zhí)行遠程訪問的各種形式。 該策略為企業(yè)設定路由器配置標準，如包過濾規(guī)則以防止網(wǎng)絡欺詐、簡單的網(wǎng)絡管理協(xié)議（ SNMP）通信和 “無侵入 ”信號等。 該協(xié)議是企業(yè)與提供相應網(wǎng)絡連接的第三方之間的合同。 一、信息系統(tǒng)的硬件與軟件167。所以擁有一份完整的清單是非常重要的。2/2/2023 151信息 安全管理信息系統(tǒng)的數(shù)據(jù)保護167。數(shù)據(jù)是組織的命脈，所以必須有完整的機制來監(jiān)測它在整個系統(tǒng)中的活動。 接下來 要考慮的就是強制執(zhí)行制度和對未授權訪問的的懲罰制度。 用戶口令的管理2/2/2023 154信息 安全管理網(wǎng)絡服務器口令的管理167。 如發(fā)現(xiàn)口令有泄密現(xiàn)象，系統(tǒng)管理員要立即報告部門負責人，有關部門負責人報告安全部門，同時，要盡量保護好現(xiàn)場并記錄，須接到上一級主管批示后再更換口令。 如果網(wǎng)絡提供用戶自我更新口令的功能，用戶應自己定期更換口令，并設專人負責保密和維護工作。 不要使用基于放在辦公室桌上的物品的口令167。 有效的口令必須相當長，但又不能長到您無法記住他們的程度；167。 拒絕訪問能力167。 恢復能力167。 病毒總是有可能進入系統(tǒng)的，系統(tǒng)中設置檢測病毒機制是非常必要的。系統(tǒng)一定要有控制病毒傳播的能力。當然，如果有后備文件，也可使用它直接覆蓋受感染文件，但一定要查清病毒的來源。 可能會遇到這樣的情況，問題發(fā)生時，手頭沒有可用的技術，任務又必須執(zhí)行下去。2/2/2023 165信息 安全管理安全教育與培訓策略167。167。 硬件的使用：167。 強制執(zhí)行2/2/2023 167信息 安全管理簡單的安全培訓策略167。2/2/2023 168信息 安全管理可接受使用策略 AUP167。2/2/2023 169信息 安全管理AUP通常包含以下主要內(nèi)容167。 用戶責任： 對信息安全策略中所有涉及到用戶信息安全責任內(nèi)容，應當進行總結(jié)和提煉，以簡單明了的語言進行闡述，使得用戶充分了解自己對于企業(yè)、組織信息安全所承擔的責任和義務。2/2/2023 171信息 安全管理信息安全策略的維護167。 經(jīng)過修訂的安全策略，必須經(jīng)過高級管理層的批準和發(fā)布。 三、網(wǎng)絡安全技術167。 物理安全技術實施的目的是保護計算機及通信線路免遭水、火、有害氣體和其他不利因素 (人為失誤、犯罪行為 )的損壞。 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設備安全和通信線路安全。同時要注意保護存儲媒體的安全性，包括存儲媒體自身和數(shù)據(jù)的安全。 3）計算機的實體訪問控制。 7）計算機中重要信息的磁介質(zhì)的處理、存儲和處理手續(xù)的有關問題。 計 算機機房的用 電 安全技 術 主要包括不同用途 電 源分離技術 、 電 源和 設備 有效接地技 術 、 電 源 過載 保 護 技 術 和防雷 擊技 術 等。供配電系統(tǒng) + 空調(diào)系統(tǒng) + 火災報警和消防設施+ 防水 + 防電磁泄漏 在較大的樓層內(nèi)，計算機機房應靠近樓梯的一邊。 對重要的機房， 還應 采取特 別 的防盜措施，如 值 班守 衛(wèi) 、出入口安裝金屬探 測 裝置等。為使機房內(nèi)的三度達到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機、除塵器是必不可少的設備。 為 避免火災、水災， 應 采取如下具體措施 : （ 1）隔離 （ 2）火災 報 警系 統(tǒng) （ 3） 滅 火 設 施 (4）管理措施 2/2/2023 184信息 安全管理 供 電 系 統(tǒng) 安全 電源是計算機網(wǎng)絡系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計算機網(wǎng)絡系統(tǒng)正常運行的先決條件。 三類供電：按一般用戶供電考慮。 機房的內(nèi)裝修材料一般 應 避免使用掛毯、地毯等吸塵 、容易 產(chǎn) 生靜 電 的材料，而 應 采用乙 烯 材料。接地是指整個 計 算機系 統(tǒng) 中各 處電 位均以大地 電 位 為 零參考 電 位。 2/2/2023 187信息 安全管理 硬件 設備 的 維護 和管理 1．硬件設備的使用管理 1）要根據(jù)硬件 設備 的具體配置情況，制定切 實 可行的硬件 設備 的操作使用 規(guī) 程，并 嚴 格按操作 規(guī) 程 進 行操作。 2．常用硬件 設備 的 維護 和保養(yǎng) 定期 檢查 供 電 系 統(tǒng) 的各種保 護 裝置及地 線 是否正常 對設備 的物理 訪問權 限限制在最小范 圍 內(nèi) 2/2/2023 188信息 安全管理電 磁兼容和 電 磁 輻 射的防 護