【正文】 管理，信息與軟件交換安全167。 對控制措施的描述不夠細(xì)致，導(dǎo)致缺乏可操作性；167。 說明了建立、實(shí)施、維護(hù)，并持續(xù)改進(jìn) ISMS的要求167。 制訂并實(shí)施風(fēng)險(xiǎn)處理計(jì)劃167。 對 ISMS實(shí)施可識別的改進(jìn)167。 制訂安全策略167。 （ 4）與 BS7799標(biāo)準(zhǔn)相比， CC的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價(jià)上；組織在依照 BS7799標(biāo)準(zhǔn)來實(shí)施 ISMS時(shí)，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒 CC標(biāo)準(zhǔn)。2/2/2023 94信息 安全管理 CobiT 信息及相關(guān)技術(shù)控制目標(biāo)（ Control Objectives for Information and related Technology,CobiT）是由美國信息系統(tǒng)審計(jì)與控制協(xié)會針對 IT過程管理制定的一套基于最佳實(shí)踐的控制目標(biāo)，是目前國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。安全策略必須遵循三個(gè)基本原則：確定性、完整性和有效性。167。 風(fēng)險(xiǎn)評估 /分析或者審計(jì)167。 各計(jì)算機(jī)使用機(jī)構(gòu)、企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立安全審計(jì)和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識。 闡述指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對與信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織架構(gòu)和責(zé)任認(rèn)定以及對與信息資產(chǎn)的管理辦法等內(nèi)容。 數(shù)據(jù)加密策略167。 1口令管理策略167。2/2/2023 115信息 安全管理數(shù)據(jù)加密策略167。2/2/2023 120信息 安全管理災(zāi)難恢復(fù)策略167。2/2/2023 124信息 安全管理補(bǔ)丁管理規(guī)則167。2/2/2023 128信息 安全管理有效的信息安全策略的特點(diǎn)167。 模擬 /ISDN線路和撥入訪問控制；167。 1敏感信息控制；167。 1無線通信控制；2/2/2023 130信息 安全管理可接受的加密控制167。還可以通過與業(yè)務(wù)案例緊密聯(lián)系的批準(zhǔn)流程和嚴(yán)格的運(yùn)算要求，控制預(yù)定傳真和調(diào)制解調(diào)器線路的人員。2/2/2023 135信息 安全管理引入評估控制167。 指定程序所使用的用戶名和口令登錄數(shù)據(jù)庫，并且應(yīng)該安全保存并可由程序源代碼外部調(diào)用。 建立部署在企業(yè)專用網(wǎng)絡(luò)在非嚴(yán)格要求區(qū)域（ Demilitarized Zone, DMZ）所有設(shè)備所必須滿足的標(biāo)準(zhǔn)?？傮w來講，擴(kuò)展了所有相關(guān)的內(nèi)不策略覆蓋遠(yuǎn)程訪問。2/2/2023 148信息 安全管理無線通訊控制167。167。2/2/2023 152信息 安全管理人員保護(hù)167。 服務(wù)器的口令，由部門負(fù)責(zé)人和系統(tǒng)管理員商定確定，必須兩人同是在場確定；167。2/2/2023 156信息 安全管理創(chuàng)建口令時(shí)應(yīng)避免的幾個(gè)問題167。 以合理的方式使用特殊字符、大寫字母和數(shù)字。 替代操作2/2/2023 159信息 安全管理拒絕訪問能力167。2/2/2023 162信息 安全管理清除能力167。系統(tǒng)應(yīng)該提供一種替代操作方案。 用戶：重點(diǎn)是學(xué)習(xí)各種安全操作規(guī)程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)承擔(dān)的安全職責(zé)等。 建立專門的機(jī)構(gòu)和崗位，負(fù)責(zé)組織范圍內(nèi)安全教育與培訓(xùn)計(jì)劃的制定和執(zhí)行；167。 概述 ：描述什么事 AUP，企業(yè)、組織發(fā)布 AUP的目的，制定 AUP的原則以及一些必要的法律聲明等；167。 信息安全策略審查周期通常為 6個(gè)月或 1年 ，或者在企業(yè)、組織業(yè)務(wù)模式以及支撐業(yè)務(wù)實(shí)現(xiàn)的信息技術(shù)發(fā)生重大變化時(shí)進(jìn)行。 四、系統(tǒng)安全技術(shù)167。 影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全的主要因素如下：2/2/2023 175信息 安全管理 物理 環(huán) 境安全的內(nèi)容 1)環(huán)境安全 ：應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警。 4）計(jì)算機(jī)設(shè)備及場地的防火與防水。 計(jì) 算機(jī)機(jī)房安全管理技 術(shù) 是指制定 嚴(yán) 格的 計(jì) 算機(jī)機(jī)房工作管理制度，并要求所有入機(jī)房的人 員嚴(yán) 格遵守管理制度，將制度落到 實(shí)處 。場地選擇 ?在需要保 護(hù) 的重要 設(shè)備 、存 儲 媒體和硬件上 貼 上特殊 標(biāo)簽 （如磁性 標(biāo)簽 ），當(dāng)有人非法攜 帶這 些重要 設(shè)備 或物品外出 時(shí) ， 檢測 器就會 發(fā) 出 報(bào) 警信號。電源系統(tǒng)電壓的波動、浪涌電流和突然斷電等意外情況的發(fā)生還可能引起計(jì)算機(jī)系統(tǒng)存儲信息的丟失、存儲設(shè)備的損壞等情況的發(fā)生，電源系統(tǒng)的安全是計(jì)算機(jī)系統(tǒng)物理安全的一個(gè)重要組成部分。 為 了防靜電 ，機(jī)房一般要安裝防靜 電 地板 。 2）建立 設(shè)備 使用情況日志，并 嚴(yán) 格登 記 使用 過 程的情況。 計(jì) 算機(jī)房的接地系 統(tǒng) 要按 計(jì) 算機(jī)系 統(tǒng) 本身和 場 地的各種地 線 系 統(tǒng) 的 設(shè)計(jì) 要求進(jìn)行 具體 實(shí) 施。 計(jì) 算機(jī)系 統(tǒng) 的 CPU、 ROM、 RAM等關(guān) 鍵 部件大都采用 MOS工 藝 的大 規(guī) 模集成 電路， 對 靜 電 極 為 敏感，容易因靜 電 而 損 壞。 計(jì) 算機(jī)機(jī)房的水災(zāi)一般是由機(jī)房內(nèi)有滲水、漏水等原因引起的。 2/2/2023 181信息 安全管理機(jī)房防盜要求 ?視頻監(jiān)視 系 統(tǒng) 是一種更 為 可靠的防盜 設(shè)備 ， 能 對計(jì) 算機(jī)網(wǎng) 絡(luò) 系 統(tǒng) 的外 圍環(huán) 境、操作 環(huán) 境 進(jìn) 行 實(shí)時(shí) 全程 監(jiān) 控。防鼠害 + 計(jì) 算機(jī)機(jī)房的溫度、濕度 等 環(huán) 境條件保持技 術(shù) 可以通 過 加裝通 風(fēng)設(shè)備 、排煙 設(shè)備 、 專業(yè) 空 調(diào)設(shè)備 來 實(shí)現(xiàn) 。 2）計(jì)算機(jī)機(jī)房的安全技術(shù)要求。 3）由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問題。 二、通訊鏈路安全技術(shù)167。所有制定好的安全策略、可接受使用策略以及保障策略執(zhí)行的制度，都要通過教育和培訓(xùn)，傳達(dá)給所有網(wǎng)絡(luò)和信息系統(tǒng)用戶。 AUP以終端用戶作為閱讀對象，具有簡短而突出重點(diǎn)的特點(diǎn)，被看作是一份信息安全策略的 “快速入門 ”文件。 時(shí)時(shí)更新167。 負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員：重點(diǎn)是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護(hù)技術(shù)的合理運(yùn)用等。2/2/2023 164信息 安全管理替代操作167。 沒有一種辦法可以檢測出所有的病毒，一旦病毒進(jìn)入了系統(tǒng)，應(yīng)不讓病毒在系統(tǒng)中到處傳播。 清除能力167。 保存口令唯一安全的地方是腦袋或上了鎖的保險(xiǎn)箱；167。 在用戶由于責(zé)任人更換或忘記口令時(shí)要求查詢口令或要求更換口令的情況下，須向網(wǎng)絡(luò)服務(wù)管理部門提交申請單，由部門負(fù)責(zé)人或系統(tǒng)管理員核實(shí)后，對用戶檔案作更新記載；167。 服務(wù)器口令的管理167。除此之外，還必須考慮到如何監(jiān)測數(shù)據(jù)的處理。 硬件和軟件是支撐商業(yè)運(yùn)行的平臺，它們應(yīng)該受到策略保護(hù)。2/2/2023 147信息 安全管理第三方網(wǎng)絡(luò)連接協(xié)議167。2/2/2023 144信息 安全管理遠(yuǎn)程訪問和 VPN安全控制167。為每個(gè)級別定義了適當(dāng)?shù)母袷降臄?shù)據(jù)存儲和分發(fā)。 禁止未授權(quán)向外部系統(tǒng)轉(zhuǎn)發(fā)電子郵件。 當(dāng)企業(yè)需要恰當(dāng)?shù)貙㈨?xiàng)目運(yùn)作放在企業(yè)外部進(jìn)行主機(jī)托管時(shí)，則可以定義確定大量敏感信息的規(guī)則。2/2/2023 132信息 安全管理模擬 /ISDN線路和撥入訪問控制167。 1服務(wù)器安全管理；167。 數(shù)據(jù)庫信任編碼；167。 可接受的加密控制；167。2/2/2023 127信息 安全管理復(fù)查審計(jì)策略167。2/2/2023 123信息 安全管理口令管理策略167。2/2/2023 118信息 安全管理系統(tǒng)安全策略2/2/2023 119信息 安全管理身份認(rèn)證及授權(quán)策略167。2/2/2023 114信息 安全管理網(wǎng)絡(luò)安全策略167。 事故處理、緊急響應(yīng)策略167。 物理安全策略167。 針對特定問題的具體策略167。 用戶對自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評估，決定其所需的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè)全方位的安全系統(tǒng)。2/2/2023 102信息 安全管理信息安全策略開發(fā)流程167。 保險(xiǎn)公司不愿向沒有信息安全策略的企業(yè)投保；167。 五、信息安全策略的執(zhí)行和維護(hù)2/2/2023 96信息 安全管理安全策略包括：? 總體方針 ，指導(dǎo)性的戰(zhàn)略綱領(lǐng)文件，闡明了企業(yè)對于信息安全的看法和立場、信息安全的目標(biāo)和戰(zhàn)略、信息安全所涉及的范圍、管理組織構(gòu)架和責(zé)任認(rèn)定、以及對于信息資產(chǎn)的管理辦法等內(nèi)容? 針對特定問題的具體策略，闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強(qiáng)制要求、角色、責(zé)任認(rèn)定等內(nèi)容? 針對特定系統(tǒng)的具體策略，更為具體和細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容2/2/2023 97信息 安全管理安全策略的特點(diǎn)：? 力求全面和明確，不必過于具體和深入? 需要一個(gè)逐漸完善的過程，不可能一蹴而就? 應(yīng)當(dāng)保持適當(dāng)?shù)姆€(wěn)定性2/2/2023 98信息 安全管理信息安全策略定義 信息安全策略 是一組經(jīng)過高級管理層批準(zhǔn)，正式發(fā)布和實(shí)施的綱領(lǐng)性文件，描述了一個(gè)企業(yè)、組織的高層安全目標(biāo)，它描述應(yīng)該做什么，而不是如何去做，一份信息安全策略就像是一份工程管理計(jì)劃書，這意味著它隱藏了執(zhí)行的細(xì)節(jié)。2/2/2023 93信息 安全管理 NIST SP 800系列 美國國家標(biāo)準(zhǔn)技術(shù)委員會（ NIST）發(fā)布的Special Publication 800文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南。 （ 2） CC、 ISO/IEC1540 GB/T18336是同一個(gè)標(biāo)準(zhǔn)。 ISMS管理和操作規(guī)程167。 定期進(jìn)行 ISMS內(nèi)部審計(jì)167。 準(zhǔn)備適用性說明167。BS77991(ISO/IEC17799)2/2/2023 82信息 安全管理167。 符合性管理 ：符合法律法規(guī)，符合安全策略等。BS77991(ISO/IEC17799)2/2/2023 76信息 安全管理167。 *BS77992:《信息安全管理體系規(guī)范》 詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施組織需要通過風(fēng)險(xiǎn)評估來鑒定最適宜的控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?1999年 4月， BS 7799的兩個(gè)部分被修訂，形成了完整的 BS 77991:1999167。 第一部分：被國際標(biāo)準(zhǔn)化組織 ISO采納成為 ISO/IEC 17799:2023標(biāo)準(zhǔn)的部分，是信息安全管理實(shí)施細(xì)則（ Code of Practice for Information Security Management），主要供負(fù)責(zé)信息安全系統(tǒng)開發(fā)的人員參考使用，其主要內(nèi)容分為 11方面，提供了 133項(xiàng)安全控制措施（最佳實(shí)踐）。這兩個(gè)信息安全管理類體現(xiàn)了信息系統(tǒng)和信息安全工作的生命周期特性。2/2/2023 66信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。2/2/2023 62信息 安全管理業(yè)務(wù)連續(xù)性管理167。2/2/2023 58信息 安全管理應(yīng)用與業(yè)務(wù)管理167。 建立組織機(jī)構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進(jìn)行管理，協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其他部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯(cuò)誤產(chǎn)生信息安全風(fēng)險(xiǎn)。 1業(yè)務(wù)連續(xù)性管理167。 人員與組織管理167。它是一個(gè) 全盤的管理過程 ，重在識別潛在的影響，建立整體的恢復(fù)能力和順應(yīng)能力，在危機(jī)或?yàn)?zāi)害發(fā)生時(shí)保護(hù)信息系統(tǒng)所有者的聲譽(yù)和利益。 資產(chǎn)鑒別、分類和評價(jià)167。因此，對于新技術(shù)和新方法要不斷跟蹤，并有計(jì)劃地將新技術(shù)和新方法應(yīng)用到業(yè)務(wù)系統(tǒng)中。 變更管理 ：人員、設(shè)備、流程等各個(gè)方面的變化，都可能導(dǎo)致信息安全風(fēng)險(xiǎn)的變化，因此，要對信息系統(tǒng)中重要的變更進(jìn)行管理。 一個(gè)信息系統(tǒng)及其信息安全系統(tǒng)建設(shè)完成后，其安全工作并沒有結(jié)束。 系統(tǒng)的運(yùn)行和維護(hù)階段。 數(shù)據(jù)安全在信息安全中占有非常重要的地位。網(wǎng)絡(luò)和通信安全，特別是全程全網(wǎng)的安全是信息安全保障工作的關(guān)鍵環(huán)節(jié)。 環(huán)境和設(shè)備安全、網(wǎng)絡(luò)和通信安全、主機(jī)和系統(tǒng)安全、應(yīng)用和業(yè)務(wù)安全、數(shù)據(jù)安全。 確保人員有明確的角色和責(zé)任；167。2/2/2023 31信息 安全管理信息安全規(guī)劃167。這些過程包括：安全方針和策略、資金投入管理和信息安全規(guī)劃等。變 更可控性 信息系 統(tǒng) 中的任何 變 更需要有全程的 監(jiān) 控管理。2/2/2023 24信息 安全管理普遍參與策略167。 對安全事件的處理應(yīng)有授權(quán)者適時(shí)披露并發(fā)布準(zhǔn)確一致的有關(guān)信息，避免帶來不良的社會影響。 全面防范是保障信息系統(tǒng)安全的關(guān)鍵。主要領(lǐng)導(dǎo)負(fù)責(zé)原則2/2/2023 15信息 安全管理規(guī)范定級原則167。2/2/2023 11信息 安全管理1. 強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；2. 促使管理層貫徹信息安全保障體系；3. 對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；4. 在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；5. 使組織的生意伙伴和客戶對組織充滿信心；6. 如果通過體系認(rèn)證，表明體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，可以提高組織的知名度與信任度。 信息安全管理覆蓋的內(nèi)容非常廣泛，涉及到信息和網(wǎng)絡(luò)系統(tǒng)的各個(gè)層面，以及生命周期的各個(gè)階段。 攻擊技術(shù) 越來越復(fù)雜167。 信息