【正文】 安全管理體系167。 每年都有上千家政府網(wǎng)站被攻擊167。 定義： 信息安全管理體系（ Information Security Management System， ISMS）是組織在整體或特定范圍內(nèi)建立的信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用的方法和手段所構(gòu)成的體系；信息安全管理體系是信息安全管理活動(dòng)的直接結(jié)果，表示為方針、原則、目標(biāo)、方法、計(jì)劃、活動(dòng)、程序、過程和資源的集合。167。 信息安全保障在很大程度上受制于人為的因素。2/2/2023 19信息 安全管理系統(tǒng)、動(dòng)態(tài)原則167。2/2/2023 22信息 安全管理最小特權(quán)策略167。流程 規(guī) 范性 管理是 過 程性的工作。計(jì) 劃性 信息安全保障工作能 夠 有 計(jì) 劃、分 階 段的展開，確保信息安全投 資 能夠產(chǎn) 生最大效益。方針和策略是信息安全保障工作的整體性指導(dǎo)和要求。2/2/2023 32信息 安全管理信息安全人員和組織167。 機(jī)構(gòu)中的信息安全相關(guān)人員能夠在有效的組織結(jié)構(gòu)下展開工作。在這類安全管理過程中，主要是涉及信息系統(tǒng)和信息工作所在的環(huán)境安全，以及信息設(shè)備方面的安全。主機(jī)和系統(tǒng)是信息系統(tǒng)威脅的主要目標(biāo)之一。 信息系統(tǒng)是由生命周期的。 同步建設(shè)167。 配置管理和變更管理是任何形式的管理中不可或缺的管理過程。 文檔化 是信息安全管理工作的重要部分。因此，在采取任何較新的技術(shù)和方法之前，都要進(jìn)行嚴(yán)格的安全評(píng)估。 安全風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí) — 綜合資產(chǎn)、威脅、脆弱性的評(píng)估和評(píng)價(jià)，完成最終的風(fēng)險(xiǎn)評(píng)估和評(píng)級(jí)。此類管理過程可以將信息安全管理工作納入到一個(gè)良性的、持續(xù)改進(jìn)的循環(huán)中。 主機(jī)與系統(tǒng)管理167。2/2/2023 53信息 安全管理風(fēng)險(xiǎn)管理167。管理的內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。 采用數(shù)據(jù)加密和完整性保護(hù)機(jī)制，防止數(shù)據(jù)被竊取和篡改，保護(hù)業(yè)務(wù)數(shù)據(jù)的安全。 確保信息安全保障工作符合國家法律、法規(guī)的要求；并且信息安全方針、規(guī)定和標(biāo)準(zhǔn)得到了遵循。2/2/2023 67信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。 二、 其他標(biāo)準(zhǔn)2/2/2023 70信息 安全管理BS 7799簡(jiǎn)介167。2/2/2023 71信息 安全管理BS 7799發(fā)展歷程167。 2023年 9月 BS 77992:2023正式發(fā)布167。167。 訪問控制 ：包括訪問控制策略，用戶訪問控制，網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用訪問控制，監(jiān)控與審計(jì)，移動(dòng)和遠(yuǎn)程訪問BS77991(ISO/IEC17799)2/2/2023 77信息 安全管理167。 133項(xiàng)控制措施未必適合全部的組織，應(yīng)當(dāng)有選擇的參考使用；167。 指導(dǎo)實(shí)施者如何利用 BS77991來建立一個(gè)有效的ISMS167。 實(shí)施安全控制措施167。 實(shí)施糾正和預(yù)防措施167。 確定體系范圍167。2/2/2023 91信息 安全管理 ISO/IEC TR 13335（ 1）信息和通信技術(shù)安全管理，是由ISO/IEC JTC1制定的技術(shù)報(bào)告，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施 IT安全管理提供建議和支持。 2/2/2023 95信息 安全管理第三節(jié) 信息安全策略167。2/2/2023 99信息 安全管理信息安全策略的重要性 信息安全策略是位于 核心地位 的方針和政策的集合，雖然它并不涉及具體的執(zhí)行細(xì)節(jié)，但是明確描述了安全保護(hù)的對(duì)象范圍，能夠保證后續(xù)的控制措施被合理的執(zhí)行，能夠?qū)Π踩a(chǎn)品的選擇及管理實(shí)踐起到指導(dǎo)和約束作用。 在安全事故發(fā)生后，安全事故很可能重復(fù)發(fā)生，所以第一次發(fā)生后實(shí)施安全策略盡管太晚，卻十分必要；167。 信息安全策略的審查、批準(zhǔn)和實(shí)施2/2/2023 103信息 安全管理制定信息安全策略167。2/2/2023 106信息 安全管理嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅(jiān)強(qiáng)后盾167。2/2/2023 109信息 安全管理針對(duì)特定問題的具體策略文檔167。 數(shù)據(jù)備份策略167。 1補(bǔ)丁管理策略167。 數(shù)據(jù)加密策略包括加密算法、適用范圍、密鑰交換和管理等。 災(zāi)難恢復(fù)策略包括責(zé)任人員、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。 補(bǔ)丁管理規(guī)則包括系統(tǒng)補(bǔ)丁的更新、測(cè)試、安裝等。 得到大部分需求支持并同時(shí)能夠維護(hù)企業(yè)利益；167。 防病毒流程；167。 1 Inter DNS設(shè)備控制；167。 有助于保證企業(yè)應(yīng)用的加密方法，已經(jīng)通過了公共評(píng)估并業(yè)界已經(jīng)證明是有效的。此外，安全策略還定義了包括含撥入訪問的流程、正確賦予類似訪問權(quán)限的規(guī)則以及不使用撥入訪問的情況。 定義了企業(yè)如何從認(rèn)可的企業(yè)接受計(jì)算機(jī)相關(guān)設(shè)備。2/2/2023 139信息 安全管理Extra訪問控制167。2/2/2023 142信息 安全管理實(shí)驗(yàn)室管理167。該策略提供了更多用于虛擬個(gè)人網(wǎng)絡(luò) (VPN)的規(guī)則，例如，要求所有活動(dòng)的網(wǎng)絡(luò)流量都要通過 VPN傳輸，而不是同時(shí)通過 VPN和不安全的網(wǎng)絡(luò)連接傳輸。 定義企業(yè)內(nèi)部部署未注冊(cè)無線訪問控制點(diǎn)的最少加密標(biāo)準(zhǔn)和限制。 硬件： CPU、主板、鍵盤、顯示器、工作站、個(gè)人電腦、打印機(jī)、磁盤驅(qū)動(dòng)器、通信線路、終端服務(wù)器、路由器、診斷設(shè)備等；167。 首先 ，重點(diǎn)應(yīng)該放在誰在什么情況下能夠訪問資源。 服務(wù)器的口令須部門負(fù)責(zé)人在場(chǎng)時(shí)，由系統(tǒng)管理員記錄封存；167。 絕不要將個(gè)人信息用作口令的基礎(chǔ)167。2/2/2023 158信息 安全管理計(jì)算機(jī)病毒和惡意代碼防治策略167。 來歷不明的入侵軟件（尤其是網(wǎng)絡(luò)傳過來的）不得進(jìn)入系統(tǒng)。 如果病毒突破了系統(tǒng)防護(hù)，即使它的傳播受到了控制，也要有相應(yīng)的措施將它清除掉。在恢復(fù)系統(tǒng)時(shí)可用替代系統(tǒng)工作，等問題解決后再替換過來。2/2/2023 166信息 安全管理最終用戶策略167。 制定詳細(xì)的安全教育和培訓(xùn)計(jì)劃，對(duì)信息安全技術(shù)和管理人員進(jìn)行安全專業(yè)知識(shí)技能培訓(xùn)，對(duì)普通用戶進(jìn)行安全基礎(chǔ)知識(shí)、安全策略和管理制度培訓(xùn)，提高人員的整體安全意識(shí)和安全操作水平；167。 安全策略說明 ：說明制定 AUP所依據(jù)的信息安全策略，提示用戶信息安全策略的更便會(huì)影響到 AUP的修訂，并且告訴用戶從哪里可以獲得詳細(xì)的安全策略文檔；167。審查過程中最重要的內(nèi)容是從風(fēng)險(xiǎn)評(píng)估或者日志審計(jì)分析中所獲得的信息，其他有用的信息是從管理層得到的業(yè)務(wù)信息和業(yè)務(wù)過程信息，以及來自系統(tǒng)管理員和網(wǎng)絡(luò)管理員的信息反饋。 五、身份認(rèn)證安全技術(shù)2/2/2023 173信息 安全管理 物理環(huán)境安全技術(shù) 物理安全又叫實(shí)體安全（ Physical Security），是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。 2)電源系統(tǒng)安全 ：電源安全主要包括電力能源供應(yīng)、輸電線路安全、保持電源的穩(wěn)定性等。 5）計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。 2/2/2023 179信息 安全管理表 31 計(jì) 算機(jī)機(jī)房安全要求 (十：要求， — ：有要求或增加要求 ) 安全類別 A類 機(jī)房 B類 機(jī)房 C類 機(jī)房場(chǎng)地選擇 2/2/2023 180信息 安全管理 機(jī)房安全要求 如何減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會(huì)是計(jì)算機(jī)機(jī)房設(shè)計(jì)時(shí)首先要考慮的問題。 ?將每臺(tái)重要的 設(shè)備 通 過 光 纖電纜 串接起來，并使光束沿光 纖傳輸 ，如果光束 傳輸 受阻， 則 自 動(dòng)報(bào) 警。 GB/T 28872023將供電方式分為三類 : 一類供電：需要建立不間斷供電系統(tǒng)。 機(jī)房?jī)?nèi) 應(yīng) 保持一定濕度，特 別 是在干燥季 節(jié)應(yīng) 適當(dāng)增加空氣濕度，以免因干燥而 產(chǎn) 生靜 電 。 3）建立硬件 設(shè)備 故障情況登 記 表， 詳細(xì)記錄 故障性 質(zhì) 和修復(fù)情況。 要求良好接地的 設(shè)備 有：各種 計(jì) 算機(jī)外 圍設(shè)備 、多相位 變壓 器的中性 線 、 電纜 外套管、 電 子 報(bào) 警系 統(tǒng) 、隔離變壓 器、 電 源和信號(hào) 濾 波器、通信 設(shè)備 等。如果靜 電 不能及 時(shí)釋 放，就可能 產(chǎn) 生火花，容易造成火災(zāi)或 損 壞芯片等意外事故。 溫度： 機(jī)房溫度一般 應(yīng) 控制在 18～ 22℃ 濕度： 相 對(duì) 濕度一般控制在 40％～ 60％ 為 宜 潔凈度： 塵 埃 顆 粒直徑 ，含 塵 量 1萬 顆 /升2/2/2023 183信息 安全管理 防火與防水要求 計(jì) 算機(jī)機(jī)房的火災(zāi)一般是由 電 氣原因、人 為 事故或外部火災(zāi)蔓延引起的。 計(jì) 算機(jī)機(jī)房所在建筑物的 結(jié) 構(gòu)安全 。防雷擊 + 2/2/2023 178信息 安全管理環(huán) 境安全技 術(shù) 安全保 衛(wèi) 技 術(shù) 是 環(huán) 境安全技 術(shù) 的重要一 環(huán) ，主要的安全技 術(shù) 措施包括：防盜 報(bào) 警、 實(shí)時(shí)監(jiān) 控、安全 門 禁等。 2/2/2023 176信息 安全管理 物理環(huán)境安全包括以下主要內(nèi)容 : 1）計(jì)算機(jī)機(jī)房的場(chǎng)地、環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)備的影響。 2）各種自然災(zāi)害導(dǎo)致的安全問題。 一、物理環(huán)境安全技術(shù)167。 當(dāng)安全策略編寫和批準(zhǔn)發(fā)布之后，應(yīng)當(dāng)建立保障手段確保安全策略被有效遵守和執(zhí)行，責(zé)任聲明和懲罰制度是最重要的保障手段，它應(yīng)該明確闡述違反安全策略的行為將要承擔(dān)什么樣的責(zé)任，接受哪些責(zé)任追究。167。 加固最終用戶：賬戶管理、補(bǔ)丁管 理、事件報(bào)告等制度167。 主管信息安全工作的高級(jí)負(fù)責(zé)人或各級(jí)管理人員：重點(diǎn)是了解、掌握企業(yè)信息安全的整體策略及目標(biāo)、信息安全體系的構(gòu)成、安全管理部門的建立和管理制度的制定等；167。 有可能在清除病毒以前，病毒就破壞了系統(tǒng)中的數(shù)據(jù)，系統(tǒng)應(yīng)提供一種高效的方法來恢復(fù)這些數(shù)據(jù)。2/2/2023 161信息 安全管理控制病毒傳播的能力167。 控制病毒傳播的能力167。2/2/2023 157信息 安全管理創(chuàng)建有效口令的通用規(guī)則167。 對(duì)于要求設(shè)定口令的用戶，由用戶方指定負(fù)責(zé)人與系統(tǒng)管理員商定口令，由系統(tǒng)管理員登記并請(qǐng)用戶負(fù)責(zé)人確認(rèn)（簽字或電話通知）之后系統(tǒng)管理員設(shè)定口令，并保存用戶檔案；167。 一、口令策略：167。策略必須考慮到數(shù)據(jù)是如何處理的，怎么保證數(shù)據(jù)的完整性和保密性。 三、人員2/2/2023 150信息 安全管理信息系統(tǒng)的硬件與軟件保護(hù)167。 建立服務(wù)器配置和注冊(cè)的標(biāo)準(zhǔn)，如禁止不必要的設(shè)備、強(qiáng)制設(shè)備注冊(cè)、定期不定修復(fù)與其他服務(wù)器的信任限制和服務(wù)其硬件的物理安全等。 設(shè)定口令管理標(biāo)準(zhǔn)，如最長的口令有效時(shí)間、全球口令數(shù)據(jù)庫、創(chuàng)建健壯口令的規(guī)則以及禁止口令共享和泄漏。 定義敏感信息級(jí)別，如 “限制 ”、 “秘密 ”、 “僅供內(nèi)部使用 ”和 “公開 ”等。2/2/2023 137信息 安全管理自動(dòng)轉(zhuǎn)發(fā)電子郵件控制167。2/2/2023 134信息 安全管理應(yīng)用程序提供上（ ASP）控制167。該特定策略能夠擴(kuò)展 AUP的應(yīng)用。 1路由器安全管理；167。 自動(dòng)轉(zhuǎn)發(fā)電子郵件控制；167。 SANS模型策略列表：167。 商業(yè)伙伴、客戶關(guān)系策略包括合同條款安全策略、客戶服務(wù)安全建議等。 安全教育策略包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識(shí)的教育等。 病毒防護(hù)策略包括防病毒軟件的安裝、配置、對(duì)軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定。 物理安全策略 包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計(jì)紀(jì)錄、異常情況的追查等。 災(zāi)難恢復(fù)策略167。2/2/2023 111信息 安全管理信息安全策略的 15個(gè)制定范圍167。 總體安全策略167。 嚴(yán)格的法律法規(guī)是網(wǎng)絡(luò)安全的堅(jiān)強(qiáng)后盾2/2/2023 104信息 安全管理先進(jìn)的網(wǎng)絡(luò)安全技術(shù)是網(wǎng)絡(luò)安全的根本保證167。 向用戶展示企業(yè)質(zhì)量標(biāo)準(zhǔn)控制所要求的可評(píng)價(jià)安全程序來說，安全策略可以作為該程序的指導(dǎo)方針。2/2/2023 101信息 安全管理安全員需要了解的幾個(gè)問題： 任何業(yè)務(wù)動(dòng)作過程均存在不同程度的風(fēng)險(xiǎn)；167。 四、主要信息安全策略167。我國國家信息安全測(cè)評(píng)認(rèn)證中心在審核專業(yè)機(jī)構(gòu)信息安全服務(wù)資質(zhì)時(shí)，基本上就是依據(jù) SSECMM來審核并劃分等級(jí)的。2/2/2023 90信息 安全管理 CC（ 1）信息技術(shù)產(chǎn)品和系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，是信息安全標(biāo)準(zhǔn)體系中非常重要的一個(gè)分支；是目前國際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，也是信息技術(shù)安全性評(píng)估結(jié)果國際互認(rèn)的基礎(chǔ)。 實(shí)施安全控制的規(guī)程文檔167。 定期復(fù)審 ISMS的效力167。 評(píng)估現(xiàn)有保證措施167。（ 7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或?yàn)?zāi)難影響。 業(yè)務(wù)連續(xù)性管理 ：業(yè)務(wù)連續(xù)性計(jì)劃的制訂，演習(xí)，審核，改進(jìn)167。 人力資源安全 ：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全意識(shí)，離職及變更職位等。 在我國 ISO 17799:2023已經(jīng)被轉(zhuǎn)化為 GB/T 1971620232/2/2023 72信息 安全管理BS7799的內(nèi)容*BS77991:《信息安全管理實(shí)施規(guī)則》 主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。 1998年， BS 77992:1998《信息安全管理體系規(guī)范》發(fā)布167。 分為兩個(gè)部分：167。 根據(jù)信息系統(tǒng)的生命周期，