【正文】 可以將信息系統(tǒng)分為 兩個(gè)階段 ，即項(xiàng)目工程開(kāi)發(fā)階段和運(yùn)行維護(hù)階段。 人員與組織管理 ：是要根據(jù)方針和策略來(lái)執(zhí)行的信息安全管理工作。 保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。 控制和保護(hù)主機(jī)及其系統(tǒng)，防止受到破壞和濫用，避免和降低由此對(duì)業(yè)務(wù)系統(tǒng)的損害。2/2/2023 54信息 安全管理人員與組織管理167。 運(yùn)行維護(hù)管理167。 風(fēng)險(xiǎn)管理167。 業(yè)務(wù)連續(xù)性管理不僅僅是災(zāi)難恢復(fù)、危機(jī)管理、風(fēng)險(xiǎn)管理控制或者技術(shù)恢復(fù)，也不僅僅是一個(gè)專(zhuān)業(yè)的技術(shù)問(wèn)題，更重要的是一個(gè)業(yè)務(wù)驅(qū)動(dòng)和高層驅(qū)動(dòng)的管理問(wèn)題。在信息安全風(fēng)險(xiǎn)管理過(guò)程中，要實(shí)施如下工作：167。 不斷運(yùn)用新技術(shù)、新方法是提高業(yè)務(wù)能力和競(jìng)爭(zhēng)力水平的重要手段。167。2/2/2023 43信息 安全管理日常運(yùn)行于維護(hù)的安全管理167。 系統(tǒng)投入前的工程設(shè)計(jì)和開(kāi)發(fā)階段；167。2/2/2023 39信息 安全管理數(shù)據(jù)安全167。 網(wǎng)絡(luò)系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個(gè)地理位置和業(yè)務(wù)場(chǎng)所?；谛畔⑾到y(tǒng)的各個(gè)層次，可相應(yīng)在如下層次中開(kāi)展信息安全管理：167。 保障有足夠的人力資源從事信息安全保障工作；167。但從另一個(gè)方面來(lái)講，絕對(duì)的安全是無(wú)法實(shí)現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟(jì)效益之間的平衡。 信息安全方針和策略 主要包括 對(duì)信息安全進(jìn)行總體性指導(dǎo)和規(guī)劃的管理過(guò)程。執(zhí) 行落 實(shí) 性 通 過(guò)檢查 、 監(jiān) 督、 審計(jì) 、稽核等手段促 進(jìn) 信息安全保障工作的落 實(shí) 。如果新技術(shù)勢(shì)在必行，應(yīng)該首先局部試點(diǎn)，然后逐步推廣，減少或避免可能出現(xiàn)的損失。2/2/2023 20信息 安全管理控制社會(huì)影響原則167。2/2/2023 18信息 安全管理全面防范、突出重點(diǎn)的原則167。2/2/2023 14信息 安全管理信息安全保證工作事關(guān)大局，企業(yè)、組織各級(jí)領(lǐng)導(dǎo)應(yīng)該把信息安全列為其最重要的工作內(nèi)容之一，并負(fù)責(zé)成提高、加強(qiáng)內(nèi)部人員的安全意識(shí)，組織有效的技術(shù)和管理隊(duì)伍，調(diào)動(dòng)優(yōu)化配置必要的資源和經(jīng)費(fèi)，協(xié)調(diào)信息安全管理工作與各部門(mén)工作的關(guān)系，確保信息安全保障工作的落實(shí)和效果。 安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)，也彌補(bǔ)當(dāng)前技術(shù)無(wú)法完全解決的安全缺陷。2/2/2023 7信息 安全管理167。 日益增長(zhǎng)的安全威脅167。 信息安全管理標(biāo)準(zhǔn)167。 安全影響167。信息安全管理體系定義2/2/2023 10信息 安全管理建立信息安全管理體系的意義167。 ISO27001非常強(qiáng)調(diào)信息安全管理過(guò)程中文件化的工作， ISMS的文件體系應(yīng)該包括安全策略、適用性聲明（選擇和未選擇的控制目標(biāo)和控制措施）、實(shí)施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開(kāi)展的所有活動(dòng)的證明材料。加強(qiáng)信息安全教育、培訓(xùn)和管理，強(qiáng)化安全意識(shí)和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保措施落實(shí)是做好信息安全管理工作的重要保證。 信息安全管理工作的系統(tǒng)特征突出。 任何實(shí)體（如用戶(hù)、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實(shí)體需要完成其任務(wù)所必需的特權(quán)，不應(yīng)享有任何多余的特權(quán)。要確保信息安全工作的相關(guān) 過(guò) 程具有 規(guī) 范性。2/2/2023 26信息 安全管理信息安全管理內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實(shí)性變更可控性責(zé)任性持續(xù)改進(jìn)型計(jì)劃性合規(guī)性信息安全管理內(nèi)容2/2/2023 27信息 安全管理通過(guò)信息安全管理過(guò)程完成信息安全管理方面的要求。安全方針和策略需要有相應(yīng)的制定、審核和改進(jìn)過(guò)程。 人員和組織管理是信息安全管理的基本過(guò)程。2/2/2023 34信息 安全管理基于信息系統(tǒng)各個(gè)層次的安全管理167。另外，文檔和介質(zhì)是存儲(chǔ)數(shù)據(jù)的特殊載體，因此，也應(yīng)當(dāng)對(duì)其進(jìn)行適度的管理。2/2/2023 38信息 安全管理應(yīng)用和業(yè)務(wù)安全167。信息安全保障也涉及到信息系統(tǒng)生命周期的各個(gè)階段。 同步運(yùn)行2/2/2023 42信息 安全管理項(xiàng)目工程安全管理167。在信息安全管理中，這兩方面管理的作用尤為突出。只有將各種管理辦法、管理過(guò)程、管理要求等通過(guò)文檔的形式明確下來(lái)，才能保證信息安全管理工作進(jìn)一步得到落實(shí)和貫徹。2/2/2023 47信息 安全管理風(fēng)險(xiǎn)管理167。167。 需要考慮的審核內(nèi)容包括： 法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要求。 應(yīng)用于業(yè)務(wù)管理167。 信息安全建設(shè)不是避免風(fēng)險(xiǎn)的過(guò)程，而是管理風(fēng)險(xiǎn)的過(guò)程。2/2/2023 56信息 安全管理網(wǎng)絡(luò)與通信安全167。2/2/2023 60信息 安全管理項(xiàng)目工程管理167。2/2/2023 64信息 安全管理12項(xiàng)信息安全管理類(lèi)的作用關(guān)系167。 根據(jù)方針與策略，由人員與組織實(shí)施信息安全管理工作。 BS 7799概述：167。 BS 7799最初由英國(guó)貿(mào)工部立項(xiàng)，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和衡量有效信息安全管理實(shí)踐的通用框架。 2023年 6月， ISO/IEC 17799:2023經(jīng)過(guò)改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 組織安全 ：包括在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架；維護(hù)被外部伙伴訪(fǎng)問(wèn)、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。 信息系統(tǒng)獲取、開(kāi)發(fā)與維護(hù) ：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開(kāi)發(fā)和支持過(guò)程的安全控制167。 133項(xiàng)控制措施未必全面，可以根據(jù)實(shí)際情況進(jìn)行增補(bǔ)。 BSI提供依據(jù) BS77992所建立 ISMS的認(rèn)證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 實(shí)施安全意識(shí)和安全教育培訓(xùn)167。 確保改進(jìn)成果滿(mǎn)足預(yù)期目標(biāo)BS77992/ISO 270012/2/2023 87信息 安全管理強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括167。 明確管理職責(zé)167。 （ 2）對(duì)信息安全風(fēng)險(xiǎn)及其構(gòu)成要素間關(guān)系的描述非常具體，對(duì)風(fēng)險(xiǎn)評(píng)估方法過(guò)程的描述很清晰，可用來(lái)指導(dǎo)實(shí)施。 一、信息安全策略概述167。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會(huì)形成一個(gè)統(tǒng)一的有機(jī)整體，使得系統(tǒng)具有更好的安全性。 發(fā)生安全事故制定安全策略時(shí)，不要把重點(diǎn)放在攻破的地方，要從全局考慮安全問(wèn)題；167。 制定信息安全策略的原則：167。 面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子不會(huì)輕易發(fā)動(dòng)攻擊。 闡述了企業(yè)對(duì)于特定安全問(wèn)題的聲明、立場(chǎng)、適用辦法、強(qiáng)制要求、角色、責(zé)任的認(rèn)定等內(nèi)容，例如：針對(duì) Inter訪(fǎng)問(wèn)操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問(wèn)題，制定用針對(duì)性的安全策略。 病毒防護(hù)策略167。 1系統(tǒng)變更控制策略167。2/2/2023 116信息 安全管理數(shù)據(jù)備份策略167。2/2/2023 121信息 安全管理事故處理、緊急響應(yīng)策略167。2/2/2023 125信息 安全管理系統(tǒng)變更控制策略167。 清晰，無(wú)須借助過(guò)多的需求文檔描述；167。 應(yīng)用程序提供上（ ASP）控制；167。 1實(shí)驗(yàn)室管理；167。他能夠解決合法性問(wèn)題，尤其是考慮到出口法律條款時(shí)。2/2/2023 133信息 安全管理防病毒流程167。提供替換、重新映像或?qū)徍讼到y(tǒng)與網(wǎng)絡(luò)組件并重新建立 Inter連接的指南。 定義了第三方如何訪(fǎng)問(wèn)企業(yè) Inter的要求。 對(duì)于具有開(kāi)發(fā)實(shí)驗(yàn)室的企業(yè)來(lái)講，必須制定寬松的策略以進(jìn)行開(kāi)發(fā)工作。2/2/2023 145信息 安全管理路由器安全控制167。2/2/2023 149信息 安全管理確定信息安全策略保護(hù)的對(duì)象167。 軟件：源程序、目標(biāo)程序、工具程序、診斷程序、操作系統(tǒng)、通信程序等。策略對(duì)那些需要訪(fǎng)問(wèn)的人授權(quán)直接訪(fǎng)問(wèn)的權(quán)力，對(duì)那些不該訪(fǎng)問(wèn)的人，策略則要限制他們?cè)L問(wèn)。 口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷(xiāo)毀原記錄，將新口令記錄封存；167。 不可將自己的偶像用于口令167。 病毒防護(hù)策略必須具備下列準(zhǔn)則 ：167。2/2/2023 160信息 安全管理病毒檢測(cè)能力167。對(duì)于已知類(lèi)病毒，可以使用專(zhuān)殺軟件；對(duì)于未知類(lèi)病毒，在發(fā)現(xiàn)后使用軟件工具對(duì)他進(jìn)行分析，盡快編寫(xiě)出消毒軟件。這一準(zhǔn)則對(duì)于戰(zhàn)時(shí)的軍事系統(tǒng)是必要的。 數(shù)據(jù)和應(yīng)用所有權(quán)：167。 管理機(jī)構(gòu)定期對(duì)安全教育和培訓(xùn)的成果進(jìn)行抽查和考核，檢驗(yàn)安全教育和培訓(xùn)活動(dòng)的效果。 術(shù)語(yǔ)說(shuō)明： 將 AUP中涉及的術(shù)語(yǔ)名詞，以及 AUP簽署生效的有效時(shí)間進(jìn)行說(shuō)明；167。167。 引言 實(shí)體安全技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)備和通信線(xiàn)路等采取的安全技術(shù)措施。 3)設(shè)備安全 ：要保證硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。 6）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。防火 內(nèi)部裝修 + 計(jì)算機(jī)機(jī)房最好不要安排在底層或頂層，這是因?yàn)榈讓右话爿^潮濕，而頂層有漏雨、穿窗而入的危險(xiǎn)。 2/2/2023 182信息 安全管理 機(jī)房三度要求 溫度、濕度和潔凈度并稱(chēng)為三度 ，為保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，對(duì)機(jī)房?jī)?nèi)的三度都有明確的要求。 二類(lèi)供電：需要建立帶備用的供電系統(tǒng)。 2/2/2023 186信息 安全管理 接地與防雷要求 接地與防雷是保 護(hù)計(jì) 算機(jī)網(wǎng) 絡(luò) 系 統(tǒng) 和工作 場(chǎng) 所安全的重要安全措施。 4） 堅(jiān) 持 對(duì)設(shè)備進(jìn) 行例行 維護(hù) 和保養(yǎng)，并指定 專(zhuān) 人 負(fù)責(zé) 。接地可以 為計(jì) 算機(jī)系 統(tǒng) 的數(shù)字 電路提供一個(gè) 穩(wěn) 定的 0V參考 電 位，從而可以保 證設(shè)備 和人身的安全，同 時(shí) 也是防止 電 磁信息泄漏的有效手段。 2/2/2023 185信息 安全管理 防靜 電 措施 不同物體 間 的相互摩擦、接觸會(huì) 產(chǎn) 生能量不大但 電壓非常高的靜 電 。重要的計(jì)算機(jī)系統(tǒng)安放處還應(yīng)配備專(zhuān)用的空調(diào)系統(tǒng)，它比公用的空調(diào)系統(tǒng)在加濕、除塵等方面有更高的要求。 外來(lái)人員進(jìn)入手續(xù)。防靜電 + 物理環(huán)境安全的內(nèi)容2/2/2023 177信息 安全管理物理 環(huán) 境安全涉及的主要技 術(shù)標(biāo) 準(zhǔn) （ 1） GB/T 28872023 《 電 子 計(jì) 算機(jī) 場(chǎng) 地通用 規(guī) 范》 （ 2） GB/T 93611988 《 計(jì) 算站 場(chǎng) 地安全要求》 （ 3） GB/T 147151993 《 信息技術(shù)設(shè)備用 UPS通用技術(shù)條件 》 （ 4） GB 501741993 《 電 子 計(jì) 算機(jī)機(jī)房 設(shè)計(jì)規(guī) 范》 計(jì) 算機(jī)機(jī)房建 設(shè) 至少 應(yīng) 遵循國(guó) 標(biāo) GB/T 28872023和 GB/T 93611988， 滿(mǎn) 足防火、防磁、防水、防盜、防 電擊 、防蟲(chóng)害等要求，并配 備 相 應(yīng) 的 設(shè)備 。 4)通信線(xiàn)路安全 ：包括防止電磁信息的泄漏、線(xiàn)路截獲，以及抗電磁干擾。 2/2/2023 174信息 安全管理 1）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。2/2/2023 172信息 安全管理第四節(jié) 信息安全技術(shù)167。2/2/2023 170信息 安全管理信息安全策略的執(zhí)行167。 在完成了大部分策略的編制工作后，需要對(duì)其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱(chēng)為 AUP。 互聯(lián)網(wǎng)的使用：167。 安全教育策略具體實(shí)施中應(yīng)有一定的層次：167。2/2/2023 163信息 安全管理恢復(fù)能力167。除了檢測(cè)已知類(lèi)病毒外，能否檢測(cè)未知病毒是一個(gè)重要指標(biāo)。 病毒檢測(cè)能力167。 不要將口令文件保存在本地機(jī)器或共享網(wǎng)絡(luò)上。2/2/2023 155信息 安全管理用戶(hù)口令的管理167。如：公司的運(yùn)作由法律保護(hù)嗎？對(duì)違反策略的員工有什么樣的紀(jì)律上的處罰？在法律上又能做些什么？2/2/2023 153信息 安全管理主要信息安全策略167。 編寫(xiě)策略的時(shí)候，有許多關(guān)于數(shù)據(jù)處理的事情是必須考慮的。 二、信息系統(tǒng)的數(shù)據(jù)167。2/2/2023 146信息 安全管理服務(wù)器安全管理167。2/2/2023 143信息 安全管理口令保護(hù)167。2/2/2023 140信息 安全管理敏感信息控制167。 通過(guò)增強(qiáng)安全小組的處理能力，在任何企業(yè)所有的計(jì)算機(jī)系統(tǒng)或組件中進(jìn)行安全性審核和風(fēng)險(xiǎn)評(píng)估。雖然文檔中的信息僅作為指導(dǎo)使用（建議僅是推薦使用，并不具有強(qiáng)制性），但是許多企業(yè)然希望將其作為安全策略使用（所有要求都是在企業(yè)內(nèi)部必須采用的）。 定義了什么是企業(yè)計(jì)算資源的可接收使用和不可接受使用的狀態(tài)，這些企業(yè)計(jì)算資源包括隱私、秘密信息、版權(quán)、主動(dòng)提供的通訊、防止硬件盜竊、自由言論和相關(guān)問(wèn)題等。 1遠(yuǎn)程訪(fǎng)問(wèn)和 VPN安全控制167。 審核和風(fēng)險(xiǎn)評(píng)估；167。2/2/2023 129信息 安全管理完整信息安全策略的覆蓋范圍167。2/2/2023 126信息 安全管理商業(yè)伙伴、客戶(hù)關(guān)系策略167。2/2/2023 122信息 安全管理安全教育策略167。2/2/