【正文】 可以將信息系統(tǒng)分為 兩個階段 ，即項目工程開發(fā)階段和運(yùn)行維護(hù)階段。 人員與組織管理 ：是要根據(jù)方針和策略來執(zhí)行的信息安全管理工作。 保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。 控制和保護(hù)主機(jī)及其系統(tǒng)，防止受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。2/2/2023 54信息 安全管理人員與組織管理167。 運(yùn)行維護(hù)管理167。 風(fēng)險管理167。 業(yè)務(wù)連續(xù)性管理不僅僅是災(zāi)難恢復(fù)、危機(jī)管理、風(fēng)險管理控制或者技術(shù)恢復(fù)，也不僅僅是一個專業(yè)的技術(shù)問題，更重要的是一個業(yè)務(wù)驅(qū)動和高層驅(qū)動的管理問題。在信息安全風(fēng)險管理過程中，要實施如下工作：167。 不斷運(yùn)用新技術(shù)、新方法是提高業(yè)務(wù)能力和競爭力水平的重要手段。167。2/2/2023 43信息 安全管理日常運(yùn)行于維護(hù)的安全管理167。 系統(tǒng)投入前的工程設(shè)計和開發(fā)階段；167。2/2/2023 39信息 安全管理數(shù)據(jù)安全167。 網(wǎng)絡(luò)系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個地理位置和業(yè)務(wù)場所?；谛畔⑾到y(tǒng)的各個層次，可相應(yīng)在如下層次中開展信息安全管理：167。 保障有足夠的人力資源從事信息安全保障工作；167。但從另一個方面來講，絕對的安全是無法實現(xiàn)的，因此，需要考慮資金投入和經(jīng)濟(jì)效益之間的平衡。 信息安全方針和策略 主要包括 對信息安全進(jìn)行總體性指導(dǎo)和規(guī)劃的管理過程。執(zhí) 行落 實 性 通 過檢查 、 監(jiān) 督、 審計 、稽核等手段促 進(jìn) 信息安全保障工作的落 實 。如果新技術(shù)勢在必行，應(yīng)該首先局部試點，然后逐步推廣，減少或避免可能出現(xiàn)的損失。2/2/2023 20信息 安全管理控制社會影響原則167。2/2/2023 18信息 安全管理全面防范、突出重點的原則167。2/2/2023 14信息 安全管理信息安全保證工作事關(guān)大局，企業(yè)、組織各級領(lǐng)導(dǎo)應(yīng)該把信息安全列為其最重要的工作內(nèi)容之一，并負(fù)責(zé)成提高、加強(qiáng)內(nèi)部人員的安全意識，組織有效的技術(shù)和管理隊伍，調(diào)動優(yōu)化配置必要的資源和經(jīng)費(fèi)，協(xié)調(diào)信息安全管理工作與各部門工作的關(guān)系，確保信息安全保障工作的落實和效果。 安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時，也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。2/2/2023 7信息 安全管理167。 日益增長的安全威脅167。 信息安全管理標(biāo)準(zhǔn)167。 安全影響167。信息安全管理體系定義2/2/2023 10信息 安全管理建立信息安全管理體系的意義167。 ISO27001非常強(qiáng)調(diào)信息安全管理過程中文件化的工作， ISMS的文件體系應(yīng)該包括安全策略、適用性聲明（選擇和未選擇的控制目標(biāo)和控制措施）、實施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開展的所有活動的證明材料。加強(qiáng)信息安全教育、培訓(xùn)和管理，強(qiáng)化安全意識和法制觀念，提升職業(yè)道德，掌握安全技術(shù)，確保措施落實是做好信息安全管理工作的重要保證。 信息安全管理工作的系統(tǒng)特征突出。 任何實體（如用戶、管理員、進(jìn)程、應(yīng)用或系統(tǒng)）僅享有該實體需要完成其任務(wù)所必需的特權(quán)，不應(yīng)享有任何多余的特權(quán)。要確保信息安全工作的相關(guān) 過 程具有 規(guī) 范性。2/2/2023 26信息 安全管理信息安全管理內(nèi)容流程規(guī)范性整體協(xié)調(diào)性執(zhí)行落實性變更可控性責(zé)任性持續(xù)改進(jìn)型計劃性合規(guī)性信息安全管理內(nèi)容2/2/2023 27信息 安全管理通過信息安全管理過程完成信息安全管理方面的要求。安全方針和策略需要有相應(yīng)的制定、審核和改進(jìn)過程。 人員和組織管理是信息安全管理的基本過程。2/2/2023 34信息 安全管理基于信息系統(tǒng)各個層次的安全管理167。另外，文檔和介質(zhì)是存儲數(shù)據(jù)的特殊載體，因此，也應(yīng)當(dāng)對其進(jìn)行適度的管理。2/2/2023 38信息 安全管理應(yīng)用和業(yè)務(wù)安全167。信息安全保障也涉及到信息系統(tǒng)生命周期的各個階段。 同步運(yùn)行2/2/2023 42信息 安全管理項目工程安全管理167。在信息安全管理中，這兩方面管理的作用尤為突出。只有將各種管理辦法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息安全管理工作進(jìn)一步得到落實和貫徹。2/2/2023 47信息 安全管理風(fēng)險管理167。167。 需要考慮的審核內(nèi)容包括： 法律和法規(guī)、內(nèi)部的方針和制度、技術(shù)標(biāo)準(zhǔn)以及其他需要遵循的各種范圍要求。 應(yīng)用于業(yè)務(wù)管理167。 信息安全建設(shè)不是避免風(fēng)險的過程，而是管理風(fēng)險的過程。2/2/2023 56信息 安全管理網(wǎng)絡(luò)與通信安全167。2/2/2023 60信息 安全管理項目工程管理167。2/2/2023 64信息 安全管理12項信息安全管理類的作用關(guān)系167。 根據(jù)方針與策略，由人員與組織實施信息安全管理工作。 BS 7799概述：167。 BS 7799最初由英國貿(mào)工部立項，是業(yè)界、政府和商業(yè)機(jī)構(gòu)共同倡導(dǎo)的，旨在開發(fā)一套可供開發(fā)、實施和衡量有效信息安全管理實踐的通用框架。 2023年 6月， ISO/IEC 17799:2023經(jīng)過改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 組織安全 ：包括在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架；維護(hù)被外部伙伴訪問、處理和管理的組織的信息，處理設(shè)施和信息資產(chǎn)的安全。 信息系統(tǒng)獲取、開發(fā)與維護(hù) ：安全需求分析，安全機(jī)制設(shè)計（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制167。 133項控制措施未必全面，可以根據(jù)實際情況進(jìn)行增補(bǔ)。 BSI提供依據(jù) BS77992所建立 ISMS的認(rèn)證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 實施安全意識和安全教育培訓(xùn)167。 確保改進(jìn)成果滿足預(yù)期目標(biāo)BS77992/ISO 270012/2/2023 87信息 安全管理強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括167。 明確管理職責(zé)167。 （ 2）對信息安全風(fēng)險及其構(gòu)成要素間關(guān)系的描述非常具體，對風(fēng)險評估方法過程的描述很清晰，可用來指導(dǎo)實施。 一、信息安全策略概述167。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會形成一個統(tǒng)一的有機(jī)整體，使得系統(tǒng)具有更好的安全性。 發(fā)生安全事故制定安全策略時，不要把重點放在攻破的地方，要從全局考慮安全問題；167。 制定信息安全策略的原則：167。 面對日趨嚴(yán)重的網(wǎng)絡(luò)犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子不會輕易發(fā)動攻擊。 闡述了企業(yè)對于特定安全問題的聲明、立場、適用辦法、強(qiáng)制要求、角色、責(zé)任的認(rèn)定等內(nèi)容，例如：針對 Inter訪問操作、計算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定用針對性的安全策略。 病毒防護(hù)策略167。 1系統(tǒng)變更控制策略167。2/2/2023 116信息 安全管理數(shù)據(jù)備份策略167。2/2/2023 121信息 安全管理事故處理、緊急響應(yīng)策略167。2/2/2023 125信息 安全管理系統(tǒng)變更控制策略167。 清晰，無須借助過多的需求文檔描述；167。 應(yīng)用程序提供上（ ASP）控制；167。 1實驗室管理；167。他能夠解決合法性問題，尤其是考慮到出口法律條款時。2/2/2023 133信息 安全管理防病毒流程167。提供替換、重新映像或?qū)徍讼到y(tǒng)與網(wǎng)絡(luò)組件并重新建立 Inter連接的指南。 定義了第三方如何訪問企業(yè) Inter的要求。 對于具有開發(fā)實驗室的企業(yè)來講，必須制定寬松的策略以進(jìn)行開發(fā)工作。2/2/2023 145信息 安全管理路由器安全控制167。2/2/2023 149信息 安全管理確定信息安全策略保護(hù)的對象167。 軟件：源程序、目標(biāo)程序、工具程序、診斷程序、操作系統(tǒng)、通信程序等。策略對那些需要訪問的人授權(quán)直接訪問的權(quán)力，對那些不該訪問的人，策略則要限制他們訪問。 口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存；167。 不可將自己的偶像用于口令167。 病毒防護(hù)策略必須具備下列準(zhǔn)則 ：167。2/2/2023 160信息 安全管理病毒檢測能力167。對于已知類病毒，可以使用專殺軟件；對于未知類病毒，在發(fā)現(xiàn)后使用軟件工具對他進(jìn)行分析，盡快編寫出消毒軟件。這一準(zhǔn)則對于戰(zhàn)時的軍事系統(tǒng)是必要的。 數(shù)據(jù)和應(yīng)用所有權(quán)：167。 管理機(jī)構(gòu)定期對安全教育和培訓(xùn)的成果進(jìn)行抽查和考核，檢驗安全教育和培訓(xùn)活動的效果。 術(shù)語說明： 將 AUP中涉及的術(shù)語名詞，以及 AUP簽署生效的有效時間進(jìn)行說明；167。167。 引言 實體安全技術(shù)主要是指對計算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通信線路等采取的安全技術(shù)措施。 3)設(shè)備安全 ：要保證硬件設(shè)備隨時處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。 6）計算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。防火 內(nèi)部裝修 + 計算機(jī)機(jī)房最好不要安排在底層或頂層，這是因為底層一般較潮濕，而頂層有漏雨、穿窗而入的危險。 2/2/2023 182信息 安全管理 機(jī)房三度要求 溫度、濕度和潔凈度并稱為三度 ，為保證計算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，對機(jī)房內(nèi)的三度都有明確的要求。 二類供電：需要建立帶備用的供電系統(tǒng)。 2/2/2023 186信息 安全管理 接地與防雷要求 接地與防雷是保 護(hù)計 算機(jī)網(wǎng) 絡(luò) 系 統(tǒng) 和工作 場 所安全的重要安全措施。 4） 堅 持 對設(shè)備進(jìn) 行例行 維護(hù) 和保養(yǎng)，并指定 專 人 負(fù)責(zé) 。接地可以 為計 算機(jī)系 統(tǒng) 的數(shù)字 電路提供一個 穩(wěn) 定的 0V參考 電 位，從而可以保 證設(shè)備 和人身的安全，同 時 也是防止 電 磁信息泄漏的有效手段。 2/2/2023 185信息 安全管理 防靜 電 措施 不同物體 間 的相互摩擦、接觸會 產(chǎn) 生能量不大但 電壓非常高的靜 電 。重要的計算機(jī)系統(tǒng)安放處還應(yīng)配備專用的空調(diào)系統(tǒng)，它比公用的空調(diào)系統(tǒng)在加濕、除塵等方面有更高的要求。 外來人員進(jìn)入手續(xù)。防靜電 + 物理環(huán)境安全的內(nèi)容2/2/2023 177信息 安全管理物理 環(huán) 境安全涉及的主要技 術(shù)標(biāo) 準(zhǔn) （ 1） GB/T 28872023 《 電 子 計 算機(jī) 場 地通用 規(guī) 范》 （ 2） GB/T 93611988 《 計 算站 場 地安全要求》 （ 3） GB/T 147151993 《 信息技術(shù)設(shè)備用 UPS通用技術(shù)條件 》 （ 4） GB 501741993 《 電 子 計 算機(jī)機(jī)房 設(shè)計規(guī) 范》 計 算機(jī)機(jī)房建 設(shè) 至少 應(yīng) 遵循國 標(biāo) GB/T 28872023和 GB/T 93611988， 滿 足防火、防磁、防水、防盜、防 電擊 、防蟲害等要求，并配 備 相 應(yīng) 的 設(shè)備 。 4)通信線路安全 ：包括防止電磁信息的泄漏、線路截獲，以及抗電磁干擾。 2/2/2023 174信息 安全管理 1）計算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。2/2/2023 172信息 安全管理第四節(jié) 信息安全技術(shù)167。2/2/2023 170信息 安全管理信息安全策略的執(zhí)行167。 在完成了大部分策略的編制工作后，需要對其進(jìn)行總結(jié)和提煉，產(chǎn)生的成果文檔被稱為 AUP。 互聯(lián)網(wǎng)的使用：167。 安全教育策略具體實施中應(yīng)有一定的層次：167。2/2/2023 163信息 安全管理恢復(fù)能力167。除了檢測已知類病毒外，能否檢測未知病毒是一個重要指標(biāo)。 病毒檢測能力167。 不要將口令文件保存在本地機(jī)器或共享網(wǎng)絡(luò)上。2/2/2023 155信息 安全管理用戶口令的管理167。如：公司的運(yùn)作由法律保護(hù)嗎？對違反策略的員工有什么樣的紀(jì)律上的處罰？在法律上又能做些什么？2/2/2023 153信息 安全管理主要信息安全策略167。 編寫策略的時候，有許多關(guān)于數(shù)據(jù)處理的事情是必須考慮的。 二、信息系統(tǒng)的數(shù)據(jù)167。2/2/2023 146信息 安全管理服務(wù)器安全管理167。2/2/2023 143信息 安全管理口令保護(hù)167。2/2/2023 140信息 安全管理敏感信息控制167。 通過增強(qiáng)安全小組的處理能力，在任何企業(yè)所有的計算機(jī)系統(tǒng)或組件中進(jìn)行安全性審核和風(fēng)險評估。雖然文檔中的信息僅作為指導(dǎo)使用（建議僅是推薦使用，并不具有強(qiáng)制性），但是許多企業(yè)然希望將其作為安全策略使用（所有要求都是在企業(yè)內(nèi)部必須采用的）。 定義了什么是企業(yè)計算資源的可接收使用和不可接受使用的狀態(tài)，這些企業(yè)計算資源包括隱私、秘密信息、版權(quán)、主動提供的通訊、防止硬件盜竊、自由言論和相關(guān)問題等。 1遠(yuǎn)程訪問和 VPN安全控制167。 審核和風(fēng)險評估；167。2/2/2023 129信息 安全管理完整信息安全策略的覆蓋范圍167。2/2/2023 126信息 安全管理商業(yè)伙伴、客戶關(guān)系策略167。2/2/2023 122信息 安全管理安全教育策略167。2/2/