【正文】 接地是指整個(gè) 計(jì) 算機(jī)系 統(tǒng) 中各 處電 位均以大地 電 位 為 零參考 電 位。為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)、除塵器是必不可少的設(shè)備。供配電系統(tǒng) + 空調(diào)系統(tǒng) + 火災(zāi)報(bào)警和消防設(shè)施+ 防水 + 同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。 經(jīng)過修訂的安全策略，必須經(jīng)過高級(jí)管理層的批準(zhǔn)和發(fā)布。2/2/2023 168信息 安全管理可接受使用策略 AUP167。2/2/2023 165信息 安全管理安全教育與培訓(xùn)策略167。 病毒總是有可能進(jìn)入系統(tǒng)的，系統(tǒng)中設(shè)置檢測(cè)病毒機(jī)制是非常必要的。 不要使用基于放在辦公室桌上的物品的口令167。 接下來 要考慮的就是強(qiáng)制執(zhí)行制度和對(duì)未授權(quán)訪問的的懲罰制度。 一、信息系統(tǒng)的硬件與軟件167。提供多個(gè)策略定義相關(guān)的標(biāo)準(zhǔn)并提出附加要求，如指定一名與管理員單一聯(lián)系的人員。2/2/2023 136信息 安全管理審核和風(fēng)險(xiǎn)評(píng)估167。2/2/2023 131信息 安全管理可接受的使用控制167。 引入評(píng)估控制；167。 系統(tǒng)變更控制策略包括設(shè)備、軟件配置、數(shù)據(jù)變更管理、一致性管理等。 數(shù)據(jù)備份策略包括適用范圍、備份方式、備份數(shù)據(jù)的安全儲(chǔ)存、備份周期、負(fù)責(zé)人等。 系統(tǒng)安全策略167。2/2/2023 107信息 安全管理信息安全策略的設(shè)計(jì)范圍167。 安全策略給用戶的印象是企業(yè)對(duì)安全問題非常認(rèn)真；167。 二、制定信息安全策略167。 通過安全風(fēng)險(xiǎn)評(píng)估確定控制目標(biāo)和控制措施167。 實(shí)施檢測(cè)和響應(yīng)安全機(jī)制BS77992/ISO 270012/2/2023 85信息 安全管理監(jiān)視和復(fù)查 ISMS（ CHECK）167。BS77991(ISO/IEC17799)2/2/2023 79信息 安全管理ISO/IEC 17799:2023列舉了十項(xiàng)適用于幾乎所有組織和大多數(shù)環(huán)境的控制措施：與法律相關(guān)的控制措施：（ 1） 知識(shí)產(chǎn)權(quán) ：遵守知識(shí)產(chǎn)權(quán)保護(hù)和軟件產(chǎn)品保護(hù)的法律；（ 2） 保護(hù)組織的記錄 ：保護(hù)重要的記錄不丟失，不被破壞和偽造；（ 3） 數(shù)據(jù)保護(hù)和個(gè)人信息隱私 ：遵守所在國(guó)的數(shù)據(jù)保護(hù)法律。167。167。在實(shí)施中主要從兩個(gè)角度來考慮問題，即風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理。 保護(hù)信息系統(tǒng)項(xiàng)目過程的安全，確保項(xiàng)目的成果是可靠的安全系統(tǒng)。沒有絕對(duì)的安全，風(fēng)險(xiǎn)總是存在的。2/2/2023 50信息 安全管理信息安全管理體系構(gòu)成167。 風(fēng)險(xiǎn)管理是基本管理過程之一。167。167。物理安全是上層安全的基礎(chǔ)。人員和組織是執(zhí)行信息安全保障工作的主體。通過信息安全管理過程驅(qū)動(dòng)信息安全技術(shù)的實(shí)施，達(dá)到信息安全在技術(shù)方面的要求。2/2/2023 23信息 安全管理選用成熟技術(shù)策略167。2/2/2023 17信息 安全管理適度安全原則167。 ISMS是組織整體管理體系的一部分，是組織在整體或特定范圍內(nèi)建立信息安全的方針和目標(biāo)，以及完成這些目標(biāo)所用的方法的體系。 信息安全策略167。系統(tǒng)一般包括下列因素：一種產(chǎn)品或者組件，如計(jì)算機(jī)、所有的外部設(shè)備等；操作系統(tǒng)、通信系統(tǒng)和其他相關(guān)的設(shè)備、軟件，構(gòu)成 了一個(gè)組織的基本結(jié)構(gòu)；多個(gè)應(yīng)用系統(tǒng)或軟件（財(cái)務(wù)、人事、業(yè)務(wù)等） it部門的員工內(nèi)部用戶和管理層客戶和其他外部用戶周圍環(huán)境，包括媒體、競(jìng)爭(zhēng)者、上層管理機(jī)構(gòu)。二、安全策略管理 分權(quán)制衡 最小特權(quán) 選用成熟技術(shù) 普遍參與。同時(shí)，信息安全又是一種狀態(tài)和動(dòng)態(tài)反饋過程，隨著安全利益和系統(tǒng)脆弱性時(shí)空分布的變化，威脅程度的提高，系統(tǒng)環(huán)境的變化以及人員對(duì)系統(tǒng)安全認(rèn)識(shí)的深化等，應(yīng)及時(shí)地將現(xiàn)有的安全策略、風(fēng)險(xiǎn)接受程度和保護(hù)措施進(jìn)行復(fù)查、修改、調(diào)整以至提升安全管理等級(jí)。因此，信息安全保障工作需要與其他方面的管理工作一起 協(xié)調(diào) 開展。 信息安全保障工作需要有足夠的資金支撐。因此在信息系統(tǒng)的安全保護(hù)中也 存在層次的特點(diǎn) ，對(duì)應(yīng)各個(gè)層次也有相應(yīng)的信息安全管理工作。對(duì)相應(yīng)應(yīng)用系統(tǒng)的安全管理要與具體的業(yè)務(wù)特點(diǎn)相結(jié)合。因此，對(duì)于一個(gè)信息系統(tǒng)，不應(yīng)當(dāng)在系統(tǒng)建設(shè)完成后再考慮信息安全問題，而應(yīng)當(dāng)從系統(tǒng)建設(shè)的初期開始，在建設(shè)的整個(gè)過程中同步考慮。2/2/2023 46信息 安全管理新技術(shù)、新方法的跟蹤和采用167。2/2/2023 48信息 安全管理業(yè)務(wù)連續(xù)性管理167。 項(xiàng)目工程管理167。2/2/2023 57信息 安全管理主機(jī)與系統(tǒng)管理167。2/2/2023 65信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。167。167。167。 識(shí)別和評(píng)估風(fēng)險(xiǎn)167。 適用性聲明167。 （ 2） ISO/IEC DIS 21827信息技術(shù) — 系統(tǒng)安全工程 — 能力成熟度模型 （ 3） SSECMM將系統(tǒng)安全工程成熟度劃分為 5個(gè)等級(jí) （ 4） SSECMM可以作為評(píng)估工程實(shí)施組織（如安全服務(wù)提供商）能力與資質(zhì)的標(biāo)準(zhǔn)。 理想情況下，制定信息安全策略的最佳時(shí)間是在發(fā)生第一起網(wǎng)絡(luò)安全事故之前。 嚴(yán)格的管理是確保信息安全策略落實(shí)的基礎(chǔ)167。 針對(duì)特定系統(tǒng)的具體策略，更為具體化和詳細(xì)化，闡明了特定系統(tǒng)與信息安全有關(guān)的使用和維護(hù)規(guī)則等內(nèi)容，如防火墻配置策略、電子郵件安全策略等等。 1復(fù)查審計(jì)策略2/2/2023 112信息 安全管理物理安全策略 網(wǎng)絡(luò)安全策略 數(shù)據(jù)加密策略數(shù)據(jù)備份策略 病毒防護(hù)策略 系統(tǒng)安全策略身份認(rèn)證及授權(quán)策略 ‘災(zāi)難恢復(fù)策略 事故處理、緊急響應(yīng)策略安全教育策略 口令管理策略 補(bǔ)丁管理策略系統(tǒng)變更控制策略商業(yè)伙伴、客戶關(guān)系策略復(fù)查審計(jì)策略信息安全策略2/2/2023 113信息 安全管理物理安全策略167。2/2/2023 122信息 安全管理安全教育策略167。2/2/2023 129信息 安全管理完整信息安全策略的覆蓋范圍167。 1遠(yuǎn)程訪問和 VPN安全控制167。雖然文檔中的信息僅作為指導(dǎo)使用（建議僅是推薦使用，并不具有強(qiáng)制性），但是許多企業(yè)然希望將其作為安全策略使用（所有要求都是在企業(yè)內(nèi)部必須采用的）。2/2/2023 140信息 安全管理敏感信息控制167。2/2/2023 146信息 安全管理服務(wù)器安全管理167。 編寫策略的時(shí)候，有許多關(guān)于數(shù)據(jù)處理的事情是必須考慮的。2/2/2023 155信息 安全管理用戶口令的管理167。 病毒檢測(cè)能力167。2/2/2023 163信息 安全管理恢復(fù)能力167。 互聯(lián)網(wǎng)的使用：167。2/2/2023 170信息 安全管理信息安全策略的執(zhí)行167。 2/2/2023 174信息 安全管理 1）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。 物理環(huán)境安全的內(nèi)容2/2/2023 177信息 安全管理物理 環(huán) 境安全涉及的主要技 術(shù)標(biāo) 準(zhǔn) （ 1） GB/T 28872023 《 電 子 計(jì) 算機(jī) 場(chǎng) 地通用 規(guī) 范》 （ 2） GB/T 93611988 《 計(jì) 算站 場(chǎng) 地安全要求》 （ 3） GB/T 147151993 《 信息技術(shù)設(shè)備用 UPS通用技術(shù)條件 》 （ 4） GB 501741993 《 電 子 計(jì) 算機(jī)機(jī)房 設(shè)計(jì)規(guī) 范》 計(jì) 算機(jī)機(jī)房建 設(shè) 至少 應(yīng) 遵循國(guó) 標(biāo) GB/T 28872023和 GB/T 93611988， 滿 足防火、防磁、防水、防盜、防 電擊 、防蟲害等要求，并配 備 相 應(yīng) 的 設(shè)備 。 外來人員進(jìn)入手續(xù)。 2/2/2023 185信息 安全管理 防靜 電 措施 不同物體 間 的相互摩擦、接觸會(huì) 產(chǎn) 生能量不大但 電壓非常高的靜 電 。 4） 堅(jiān) 持 對(duì)設(shè)備進(jìn) 行例行 維護(hù) 和保養(yǎng)，并指定 專 人 負(fù)責(zé) 。 二類供電：需要建立帶備用的供電系統(tǒng)。 計(jì)算機(jī)機(jī)房最好不要安排在底層或頂層，這是因?yàn)榈讓右话爿^潮濕，而頂層有漏雨、穿窗而入的危險(xiǎn)。 6）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 引言 實(shí)體安全技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)備和通信線路等采取的安全技術(shù)措施。 術(shù)語說明： 將 AUP中涉及的術(shù)語名詞，以及 AUP簽署生效的有效時(shí)間進(jìn)行說明；167。 數(shù)據(jù)和應(yīng)用所有權(quán)：167。對(duì)于已知類病毒，可以使用專殺軟件；對(duì)于未知類病毒，在發(fā)現(xiàn)后使用軟件工具對(duì)他進(jìn)行分析，盡快編寫出消毒軟件。 病毒防護(hù)策略必須具備下列準(zhǔn)則 ：167。 口令要定期更換（視網(wǎng)絡(luò)具體情況），更換后系統(tǒng)管理員要銷毀原記錄，將新口令記錄封存；167。 軟件：源程序、目標(biāo)程序、工具程序、診斷程序、操作系統(tǒng)、通信程序等。2/2/2023 145信息 安全管理路由器安全控制167。 定義了第三方如何訪問企業(yè) Inter的要求。2/2/2023 133信息 安全管理防病毒流程167。 1實(shí)驗(yàn)室管理；167。 清晰，無須借助過多的需求文檔描述；167。2/2/2023 121信息 安全管理事故處理、緊急響應(yīng)策略167。 1系統(tǒng)變更控制策略167。 闡述了企業(yè)對(duì)于特定安全問題的聲明、立場(chǎng)、適用辦法、強(qiáng)制要求、角色、責(zé)任的認(rèn)定等內(nèi)容，例如：針對(duì) Inter訪問操作、計(jì)算機(jī)和網(wǎng)絡(luò)病毒防治、口令的使用和管理等特定問題，制定用針對(duì)性的安全策略。 制定信息安全策略的原則：167。遵循安全策略的信息系統(tǒng)建設(shè)和管理將會(huì)形成一個(gè)統(tǒng)一的有機(jī)整體，使得系統(tǒng)具有更好的安全性。 （ 2）對(duì)信息安全風(fēng)險(xiǎn)及其構(gòu)成要素間關(guān)系的描述非常具體，對(duì)風(fēng)險(xiǎn)評(píng)估方法過程的描述很清晰，可用來指導(dǎo)實(shí)施。 確保改進(jìn)成果滿足預(yù)期目標(biāo)BS77992/ISO 270012/2/2023 87信息 安全管理強(qiáng)調(diào)文檔化管理的重要作用，文檔體系包括167。 BSI提供依據(jù) BS77992所建立 ISMS的認(rèn)證BS77992/ISO 270012/2/2023 83信息 安全管理 建立 ISMS（ PLAN）167。 信息系統(tǒng)獲取、開發(fā)與維護(hù) ：安全需求分析，安全機(jī)制設(shè)計(jì)（應(yīng)用系統(tǒng)安全，密碼控制，系統(tǒng)文件安全），開發(fā)和支持過程的安全控制167。 2023年 6月， ISO/IEC 17799:2023經(jīng)過改版，形成了新的 ISO/IEC 17799:2023,同年 10月推出了 ISO/IEC 27001:2023167。 BS 7799概述：167。2/2/2023 64信息 安全管理12項(xiàng)信息安全管理類的作用關(guān)系167。2/2/2023 56信息 安全管理網(wǎng)絡(luò)與通信安全167。 應(yīng)用于業(yè)務(wù)管理167。167。只有將各種管理辦法、管理過程、管理要求等通過文檔的形式明確下來，才能保證信息安全管理工作進(jìn)一步得到落實(shí)和貫徹。 同步運(yùn)行2/2/2023 42信息 安全管理項(xiàng)目工程安全管理167。2/2/2023 38信息 安全管理應(yīng)用和業(yè)務(wù)安全167。2/2/2023 34信息 安全管理基于信息系統(tǒng)各個(gè)層次的安全管理167。安全方針和策略需要有相應(yīng)的制定、審核和改進(jìn)過程。要確保信息安全工作的相關(guān) 過 程具有 規(guī) 范性。 信息安全管理工作的系統(tǒng)特征突出。 ISO27001非常強(qiáng)調(diào)信息安全管理過程中文件化的工作， ISMS的文件體系應(yīng)該包括安全策略、適用性聲明（選擇和未選擇的控制目標(biāo)和控制措施）、實(shí)施安全控制所需的程序文件、 ISMS管理和操作程序，以及組織圍繞 ISMS開展的所有活動(dòng)的證明材料。 安全影響167。 日益增長(zhǎng)的安全威脅167。 安全管理體系是安全技術(shù)體系真正有效發(fā)揮保護(hù)作用的重要保障，安全管理體系的涉及立足于總體安全策略，并與安全技術(shù)體系相互配合，增強(qiáng)技術(shù)防護(hù)體系的效率和效果，同時(shí)，也彌補(bǔ)當(dāng)前技術(shù)無法完全解決的安全缺陷。2/2/2023 18信息 安全管理全面防范、突出重點(diǎn)的原則167。如果新技術(shù)勢(shì)在必行，應(yīng)該首先局部試點(diǎn)，然后逐步推廣，減少或避免可能出現(xiàn)的損失。 信息安全方針和策略 主要包括 對(duì)信息安全進(jìn)行總體性指導(dǎo)和規(guī)劃的管理過程。 保障有足夠的人力資源從事信息安全保障工作；167。 網(wǎng)絡(luò)系統(tǒng)和通信系統(tǒng)使得信息系統(tǒng)可以覆蓋各個(gè)地理位置和業(yè)務(wù)場(chǎng)所。 系統(tǒng)投入前的工程設(shè)計(jì)和開發(fā)階段；167。167。在信息安全風(fēng)險(xiǎn)管理過程中，要實(shí)施如下工作：167。 風(fēng)險(xiǎn)管理167。2/2/2023 54信息 安全管理人員與組織管理167。 保護(hù)信息系統(tǒng)在運(yùn)行期間的安全，并確保系統(tǒng)維護(hù)工作的安全。 根據(jù)信息系統(tǒng)的生命周期，可以將信息系統(tǒng)分為 兩個(gè)階段 ，即項(xiàng)目工程開發(fā)階段和運(yùn)行維護(hù)階段。 1998年， BS 77992:1998《信息安全管理體系規(guī)范》發(fā)布167。 人力資源安全 ：包括崗位安全責(zé)任和人員錄用安全要求，安全教育與培訓(xùn)，安全意識(shí)，離職及變更職位等。（ 7）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程不受重大事故或?yàn)?zāi)難影響。 定期復(fù)審 ISMS的效力167。2/2/2023 90信息 安全管理 CC（ 1）信息技術(shù)產(chǎn)品和系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，是信息安全標(biāo)準(zhǔn)體系中非常重要的一個(gè)分支；是目前國(guó)際上最通行的信息技術(shù)產(chǎn)品及系統(tǒng)安全性測(cè)評(píng)標(biāo)準(zhǔn)，也是信息技術(shù)安全性評(píng)估結(jié)果國(guó)際互認(rèn)的基礎(chǔ)。 四、主要信息安全策略167