【正文】 82828282828282828282828282828282828282828282828282828282828282828282828創(chuàng)建、刪除、復(fù)制數(shù)據(jù)誰發(fā)送的、誰可以閱讀誰何時(shí)干了什么 信息安全管理的PDCA模式 安全管理－風(fēng)險(xiǎn)評估過程Asset Identification and Valuation 資產(chǎn)鑒別與評價(jià)Identification of vulnerabilities脆弱性的鑒別Identification of Threats威脅的鑒別Evaluation of Impacts沖擊的評估Review of Existing Security Controls現(xiàn)有的安全控制措施審查Identification of new Security Controls新安全控制措施的鑒別Policy and Procedures政策與程序Implementation and Risk Reduction實(shí)施與風(fēng)險(xiǎn)降低Risk Acceptance (Residual Risk)風(fēng)險(xiǎn)可接受度(殘余風(fēng)險(xiǎn))Risk Assessment風(fēng)險(xiǎn)評估Business Risk營運(yùn)風(fēng)險(xiǎn)Risk ManagementRating/ranking of Risks風(fēng)險(xiǎn)的分級 信息安全管理體系標(biāo)準(zhǔn)（ISO27001標(biāo)準(zhǔn)家族）n ISO/IEC 27000—基礎(chǔ)和術(shù)語。 什么是信息安全管理體系？信息安全管理體系是協(xié)調(diào)的活動(dòng)以指揮和控制：n 一組被分配職責(zé)和權(quán)限及關(guān)系的人和設(shè)備；n 保護(hù)信息的機(jī)密性、完整性和可用性；n 此外，其他的特性，如可鑒別性、可歸責(zé)性、不可抵賴性和可靠性也可以考慮。 信息安全懲戒（1） 全體員工（含臨時(shí)員工、派遣員工、實(shí)習(xí)員工、常駐外包員工）均應(yīng)遵守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司信息安全的行為。（3） 除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠(yuǎn)程管理僅限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。（3） 不允許在計(jì)算機(jī)系統(tǒng)上以無保護(hù)的形式存儲(chǔ)口令。（9） 郵件必須主題明確，能夠通過郵件主題判斷業(yè)務(wù)類別。（5） 懲戒A． 要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進(jìn)行教育或者處罰。C． 如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個(gè)人計(jì)算機(jī)和服務(wù)器上，而不應(yīng)該放在計(jì)算機(jī)活動(dòng)介質(zhì)中。（4） 網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使用。（2） 除非能安全保存，避免將口令記錄在紙上。信息資產(chǎn)責(zé)任人對所屬信息資產(chǎn)負(fù)直接責(zé)任。每個(gè)員工必須認(rèn)識到信息資產(chǎn)的價(jià)值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。類別說明電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各種電子化的數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)資料。用戶：信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能是因?yàn)闃I(yè)務(wù)需要而訪問公司信息的客戶或第三方組織。（7） 不得共享個(gè)人用戶口令。（4） 應(yīng)對信息進(jìn)行方便快捷的備份。3資產(chǎn)管理員按照公司的固定資產(chǎn)和消耗資材的報(bào)廢流程實(shí)施。 電子郵件安全使用規(guī)范（1） 公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息，包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信念、國籍等方面的攻擊性語言。 用戶注冊與權(quán)限管理策略 對任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：（1） 使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù)責(zé)。（3） 為防止計(jì)算機(jī)使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。 局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。在ISO 27001的標(biāo)準(zhǔn)里：216。n ISO/IEC 27001—信息安全管理體系要求， 已于2005年10月15日正式發(fā)布（ISO/IEC 27001:2005）。3）、可用性：需要時(shí)，授權(quán)實(shí)體可以訪問和使用的特性，確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源。（2） 公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況。（2） 對防火墻的接口IP地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理。（2） 在向用戶提供臨時(shí)口令時(shí)必須確保其安全，避免使用第三方或無保護(hù)的（明文）電子郵件，用戶應(yīng)對收到的口令予以確認(rèn)。（8） 公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。（4） 評價(jià)/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成事件或故障評價(jià)資料。B． 如果確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式清除。（3） 遠(yuǎn)程工作活動(dòng)結(jié)束時(shí)，權(quán)限以及設(shè)備及時(shí)收回。 信息資產(chǎn)處理和保護(hù)要求對應(yīng)表 企業(yè)機(jī)密企業(yè)秘密內(nèi)部公開一般授權(quán)需得到責(zé)任人和公司管理層批準(zhǔn)需得到相關(guān)責(zé)任人及部門領(lǐng)導(dǎo)批準(zhǔn)需得到責(zé)任人批準(zhǔn)無特別要求訪問只能被得到授權(quán)的公司極少數(shù)核心人員訪問只能被公司內(nèi)部或外部得到明確授權(quán)的人員訪問，訪問者應(yīng)該簽署保密協(xié)議可以被公司內(nèi)部或外部因?yàn)闃I(yè)務(wù)需要的人員訪問任何公司員工或外部人員都可以訪問存儲(chǔ)電子類的應(yīng)該加密存儲(chǔ)在安全的計(jì)算機(jī)系統(tǒng)內(nèi)；硬拷貝應(yīng)該鎖在安全的保險(xiǎn)柜