精华内容
下载资源
问答
  • 大数据安全管理指南 大数据安全管理原则 原则1 职责明确原则 原则2 意图合规原则
  • 概 述;概 述 ;参考图书;...1.4 信息安全管理原则;1.4 信息安全管理原则;1.4 信息安全管理原则;1.4 信息安全管理原则;1.4 信息安全管理原则;1.4 信息安全管理原则;1.5 信息安全管理的重要性
  • 信息安全8个总原则

    千次阅读 2019-09-21 15:32:54
    信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使...

    1、主要领导人负责原则。

    信息安全保护工作事关大局,影响组织和机构的全局,主要领导人必须把信息安全列为其最关心的问题之一,并负责提高、加强部门人员的认识,组织有效队伍,调动必要资源和经费,协调信息安全管理工作与各部门的工作,使之落实、有效。

    2、规范定级原则。

    有关部门或组织根据其信息重要程度和敏感程度以及自身资源的客观条件,应按标准确定信息安全管理要求的相应等级,并在履行相应的审批手续后,切实遵从相应等级的规范要求,制定相应的安全策略,并认真实施。

    3、依法行政原则。

    信息安全管理工作主要体现为行政行为,因此必须保证信息系统安全行政主体合法、行政行为合法、行政内容合法、行政程序合法。

    4、以人为本原则。

    威胁和保护这两个对立面是信息安全管理工作的主体。实践表 明它们在很大程度上受制于人为的因素。加强信息安全教育、培训和管理,强化安全意 识和法治观念,提升职业道德,掌握安全技术是做好信息安全管理工作的重要保证。

    5、注重效费比原则。

    安全需求的不断增加和现实资源的有限性使安全决策赴于两难境地。恰当地把握效费比是从全局上处置好信息安全管理工作的一个平衡点。

    6、全面防范、突出重点原则。

    全面防范是信息系统综合保障措施。它需要从人员、管理和技术多方面,在预警、保护、检测、反应、恢复和跟踪等多个环节上采用多种技术实施。同时,又要从组织和机构的实际情况出发,突出自身的信息安全管理重点。不同的部门、不同的信息系统应有不同的信息安全管理重点。

    7、系统、动态原则。

    信息系统安全管理的系统特征突出。要按照系统工程的要求,注意各方面,各层次、各时期的相互协调、匹配和衔接,以便能按照“木桶原理”体现信息保护安全管理的系统集成效果。同时,信息保护安全管理又是一种状态和过程,随着系统脆弱性及其强度的时空分布的变化,威胁程度的提高,系统环境的变化以及人员对系统安全认识的深化等,必须及时地将现有的安全策略、风险接受程度和保护措施进行复查、修改、调整以至提升安全管理等级。

    8、特殊的安全管理原则。

    在制定和实施安全策略和技术措施时,必须遵循安全管理的10个特殊原则。

    展开全文
  • 1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=521 一.大纲要求 1.3.1 信息安全管理制度与政策 * 熟悉...

    1.3 信息安全管理基础

    欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。

    备考交流QQ群:39460595

    https://www.moondream.cn/?p=521

    一.大纲要求

    1.3.1 信息安全管理制度与政策
    * 熟悉我国计算机信息系统等级保护制度
    * 了解我国涉及国家秘密的信息系统分级保护制度
    * 了解我国密码管理政策
    * 了解我国信息安全产品管理政策
    * 了解我国互联网信息服务管理政策

    1.3.2 信息安全风险评估与管理
    * 了解风险分析、评估和风险管理的基本知识

    二.思维导图

    展开全文
  • 十八、信息安全管理制度 (一)定义 指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。 (二)基本要求 1....

    十八、信息安全管理制度

    (一)定义

    指医疗机构按照信息安全管理相关法律法规和技术标准要求,对医疗机构患者诊疗信息的收集、存储、使用、传输、处理、发布等进行全流程系统性保障的制度。

    (二)基本要求

    1.医疗机构应当依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,完善组织架构,明确管理部门,落实信息安全等级保护等有关要求。

    2.医疗机构主要负责人是患者诊疗信息安全管理第一责任人。

    3.医疗机构应当建立患者诊疗信息安全风险评估和应急工作机制,制定应急预案。

    4.医疗机构应当确保实现本机构患者诊疗信息管理全流程的安全性、真实性、连续性、完整性、稳定性、时效性、溯源性。

    5.医疗机构应当建立患者诊疗信息保护制度,使用患者诊疗信息应当遵循合法、依规、正当、必要的原则,不得出售或擅自向他人或其他机构提供患者诊疗信息。

    6.医疗机构应当建立员工授权管理制度,明确员工的患者诊疗信息使用权限和相关责任。医疗机构应当为员工使用患者诊疗信息提供便利和安全保障,因个人授权信息保管不当造成的不良后果由被授权人承担。

    7.医疗机构应当不断提升患者诊疗信息安全防护水平,防止信息泄露、毁损、丢失。定期开展患者诊疗信息安全自查工作,建立患者诊疗信息系统安全事故责任管理、追溯机制。在发生或者可能发生患者诊疗信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定向有关部门报告。

    【释义】

    1.信息安全全流程系统性保障制度包括哪些方面?

    答:医疗机构信息安全全流程应覆盖医院信息系统(HIS)及其各子系统(RIS、LIS、PACS、0A等),医院信息上传与共享接口的所有内容。系统性保障应能对全流程所涉及的所有信息提供系统保护和相应的机密性和完整性服务能力。保障制度则是对应以上日标所形成的管理制度、规章与操作流程体系。

    信息安全全流程系统性保障制度主要包括技术性安全文件体系和安全管理制度。

    技术性安全文件体系主要对信息系统技术要求、物理安全、网络安全、数据安全、主机安全和应用安全提出构建要求和基本配置要素。

    安全管理制度包括医疗机构安全管理机构制度、安全管理制度、信息操作人员安全管理、系统建设管理制度、系统运行维护管理制度体系和安全应急预案。管理制度之下应建立标准化操作规程作为补充。

    系统性保障制度必须关注信息系统“六类”安全,包括真实性、完整性、保密性、可用性、可靠性和可控性。增强信息系统安全防护能力、隐患发现能力和应急响应能力。

    医疗机构主要负责人是信息安全管理第一责任人。

    2.如何进行信息安全等级划分?

    答:根据《中华人民共和国计算机信息系统安全保护条例》(1994年,国务院147号令)第九条的规定,计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

    1999年9月13日,由公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999),并于2001年1月1日实施。

    其中把计算机信息安全划分为五个等级。第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级,结构化保护级;第五级,访问验证保护级。

    根据原卫生部《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)要求,以下重要卫生信息系统安全保护等级原则上不低于第三级。

    (1)卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统。

    (2)国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心。

    (3)三级甲等医疗机构的核心业务信息系统。

    (4)原卫生部网站系统。

    (5)其他经过信息安全技术专家委员会评定为第三级以上(含第三级)的信息系统。

    卫生健康行业各单位在确定信息系统安全保护等级后,对第二级以上(含第二级)信息系统,应当报属地公安机关及卫生健康行政部门备案。跨省全国联网运行并由原卫生部定级的信息系统,由卫生部报公安部备案;在各地运行、应用的分支系统,应当报属地公安机关备案。

    3.医疗信息安全的组织架构及分工职责是什么?

    答:医院信息安全领导小组和工作小组是医院层面负责信息安全工作的主要机构。

    信息安全领导小组由院长任组长,主管信息化的副院长和信息管理部门负责人担任副组长。领导小组主要负责信息安全规划、日常信息安全方向指引、上级主管部门政策与文件落实、信息安全建设、业务连续性保障协调、安全组织与供应商的沟通。

    信息安全工作小组由信息管理职能部门负责人任组长,信息中心所有人员参加,应覆盖系统管理、数据库管理、网络管理和安全保障管理等岗位。工作小组负责落实领导小组各项决议,并负责日常信息安全管理实施与督查。

    领导小组和工作组应拟定包括安全运维手册、数据备份要求、应急响应预案和安全配置指南在内的基本制度,并每隔半年或在发生重大变化时进行修订。

    工作小组应定期组织信息安全培训和相关考核,开展新员工入职背景调查并存档,制定第三方单位及人员信息安全管理制度。

    4.实施医疗机构信息安全管理问责制有哪些内容?

    答:医疗机构主要负责人是信息安全管理第一责任人。

    医疗机构应建立与完善信息安全管理组织的工作制度与程序。

    建立与完善计算机信息系统硬件与软件的采购、验收制度与程序。

    明确信息系统使用与管理人员的岗位职责,并对提供与使用的信息可信度及安全负责。

    明确计算机信息系统专职管理人员离岗制度与交接程序。

    5.如何建立与完善计算机信息系统的安全管理制度与流程?

    答:计算机信息系统的安全管理制度与流程的覆盖层面,至少包括关于患者的所有数据和图片等,对不同的数据资料制定不同的保护路径措施(比如,数字与图像),所有权属患者个人。

    根据数据安全保护制度建立技术标准,利用存储及备份技术、网络安全监控技术、信息加密技术、访问控制技术加以保护。

    建立与完善计算机信息系统网络安全漏洞检测和系统升级管理制度、操作权限管理制度、用户登记制度、信息发布审查、登记、保存、清除和备份制度。

    明确任何单位和个人不得用计算机信息系统从事的行为,有清单/目录告知有操作权限的员工,并定期对其进行培训和教育。

    定期、不定期由医院内部与外部信息安全评估组织,进行医院信息系统安全评估,用制度与程序来保障,将安全评估的结果用于网络安全持续改进活动。

    6.如何根据医疗机构患者诊疗信息安全风险评估的内容制定应急预案?

    患者诊疗信息在录入、储存、调阅、输出过程中始终存在安全风险。通过网络链接、数据接口、第三方共享平台等形式,患者信息还有进步被泄露和篡改的风险。因此应急预案的拟定是必要的,也是应对信息安全风险的基础与前提。

    预案应至少包括但不限于以下内容。组织机构:网络与信息安全应急小组应由医疗机构负责人担任第一责任人。小组负责信息安全日常事务处理、应急处理及安全通报等事务。

    工作原则:逐级建立并落实统计信息系统责任制和应急机制;按照法规规定职责和流程;积极预防、及时预警;积极提升应急处理能力;各部门协同配合开展工作。

    应急措施:基本应急处理流程应至少包括报告和简单处理;故障判断与排除;网络线路故障排除;黑客入侵应急处理;大规模病毒(含恶意软件)攻击的应急处理等预案和处置原则。

    运营应急措施:医院HIS局部或全部瘫痪状况下临床运营处置预案。

    7.医疗机构建立患者诊疗信息保护制度应当包含哪些方面?

    答:患者诊疗信息是指医疗机构在提供医疗服务过程中产生的,以一定形式记录、保存的信息以及其他与医疗卫生服务有关的信息,包括患者的个人基本信息、挂号信息、就诊信息、住院医嘱信息、费用信息、影像资料和检验结果等各种临床和相关内容组成的患者信息群集。

    诊疗信息保护制度应包括获取制度、修改制度和安全保障制度。

    获取制度原则包括获取行为的界定,例如,报销、外院就诊、案件审理、临床研究等;个人获取流程和必需材料;政府或社会组织获取流程和依据材料。

    修改制度原则包括患者个人信息修改流程和医务人员医嘱、诊断等敏感信息修改流程。

    安全保障制度原则包括任何患者的所有电子信息资料在未经主管领导的批准下只许在医疗机构内部管理,不得转出;患者资料通过分级权限管理保护及诊治;未经患者本人的许可,不得将其疾病及相关隐私信息传播给他人。

    8.为什么要建立分级授权制度?

    医院信息系统在实际意义上属于开放式系统,大量个人信息和敏感数据存在于HIS和各子系统中,并不断被调阅使用。另外,还有大量的数据上传和分享接口。大部分医疗机构对外网页还设置了内网或协同办公系统登录界面。

    医院信息系统工作人员既包括医院信息工程师,也包括大量系统外包的场地工程师、系统维护人员等。根据不同人员身份和岗位性质,设立严格的登录和操作权限授权是非常必要的。考虑到授权工作的唯一性和动态变化,采取分级管理模式才具有可行性。

    9.员工授权管理制度包括哪些方面?

    员工授权管理制度应包括内部人员授权管理制度、外包人员授权管理制度和授权变更管理制度。

    医院信息系统相关的所有授权和审批事项的制度,必须明确各授权和审批的部门和责任人。信息安全管理各环节的流程中授权和审批部分均需按照本授权和审批事项的制度执行。

    内部人员授权管理由医疗机构信息安全领导小组主导并起始,实施按层级分级授权和负责制度。

    外包人员授权管理应由医疗机构信息安全工作小组组长授权,并按层级和部门岗位予以授权,并向授权方负责。没有经过正式授权的临时信息系统维护需求,可由信息安全工作小组组长临时授权同意后补充授权记录。

    重点加强对被授权者及其访问权限操作行为的合规性进行监管,评估与记录在案:①建立与完善记录操作日志,记录一定周期内的行为日志,通过软件系统逐一识别,确定操作行为的合规性;②建立操作系统识别库,对于不属于识别库行为,系统要给予报警,直至下调授权等次或中止授权。

    10.如何防止医疗信息泄露、毁损和丢失?

    答:首先,应按照信息安全等级要求,建立严格的信息分级安全管理系统和配套工作制度。

    其次,应建立严格的信息分级授权制度体系并常态化运行。

    授权审批应严格根据工作岗位和工作内容而定。

    最后,建立主数据双备份制度。对医疗信息均要求保存备份数据和数据表,并保持良好的兼容互通。

    11.发生泄露事件后应急预案要点有哪些?

    泄密类信息安全事件不同于一般的信息安全事件。应急处置基本原则要求有以下几点。

    ①泄密发现人员在第一时间先就泄密事件本身保密;②如已掌握涉密情况,则选择具有相应涉密级别的人员进行报告或直接报告医院信息安全领导小组组长;③如未掌握涉密情况,应向上一级信息安全主管报告;④处置过程保密。

    12.如何建立患者诊疗信息安全事故责任的追溯机制?

    答:根据信息安全分级授权和信息分级保护要求,信息安全事故责任须进行逐级追溯。

    根据隐私泄露溯源应从最终数据应用者向个人数据源头搜寻的原则,建立溯源技术标准体系、患者诊疗数据使用登记制度、溯源监管制度和溯源奖惩制度。

    溯源技术标准体系主要为实现技术可行性。患者诊疗数据使用登记制度为实现数据跟踪和溯源有迹可循。溯源监管和奖惩制度主要是强化溯源机制的威慑与强制作用。

    13.如何实施软件安全管理?

    答:实施软件安全管理,应从以下四个方面进行管理,但不限于此。

    (1)医疗机构临床信息系统软件的管理和维护,应由本机构计算机信息系统的专职管理员负责实施日常的管理和维护。

    (2)若由开发该软件的公司负责维护的医疗机构,各科室应向计算机信息系统专职管理员书面报告每次维护的情况并备案。

    (3)由各科室自行开发或应用新的软件、上级或政府职能部门指定统一使用的,均必须按照规定的程序申报,经医院信息安全管理组织讨论批准后方可应用。

    (4)为了防止计算机信息系统被病毒感染或者扩散病毒,任何个人及部门科室均不得自行使用杀毒的软盘、光盘、U盘等储存介质。

     

     

    展开全文
  • 信息安全管理01

    千次阅读 2018-01-24 09:03:21
    其中技术是基础,只有在技术有效时,制度和人才是关键,信息安全管理体系从用户的角度看更强调七分管理、三分技术,在实际运行中三要素就象一个三角支架,三条腿一样长,系统才能保持平衡。 发达国家经过多年的研究...

    文章出自:http://blog.csdn.net/xsr/article/details/16386?utm_source=jiancool

    信息安全管理体系的三要素是:人、制度和技术;其中技术是基础,只有在技术有效时,制度和人才是关键,信息安全管理体系从用户的角度看更强调七分管理、三分技术,在实际运行中三要素就象一个三角支架,三条腿一样长,系统才能保持平衡。

    发达国家经过多年的研究,已形成完善的信息安全管理方法,并用可以普遍采用的标准形式表达出来,即: British Standard 7799信息安全管理体系(ISO/IEC 17799)指出的安全管理的内容:信息安全政策、信息安全组织、信息资产分类与管理、个人信息安全、物理和环境安全、通信和操作安全管理、存取控制、信息系统的开发和维护、持续运营管理等等。

    从信息安全管理三要素看:计算机网络与信息安全=信息安全技术+信息安全管理体系(技术+人+制度)。在技术层面和管理层面的良好配合,是组织实现网络与信息安全系统的有效途径。其中,信息安全技术通过采用包括建设安全的主机系统和安全的网络系统,并配备适当的安全产品的方法来实现:在管理层面,则通过构架信息安全管理体系(落实制度和人员培训)来实现。

    British Standard 7799的信息管理过程是:

    ·确定信息安全管理方针和信息安全管理体系的范围

    ·进行风险分析

    ·根据风险分析,建立信息安全管理体系(制度和技术体系)

    ·建立业务持续计划并实施安全管理体系

    一、确定信息安全管理体系的范围

           即在组织内选定在多大范围内构架信息安全管理体系。企业现有的组织结构是定义信息安全管理体系范围需要考虑的最重要的方面。

    二、进行风险分析:

    信息安全风险评估的复杂程度将取决于风险的复杂程度受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致  

    (一)资产评估

    使企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。

    在评估过程,企业要采用能够充分利用结合优秀的传统方法及连网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性的进行操作。

    )风险评估

    基本风险评估

    仅参照标准所列举的风险对组织资产进行风险评估的方法。标准罗列了一些常见信息资产所面对的风险及其管制要点,这些要点对一些中小企业(如业务性质较简单、对信息、信息处理和计算机网络依赖不强或者并不从事外向型经营的企业)来说已经足够;但是,对于不同的组织,基本风险评估可能会存在一些问题。一方面,如果组织安全等级设置太高,对一些风险的管制措施的选择将会太昂贵,并可能使日常操作受到过分的限制;但如果定得太低,则可能对一些风险的管制力度不够。另一方面,可能会使与信息安全管理有关的调整比较困难,因为,在信息安全管理系统被更新、调整时,可能很难去评估原先的管制措施是否仍然满足现行的安全需求。

    威胁识别

    要想制定成功的策略一定要知己知彼,不但要了解企业的自身状况,还要了解威胁到企业安全的各种内忧外患。可能由于人 员的原因(疏忽、跳槽、破坏)、竞争对手原因(商业间谍、收买、盗窃、网络攻击)和自然灾害(火灾、水灾、地震)等 原因,在一瞬间被毁灭、消失、损坏、盗窃、贬值、转移,给企业带来致命的打击。

    根据风险管理决策,企业可以采取三种基本态度:接受—如果暴露小,保护成本高,可以选择接受风险;分散——如果将风险分散给其它人的成本低于直接保护,可以采取分散做法,购买火灾保险而不是修建消防大楼就属于分散风险;避免——如果需要,公司可以采取必要的措施防止安全问题发生,或者使安全事件减少或减少引起的损害。以正确的态度及时采取措施是决定企业命运的关键,所以采取何重态度直接决定着企业风险评估的准确与否。

    组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。

    三、建立信息安全管理体系(制度和技术体系)

    管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱衡量(如商誉的损失等)。由于信息安全是一个动态的系统工程,组织应时时对选择的管制目标和管制措施加以校验和调整,以适应变化了的情况,使组织的信息资产得到有效、经济、合理的保护。

    准备信息安全适用性申明:信息安全适用性申明纪录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全面对的风险的态度,在更大程度上则是为了向外界表明组织的态度和作为,以表明组织已经全面、系统地审视了组织的信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。

    信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。要实施一个完整信息安全管理体系,至少应包括三类措施。一是社会的法律政策企业的规章制度以及信息安全教育等外部软环境;二是信息安全的技术的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等;三是审计和管理措施,该方面措施同时包含了技术与社会措施有:实时监控企业安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,主要目的是使信息安全管理体系持续运行。企业要实施一个安全的系统应该三管齐下。其中法律、企业领导层的重视应处于最重要的位置。

    建立并实施安全管理体系

    安防制度是安全防护体系的基础。安防制度是这样一份或一套文档:它从整体上规划出在企业内部实施的各项安防控制措施。规章制度不是技术指标,它在企业里起的作用主要有三点:

    ·明确员工的法律责任;

    ·对保密信息和无形资产加以保护,使之免于盗窃、误用、非授权公开或修改;

    ·防止浪费企业的计算机资源。

    写在纸面上的规章制度不过是把公司纲领传达给各个员工的手段。规章制度一定要正式发布,正式发布的规章制度才能做为法律证据。

    规章制度的生命周期(即制度的制定一推行一监督实施)是我们在制定、推行、和监督实施规章制度时所必须遵循的过程。规章制度的编制工作是以风险评估工作的结论为基础制定出消除、减轻和转移风险所需要的安防控制措施。要用简明易懂的文字来书写它们,不要弄得过于复杂。规章制度的推行,规章制度的推行阶段说的是企业发布执行规章制度的工作。必须保证对不遵守制度的行为的惩罚与该行为本身相匹配,对每次违反规章制度的行为都要进行惩罚。如果规章制度的推行工作不严格,安防体系将难以实施。监督实施工作需要常抓不懈。这项工作需要长期反复的进行,必须要确保它们能够踉上企业的发展和变化。

    规章制度的制定,从全局的角度看,规章制度的制定工作包括以几个方面:明确关键性的商务资源和政策制度、界定企业中的各个岗位、确定企业各岗位人员的权力和义务。也可以以British Standard 7799信息安全管理体系(ISO/IEC 17799)蓝本,这套标准把安防制度分为十大部分,内容覆盖信息系统决策和制度制定工作所涉及的一切问题。10个部分及其作用是:

    四、British Standard 7799信息安全管理体系(ISO/IEC 17799)蓝本

    1 商务活动减灾恢复计划

    ·从大多数失误和灾难造成的后果开始恢复企业运转及其关键性业务流程的行动计划。

    2系统访问权限控制

    ·对信息的访问加以控制;

    ·防止出现针对信息系统的非受权访问;

    ·保护网络上的服务切实有效;

    ·防止出现计算机硬件设备的非授权访问;

    ·检测有无非授权访问;

    ·报正人员旅行时或电信线路上的信息安全。

    3系统开发和维护

    ·确保可以让人们操控的系统上都已建好安全防护措施。

    ·防止应用系统里出现用户数据的丢失、修改和滥用现象。

    ·保护信息的保密性。与用户身份的对应性和完整性。

    ·确保IT项目及其支持性活动以一种受保护的方式来开发进行。

    ·维护应用系统中的软件和数据的安全性。

    4物理和环境的安防考虑

    ·防止出现针对企业根基和信息方面的非授权访问、损坏和干扰。

    ·防止企业资产出现丢失、损坏、不正当使用,防止业务活动出现中断;

    ·防止信息和信息处理设备的不正当使用和盗窃.

    5遵守法律和规定

    ·避免违反一切刑事和民事法律;避免违反法令性、政策性、及合同性义务;避免违反安防制度要求;

    ·证企业的安防制度符合国际、国内的相关标准。

    ·最大限度地发挥企业监督机制的效能,减少它带来的不便。

    6人为因素的安防考虑

    ·减少信息处理设备在人为失误、盗窃、伪造、滥用等方面的风险;

    ·确保用户明白信息安全方面的威胁和关注重点,在其日常工作过程中懂得使用必要的设备来支持公司的安防制度;

    ·把安防事故和意外的损失减少到最小,并从这类事件中吸取教训。

    7企业组织的安防考虑

    ·加强企业内部的信息安防管理;

    ·对允许第三方访问的企业信息处理设备和信息资产进行安全防护;

    ·对外包给其他公司信息处理业务所涉及到的信息进行安全防护。

    8计算机和网络管理

    ·确保对信息处理设备的操作是正确和安全的;

    ·减少系统故障方面的风险;

    ·保护软件和信息的完整性;

    ·注意维护在处理和通信过程中的完整性和可用性;

    ·确保网上信息的安防监控以及相关支持体系的安全防护;

    ·防止出现损坏企业资产和中断公司业务活动的的行为;

    ·防止企业之间的交流信息被丢失、修改或滥用。

    9资产分类和控制

    对公司资产加以适当的保护措施,确保无形资产都能得到足够级别的保护。

    10安防制度

    提供信息安防方面的管理方针和支持服务。

    严格的信息安防制度必须包括以下几项重点内容:

    ·必须有明晰信息所有权的条款。

    ·必须规定员工/用户在保护信息资产方面的责任。

    ·必须制定出对不遵守制度现象的惩罚措施。

    为避免出现漏洞而给出了以下几条建设:

    在制定信息安防制度时要注意考虑企业文化,许多安防方面的规章制度都是参考制度模板或者以其他企业的规章制度为样板而制定出来的。与企业文化和公司业务活动不相适应的信息安防制度往往会导致发生大范围的不遵守现象。

    规章制度必须有现实意义,必须由管理层明确签发一在正式发布规章制度之前,应该先调查清楚用户对这套制度的接受程度如何,还应该把网络系统和业务流程改造多方面的开支计划安排好。不要低估规章制度宣传工作的作用要想让员工自觉地遵守规章制度,就必须先把制定规章制度的道理向他们讲清楚.举办学习会,在会上宣布开始执行这套规章制度,并把企业领导签发的通知书下发给每一位员工。发布规章制度的时候,必须写明其监督实施办法,制定出正式执行这套规章制度的时间表要把例外情况的审批手续和不遵守规章制度现象的汇报手续解释清楚,这是非常重要的。应该给员工发一些提醒他们遵守制度的小物品,甚至可以准备一些自查表好让员工和部门经理能够对制度的遵守情况进行自查。规章制度必须包括适当的监督机制,必须有对不遵守现象的纪律处罚手段,为了保证能够发现和纠正对规章制度的错误理解、保证能够发现和纠正不遵守规章制度的现象,安防制度里必须有相应的监督实施办法,企业应该尽可能采用一些自动化的工具对规章制度的执行情况做定期的检查。如果采用人工方法进行检查,就必须有一个定期的常规检查计划一对恶性事故的原因和责任必须做正式的追查;违反规定的行为要视情节轻重进行处罚;纪律面前,人人平等,事故处理办法里应该说明怎样来调查和收集证据,在什么情况下需要提请司法机关介入最后,应该定期对遵守、例外、和违反规章制度的情况进行总结并与企业领导进行交流,让他们了解制度的执行情况,支持你的工作要想制定出一套成功的信息安防制度,其关键在于下问几个问题的答案:员工理解正确使用情况和不正确使用情况之间的区别吗;对明显违反制度的行为,员工会报告吗;对明显违反制度的行为,员工知道应该怎样报告吗。

     

    以下内容是安防制度里的几个重要组成部分:

    计算机上机管理制度

    计算机上机管理制度讨论和定义了公司计算机资源的正确使用办法。应该要求用户在开设账户时阅读和签署这份协议。用户有责任保护保存在其里的信息资料、这一点必须在协议里写清楚。用户的个人电子邮件的使用级别也要在协议里写清楚。这项制度要回答以下几个问题:

    ·用户能否查阅和复制自己有访问权仍不属于他们的文件;

    ·用户能否修改自己有写权限但不属于他们的文件;

    ·用户能否复制系统配置文件(如etc/passwd和SAM)供个人使用或复制给其他人;

    ·用户能否使用.rhosts文件。可以设置使用哪几个数据项;

    ·用户能否共享帐户;

    ·用户能否复制版权机软件。

     

    用户账户管理制度

    用户账户管理制度给出的是申请和保有系统账户的要求。大公司里的计算机用户经常会在好几个系统上有账户,所以这个制度对它们来说非常重要。批阅读和签署这份协议做为申请开设账户的一项手续是个比较好的办法。用户账户管理制度需要问答以下几个问题:

    ·谁有权批准开设帐户的申请;

    ·谁(员工、配偶、儿童、公司访客等)被允许使用公司的计算机资源;

    ·用户能否在一个系统上开设多个账户;

    ·用户能否共享账户;

    ·用户都有哪些权利和义务;

    ·账户都会在什么时候被禁用和归档;

     

    远程访问管理制度

    远程访问管理制度规定了公司内部网络的远程连接办法。这个制度对今天的企业有很重要的意义,因为用户和网络可能分布在广大的地域上。这个制度应该把允许使用的远程访问内部资源的手段都包括进来,比如拨号(SLIP、PPP)、ISDN/帧中继、经过因特网的Telnet访问、有线电视调制解调器/DSL,等等。这项制度需要回答以下几个问题:

    ·哪些人有权使用远程访问服务?

    ·公司支持哪几种连接方法(比如只支持宽带调制解调器/DSL或拨号);

    ·内部网络上是否允许使用向外拨号的调制解调器;

    ·远程系统上有没有额外的使用要求—比如强制性的杀毒软件和安防软件;

    ·员工家庭里的其他成员能否使用公司的网络;

    ·对被远程访问的数据是否有限制。

     

    信息保护管理制度

    化息保护管理制度规定了用户在处理、保存和传输敏感数据时的正确做法.这个制度的主要目的是要确保受保护信息不会被在非授权的情况下被修改和公开。公司的现有员工都必须签署这份协议,新员工在岗位培训时必须学习这项制度、信息保护管理制度需要问答以下几个问题:

    ·信息的敏感级别是如何设定的;

    ·哪些人可以访问到敏感的信息;

    ·敏感信息是如何保存和传输的;

    ·哪个级别敏感信息允许在公共打印机上打印出来;

    ·如何从存储介质上删除敏感信息(碎纸机、硬盘整理、软盘消磁等)。

    防火墙管理制度

    防火墙管理制度规定了防火墙硬件和防火墙软件的管理办法,规定了改变防火墙配置、的时的审批手续这项制度需要问答以下几个问题:

    ·哪些人有防火墙系统的访问权;

    ·如果需要改变防火墙的配署情况,需要向谁提出申请;

    ·如果需要改变防火墙的配置情况,申请将由谁来批准;

    ·哪此人可以看到防火墙的配置规则和它的访问清单;

    ·防火墙配置情况的检查周期是多长时间。

     

    特殊访问权限管理制度

    特殊访问权限管理制度规定了系统特殊账户(根用户账户、系统管理员账户等)的申请和使用办法。这项制度需要回答以下几个问题:

    ·特殊访问权限需要向谁提出申请;

    ·特殊访问权限需要由谁来批准;

    ·特殊访问权限的口令字规则是什么;

    ·多长时间改变一次口令;

    ·什么理由或情况会导致用户的特殊访问权限被取消。

     

    网络连接设备管理制度

    网络连接设备管理制度规定了给网络增加新设备的要求,它需要回答以下几个问题:

    ·哪些人有权在网络上安装设备;

    ·安装新设备需要由谁来批准;

    ·安装新设备时应该通知哪些人;

    ·网络设备的增减情况由谁来记录;

    ·对网络上新增加的设备有没有安防要求。

     

    商业伙伴管理制度

    商业伙伴管理制度规定了企业的商业伙计公司都应该具备什么样的安防条件。随着电子商务的发展,公司内部网络对商业伙伴、顾客、供应商的开放程度越来越大,商业伙伴管理制度也就越来越重要。这方面的规定在每一份商业伙伴协议里都会有很大的变化,但它至少需要回答以下几个重要的问题:

    ·是否要求每一个商业伙伴公司都必须有一份书面的安防制度;

    ·是否要求每一个商件伙伴公司都必须有个防火墙或其他网络边界安防设备;

    ·通信交流是如何进行的(因特网上的VPN虚拟专用网、租用专线、等等);

    ·如果想访问商业伙伴的信息资源,应该如何提出申清。

    其他重要规定

    你可能还需要制定其他几项规章制度,比如说:

    ·无线网络管理制度—帮助加强无线网络的安全防护措施,内容包括哪些设备可以无线接入、需要采取哪此安防措施,等等;

    ·实验室管理制度—如果企业里有一个测试实验室,就要用这项制度来保护内部网络免受其影响而降低安全性。最好是让测试实验室另外使用一条完全独立的同特网连接,使它与公司内部的业务网络没有什么连接通路。

    ·个人数字助理(PDA)管理制度—这项制度明确了是否允许PDA设备连接到公司的内部网络、怎样建立连接、是否允许把PDA软件安装在公司的系统上等问题。这些设备会给你的技术支持部门带来许多支持和混用方面的问题。

    顾客管理制度

    有此公司还向顾客、潜在顾客、和商业伙伴们提供其安全防护体系的概括性讨论报告。这有助于展示企业对安防环境的重视和经验。

     

    信息安全管理系统基本技术框架

    面向数据的安全概念是数据的保密性、完整性和可获性, 而面向使用者的安全概念则是鉴别、授权、访问控制、抗否认性和可服务性以及在于内容的个人隐私、知识产权等的保护。综合考虑就是信息安全管理体系结构中的安全服务功能,而这些安全问题又要依靠密码、数字签名、身份验证技术、防火墙、安全审计、灾难恢复、防病毒、防黑客入侵等安全机制(措施)加以解决。其中密码技术和管理是信息安全的核心, 安全标准和系统评估是信息安全的基础。

      信息安全管理系统的安全保障体系可以分为三个层次:一是基本安全环节,这些安全环节是很多系统平台本身就提供的,如操作系统或者数据库;其次是对基本安全要素的增强环节,利用这些增强环节能够对系统起到更可靠的保护作用;再其次是扩充的安全机制,它们提供更强的安全监测和防御能力。

     

    基本安全环节

    用户身份标识和鉴别

    计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。

    身份鉴别可以是只对主体进行鉴别,某些情况下,则同时需要对客体进行鉴别。目前在计算机系统中使用的身份鉴别的技术涉及3种因素:你知道什么(秘密的口令)、你拥有什么(令牌或密钥)、你是谁(生理特征)。

    仅以口令作为验证依据是目前大多数商用系统所普遍采用的方法。这种简单的方法会给计算机系统带来明显的风险,包括利用字典的口令破解;冒充合法计算机的登录程序欺骗登录者泄露口令等。

    任何一个单纯的口令系统都无法保证不会被入侵。一些系统使用口令与令牌相结合的方式,这种方式在检查用户口令的同时,验证用户是否持有正确的令牌。令牌是由计算机用户执行或持有的软件或硬件。令牌连续地改变口令,通过与验证方同步获得验证。

    基于生理特征的验证是一项始终处于研究阶段的技术,验证的依据种类繁多,常见的如指纹、视网膜或虹膜、手掌几何学等。这类系统通常十分昂贵,并且出错率和性能还没有被广泛认可。

    访问控制

    访问控制分为“自主访问控制”和“强制访问控制”两种。

    自主访问控制(DAC)是商用系统中最常见的一种类型,Unix和NT操作系统都使用DAC。在基于DAC的系统中,主体的拥有者负责设置访问权限。自主访问控制的一个最大问题是主体权限太大,无意间就可能泄露信息,而且不能防备特洛伊木马的攻击。

    强制访问控制(DMC)就是系统给每个客体和主体分配了不同的安全属性,而且这些安全属性不象由客体拥有者制定的ACL(访问控制列表)那样轻易被修改。系统通过比较主体和客体的安全属性决定主体对客体的操作可行性。强制访问控制可以防范特洛伊木马和用户滥用权限,具有更高的安全性。

    审计

    审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。大多数操作系统都提供至少能记录被用户访问的每个文件的审计子系统。

    上面这些安全要素是一个安全系统最基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。

     

    对基本安全环节的增强机制

    可以采取一些可行的技术手段以强化基本安全机制的作用,这些手段包括:

    ·在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。

    ·在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。

    ·独立的网络和主机审计系统。

    ·利用密码技术建立的身份鉴别体系: 基于公钥算法和 PKI的认证系统。

     

    扩充的安全机制

    这些安全机制采用了更有针对性的技术来提高系统安全的可控性,它们是建立高度安全的信息系统必不可少的。

    1.安全审核

    其基本原理是在系统外部对受保护的系统自动地模拟各种访问动作,通过系统对这些动作的响应评估系统的安全状况。安全审核通过改善系统中的基本安全环节达到增强安全性的目的,典型的产品如网络扫描器。

    2.实时监控

    实时监控系统依据系统积累的关于异常和入侵的知识(一组行为模式),实时监控系统中的事件,并可以在发生危害系统的事件发生时,产生预先定义的动作,终止危害事件的进行或报告异常事件。实时监控由于积累了大量关于入侵系统的知识,并对典型行为敏感,因而又被称为“入侵检测”。它强化了系统中的访问控制(产生动作)和审计机制(记录危险事件)。

    3.防病毒

    防病毒系统利用病毒的已知特征发现病毒,并将其从系统中清除。

    4.信息加密

    包括可信系统内部的加密存储以及跨越不可信系统在可信系统间传输受控信息的机制。通常使用信息加密技术以及建立在加密和通道技术上的VPN系统。

    5.安全系统的最后绝唱灾难恢复

    数据的灾难恢复是保证系统安全可靠不可或缺的基础。如果定期对重要数据进行备份,那么在系统出现故障时,仍然能保证重要数据准确无误。

    以上介绍的这些技术环节,有些是基本的,有些则并不一定都要部署,企业应该根据自身的信息系统的构成、信息系统本身的价值、威胁的主要来源等因素来决定取舍。

     

    4.建立业务持续计划并实施安全管理体系

    信息安全管理系统的框架的建设只是第一步。在具体实施信息安全管理系统的过程中,必须充分考虑各种因素,例如,实施的各项费用(例如培训费、报告费等)、与组织员工原有工作习惯的冲突、不同部门/机构之间在实施过程中的相互协作问题等。

    在信息安全管理系统建设、实施的过程中,必须建立起各种相关的文档、文件,例如,信息安全管理系统管理范围中所规定的文档内容、对管理框架的总结(包括信息安全政策、管制目标和在适用性申明中所提出的控制措施)、在信息安全管理系统管理范围中规定的管制采取过程、信息安全管理系统管理和具体操作的过程(包括IT服务部门、系统管理员、网络管理员、现场管理员、IT用户以及其他人员的职责描述和相关的活动事项)等等。文档可以以各种形式保存,但是必须划分不同的等级或类型。同时,为了今后的信息安全认证工作的顺利进行,文档必须能很容易地被指定的第三方(例如认证审核员)访问和理解。

    组织必须对各种文档进行严格的管理,结合业务和规模的变化,对文档进行有规律、周期性的回顾和修正。当某些文档不再适合组织的信息安全政策需要时,就必须将其废弃。但值得注意的是,某些文档虽然对组织来说可能已经过时,但由于法律或知识产权方面的原因,组织可以将相应文档确认后保留。

    必须对在实施信息安全管理系统的过程中发生的各种与信息安全有关的事件进行全面的纪录。安全事件的纪录为组织进行信息安全政策定义、安全管制措施的选择等的修正提供了现实的依据。安全事件记录必须清晰,明确记录每个相关人员当时的活动。安全事件纪录必须适当保存(可以以书面或电子的形式保存)并进行维护,使得当纪录被破坏、损坏或丢失时容易挽救。

    BS 7799信息安全管理体系标准毕竟仅仅提供一些原则性的建议,如何将这些原则性的建议与各个组织单位自身的实际情况相结合,构架起符合组织自身状况的信息安全管理系统,才是真正具有挑战性的工作。在构架安全的信息系统时,应牢记如下的指导思想:“信息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

     


    展开全文
  • 个人信息安全管理条例解释

    千次阅读 2019-11-06 19:45:56
    给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。 为了保护公民个人隐私数据不被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 ...
  • 4 最小权限原则 最小权限原则(最早由 Saltzer 和 Schroeder 提出): 每个程序和系统用户都应该具有完成任务所必需的最小权限集合。...如果你需要用户使用管理员权限来执行代码,任何代码中的安全缺陷,都
  • 为了最大程度去掉影响安全的不可控因素,就需要有一些原则来制约人、制约人的非理性因素。 基本原则一:确保每个保护对象都需要有一个owner 在日常生活中,我们每个人都作为个体存在,对私有资源和公众资源负有...
  • 信息安全系统的组织管理

    千次阅读 2017-02-23 20:33:19
    电子政务信息安全的组织管理 电子政务信息系统的安全组织管理必须与...安全管理制度是信息系统安全的制度化保证,是信息安全管理的重要内容。以下11个方面可以作为制定安全管理制度的参考方向: 1.人员安全管理 2.
  • ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最...
  • 但是,紧随信息化发展而来的网络安全问题日渐凸出,网络安全问题已成为信息时代人类共同面临的挑战,网络信息安全问题成为当务之急,如果不很好地解决这个问题,必将阻碍信息化发展的进程。 二、安全***、安全机制...
  • 随着时代的发展,网络技术逐渐深入到我们的生活之中,很多数据都会存放在网络上,这些数据的安全存储关系到的方面有很多。...下面就让小编简单的为大家介绍一下信息安全系统的基本原则有哪些。  信息安全系统...
  • CISSP复习笔记-第2章 信息安全治理与风险管理2.1 安全基本原则2.1.1可用性(availability) 确保授权的用户能够对数据和资源进行及时的和可靠的访问 措施:回滚、故障切换配置 反面:破坏(destruction) 2.1.2 完整...
  • 国家信息安全监管部门对等级保护的指导 第一级 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。  第一级信息系统运营、使用单位应当依据国家...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 如何制定信息安全管理服务质量指标宋体;mso-ascii-font-family:Calibri;mso-ascii-theme-font:minor-latin;mso-fareast-font-family:宋体;mso-fareast-theme-font:minor-fareast;mso-hansi-font-family:
  • 测评项目 测评标准 测评结果 符合情况 8.1.6 安全管理制度 8.1.6.1 安全策略 ... a) 应对安全管理活动中的各类管理内容建立安全管理制度;     b) 应对管理人员或操作人员执行的日常...
  • 需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4分左右,此部分非常重要,信息安全管理中重点考察的知识点有:信息安全系统三维空间,信息安全技术,安全属性,加密数字签名,安全架构体系,病毒...
  • 以及它们之间的联系如有些项目风险对项目的信息安全造成了威胁,也是信息安全管理的重点。 反过来,科学的安全管理,可以大大加强项目的风险管理,提高项目成功的可能性,提高项目的价值。 2017年下考...
  • 信息安全风险评估教程.pdf

    热门讨论 2012-12-03 12:49:18
    《信息安全风险评估教程》可作为高等院校信息安全、计算机科学与技术、通信与信息工程等专业高年级学生的教材,也可供信息安全科研院所、大型企事业单位与政府部门中从事信息安全管理工作者和工程技术人员学习参考。
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
  • 2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并...
  • 0x00前言 ISO(国际标准化组织)和 IEC(国际电工委员会)形成了全球标准化专业系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与国际标准的...在信息技术领域,ISO 和 IEC 建立了联合...
  • 网络安全管理规章制度

    千次阅读 2019-10-18 23:45:33
    为进一步加强公司网络安全与信息安全管理,提高网络信息安全风险处理能力,确保网络运行安全与信息安全,预防和减少突发事件造成的危害与损失,根据国家对网络安全的有关规定以及公司实际情况制定了本预案。...
  • 华为内部的Web安全原则

    千次阅读 2019-03-28 19:40:32
    Web安全原则 1.认证模块必须采用防暴力破解机制,例如:验证码或者多次连续尝试登录失败后锁定帐号或IP。 说明:如采用多次连续尝试登录失败后锁定帐号或IP的方式,需支持连续登录失败锁定策略的“允许连续失败的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 163,947
精华内容 65,578
关键字:

信息安全管理原则