精华内容
下载资源
问答
  • 信息安全管理体系ISO27001
    千次阅读
    2019-06-21 23:27:15

    国际标准化的信息安全管理体系ISO27000,是一系列的规范,其中ISO27001阐述了信息安全管理体系的范畴和实施要点, 是ISO27000系列的主标准,可以按照ISO27001的要求建立自己的信息安全管理体系,有需要也可以去通过官方的认证。

    ISO27000系列标准

    • ISO 27000 原理与术语Principles and vocabulary
    • ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
    • ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
    • ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
    • ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
    • ISO 27005 信息安全管理体系—风险管理ISMS Risk management
    • ISO 27006 信息安全管理体系—认证机构的认可要求
    • ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南

    ISO27001涉及的14个安全领域(114项要求)

    1. 信息安全方针和策略
      依据业务要求和相关法律法规为信息安全提供管理指导和支持。

    2. 信息安全组织
      建立一个管理框架,开展公司的信息安全工作。

    3. 人力资源安全
      确保员工和外包方理解其职责,并履行信息安全职责,在任用终止时保护公司的利益。

    4. 资产管理
      识别公司资产(主要指信息资产),将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。

    5. 访问控制
      限制对数据信息和数据处理设施(如服务器)的访问,保证授权用户对系统和服务的访问,并阻止未授权的访问。

    6. 密码
      有效地使用密码技术以保护数据信息的保密性、真实性、完整性。

    7. 物理和环境安全
      阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。

    8. 操作安全
      确保正确、安全的操作信息处理设施(网络设备、服务器等)。 确保采用技术手段防范恶意代码(如病毒等)。 备份防止数据丢失 , 采用日志和监视手段,记录事态并生成证据。 确保运行系统的完整性。 防止对技术脆弱性的利用,使审计活动对系统运行的影响最小化。

    9. 通信安全
      网络及其支持性信息处理设施中的数据信息应得到保护。 保证在公司内、外传输数据信息的安全。

    10. 系统获取、开发和维护
      信息安全是信息系统整个生命周期中的一个有机组成部分,信息安全在信息系统开发生命周期中应有相应的设计和实施。 用于测试的数据应得到保护。

    11. 供应商关系
      确保供应商可访问的信息资产受到保护。 保持与供应商协议一致的信息安全服务交付。

    12. 信息安全事件管理
      采用有效的方法对信息安全事件进行管理,包括对安全事件和风险的沟通。

    13. 业务连续性管理
      将信息安全连续性纳入公司业务连续性管理之中。 使信息处理设施(如业务系统)具有足够的冗余以满足可用性要求。

    14. 符合性
      避免违反与信息安全有关的法律、法规、规章或合同义务以及任何安全要求。开展信息安全评审 ,确保依据组织方针策略、规程开展信息安全工作。

    一下子要建立这么多控制规程,并非易事,规模大的单位花一年至两年的时间才能建设完善,也是常见的。公司规模小,也可以参考这套体系建立自己的信息安全管理制度,可以加强对安全工作的整体把握。

    更多相关内容
  • ISO27001-2013-信息安全管理体系--要求-中文版 .pdf 该标准同时被中国等同采用成为中国的信息安全管理体系标准文件
  • GB∕T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇
  • 本文档系统的介绍了ISO27001认证过程中所需要的人员管理制度、设备日常巡检制度、机房管理制度、信息安全事件管理制度、业务连续性管理制度等
  • 信息安全管理体系审核员考试习题汇编,单选、多选、判断、论述等
  • ISO27001-2013信息安全管理体系-标准文档,给需要的人
  • 信息安全管理制度汇编-网络安全管理制度体系建设-全网唯一 信息安全制度 医院安全管理制度 信息安全管理体系建设制度 信息安全管理制度体系制度建设 网络安全管理制度体系建设--全网唯一,不骗人,欢迎下载
  • ISO27000信息安全管理体系

    千次阅读 2019-07-11 11:33:23
    一、什么是ISMS认证 1、所谓认证...认证的方法包括对产品的特性的抽样检验和对组织体系的审核与评定;认证的证明方式是认证证书与认证标志。通过认证活动,组织可以对外提供某种信任与保证,如产品质量保证...

    针对ISO/IEC 27000的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。通过认证的组织,将会被注册登记。ISO/IEC 27000可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。

    建立ISMS对组织的意义

    组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:

    1、 强化员工的信息安全意识,规范组织信息安全行为;

    2、对组织的关键信息资产进行全面系统的保护,维持竞争优势;

    3、在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;

    4、使组织的生意伙伴和客户对组织充满信心。

    三、ISMS信息安全管理体系的三大要素

    1、保密性:确保只有经过授权的人才能存取信息。

    2、完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。

    3、可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。

    总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。

    四、为什么要进行ISMS认证

    根据CSI/FBI的报告统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。

    实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISO/IEC 27000标准并得到认证无疑是组织应该考虑的方案之一。其优点是:

    1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:

    (1)重要的商业秘密信息的泄漏、丢失、篡改和不可用;

    (2)重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;

    2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:

    (1)依据信息资产的风险级别,安排安全控制措施的投资优先级;

    (2)对于可接受的信息资产的风险,不投资安全控制;

    保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;

    增强客户、合作伙伴等相关方的信任和信心。

    五、信息安全的重要性

    1、信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。

    2、 任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。

    3、目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。

    4、有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。

    5、英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。

    六、咨询认证所需申请材料

    1、认证申请条件:

    (1)申请方应具有明确的法律地位;

    (2)受审核方已经按照ISMS标准建立文件化的管理体系;

    (3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。

    2、ISMS认证须提交的材料清单

    (1)法律地位证明文件(如企业法人营业执照、组织机构代码证书);

    (2)有效的资质证明、产品生产许可证强制性产品认证证书等(需要时);

    (3)组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等);

    (4)申请认证产品的生产、加工或服务工艺流程图;

    (5)服务场所、多场所需提供清单;

    (6)管理手册、程序文件及组织机构图;

    (7)服务器数量以及终端数量;

    (8)服务计划、服务报告、容量计划。
    在这里插入图片描述

    展开全文
  • GBT31496-2015 信息技术 安全技术 信息安全管理体系合集,标准和实施指南等。
  • 信息安全管理体系实施案例及文件集
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...

    0x00 前言

      初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。

    0x01 ISO27001简介

      ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    目前国际上普遍采用ISO/IEC27001:2013作为企业建立信息安全管理体系的最新要求,体系包括14个控制域、35个控制目标、114项控制措施。体系控制域内容如下:

      ISO/IEC27001 信息安全管理体系,即Information Security Management System,简称ISMS。概念最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。

    Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA);

    DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训;

    Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;

    Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。

    0x02 企业需求与认证收益

    企业的需求:

    符合政府法律法规及相关部门审核标准

    实现公司可持续发展

    进一步树立和完善企业内部信息安全管理

    加强客户信息安全保护

    提升客户管理服务满意度

    认证的收益:

    提升客户对于公司产品和服务信任度和满意度

    展示公司服务的安全性,极大提升行业竞争力

    与国际信息安全标准接轨,树立行业标杆,有利于在世界范围内开展与其他企业的合作与交流

    显著提高企业内部的IT信息安全管理规范,改善员工对于信息安全服务及IT管理认知

    提升自身品牌形象,进一步贴近客户需求,为客户提供优质可靠的IT服务

    0x03 ISO27001认证

    ISO27001作为信息安全管理标准,为信息安全管理体系(ISMS)的建立、实施、运行、监视、评审、保持和持续改进提供了模型和必要的控制目标和措施,是ISMS顺利实施的最佳指南。

    一般企业建立实施至少需要3个月时间,进度如下:

    没有经历过文档编写、内审、外审,未免有点遗憾,抱着对ISO27001体系建设的好奇,在先知找到了两篇文章,分享了作者在ISO27001体系建设从无到有的过程。

    从无到有通过ISO27001认证-建设篇

    https://xz.aliyun.com/t/106

    从无到有通过ISO27001认证-审核篇

    https://xz.aliyun.com/t/104

    0x04 END

      ISO27001是信息安全领域的管理体系标准,使用范围广,它面向的对象是组织,通过了ISO27001的认证,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。企业将以此为起点持续改进和深化体系的执行,在公司软件资产受控的前提下持续为客户提供安全可靠的软件产品和服务。

    在学习,也一直在路上,加油!

    本文由Bypass整理总结,部分词条摘自网络。

    最后

    欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

     

    参考链接:

    http://www.byiso.com.cn/category/view?id=20

    https://www.bsigroup.com/zh-CN/iso-27001-information-security/

    https://mp.weixin.qq.com/s/bPvLO4vgPcsMZaHDPXLGqg

    http://www.renzhunta.com/iso27001/detail.jhtml

    展开全文
  • 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。 ...

    一、两个信息安全标准的相同点

    1. 都是为了保护信息安全;
    2. 都采用了过程方法,前一个过程的输出作为后一个过程的输入;
    3. 都采用了PDCA的模型,实现持续安全建设;
    4. 都发布了基本要求,27000信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求;
    5. 在控制措施或安全子类层面的安全要求上,都或多或少的存在共性。

    二、两个信息安全标准的不同点

    1. 最重要的一个不同点是:立足点不同。
      • 信息安全管理体系是以组织内部业务影响为依据,自内而外的信息安全建设工作;
      • 等级保护的分级是以组织外部(国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益)影响为依据,是自外而内的信息安全建设工作;
    2. 不同点二:确定安全需求的方法不同。
      • 信息安全管理体系采用信息安全风险管理中规定的风险评估的方法确定其安全需求;
      • 等级保护制度是通过系统定级、等保安全测评、安全需求分析来确定其安全需求;
    3. 不同点三:实施流程不同。
      • ISMS实施流程分为:获得管理者对实施ISMS的批准、定义ISMS范围和方针、进行业务分析、进行风险评估、设计ISMS和实施ISMS。是一个单方向的流程,不包括评审、保持或改进ISMS的流程。详细的实施流程指导可参见ISO/IEC 27003:2010。
      • 等级保护的实施流程分为:信息系统定级、总体安全规划、安全设计与实施、安全运行与维护、信息系统终止;若信息系统在安全运行与维护过程中发生局部调整,则回到“安全设计与实施”流程;若信息系统在安全运行与维护过程中系统发生等级变更,则回到“信息系统定级”流程。
    4. 不同点四:基本要求分类不同。ISMS信息安全管理体系提供了14个控制域的114个控制措施,等级保护提供了技术要求和管理要求两个大类下的10个子类的安全要求。详见下面的附件。

    附件1 ISMS的14个信息安全控制域


    附件2 ISMS的114个控制项

    ISO27001:2013 
               
      A.5信息安全方针    
      A.5.1信息安全管理指引    
      目标:提供符合有关法律法规和业务需求的信息安全管理指引和支持。    
    A.5.1.1 A.5.1.1 信息安全方针 应定义信息安全方针,信息安全方针文件应经过管理层批准,并向所有员工和相关方发布和沟通。    
    A.5.1.2 A.5.1.2 信息安全方针的评审 应定期或在发生重大的变化时评审方针文件,确保方针的持续性、稳定性、充分性和有效性。    
      A.6信息安全组织    
      A.6.1内部组织    
      目标:建立信息安全管理框架,在组织内部启动和控制信息安全实施。    
    A.6.1.1 A.6.1.1 信息安全的角色和职责 应定义和分配所有信息安全职责。    
    A.6.1.2 A.6.1.2 职责分离 有冲突的职责和责任范围应分离,以减少对组织资产未经授权访问、无意修改或误用的机会。    
    A.6.1.3 A.6.1.3 与监管机构的联系 应与相关监管机构保持适当联系。    
    A.6.1.4 A.6.1.4 与特殊利益团体的联系 与特殊利益团体、其他专业安全协会或行业协会应保持适当联系。    
    A.6.1.5 A.6.1.5 项目管理中的信息安全 实施任何项目时应考虑信息安全相关要求。    
      A.6.2移动设备和远程办公    
      目标:应确保远程办公和使用移动设备的安全性。    
    A.6.2.1 A.6.2.1 移动设备策略 应采取安全策略和配套的安全措施控制使用移动设备带来的风险。    
    A.6.2.2 A.6.2.2 远程办公 应实施安全策略和配套的安全措施以保障远程办公时信息的访问、处理和存储的安全。    
      A.7人力资源安全    
      A.7.1任用前    
      目标:确保员工、合同方人员理解他们的职责并适合他们所承担的角色。    
    A.7.1.1 A.7.1.1 人员筛选 根据相关法律、法规、道德规范,对员工、合同人员及承包商人员进行背景调查,调查应符合业务需求、访问的信息类别及已知风险。    
    A.7.1.2 A.7.1.2 任用条款和条件 与员工和承包商的合同协议应当规定他们对组织的信息安全责任。    
      A.7.2任用中    
      目标:确保员工和合同方了解并履行他们的信息安全责任。    
    A.7.2.1 A.7.2.1 管理职责 管理层应要求员工、合同方符合组织建立的信息安全策略和程序。    
    A.7.2.2 A.7.2.2 信息安全意识、教育与培训 组织内所有员工、相关合同人员及合同方人员应接受适当的意识培训,并定期更新与他们工作相关的组织策略及程序。    
    A.7.2.3 A.7.2.3 纪律处理过程 应建立并传达正式的惩戒程序,据此对违反安全策略的员工进行惩戒。    
      A.7.3任用终止和变更    
    A.7.3.1 A.7.3.1 任用终止或变更的责任 应定义信息安全责任和义务在雇用终止或变更后仍然有效,并向员工和合同方传达并执行。    
      A.8资产管理    
      A.8.1资产的责任    
      目标:确定组织资产,并确定适当的保护责任。    
    A.8.1.1 A.8.1.1 资产清单 应制定和维护信息资产和信息处理设施相关资产的资产清单。    
    A.8.1.2 A.8.1.2 资产责任人 资产清单中的资产应指定资产责任人(OWNER)。    
    A.8.1.3 A.8.1.3 资产的合理使用 应识别信息和信息处理设施相关资产的合理使用准则,形成文件并实施。    
    A.8.1.4 A.8.1.4 资产的归还 在劳动合同或协议终止后,所有员工和外部方人员应退还所有他们使用的组织资产。    
      A.8.2信息分类    
      目标:确保信息资产是按照其对组织的重要性受到适当级别的保护。    
    A.8.2.1 A.8.2.1 信息分类 应根据法规、价值、重要性和敏感性对信息进行分类,保护信息免受未授权泄露或篡改。    
    A.8.2.2 A.8.2.2 信息标识 应制定和实施合适的信息标识程序,并与组织的信息分类方案相匹配。    
    A.8.2.3 A.8.2.3 资产处理 应根据组织采用的资产分类方法制定和实施资产处理程序    
      A.8.3介质处理    
      目标:防止存储在介质上的信息被未授权泄露、修改、删除或破坏。    
    A.8.3.1 A.8.3.1 可移动介质管理 应实施移动介质的管理程序,并与组织的分类方案相匹配。    
    A.8.3.2 A.8.3.2 介质处置 当介质不再需要时,应按照正式程序进行可靠的、安全的处置。    
    A.8.3.3 A.8.3.3 物理介质传输 含有信息的介质应加以保护,防止未经授权的访问、滥用或在运输过程中的损坏。    
      A.9访问控制    
      A.9.1访问控制的业务需求    
      目标:限制对信息和信息处理设施的访问。    
    A.9.1.1 A.9.1.1 访问控制策略 应建立文件化的访问控制策略,并根据业务和安全要求对策略进行评审。    
    A.9.1.2 A.9.1.2 对网络和网络服务的访问 应只允许用户访问被明确授权使用的网络和网络服务。    
      A.9.2用户访问管理    
      目标:确保已授权用户的访问,预防对系统和服务的非授权访问。    
    A.9.2.1 A.9.2.1 用户注册和注销 应实施正式的用户注册和注销程序来分配访问权限。    
    A.9.2.2 A.9.2.2 用户访问权限提供 无论什么类型的用户,在对其授予或撤销对所有系统和服务的权限时,都应实施一个正式的用户访问配置程序。    
    A.9.2.3 A.9.2.3 特权管理 应限制及控制特权的分配及使用。    
    A.9.2.4 A.9.2.4 用户认证信息的安全管理 用户鉴别信息的权限分配应通过一个正式的管理过程进行安全控制。    
    A.9.2.5 A.9.2.5 用户访问权限的评审 资产所有者应定期审查用户访问权限。    
    A.9.2.6 A.9.2.6 撤销或调整访问权限 在跟所有员工和承包商人员的就业合同或协议终止和调整后,应相应得删除或调整其信息和信息处理设施的访问权限。    
      A.9.3用户责任    
      目标:用户应保护他们的认证信息。    
      A.9.3.1 认证信息的使用 应要求用户遵循组织的做法使用其认证信息。    
      A.9.4系统和应用访问控制    
      目标:防止对系统和应用的未授权访问。    
    A.9.4.1 A.9.4.1 信息访问限制 应基于访问控制策略限制对信息和应用系统功能的访问。    
    A.9.4.2 A.9.4.2 安全登录程序 在需要进行访问控制时,应通过安全的登录程序,控制对系统和应用的访问。    
    A.9.4.3 A.9.4.3 密码管理系统 应使用交互式口令管理系统,确保口令质量。    
    A.9.4.4 A.9.4.4 特权程序的使用 对于可以覆盖系统和应用权限控制的工具程序的使用,应限制和严格控制。    
    A.9.4.5 A.9.4.5 对程序源码的访问控制 对程序源代码的访问应进行限制。    
      A.10密码学    
      A.10.1密码控制    
      目标:确保适当和有效地使用密码来保护信息的机密性、真实性和/或完整性。    
    A.10.1.1 A.10.1.1 使用加密控制的策略 应开发和实施加密控制措施的策略以保护信息。    
    A.10.1.2 A.10.1.2 密钥管理 对加密密钥的使用、保护和有效期管理,应开发和实施一个贯穿密钥全生命周期的策略。    
      A.11物理和环境安全    
      A.11.1安全区域    
      目标:防止对组织信息和信息处理设施的未经授权物理访问、破坏和干扰。    
    A.11.1.1 A.11.1.1 物理安全边界 应定义安全边界,用来保护包含敏感或关键信息和信    
    A.11.1.2 A.11.1.2 物理进入控制 安全区域应有适当的进入控制保护,以确保只有授权    
    A.11.1.3 A.11.1.3 办公室、房间及设施和安全 应设计和实施保护办公室、房间及所及设备的物理安全。    
    A.11.1.4 A.11.1.4 防范外部和环境威胁 应设计和应用物理保护措施以应对自然灾害、恶意攻击或意外。    
    A.11.1.5 A.11.1.5 在安全区域工作 应设计和应用在安全区域工作的程序。    
    A.11.1.6 A.11.1.6 送货和装卸区 访问区域如装卸区域,及其他未经授权人员可能进入的地点应加以控制,如果可能的话,信息处理设施应隔离以防止未授权的访问。    
      A.11.2设备安全    
      目标:防止资产的遗失、损坏、偷窃或损失和组织业务中断。    
    A.11.2.1 A.11.2.1 设备安置及保护 应妥善安置及保护设备,以减少来自环境的威胁与危害,并减少未授权访问的机会。    
    A.11.2.2 A.11.2.2 支持设施 应保护设备免于电力中断及其它因支持设施失效导致的中断。    
    A.11.2.3 A.11.2.3 线缆安全 应保护传输数据或支持信息服务的电力及通讯电缆,免遭中断或破坏。    
    A.11.2.4 A.11.2.4 设备维护 应正确维护设备,以确保其持续的可用性及完整性。    
    A.11.2.5 A.11.2.5 资产转移 未经授权,不得将设备、信息及软件带离。    
    A.11.2.6 A.11.2.6 场外设备和资产安全 应对场外资产进行安全防护,考虑在组织边界之外工作的不同风险。    
    A.11.2.7 A.11.2.7 设备报废或重用 含有存储介质的所有设备在报废或重用前,应进行检查,确保任何敏感数据和授权软件被删除或被安全重写。    
    A.11.2.8 A.11.2.8 无人值守的设备 用户应确保无人值守的设备有适当的保护。    
    A.11.2.9 A.11.2.9 桌面清空及清屏策略 应采用清除桌面纸质和可移动存储介质的策略,以及清除信息处理设施屏幕的策略。    
      A.12操作安全    
      A.12.1操作程序及职责    
      目标:确保信息处理设施正确和安全的操作。    
    A.12.1.1 A.12.1.1 文件化的操作程序 应编制文件化的操作程序,并确保所有需要的用户可以获得。    
    A.12.1.2 A.12.1.2 变更管理 应控制组织、业务流程、信息处理设施和影响信息安全的系统的变更。    
    A.12.1.3 A.12.1.3 容量管理 应监控、调整资源的使用,并反映将来容量的需求以确保系统性能。    
    A.12.1.4 A.12.1.4 开发、测试与运行环境的分离 应分离开发、测试和运行环境,以降低未授权访问或对操作环境变更的风险。    
      A.12.2防范恶意软件    
      目标:确保对信息和信息处理设施的保护,防止恶意软件。    
    A.12.2.1 A.12.2.1 控制恶意软件 应实施检测、预防和恢复措施以应对恶意软件,结合适当的用户意识程序。    
      A.12.3备份    
      目标:防止数据丢失    
    A.12.3.1 A.12.3.1 信息备份 根据既定的备份策略备份信息,软件及系统镜像,并定期测试。    
      A.12.4日志记录和监控    
      目标:记录事件和生成的证据    
    A.12.4.1 A.12.4.1 事件日志 应产生记录用户活动、意外和信息安全事件的日志,保留日志并定期评审。    
    A.12.4.2 A.12.4.2 日志信息保护 应保护日志设施和日志信息免受篡改和未授权访问。    
    A.12.4.3 A.12.4.3 管理员和操作者日志 应记录系统管理员和系统操作者的活动,进行日志保护及定期评审。    
    A.12.4.4 A.12.4.4 时钟同步 在组织内或安全域内的所有相关信息处理系统的时钟应按照一个单一的参考时间源保持同步。    
      A.12.5操作软件控制    
      目标:确保系统的完整性。    
    A.12.5.1 A.12.5.1 运营系统的软件安装 应建立程序对运营中的系统的软件安装进行控制。    
      A.12.6技术漏洞管理    
      目标:防止技术漏洞被利用    
    A.12.6.1 A.12.6.1 管理技术漏洞 应及时获得组织所使用的信息系统的技术漏洞的信息,对漏洞进行评估,并采取适当的措施去解决相关风险。    
    A.12.6.2 A.12.6.2 软件安装限制 应建立并实施用户软件安装规则。    
      A.12.7信息系统审计的考虑因素    
      目标:最小审计活动对系统运行影响。    
    A.12.7.1 A.12.7.1 信息系统审核控制 应谨慎策划对系统运行验证所涉及的审核要求和活动并获得许可,以最小化中断业务过程。    
      A.13通信安全    
      A.13.1网络安全管理    
      目标:确保网络及信息处理设施中信息的安全。    
    A.13.1.1 A.13.1.1 网络控制 应对网络进行管理和控制,以保护系统和应用程序的信息。    
    A.13.1.2 A.13.1.2 网络服务安全 应识别所有网络服务的安全机制、服务等级和管理要求,并包括在网络服务协议中,无论这种服务是由内部提供的还是外包的。    
    A.13.1.3 A.13.1.3 网络隔离 应在网络中按组(GROUP)隔离信息服务、用户和信息系统。    
      A.13.2信息传输    
      目标:应确保信息在组织内部或与外部组织之间传输的安全。    
    A.13.2.1 A.13.2.1 信息传输策略和程序 应建立正式的传输策略、程序和控制,以保护通过通讯设施传输的所有类型信息的安全。    
    A.13.2.2 A.13.2.2 信息传输协议 建立组织和外部各方之间的业务信息的安全传输协议。    
    A.13.2.3 A.13.2.3 电子消息 应适当保护电子消息的信息。?    
    A.13.2.4 A.13.2.4 保密或非扩散协议 应制定并定期评审组织的信息安全保密协议或非扩散协议(NDA),该协议应反映织对信息保护的要求。    
      A.14系统的获取、开发及维护    
      A.14.1信息系统安全需求    
      目标:确保信息安全成为信息系统生命周期的组成部分,包括向公共网络提供服务的信息系统的要求。    
    A.14.1.1 A.14.1.1 信息安全需求分析和规范 新建信息系统或改进现有信息系统应包括信息安全相关的要求。    
    A.14.1.2 A.14.1.2 公共网络应用服务的安全 应保护应用服务中通过公共网络传输的信息,以防止欺诈、合同争议、未授权的泄漏和修改。    
    A.14.1.3 A.14.1.3 保护在线交易 应保护应用服务传输中的信息,以防止不完整的传输、路由错误、未授权的消息修改、未经授权的泄漏、未授权的信息复制和重放。    
      A.14.2开发和支持过程的安全    
      目标:确保信息系统开发生命周期中设计和实施信息安全。    
    A.14.2.1 A.14.2.1 安全开发策略 应建立组织内部的软件和系统开发准则。    
    A.14.2.2 A.14.2.2 系统变更控制程序 应通过正式的变更控制程序,控制在开发生命周期中的系统变更实施。    
    A.14.2.3 A.14.2.3 操作平台变更后的技术评审 当操作平台变更后,应评审并测试关键的业务应用系统,以确保变更不会对组织的运营或安全产生负面影响。    
    A.14.2.4 A.14.2.4 软件包变更限制 不鼓励对软件包进行变更,对必要的更改需严格控制。    
    A.14.2.5 A.14.2.5 涉密系统的工程原则 应建立、记录、维护和应用安全系统的工程原则,并执行于任何信息系统。    
    A.14.2.6 A.14.2.6 开发环境安全 应在整个系统开发生命周期的系统开发和集成工作,建立并妥善保障开发环境的安全。    
    A.14.2.7 A.14.2.7 外包开发 组织应监督和监控系统外包开发的活动。    
    A.14.2.8 A.14.2.8 系统安全测试 在开发过程中,应进行安全性的测试。    
    A.14.2.9 A.14.2.9 系统验收测试 应建立新信息系统、系统升级及新版本的验收测试程序和相关标准。    
      A.14.3测试数据    
      目标:确保测试数据安全。    
    A.14.3.1 A.14.3.1 测试数据的保护 应谨慎选择测试数据,并加以保护和控制。    
      A.15供应商关系    
      A.15.1供应商关系的信息安全    
      目标:确保组织被供应商访问的信息的安全。    
    A.15.1.1 A.15.1.1 供应商关系的信息安全策略 为降低供应商使用该组织的资产相关的风险的信息安全要求应获得许可并记录。    
    A.15.1.2 A.15.1.2 在供应商协议中强调安全 与每个供应商签订的协议中应覆盖所有相关的安全要求。如可能涉及对组织的IT基础设施组件、信息的访问、处理、存储、沟通。    
    A.15.1.3 A.15.1.3 信息和通信技术的供应链 供应商协议应包括信息、通信技术服务和产品供应链的相关信息安全风险。    
      A.15.2供应商服务交付管理    
      目标:保持一致的信息安全水平,确保服务交付符合服务协议要求。    
    A.15.2.1 A.15.2.1 供应商服务的监督和评审 组织应定期监控、评审和审核供应商的服务交付。    
    A.15.2.2 A.15.2.2 供应商服务的变更管理 应管理供应商服务的变更,包括保持和改进现有信息安全策略、程序和控制措施,考虑对业务信息、系统、过程的关键性和风险的再评估。    
      A.16信息安全事件管理    
      A.16.1信息安全事件的管理和改进    
      目标:确保持续、有效地管理信息安全事件,包括对安全事件和弱点的沟通。    
    A.16.1.1 A.16.1.1 职责和程序 应建立管理职责和程序,以快速、有效和有序的响应信息安全事件。    
    A.16.1.2 A.16.1.2 报告信息安全事件 应通过适当的管理途径尽快报告信息安全事件。    
    A.16.1.3 A.16.1.3 报告信息安全弱点 应要求使用组织信息系统和服务的员工和承包商注意并报告系统或服务中任何已发现或疑似的信息安全弱点。    
    A.16.1.4 A.16.1.4 评估和决策信息安全事件 应评估信息安全事件,以决定其是否被认定为信息安全事故。    
    A.16.1.5 A.16.1.5 响应信息安全事故 应按照文件化程序响应信息安全事故。    
    A.16.1.6 A.16.1.6 从信息安全事故中学习 分析和解决信息安全事故获得的知识应用来减少未来事故的可能性或影响。    
    A.16.1.7 A.16.1.7 收集证据 组织应建立和采取程序,识别、收集、采集和保存可以作为证据的信息。    
      A.17业务连续性管理中的信息安全    
      A.17.1信息安全的连续性    
      目标:信息安全的连续性应嵌入组织的业务连续性管理体系。    
    A.17.1.1 A.17.1.1 规划信息安全的连续性 组织应确定其需求,以保证在不利情况下的信息安全和信息安全管理的连续性,如在危机或灾难时。    
    A.17.1.2 A.17.1.2 实现信息安全的连续性 组织应建立,记录,实施,维护程序和控制过程,以确保一个不利的情况过程中所需的连续性的信息安全。    
    A.17.1.3 A.17.1.3 验证,评审和评估信息安全的连续性 组织应定期验证已建立并实施的信息安全连续性控制,以确保它们是有效的,并在不利的情况下同样有效。    
      A.17.2冗余    
      目标:确保信息处理设施的可用性。    
    A.17.2.1 A.17.2.1 信息处理设施的可用性 信息处理设施应具备足够的冗余,以满足可用性要求。    
      A.18符合性    
      A.18.1法律和合同规定的符合性    
      目标:避免违反有关信息安全的法律、法规、规章或合同要求以及任何安全要求。    
    A.18.1.1 A.18.1.1 识别适用的法律法规和合同要求 应清晰规定所有相关的法律、法规和合同要求以及组织满足这些要求的方法并形成文件,并针对每个信息系统和组织进行更新。    
    A.18.1.2 A.18.1.2 知识产权 应实施适当的程序,以确保对知识产权软件产品的使用符合相关的法律、法规和合同要求。    
    A.18.1.3 A.18.1.3 保护记录 应按照法律法规、合同和业务要求,保护记录免受损坏、破坏、未授权访问和未授权发布,或伪造篡改。    
    A.18.1.4 A.18.1.4 个人信息和隐私的保护 个人身份信息和隐私的保护应满足相关法律法规的要求。    
    A.18.1.5 A.18.1.5 加密控制法规 使用加密控制应确保遵守相关的协议、法律法规。    
      A.18.2信息安全评审    
      目标:确保依照组织策略和程序实施信息安全。    
    A.18.2.1 A.18.2.1 信息安全的独立评审 应在计划的时间间隔或发生重大变化时,对组织的信息安全管理方法及其实施情况(如,信息安全控制目标、控制措施、策略、过程和程序)进行独立评审。    
    A.18.2.2 A.18.2.2 符合安全策略和标准 管理层应定期审核信息处理和程序符合他们的责任范围内适当的安全政策、标准和任何其他安全要求。    
    A.18.2.3 A.18.2.3 技术符合性评审 应定期评审信息系统与组织的信息安全策略、标准的符合程度。    

    附件3  等级保护安全要求

    5.1  技术要求
    5.1.1  物理安全
    5.1.1.1  物理访问控制(G1)
    5.1.1.2  防盗窃和防破坏(G1)
    5.1.1.3  防雷击(G1)
    5.1.1.4  防火(G1)
    5.1.1.5  防水和防潮(G1)
    5.1.1.6  温湿度控制(G1)
    5.1.1.7  电力供应(A1)
    5.1.2  网络安全
    5.1.2.1  结构安全(G1)
    5.1.2.2  访问控制(G1)
    5.1.2.3  网络设备防护(G1)
    5.1.3  主机安全
    5.1.3.1  身份鉴别(S1)
    5.1.3.2  访问控制(S1)
    5.1.3.3  入侵防范(G1)
    5.1.3.4  恶意代码防范(G1)
    5.1.4  应用安全
    5.1.4.1  身份鉴别(S1)
    5.1.4.2  访问控制(S1)
    5.1.4.3  通信完整性(S1)
    5.1.4.4  软件容错(A1)
    5.1.5  数据安全及备份恢复
    5.1.5.1  数据完整性(S1)
    5.1.5.2  备份和恢复(A1)
    5.2  管理要求
    5.2.1  安全管理制度
    5.2.1.1  管理制度(G1)
    5.2.1.2  制定和发布(G1)
    5.2.2  安全管理机构
    5.2.2.1  岗位设置(G1)
    5.2.2.2  人员配备(G1)
    5.2.2.3  授权和审批(G1)
    5.2.2.4  沟通和合作(G1)
    5.2.3  人员安全管理
    5.2.3.1  人员录用(G1)
    5.2.3.2  人员离岗(G1)
    5.2.3.3  安全意识教育和培训(G1)
    5.2.3.4  外部人员访问管理(G1)
    5.2.4  系统建设管理
    5.2.4.1  系统定级(G1)
    5.2.4.2  安全方案设计(G1)
    5.2.4.3  产品采购和使用(G1)
    5.2.4.4  自行软件开发(G1)
    5.2.4.5  外包软件开发(G1)
    5.2.4.6  工程实施(G1)
    5.2.4.7  测试验收(G1)
    5.2.4.8  系统交付(G1)
    5.2.4.9  安全服务商选择(G1)
    5.2.5  系统运维管理
    5.2.5.1  环境管理(G1)
    5.2.5.2  资产管理(G1)
    5.2.5.3  介质管理(G1)
    5.2.5.4  设备管理(G1)
    5.2.5.5  网络安全管理(G1)
    5.2.5.6  系统安全管理(G1)
    5.2.5.7  恶意代码防范管理(G1)
    5.2.5.8  备份与恢复管理(G1)
    5.2.5.9  安全事件处置(G1)
    展开全文
  • 家里有个七八年前的台式机,几乎两年不曾开机了,放着不用还占地方,正好这几天有空,就想收拾收拾它卖了。接上电源发现还能开机,检查硬盘里的东西发现好多以前...信息安全管理体系 接上一回,我们说了一些常用的信息.
  • 信息安全管理体系--文件的等级划分

    千次阅读 2018-04-18 09:24:18
    一级文件:纲领性文件;二级文件:程序文件;三级文件:作业指导书; 四级文件:记录
  • 0x00前言 ISO(国际标准化组织)和 IEC(国际电工委员会)形成了全球标准化专业系统。作为 ISO 或 IEC 成员的国家机构通过由各自组织设立的技术委员会来参与国际标准的...在信息技术领域,ISO 和 IEC 建立了联合...
  • 可以说信息安全管理是信息系统安全的重要组成部分,管理是保障信息安全的重要环节,是不可或缺的。实际上, 大多数安全事件和安全隐患的发生,与其说是技术上的原因,不如说是由于管理不善而造成的。因此, 信息系统...
  • 信息安全管理体系--建立

    千次阅读 2018-04-18 09:32:29
    建立信息安全管理体系应该做以下几方面的工作:1。根据业务、组织、位置、资产和技术等方面的特性、确定信息安全管理体系的边界,包括对范围任何删减的详细说明和正当性理由;2。根据业务、组织、位置、资产和技术等...
  • ISO/IEC 27001 信息安全管理体系认证

    千次阅读 2013-12-22 11:17:57
    一、 信息安全管理体系标准业务介绍 1、 背景介绍  信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • 信息安全管理体系(ISMS)

    千次阅读 2022-02-22 20:45:30
    风险管理 基本过程:背景建立、风险评估、风险处理、批准监督、监控审查、沟通咨询 风险评估包括 风险评估准备、风险要素识别、风险分析、风险结果判定 ...信息安全管理体系建设(PDCA) ...
  • ISO27003信息安全管理体系实施指南

    热门讨论 2010-07-11 13:10:20
    ISO27003信息安全管理体系实施指南(中文)
  • TikTok在美国和英国正式获得ISO27001信息安全管理体系认证证书。 TikTok首席信息安全官Roland Cloutier表示,独立第三方机构在一系列严格审查后完成了此项认证,确认TikTok的安全和风险管控符合最高标准。 据悉,...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    本文内容为信息安全技术体系、运维体系、管理体系的评估和规划,是信息安全保障体系的主体。一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本...
  • PDCA模型是质量管理...我看过国内的一些业界人士写过PDCA在ISMS方面的介绍,但都比较简略,往往一带而过,而科飞安全咨询管理公司的两位顾问对此作了深入浅出的风险,非常值得我们认真学习欣赏.------看了他们写的文章好
  • 课程特点:ISO27001LA主任审核员,世界级的认可与荣耀 ... 具备全球认可的ISO27001审核师资格;...国际信息安全管理主任审核员权威证书,拓展全球化视野,助力人生飞跃   认证机构:国际审核员注册协会(IRCA),
  • 信息化项目建设管理规范 文档信息 标题 信息化项目建设管理规范 版本号 V1.0 版本日期 文件名 信息化项目建设管理规范 ...
  • ISMS信息安全体系与等级保护管理的四层文件架构设计 第一层为:政策方针第二层为:管理制度第三层为:操作规程第四层为:各种记录
  • 一、你的保护机制有哪些? 第一道防线–业务现场 ...三、内部信息安全管理体系审核步骤 内部信息安全管理体系审核管理流程 审核计划 年度审核计划分类 审核实施计划--内容 审核实施计划--范例 熟悉必...
  • 数据安全管理制度.doc

    2020-02-19 10:12:25
    企业内部数据信息安全管理体系绩效监控、制度,负责对信息数据安全管理体系的运行情况进行监控及评价,负责对信息数据安全状况和绩效监测工作情况进行检查、指导,负责对信息数据安全管理体系的目标及控制措施的完成...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 230,481
精华内容 92,192
关键字:

信息安全管理体系