文档介绍:信息安全管理体系规范(PartI)(信息安全管理实施细则)目录前言一、信息安全范围二、术语与定义三、安全政策 信息安全政策四、安全组织信息安全基础架构外部存取的安全管理委外资源管理五、资产分类与管理资产管理权责信息分类六、个人信息安全守则工作执掌及资源的安全管理教育培训易发事件及故障处理七、使用环境的信息安全管理信息安全区设备安全日常管制八、通讯和操作过程管理操作程序书及权责系统规划及可行性侵略性软件防护储存管理网络管理媒体存取及安全性信息及软件交换九、存取管理存取管制的工作要求使用者存取管理使用者权责网络存取管制操作系统存取管理应用软件存取管理监控系统的存取及使用移动计算机及拨接服务管理十、信息系统的开发和维护信息系统的安全要求应用软件的安全要求资料加密技术管制系统档案的安全性开发和支持系统的安全性十一、 维持运营管理持续运营的方面十二、 合法性合乎法律要求对信息安全政策和技术应用的审查系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。为何需要信息安全? 信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。 单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。 对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。 许多信息系统本身的设计就很不安全。通过技术手段达到的安全很有限,因此要通过恰当的管理和流程加以支持。确认采取的管制措施时需要详细审慎的计划和构思。信息安全管理至少要求单位所有员工的参与。同时,也要求供货商、客户和股东的参与。单位外部的专家建议有时也很必要。 如果能在具体规章和设计阶段就将信息安全管制方面的内容纳入其中,则其成本会便宜许多。如何设置安全要求? 单位能够确认其安全方面的要求至关重要。在这方面,主要有三个来源: 第一个来源是对单位面临的风险进行评估。通过风险评估,可以确认单位的资产所面临的威胁,评估其弱项和危险发生的可能性,并对其潜在的冲击加以估计。 第二个来源是某单位、其运营伙伴、签约方和服务提供商所必须满足的法律、法规、规章或契约方面的要求。 第三个来源是单位为支持其运营而开发出的一套针对信息处理的原则、目标和要求。评估安全风险 安全要求是通过对安全风险的系统评估而确认的。管制方面的支出需要和安全失控时产生的危害进行平衡和比较。风险评估技巧可运用到整个组织或局部,也可针对其实用性、现实性和有效性运用到组织内部单个信息系统、具体系统部件或服务。 风险评估要求对如下因素进行系统考虑:安全失误所造成的经营性破坏,要求考虑失去信息保密性、完整性和可得性和其它资产时所导致的潜在后果现行威胁和弱点导致安全失误的现实可能性,及目前实施的管制手段在管理信息安全风险和实施管制手段防范风险时,上述评估结果有助于指导和决定采取适当的管理行动及其优先程度。评估风险和选择管制手段的过程可能需要重复几次,以便涵盖单位的不同部分或单个的信息系统。对安全风险和实施的管制要进行定期回顾,以便-考虑运营要求和优先性方面所发生的变化-考虑新的威胁和薄弱环节-确认所采取的管制手段仍然有效恰当根据以前评估的结果和管理层能够接受的风险程度,上述回顾应当按不同程度开展。风险评估一般先在较高层次上开展,以便对高风险领域的资源进行优先分类,然后从细节开展,目的是对付具体风险。选择管制手段 安全要求一旦确定之后,就应选择并实施管制手段以确保风险被降到一个可接受的水平。管制手段可从本文件或别的管控手册中选择;还可以设计新管控办法来满足具体的需求。管理风险有许多不同的办法,本文件列出了一些