文档介绍:GB/T27910—2011��金融服务信息安全指南Financialservices--Informationsecurityguidelines金融信息化研究所赵义斌2018-3主要内容前言主流标准信息安全体系目标本标准内容27000系列标准ISO/IEC27001的前身为英国的BS7799标准2005年,BS7799-2:2002被ISO组织所采纳,推出ISO/IEC27001:—27036,涉及术语、体系、实践规范、实施指南、指标与测量、风险管理……等,最核心标准是27001,ISO/IEC27001被采为国家标准GB/T22080-2008/ISO/IEC27001:2005提出了完整的信息安全管理体系(ISMS),11个主题,39个控制目标,133个控制措施。11各主题包括安全政策、信息安全组织、资产管理、人力资源安全、实体与环境安全、通信和操作管理、访问控制、信息系统获取开发与维护、信息安全事故管理、业务连续性管理及符合性。将机构作为标准实施的一个主体等级保护安全技术物理、网络、主机、系统、应用、数据等安全管理制度、机构、人员、建设、运维针对具体的信息系统提出从技术到管理的安全要求信息安全目标信息安全体系确保信息资产的机密性、完整性、可用性(真实性、可靠性、不可抵赖性等),达成这些目标是一项跨专业部门的工作。本标准内容公司信息安全策略信息安全管理—信息安全方案信息安全机构风险分析和评估安全控制实施和选择IT系统控制实施特定控制措施辅助项信息安全策略—信息分类按照信息资产价值、重要性进行信息分类不同类别的信息实施不同要求的信息安全防护策略体现适度安全的理念信息安全策略—文档层次安全文档分为以下三个层次:策略文档一般由上层管理者发布的安全要求。实践文档支持和分解一般安全原则,该原则提供清楚的方法以达到安全策略要求。规程文档在一定技术水平上的对实践的归纳,提供实施所要求规程的指南。规程策略实践