BS信息安全管理标准汇编

1、 可修改 欢迎下载 精品 Word 可修改 欢迎下载 精品 Word 可修改 欢迎下载 精品 WordBS7799信息平安管理标准Worldwide StandardsHaving trouble locating an overseas standard? BSI has the solutionWITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUNWorldwide Standards Direct is the fast, cost-effective standards service.Contact us on:e-mail:infob

2、si-global Tel +44020 8996 9001Fax +44020 8996 7001Information security managementPart 1: Code of practice for information security management信息平安管理标准第一局部：信息平安管理惯例目录 TOC o h z t 标题 7,7,标题 8,8,标题 9,9 HYPERLINK l _Toc505768475 Worldwide Standards PAGEREF _Toc505768475 h 2 HYPERLINK l _Toc505768476 Havi

3、ng trouble locating an overseas standard? BSI has the solution PAGEREF _Toc505768476 h 2 HYPERLINK l _Toc505768477 WITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUN PAGEREF _Toc505768477 h 2 HYPERLINK l _Toc505768478 第一局部：信息平安管理惯例 PAGEREF _Toc505768478 h 3 HYPERLINK l _Toc505768479 序 PAGEREF _Toc5

4、05768479 h 14 HYPERLINK l _Toc505768480 简介 PAGEREF _Toc505768480 h 15 HYPERLINK l _Toc505768481 什么是信息平安？ PAGEREF _Toc505768481 h 15 HYPERLINK l _Toc505768482 为什么需要信息平安 PAGEREF _Toc505768482 h 15 HYPERLINK l _Toc505768483 如何制定平安需求 PAGEREF _Toc505768483 h 16 HYPERLINK l _Toc505768484 评估信息风险 PAGEREF _T

5、oc505768484 h 16 HYPERLINK l _Toc505768485 平安控制的选择 PAGEREF _Toc505768485 h 16 HYPERLINK l _Toc505768486 信息平安的出发点 PAGEREF _Toc505768486 h 17 HYPERLINK l _Toc505768487 重要的成功因素 PAGEREF _Toc505768487 h 17 HYPERLINK l _Toc505768488 开发你自己的指导方针 PAGEREF _Toc505768488 h 17 HYPERLINK l _Toc505768489 1.范围 PAGE

6、REF _Toc505768489 h 19 HYPERLINK l _Toc505768490 2.术语与定义 PAGEREF _Toc505768490 h 20 HYPERLINK l _Toc505768491 2.1信息平安 PAGEREF _Toc505768491 h 20 HYPERLINK l _Toc505768492 2.2风险评估 PAGEREF _Toc505768492 h 20 HYPERLINK l _Toc505768493 2.3风险管理 PAGEREF _Toc505768493 h 20 HYPERLINK l _Toc505768494 3.平安策略

7、PAGEREF _Toc505768494 h 21 HYPERLINK l _Toc505768495 3.1信息平安策略 PAGEREF _Toc505768495 h 21 HYPERLINK l _Toc505768496 信息平安策略文件 PAGEREF _Toc505768496 h 21 HYPERLINK l _Toc505768497 复审及评估 PAGEREF _Toc505768497 h 21 HYPERLINK l _Toc505768498 4.平安组织 PAGEREF _Toc505768498 h 22 HYPERLINK l _Toc505768499 4.1

8、息平安架构 PAGEREF _Toc505768499 h 22 HYPERLINK l _Toc505768500 管理信息平安论坛 PAGEREF _Toc505768500 h 22 HYPERLINK l _Toc505768501 信息平安的协调 PAGEREF _Toc505768501 h 22 HYPERLINK l _Toc505768502 信息平安责任的分配 PAGEREF _Toc505768502 h 22 HYPERLINK l _Toc505768503 息处理设备的授权步骤 PAGEREF _Toc505768503 h 23 HYPERLINK l _Toc5

9、05768504 信息平安专家的意见 PAGEREF _Toc505768504 h 23 HYPERLINK l _Toc505768505 组织之间的合作 PAGEREF _Toc505768505 h 24 HYPERLINK l _Toc505768506 信息平安的独立复审 PAGEREF _Toc505768506 h 24 HYPERLINK l _Toc505768507 4.2第三方访问的平安 PAGEREF _Toc505768507 h 24 HYPERLINK l _Toc505768508 确认第三方访问的风险 PAGEREF _Toc505768508 h 24 H

10、YPERLINK l _Toc505768509 访问的种类 PAGEREF _Toc505768509 h 24 HYPERLINK l _Toc505768510 访问的原因 PAGEREF _Toc505768510 h 25 HYPERLINK l _Toc505768511 现场合同方 PAGEREF _Toc505768511 h 25 HYPERLINK l _Toc505768512 第三方合同的平安要求 PAGEREF _Toc505768512 h 25 HYPERLINK l _Toc505768513 4.3外包效劳 PAGEREF _Toc505768513 h 26

11、 HYPERLINK l _Toc505768514 外包合同的平安要求 PAGEREF _Toc505768514 h 26 HYPERLINK l _Toc505768515 5.资产分类与控制 PAGEREF _Toc505768515 h 28 HYPERLINK l _Toc505768516 5.1资产的使用说明 PAGEREF _Toc505768516 h 28 HYPERLINK l _Toc505768517 资产清单 PAGEREF _Toc505768517 h 28 HYPERLINK l _Toc505768518 5.2信息分类 PAGEREF _Toc50576

12、8518 h 28 HYPERLINK l _Toc505768519 分类的指南 PAGEREF _Toc505768519 h 29 HYPERLINK l _Toc505768520 信息标注及处理 PAGEREF _Toc505768520 h 29 HYPERLINK l _Toc505768521 6.人员平安 PAGEREF _Toc505768521 h 30 HYPERLINK l _Toc505768522 6.1岗位定义及资源分配的平安 PAGEREF _Toc505768522 h 30 HYPERLINK l _Toc505768523 岗位责任的平安 PAGEREF

13、 _Toc505768523 h 30 HYPERLINK l _Toc505768524 人事过滤及策略 PAGEREF _Toc505768524 h 30 HYPERLINK l _Toc505768525 保密协议 PAGEREF _Toc505768525 h 31 HYPERLINK l _Toc505768526 雇佣条款 PAGEREF _Toc505768526 h 31 HYPERLINK l _Toc505768527 6.2用户培训 PAGEREF _Toc505768527 h 31 HYPERLINK l _Toc505768528 信息平安教育及培训 PAGERE

14、F _Toc505768528 h 31 HYPERLINK l _Toc505768529 6.3平安事件及失常的反响措施 PAGEREF _Toc505768529 h 31 HYPERLINK l _Toc505768530 报告平安事件 PAGEREF _Toc505768530 h 32 HYPERLINK l _Toc505768531 报告平安的弱点 PAGEREF _Toc505768531 h 32 HYPERLINK l _Toc505768532 报告系统的故障 PAGEREF _Toc505768532 h 32 HYPERLINK l _Toc505768533 吸取

15、教训 PAGEREF _Toc505768533 h 32 HYPERLINK l _Toc505768534 处分程序 PAGEREF _Toc505768534 h 32 HYPERLINK l _Toc505768535 7.物理与环境的平安 PAGEREF _Toc505768535 h 33 HYPERLINK l _Toc505768536 7.1平安区域 PAGEREF _Toc505768536 h 33 HYPERLINK l _Toc505768537 物理平安地带 PAGEREF _Toc505768537 h 33 HYPERLINK l _Toc505768538 物

16、理入口的控制 PAGEREF _Toc505768538 h 33 HYPERLINK l _Toc505768539 保护办公室、房间及设备 PAGEREF _Toc505768539 h 34 HYPERLINK l _Toc505768540 在平安地带工作 PAGEREF _Toc505768540 h 34 HYPERLINK l _Toc505768541 隔离的交付及装载地方 PAGEREF _Toc505768541 h 34 HYPERLINK l _Toc505768542 7.2设备的平安 PAGEREF _Toc505768542 h 35 HYPERLINK l _T

17、oc505768543 设备的放置及保护 PAGEREF _Toc505768543 h 35 HYPERLINK l _Toc505768544 电力的供给 PAGEREF _Toc505768544 h 36 HYPERLINK l _Toc505768545 电缆线路的平安 PAGEREF _Toc505768545 h 36 HYPERLINK l _Toc505768546 设备的维护 PAGEREF _Toc505768546 h 36 HYPERLINK l _Toc505768547 设备离开大厦的平安 PAGEREF _Toc505768547 h 37 HYPERLINK

18、l _Toc505768548 设备的平安去除或重用 PAGEREF _Toc505768548 h 37 HYPERLINK l _Toc505768549 7.3一般控制 PAGEREF _Toc505768549 h 37 HYPERLINK l _Toc505768550 收拾桌子及去除屏幕的策略 PAGEREF _Toc505768550 h 37 HYPERLINK l _Toc505768551 财物的搬迁 PAGEREF _Toc505768551 h 38 HYPERLINK l _Toc505768552 8.通讯与操作的管理 PAGEREF _Toc505768552 h

19、 39 HYPERLINK l _Toc505768553 8.1操作步骤及责任 PAGEREF _Toc505768553 h 39 HYPERLINK l _Toc505768554 文档化操作程序 PAGEREF _Toc505768554 h 39 HYPERLINK l _Toc505768555 操作变动的控制 PAGEREF _Toc505768555 h 39 HYPERLINK l _Toc505768556 平安事件管理程序 PAGEREF _Toc505768556 h 40 HYPERLINK l _Toc505768557 责任分开制 PAGEREF _Toc5057

20、68557 h 40 HYPERLINK l _Toc505768558 开发及正式使用设备的分开 PAGEREF _Toc505768558 h 41 HYPERLINK l _Toc505768559 外部设备的管理 PAGEREF _Toc505768559 h 41 HYPERLINK l _Toc505768560 8.2系统规划及接收 PAGEREF _Toc505768560 h 41 HYPERLINK l _Toc505768561 储存量的方案 PAGEREF _Toc505768561 h 42 HYPERLINK l _Toc505768562 系统接收 PAGEREF

21、 _Toc505768562 h 42 HYPERLINK l _Toc505768563 8.3对付恶意软件 PAGEREF _Toc505768563 h 42 HYPERLINK l _Toc505768564 控制恶意软件 PAGEREF _Toc505768564 h 43 HYPERLINK l _Toc505768565 8.4备份及恢复性常务管理 PAGEREF _Toc505768565 h 43 HYPERLINK l _Toc505768566 信息备份 PAGEREF _Toc505768566 h 43 HYPERLINK l _Toc505768567 操作员日志

22、PAGEREF _Toc505768567 h 44 HYPERLINK l _Toc505768568 对错误进行记录 PAGEREF _Toc505768568 h 44 HYPERLINK l _Toc505768569 8.5网络管理 PAGEREF _Toc505768569 h 44 HYPERLINK l _Toc505768570 网络控制 PAGEREF _Toc505768570 h 44 HYPERLINK l _Toc505768571 8.6介质的处理与平安 PAGEREF _Toc505768571 h 45 HYPERLINK l _Toc505768572 可移

23、动计算机介质的管理 PAGEREF _Toc505768572 h 45 HYPERLINK l _Toc505768573 介质的去除 PAGEREF _Toc505768573 h 45 HYPERLINK l _Toc505768574 信息处理的程序 PAGEREF _Toc505768574 h 46 HYPERLINK l _Toc505768575 系统说明文档的平安 PAGEREF _Toc505768575 h 46 HYPERLINK l _Toc505768576 8.7信息与软件的交换 PAGEREF _Toc505768576 h 46 HYPERLINK l _To

24、c505768577 信息及软件交换协议 PAGEREF _Toc505768577 h 46 HYPERLINK l _Toc505768578 传递中介质的平安 PAGEREF _Toc505768578 h 47 HYPERLINK l _Toc505768579 电子商务的平安 PAGEREF _Toc505768579 h 47 HYPERLINK l _Toc505768580 电子邮件的平安 PAGEREF _Toc505768580 h 48 HYPERLINK l _Toc505768581 平安风险 PAGEREF _Toc505768581 h 48 HYPERLINK

25、l _Toc505768582 电子邮件的策略 PAGEREF _Toc505768582 h 48 HYPERLINK l _Toc505768583 电子办公室系统的平安 PAGEREF _Toc505768583 h 48 HYPERLINK l _Toc505768584 可公用的系统 PAGEREF _Toc505768584 h 49 HYPERLINK l _Toc505768585 其它形式的信息交换 PAGEREF _Toc505768585 h 49 HYPERLINK l _Toc505768586 9.访问控制 PAGEREF _Toc505768586 h 50 HY

26、PERLINK l _Toc505768587 9.1访问控制的业务需求 PAGEREF _Toc505768587 h 50 HYPERLINK l _Toc505768588 访问控制策略 PAGEREF _Toc505768588 h 50 HYPERLINK l _Toc505768589 策略及业务需求 PAGEREF _Toc505768589 h 50 HYPERLINK l _Toc505768590 访问控制规定 PAGEREF _Toc505768590 h 50 HYPERLINK l _Toc505768591 9.2用户访问的管理 PAGEREF _Toc505768

27、591 h 51 HYPERLINK l _Toc505768592 用户登记 PAGEREF _Toc505768592 h 51 HYPERLINK l _Toc505768593 特权管理 PAGEREF _Toc505768593 h 51 HYPERLINK l _Toc505768594 用户口令的管理 PAGEREF _Toc505768594 h 52 HYPERLINK l _Toc505768595 用户访问权限的检查 PAGEREF _Toc505768595 h 52 HYPERLINK l _Toc505768596 9.3用户责任 PAGEREF _Toc50576

28、8596 h 52 HYPERLINK l _Toc505768597 口令的使用 PAGEREF _Toc505768597 h 52 HYPERLINK l _Toc505768598 无人看管的用户设备 PAGEREF _Toc505768598 h 53 HYPERLINK l _Toc505768599 9.4网络访问控制 PAGEREF _Toc505768599 h 53 HYPERLINK l _Toc505768600 网络效劳的使用策略 PAGEREF _Toc505768600 h 53 HYPERLINK l _Toc505768601 强制式路径 PAGEREF _T

29、oc505768601 h 54 HYPERLINK l _Toc505768602 外部连接的用户认证 PAGEREF _Toc505768602 h 54 HYPERLINK l _Toc505768603 网点认证 PAGEREF _Toc505768603 h 54 HYPERLINK l _Toc505768604 远程诊断端口的保护 PAGEREF _Toc505768604 h 55 HYPERLINK l _Toc505768605 网络的隔离 PAGEREF _Toc505768605 h 55 HYPERLINK l _Toc505768606 网络连接控制 PAGEREF

30、 _Toc505768606 h 55 HYPERLINK l _Toc505768607 网络路由的控制 PAGEREF _Toc505768607 h 55 HYPERLINK l _Toc505768608 网络效劳的平安 PAGEREF _Toc505768608 h 56 HYPERLINK l _Toc505768609 9.5操作系统的访问控制 PAGEREF _Toc505768609 h 56 HYPERLINK l _Toc505768610 自动认证终端 PAGEREF _Toc505768610 h 56 HYPERLINK l _Toc505768611 终端的登录程

31、序 PAGEREF _Toc505768611 h 56 HYPERLINK l _Toc505768612 用户标识及认证 PAGEREF _Toc505768612 h 57 HYPERLINK l _Toc505768613 口令管理系统 PAGEREF _Toc505768613 h 57 HYPERLINK l _Toc505768614 系统工具的使用 PAGEREF _Toc505768614 h 58 HYPERLINK l _Toc505768615 为保障平安的人员配备强迫警钟 PAGEREF _Toc505768615 h 58 HYPERLINK l _Toc50576

32、8616 终端超时 PAGEREF _Toc505768616 h 58 HYPERLINK l _Toc505768617 连接时间的限制 PAGEREF _Toc505768617 h 58 HYPERLINK l _Toc505768618 9.6应用系统的访问控制 PAGEREF _Toc505768618 h 58 HYPERLINK l _Toc505768619 信息访问的限制 PAGEREF _Toc505768619 h 59 HYPERLINK l _Toc505768620 敏感系统的隔离 PAGEREF _Toc505768620 h 59 HYPERLINK l _T

33、oc505768621 9.7系统访问和使用的监控 PAGEREF _Toc505768621 h 59 HYPERLINK l _Toc505768622 事件记录 PAGEREF _Toc505768622 h 59 HYPERLINK l _Toc505768623 监控系统的使用 PAGEREF _Toc505768623 h 60 HYPERLINK l _Toc505768624 风险的程序及区域 PAGEREF _Toc505768624 h 60 HYPERLINK l _Toc505768625 风险因素 PAGEREF _Toc505768625 h 60 HYPERLIN

34、K l _Toc505768626 对事件进行日志记录和审查 PAGEREF _Toc505768626 h 60 HYPERLINK l _Toc505768627 时钟的同步 PAGEREF _Toc505768627 h 61 HYPERLINK l _Toc505768628 9.8移动操作及远程办公 PAGEREF _Toc505768628 h 61 HYPERLINK l _Toc505768629 移动操作 PAGEREF _Toc505768629 h 61 HYPERLINK l _Toc505768630 远程工作 PAGEREF _Toc505768630 h 62 H

35、YPERLINK l _Toc505768631 10.系统开发与维护 PAGEREF _Toc505768631 h 63 HYPERLINK l _Toc505768632 10.1系统的平安要求 PAGEREF _Toc505768632 h 63 HYPERLINK l _Toc505768633 平安要求分析及规格 PAGEREF _Toc505768633 h 63 HYPERLINK l _Toc505768634 10.2应用系统中的平安 PAGEREF _Toc505768634 h 63 HYPERLINK l _Toc505768635 输入数据的核实 PAGEREF _

36、Toc505768635 h 63 HYPERLINK l _Toc505768636 内部处理的控制 PAGEREF _Toc505768636 h 64 HYPERLINK l _Toc505768637 有风险的地方 PAGEREF _Toc505768637 h 64 HYPERLINK l _Toc505768638 检查及控制 PAGEREF _Toc505768638 h 64 HYPERLINK l _Toc505768639 消息认证 PAGEREF _Toc505768639 h 64 HYPERLINK l _Toc505768640 输出数据的核实 PAGEREF _T

37、oc505768640 h 65 HYPERLINK l _Toc505768641 10.3密码控制 PAGEREF _Toc505768641 h 65 HYPERLINK l _Toc505768642 密码控制的使用策略 PAGEREF _Toc505768642 h 65 HYPERLINK l _Toc505768643 加密 PAGEREF _Toc505768643 h 66 HYPERLINK l _Toc505768644 数字签名 PAGEREF _Toc505768644 h 66 HYPERLINK l _Toc505768645 不可抵赖效劳 PAGEREF _To

38、c505768645 h 66 HYPERLINK l _Toc505768646 密钥管理 PAGEREF _Toc505768646 h 67 HYPERLINK l _Toc505768647 密钥的保护 PAGEREF _Toc505768647 h 67 HYPERLINK l _Toc505768648 标准，程序及方法 PAGEREF _Toc505768648 h 67 HYPERLINK l _Toc505768649 10.4系统文件的平安 PAGEREF _Toc505768649 h 68 HYPERLINK l _Toc505768650 运行软件的控制 PAGERE

39、F _Toc505768650 h 68 HYPERLINK l _Toc505768651 系统测试数据的保护 PAGEREF _Toc505768651 h 68 HYPERLINK l _Toc505768652 源程序库的访问控制 PAGEREF _Toc505768652 h 68 HYPERLINK l _Toc505768653 10.5开发及支持程序的平安 PAGEREF _Toc505768653 h 69 HYPERLINK l _Toc505768654 改动控制程序 PAGEREF _Toc505768654 h 69 HYPERLINK l _Toc505768655

40、 操作系统改动的技术检查 PAGEREF _Toc505768655 h 70 HYPERLINK l _Toc505768656 更改软件包的限制 PAGEREF _Toc505768656 h 70 HYPERLINK l _Toc505768657 隐蔽通道及特洛伊代码 PAGEREF _Toc505768657 h 70 HYPERLINK l _Toc505768658 外包软件的开发 PAGEREF _Toc505768658 h 70 HYPERLINK l _Toc505768659 11.业务连续性管理 PAGEREF _Toc505768659 h 71 HYPERLINK

41、 l _Toc505768660 11.1.关于业务连续性管理 PAGEREF _Toc505768660 h 71 HYPERLINK l _Toc505768661 业务连续性管理的过程 PAGEREF _Toc505768661 h 71 HYPERLINK l _Toc505768662 业务连续性及影响的分析 PAGEREF _Toc505768662 h 71 HYPERLINK l _Toc505768663 撰写及实施连续性方案 PAGEREF _Toc505768663 h 71 HYPERLINK l _Toc505768664 业务连续性方案的框架 PAGEREF _To

42、c505768664 h 72 HYPERLINK l _Toc505768665 测试、维护及重新评估业务连续性方案 PAGEREF _Toc505768665 h 72 HYPERLINK l _Toc505768666 测试该方案 PAGEREF _Toc505768666 h 72 HYPERLINK l _Toc505768667 维护及重新评估该方案 PAGEREF _Toc505768667 h 73 HYPERLINK l _Toc505768668 12.遵循性 PAGEREF _Toc505768668 h 74 HYPERLINK l _Toc505768669 12.1

43、是否遵守法律 PAGEREF _Toc505768669 h 74 HYPERLINK l _Toc505768670 确定适用的法律 PAGEREF _Toc505768670 h 74 HYPERLINK l _Toc505768671 知识产权 PAGEREF _Toc505768671 h 74 HYPERLINK l _Toc505768672 版权 PAGEREF _Toc505768672 h 74 HYPERLINK l _Toc505768673 软件版权 PAGEREF _Toc505768673 h 74 HYPERLINK l _Toc505768674 保障机构的记录

44、 PAGEREF _Toc505768674 h 75 HYPERLINK l _Toc505768675 数据保护及个人信息的隐私 PAGEREF _Toc505768675 h 75 HYPERLINK l _Toc505768676 防止信息处理设备被滥用 PAGEREF _Toc505768676 h 76 HYPERLINK l _Toc505768677 密码控制的规定 PAGEREF _Toc505768677 h 76 HYPERLINK l _Toc505768678 证据的收集 PAGEREF _Toc505768678 h 76 HYPERLINK l _Toc50576

45、8679 证据的规那么 PAGEREF _Toc505768679 h 76 HYPERLINK l _Toc505768680 证据的适用性 PAGEREF _Toc505768680 h 77 HYPERLINK l _Toc505768681 证据的质量和完备性 PAGEREF _Toc505768681 h 77 HYPERLINK l _Toc505768682 12.2核对平安策略及技术合格性 PAGEREF _Toc505768682 h 77 HYPERLINK l _Toc505768683 与平安策略一致 PAGEREF _Toc505768683 h 77 HYPERLI

46、NK l _Toc505768684 技术依从性的检查 PAGEREF _Toc505768684 h 77 HYPERLINK l _Toc505768685 12.3系统审计的考虑 PAGEREF _Toc505768685 h 79 HYPERLINK l _Toc505768686 系统审计控制 PAGEREF _Toc505768686 h 79 HYPERLINK l _Toc505768687 对系统审计工具的保护 PAGEREF _Toc505768687 h 79 HYPERLINK l _Toc505768688 第二局部：信息平安管理系统的标准 PAGEREF _Toc5

47、05768688 h 81 HYPERLINK l _Toc505768689 1.范围 PAGEREF _Toc505768689 h 81 HYPERLINK l _Toc505768690 2.术语与定义 PAGEREF _Toc505768690 h 81 HYPERLINK l _Toc505768691 3.信息平安管理系统的要求 PAGEREF _Toc505768691 h 81 HYPERLINK l _Toc505768692 3.1概要 PAGEREF _Toc505768692 h 81 HYPERLINK l _Toc505768693 3.2建立一个管理架构 PAG

48、EREF _Toc505768693 h 81 HYPERLINK l _Toc505768694 3.3实施 PAGEREF _Toc505768694 h 81 HYPERLINK l _Toc505768695 3.4文档 PAGEREF _Toc505768695 h 82 HYPERLINK l _Toc505768696 3.5文档控制 PAGEREF _Toc505768696 h 82 HYPERLINK l _Toc505768697 3.6记录 PAGEREF _Toc505768697 h 83 HYPERLINK l _Toc505768698 4.详细监控 PAGER

49、EF _Toc505768698 h 85 HYPERLINK l _Toc505768699 4.1平安策略 PAGEREF _Toc505768699 h 85 HYPERLINK l _Toc505768700 信息平安策略 PAGEREF _Toc505768700 h 85 HYPERLINK l _Toc505768701 信息平安策略文档 PAGEREF _Toc505768701 h 85 HYPERLINK l _Toc505768702 检查和评价 PAGEREF _Toc505768702 h 85 HYPERLINK l _Toc505768703 4.2平安组织 PA

50、GEREF _Toc505768703 h 85 HYPERLINK l _Toc505768704 信息平安根底设施 PAGEREF _Toc505768704 h 85 HYPERLINK l _Toc505768705 管理层信息平安论坛 PAGEREF _Toc505768705 h 85 HYPERLINK l _Toc505768706 信息平安的协调 PAGEREF _Toc505768706 h 85 HYPERLINK l _Toc505768707 信息平安职责的分配 PAGEREF _Toc505768707 h 85 HYPERLINK l _Toc505768708

51、信息处理设施的授权过程 PAGEREF _Toc505768708 h 86 HYPERLINK l _Toc505768709 专家信息平安建议 PAGEREF _Toc505768709 h 86 HYPERLINK l _Toc505768710 各机构之间的协作 PAGEREF _Toc505768710 h 86 HYPERLINK l _Toc505768711 信息平安的独立检查 PAGEREF _Toc505768711 h 86 HYPERLINK l _Toc505768712 第三方访问的平安 PAGEREF _Toc505768712 h 86 HYPERLINK l

52、_Toc505768713 第三方访问的风险的识别 PAGEREF _Toc505768713 h 86 HYPERLINK l _Toc505768714 在第三方合同中的平安要求 PAGEREF _Toc505768714 h 86 HYPERLINK l _Toc505768715 外部采购 PAGEREF _Toc505768715 h 86 HYPERLINK l _Toc505768716 在外购合同中的平安要求 PAGEREF _Toc505768716 h 86 HYPERLINK l _Toc505768717 4.3资产分类与控制 PAGEREF _Toc505768717

53、 h 87 HYPERLINK l _Toc505768718 资产的可说明性 PAGEREF _Toc505768718 h 87 HYPERLINK l _Toc505768719 资产的盘点 PAGEREF _Toc505768719 h 87 HYPERLINK l _Toc505768720 信息分类 PAGEREF _Toc505768720 h 87 HYPERLINK l _Toc505768721 分类方针 PAGEREF _Toc505768721 h 87 HYPERLINK l _Toc505768722 信息标签和处理 PAGEREF _Toc505768722 h

54、87 HYPERLINK l _Toc505768723 4.4人员平安 PAGEREF _Toc505768723 h 87 HYPERLINK l _Toc505768724 工作定义和资源中的平安 PAGEREF _Toc505768724 h 87 HYPERLINK l _Toc505768725 工作责任的平安 PAGEREF _Toc505768725 h 87 HYPERLINK l _Toc505768726 员工筛选和策略 PAGEREF _Toc505768726 h 87 HYPERLINK l _Toc505768727 保密协议 PAGEREF _Toc505768

55、727 h 88 HYPERLINK l _Toc505768728 雇佣的条款和条件 PAGEREF _Toc505768728 h 88 HYPERLINK l _Toc505768729 用户培训 PAGEREF _Toc505768729 h 88 HYPERLINK l _Toc505768730 信息平安教育和培训 PAGEREF _Toc505768730 h 88 HYPERLINK l _Toc505768731 平安事故与故障的处理 PAGEREF _Toc505768731 h 88 HYPERLINK l _Toc505768732 报告突发平安事故 PAGEREF _

56、Toc505768732 h 88 HYPERLINK l _Toc505768733 报告平安弱点 PAGEREF _Toc505768733 h 88 HYPERLINK l _Toc505768734 报告软件故障 PAGEREF _Toc505768734 h 88 HYPERLINK l _Toc505768735 从事故中吸取教训 PAGEREF _Toc505768735 h 88 HYPERLINK l _Toc505768736 纠正过程 PAGEREF _Toc505768736 h 89 HYPERLINK l _Toc505768737 4.5物理与环境的平安 PAGE

57、REF _Toc505768737 h 89 HYPERLINK l _Toc505768738 平安地区 PAGEREF _Toc505768738 h 89 HYPERLINK l _Toc505768739 物理平安边界 PAGEREF _Toc505768739 h 89 HYPERLINK l _Toc505768740 物理接口控制 PAGEREF _Toc505768740 h 89 HYPERLINK l _Toc505768741 保护办公室、房间和设施 PAGEREF _Toc505768741 h 89 HYPERLINK l _Toc505768742 在平安地区工作

58、PAGEREF _Toc505768742 h 89 HYPERLINK l _Toc505768743 隔离的运输和装载地区 PAGEREF _Toc505768743 h 89 HYPERLINK l _Toc505768744 设备平安 PAGEREF _Toc505768744 h 89 HYPERLINK l _Toc505768745 设备放置地点的选择与保护 PAGEREF _Toc505768745 h 89 HYPERLINK l _Toc505768746 电源供给 PAGEREF _Toc505768746 h 90 HYPERLINK l _Toc505768747 电

59、缆平安 PAGEREF _Toc505768747 h 90 HYPERLINK l _Toc505768748 设备维护 PAGEREF _Toc505768748 h 90 HYPERLINK l _Toc505768749 在机构外部使用设备时应注意的平安性 PAGEREF _Toc505768749 h 90 HYPERLINK l _Toc505768750 设备应该被平安地处理掉和再使用 PAGEREF _Toc505768750 h 90 HYPERLINK l _Toc505768751 一般控制 PAGEREF _Toc505768751 h 90 HYPERLINK l _

60、Toc505768752 清洁桌面与清洁屏幕策略 PAGEREF _Toc505768752 h 90 HYPERLINK l _Toc505768753 资产的删除 PAGEREF _Toc505768753 h 90 HYPERLINK l _Toc505768754 4.6通讯与操作的管理 PAGEREF _Toc505768754 h 90 HYPERLINK l _Toc505768755 操作过程与职责 PAGEREF _Toc505768755 h 90 HYPERLINK l _Toc505768756 记录操作过程 PAGEREF _Toc505768756 h 91 HYP