信息安全策略2

变更履历版本编号变化简要说明(变更内容、或更改记状态变更日期序号1*变化状态：C——创建，A——增加，M——修改，D——删除目录1.目的和范围2.术语和定义3.引用文件4.职责和权限5.5.1.信息系统安全组织5.2.资产管理5.3.人员信息安全管理5.4.物理和环境安全..........................................................................................................................115.5.通信和操作管理..........................................................................................................................135.6.信息系统访问控制.......................................................................................................................175.7.信息系统的获取、开发和维护安全..............................................................................................205.8.信息安全事故处理.......................................................................................................................235.9.业务连续性管理..........................................................................................................................245.10.符合性要求...............................................................................................................................261附件...................................................................................................................................................271.目的和范围2.术语和定义1)解释是指保护信息资产免受多种安全威胁，保证业务连续性，将安全事件造成的损失降至最小，同时最大限度地获得投资回报和商业机遇。确保经过授权的用户在需要时可以访问信息并使用相关信息资产。确保只有经过授权的人才能访问信息。安全规章定义的密级信息。正确使用和管理IT信息资源并保护这些资源使得它们拥有更好的保密性、完整性、可用性的策略。评估信息安全漏洞对信息处理设备带来的威胁和影响及其发生的可能性。以可以接受的成本，确认、控制、排除可能影响信息系统的安全风险或将其带来的危害最小化的过程。装有计算机主机、服务器和相关设备的，除了安装和维护的情况外，不允许人员在里边工作的专用房间。是指与有业务往来的单位，包括承包商、服务提供商、设备厂商、外包服务商、贸易伙伴等。是指企业战略性选择外部专业技术和服务资源，以替代内部部门和人员来承担企业IT系统或系统之上的业务流程的运营、维护和支持的IT服务。利用信息系统的安全漏洞，对信息资产的保密性、完整性和可用性造成危害的事件。是指信息的处理、传输设备运行出现意外障碍，以至影响信息系统正常运转的事件。通过将所选类型的事件记录在服务器或工作站的安全日志中用来跟踪用户活动的过程。用户如果超过特定的时限没有进行动作，就触发其他事件（如断开连接、锁定用2)词语使用必须应当可以好的做法所要达到的要求，条件允许就要实施。表示希望达到的要求。3.引用文件4.职责和权限5.信息安全策略1)策略下发2)策略维护3)策略评审4)适用范围软5.1.信息系统安全组织1)内部组织表。外部组织2)➢➢➢➢➢➢➢➢➢➢➢➢➢序资产管理1)资产责任2)信息分类人员信息安全管理1)人员雇佣2)雇佣中➢➢➢➢➢➢➢➢➢3)人员信息安全管理原则物理和环境安全1)安全区域2)设备安全➢➢➢通信和操作管理1)操作程序和责任2)第三方服务交付管理➢➢➢➢➢➢3)系统策划与验收4)防范恶意和移动代码e)应当开展对一般员工的预防病毒培训。员工一旦发现或怀疑有PC5)备份6)网络安全管理7)介质处理8)信息交换9)监视和审计信息系统访问控制1)访问控制的业务要求2)用户访问管理3)用户责任54)网络访问控制➢➢➢5)操作系统访问控制➢➢➢➢➢➢➢➢➢➢6)应用程序和信息访问控制7)移动计算和远程工作信息系统的获取、开发和维护安全1)信息系统的安全要求2)应用系统的正确处理➢➢➢➢➢3)加密控制➢➢➢4)系统文件安全5)开发和支持过程安全6)技术漏洞管理序➢➢➢➢信息安全事故处理1)报告信息安全事故和弱点2)信息安全事故管理和改进序业务连续性管理1)业务连续性管理中的信息安全