收藏
下载资源

信息安全管理标准

上传人:壹****1 文档编号:505601774 上传时间:2024-02-03 格式:DOC 页数:191 大小:641.50KB
返回 下载 相关 举报
信息安全管理标准_第1页
第1页 / 共191页
信息安全管理标准_第2页
第2页 / 共191页
信息安全管理标准_第3页
第3页 / 共191页
信息安全管理标准_第4页
第4页 / 共191页
信息安全管理标准_第5页
第5页 / 共191页
点击查看更多>>
资源描述

《信息安全管理标准》由会员分享,可在线阅读,更多相关《信息安全管理标准(191页珍藏版)》请在金锄头文库上搜索。

1、信息安全管理标准12020年5月29日文档仅供参考BS7799信息安全管理标准Worldwide StandardsHaving trouble locating an overseas standard? BSI has the solutionWITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUNWorldwide Standards Direct is the fast, cost-effective standards service.Contact us on:e-mail:Tel +44(0)20 8996 9001Fax +44(0

2、)20 8996 7001Information security managementPart 1: Code of practice for information security management信息安全管理标准第一部分:信息安全管理惯例目录Worldwide Standards2Having trouble locating an overseas standard? BSI has the solution2WITH BSI, YOUR SEARCH IS OVER BEFORE ITS EVEN BEGUN2第一部分:信息安全管理惯例3序14简介15什么是信息安全?15为什么

3、需要信息安全15如何制定安全需求16评估信息风险16安全控制的选择16信息安全的出发点17重要的成功因素17开发你自己的指导方针171.范围192.术语与定义202.1信息安全202.2风险评估202.3风险管理203.安全策略213.1信息安全策略213.1.1信息安全策略文件213.1.2复审及评估214.安全组织224.1息安全架构224.1.1管理信息安全论坛224.1.2信息安全的协调224.1.3信息安全责任的分配224.1.4息处理设备的授权步骤234.1.5信息安全专家的意见234.1.6组织之间的合作244.1.7信息安全的独立复审244.2第三方访问的安全244.2.1确认

4、第三方访问的风险244.2.1.1访问的种类244.2.1.2访问的原因254.2.1.3现场合同方254.2.2第三方合同的安全要求254.3外包服务264.3.1外包合同的安全要求265.资产分类与控制285.1资产的使用说明285.1.1资产清单285.2信息分类285.2.1分类的指南295.2.2信息标注及处理296.人员安全306.1岗位定义及资源分配的安全306.1.1岗位责任的安全306.1.2人事过滤及策略306.1.3保密协议316.1.4雇佣条款316.2用户培训316.2.1信息安全教育及培训316.3安全事件及失常的反应措施316.3.1报告安全事件326.3.2报告

5、安全的弱点326.3.3报告系统的故障326.3.4吸取教训326.3.5处罚程序327.物理与环境的安全337.1安全区域337.1.1物理安全地带337.1.2物理入口的控制337.1.3保护办公室、房间及设备347.1.4在安全地带工作347.1.5隔离的交付及装载地方347.2设备的安全357.2.1设备的放置及保护357.2.2电力的供应367.2.3电缆线路的安全367.2.4设备的维护367.2.5设备离开大厦的安全377.2.6设备的安全清除或重用377.3一般控制377.3.1收拾桌子及清除屏幕的策略377.3.2财物的搬迁388.通讯与操作的管理398.1操作步骤及责任39

6、8.1.1文档化操作程序398.1.2操作变动的控制398.1.3安全事件管理程序408.1.4责任分开制408.1.5开发及正式使用设备的分开418.1.6外部设备的管理418.2系统规划及接收418.2.1储存量的计划428.2.2系统接收428.3对付恶意软件428.3.1控制恶意软件438.4备份及恢复性常务管理438.4.1信息备份438.4.2操作员日志448.4.3对错误进行记录448.5网络管理448.5.1网络控制448.6介质的处理与安全458.6.1可移动计算机介质的管理458.6.2介质的清除458.6.3信息处理的程序468.6.4系统说明文档的安全468.7信息与软

7、件的交换468.7.1信息及软件交换协议468.7.2传递中介质的安全478.7.3电子商务的安全478.7.4电子邮件的安全488.7.4.1安全风险488.7.4.2电子邮件的策略488.7.5电子办公室系统的安全488.7.6可公用的系统498.7.7其它形式的信息交换499.访问控制509.1访问控制的业务需求509.1.1访问控制策略509.1.1.1策略及业务需求509.1.1.2访问控制规定509.2用户访问的管理519.2.1用户登记519.2.2特权管理519.2.3用户口令的管理529.2.4用户访问权限的检查529.3用户责任529.3.1口令的使用529.3.2无人看管

8、的用户设备539.4网络访问控制539.4.1网络服务的使用策略539.4.2强制式路径549.4.3外部连接的用户认证549.4.4网点认证549.4.5远程诊断端口的保护559.4.6网络的隔离559.4.7网络连接控制559.4.8网络路由的控制559.4.9网络服务的安全569.5操作系统的访问控制569.5.1自动认证终端569.5.2终端的登录程序569.5.3用户标识及认证579.5.4口令管理系统579.5.5系统工具的使用589.5.6为保障安全的人员配备强迫警钟589.5.7终端超时589.5.8连接时间的限制589.6应用系统的访问控制589.6.1信息访问的限制599.

9、6.2敏感系统的隔离599.7系统访问和使用的监控599.7.1事件记录599.7.2监控系统的使用609.7.2.1风险的程序及区域609.7.2.2风险因素609.7.2.3对事件进行日志记录和审查609.7.3时钟的同步619.8移动操作及远程办公619.8.1移动操作619.8.2远程工作6210.系统开发与维护6310.1系统的安全要求6310.1.1安全要求分析及规格6310.2应用系统中的安全6310.2.1输入数据的核实6310.2.2内部处理的控制6410.2.2.1有风险的地方6410.2.2.2检查及控制6410.2.3消息认证6410.2.4输出数据的核实6510.3密

10、码控制6510.3.1密码控制的使用策略6510.3.2加密6610.3.3数字签名6610.3.4不可抵赖服务6610.3.5密钥管理6710.3.5.1密钥的保护6710.3.5.2标准,程序及方法6710.4系统文件的安全6810.4.1运行软件的控制6810.4.2系统测试数据的保护6810.4.3源程序库的访问控制6810.5开发及支持程序的安全6910.5.1改动控制程序6910.5.2操作系统改动的技术检查7010.5.3更改软件包的限制7010.5.4隐蔽通道及特洛伊代码7010.5.5外包软件的开发7011.业务连续性管理7111.1.关于业务连续性管理7111.1.1业务连

11、续性管理的过程7111.1.2业务连续性及影响的分析7111.1.3撰写及实施连续性计划7111.1.4业务连续性计划的框架7211.1.5测试、维护及重新评估业务连续性计划7211.1.5.1测试该计划7211.1.5.2维护及重新评估该计划7312.遵循性7412.1是否遵守法律7412.1.1确定适用的法律7412.1.2知识产权7412.1.2.1版权7412.1.2.2软件版权7412.1.3保障机构的记录7512.1.4数据保护及个人信息的隐私7512.1.5防止信息处理设备被滥用7612.1.6密码控制的规定7612.1.7证据的收集7612.1.7.1证据的规则7612.1.7

12、.2证据的适用性7712.1.7.3证据的质量和完备性7712.2核对安全策略及技术合格性7712.2.1与安全策略一致7712.2.2技术依从性的检查7712.3系统审计的考虑7912.3.1系统审计控制7912.3.2对系统审计工具的保护79第二部分:信息安全管理系统的规范811.范围812.术语与定义813.信息安全管理系统的要求813.1概要813.2建立一个管理架构813.3实施813.4文档823.5文档控制823.6记录834.详细监控854.1安全策略854.1.1 信息安全策略854.1.1.1信息安全策略文档854.1.1.2检查和评价854.2安全组织854.2.1信息安

13、全基础设施854.2.1.1 管理层信息安全论坛854.2.1.2 信息安全的协调854.2.1.3 信息安全职责的分配854.2.1.4 信息处理设施的授权过程864.2.1.5 专家信息安全建议864.2.1.6 各机构之间的协作864.2.1.7 信息安全的独立检查864.2.2 第三方访问的安全864.2.2.1第三方访问的风险的识别864.2.2.2 在第三方合同中的安全要求864.2.3 外部采购864.2.3.1 在外购合同中的安全要求864.3资产分类与控制874.3.1资产的可说明性874.3.1.1资产的盘点874.3.2信息分类874.3.2.1分类方针874.3.2.2信息标签和处理874.4人员安全874.4.1工作定义和资源中的安全874.4.1.1工作责任的安全874.4.1.2员工筛选和策略874.4.1.3保密协议884.4.1.4雇佣的条款和条件884.4.2 用户培训884.4.2.1 信息安全教育和培训884.4.3 安全事故与故障的处理884.4.3.1

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号