信息技術(shù) 安全技術(shù) 信息安全管理體系 要求_第1頁
信息技術(shù) 安全技術(shù) 信息安全管理體系 要求_第2頁
信息技術(shù) 安全技術(shù) 信息安全管理體系 要求_第3頁
信息技術(shù) 安全技術(shù) 信息安全管理體系 要求_第4頁
信息技術(shù) 安全技術(shù) 信息安全管理體系 要求_第5頁
已閱讀5頁,還剩51頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

信息技術(shù)安全技術(shù)信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements 2規(guī)范性引用文件 因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS,是本標0.2過程方法本標準采用一種過程方法來建立、實施、運行、監(jiān)視、活動,可以視為一個過程。通常,一個過程的輸出可直本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調(diào)以下b)從組織整體業(yè)務風險的角度,實施和運行控制措施,以管理本標準采用了“規(guī)劃(Plan)-實施(可應用于所有的ISMS過程。圖1說明了ISMS如何把相關(guān)方的信息安全要求和標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則例2:如果發(fā)生了嚴重的事故——可能是組織的電子商務網(wǎng)站被黑客入侵工按照適當?shù)某绦颍瑢⑹录挠绊懡抵磷钚?。這可Act實施(實施和運行ISMS)檢查(監(jiān)視和評審ISMS)處置(保持和改進ISMS)本標準的設計能夠使一個組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整了為適應不同組織或其部門的需要而定制的安全控制措施注1:本標準中的“業(yè)務”一詞應廣義的解釋為關(guān)系一個組織生存的核信息安全事件informationsecuri信息安全事故informationsecurity信息安全管理體系(ISMS)informationsecuritymanagement注:在本標準中,術(shù)語“控制措施”被用作2適用性聲明statementofapplicab描述與組織的信息安全管理體系相關(guān)的和適用的控制目注:控制目標和控制措施基于風險評估和風險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務以及組織對于2)考慮業(yè)務和法律法規(guī)的要求,及合同中的安全義務;3)在組織的戰(zhàn)略性風險管理環(huán)境下,建立和保持ISMS;注:就本標準的目的而言,ISMS方針被認為是信息安全方針的一2)制定接受風險的準則,識別可接受的風險級選擇的風險評估方法應確保風險評估產(chǎn)生可比較的4)識別喪失保密性、完整性和可用性可能對資產(chǎn)造成的影響。4)確定風險是否可接受,或者是否需要使用在4.2.1c)2)中所建立的接受風險的準則進行處2術(shù)語“責任人”標識了已經(jīng)獲得管理者的批準,負責產(chǎn)生、開發(fā)、維護、使用和保證資產(chǎn)的安全的個人或?qū)嶓w“責任人”不是指該人員實際上對資產(chǎn)擁有所有權(quán)。34)將相關(guān)業(yè)務風險轉(zhuǎn)移到其他方,如:保險,供應商等。應選擇和實施控制目標和控制措施以滿足風險評估和風險處理過程中所識注:附錄A包含了組織內(nèi)一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A作為注:適用性聲明提供了一份關(guān)于風險處理決定的綜述。刪減的合理性說明提供交叉檢查,以b)實施風險處理計劃以達到已識別的控制目標,包括資金安排注:測量控制措施的有效性可使管理者和員工確定控制措施達到計劃的控制h)實施能夠迅速檢測安全事件和響應安全事故的程序和其他控制措施(見4.2.3)a。43)使管理者確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否被如期執(zhí)行;4)通過使用指標,幫助檢測安全事件并預防安全事故;6)外部事件,如法律法規(guī)環(huán)境的變更、合同義務的變更和社會環(huán)境的變更。注:內(nèi)部審核,有時稱為第一方審核,是用于內(nèi)部目的h)本標準所要求的記錄(見4.3.35注2:不同組織的ISMS文件的詳略程度取決?組織的規(guī)模和活動的類型;注3:文件和記錄可以采用任何形式或類型f)確保文件對需要的人員可用,并依照文件適的記錄應考慮相關(guān)法律法規(guī)要求和合同義務。例如:記錄包括訪客登記薄、審核報告和已完成的d)向組織傳達滿足信息安全目標、符合信息安全方g)確保ISMS內(nèi)部審核的執(zhí)行(見第a)建立、實施、運行、監(jiān)視、評審、保持和改進ISMS;6組織應通過以下方式,確保所有分配有ISMS職責組織也要確保所有相關(guān)人員意識到其信息安全活動的適當性和重要性,以及如何為達到ISMS目標策劃和實施審核以及報告結(jié)果和保持記錄(見4.3.3)的職責和要求應有效性。評審應包括評估ISMS改進的機會和變更的需要,包括信息安全方針和信息安全目標。評審的7),e)記錄所采取措施的結(jié)果(見4.3.3d)記錄所采取措施的結(jié)果(見4.3.3組織應識別變化的風險,并識別針對重大變化的風8中的清單并不完備,一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和A.5.1信息安全方針控制措施信息安全方針控制措施A.6信息安全組織信息安全的管控制措施控制措施信息安全活動應由來自組織不同部門并具備相關(guān)角色和工作職責的信息安全職責控制措施信息處理設施控制措施控制措施應識別并定期評審反映組織信息保護需要的保密性或不泄露協(xié)議的與政府部門的控制措施與特定權(quán)益團控制措施信息安全的獨控制措施A.6.2外部各方與外部各方相控制措施處理與顧客有控制措施應在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的處理第三方協(xié)議中的安全問題控制措施A.7.1對資產(chǎn)負責控制措施控制措施用控制措施控制措施控制措施應按照組織所采納的分類機制建立和實施一組A.8人力資源安全A.8.1任用4之前目標:確保雇員、承包方人員和第三方人員理解其職責、考慮對其承擔的角色是適合的,以降低控制措施控制措施3解釋:術(shù)語“責任人”是被認可,具有控制生產(chǎn)、任用條款和條件控制措施A.8.2任用中目標:確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責和義務、并準備好在其正常工作過程中支持組織的安全方針,以減少人控制措施控制措施其工作職能相關(guān)的適當?shù)囊庾R培訓和組織方針策控制措施對于安全違規(guī)的雇員,應有一個正式的紀律A.8.3任用的終止或變化控制措施任用終止或任用變化的職責應清晰的定義和控制措施控制措施A.9物理和環(huán)境安全控制措施控制措施護控制措施外部和環(huán)境威控制措施作控制措施控制措施控制,如果可能,要與信息處理設施隔離,以避免未設備安置和保護控制措施控制措施應保護設備使其免于由支持性設施的失效而引控制措施應保證傳輸數(shù)據(jù)或支持信息服務的電源布纜和控制措施組織場所外的控制措施設備的安全處控制措施控制措施A.10通信和操作管理A.10.1操作程序和職責控制措施控制措施控制措施控制措施A.10.2第三方服務交付管理控制措施第三方服務的控制措施第三方服務的控制措施A.10.3系統(tǒng)規(guī)劃和驗收控制措施控制措施A.10.4防范惡意和移動代碼控制措施控制措施控制措施控制措施網(wǎng)絡服務的安全控制措施A.10.7介質(zhì)處置控制措施控制措施控制措施控制措施A.10.8信息的交換控制措施控制措施控制措施包含信息的介質(zhì)在組織的物理邊界以外運送時控制措施控制措施控制措施包含在使用公共網(wǎng)絡的電子商務中的信息應受保護,以防止欺詐活控制措施控制措施在公共可用系統(tǒng)中可用信息的完整性應受保護,以防止未授權(quán)的修A.10.10監(jiān)視控制措施用控制措施應建立信息處理設施的監(jiān)視使用程序,監(jiān)視活動的護控制措施記錄日志的設施和日志信息應加以保護,以防止篡改和未授權(quán)的訪控制措施控制措施控制措施一個組織或安全域內(nèi)的所有相關(guān)信息處理設施的時鐘應使用已設的控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施應考慮自動設備標識,將其作為鑒別特定位置和設備連控制措施控制措施控制措施控制措施控制措施別控制措施所有用戶應有唯一的、專供其個人使用的識別碼(用戶ID應選擇控制措施控制措施可能超越系統(tǒng)和應用程序控制的實用工具的控制措施定控制措施控制措施用戶和支持人員對信息和應用系統(tǒng)功能的訪問控制措施移動計算和通信控制措施控制措施A.12信息系統(tǒng)獲取、開發(fā)和維護A.12.1信息系統(tǒng)的安全要求安全要求分析控制措施A.12.2應用中的正確處理證控制措施制控制措施控制措施證控制措施A.12.3密碼控制控制措施控制措施A.12.4系統(tǒng)文件的安全制控制措施控制措施控制措施控制措施控制措施控制措施控制措施控制措施A.12.6技術(shù)脆弱性管理控制措施A.13信息安全事故管理A.13.1報告信息安全事件和弱點控制措施信息安全事件應該盡可能快地通過適當?shù)墓芾砬刂拼胧〢.13.2信息安全事故和改進的管理控制措施控制措施應有一套機制量化和監(jiān)視信息安全事故的類型控制措施當一個信息安全事故涉及到訴訟(民事的或刑A.14業(yè)務連續(xù)性管理A.14.1業(yè)務連續(xù)性管理的信息安全方面目標:防止業(yè)務活動中斷,保護關(guān)鍵業(yè)務過程免受信息系統(tǒng)重大失誤或災難的影響,并確保它們控制措施控制措施控制措施控制措施控制措施A.15.1符合法律要求別控制措施控制措施錄控制措施控制措施控制措施控制措施A.15.2符合安全策略和標準,以及技術(shù)符合性控制措施查控制措施A.15.3信息系統(tǒng)審計考慮控制措施控制措施在OECD信息系統(tǒng)和網(wǎng)絡安全指南中給出的原則適用于治理信息系統(tǒng)和網(wǎng)本標準提供信息安全管理體系框架,通過使用PDCA模型以及4、5、6和8所述的過程,來實現(xiàn)的某0.2過程方法0.2過程方法2規(guī)范性引用文件2規(guī)范性引用文件2規(guī)范性引用文件4信息安全管理體系4.3.2文件控制4.3.3

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論