ISMS-B-2015-信息安全管理规范
信息安全管理体系(ISMS)考试 选择题 50题
1. 信息安全管理体系(ISMS)的核心目的是什么?A. 提高员工工作效率B. 确保信息的机密性、完整性和可用性C. 增加公司收入D. 降低运营成本2. ISO/IEC 27001是哪个领域的国际标准?A. 质量管理B. 环境管理C. 信息安全管理D. 职业健康安全管理3. 在ISMS中,风险评估的目的是什么?A. 确定所有可能的风险B. 评估风险的可能性和影响C. 消除所有风险D. 增加风险管理成本4. 以下哪项不是ISMS的关键组成部分?A. 风险评估B. 风险处理C. 内部审计D. 市场营销策略5. ISMS中的PDCA循环指的是什么?A. Plan, Do, Check, ActB. Prepare, Design, Construct, ApplyC. Predict, Develop, Control, AdjustD. Program, Deploy, Check, Amend6. 在ISMS中,风险处理包括以下哪些选项?A. 风险避免B. 风险转移C. 风险降低D. 所有上述选项7. 信息安全政策应该由谁来制定?A. 信息安全经理B. 最高管理层C. 所有员工D. 外部顾问8. ISMS的内部审计目的是什么?A. 确保ISMS的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉9. 在ISMS中,风险评估和处理应该多久进行一次?A. 每年B. 每两年C. 根据需要D. 每五年10. 以下哪项不是ISMS认证的好处?A. 提高客户信任B. 增强市场竞争力C. 降低运营成本D. 增加法律风险11. ISMS中的“信息资产”包括哪些?A. 硬件和软件B. 数据和文档C. 人员和流程D. 所有上述选项12. 在ISMS中,风险评估的第一步是什么?A. 识别信息资产B. 评估风险C. 处理风险D. 监控风险13. 信息安全事件管理包括以下哪些步骤?A. 准备B. 检测和响应C. 恢复D. 所有上述选项14. ISMS中的“风险避免”策略是指什么?A. 采取措施完全消除风险B. 转移风险给第三方C. 降低风险的影响D. 忽略风险15. 在ISMS中,风险转移通常通过什么方式实现?A. 保险B. 外包C. 合同D. 所有上述选项16. 信息安全培训的目的是什么?A. 提高员工的安全意识B. 增加公司收入C. 降低运营成本D. 提高员工工作效率17. ISMS中的“风险降低”策略是指什么?A. 采取措施减少风险的影响B. 完全消除风险C. 转移风险给第三方D. 忽略风险18. 在ISMS中,风险监控的目的是什么?A. 确保风险处理措施的有效性B. 增加公司利润C. 提高员工满意度D. 降低客户投诉19. ISMS中的“风险接受”策略是指什么?A. 接受并管理风险B. 完全消除风险C. 转移风险给第三方D. 忽略风险20. 在ISMS中,风险评估和处理的结果应该如何记录?A. 风险评估报告B. 风险处理计划C. 风险登记册D. 所有上述选项21. ISMS中的“信息安全政策”应该包括哪些内容?A. 信息安全目标B. 信息安全责任C. 信息安全管理措施D. 所有上述选项22. 在ISMS中,风险评估和处理的流程应该如何管理?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项23. ISMS中的“信息安全事件”是指什么?A. 任何可能导致信息安全损害的事件B. 任何增加公司收入的事件C. 任何降低运营成本的事件D. 任何提高员工满意度的事件24. 在ISMS中,风险评估和处理的结果应该如何使用?A. 用于制定信息安全政策B. 用于提高员工工作效率C. 用于增加公司收入D. 用于降低运营成本25. ISMS中的“信息安全目标”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉26. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度27. ISMS中的“信息安全责任”应该如何分配?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉28. 在ISMS中,风险评估和处理的流程应该如何监控?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项29. ISMS中的“信息安全管理措施”应该如何制定?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉30. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项31. ISMS中的“信息安全培训”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉32. 在ISMS中,风险评估和处理的流程应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项33. ISMS中的“信息安全事件管理”应该如何进行?A. 根据风险评估结果B. 根据公司收入C. 根据员工满意度D. 根据客户投诉34. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度35. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项36. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项37. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项38. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度39. ISMS中的“信息安全责任”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项40. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项41. ISMS中的“信息安全管理措施”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项42. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度43. ISMS中的“信息安全培训”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项44. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项45. ISMS中的“信息安全事件管理”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项46. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度47. ISMS中的“信息安全政策”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项48. 在ISMS中,风险评估和处理的流程应该如何记录?A. 通过风险评估报告B. 通过风险处理计划C. 通过风险登记册D. 所有上述选项49. ISMS中的“信息安全目标”应该如何审查?A. 通过内部审计B. 通过外部审计C. 通过管理层审查D. 所有上述选项50. 在ISMS中,风险评估和处理的流程应该如何改进?A. 通过PDCA循环B. 通过增加公司收入C. 通过降低运营成本D. 通过提高员工满意度答案:1. B2. C3. B4. D5. A6. D7. B8. A9. C10. D11. D12. A13. D14. A15. D16. A17. A18. A19. A20. D21. D22. D23. A24. A25. A26. A27. A28. D29. A30. D31. A32. D33. A34. A35. D36. D37. D38. A39. D40. D41. D42. A43. D44. D45. D46. A47. D48. D49. D50. A。
ISMS-B-01信息安全风险管理程序
深圳市ABC有限公司信息安全风险管理程序编号:ISMS-B-01版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,特制定本程序。
2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。
3 职责3.1 信息安全管理小组负责牵头成立风险评估小组。
3.2 风险评估小组负责编制《信息安全风险评估计划》,确认评估结果,形成《信息安全风险评估报告》。
3.3 各部门负责本部门使用或管理的资产的识别和风险评估,并负责本部门所涉及的资产的具体安全控制工作。
4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组信息安全小组牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。
5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产,并进行资产赋值。
5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性的达成程度进行分析,并在此基础上得出综合结果的过程。
5.2.3 保密性(C)赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。
5.2.4 完整性(I)赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。
完整性(I)赋值的方法5.2.5 可用性(A)赋值根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上的达成的不同程度。
可用性(A)赋值的方法5.2.7 导出资产清单识别出来的信息资产需要详细登记在《信息资产清单》中。
2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案)
2022年7月CCAA统一考试ISMS“信息安全管理体系基础”真题(含答案)1.如果信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,则应具备的保护水平为:()A.二级B.三级C.四级D.五级2.当访问单位服务器时,响应速度明显减慢时,最有可能受到了哪一种攻击?()A.特洛伊木马B.地址欺骗C.缓冲区溢出D.拒绝服务3.《中华人民共和国保密法》规定了国家秘密的范围和密级,国家秘密的密级分为()。
A.低级和高级两个级别B.普密、商密两个级别C.绝密、机密、秘密三个级别D.—密、二密、三密、四密四个级别4.风险过程中,是需要识别的方面包括资产识别,威胁识别,现有控制措施识别和()A.识别可能性和识别稳定性B.识别脆弱性和识别后果C.识别脆弱性和识别可能性D.识别脆弱性和识别稳定性5.信息管理体系审核指南规定,ISMS规模不包括()A.组织控制下开展工作的人员总数以及相关方合同方B.组织的部门数量C.覆盖场所的数量D.信息系统的数量6.《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。
对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
A.半年B.—年C.两年D.1.5年7.信息是()A.干扰因素B.不稳定因素C.物理特性D.不确定性8.数字签名要预先使用hash函数的原因A.保证密文能准确还原成明文B.缩小签名的长度C.提高密文的计算速度D.多一道加密工序,使密文更难破解9.以下不是ISMS体系中,利益相关方的对象A.认为自己受到决策影响人和组织B.认为自己影响决策的人和组织C.可能受到决策影响的人和组织D.可能影响决策的人和组织答案:10.下列哪项不是SSE-CMm的过程()A.工程过程B.保证过程C.分享过程D.设计过程11.管理员通过桌面系统下发IP、MAC绑定策略后,终端用户修改了IP地址,对其的管理方式不包括()A.自动恢复其IP至原绑定状态B.断开网络并持续阻断C.弹出提示窗口对其发出警D.锁定键盘鼠标12.GB/T29246标准为组织和个人提供()A.建立信息安全管理体系的基础信息B.信息安全管理体系的介绍C.ISMS标准族已发布标准的介绍D.ISMS标准族中使用的所有术语和定义13.在规划如何达到信息安全目标时,组织应确定()A.要做什么,有什么可用资源,由谁负责,什么时候开始如何测量结果B.要做什么,需要什么资源,由谁负责,什么时候完成,如何测量结果C.要做什么,需要什么资源,由谁负责,什么时候完成,如何评价结果D.要做什么,有什么可用资源由谁执行什么时候幵始,如何评价结果14.下面哪一种环境控制措施可以保护计算机不受短期停电影响?()A.电力线路调节器B.电力浪涌保护设备C.备用的电力供应D.可中断的电力供应15.《中华人民共和国网络安全法》中要求:网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于()A.1个月B.3个月C.6个月D.12个月16.经过风险处理后遗留的风险通常称为()A.重大风险B.有条件的接受风险C.不可接受的风险D.残余风险17.下列关于DMZ区的说法错误的是()A.DMZ可以访问内部网络。
信息安全服务管理规范
信息安全服务管理规范信息安全服务管理规范(ISMS)是指在组织内建立和实施一套持续不断的信息安全管理机制、流程和方法,旨在确保组织能够对信息资产进行全面的管理和保护。
该规范可以涵盖从信息安全政策制定到信息安全事件响应的全过程,为组织提供一种科学、规范的管理方式,以确保信息安全工作的有效实施。
一、规范制定与实施1.组织应根据自身的信息安全需求制定并定期更新信息安全策略,以确保信息资产得到合理的保护。
2.组织应制定详细的信息安全管理流程、规程和方法,以确保信息安全管理工作的规范实施。
3.组织应确保信息安全管理流程、规程和方法能够与组织内部其他管理系统相衔接,形成一个完整的管理体系。
4.组织应指定信息安全管理人员,负责信息安全管理工作的日常运行和监督。
二、信息资产管理1.组织应对所有的信息资产进行全面的分类、识别和管理,并建立相应的信息资产清单。
2.组织应对信息资产进行风险评估,根据风险评估结果确定相应的信息安全控制措施。
3.组织应对信息资产进行定期的备份和恢复,以确保信息资产的完整性和可用性。
4.组织应对信息资产进行访问控制,建立适当的权限和访问控制机制,以防止未经授权的访问和使用。
三、人员管理1.组织应对所有员工进行信息安全教育和培训,提高员工的信息安全意识和技能。
2.组织应制定并实施人员离职时的信息安全处理程序,以确保离职员工不再具有对信息资产的未授权访问权限。
3.组织应建立信息安全意识培训的考核机制,对参与培训的员工进行考核,以确保培训效果的达到。
四、物理环境管理1.组织应确保信息系统和信息资产得到合理的物理保护,确保信息系统和信息资产的安全性和可用性。
2.组织应对机房、服务器及其他重要信息系统设备进行定期巡检和维护,确保设备的正常运行。
3.组织应确保机房和其他重要区域设有门禁和监控系统,以防止未经授权的人员进入,并对设备和区域进行实时监控。
五、安全事件管理1.组织应建立完善的安全事件管理流程,对信息安全事件进行及时的响应和处置。
ISMS信息安全管理体系审核考前点题卷二(题库)
ISMS信息安全管理体系审核考前点题卷二(题库)[单选题]1.信息安全管理体系审核范围的确定需考(江南博哥)虑()A.业务范围和边界B.组织和物理范围边界C.资产和技术范围和边界D.以上全部参考答案:D[单选题]2.确定资产的可用性要求须依据:A.授权实体的需求B.信息系统的实际性能水平C.组织可支付的经济成本D.最高管理者的决定参考答案:A[单选题]3.下列不属于GB/T22080-2016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()A.资产归还B.资产分发C.资产的处理D.资产清单参考答案:B[单选题]4.关于认证机构的每次监督审核应至少审查的内容,以下说法错误的是()A.ISMS在实现客户信息安全方针的目标的有效性B.所确定的控制措施的变更,但不包括SOA的变更C.合规性的定期评价与评审情况D.控制措施的实施和有效性参考答案:B[单选题]5.信息安全管理体系认证是:()。
A.与信息安全管理体系有关的规定要求得到满足的证实活动B.对信息系统是否满足有关的规定要求的评价C.信息安全管理体系认证不是合格评定活动D.是信息系统风险管理的实施活动参考答案:A[单选题]6.下列哪项不属于信息安全风险评估过程。
()A.识别信息安全风险B.处置信息安全风险C.分析信息安全风险D.评价信息安全风险参考答案:B[单选题]7.信息安全管理体系审核时,为了获取审核证据,应考虑的信息源为()A.受审核方的业务系统相关的活动和数据B.受审核方场所中己确定为信息安全管理体系范围内的相关过程和活动C.受审核方申请信息安全管理体系认证范围内的业务过程和活动D.以上全部参考答案:C[单选题]8.系统备份与普通数据备份的不同在于,它不仅备份系统中的数据,还备份系统中安装的应用程序,数据库系统、用户设置、系统参数等信息,以便迅速()A.恢复全部程序B.恢复网络设置C.恢复所有数据D.恢复整个系统参考答案:D[单选题]9.GB/T22080-2016标准中要求保护“测试数据”,以下符合这一要求的情况是()A.确保使用生产环境数据用于测试时真实、准确B.确保对信息系统测试所获得的数据的访问控制C.对用于信息系统测试的数据进行匿名化处理D.以上全部参考答案:B[单选题]10.包含储存介质的设备的所有项目应进行核查,以确保在处置之前,()和注册软件己被删除或安全地覆盖A.系统软件B.游戏软件C.杀毒软件D.任何敏感信息参考答案:D[单选题]11.表示客体安全级别并描述客体敏感性的一组信息,是()A.敏感性标记,是可信计算机基中强制访问控制决策的依据B.关键性标记,是可信计算机基中强制访问控制决策的依据C.关键性等级标记,是信息资产分类分级的依据D.敏感性标记,是表明访问者安全权限级别参考答案:A[单选题]12.不属于WEB服务器的安全措施的是()A.保证注册帐户的时效性B.删除死帐户C.强制用户使用不易被破解的密码D.所有用户使用一次性密码参考答案:D[单选题]13.末次会议包括()A.请受审核方确认不符合报告、并签字B.向受审核方递交审核报告C.双方就审核发现的不同意见进行讨论D.以上都不准确参考答案:C[单选题]14.认证审核时,审核组应()A.在审核前将审核计划提交受审核方,并与受审核方进行沟通得到确认B.在审核中将审核计划提交受审核方,并与受审核方进行沟通得到认定C.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到确认D.在审核后将审核计划提交受审核方,并与受审核方进行沟通得到认可参考答案:A[单选题]15.认证审核时,审核组拟抽查的样本应()A.由受审核方熟悉的人员事先选取,做好准备B.由审核组明确总体并在受控状态下独立抽样C.由审核组和受审核方人员协商抽样D.由受审核方安排的向导实施抽样参考答案:B[单选题]16.对于“监控系统”的存取与使用,下列正确的是()A.监控系统所产生的记录可由用户任意存取B.计算机系统时钟应予同步C.只有当系统发生异常事件及其他安全相关事件时才需进行监控D.监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略参考答案:B[单选题]17.开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
网络信息安全管理体系(ISMS)的建立与运作
网络信息安全管理体系(ISMS)的建立与运作随着互联网的快速发展和普及,网络信息安全问题日益引起人们的关注。
为了保护个人、组织和国家的网络信息安全,建立网络信息安全管理体系(ISMS)成为当务之急。
本文将探讨网络信息安全管理体系的建立与运作。
一、网络信息安全管理体系的定义与目标网络信息安全管理体系(Information Security Management System,ISMS)是一种基于国际标准(如ISO 27001)、策略和程序的一套综合性安全控制措施,旨在管理组织的信息资产,确保其机密性、完整性和可用性。
ISMS的主要目标是:1. 保护组织的信息资产免受未经授权的访问、使用、披露、破坏、修改、复制或泄漏;2. 遵守法律法规和合同要求,保障信息资产的合规性;3. 确保持续的业务连续性,降低信息安全事件对组织的影响;4. 提升信息安全意识和能力,建立安全文化。
二、网络信息安全管理体系的建立与运作步骤1. 制定网络信息安全政策网络信息安全政策应由企业高层领导制定,并明确表述企业的信息安全目标和原则。
该政策应与组织的使命和价值观保持一致,并经常进行评估和修订。
2. 进行信息资产风险评估通过对组织的信息资产进行全面的风险评估,识别潜在的威胁和漏洞。
评估结果将帮助决策者确定需要采取哪些安全措施,并为后续的安全管理决策提供科学依据。
3. 制定信息安全控制措施根据信息资产风险评估的结果,制定适当的信息安全控制措施,包括技术控制、物理控制和组织控制等方面。
措施应根据风险的优先级和严重性进行优先级排序,并制定相应的实施计划。
4. 实施信息安全控制措施将制定好的信息安全控制措施付诸实施,并确保其得到全面有效执行。
这包括组织培训、技术实施、安全意识教育等方面的工作。
同时,确保员工、供应商和合作伙伴遵守相关安全规定。
5. 进行内部审核和管理评审定期进行ISMS内部审核,评估安全措施的有效性和合规性。
内部审核应由一支独立的团队进行,确保评审的客观性和准确性。
信息安全管理体系
ISO/IEC27001知识体系1.ISMS概述 (2)1。
1 什么是ISMS (2)1。
2 为什么需要ISMS (3)1。
3 如何建立ISMS (5)2。
ISMS标准 (10)2.1 ISMS标准体系-ISO/IEC27000族简介 (10)2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 (14)2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍 (18)3.ISMS认证 (22)3。
1 什么是ISMS认证 (22)3。
2 为什么要进行ISMS认证 (22)3.3 ISMS认证适合何种类型的组织 (23)3.4 全球ISMS认证状况及发展趋势 (24)3.5 如何建设ISMS并取得认证 (29)1. ISMS概述1.1 什么是ISMS信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的.注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS 描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素.ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
信息安全管理体系(ISMS)
信息安全管理体系(ISMS)信息安全是现代社会中不可或缺的重要组成部分,信息安全管理体系(ISMS)作为信息安全管理的一种方法论和规范,旨在确保组织在信息处理过程中的安全性,包括信息的机密性、完整性和可用性。
本文将对信息安全管理体系的概念、实施步骤和重要性进行探讨。
一、概念信息安全管理体系(ISMS)是指组织在信息处理过程中建立和维护的一系列政策、规程、过程、技术和措施,旨在管理和保护信息资产的安全。
ISMS的目标是确保组织能够正确有效地处理和保护信息,预防和减少信息泄露和安全漏洞所带来的潜在风险。
二、实施步骤1. 制定政策与目标:组织应在信息安全管理体系中明确信息安全的政策和目标,并将其与组织的整体战略和目标相结合。
这些政策和目标应该是明确的、可测量的,能够为其他步骤提供指导。
2. 风险评估与控制:通过风险评估,组织可以确定其关键信息资产的安全威胁,并采取适当的措施来最小化或消除这些威胁。
风险评估应基于科学的方法,包括信息资产的价值评估、威胁的概率评估和影响的评估。
3. 资源分配与培训:组织需要为ISMS分配足够的资源,包括人力、物力和财力。
此外,组织还需培训员工,提高其对信息安全的认识和技能,确保他们能够正确使用和维护ISMS所需的工具和技术。
4. 持续改进:ISMS应作为组织的持续改进过程的一部分,持续评估、监控和改进ISMS的有效性和符合性。
组织应定期进行内部审计和管理评审,以确保ISMS的运行符合预期,并根据评审结果进行必要的改进。
三、重要性信息安全管理体系(ISMS)的实施对组织具有重要的意义和价值。
首先,ISMS可以帮助组织建立和维护信息资产的安全性。
通过制定明确的政策和措施,组织可以控制和减少信息泄露的风险,保护关键信息资产的机密性和完整性。
其次,ISMS可以帮助组织合规。
随着信息安全法律法规的不断完善和加强,组织需要确保其信息安全管理符合相应的法规要求。
ISMS 可以帮助组织建立符合法规要求的信息安全管理体系,并提供相应的管理和技术措施来满足法规的要求。
isms信息安全管理体系
信息安全管理体系从维基百科,自由的百科全书跳转到:导航,搜索计划 - 实施 - 检查 - 行动循环ENISA:风险管理与主义活动信息安全管理体系(ISMS)是一个与有关的政策设置的信息安全管理或资讯科技有关的风险。
产生的成语主要出ISO 27001。
而背后的信息安全管理体系的主导原则是,一个组织应制定,实施和维护的政策,流程和系统来管理其风险的一整套信息资产,从而确保信息安全风险可接受的水平。
目录[hide]• 1 ISMS描述• 2 需要一个ISMS• 3 ISMS的关键成功因素• 4 参见• 5 笔记和参考• 6 外部链接[ 编辑 ] ISMS描述如同所有的管理流程,一个ISMS必须保持有效和长期有效的,适应在内部组织和外部环境的变化。
ISO / IEC 27001,因此采用了典型的“计划-实施-检查-行动”(PDCA)或戴明循环,方法:•该计划阶段有关设计的ISMS,信息安全风险评估,并选择适当的控制。
•该做阶段包括实施和操作控制。
•检查阶段的目标是审查和评价的ISMS性能(效率和效益)。
•在该法的阶段,在必要时进行更改,以使ISMS回峰值性能。
最有名的ISMS中介绍了ISO / IEC 27001和ISO / IEC 27002及相关标准共同出版ISO和IEC。
另一种是竞争的ISMS 信息安全论坛的良好实务标准(SOGP)。
这是更最佳实践为基础的,因为它从ISF的行业经验来。
其他框架,如COBIT和ITIL的安全问题联系,但主要是面向朝着建立一个信息管理框架和IT更普遍。
COBIT框架有一个同伴IT风险致力于信息安全。
有一个集中的管理和保护信息系统在铭记,它是企业和组织的问题,不仅是一个技术问题,组织问题多项措施:•联邦信息安全管理法案2002年是美国联邦法律在2002年颁布的重要性,承认信息安全对美国经济和国家安全利益。
[1]该法要求每个联邦机构制定,文件,实施机构范围内的计划,以提供信息安全的信息和信息系统支持的业务和资产的机构,包括提供或由其他机构管理的承包,或其他来源。
信息安全评估管理程序
信息安全风险评估管理程序东北财经信息有限公司目录1。
目的 (2)2。
专业术语 (2)3.范围 (3)4.职责 (3)5。
程序内容 (3)5.1 风险评估前准备 (3)5。
2 信息资产的识别 (3)5.3 重要信息资产风险等级评估 (4)5.4 不可接受风险的确定和处理 (5)5.5 评估时机 (5)6.记录 (5)7.相关/支持性文件 (6)信息安全风险评估流程图....................................... 错误!未定义书签。
风险评估要点示意图.. (6)1.目的本程序规定了公司所采用的信息安全风险评估方法。
通过识别信息资产、进行风险等级评估,认知本公司的信息安全风险。
在考虑控制成本与风险平衡的前提下,选择合适控制目标和控制方式,将信息安全风险控制在可接受的水平,保持本公司业务持续性发展,以满足本公司信息安全管理方针的要求。
2.专业术语2.1风险管理风险管理是以可接受成本,识别、评估、控制、降低可能影响信息系统风险的过程。
通过风险评估识别风险,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。
风险管理的核心是信息的保护。
信息对于组织是一种具有重要价值的资产。
建立信息安全管理体系(ISMS)的目的是在最大范围内保护信息资产,确保信息的机密性、完整性和可用性,将风险管理自始至终的贯穿于整个信息安全管理体系中,这种体系并不能完全消除信息安全的风险,只是尽量减少风险,尽量将攻击造成的损失降低到最低限度。
2.2风险评估风险评估指风险分析和风险评价的整个过程,其中风险分析是指系统化地识别风险来源和风险类型,风险评价是指按组织制定的风险标准估算风险水平,确定风险严重性。
风险评估的出发点是对与风险有关的各因素的确认和分析,与信息安全风险有关的因素可以包括四大类:资产、威胁、脆弱性、安全控制措施。
信息安全管理体系简介
3.ISO27001实施方法
Phase 1 风险评估
Phase 5 安全管理体系 持续改进
Phase 2 安全管理体系设 计
Phase 4 安全管理体系运 行监控
认证
Phase 3 安全管理体系实 施
• 信息安全管理体系是PDCA动态持续改进的一个循环体。 • PDCA也称“戴明环”,由美国质量管理专家戴明提出。 • P(Plan):计划,确定方针和目标,确定活动计划; • D(Do):实施,实际去做,实现计划中的内容; • C(Check):检查,总结执行计划的结果,注意效果,找出问题; • A(Action):行动,对总结检查的结果进行处理,成功地经验加以
(Information Systems Acquisition, Development and Maintenance)
(A,12)
九、信息安全事故管理(Information security incident Management)(A,13)
十、业务持续性管理(Business Continuity Management)(A,14) 十一、符合性(Compliance)(A,15)
肯定并适当推广、标准化;失败的教训加以总结,以免重现;未解决 的问题放到下一个PDCA循环。
小结
• 1.信息安全管理体系的简介 • 2.ISO27002的主要内容介绍 • 3.ISO27001的实施方法
信息安全技术 信息安全管理体系简介
主要内容
• 1.信息安全管理体系的简介 • 2.ISO27002的主要内容介绍 • 3.ISO27001的实施方法
1.信息安全管理体系的简介
•
信息安全管理体系(Information Security Management System,简
ISMS-27001-2013信息技术安全技术信息安全管理体系要求标准解读
PART 03
标准正文
标准正文
4.组织环境
4.1 理解组织及其环境
• 组织应确定与其意图相关的并影响其实现信息安全管理体系预期结果的能力 的外部和内部事项。
•1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性 有关的风险;(CIA) •2) 识别风险责任人。(资产归属)
6.1 应对风险和机会的措施
• 6.1.2 信息安全风险评估 • d) 分析信息安全风险:
• 1) 评估6.1.2.c) 1) 中所识别的风险发生后将导致的潜在影响;(资产脆弱性被威胁利用后的严重 性)
标准正文
5.领导
5.1 领导和承诺
• 最高管理者应通过以下活动,证实对信息安全管理体系的领导和承诺:
• a) 确保建立了信息安全策略和信息安全目标,并与组织战略方向一致; • b) 确保将信息安全管理体系要求整合到组织的业务过程中; • c) 确保信息安全管理体系所需资源可用; • d) 沟通有效的信息安全管理及符合信息安全管理体系要求的重要性; • e) 确保信息安全管理体系达到预期结果; • f)指导并支持相关人员为信息安全管理体系的有效性做出贡献; • g) 促进持续改进; • h) 支持其他相关管理角色在其职责范围内展现他们的领导力。
完整性 准确和完备的特性。
术语
文件化信息 组织需要控制和维护的信息及其载体。
术语
外部环境
组织寻求实现其目标的外部环境。 注外部环境可以包括如下方面: 文化、社会、政治、法律、法规、金融、技术、经济、自然和竞争环境,无论是国际的、 国家的、地区的或地方的; 影响组织目标的关键驱动力和趋势; 与外部利益相关方的关系及其认知和价值观。
ISMS手册-信息安全管理体系手册
I S M S手册-信息安全管理体系手册精品管理制度、管理方案、合同、协议、一起学习进步信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
ISMS信息安全管理及相关标准简介
信息安全管理及相关标准简介一、社会发展对信息资源的依赖程度人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。
在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。
无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
在ISO27002中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。
二、信息安全的内容网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。
ISMS手册-信息安全管理IT服务管理体系手册
信息安全管理IT服务管理体系手册发布令本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。
本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT服务管理理念方针和服务目标。
为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。
是全体员工必须遵守的原则性规范。
体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。
本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。
为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。
直接向公司管理层报告。
全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。
管理者代表职责:a) 建立服务管理计划;b) 向组织传达满足服务管理目标和持续改进的重要性;e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新;1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。
信息安全风险评估管理相关国家标准介绍
信息安全风险评估/管理相关国家标准介绍作者:谢宗晓刘立科来源:《中国标准导报》2016年第05期“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。
自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。
目前,已发表论文42篇,出版专著12本。
信息安全管理系列之十六无论是信息安全管理体系(ISMS),还是信息系统安全等级保护,几乎所有的信息安全管理最佳实践都以风险管理为基础。
信息安全风险评估/管理实践往往依据一系列的标准,下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。
谢宗晓(特约编辑)摘要:本文介绍了信息安全风险评估/管理的相关标准,其中包括:(1)GB/T 20984—2007《信息安全技术信息安全风险评估规范》;(2)GB/Z 24364—2009《信息安全技术信息安全风险管理指南》;(3)GB/T 31509—2015《信息安全技术信息安全风险评估实施指南》;(4)GB/T 31722—2015 / ISO/IEC 27005:2008《信息安全技术信息安全风险管理》;(5)《信息安全技术信息安全风险处理实施指南》(征求意见稿)。
关键词:信息安全风险评估风险管理风险应对Abstract: In this paper, we introduce standards related to risk assessment / management,including:(1)GB/T 20984—2007 Information security technology—Risk assessment specification for information security;(2) GB/Z 24364—2009 Information security technology—Guidelines for information security risk management;(3) GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment;(4)GB/T 31722—2015 / ISO/IEC 27005: 2008 Information technology—Security techniques—Information security risk management;(5) Information security technology—Guide of implementation for information security risk treatment.Key words: information security, risk assessment, risk management, risk treatment截至2015年12月,我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。
ISMS总体要求
4.2.1 建立ISMS组织应:a) 根据组织业务特征、组织、地理位置、资产、技术以及任何删减的细节和合理性来确定ISMS范围;b) 根据组织业务特征、组织、地理位置、资产和技术确定ISMS方针,方针应:1) 包括建立目标的框架,并建立信息安全活动的总方向和总原则;2) 考虑业务和法律法规要求,以及合同安全义务;3) 根据组织战略性的风险管理框架,建立和保持ISMS;4) 建立风险评价的准则和定义风险评估的结构5) 经过了管理层的批准。
c) 确定组织的风险评估方法:1) 识别适用于ISMS、已识别的业务信息安全和法律法规要求的风险评估方法;2) 开发确定风险接受准则,识别风险的可接受等级[见5.1f]。
风险评估方法的选择应确保可以产生可比较的、可重复的结果。
注:存在多种风险评估方法。
如,在ISO/IEC TR13335-3《IT安全管理指南-IT安全管理技术》中讨论的风险评估方法。
d) 识别风险:1) 识别ISMS范围内的资产及资产所有者;2) 识别资产的威胁;3) 识别可能被威胁利用的脆弱点;4) 识别资产保密性、完整性、可用性损失的影响。
e) 分析并评价风险:1) 评估安全失效可能导致的组织业务影响,考虑因资产保密性、完整性、可用性的损失而导致的后果;2) 根据资产的主要威胁、脆弱性、有关的影响以及已经实施的安全控制,评估安全失效发生的现实可能性;3) 估计风险的等级;4) 根据4.2.1c)2)已建立的准则,判断风险是否可接受或需要处理。
f) 识别和评价风险处理的选择:可行的措施包括:1) 实施适当的控制;2) 在确切满足组织策略和风险接受准则的前提下,有意识地、客观地接受风险[见4.2.1c)2)] ;3) 规避风险;4) 将相关业务风险转嫁给他方,如保险公司、供方。
g) 选择风险处理的控制目标和控制方式。
应选择并控制目标和控制措施,以满足风险评估和风险处置过程所识别的要求。
选择时,应考虑接受风险的准则(见4.2.1 C))以及法律法规和合同要求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISMS-B-2015-信息安全管理规范信息安全管理制度规范目录1信息安全规范 (3)1.1 .................................. 总则31.2 .............................. 环境管理31.3 .............................. 资产管理81.4 .............................. 介质管理81.5 .............................. 设备管理91.5.1 ............................ 总则91.5.2 ............. 系统主机维护管理办法101.5.3 ........... 涉密计算机安全管理办法161.6 .......................... 系统安全管理161.7 ....................... 恶意代码防范管理191.8 .............................. 变更管理201.9 .......................... 安全事件处置201.10 ................ 监控管理和安全管理中心211.11 ......................... 数据安全管理221.12 ......................... 网络安全管理231.13 ............................. 操作管理291.14 ...................... 安全审计管理办法301.15 ...................... 信息系统应急预案301.16 ................................. 附表错误!未1信息安全规范1.1总则第1条为明确岗位职责,规范操作流程,确保公司信息系统的安全,根据《中华人民共和国计算机信息系统安全保护条例》等有关规定,结合公司实际,特制订本制度。
第2条信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第3条信息安全系统遵循安全性、可行性、效率性、可承担性的设计原则,将从物理安全、网络安全、支撑层系统安全、应用层系统安全、数据及资料安全几方面进行部署实施。
1.2环境管理第1条信息机房由客户安排指定,但应该满足如下的要求:1、物理位置的选择(G3)2、防雷击(G3)3、防火(G3)4、防水和防潮(G3)(G3)5、防静电6、温湿度控制(G3)7、电磁防护(S2)8、物理访问控制(G3)9、防盗窃和防破坏(G3)第2条由客户指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。
第3条出入机房要有登记记录。
非机房工作人员不得进入机房。
外来人员进机房参观需经保密办批准,并有专人陪同。
第4条进入机房人员不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质、食品等对设备正常运行构成威胁的物品。
严禁在机房内吸烟。
严禁在机房内堆放与工作无关的杂物。
第5条机房内应按要求配置足够量的消防器材,并做到三定(定位存放、定期检查、定时更换)。
加强防火安全知识教育,做到会使用消防器材。
加强电源管理,严禁乱接电线和违章用电。
发现火险隐患,及时报告,并采取安全措施。
第6条机房应保持整洁有序,地面清洁。
设备要排列整齐,布线要正规,仪表要齐备,工具要到位,资料要齐全。
机房的门窗不得随意打开。
第7条每天上班前和下班后对机房做日常巡检,检查机房环境、电源、设备等并做好相应记录(见表一)。
第8条对临时进入机房工作的人员,不再发放门禁卡,在向用户单位保密部门提出申请得到批准后,由安全保密管理员陪同进入机房工作。
1.3资产管理第1条编制并保存与信息系统相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
第2条规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为。
第3条根据资产的重要程度对资产进行标识管理。
第4条对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
1.4介质管理第1条建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
第2条建立移动存储介质安全管理制度,对移动存储介质的使用进行管控。
第3条确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理。
第4条对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点。
第5条对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁。
第6条根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同第7条对重要数据或软件采用加密介质存储,并根据所承载数据和软件的重要程度对介质进行分类和标识管理。
1.5设备管理1.5.1总则第1条由系统管理员对信息系统相关的各种设备(包括备份和冗余设备)、线路等进行定期维护管理。
第2条建立基于申报、审批和专人负责的设备安全管理制度。
第3条建立明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制的管理制度。
第4条对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作第5条确保信息处理设备必须经过审批才能带离机房或办公地点。
1.5.2系统主机维护管理办法第1条系统主机由系统管理员负责维护,未经允许任何人不得对系统主机进行更改操作。
第2条根据系统设计方案和应用系统运行要求进行主机系统安装、调试,建立系统管理员账户,设置管理员密码,建立用户账户,设置系统策略、用户访问权利和资源访问权限,并根据安全风险最小化原则及运行效率最大化原则配置系统主机。
第3条建立系统设备档案(见表二)、包括系统主机详细的技术参数,如:品牌、型号、购买日期、序列号、硬件配置信息、软件配置信息、网络配置信息、系统配置信息,妥善保管系统主机保修卡,在系统主机软硬件信息发生变更时对设备档案进行及时更新。
第4条每周修改系统主机管理员密码,密码长度不得低于八位,要求有数字、字母并区分大小写。
第5条每周通过系统性能分析软件对系统主机进行运行性能分析,并做详细记录(见表四),根据分析情况对系统主机进行系统优化,包括磁盘碎片整理、系统日志文件清理,系统升级等。
第6条每周对系统日志、系统策略、系统数据进行备份,做详细记录(见表四)。
第7条每天检查系统主机各硬件设备是否正常运行,并做详细记录(见表五)。
第8条每天检查系统主机各应用服务系统是否运行正常,并做详细记录(见表五)。
第9条每天记录系统主机运行维护日记,对系统主机运行情况进行总结。
第10条在系统主机发生故障时应及时通知用户,用最短的时间解决故障,保证系统主机尽快正常运行,并对系统故障情况做详细记录(见表六)。
第11条每月对系统主机运行情况进行总结、并写出系统主机运行维护月报,上报保密办。
第12条系统主机的信息安全等级保持要求:1、身份鉴别2、访问控制3、剩余信息保护4、入侵防范5、恶意代码防范6、资源控制1.5.3涉密计算机安全管理办法第1条涉密计算机安全管理由安全保密管理员专人负责,未经允许任何人不得进行此项操作。
第2条根据网络系统安全设计要求制定、修改、删除涉密计算机安全审计策略,包括打印控制策略、外设输入输出控制策略、应用程序控制策略,并做记录。
第3条每日对涉密计算机进行安全审计,及时处理安全问题,并做详细记录(见表十八),遇有重大问题上报保密部门。
第4条涉密计算机的新增、变更、淘汰需经保密部门审批,审批通过后由安全保密管理员统一进行操作,并做详细记录(见表十八)。
第5条新增涉密计算机联入涉密网络,需经保密办审批,由安全保密管理员统一进行操作,并做详细记录(见表十八)。
1.6系统安全管理第1条根据业务需求和系统安全分析确定系统的访问控制策略。
第2条定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
第3条安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
第4条依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作。
第5条定期对运行日志和审计数据进行分析,以便及时发现异常行为。
第6条信息系统的运行维护由系统管理员负责维护,未经允许任何人不得对信息系统进行任何操作。
第7条根据信息系统的设计要求及实施细则安装、调试、配置信息系统,建立信息系统管理员账号,设置管理员密码,密码要求由数字和字母组成,区分大小写,密码长度不得低于8位。
第8条对信息系统的基本配置信息做详细记录,包括系统配置信息、用户帐户名称,系统安装目录、数据文件存贮目录,在信息系统配置信息发生改变时及时更新记录(见表三)。
第9条每周对信息系统系统数据、用户ID文件、系统日志进行备份,并做详细记录(见表四),备份介质交保密办存档。
第10条当信息系统用户发生增加、减少、变更时,新建用户帐户,新建用户邮箱,需经保密单位审批,并填写系统用户申请单或系统用户变更申请单(见表七),审批通过后,由系统管理员进行操作,并做详细记录。
第11条根据用户需求设置信息系统各功能模块访问权限,并提交保密办审批。
第12条每天检查信息系统各项应用功能是否运行正常,并做详细记录(见表五)。
第13条在信息系统发生故障时,应及时通知用户,并用最短的时间解决故障,保证信息系统尽快正常运行,并对系统故障情况做详细记录(见表六)。
第14条每天记录信息系统运行维护日志,对信息系统运行情况进行总结。
第15条每月对信息系统运行维护情况进行总结,并写出信息系统维护月报,并上报保密办。
1.7恶意代码防范管理第1条通过培训及标识提高所有用户的防病毒意识,及时告知防病毒软件版本,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也应进行病毒检查。
第2条信息安全专员对网络和主机进行恶意代码检测并保存检测记录。
第3条定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成报表和总结汇报。
1.8变更管理第1条确认系统中要发生的变更,并制定变更方案。