27001 信息安全管理体系标准
27001 信息安全管理体系标准
一、引言
信息安全管理体系标准是指国际标准化组织(ISO)发布的ISO/IEC 27001标准,它是全球范围内被广泛采用的信息安全管理标准之一,
是组织建立、实施、运行、监控、审查、维护和改进信息安全管理体
系的基础。
二、信息安全管理体系概述
1. 定义
信息安全管理体系是指为满足信息资产保护需求而制定、实施、运行、监控、审查、维护和不断改进的组织或团体的整体信息安全相关安排
和措施。
2. 核心理念
ISO/IEC 27001标准的核心理念是基于风险管理,强调了建立信息安
全管理体系的持续改进和适应性。通过风险评估和处理等方法,能够
帮助组织准确识别信息安全风险,采取相应的控制措施,并实现信息
资产的保护。
三、ISO/IEC 27001标准要求
1. 综述
ISO/IEC 27001标准要求组织根据自身的信息安全风险情况确定适当的信息安全目标,并制定相应的政策、程序和流程来实现这些目标。
2. 风险管理
在确定信息安全目标的过程中,组织需要进行风险评估和风险处理,确保对现有和潜在的信息安全风险进行有效应对。
3. 控制措施
ISO/IEC 27001标准要求组织根据风险评估结果,确定并实施适当的控制措施,包括技术、管理和物理措施等,以保护信息资产的安全。
4. 管理体系
信息安全管理体系的建立和运行需要进行持续监控和审查,确保其有效性和适应性,并不断进行改进。
四、ISO/IEC 27001标准的价值
1. 对组织的价值
建立、实施和认证ISO/IEC 27001标准的信息安全管理体系,能够帮助组织提高信息资产的安全性和保护能力,增强对信息安全风险的管理和控制,提升组织的整体竞争力和信誉度。
2. 对个人的价值
ISO/IEC 27001标准不仅对组织有着重要的意义,对个人信息的保护
也具有积极的促进作用,能够加强对个人信息的保护和隐私权的尊重。
五、个人观点和理解
作为一项全球范围内广泛采用的信息安全管理标准,ISO/IEC 27001
标准的重要性不言而喻。在当今信息安全形势日益严峻的情况下,建
立和实施信息安全管理体系已经成为组织和个人不可或缺的必要措施。只有通过制定和执行ISO/IEC 27001标准,组织和个人才能更好地识别、评估和应对信息安全风险,从而有效保护信息资产的安全和保密性。
总结
通过本文的介绍和分析,相信读者们对ISO/IEC 27001标准有了更深
入的理解和认识。建立和实施信息安全管理体系不仅是一项重要的制
度要求,更是组织和个人切实保护信息资产安全的有效途径。只有不
断加强对信息安全管理的重视和实践,才能更好地保护信息资产,确
保信息安全。希望本文能够为读者们提供有益的信息安全管理参考,
共同促进信息安全意识的提高和实践的落实。
参考:
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems -
Requirements信息安全管理体系标准在当今数字时代变得尤为重要,随着信息技术的快速发展和普及,我们的生活和工作方式都变得更加
数字化和网络化。在这样的背景下,信息安全管理体系标准的建立和
实施,对于保护个人隐私和组织信息资产的安全至关重要。
信息安全是指保护信息免受非法访问、利用、披露、破坏、修改或泄
露的能力。信息安全管理体系标准的引入和实施,旨在帮助组织和个
人建立系统化、持续性的信息安全管理机制,通过明确的政策、程序、流程和控制措施,确保信息资产的机密性、完整性和可用性。
信息安全管理体系标准强调了风险管理的重要性。信息安全风险是指
可能导致信息资产受到损害或泄露的各种内部和外部威胁和漏洞。组
织和个人需要通过风险评估和处理,准确识别和分析信息安全风险,
并采取相应的控制措施进行管理和控制。
信息安全管理体系标准还要求组织建立和运行有效的信息安全管理体系,包括持续监控、审查、改进和适应。这意味着信息安全管理体系
不是一次性的实施和完成,而是需要不断地进行评估和改进,以适应
不断变化的信息安全威胁和技术环境。
ISO/IEC 27001标准的实施对组织和个人都有着重要的价值。对于组
织来说,信息安全管理体系的建立和认证,能够提高信息资产的安全
性和保护能力,增强对信息安全风险的管理和控制,进而提升整体竞
争力和信誉度。对于个人来说,ISO/IEC 27001标准的实施能够加强
对个人信息的保护和隐私权的尊重,提升个人在数字化环境下的信息
安全意识和保护能力。
信息安全管理体系标准的实施不仅是一项制度要求,更是组织和个人
保护信息资产安全的有效途径。随着信息技术的快速发展和应用,信
息安全管理体系标准的重要性和必要性愈发突出。希望本文能够帮助
读者更加深入地理解和认识ISO/IEC 27001标准,增强信息安全意识,并促进信息安全管理实践的落实。只有不断加强信息安全管理的重视
和实践,才能更好地保护信息资产,确保信息安全。
27001 信息安全管理体系标准 27001 信息安全管理体系标准 一、引言 信息安全管理体系标准是指国际标准化组织(ISO)发布的ISO/IEC 27001标准,它是全球范围内被广泛采用的信息安全管理标准之一, 是组织建立、实施、运行、监控、审查、维护和改进信息安全管理体 系的基础。 二、信息安全管理体系概述 1. 定义 信息安全管理体系是指为满足信息资产保护需求而制定、实施、运行、监控、审查、维护和不断改进的组织或团体的整体信息安全相关安排 和措施。 2. 核心理念 ISO/IEC 27001标准的核心理念是基于风险管理,强调了建立信息安 全管理体系的持续改进和适应性。通过风险评估和处理等方法,能够 帮助组织准确识别信息安全风险,采取相应的控制措施,并实现信息 资产的保护。
三、ISO/IEC 27001标准要求 1. 综述 ISO/IEC 27001标准要求组织根据自身的信息安全风险情况确定适当的信息安全目标,并制定相应的政策、程序和流程来实现这些目标。 2. 风险管理 在确定信息安全目标的过程中,组织需要进行风险评估和风险处理,确保对现有和潜在的信息安全风险进行有效应对。 3. 控制措施 ISO/IEC 27001标准要求组织根据风险评估结果,确定并实施适当的控制措施,包括技术、管理和物理措施等,以保护信息资产的安全。 4. 管理体系 信息安全管理体系的建立和运行需要进行持续监控和审查,确保其有效性和适应性,并不断进行改进。 四、ISO/IEC 27001标准的价值 1. 对组织的价值 建立、实施和认证ISO/IEC 27001标准的信息安全管理体系,能够帮助组织提高信息资产的安全性和保护能力,增强对信息安全风险的管理和控制,提升组织的整体竞争力和信誉度。
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
iso27001信息安全管理体系认证的要求 ISO 27001信息安全管理体系认证的要求 ISO 27001是国际标准化组织(ISO)发布的信息安全管理体系标准,它为组织制定和实施信息安全管理体系提供了指导。通过ISO 27001认证,组织可以证明其信息安全管理体系符合国际最佳实践,能够保护信息资产的机密性、完整性和可用性。 ISO 27001的认证要求包括以下几个方面: 1. 制定信息安全政策:组织应制定一份明确的信息安全政策,描述其对信息安全的承诺和目标。这份政策应得到高层管理人员的支持,广泛传达给全体员工。 2. 进行风险评估和管理:组织需要进行全面的风险评估,识别并分析可能对信息资产造成威胁的风险。基于风险评估结果,组织需要制定相应的风险管理计划,采取适当的控制措施来降低风险。 3. 确定信息安全目标和控制措施:基于风险评估和管理结果,组织需要确定信息安全目标,并制定相应的信息安全控制措施。这些措施包括技术、操作和管理层面上的安全控制,旨在保护信息资产免受威胁和攻击。 4. 实施和操作信息安全管理体系:组织需要制定详细的操作程序和控制措施,以确保信息安全管理体系的有效运行。这包括培训员工、监督和审查安全措施的执行情况,并建立持续改进的机制。 5. 进行内部审核和管理审查:组织应定期进行内部审核,以评估信息安全管理体系的有效性和符合性。此外,组织需要定期进行管理审查,以确保信息安全目标的实现,并根据需要进行调整和改进。 6. 与外部实体进行合作和合规:组织需要与外部实体,如供应商、合作伙伴和监管机构进行合作,确保其在信息安全管理方面遵守相关法律法规和合同要求。
iso27001信息安全管理体系标准中文版 ISO27001信息安全管理体系标准中文版 ISO27001信息安全管理体系标准(ISO27001)是一项全球通用的信息安全管理标准,旨在帮助组织建立、实施、运行、监控、审查、维 护和改进信息安全管理体系。该标准为组织提供了一个全面的框架, 用于管理和保护其信息资产,并确保信息得到适当的保护。 在ISO27001中文版中,该标准的内容和要求在全球范围内是通用的,但是以中文版的形式呈现,方便我国组织和从业人员更好地理解和应用。全球范围内的信息安全管理标准在中文版中能够更好地适配国内 环境和法规要求,为我国组织提供更具针对性和可操作性的信息安全 管理要求。 在撰写这篇文章时,我将按照ISO27001信息安全管理体系标准的深 度和广度要求,对该主题进行全面评估,并撰写一篇有价值的文章, 以强调ISO27001中文版的重要性和适用性。 我将从ISO27001中文版的基本概念和原则开始,通过对其概览和关 键要素的讲解,帮助你更好地理解该标准的框架和结构。我将深入分 析ISO27001中文版的核心要求,包括领导承诺、风险评估、信息资
产管理、安全政策等内容,以便你能更深入地了解其实施和运行过程。 在文章的后半部分,我将着重回顾ISO27001中文版对组织的价值和 意义,以及其对组织信息安全管理提升的实际效果。我将共享我对 ISO27001中文版的个人观点和理解,以及我在实践中的经验和体会。 我会在文章中多次提及ISO27001信息安全管理体系标准中文版,以 确保文章内容的贴合度和专业性。我将按照知识的文章格式进行撰写,使用序号标注来清晰地展现ISO27001中文版的相关内容,并确保文 章总字数大于3000字,以保证全面深入地探讨该主题。 通过这篇文章的阅读,你将深入了解ISO27001信息安全管理体系标 准中文版的重要性和适用性,以及学习如何将其应用于实践中。希望 这篇文章能够帮助你对信息安全管理体系有更全面、深刻和灵活的理解,为你的工作和学习带来有益的启发和帮助。让我们从ISO27001 中文版的基本概念和原则开始。 ISO27001信息安全管理体系标准的基本概念主要包括信息安全、信 息资产、信息安全管理体系(ISMS)和持续改进。信息安全是保护信息资产的机密性、完整性和可用性,以确保信息得到适当的保护。信 息资产是组织的信息以及支持信息的任何设备、系统和应用。信息安 全管理体系是组织为管理和保护信息资产而制定的一系列政策、流程 和措施的集合。持续改进是确保信息安全管理体系持续有效并不断提
iso27001体系信息安全目标 ISO 27001体系信息安全目标 ISO 27001是国际标准化组织(ISO)制定的一项信息安全管理体系标准,旨在保护组织的信息资产免受各种威胁和风险。它提供了一套规范和方法,帮助组织建立、实施、监控和持续改进信息安全管理体系(ISMS)。以下是ISO 27001体系信息安全目标的详细介绍。 1. 保护信息资产的机密性:信息资产的机密性是指确保只有授权人员能够访问和使用信息,防止未经授权的泄露或篡改。ISO 27001要求组织采取控制措施,例如访问控制、加密和身份验证,以保护信息资产的机密性。 2. 保证信息资产的完整性:信息资产的完整性指信息的准确性和完整性,防止未经授权的修改、删除或损坏。ISO 27001要求组织实施数据备份、合理的访问控制和完善的变更管理措施,以保证信息资产的完整性。 3. 确保信息资产的可用性:信息资产的可用性是指确保信息在需要时可用、可访问和可用于业务目的。ISO 27001要求组织建立灾备和容灾计划,确保信息系统的高可用性,以应对各种可能的中断和故障。
4. 管理信息安全风险:ISO 27001要求组织进行信息安全风险评估和管理,识别和评估潜在的威胁和风险,并采取适当的措施来减轻或消除这些风险。组织应制定信息安全政策、程序和控制措施,以确保信息安全风险得到有效管理。 5. 合规性:ISO 27001要求组织遵守适用的法律法规、合同和其他要求,以确保信息安全管理体系的合规性。组织应建立合规性框架和控制措施,并进行定期的合规性评审和监测,以确保合规性的持续性。 6. 持续改进:ISO 27001要求组织进行持续改进,通过监控和评估ISMS的有效性,并采取适当的纠正和预防措施,以不断提高信息安全管理体系的性能和效果。持续改进是ISO 27001体系信息安全目标的核心要素之一。 7. 信息安全意识培训:ISO 27001要求组织开展信息安全意识培训,提高员工对信息安全的认识和理解,使其能够正确处理和保护信息资产。组织应开展定期的培训和教育活动,提高员工的信息安全意识和技能。 8. 灾难恢复能力:ISO 27001要求组织建立和实施灾难恢复计划,以应对各种可能的灾难事件,如自然灾害、人为事故等。灾难恢复计划包括备份和恢复策略、灾难演练和应急响应措施,以确保组织在灾难事件发生时能够迅速、有效地恢复业务。
27001 权威信息安全标准 信息安全是当今社会中一个备受关注的话题,信息泄露和网络攻击已经成为严重威胁企业和个人的风险。企业为了保护其信息资产和维护业务的正常运行,需要采取一系列措施来确保信息的安全性。在这方面,ISO/IEC 27001标准作为信息安全领域中的权威标准,为企业提供了重要的指导和参考。本文将介绍ISO/IEC 27001标准的背景、内容及其在实践中的应用。 一、标准背景 ISO/IEC 27001标准是由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的,于2005年发布。该标准以体系化的方法,提供了对信息安全的管理框架。ISO/IEC 27001标准是信息安全管理体系(ISMS)的核心标准,它基于风险管理原则,可应用于各类组织,不论其规模和性质如何。 二、标准内容 1. 范围和引用 ISO/IEC 27001标准明确了其适用范围和引用文件,以确保标准的正确应用和解释。 2. 规范引用 ISO/IEC 27001标准列举了与信息安全管理相关的其他国际标准,如ISO/IEC 27000(信息安全管理系统术语与定义)和ISO/IEC 27002
(信息安全管理实践指南)等。这些引用文件对于更全面地理解和应 用ISO/IEC 27001标准至关重要。 3. 术语与定义 ISO/IEC 27001标准对信息安全管理体系的关键术语和定义进行了 准确定义,确保了在实践中的统一理解和应用。 4. 上下文和领导力 该标准强调了组织在信息安全管理中的领导作用,以及应从组织的 上下文出发,考虑内外部因素的影响。 5. 计划 ISO/IEC 27001标准要求组织制定信息安全政策,并明确相关目标、风险评估和处理方法。 6. 支持 该标准着重说明了组织在实施信息安全管理体系中应提供的资源和 支持。包括人员培训、意识提高和技术保障等。 7. 运作 ISO/IEC 27001标准规定了信息安全管理体系的操作程序,包括风 险处理、事件管理和绩效评估等。 8. 评估和持续改进
信息安全管理体系建设参考的标准 一、引言 信息安全管理体系建设是现代企业管理中的重要组成部分。随着信息技术的迅猛发展和广泛应用,信息安全问题也日益突出。建立和完善信息安全管理体系,对企业的稳定运营和发展至关重要。本文将从深度和广度两个方面对信息安全管理体系建设参考的标准进行全面评估和探讨。 二、什么是信息安全管理体系建设? 信息安全管理体系建设是指建立和完善一套全面、系统的信息安全管理制度和措施,以确保企业信息资产的保密性、完整性和可用性。它包括信息安全政策、组织结构、资源保护、安全运维、安全培训等方面,涉及的内容非常广泛。 三、信息安全管理体系建设参考的标准 1. ISO/IEC 27001信息安全管理体系标准 ISO/IEC 27001是国际标准化组织发布的信息安全管理体系标准,本标准以风险管理为指导原则,要求组织在管理信息安全风险、实现信息资产保护和确保信息安全连续性等方面进行全面规划和实施。在信
息安全管理体系建设过程中,可以参考ISO/IEC 27001标准,以确保 制定的信息安全管理制度达到国际先进水平。 2. 国内相关法律法规和标准 我国《网络安全法》、《信息系统安全等级保护管理办法》等一系列 法律法规和标准也为信息安全管理体系建设提供了具体要求和指导。 在制定信息安全管理体系建设参考标准时,必须符合国家法律法规的 要求,并对国内标准有深入的了解和应用。 3. 行业标准和最佳实践 在信息安全管理体系建设中,还可以参考行业标准和最佳实践,如银行、电信、医疗等行业的信息安全管理标准和实践经验,对于特定行 业具有针对性的指导和借鉴作用。结合企业自身的特点和行业定制的 信息安全管理体系建设参考标准,将更加符合实际需求。 四、信息安全管理体系建设的个人观点和理解 作为信息安全管理体系建设的专业写手,我对于该主题有着自己独特 的观点和理解。信息安全管理体系建设并非一成不变的标准,它需要 与时俱进,根据企业的发展和外部环境的变化进行不断的调整和完善。在制定信息安全管理体系建设参考标准时,要注重灵活性和持续性, 结合企业自身的实际情况,确保信息安全管理体系能够真正发挥作用。
介质安全管理制度 1.1计算机及软件备案管理制度 1.购买计算机及相关公文处理设备须由局办公室统一组织购买或接受捐赠,并由信息安全和保密办公室对计算机及相关设备的有关信息参数登记备案后统一发放。 2.信息安全和保密办公室要建立完整的计算机及网络设备技术档案,定期对计算机及软件安装情况进行检查和登记备案。 3.计算机要安装正版信息安全防护软件,及时升级更新操作系统漏洞补丁与信息安全软件。 4.拒绝使用来历不明的软件和光盘。凡需引入使用的软件,均须首先防止病毒传染。 1.2计算机安全使用与保密管理制度 1.计算机信息系统应当按照国家保密法标准和国家信息安全等级保护的要求实行分类分级管理,并与保密设施同步规划、同步建设。 2.办公用计算机局域网分为内网、外网。内网运行如东县协同办公系统软件,专用于公文的处理和交换,属涉密网;外网专用于各部门和个人浏览国际互联网,属非涉密网。内、外网采用双线路,实行
物理隔离。 3.涉及机关工作秘密的信息(以下简称涉密信息)应当在规定的涉密信息系统中处理。严禁同一计算机既上互联网又处理涉密信息 4.未经申报同意,局机关所有办公计算机不得修改上网IP地址、网关、DNS服务器、子网掩码等设置。 5.严禁使用含有无线网卡、无线鼠标、无线键盘等具有无线互联功能的设备处理涉密信息。 6.严禁外来人员单独接触计算机网络系统资源;严禁将办公计算机带到与工作无关的场所,确因工作需要需携带有涉密信息的手提电脑外出的,必须做好备案登记,并确保涉密信息安全。 1.3用户密码安全保密管理制度 1.用户密码管理的范围是指涉密计算机所使用的密码。 2.涉密计算机设置的密码长度要大于等于5个字符,密码要定期更换。 3.涉密计算机需要设置操作系统开机登录和屏幕保护等多个密码保护方式。
iso27001 信息安全管理体系标准认证 ISO 27001是一种国际标准,发表于2005年,用于建立、实施、运行、监控、审查、维护和改进信息安全管理系统(ISMS)。 ISO 27001认证是指组织经过独立的第三方审核,证明其信息安全管理体系符合ISO 27001标准要求,并获得认证证书。 ISO 27001认证的好处包括: 1. 提供信心和可靠性:获得ISO 27001认证证明组织已建立了一套完善的信息安全管理体系,能够有效保护客户和利益相关方的利益。 2. 合规性:ISO 27001认证可以帮助组织满足相关法规和法律要求,尤其是与信息安全相关的合规性要求。 3. 改进信息安全:实施ISO 27001标准可以帮助组织识别和管理信息安全风险,对可能影响机密性、完整性和可用性的威胁做出有效应对。 4. 具备竞争优势:对于某些行业,拥有ISO 27001认证可以成为吸引客户和合作伙伴的竞争优势,特别是处理敏感数据的组织。 5. 提高内部运营效率:通过ISO 27001认证,组织能够制定清晰的管理规范和操作流程,提高内部运营效率和员工的信息安
全意识。 ISO 27001认证包括以下步骤: 1. 确定范围:确定需要获得ISO 27001认证的业务范围和相关流程。 2. 执行风险评估:对组织的信息资产进行全面排查,识别和评估潜在的信息安全风险。 3. 制定风险处理计划:为每个风险制定应对措施,确保组织可以有效管理和处理潜在的信息安全风险。 4. 实施控制措施:根据ISO 27001标准要求,制定和实施一套控制措施,包括技术、操作和管理层面。 5. 进行内部审核:自我评估组织的信息安全管理体系,确保其符合ISO 27001标准要求。 6. 进行第三方审核:聘请独立第三方审核机构对组织的信息安全管理体系进行审核和评估。 7. 获得认证证书:如果通过第三方审核,组织将获得ISO 27001认证证书,有效期通常为三年。 8. 维护和改进:持续监控和改进信息安全管理体系,确保其持续符合ISO 27001标准要求。
网络安全管理制度 1.网络结构安全管理 / 对网络设备的口令要加密存储,并在以密文显示,并一月修改一次对网络设备需要配置关闭telnet,划分VLAN区域使用逻辑隔离等安全配置网络物理结构和逻辑结构定期更新,拓扑结构图上应包含IP地址,掩码,网关,端口,网络设备名称,专线供应商名称及联系方式,专线带宽等,并妥善保存,未经许可不得对网络结构进行修改网络结构必须严格保密,禁止泄漏网络结构相关信息网络结构的改变,必须提交更改预案,并经过信息总监的批准方可进行定期每季度对网络设备配置文件进行更新存档,并按照每季查看备份文件是否可用定期邀请第三方检测机构开展内部网络设备安全漏洞扫描工作,并形成书面材料,扫描周期为一年2次。 2.网络访问控制 2.1 妥善保管现有的网络访问控制列表,其中应包含网络设备及型号,网络设备的管理IP,当前的ACL列表,更新列表的时间,更新的内容等,通过KVM串口登录,口令密文存储显示,按照业务要求进行VLAN划分。 2.2 定期检查网络访问控制列表与业务需求是否一致,如不一致,
申请更新ACL,未经许可不得进行ACL相关的任何修改。更新ACL时,必须备份原有ACL,以防误操作。ACL配置完成以后,必须测试,禁止泄漏任何ACL配置。 3. 网络设备安全 3.1 妥善保管现有网络设备清单,包括供应商及联系人信息,设备型号,IP地址,系统版本。 3.2 每月检查设备配置是否与业务需求相符,如有不符,申请更新配置。配置网络设备时,必须备份原有配置,以防误操作配置完成之后,必须进行全面测试。 3.3 禁止在网络设备上进行与工作无关的任何测试。 3.4 未经许可不得进行任何配置修改。 3.5 禁止泄漏网络设备配置。 3.6 网络设备日志保存时间为半年。 3.7 网络设备和安全设备在刚架设投入使用时会进行更新,如有需要则进行更新,更新时必须先做好原先的配置备份,在网络空闲的时候进行,并进行测试,测试通过后放能接入生产网络,并填写《操作运维记录》。 3.8 系统内部网络访问外网必须信息中心主任审批通过,并填写
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护.但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作. 2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080—2008,并在2008年11月1日正式实施. 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态
ISO27001:2013 新版解读精要 1.综述 ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国100 多个国家中已签发17,500 多张证书,证书数量保持每年两位数增长。信息安全最佳实践标准ISO/IEC 27002 为该ISO27001 的使用提供了必要的支持。这两个标准均通过国际标准化组织(该组织的成员包括47 个国家标准机构)达成共识的方式而制定。 信息安全管理体系国际标准新版BS ISO/IEC 27001:2013 与BS ISO/IEC 27002:2013 在2013 年10 月已正式发布。相关的几个标准,包括27003,27004,27005 亦正在修订中。 ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间。值得信息安全从业人员去学习、实践。 2.标准新版与旧版的差异 2.1整体变化
注:图1 ISO 27001:2005 有11 个域、133 项控制措施,新版已调整为14 个域、114 项控制措施。 2.2正文的变化 a)编写架构 新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的 要求,以统一的架构进行描述。Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。 b)PDCA 与持续改进 PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluation-Improvement,架构上其实是更趋 PDCA 了。至于为什么在 Planning 与 Operation 间插一个 Support,而不是把 Support 的内容简单纳入到Leadership 和 Planning 以保持框架的简洁,个人是不大理解。或许这正是 BSI/ISO 的特色吧。 图 2 ISO27001:2013 文件结构与PDCA c)风险评估方法 新版简化了对风险识别、风险分析的要求的描述,不再强调对资产责任人、威胁、脆弱性等进行识别,这意味着组织可选用的风险评估的方法可以更加宽泛和灵活。组织可以根据自身的情况,选用简化的风险评估方法,或继续使用现行的方法。新版中依然未明确评估周期。(6.1.2)。(老李:实操层面,当前风险评估可参照的标准有ISO31000,GBT20984,ISO27005,但此类标准都有各自的问题,包括逻辑性、操作性,实际应用中要有所取舍)。
信息安全管理体系规范(Part I)(信息安全管理实施细则)
目录 前言 一、信息安全范围 二、术语与定义 三、安全政策 3.1 信息安全政策 四、安全组织 4.1信息安全基础架构 4.2外部存取的安全管理 4.3委外资源管理 五、资产分类与管理 5.1资产管理权责 5.2信息分类 六、个人信息安全守则 6.1工作执掌及资源的安全管理 6.2教育培训 6.3易发事件及故障处理 七、使用环境的信息安全管理 7.1信息安全区 7.2设备安全 7.3日常管制 八、通讯和操作过程管理 8.1操作程序书及权责
8.2系统规划及可行性 8.3侵略性软件防护 8.4储存管理 8.5网络管理 8.6媒体存取及安全性 8.7信息及软件交换 九、存取管理 9.1存取管制的工作要求 9.2使用者存取管理 9.3使用者权责 9.4网络存取管制 9.5操作系统存取管理 9.6应用软件存取管理 9.7监控系统的存取及使用 9.8移动计算机及拨接服务管理 十、信息系统的开发和维护 10.1信息系统的安全要求 10.2应用软件的安全要求 10.3资料加密技术管制 10.4系统档案的安全性 10.5开发和支持系统的安全性 十一、维持运营管理 11.1持续运营的方面 十二、合法性 12.1合乎法律要求 12.2对信息安全政策和技术应用的审查
12.3系统稽核的考虑
前言 何谓信息安全? 对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。 信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。 信息安全的主要特征在于保护其 -保密性:确保只有那些经过授权的人员可以接触信息 -完整性:保护信息和信息处理办法的准确性和完整性 -可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产 信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。必须建立此类管制手段来确保各单位的具体安全目标得以实现。 为何需要信息安全? 信息和信息支持程序、系统及网络是重要的经营资产。信息的保密性、完整性和可得性对维持单位的竞争优势、现金流动、赢利性、合法性和商业形象至关重要。 单位及其信息系统和网络正面临着来自各方面的越来越多的安全威胁,如计算机辅助诈骗、间谍、破坏、毁坏、水灾或火灾等等。破坏的产生来源,如计算机病毒、黑客袭击和拒绝服务攻击等已经变得越来越普遍、更具野心和复杂。 对信息系统和服务的依赖表明单位在安全威胁面前已越来越脆弱。公共网络和私人网络的互联以及信息资源的共享加大了进行存取管制的难度。分散化的计算机模式进一步减弱了中央化、专业化管制的有效性。