返回
计算机信息安全管理标准

计算机信息安全管理标准

ID:40010133

大小:836.00 KB

页数:60页

时间:2019-07-17

计算机信息安全管理标准_第1页
计算机信息安全管理标准_第2页
计算机信息安全管理标准_第3页
计算机信息安全管理标准_第4页
计算机信息安全管理标准_第5页
资源描述:

《计算机信息安全管理标准》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全管理标准1国外信息安全管理标准1.1信息安全管理标准BS7799BS7799分为2部分:BS7799-1:1999《信息安全管理细则》(CodeofPracticeforInformationSecurityManagement)BS7799-2:2002《信息安全管理体系规范》(SpecificationforInformationSecurityManagement)BS7799-1共分为4层内容:10个管理要项、36个管理目标、127个控制措施、若干个控制要点,主要提供了有效地实施信息系统风险

2、管理的建议1国外信息安全管理标准1.1.1BS7799的内容概述1.第1部分(BS7799-1)简介该标准的正文规定了10大管理要项,36个执行目标,127个安全控制措施,作为组织实施信息安全管理的实用指南。10大管理要项如表2-1所示1国外信息安全管理标准10大管理要项及相应的执行目标和控制措施为:⑴安全策略—制定信息安全策略文档,为信息安全提供管理指导和支持。安全策略包含1个执行目标:信息安全策略。2个控制措施:信息安全策略文档、评审和评价。1国外信息安全管理标准⑵组织的安全组织的安全包含3个执行目标,

3、10个控制措施。执行目标为:①信息安全基础设施。对应7个控制措施:管理信息安全协调小组、信息安全协调、信息安全职责的分配、信息处理设施的授权过程、专家的信息安全建议、组织之间的合作、信息安全的独立评审。②第三方访问安全。对应2个控制措施:标识第三方访问的风险、第三方合同中的安全要求。③外包。对应1个控制措施:外包合同中的安全要求。1国外信息安全管理标准⑶资产分类与控制。核查所有信息资产,以维护组织资产的适当保护,并做好信息分类,确保信息资产受到适当程度的保护。资产分类与控制包含2个执行目标,3个控制措施。执

4、行目标为:①资产的可核查性。对应1个控制措施:资产清单。②信息分类。对应2个控制措施:分类指南、信息标识和处理。1国外信息安全管理标准⑷人员安全。人员安全包含3个执行目标,10个控制措施。执行目标为:①岗位设定和人力资源的安全。对应4个控制措施:在岗位职责中要包含的安全、人员筛选和策略、保密性协议、雇佣条款和条件。②用户培训。对应1个控制措施:信息安全教育和培训。③对安全事故和故障的响应。对应5个控制措施:报告安全事故、报告安全弱点、报告软件故障、从事故中学习、纪律处理。1国外信息安全管理标准⑸物理与环境的

5、安全。物理与环境的安全包含3个执行目标,13个控制措施执行目标为:①安全区域。对应5个控制措施:物理安全周边、物理入口控制、办公室以及房间和设施的安全保护、在安全区域工作、交换区域的隔离。②设备安全。对应6个控制措施:设备安置和保护、电源、布缆安全、设备维护、离开建筑物的设备的安全、设备的安全处置或安全重用。③一般控制。对应2个控制措施:清理桌面和清空屏幕策略、财产的移动。1国外信息安全管理标准⑹通信与运营管理。通信与运营管理包含7个执行目标,24个控制措施。执行目标为:①操作规程和职责。对应6个控制措施:

6、文档化的操作规程、操作变更控制、事故管理规程、责任分割、开发和运行设施分离、外部设施管理。②系统规划和验收。对应2个控制措施:能力规划、系统验收。③防范恶意软件。对应1个控制措施:控制恶意软件。④内务处理。对应3个控制措施:信息备份、操作员日志、故障记录。1国外信息安全管理标准⑤网络管理。对应1个控制措施:网络控制。⑥媒体处理和安全。对应4个控制措施:可移动的计算机媒体的管理、媒体的处置、信息处理规程、系统文档的安全。⑦信息和软件的交换。对应7个控制措施:信息和软件交换协议、运输中的媒体安全;电子商务安全、

7、电子邮件安全、电子办公系统的安全、公开可用系统、信息交换的其他形式。1国外信息安全管理标准⑺访问控制。访问控制包含8个执行目标,31个控制措施。执行目标为:①访问控制的业务要求。对应1个控制措施:访问控制策略。②用户访问管理。对应4个控制措施:用户注册、特权管理、用户口令管理、用户访问权利的评审。③用户职责。对应2个控制措施:口令使用、无人值守的用户设备。④网络访问控制。对应9个控制措施:使用网络服务的策略、强制路径、外部连接的用户鉴别、结点鉴别、远程诊断端口保护、网络分离、网络连接控制、网络路由选择控制、

8、网络服务的安全。1国外信息安全管理标准⑤操作系统访问控制。对应8个控制措施:自动化终端标识、终端登录规程、用户标识和鉴别、口令管理系统、系统实用程序的使用、保护用户的强制报警、终端超时、连接时间的限制。⑥应用访问控制。对应2个控制措施:信息访问限制、敏感系统隔离。⑦对系统访问和使用的监督。对应3个控制措施:事件记录、对系统使用的监督、时钟同步。⑧移动计算和远程工作。对应2个控制措施:移动计算、远程工作。1国外信息

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。