信息安全管理体系规范(Part I) (信息安全管理实施细则) 目录 前言 一、 信息安全范围 二、 术语与定义 三、 安全政策 3.1 信息安全政策 四、 安全组织 4.1 信息安全基础架构 4.2 外部存取的安全管理 4.3 委外资源管理 五、 资产分类与管理 5.1 资产管理权责 5.2 信息分类 六、 个人信息安全守则 6.1 工作执掌及资源的安全管理 6.2 教育培训 6.3 易发事件及故障处理 七、 使用环境的信息安全管理 7.1 信息安全区 7.2 设备安全 7.3 日常管制 八、 通讯和操作过程管理 8.1 操作程序书及权责 8.2 系统规划及可行性 8.3 侵略性软件防护 8.4 储存管理 8.5 网络管理 8.6 媒体存取及安全性 8.7 信息及软件交换 九、 存取管理 9.1 存取管制的工作要求 9.2 使用者存取管理 9.3 使用者权责 9.4 网络存取管制 9.5 操作系统存取管理 9.6 应用软件存取管理 9.7 监控系统的存取及使用 9.8 移动计算机及拨接服务管理 十、 信息系统的开发和维护 10.1 信息系统的安全要求 10.2 应用软件的安全要求 10.3 资料加密技术管制 10.4 系统档案的安全性 10.5 开发和支持系统的安全性 十一、 维持运营管理 11.1 持续运营的方面 十二、 合法性 12.1 合乎法律要求 12.2 对信息安全政策和技术应用的审查 12.3 系统稽核的考虑 前言 何 谓 信 息 安 全 ? 对 一 个 单 位 或 组 织 来 说 , 信 息 和 其 它 商 业 资 产 一 样 有 价 值 , 因 此 要 加 以 适 当 的保 护 。 信 息 安 全 就 是 保 护 信 息 免 受 来 自 各 方 面 的 众 多 威 胁 , 从 而 使 单 位 能 够 进 行 持 续经 营 , 使 其 对 经 营 的 危 害 降 至 最 小 程 度 , 并 将 投 资 和 商 业 机 会 得 以 最 大 化 。 信 息 可 以 许 多 形 式 存 在 - 可 以 印 在 或 写 在 纸 上 , 以 电 子 方 式 进 行 储 存 , 通 过 邮寄 或 电 子 方 式 传 播 , 用 影 片 显 示 或 通 过 口 头 转 述 。 无 论 信 息 以 何 种 方 式 存 在 , 或 以 何种 形 式 分 享 或 储 存 , 都 要 对 其 进 行 恰 当 保 护 。 信 息 安 全 的 主 要 特 征 在 于 保 护 其 - 保 密 ...
