ISMS-01-01

ISMS信息安全管理體系文件

樣式編號(hào)ISMS-A-2019

編制高珊珊

審核

密級(jí)內(nèi)部

版本V0.5

編寫(xiě)日期2019年1月15日

目錄

一、信息安全方針---------------------------------------------------------------------03

1.1總體方針--------------------------------------------------------------------------03

1.2信息安全管理機(jī)制-----------------------------------------------------------------03

1.2.1目標(biāo)量化-------------------------------------------------------------------04

L3信息安全小組---------------------------------------------------------------------03

1.4識(shí)別法律、法規(guī)、合同中的安全----------------------------------------------------04

1.b風(fēng)險(xiǎn)評(píng)估--------------------------------------------------------------------------04

1.6報(bào)告安全事件---------------------------------------------------------------------04

1.7監(jiān)督檢查-------------------------------------------------------------------------04

L8信息安全的獎(jiǎng)懲-------------------------------------------------------------------04

1.9手冊(cè)的管理------------------------------------------------------------------------工

1.9.1信息安全管理手冊(cè)的批準(zhǔn)--------------------------------------------------運(yùn)

1.9.2信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷(xiāo)毀---------------------------------04

L9.3信息安全管理手冊(cè)的換版----------------------------------------------------05

1.9.4信息安全管理手冊(cè)的控制---------------------------------------------------布

二、信息安全管理手冊(cè)-----------------------------------------------------------------05

2.1目的和范圍------------------------------------------------------------------------05

2.1.1總則------------------------------------------------------------------------05

2.1.2范圍------------------------------------------------------------------------05

2.2術(shù)語(yǔ)和定義------------------------------------------------------------------------06

2.3引用文件--------------------------------------------------------------------------06

2.3.1組織環(huán)境，理解組織及其環(huán)境-------------------------------------------------06

2.3.2理解相關(guān)方的需求和期望------------------------------------------------------06

2.3.3確定信息安全管理體系的范圍--------------------------------------------------06

2.4信息安全管理體系-----------------------------------------------------------------07

2.4.1總要求----------------------------------------------------------------------07

2.4.2建立和管理ISMS---------------------------------------------------------------------------------------------------()9

2.4.3資源管理--------------------------------------------------------------------20

2.5ISMS內(nèi)部審核----------------------------------------------------------------------22

2.5.1總則------------------------------------------------------------------------22

2.5.2內(nèi)審策戈ij---------------------------------------------------------------------------------------------------------------22

2.5.3|為--------------------------------------------------------------------22

2.6ISMS管理評(píng)審---------------------------------------------------------------------22

2.6.1總則-----------------------------------------------------------------------藥

2.6.2評(píng)審輸入-------------------------------------------------------------------23

2.6.3評(píng)審輸出-------------------------------------------------------------------23

2.7ISMS改進(jìn)--------------------------------------------------------------------------邁

2.7.1持續(xù)改進(jìn)------------------------------------------------------------------23

2.7.2糾正措施------------------------------------------------------------------24

三、信息安全規(guī)范------------------------------------------------------------------24

3.1總則-----------------------------------------------------------------------------24

3.2環(huán)境管理-------------------------------------------------------------------------以

3.3資產(chǎn)管理-------------------------------------------------------------------------26

3.4介質(zhì)管理-------------------------------------------------------------------------隔

3.5設(shè)備管理-----------------------------------------------------------------------27

3.5.1總則------------------------------------------------------------------------27

3.5.2系統(tǒng)主機(jī)維護(hù)管理辦法-----------------------------------------------------27

3.5.3涉密計(jì)算機(jī)安全管理辦法---------------------------------------------------29

3.6系統(tǒng)安全管理--------------------------------------------------------------------29

3.7惡意代碼防范管理----------------------------------------------------------------30

3.8變更管理-------------------------------------------------------------------------30

3.9安全事件處置---------------------------------------------------------------------30

3.1()監(jiān)控管理和安全管理中心----------------------------------------------------------31

3.11數(shù)據(jù)安全管理--------------------------------------------------------------------31

3.12網(wǎng)絡(luò)安全管理---------------------------------------------------------------------32

3.12.1網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)管理辦法--------------------------------------------------32

3.12.2網(wǎng)絡(luò)病毒入侵防范管理辦法--------------------------------------------------32

3.12.3網(wǎng)絡(luò)信息安全策略管理辦法--------------------------------------------------33

3.12.4網(wǎng)絡(luò)信息系統(tǒng)安全檢查管理辦法---------------------------------------------33

3.13操作管理-------------------------------------------------------------------------33

3.14安全審計(jì)管理辦法---------------------------------------------------------------33

3.15信息系統(tǒng)應(yīng)急預(yù)案---------------------------------------------------------------34

3.16附表--------------------------------------------------------------------------34/55

一、信息安全方針

L1總體方針

滿(mǎn)足用戶(hù)要求，實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，實(shí)現(xiàn)持續(xù)改進(jìn)。

1.2信息安全管理機(jī)制和目標(biāo)

公司為用戶(hù)提供智能登陸及加密會(huì)員信息管理的服務(wù)，信息資產(chǎn)的安全性對(duì)公司及用戶(hù)非常重要。為了

保證各種信息資產(chǎn)的保密性、完整性、可用性,給客戶(hù)提供更加安心的服務(wù)，公司依據(jù)ISO/IEC27001:2013

標(biāo)準(zhǔn)，建立信息安全管理體系，全面保護(hù)公司及用戶(hù)的信息安全。

1.2.1目標(biāo)量化：

保密性目標(biāo)：確保小公司業(yè)務(wù)系統(tǒng)在存儲(chǔ)、處理和傳輸過(guò)程中的數(shù)據(jù)不向非授權(quán)用戶(hù)暴露。

1）顧客保密性抱怨/投訴的次數(shù)不xeg超過(guò)1起/年。

2）受控信息泄露的事態(tài)發(fā)生不超過(guò)3起/年。

3）秘密信息泄露的事態(tài)不得發(fā)生。

完整性目標(biāo)：確保本公司業(yè)務(wù)系統(tǒng)在存儲(chǔ)、處理和傳輸過(guò)程中不會(huì)以非授權(quán)方式更改數(shù)據(jù)；

1）非授權(quán)方式更改數(shù)據(jù)導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)故障而影響正常工作的事態(tài)不超過(guò)2起/年。

可用性目標(biāo)：確保本公司業(yè)務(wù)系統(tǒng)能有效率地運(yùn)轉(zhuǎn)并使所有授權(quán)用戶(hù)得到所需信息服務(wù)。

1）得到授權(quán)的用戶(hù)執(zhí)行數(shù)據(jù)操作，出現(xiàn)服務(wù)拒絕或者數(shù)據(jù)拒絕的次數(shù)不得高于10起/年；

2）得到授權(quán)的用戶(hù)超越其自身權(quán)限，越權(quán)使用系統(tǒng)、使用數(shù)據(jù)的次數(shù)不超過(guò)10起/生。

1.3信息安全小組

負(fù)責(zé)信息安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各

信息安全執(zhí)行單位對(duì)于信息安全政策、措施的實(shí)施；

負(fù)責(zé)定期召開(kāi)信息安全管理工作會(huì)議，定期總結(jié)運(yùn)行情況以及安全事件記錄，并向信息安全管理委員會(huì)

匯報(bào)；

對(duì)員工進(jìn)行信息安全意識(shí)教育和安全技能培訓(xùn)；

協(xié)助人力資源部對(duì)外部組織有關(guān)的信息安全工作，負(fù)責(zé)建立各部門(mén)定期溝通機(jī)制；

負(fù)責(zé)對(duì)ISMS體系進(jìn)行審核，以驗(yàn)證體系的健全性和有效性，并對(duì)發(fā)現(xiàn)的問(wèn)題提出內(nèi)部審核建議；

負(fù)責(zé)對(duì)ISMS體系的具體實(shí)施、各部門(mén)的信息安全運(yùn)行狀況進(jìn)行定期審計(jì)或?qū)ｍ?xiàng)審計(jì)：

負(fù)責(zé)匯報(bào)審計(jì)結(jié)果，并督促審計(jì)整改工作的進(jìn)行，落實(shí)糾正措施（包括內(nèi)部審核整改意見(jiàn)）和預(yù)防措施；

負(fù)責(zé)制定違反安全政策行為的標(biāo)準(zhǔn)，并對(duì)違反安全政策的人員和事件進(jìn)行確認(rèn)；

負(fù)貨管理體系文件的控制；

負(fù)責(zé)保存內(nèi)部審核和管理評(píng)審的有關(guān)記錄；

識(shí)別適用于公司的所有法律、法規(guī)，行業(yè)主管部門(mén)頒布的規(guī)章制度，審核ISMS體系文檔的合規(guī)性。

L4識(shí)別法律、法規(guī)、合同中的安全

及時(shí)識(shí)別用戶(hù)、合作方、相關(guān)方、法律法規(guī)對(duì)信息安全的要求，采取措施，保證滿(mǎn)足安全要求。

1.5風(fēng)險(xiǎn)評(píng)估

根據(jù)公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)的要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。

定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別公司風(fēng)險(xiǎn)的變化。公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)價(jià)。

應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。

1.6報(bào)告安全事件

公司建立報(bào)告安全事件的渠道和相應(yīng)機(jī)構(gòu)。

全體員工有報(bào)告安全隱患、威脅、薄弱點(diǎn)、事故的責(zé)任，一旦發(fā)現(xiàn)安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)

行報(bào)告。

接受報(bào)告的相應(yīng)部門(mén)/機(jī)構(gòu)應(yīng)記錄所有的報(bào)告，及時(shí)做相應(yīng)處理，井向報(bào)告人員反饋處理結(jié)果。

1.7監(jiān)督檢查

對(duì)信息安全進(jìn)行定期或不定期的監(jiān)督檢查，包括：日常檢查、專(zhuān)項(xiàng)檢查、技術(shù)性檢查、內(nèi)部審核等。

對(duì)信息安全方針及其他信息安全政策進(jìn)行定期管理評(píng)審（至少一年一次）或不定期管理評(píng)審。

L8信息安全的獎(jiǎng)懲

對(duì)公司信息安全做出貢獻(xiàn)的人員，按規(guī)定進(jìn)行獎(jiǎng)勵(lì)。

對(duì)違反安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處罰。

1.9手冊(cè)的管理

1.9.1信息安全管理手冊(cè)的批準(zhǔn)

管理者代表負(fù)責(zé)組織編制《ISMS信息安全管理體系文件》，總經(jīng)理負(fù)責(zé)批準(zhǔn)。

1.9.2信息安全管理手冊(cè)的發(fā)放、更改、作廢與銷(xiāo)毀

1）行政部負(fù)責(zé)按《文件控制程序》的要求，進(jìn)行《ISMS信息安全管理體系文件》的登記、發(fā)放、回收、

更改、歸檔、作廢與銷(xiāo)毀工作；

2）各相關(guān)部門(mén)按照受控文件的管理要求對(duì)收到的《1SMS信息安全管理體系文件》進(jìn)行使用和保管；

3）行政部按照規(guī)定發(fā)放修改后的《ISMS信息安全管理體系文件》，并收回失效的文件作出標(biāo)識(shí)統(tǒng)一處理，

確保有效文件的唯一性；

4）管理者代表保留《ISMS信息安全管理體系文件》修改內(nèi)容的記錄。

1.9.3信息安全管理手冊(cè)的換版

當(dāng)依據(jù)的ISO/IEC27001:2013或IS0/IEC27002:2013標(biāo)準(zhǔn)有生大變化、組織的結(jié)構(gòu)、內(nèi)外部環(huán)境、生產(chǎn)

技術(shù)、信息安全風(fēng)險(xiǎn)等發(fā)生重大改變及《ISMS信息安全管理體系文件》發(fā)生需修改部分超過(guò)1/3時(shí)，應(yīng)對(duì)《ISMS

信息安全管理體系文件》進(jìn)行換版。換版應(yīng)在管理評(píng)審時(shí)形成決議，重新實(shí)施編、審、批工作。

1.9.4信息安全管理手冊(cè)的控制

1）本《ISMS信息安全管理體系文件》標(biāo)識(shí)分受控文件和非受控文件兩種：

一一受控文件發(fā)放范圍為公司領(lǐng)導(dǎo)、各相關(guān)部門(mén)的負(fù)責(zé)人、內(nèi)審員；

-非受控文件指印制成單行本，作為投標(biāo)書(shū)的資料或?yàn)樯a(chǎn)、銷(xiāo)售目的等發(fā)給受控范圍以外的其

他相關(guān)人員。

2）《ISMS信息安全管理體系文件》有書(shū)面文件和電子文件，電子版本文件的有效格式為PDF文檔。

二、信息安全管理手冊(cè)

2.1目的和范圍

2.L1總則

為了建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（簡(jiǎn)稱(chēng)IS.MS）,確定

信息安全方針和目標(biāo)，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行有限管理，確保員工理解并遵照?qǐng)?zhí)行信息安全管理體系文件、持

續(xù)改進(jìn)信息安全管理體系的有效性，特制定本手冊(cè)。

2.L2范圍

本手冊(cè)適用于ISO/IEC27001:2013條款規(guī)定范圍內(nèi)的信息安全管理活動(dòng)。

1）業(yè)務(wù)范圍：開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)信息技術(shù)產(chǎn)業(yè)管理系統(tǒng)。

2）組織范圍：全公司上下各部門(mén)與業(yè)務(wù)有直接相關(guān)的正式員工，共12人；

3）物理范圍：上海市浦東新區(qū)博霞路50號(hào)203室

4）資產(chǎn)范圍：與業(yè)務(wù)范圍、組織范圍、物理范圍內(nèi)相關(guān)的硬件、軟件、數(shù)據(jù)?、文檔、人員及支持性

服務(wù)等全部信息資產(chǎn)和相關(guān)技術(shù)手段。

5）IS0/IEC27001:2013條款的適用性與公司最新版本的適用性聲明一致。

2.2術(shù)語(yǔ)和定義

下列文件中的條款通過(guò)本《ISMS信息安全管理體系文件》的引用而成為本《ISMS信息安全管理體系文件》

的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本體系文件，然而，信息安全管

理委員會(huì)應(yīng)研究是否可使用這些文件的最新版本。凡是不注口期的引用文件、其最新版本適用于本信息安全

管理手冊(cè)。

ISO/IEC27001,信息技術(shù)-安全技術(shù)-信息安全管理體系-概述和詞匯

2.3引用文件

1SO/IEC27001中的術(shù)語(yǔ)和定義適用于本手冊(cè)。

本公司：上海海湃計(jì)算機(jī)科技有限公司

信息系統(tǒng)：指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按照一定的應(yīng)用目標(biāo)和規(guī)

則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。

計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能

自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

信息安全事件：指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)廉下降的技術(shù)故障事件、利用信息系統(tǒng)從事

的反動(dòng)有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對(duì)信息系統(tǒng)的破壞竊密事件。

相關(guān)方：關(guān)注本公司信息安全或與本公司信息安全績(jī)效有利益關(guān)系的組織個(gè)人。主要為：政府、上級(jí)部

門(mén)、供方、用戶(hù)等。

2.3.1組織環(huán)境，理解組織及其環(huán)境

本公司在系統(tǒng)開(kāi)發(fā)、經(jīng)營(yíng)、服務(wù)和日常管理活動(dòng)中，確定與其目標(biāo)相關(guān)并影響其實(shí)現(xiàn)信息安全管理體系

預(yù)期結(jié)果的能力的外部和內(nèi)部問(wèn)題。

2.3.2理解相關(guān)方的需求和期望

組織應(yīng)確定：

1）與信息安全管理體系有關(guān)的相關(guān)方

2）這些相關(guān)方與信息安全有關(guān)的要求。

2.3.3確定信息安全管理體系的范圍

本公司應(yīng)確定信息安全管理體系的邊界和適用性，本公司信息安全管理體系的范圍包括：

1）本公司的認(rèn)證范圍為：防偽票據(jù)的設(shè)計(jì)、開(kāi)發(fā)所涉及的相關(guān)人員、部門(mén)和場(chǎng)所的信息安全管理活動(dòng)。

2）與所述信息系統(tǒng)有關(guān)的活動(dòng)

3）與所述信息系統(tǒng)有關(guān)的部門(mén)和所有員工；

4）所述活動(dòng)、系統(tǒng)及支奪性系統(tǒng)包含的全部信息資產(chǎn)。

確定該范圍后，本公司應(yīng)考慮：

1）在2.3.1中提及的外部和內(nèi)部問(wèn)題；

2）在2.3.2中提及的要求；

3）本公司所執(zhí)行的活動(dòng)之間以及與其它組織的活動(dòng)之間的接口和依賴(lài)性范圍應(yīng)文件化并保持可用性。

組織范圍：本公司根據(jù)組織業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的信息安全職責(zé)《信息安全職

責(zé)說(shuō)明書(shū)》（見(jiàn)表二十二）

物理范圍：上海市浦東新區(qū)博霞路50號(hào)203室

本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置.、資產(chǎn)和技術(shù)定義了信息安全管理體系的物理范圍和

信息安全邊界。

2.4信息安全管理體系

2.4.1總要求

公司依據(jù)【SO/IEC27001:2013標(biāo)準(zhǔn)的要求，建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理

體系形成文件；本公司全體員工將有效地貫徹執(zhí)行并持續(xù)改進(jìn)有效性，對(duì)過(guò)程的應(yīng)用和管理詳見(jiàn)《信息安全

管理體系過(guò)程模式圖》（圖1）

2.4.1.1領(lǐng)導(dǎo)和承諾

高層管理者通過(guò)下列方式展示其關(guān)于信息安全管理體系的領(lǐng)導(dǎo)力和承諾：

1）確保建立信息安全方針和信息安全目標(biāo)，并與組織的戰(zhàn)略方向保持?致;

2）確保將信息安全管理體系要求整合到組織的業(yè)務(wù)過(guò)程中；

3）確保信息安全管理體系所需資源可用；

4）傳達(dá)信息安全管理有效實(shí)施、符合信息安全管理體系要求的重要性；

5）確保信息安全管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；

6）指揮并支持人員為信息安全管理體系的有效實(shí)施作出貢獻(xiàn)；

7）促進(jìn)持續(xù)改進(jìn)

8）支持其他相關(guān)管理角色在其職責(zé)范圍內(nèi)展示他們的領(lǐng)導(dǎo)力。

2.4.1.2方針

高層管理者應(yīng)建立信息安全方針，具體見(jiàn)以下：

1）適用于組織的目標(biāo)；

2）包含信息安全目標(biāo)或設(shè)置信息安全目標(biāo)提供框架；

3）包含滿(mǎn)足適用的信息安全相關(guān)要求的承諾；

4）包含信息安全管理體系持續(xù)改進(jìn)的承諾：

2.4.1.3信息安全方針

1）文件化并保持可用性；

2）在組織內(nèi)部進(jìn)行傳達(dá)；

3）適當(dāng)時(shí)，對(duì)相關(guān)方可用。

2.4.L4組織角色、職責(zé)和權(quán)限

1）高層管理者應(yīng)確保分配并傳達(dá)了信息安全相關(guān)角色的職責(zé)和權(quán)限。應(yīng)分配下列職責(zé)和權(quán)限：

a）信息安全管理體系符合本手冊(cè)的要求；

b）將信息安全管理體系的績(jī)效報(bào)告給高層管理者。

2）高層管理者還要分配在組織內(nèi)部報(bào)告信息安全管理體系績(jī)效的職責(zé)和權(quán)限。明確信息安全的管理職責(zé),

詳見(jiàn)《信息安全管理職責(zé)明細(xì)表》（表二十三）。

2.4.1.5規(guī)劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施

當(dāng)規(guī)劃信息安全管理體系時(shí)，本公司考慮2.3.1中提及的問(wèn)題和2.3.2中提及的要求，確定需要應(yīng)對(duì)的

風(fēng)險(xiǎn)和機(jī)會(huì)，以：

1）確保信息安全管理體系能實(shí)現(xiàn)其預(yù)期結(jié)果；

2）防止或減少意外的影響；

3）實(shí)現(xiàn)持續(xù)改進(jìn)。

4）本公司應(yīng)規(guī)劃應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)會(huì)的措施：

5）如何整合和實(shí)施這些措施并將其納入信息安全管理體系過(guò)程；

6）如何評(píng)價(jià)這些措施的有效性。

2.4.2建立和管理ISMS

2.4.2.1建立思路

分析企業(yè)信息安全的實(shí)際情況，通過(guò)制定企業(yè)的信息安全目標(biāo)、提出信息安全要求、制定信息安全措施，通

過(guò)組織體系、運(yùn)作體系、技術(shù)體系、策略體系的支持，按照PDCA流程，先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果

進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)杳，而后尋找到任何與計(jì)劃不符的結(jié)果偏差，最后制

定出符合企業(yè)的信息安全管理體系，并進(jìn)行建立、實(shí)施和維護(hù)信息安全管理體系，最終為實(shí)現(xiàn)的目標(biāo)是：

1）對(duì)信息系統(tǒng)的信息進(jìn)行保護(hù)，減少來(lái)自?xún)?nèi)外的各種威脅：

2）確保業(yè)務(wù)連續(xù)性，確俁網(wǎng)絡(luò)暢通、各業(yè)務(wù)應(yīng)用系統(tǒng)高效動(dòng)作，避免業(yè)務(wù)發(fā)生中斷；

3）業(yè)務(wù)風(fēng)險(xiǎn)最小化，避免信息系統(tǒng)事故可能引起的業(yè)務(wù)風(fēng)險(xiǎn)，減少商業(yè)秘密的泄露。

2.4.2.2建設(shè)步驟

1、準(zhǔn)備工作，通過(guò)領(lǐng)導(dǎo)決策，進(jìn)行安全組織和人員的配備，并進(jìn)行相關(guān)的培訓(xùn)和宣傳，從而為后期信息

安全管理體系的建設(shè)和推廣提供相關(guān)支持；

2、框架建立，參考信息安全體系框架，進(jìn)行管理體系和技術(shù)體系框架的分析，著重對(duì)信息安全管理體系

進(jìn)行研究，得出研究的基礎(chǔ)理論支持；

3、評(píng)估風(fēng)險(xiǎn)，按照信息安全評(píng)估流程的方法，通過(guò)資產(chǎn)的分類(lèi)和風(fēng)險(xiǎn)的分類(lèi)得出風(fēng)險(xiǎn)評(píng)估的結(jié)果，作為

信息安全改善的依據(jù)；

4、改善安全，通過(guò)風(fēng)險(xiǎn)評(píng)估和差距的分析，結(jié)合管理和技術(shù)的手段，按照風(fēng)險(xiǎn)改善的方法，得出信息

安全改善的措施；

5、實(shí)施運(yùn)行:，按照前面評(píng)估的風(fēng)險(xiǎn)和安全改善的措施，對(duì)已建立好的信息安全管理體系進(jìn)行實(shí)施和運(yùn)行，

并制定相關(guān)的信息安全制度細(xì)則和技術(shù)管控措施：

6、檢查改進(jìn)，通過(guò)不斷的檢查和改進(jìn)，檢查存在的信息安全風(fēng)險(xiǎn)，并針對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行管理和技術(shù)上的安

全改善；

7、持續(xù)運(yùn)行，通過(guò)不斷的檢查和改進(jìn)，保證信息安全管理體系能夠持續(xù)的運(yùn)行，為企業(yè)的業(yè)務(wù)提供更全

面更可靠的信息系統(tǒng)。

2.4.2.3風(fēng)險(xiǎn)評(píng)估

信息安全的風(fēng)險(xiǎn)管理是把風(fēng)險(xiǎn)管理的思想納入到整個(gè)信息安全管理的過(guò)程中來(lái),基于風(fēng)險(xiǎn)的信息安全管

理體系在分析風(fēng)險(xiǎn)后，就會(huì)利用一系列的安全技術(shù)措施來(lái)控制風(fēng)險(xiǎn)，以達(dá)到信息安全的目標(biāo)，依據(jù)風(fēng)險(xiǎn)評(píng)估

結(jié)果制訂的信息安全解決方案，可以最大限度的避免盲目的追求而浪費(fèi)相關(guān)資源，同時(shí)還造成對(duì)業(yè)務(wù)的影響，

最終使企業(yè)在信息安全方面的投資收益最大化。

本公司定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過(guò)程，風(fēng)險(xiǎn)評(píng)估小組負(fù)責(zé)制定《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》以建立并保持

信息安全風(fēng)險(xiǎn)準(zhǔn)則，包括：

1）風(fēng)險(xiǎn)接受準(zhǔn)則；

2）執(zhí)行信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則，根據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》確保重復(fù)性的信息安全風(fēng)險(xiǎn)評(píng)估

可產(chǎn)生一致的、有效的和可比較的結(jié)果；

3）識(shí)別信息安全風(fēng)險(xiǎn)，應(yīng)用《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》識(shí)別信息安全管理體系范圍內(nèi)的信息喪失保

密性、完整性和可用性的相關(guān)風(fēng)險(xiǎn)；

4）識(shí)別風(fēng)險(xiǎn)負(fù)責(zé)人；

5）分析信息安全風(fēng)險(xiǎn)；評(píng)估2.4.2.3>3）中所識(shí)別風(fēng)險(xiǎn)發(fā)生后將導(dǎo)致的潛在影響；

6）分析信息安全風(fēng)險(xiǎn)；評(píng)估2.4.2.3>3）中所識(shí)別風(fēng)險(xiǎn)發(fā)生的現(xiàn)實(shí)可能性；

7）確定風(fēng)險(xiǎn)級(jí)別；

8）評(píng)價(jià)信息安全風(fēng)險(xiǎn)；將風(fēng)險(xiǎn)分析結(jié)果同2.4.2.3>1）建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；

9）評(píng)價(jià)信息安全風(fēng)險(xiǎn)；為實(shí)施風(fēng)險(xiǎn)處置確定已分析風(fēng)險(xiǎn)的優(yōu)先級(jí)。

本公司《信息安全風(fēng)險(xiǎn)評(píng)估管理程序》定義并應(yīng)用風(fēng)險(xiǎn)評(píng)估過(guò)程，并保留信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程的文

件記錄信息，風(fēng)險(xiǎn)評(píng)沽一般的工作流程包括九個(gè)步驟，具休如下：

輸入風(fēng)險(xiǎn)評(píng)估活動(dòng)輸出

按照以上的風(fēng)險(xiǎn)評(píng)估步驟，對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，其風(fēng)險(xiǎn)評(píng)估的對(duì)象主要是企業(yè)的信息資產(chǎn)，包

括數(shù)據(jù)、軟硬件、人員等，具體說(shuō)明如下：

信息資產(chǎn)分類(lèi)

分類(lèi)具體內(nèi)容

數(shù)據(jù)存在于信息介質(zhì)上的各種數(shù)據(jù)資料：包括數(shù)據(jù)庫(kù)、系統(tǒng)文檔、計(jì)劃、報(bào)告、用

戶(hù)手冊(cè)等

軟件系統(tǒng)軟件：操作系統(tǒng)、工具軟件等

應(yīng)用軟件；外部購(gòu)買(mǎi)的應(yīng)用軟件，自主研發(fā)的應(yīng)用軟件等

硬件網(wǎng)絡(luò)設(shè)備：防火墻、路由器、交換機(jī)等

計(jì)算機(jī)設(shè)備：服務(wù)器、臺(tái)式機(jī)、筆記本等

移動(dòng)存儲(chǔ)設(shè)備：u盤(pán)、移動(dòng)硬盤(pán)、網(wǎng)絡(luò)云盤(pán)等

傳輸路線：光纖、雙絞線等

保障設(shè)備：UPS、空調(diào)、門(mén)禁、消防設(shè)施等

其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等

服務(wù)辦公服務(wù)：為提高工作效率而開(kāi)發(fā)的管理信息系統(tǒng)，包括各種內(nèi)置配置管理、

文件流轉(zhuǎn)管理等服務(wù)

網(wǎng)絡(luò)服務(wù)：為各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)

信息服務(wù)：對(duì)外依賴(lài)該系統(tǒng)開(kāi)展服務(wù)而獲得業(yè)務(wù)收入的服務(wù)

文檔紙質(zhì)的各種文檔、傳真、財(cái)務(wù)報(bào)表、發(fā)展計(jì)劃等

人員掌握重要信息和核心業(yè)務(wù)的人員，如機(jī)房的管理人員、主機(jī)的維護(hù)工程師、網(wǎng)

絡(luò)維護(hù)工程師及應(yīng)用系統(tǒng)項(xiàng)n經(jīng)理人員

在確定了風(fēng)險(xiǎn)評(píng)估的對(duì)你之后，即開(kāi)始對(duì)風(fēng)險(xiǎn)評(píng)估對(duì)象所面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和評(píng)價(jià)，具體的風(fēng)險(xiǎn)評(píng)

估內(nèi)容和過(guò)程如下：

風(fēng)險(xiǎn)評(píng)估的溝通與咨詢(xún)

風(fēng)險(xiǎn)評(píng)估的監(jiān)控與畝查

風(fēng)險(xiǎn)

對(duì)象確立

控制

端

識(shí)

確

分

識(shí)

分

脆

別

析

識(shí)

分

^分

別

析

評(píng)

給

弱

需

威

別

析

析

存

威

價(jià)

出

推

要

脅

面

資

k影

分

在

如

風(fēng)

的

保

臨

產(chǎn)

晌

行

斯

析

險(xiǎn)

的

源

的

的

的

護(hù)

這

報(bào)

安

結(jié)

等

脆

的

威

價(jià)

程

的

的

全

利

果

級(jí)

弱

動(dòng)

脅

值

度

資

措

能

用

性

機(jī)

產(chǎn)

施

力

性

按照以上所示的風(fēng)險(xiǎn)評(píng)估內(nèi)容和過(guò)程，對(duì)企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，所評(píng)估的風(fēng)險(xiǎn)分類(lèi)如下:

信息安全風(fēng)險(xiǎn)分類(lèi)

種類(lèi)描述

軟、硬件故障由于設(shè)備的硬件故障、通信鏈路中斷、系統(tǒng)本身或軟件BUG導(dǎo)致對(duì)業(yè)務(wù)

高效穩(wěn)定運(yùn)行的影響

無(wú)作為或操作失由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行生意人操作或無(wú)意執(zhí)行借識(shí)操作對(duì)系統(tǒng)造成

誤的影響

管理不到位安全管理無(wú)法落實(shí)、不到位、造成安全管理不規(guī)范或者混亂，從而破壞

信息系統(tǒng)正常有序的運(yùn)行

惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的代碼

越權(quán)和濫用通過(guò)采用一些措施、超越自已的權(quán)限訪問(wèn)了本來(lái)無(wú)法訪問(wèn)的資源，或者

濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為

黑客攻擊技術(shù)利用黑客工具和技術(shù)，如偵查、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝

后門(mén)、嗅探、偽造和欺騙、拒絕服務(wù)攻云對(duì)系統(tǒng)進(jìn)行攻擊和入侵

物理攻擊物理接觸、物理破壞、盜竊

泄密機(jī)密泄露、機(jī)密信息泄露給他人

篡改非法修改信息、破壞信息的完整性

抵賴(lài)不承認(rèn)收到的信息和所做的操作和交易

針對(duì)以上所列的信息安全風(fēng)險(xiǎn)，為了更好的進(jìn)行管理和控制，從風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響來(lái)進(jìn)行定義等級(jí)，以

下主要是按照風(fēng)險(xiǎn)出現(xiàn)的頻率來(lái)進(jìn)行定義（風(fēng)險(xiǎn)等級(jí)評(píng)估的方法有定量和定性?xún)煞N方法，在此我們按照定量

的方法分析）具體如下：

信息安全風(fēng)險(xiǎn)等級(jí)

等級(jí)標(biāo)識(shí)描述

5很高出現(xiàn)的頻率很高（如＞1次/周），或在大多數(shù)情況下幾乎不可避免，或可

以證實(shí)經(jīng)常發(fā)生過(guò)

4高出現(xiàn)的頻率較高（如＞1次/月），或在大多數(shù)情況下很有可能會(huì)發(fā)生，或

可以證實(shí)多次發(fā)生過(guò)

3中出現(xiàn)的頻率中等（如＞1次/半年），或在某種情況下可能會(huì)發(fā)生，或可以

證實(shí)多次發(fā)生過(guò)

2低出現(xiàn)的頻率較小，或一般不太可能會(huì)發(fā)生，或沒(méi)有被證實(shí)發(fā)生過(guò)

1很低威脅幾乎不可能生發(fā)，僅可能在非常罕見(jiàn)和例外的情況下發(fā)生

結(jié)合企業(yè)目前的信息安全現(xiàn)狀，參照IS027001的標(biāo)準(zhǔn)，整理出企業(yè)的風(fēng)險(xiǎn)評(píng)估結(jié)果，具體如卜，

信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果

控制領(lǐng)域說(shuō)明等級(jí)描述

物理環(huán)境安全物理環(huán)境威脅4斷電、靜電等問(wèn)題一直存在

信息資產(chǎn)管理軟、硬故障3經(jīng)常性出現(xiàn)各種軟件、硬件的故障或是

鏈路的中斷等問(wèn)題

物理攻擊2物理接觸和物理破壞的可能性較低

無(wú)作為或操作失誤5時(shí)常會(huì)出現(xiàn)人為操作對(duì)系統(tǒng)造成的影響

越權(quán)和濫用3系統(tǒng)和終端的權(quán)限管理不規(guī)范，存在越

運(yùn)行和維護(hù)安全

權(quán)和濫用的風(fēng)險(xiǎn)，有破壞信息系統(tǒng)的行

為風(fēng)險(xiǎn)

篡改2非法修改信息和破壞信息的完整性較少

信息安全方針管理不到位5信息安全的管理還不銀劍，同時(shí)管理不

規(guī)范，從而破壞信息系統(tǒng)正'首有序的運(yùn)

行

人員安全管理泄密4出現(xiàn)過(guò)機(jī)密泄露和機(jī)密信息泄露給他人

抵賴(lài)4有出現(xiàn)過(guò)不承認(rèn)收到的信息和所做的操

作

安全事件管理惡意代碼和病毒4內(nèi)部病毒的控制和管理還是有待提高

黑客攻擊技術(shù)4出現(xiàn)過(guò)利用黑客攻擊的現(xiàn)象，影響到了

系統(tǒng)和終端的日常使用

2.4.2.4安全改善

對(duì)于基于風(fēng)險(xiǎn)的信息安全理論來(lái)說(shuō)，信息安全建設(shè)的宗旨就是評(píng)估信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，并在綜合

考慮成本與效益的前提卜，通過(guò)綜合的安全措施來(lái)控制風(fēng)險(xiǎn)，風(fēng)險(xiǎn)控制的手段一般包括：策略、保護(hù)、檢測(cè)、

響應(yīng)和恢復(fù)等方法，具體說(shuō)明如下：

信息安全風(fēng)險(xiǎn)改善方法

說(shuō)明風(fēng)險(xiǎn)改善需求風(fēng)險(xiǎn)改善措施

設(shè)備管理制度

機(jī)房進(jìn)出制度

系統(tǒng)安全管理制度

系統(tǒng)安全配置制度

網(wǎng)絡(luò)安全管理制度建立完善的各種安全相關(guān)制度和規(guī)范，使得保護(hù)、檢

策略

網(wǎng)絡(luò)安全配置制度測(cè)和各個(gè)安全管理環(huán)節(jié)有據(jù)可依、切實(shí)有效

應(yīng)用安全管理制度

應(yīng)用安全配置制度

應(yīng)急響應(yīng)計(jì)劃

安全事件處理準(zhǔn)則

保護(hù)機(jī)房嚴(yán)格按照國(guó)家相關(guān)計(jì)算機(jī)機(jī)房的設(shè)計(jì)規(guī)范和安全要

求建設(shè)和維護(hù)計(jì)算機(jī)機(jī)房

門(mén)禁安裝相應(yīng)的門(mén)禁控制系統(tǒng)，并能夠進(jìn)行有效管理

病毒防護(hù)全面部署防病毒系統(tǒng)

漏洞補(bǔ)丁及時(shí)下載和安裝最新的漏洞補(bǔ)丁

安全配置嚴(yán)格遵守各安全配置明細(xì)，避免漏洞的出現(xiàn)

身份認(rèn)證根據(jù)不同的安全要求，進(jìn)行設(shè)置相應(yīng)的身份認(rèn)證系統(tǒng)

訪問(wèn)控制根據(jù)不同的安全要求，分別采用自主型強(qiáng)，強(qiáng)制型筆

級(jí)別的訪問(wèn)控制系統(tǒng)對(duì)設(shè)備、用戶(hù)等主體訪問(wèn)客體的

權(quán)限進(jìn)行控制

數(shù)據(jù)加密根據(jù)不同的安全要求，采用絕密、機(jī)密、秘密等級(jí)別

的數(shù)據(jù)

邊界控制在網(wǎng)絡(luò)邊界布置防火墻，阻止外來(lái)的非法訪問(wèn)

監(jiān)視、報(bào)警在適當(dāng)?shù)奈恢冒惭b監(jiān)視器和報(bào)警器，在各系統(tǒng)單元中

配置檢測(cè)系統(tǒng)和報(bào)警系統(tǒng)，以實(shí)時(shí)發(fā)現(xiàn)安全事件并及

時(shí)報(bào)警

數(shù)據(jù)校驗(yàn)通過(guò)數(shù)據(jù)校驗(yàn)技術(shù)，發(fā)現(xiàn)數(shù)據(jù)篡改

主機(jī)入侵檢測(cè)實(shí)施主機(jī)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)主機(jī)入侵行為

檢測(cè)主機(jī)狀態(tài)監(jiān)測(cè)實(shí)施主機(jī)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握主機(jī)運(yùn)行狀態(tài)

網(wǎng)絡(luò)入侵檢測(cè)實(shí)施網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為

網(wǎng)絡(luò)狀態(tài)檢測(cè)實(shí)施網(wǎng)絡(luò)狀態(tài)監(jiān)測(cè)系統(tǒng)，隨時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀態(tài)

安全審計(jì)在各系統(tǒng)單元中配置安全審計(jì)，以發(fā)現(xiàn)深層安全漏洞

和安全事件

安全監(jiān)督、檢查實(shí)現(xiàn)持續(xù)有效的安全監(jiān)督，預(yù)演應(yīng)急響應(yīng)計(jì)劃

故障修復(fù)、事故排除保證能夠隨時(shí)獲得故障修復(fù)和事故排除的工程技術(shù)

人員和軟件、硬件工具

設(shè)施備份、恢免針對(duì)關(guān)鍵設(shè)施,配置設(shè)施備份和恢免系統(tǒng)

系統(tǒng)備份、恢復(fù)針對(duì)關(guān)鍵系統(tǒng)，配置系統(tǒng)備份和恢復(fù)系統(tǒng)

數(shù)據(jù)備份、恢復(fù)針對(duì)關(guān)鍵數(shù)據(jù)，配置數(shù)據(jù)備份和恢復(fù)系統(tǒng)

響應(yīng)

網(wǎng)絡(luò)備份、恢復(fù)針對(duì)關(guān)鍵網(wǎng)絡(luò)，配置網(wǎng)絡(luò)備份和恢愛(ài)系統(tǒng)

應(yīng)用備份、恢復(fù)針對(duì)關(guān)鍵應(yīng)用，配置應(yīng)用備份和恢復(fù)系統(tǒng)

應(yīng)急響應(yīng)按照應(yīng)急響應(yīng)計(jì)劃處理應(yīng)急事件

安全事件處理按照應(yīng)急事件處理，找出事故原因、追究責(zé)任、總結(jié)

經(jīng)驗(yàn)教訓(xùn)、提出改善建議

信息安全管理措施的實(shí)現(xiàn)依據(jù)于各種具體的安全控制技術(shù)和管理措施，以上安全改善就可以歸納為兩個(gè)

方面，即管理方面和技術(shù)方面，通過(guò)管理和技術(shù)的雙方面進(jìn)行控制和管理改善信息安全。

2.4.2.5信息安全目標(biāo)和規(guī)劃實(shí)現(xiàn)

本公司在相關(guān)職能和層次上建立信息安全目標(biāo)，風(fēng)險(xiǎn)評(píng)估小組根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險(xiǎn)

評(píng)估的結(jié)果，組織有關(guān)部門(mén)制定了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門(mén)（見(jiàn)《信息安全適用性聲明》）。

信息安全目標(biāo)應(yīng)：

1）與信息安全方針致；

2）可測(cè)量（如可行）；

3）考慮適用的信息安全要求以及風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置結(jié)果;

4）被傳達(dá);

5）適當(dāng)時(shí)進(jìn)行更新。

本公司應(yīng)保留關(guān)于信息安全目標(biāo)的文件記錄信息。

當(dāng)規(guī)劃如何實(shí)現(xiàn)其信息安全目標(biāo)時(shí)，本公司確定：

6）要做什么;

7）需要什么資源：

8）由認(rèn)證負(fù)責(zé)；

9）什么時(shí)候完成；

10）如何評(píng)價(jià)結(jié)果。

2.4.2.6技術(shù)的信息安全

從技術(shù)角度考慮，企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括：

1、物理環(huán)境安全

信息系統(tǒng)硬件安全，在公司的信息系統(tǒng)硬件管理上，首先對(duì)機(jī)房的硬件環(huán)境進(jìn)行安全管理，包括溫度、

溫度、消防、電力等安全管理，對(duì)關(guān)鍵的應(yīng)用需要采取UPS供電，同時(shí)采取相應(yīng)的備份，對(duì)硬件的使

用率進(jìn)行實(shí)時(shí)監(jiān)控，避免硬件的使用率過(guò)高造成業(yè)務(wù)持續(xù)性的影響，另外需要對(duì)硬件的物理環(huán)境進(jìn)行

監(jiān)控，避免非法人員的進(jìn)入，同時(shí)也是對(duì)?管理員的日常行動(dòng)進(jìn)行監(jiān)控，最后需要對(duì)機(jī)房的人員和物品

的出入進(jìn)行權(quán)限的管理和等級(jí)制度；

2、信息資產(chǎn)管理

a）操作系統(tǒng)安全，操作系統(tǒng)安全除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外，最主要的是進(jìn)行防

病毒管理，通過(guò)殺毒軟件來(lái)防止非法的木馬、惡意代碼、軟件對(duì)操作系統(tǒng)的安全影響；

b）應(yīng)用程序安全，應(yīng)用程序的安全直接關(guān)系信息系統(tǒng)的安全性，通過(guò)硬件、軟件的安全保護(hù)來(lái)保

證應(yīng)用程序的安全；

3、運(yùn)行維護(hù)安全

a）安全傳輸技術(shù)，對(duì)于重要的系統(tǒng)和對(duì)外的訪問(wèn)，進(jìn)行安全的傳輸技術(shù)，目前使用主要的HTTPS

和SSL的安全傳輸技術(shù)，以此來(lái)保證信息在傳輸過(guò)程中的安全，避免被非法用戶(hù)竊取、篡改和

利用;

b）入侵檢測(cè)技術(shù)和防火墻技術(shù)等，對(duì)于系統(tǒng)和用戶(hù)對(duì)內(nèi)對(duì)外的訪問(wèn)進(jìn)行控制和管理，采用相應(yīng)的

入侵檢測(cè)技術(shù)和防火墻技術(shù)，來(lái)保證系統(tǒng)的信息安全；

4、訪問(wèn)控制安全

a）密碼算法技術(shù)，密碼算法技術(shù)應(yīng)用主要是確保信息在傳送過(guò)程中不被非法的人員竊取、篡改和

利用，同時(shí)接收方能夠完整無(wú)誤的解讀發(fā)送者發(fā)送的原始信息，此密碼算法技術(shù)忖前在公司沒(méi)

有進(jìn)行應(yīng)用；

b）安全協(xié)議技術(shù)，安全協(xié)議技術(shù)主要是指身份認(rèn)證功能，目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴(lài)

于操作系統(tǒng)的安全，這樣入侵系統(tǒng)就非常容易，因此需要建立一套完善的身份認(rèn)證系統(tǒng)，其目

的是保證信息系統(tǒng)能夠確認(rèn)系統(tǒng)訪問(wèn)者的真正身份，身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽

名等方法來(lái)確認(rèn)消息發(fā)送方的身份。

c）訪問(wèn)控制，訪問(wèn)控制主要是用戶(hù)在訪問(wèn)系統(tǒng)或者是互聯(lián)網(wǎng)時(shí)進(jìn)行相關(guān)的控制策略，從而來(lái)保證

信息系統(tǒng)環(huán)境的安全，同時(shí)避免數(shù)據(jù)的泄露，目前使用的技術(shù)主要是上網(wǎng)行為管理，來(lái)管理和

控制用戶(hù)的上網(wǎng)行為，在保證安全的同時(shí)提高工作效率和美化網(wǎng)絡(luò)環(huán)境；

d）身份識(shí)別與權(quán)限管理技術(shù)，對(duì)不同的系統(tǒng)、不同的用戶(hù)、不同的業(yè)務(wù)采取不同的身份識(shí)別和權(quán)

限管理，從而從身份和權(quán)限上來(lái)保證系統(tǒng)和用戶(hù)的信息安全；

2.4.2.7管理的信息安全

從管理的角度考慮，企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括：物理安全管理、

數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運(yùn)行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理，具體說(shuō)

明如下：

信息安全改善在管理方面的方法

控制領(lǐng)域分類(lèi)說(shuō)明

機(jī)房與設(shè)施安全對(duì)放置計(jì)算機(jī)系統(tǒng)的空間進(jìn)行周密規(guī)劃、對(duì)物理設(shè)

物理環(huán)境

備進(jìn)行保護(hù)、提供相應(yīng)的安全保護(hù)系統(tǒng)

技術(shù)控制設(shè)置相應(yīng)的技術(shù)控制，如門(mén)禁系統(tǒng)、訪問(wèn)控制等

環(huán)境和人身安全進(jìn)行環(huán)境和人身的安全保證，如設(shè)置防火、防水、

安全

異地災(zāi)備等

電磁泄漏按業(yè)務(wù)需求，進(jìn)行設(shè)置相關(guān)的電磁泄漏裝置

數(shù)據(jù)載體安全管理對(duì)數(shù)據(jù)載體進(jìn)行統(tǒng)一管理和保護(hù)，從而保護(hù)數(shù)據(jù)

數(shù)據(jù)密級(jí)標(biāo)簽管理對(duì)不同類(lèi)別和級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施

數(shù)據(jù)存儲(chǔ)管理數(shù)據(jù)存儲(chǔ)的管理，避免外界原因造成數(shù)據(jù)的毀壞

數(shù)據(jù)訪問(wèn)控制管理對(duì)數(shù)據(jù)采取自我保護(hù)，防止數(shù)據(jù)的非法使用

數(shù)據(jù)備份管理為防止數(shù)據(jù)丟失或系統(tǒng)癱瘓的風(fēng)險(xiǎn)，進(jìn)行數(shù)據(jù)備份

應(yīng)用系統(tǒng)的安全問(wèn)題對(duì)應(yīng)用系統(tǒng)在使用中存在的一些社會(huì)問(wèn)題和道德問(wèn)

題進(jìn)行管理，如計(jì)算機(jī)浪費(fèi)和失誤、計(jì)算機(jī)犯罪等

系統(tǒng)的安全管理實(shí)現(xiàn)對(duì)運(yùn)行系統(tǒng)的安全管理、軟件的安全管理、關(guān)鍵技

信息資產(chǎn)管理術(shù)管理和人員的安全管理

文檔密級(jí)管理對(duì)文檔進(jìn)行定密，并按照密級(jí)進(jìn)行管理

文檔借閱管理對(duì)文檔的借閱進(jìn)行必要的等級(jí)、審批手續(xù)等管理

電子文檔安全管理在電子文檔的形成、處理、收集、積累、整理、歸

檔、保管、利用等環(huán)節(jié)進(jìn)行安全管理

技術(shù)文檔備份對(duì)技術(shù)文檔的復(fù)制、備份等進(jìn)行統(tǒng)