信息安全組織解析組織分為內部組織和外部組織兩個大部分。
1.在組織內部應該通過組織結構和組織活動來支持信息安全,首先應建立管理框架,啟動和控制組織范圍內的信息安全的實施,管理者應批準信息安全方針、指派安全角色以及協調和評審整個組織安全的實施。
若需要在組織內建立專家信息安全建議庫,并發展與外部安全專家或者組織的聯系,以便跟上行業的趨勢、跟蹤標準和評估方法,并且處理信息安全事件時,提供合適的聯絡點。組織的外部的安全問題也必須加以考慮,組織的信息處理設施和信息資產的安全不應該由于外部的產品或者服務而降低,任何外部對這種信息處理設施的訪問,對信息資7的處理和通信都應該給以控制。
對于外部各方的信息安全控制,以防止外部方隊組織信息處理設施進行訪問,對信息資產進行處理以及通信過程中的安全事件的發生。
2. 物理和環境安全解析物理和環境的安全控制不僅是信息安全的需要,也是傳統安全的要求。-個組織無論是否考慮信息安全問面,都有物理和環境安全做好。
3. 設備的環境安全部分涉及:安全邊界的定義,入口的控制,辦公室、房間和設施一 直到外部環境威脅的安全保護,還包括工作的安全區域和公共訪問和交接區。
4. 設備安全部分從設備購置后的安置和保護,到支持性設施的保護,再到電纜投入運行,一直到最后的處置和再利用。之間包括了設備的正確維護、移動,以及場所外如何保證安全的問題。6.通信和操作管理解析
5. 這里的“通信”是廣義的通信的概念,主要是指信息是交換、溝通和交流等活動。操作是指對信息處理設備和設施、信息系統、軟件等的操作。
6. 為了保證對所有的有需求的用戶可用,與信息處理和通信設施相關的系統活動要具備形成文件的程序,例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房、郵件處置管理和物理安全等。要將操作程序和系統活動的文件化程序看做正式的文件,其變更由管理者授權。
7. 操作程序文件和信息系統的變更-定要保持- 致。 而信息系統的各種操作可能比較繁雜,技術上可行時,信息系統應該使用相同的程序、工具和實用程序進行-致的管理。
8. 對于信息處理設施、操作系統和應用軟件等變更應該由嚴格的控制。只有規范了變更程序,才能保證操作程序文件和實際操作的一致性,更重要的是這些變更可能會引入新的風險,必須有批準、記錄、 備份等才能保證變
9. 更的安全性。
10. 在分配職責時,應該盡量讓權限最小化,以盡量降低未授權或無意識的修改或者不當使用組織資產的機會。7.訪問控制
11. 訪問控制的目標是隊長對信息的訪問,目前已經發展成為保護信息安全的最 重要的手段之-。對信息信息處理設施和業務過程的訪問應在業務和安全要求的基礎上予以控制。因此,訪問控制策略必須基于業務和訪問的安全要求,訪問控制規范要考慮到信息傳播授權的策略。在訪問策略中應該清晰地敘述每個用戶或者-組用戶訪問控制規則和權力。訪問控制既是邏輯的也是物理的,應該引起考慮。
12. 訪問控制策略要以用戶的訪問管理為基礎,首先應有正式的用戶注冊和注銷程序。未授權或者撤銷所有信息系統及服務的訪問。用戶注冊是用戶管理生命周期的開始,注冊必須使用唯一的ID與用戶行為聯系起來。
13. 口令的分配和控制必須有正式的管理控制過程。口令的使用也必須培養良好的用戶習慣。 管理者必須對用戶的訪問進行定期審查,某些用戶可能從一個部門掉到另一個部門,這時候必須重新分配用戶的訪問權。
信息系統獲取
開發和維護解析本章主要對信息系統購置、開發建設以及系統運行維護過程中的信息安全有關方面提出了詳細的控制目標和控制措施。
安全應該貫穿信息系統的生命周期,從需求階段必須對安全提出要求。組織的大部分信息系統可能都是買的,那么購買產品之后就進行常規的測試和需求處理。與供貨商簽的合同上應該確切地標明安全需要。
應用中的正確處理的目的是防止應用系統中的信息的錯誤.遺失、 未授權的修改以及誤用。其中三個方面的內容:輸入與輸出數據的驗證和內部處理的控制,與規范的程序編碼要求是完全一致的。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
