信息安全管理标准体系.pptVIP

* 9. 访问控制 目标： 控制对信息的访问 防止对信息系统的未授权访问 防止未授权的用户访问 保护网络服务，控制对内部网络和外部网络服务的访问 防止对计算机的未授权访问 防止对信息系统内的信息的未授权访问 检测未授权的活动 确保使用可移动计算机和远程工作设施时的信息的安全 5.3 ISO17799控制目标和控制措施概述 * 9. 访问控制 9.1 访问控制的业务需求 9.2 用户访问管理 9.3 用户职责 9.4 网络访问控制 9.5 操作系统访问控制 9.6 应用系统访问控制 9.7 系统访问和使用的监控 9.8 移动计算和远程工作 5.3 ISO17799控制目标和控制措施概述 * 9.1 访问控制的业务需求 9.1.1 访问控制策略 9.1.1.1 策略和业务需求 9.1.1.2 访问控制规则 5.3 ISO17799控制目标和控制措施概述 * 9.2 用户访问管理 9.2.1 用户注册 9.2.2 特权管理 9.2.3 用户口令管理 9.2.4 用户访问权限的评审 5.3 ISO17799控制目标和控制措施概述 * 9.3 用户职责 9.3.1 口令的使用 9.3.2 无人值守的用户设备 5.3 ISO17799控制目标和控制措施概述 * 9.4 网络访问控制 9.4.1 网络服务使用策略 9.4.2 强制路径 9.4.3 外部连接的用户身份认证 9.4.4 节点认证 9.4.5 远程诊断端口保护 9.4.6 网络划分 9.4.7 网络连接控制 9.4.8 网络路由控制 9.4.9 网络服务安全 5.3 ISO17799控制目标和控制措施概述 * 9.5 操作系统访问控制 9.5.1 自动终端识别 9.5.2 终端登录程序 9.5.3 用户识别与认证 9.5.4 口令管理系统 9.5.5 系统工具的使用 9.5.6 强制报警 9.5.7 终端超时 9.5.8 连接时间的限制 5.3 ISO17799控制目标和控制措施概述 * 9.6 应用系统访问控制 9.6.1 信息访问限制 9.6.2 敏感系统隔离 5.3 ISO17799控制目标和控制措施概述 * 9.7 系统访问和使用的监控 9.7.1 事件日志 9.7.2 系统使用的监控 9.7.2.1 监控程序 9.7.2.2 风险因素 9.7.2.3 事件记录与评审 9.7.3 时钟同步 5.3 ISO17799控制目标和控制措施概述 * 与最佳实践有关的控制措施 6.2.1 信息安全教育与培训 目标： 保证使用者有信息安全意识，理解并执行信息安全方针，并有能力胜任信息安全的相关工作。 安全意识 安全知识 5.2 基本控制措施－与最佳实践相关的 * 与最佳实践有关的控制措施 6.3.1 安全事件汇报 目标： 最大程度减小安全事故和故障造成的破坏，并且监控此类事故、从事故中学习。 应该建立正式的报告程序，同时建立事故响应程序，阐明接到事故报告后所采取的行动。 应该使所有员工和签约方知道报告安全事故的程序，并应该要求他们尽快报告此类事故。 应该在事故被处理完并关闭后，执行适当的反馈程序，以确保那些报告的事故被通告了结果。 5.2 基本控制措施－与最佳实践相关的 * 与最佳实践有关的控制措施 11.1 业务连续性管理 目标： 抵制商业活动的中断，保护关键的商业过程免受主要的故障或灾难的影响。 5.2 基本控制措施－与最佳实践相关的 * 与最佳实践有关的控制措施 11. 业务连续性管理 11.1 业务连续性管理 11.1.1 过程 11.1.2 业务连续性和影响分析 11.1.3 制定和实施业务连续性计划 11.1.4 业务连续性计划框架 11.1.5 测试，维护和重新评估业务连续性计划 11.1.5.1 测试业务连续性计划 11.1.5.2 维护和重新评估业务连续性计划 5.2 基本控制措施－与最佳实践相关的 * 10类控制 36个控制目标 127项控制措施 5.3 ISO17799控制目标和控制措施概述 * 5.3 ISO17799控制目标和控制措施概述 3. 信息安全方针 目标：为信息安全提供管理指导和支持。 3.1 信息安全方针 3.1.1 信息安全方针文件 3.1.2 评审与评价 * 4. 安全组织 目标： 管理组织内部的信息安全 维护组织的信息处理设备和信息资产在被第三方访问时的安全 维护把信息处理的责任外包给其他组织时的信息安全性 5.3 ISO17799控制目标和控制措施概述 * 4. 安全组织 4.