网络信息系统安全管理 PPT课件4.pptVIP

14个控制措施类别 （1）信息安全方针 信息安全方针的控制目标是组织的安全策略能够依据业务要求和相关法律法规提供管理指导并支持信息安全。 信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件，一般不包含具体的实施技术方案。 （2）信息安全组织 内部组织的控制目标是建立一个管理框架，用以启动和控制组织内信息安全的实施和运行。 内部组织可以通过明确信息安全的角色和职责、职责分离、确定与政府部门的联系、明确与相关利益方的联系等控制措施完成控制 控制措施 14个控制措施类别 （3）人力资源安全 在任用前，需要确保雇员、承包方理解其职责，对其考虑的角色是适合的。组织主要通过审查、明确任用条款及条件等措施来完成控制。 在任用中，需要确保雇员、承包方意识并履行其信息安全职责。组织可以通过明确角色和职责、信息安全意识教育与培训、纪律处理等措施完成控制。 在任用终止或变化时，需要防止离职行为对组织造成安全隐患。组织需要从明确离职人员在离职后所需承担的义务和规定；核查所需要的归还的资产，包括软件、设备、文件等；撤销离职人员的访问权限。 （4）资产管理 组织需要对资产负责，实现和保持对组织资产的适当保护。 组织需要通过介质处置防止介质存储信息的未授权泄露、修改、移动或销毁。 控制措施 14个控制措施类别 （5）访问控制 在访问控制的业务要求方面，控制目标是组织需要限制对信息和信息处理