信息安全管理体系.pdf

1.信息安全概述

1.1.什么是信息安全

1.1.1.什么是信息

文字、数字、图形、图像、声音，如源代码、项目文档、应用系统数据等

可存储在纸介质、磁介质或人脑中

1.1.2.什么是信息安全

信息安全就是为了降低信息资产的风险，保护信息资产不受各种威胁，从而确保业务营运持

续，企业损失降至最低，同时投资收益与企业机会最大化。

1.1.3.信息安全三要素CIA

C机密性，I完整性，A可用性

1.1.4.信息安全工作依据的国际标准是：ISO270022005

1.1.5.信息安全管理体系isms

1.1.6.东软的信息安全管理体系

ISMS2008PDCA模型

1.1.7.ISMS2008文件结构

1.2.课后题

1、C信息安全是：降低信息资产的风险

2、AISMS2008是有关信息安全管理的文件

3、D下列哪项不属于信息安全的三要素:价值性

4、c信息安全工作依据的国际标准是：ISO27001

2.人员信息安全

2.1.东软信息安全组织

东软信息安全最高权力机构：东软信息安全管理委员会ISMC，公司领导者组成。

2.2.东软信息安全方针：

管理风险，保障信息安全，提升经营持续性。

2.3.部门信息安全行为规范

公司级ISMS2008文件培训

部门级信息安全意识培训

项目级安全培训

出差前信息安全培训

2.4.员工办理离职、内部调转

工作成果上传到服务器

公司及客户物品归还

相关管理员取消各类访问权限：如服务器、门禁系统、网络访问等。

交回员工卡

离职后保密协议：不能体现项目名称、客户名称

2.5.课后题

1、c负责公司信息安全管理的部门是信息规划与管理部

2、b下列哪项描述正确

3、a公司信息安全管理体系的方针是管理风险，保障信息安全，提升经营持续性

3.信息资产安全

3.1.信息分类:4类(规范类、管理类、项目类、IT类)

3.1.1.规范类

3.1.2.管理类

3.1.3.项目类

3.1.4.IT类

3.2.信息密级分类：3（东软绝密、东软机密、东软秘密）

纸质或电子类密级信息均需在左上角进行密级标识

3.3.课后题

1、公司的涉密信息密级划分为三个级别abc

2、下面哪几项描述正确bcd涉密的信息资产,可以带回家

3、涉密信息资产废弃时,下列哪项描述不正确cd

4、关于信息的使用,下列哪项描述不正确a打印的涉密文件不需要立刻取走

5、关于移动设备管理,下列哪项描述不正确b

6、关于设备管理方面,下列哪项描述不正确d设备报废时需检查

门禁系统：

出入管理、会议室预订、考勤管理

课后题

1、a

2、b

3、b

4、a

5、b

课后题

7关于上网行为，下面哪些描述不正确

Abc

8、强密码策略包括

Abcd

9、桌面系统必须进行的安全配置包括

Abcd

课后题：

1、下列哪些资料属于项目开发中的涉密信息

Abcd设计书,成果物,项目管理资料,客户信息

2、针对项目实施中的信息安全要求，下面哪些描述是正确的

Abcd项目启动时,须接受相关信息安全培训

公司组织ISIRT

7.2.事件分级

7.2.1.重大信息安全事件

举例说明:处理结果

举例说明及处理结果

7.2.3.一般信息安全事件

举例说明和处理结果

7.3.课后题

1、关于信息安全事件管理，下列哪几项描述正确

Abcd引起客户投诉