- 1、本文档共61页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
XXXX集团系统信息安全建设方案
信息安全管理体系
XXXX集团系统信息安全建设方案
ISMS
目 录
息安全管理体系(ISMS) 4
信息安全管理体系概述 4
信息安全管理体系及其建立的必要性 4
建立XXX信息系统安全管理体系的应具备条件 5
信息安全管理体系模型 6
信息安全管理体系建立程序 8
计划阶段 8
XXXISMS信息安全管理体系的范围 8
XXXX集团系统信息安全管理方针 9
XXXX集团风险分析、评估的方法 11
用系统方法进行风险分析 18
风险管理策略 26
选择风险处理的控制目标和控制措施 27
定期风险分析 27
执行阶段 27
安全方针 27
安全组织 28
资产分类和控制措施 29
人员安全 30
物理和环境安全 31
通信和运行管理 32
访问控制 33
系统开发和维护 34
业务连续性管理 35
符合性安全措施 35
管理资源 35
检查阶段 35
定期检查的必要性 35
检查的内容 36
行动阶段 36
简介 36
对安全措施的改进 37
对未来趋势的分析 37
适用性声明 37
安全目的符合性 38
局域网计算环境安全目的符合性 38
安全目的符合性声明 38
安全目的符合性对应表 39
边界安全目的符合性 40
安全目的符合性声明 40
边界安全符合性对应表 41
网络与网络基础设施安全目的符合性 43
安全目的符合性声明 43
安全目的符合性对应表 44
支撑基础设施安全目的符合性 44
物理安全的安全目的符合性 45
信息安全管理体系(ISMS)
信息安全管理体系概述
信息安全管理体系及其建立的必要性
信息安全的目的是通过预防安全事件和使安全事件的影响最小化来保证业务的连续性并使业务的损失最小化。
信息安全管理的目的就是在实现信息能够充分共享基础上,同时也能保证信息和其他资产得到保护。
信息安全有三个要素:
机密性:保护敏感的信息不被未授权的泄露或很容易被截获。
完整性:保证信息和软件的准确性和完整性;
可用性:保证在需要时用户可获得信息和至关重要的服务。
ISMS就是以信息安全的三要素为目标,通过建立ISMS模型和管理过程,利用技术和管理的方法达到组织的业务的连续性。
带格式的:
带格式的:项目符号和编号
支撑一个组织的信息和系统、应用程序和网络都是组织的重要业务资产。这些资产的机密性、完整性、可用性对于维持组织的竞争优势、现金流动、利益、法律上的适应性和组织的声誉都是至关重要的。
一个组织可能会面临广泛来源的,日益增加的威胁。
一个组织的系统、应用程序和网络,可能成为严重威胁的目标,其中包括以计算机为基础的欺诈、间谍活动、破坏活动、破坏他人财产的行为以及失败源或灾祸源。
新的损害源,诸如来自不断公开报道过的计算机病毒和计算机黑客的威胁,仍在不断地出现。预计这些对信息安全的威胁会越来越广泛,越来越野心勃勃且日益向成熟的方向发展。
基于上述原因,我们认为建立信息安全管理体系对一个组织来说是非常必要的。信息安全管理体系的建立是为了确保一个组织的信息系统全生命期的安
全。也就是说在整个信息系统的生命期内都要实施安全风险管理,并且随着技术、环境等因素的变化也要不断的改进、修正和完善。
在这种情况下,对于一个组织而言,是否采用信息安全管理体系是一个重大的战略决策。
组织的ISMS的设计和实现要受安全和业务需求和目标的影响,也受使用的过程以及组织的大小和结构影响。但是,这些因素及其支持系统随着时间的推移也要发生变化。我们期望,根据XXX电子的要求,提出一个完整、有效的信息安全管理体系(ISMS)的解决方案。
建立XXX信息系统安全管理体系的应具备条件
带格式的:项目符号和编号要建立一个完整和有效的ISMS
带格式的:项目符号和编号
要认识到业务信息安全要求以及建立信息安全方针和目标的重要性要认识到如何实现和运行管理组织的所有业务风险控制方法的重要性。要认识到监控和评审ISMS的执行情况和有效性的重要性。
要认识到基于目标权衡的持续改进的重要性。
要构建一个有效和实用的信息安全管理体系首先要建立信息安全管理体系模型。我们将在下一节叙述这一过程管理的模型。
其次,要构建的管理过程是一个动态过程,每一个过程都有若干信息安全管理活动,并且在执行过程中不断循环。
应当强调的是,信息安全管理体系建立的基础是风险分析和风险评估。风险分析和评估的成败取决于所选择的方法,因此,如何选择实用的风险分析和评估方法是建立信息安全管理体系关键之所在。为了突出其重要性,我们把风险分析和评估单独作为一个文件。信息安全管理体系将利用风险分析和评估的结果作为的基础。其中不仅包括风险分析的结果,还包括安全目标、安全控制
文档评论(0)