1,安全政策
安全政策為信息安全活動提供管理方向、必要的支持手段和管理承諾。同時,安全策略應該明確定義維護企業安全策略的責任。典型安全策略的內容非常廣泛,包括信息安全的定義和目的,信息共享運行機制中安全防範的領域和重要性;管理層意圖的闡述和對信息安全目標和原則的支持;對安全政策、原則和標準的簡要描述,以及對機構特別重要的規範的實施條件的說明2。安全組織。
安全組織包括三個控制目標:企業信息基礎設施、第三方訪問安全和外包。安全組織要求明確企業內部與信息安全相關的組織與協作,如何落實安全責任,以及與安全相關的授權流程。同時要求管理人員識別第三方合作和外包過程中的風險,通過相關合同控制安全風險。
釋放;解釋信息安全的責任;等壹下。
3.資產分類和控制
資產分類管控包括兩個管控目標:資產責任和信息分類。資產負債要求建立準確全面的資產目錄;信息分類要求建立企業的信息分類原則,通過信息標準和相關處理,信息資產可以得到適當級別的保護。
4.人身安全
人員安全包括三個控制目標:資源的責任和安全劃分、用戶培訓以及對安全事件和失敗的響應。這壹部分與安全組織壹起構成了企業安全管理的基礎。“資源的責任和安全分工”要求采取有效措施減少人員失誤、盜竊、欺詐和濫用設施。“用戶培訓”要求確保員工了解安全政策、系統、安全威脅等。,並有效地支持企業安全策略的實施。“應對安全事件和故障”要求采取措施,最大限度地減少安全事件和故障造成的損失,監控此類事件,並從中吸取教訓。安全響應需要有效的過程系統和工具來保證其質量。
5.物理和環境安全
物理和環境安全包括三個控制目標:安全區域、設備安全和壹般控制措施。“安全區”的目的是防止業務設施和信息受到未經授權的物理訪問、破壞和幹擾。“設備安全”的控制措施可以防止資產丟失、損壞和受到威脅,防止業務活動受到幹擾,包括電信供應和線路安全。“壹般控制措施”包括清潔桌面和屏幕,以及資產清理。
6、溝通與運營管理
通信和運行管理包括七個控制目標:運行程序和責任、系統規劃和驗收、惡意軟件防護、內務管理、網絡管理、媒體處理和安全以及信息和軟件交換。“操作程序和責任”的目標是確保信息處理設施操作的正確性和安全性,包括書面操作程序記錄、變更管理、事件管理和責任分離。“系統規劃和驗收”的控制措施包括容量規劃和系統驗收,目標是將系統故障的風險降低到最低水平。“惡意軟件防護”的目標是保護軟件和信息的完整性免受惡意軟件的侵害。“內務處理”的目標是維護信息處理和通信服務的完整性和可用性,控制措施包括信息備份、操作日誌和錯誤日誌。“網絡管理”的目標是保護網絡中的信息和支持基礎設施。“媒體處理和安全”對於目前移動性越來越強的企業IT環境具有特殊的意義,其目標是防止資產被破壞和商業活動被幹擾。“信息和軟件交換”要求采取措施防止信息在交流過程中丟失、修改或誤用。通信和運營管理是通常意義上網絡信息安全的主要考慮因素,受到高度重視。
。。。。太過分了。請自己查看參考資料。。。