信息安全管理

內(nèi)容概要

本書作為信息安全系列教材之一，在匯總作者及所在團隊多年來信息安全管理相關(guān)工作的基礎(chǔ)上，還提煉了國內(nèi)和國際上信息安全管理方面的最新成果。本書在保證知識點講解精煉的基礎(chǔ)上，全面吸納了最新國內(nèi)外信息安全管理相關(guān)標準和指南的內(nèi)容，能夠反映出信息安全管理理及與方法的研究和應(yīng)用現(xiàn)狀。　　本書內(nèi)容共9章。第1章是緒論。第2章是信息安全控制規(guī)范。第3章是信息系統(tǒng)安全審計。第4章是信息安全事件管理。第5章是信息安全風險評估。第6章是信息安全管理體系實施。第7章是信息安全測評認證。第8章是信息安全工程管理。第9章是信息安全法規(guī)標準。　　本書適用于高等院校通信專業(yè)本科教材，也可作為相關(guān)專業(yè)技術(shù)人員的參考書目。

書籍目錄

第1章 緒論　1.1 信息安全管理　1.2 信息安全技術(shù)體系　1.3 信息安全管理方法　1.4 信息安全保障體系　1.5 本書的內(nèi)容安排　習題第2章 信息安全控制規(guī)范　2.1 概述　2.2 信息安全策略　2.3 信息安全組織　2.4 資產(chǎn)分類和管理　2.5 人員安全　2.6 物理和環(huán)境的安全　2.7 通信和運營管理　2.8 訪問控制　2.9 系統(tǒng)的開發(fā)與維護　2.10 業(yè)務(wù)連續(xù)性管理　2.11 符合性　本章小結(jié)　習題第3章 信息系統(tǒng)安全審計　3.1 概述　3.2 安全審計系統(tǒng)的體系結(jié)構(gòu)　3.3 安全審計的一般流程　3.4 安全審計的分析方法　3.5 安全審計的數(shù)據(jù)源　3.6 信息安全審計與標準　3.7 計算機取證　本章小結(jié)　習題第4章 信息安全事件管理　4.1 概述　4.2 信息安全事件管理過程　4.3 信息安全事件分類分級　4.4 應(yīng)急響應(yīng)　4.5 信息安全災難恢復　本章小結(jié)　習題第5章 信息安全風險評估　5.1 概述　5.2 信息安全風險評估策略　5.3 信息安全風險評估流程　5.4 信息安全風險評估方法　5.5 風險評估案例　本章小結(jié)　習題第6章 信息安全管理體系實施　6.1 概述　6.2 ISMS實施模型　6.3 ISMS實施過程　6.4 ISMS文件要求　6.5 ISMS審核　6.6 ISMS持續(xù)改進　6.7 ISMS實施案例　6.8 信息安全管理工具　本章小結(jié)　習題第7章 信息安全測評認證　7.1 概述　7.2 測評認證有關(guān)規(guī)范　7.3 測評技術(shù)　7.4 信息安全測評實施案例　本章小結(jié)　習題第8章 信息安全工程管理　8.1 概述　8.2 MM概念　8.3 模型體系結(jié)構(gòu)　8.4 能力級別概述　8.5 安全性工程過程區(qū)　8.6 SSE-CMM的使用　本章小結(jié)　習題第9章 信息安全法規(guī)標準　9.1 概述　9.2 國外信息安全法規(guī)　9.3 我國信息安全法規(guī)　9.4 國外信息安全標準　9.5 我國信息安全標準　本章小結(jié)　習題參考文獻

章節(jié)摘錄

第2章　信息安全控制規(guī)范信息安全管理是保障信息系統(tǒng)安全的有力手段，是當今世界各國都在努力推廣與應(yīng)用的重點課題。它涉及的內(nèi)容非常廣泛，包括安全組織架構(gòu)、安全管理制度、人員安全、物理安全、通信安全、訪問控制、業(yè)務(wù)連續(xù)性和法律法規(guī)符合性等多方面內(nèi)容。本章的主要內(nèi)容取材于國際上著名的信息安全管理體系標準BS7799，并結(jié)合我國的國情和最新的技術(shù)發(fā)展，為讀者詳細介紹信息安全管理所涉及的各項安全控制目標和控制措施。2.1　概述在全球邁入信息時代的今天，各國的企業(yè)都馳騁在信息高速公路上。現(xiàn)代企業(yè)對信息的依賴越來越強，沒有各種信息的支持，企業(yè)就不能發(fā)展。事實上，信息已成為現(xiàn)代企業(yè)的重要資產(chǎn)，成為企業(yè)成功的關(guān)鍵所在。這種資產(chǎn)，需要加以妥善保護，否則，可能由于黑客攻擊、人員疏忽和自然災害等原因，在一瞬間被毀滅、損壞、盜竊或貶值，給企業(yè)帶來致命的打擊。企業(yè)將如何提高信息安全水平，防范信息資產(chǎn)毀損和泄密風險，保證信息的機密性、完整性和可用性就顯得越發(fā)重要。BS7799信息安全管理體系標準便是這樣一套為規(guī)范企業(yè)信息安全管理，提高信息安全管理能力水平的標準。BS7799標準是由英國標準協(xié)會（BSI）制定，是目前國際上具有代表性的信息安全管理體系標準。BS7799標準于1993年由英國貿(mào)易工業(yè)部立項，1995年首次發(fā)布BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準，并且適用于大、中、小組織。1998年英國公布標準的第二部分BS7799-2《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責任。2000年12月，BS7799-1：1999（（信息安全管理實施細則》得到了國際標準化組織（ISO）的認可，正式成為國際標準IS0／IEC17799：2000（（信息技術(shù)信息安全管理實施細則》，并于2005年進行了修訂。2002年9月5日，BS7799-2：2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS7799-2：1999被廢止。2005年10月15Et，BS7799-2：2002正式被國際標準化組織采納，成為IS0／IEC27001：2005。新標準的正式標題為IS0／IEC27001：2005（（信息技術(shù)安全技術(shù)信息安全管理系統(tǒng)要求》。BS7799標準包括如下兩部分：BS7799-1：1999《信息安全管理實施細則》BS7799-2：2002《信息安全管理體系規(guī)范》。BS7799-1：1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導性的準則，主要為組織制定其信息安全策略和進行有效的信息安全控制提供的一個大眾化的最佳慣例。BS7799-2：2002《信息安全管理體系規(guī)范》規(guī)定了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。BS7799標準第二部分明確提出安全控制要求，標準第一部分對應(yīng)給出了通用的控制方法，因此可以說，標準第一部分為第二部分的具體實施提供了指南。但標準中的控制目標，控制方式的要求并非信息安全管理的全部，組織可以根據(jù)需要考慮另外的控制目標和控制方式。BS7799匯集了優(yōu)秀企業(yè)最佳實踐，規(guī)范了10個安全控制區(qū)域，36個安全控制目標和127個安全控制措施。它以風險評估為基礎(chǔ)，采用自頂向下的管理方法，對組織、人員、流程、技術(shù)、法律法規(guī)、連續(xù)性等實施全方位安全管理。BS7799的控制細則包括10個安全控制區(qū)域。（1）安全策略：為信息安全提供管理指導和支持，通過在組織內(nèi)發(fā)布和維護信息安全策略來表明管理層對信息安全的支持和承諾。（2）組織的安全：建立信息安全架構(gòu)，保證組織的內(nèi)部管理；并在第三方訪問或外協(xié)時，保障組織的信息安全。（3）資產(chǎn)的分類和管理：明確資產(chǎn)責任，保持對組織資產(chǎn)的適當保護；將信息進行歸類，確保信息資產(chǎn)受到適當程度的保護。（4）人員安全：在工作說明和資源方面，減少因人為錯誤、盜竊、欺詐和設(shè)施誤用造成的風險；加強用戶培訓，確保用戶清楚地知道信息安全的危險性和相關(guān)事項，以便在他們的日常工作中支持組織的安全方針。（5）物理與環(huán)境安全：確定安全區(qū)域，防止非授權(quán)訪問、破壞、干擾信息；通過保障設(shè)備安全，防止資產(chǎn)的丟失、破壞、資產(chǎn)危害及商務(wù)活葫的中斷；采用通用的控制方式，防止信息或信息處理設(shè)施損壞或失竊。（6）通信和運營管理：明確操作程序及其責任，確保信息處理設(shè)施的正確，安全操作；加強系統(tǒng)策劃與驗收，減少系統(tǒng)失效風險；防范惡意軟件以保持軟件和信息的完整性；加強網(wǎng)絡(luò)管理確保網(wǎng)絡(luò)中的信息安全及其輔助設(shè)施受到保護；通過保護媒體處理的安全，防止資產(chǎn)損壞和商務(wù)活動的中斷；加強信息和軟件交換的管理；防止組織間在交換信息時發(fā)生丟失，更改和誤用。（7）訪問控制：按照訪問控制的要求，控制信息訪問；加強用戶訪問管理，防止非授權(quán)訪問信息系統(tǒng)；明確用戶職責，防止非授權(quán)的用戶訪問；加強網(wǎng)絡(luò)訪問控制，保護網(wǎng)絡(luò)服務(wù)程序；力Ⅱ強操作系統(tǒng)訪問控制，防止非授權(quán)的計算機訪問；加強應(yīng)用訪問控制，防止非授權(quán)訪問系統(tǒng)中的信息；通過監(jiān)控系統(tǒng)的訪問與使用，監(jiān)測非授權(quán)行為；在移動式計算和電傳工作方面，確保使用移動式計算工作設(shè)施的信息安全。（8）系統(tǒng)開發(fā)與維護：明確系統(tǒng)安全要求，確保安全性已構(gòu)成信息系統(tǒng)的一部分；加強應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)用戶數(shù)據(jù)的丟失、被修改或誤用；加強密碼技術(shù)控制，保護信息的保密性，可靠性或完整性；加強系統(tǒng)文件的安全，確保IT方案及其支持活動以安全的方式進行；加強開發(fā)和支持過程的安全，確保應(yīng)用系統(tǒng)軟件和信息的安全。（9）業(yè)務(wù)連續(xù)性管理：防止業(yè)務(wù)活動的中斷及保護關(guān)鍵業(yè)務(wù)過程不受重大失誤或災難事故的影響。（10）符合性：使信息安全活動符合法律法規(guī)要求，避免與刑法、民法、有關(guān)法令法規(guī)或合同約定事宜及其他安全要求的規(guī)定相抵觸；加強安全方針和技術(shù)符合性評審，確保體系按照組織的安全方針及標準執(zhí)行?，F(xiàn)在，BS7799標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準，依據(jù)BS7799建立信息安全管理體系并獲得認證已經(jīng)成為世界潮流。組織可以參照信息安全管理模型，按照BS7799標準建立組織完整的信息安全管理體系并進行實施與保持，達到動態(tài)的、系統(tǒng)的、全員參與的、制度化的、以預防為主的信息安全管理方式，用最低的成本，達到可接受的信息安全水平，從根本上保證業(yè)務(wù)的連續(xù)性，提高企業(yè)的社會形象和市場競爭力。.　　2005年修訂后的IS0／IEC17799較BS7799-1有一些變更，主要表現(xiàn)在增加了“信息安全事件管理”這一安全控制區(qū)域，基于本書有專門一章內(nèi)容討論信息安全事件管理，因而本章為讀者介紹修訂前的BS7799-1的10個安全控制區(qū)域的詳細內(nèi)容，而不討論信息安全事件管理。2.2　信息安全策略信息安全策略的目標是為信息安全提供管理指導和支持。一個組織的管理層應(yīng)當提出一套清晰的策略指導，并且通過在組織內(nèi)發(fā)布和維護信息安全策略來表明對信息安全的支持和承諾。落實信息安全策略的基本措施包括：信息安全策略文檔的建立，信息安全策略文檔的復查和評價。1.　信息安全策略文檔信息安全策略文檔應(yīng)當聲明管理者的承諾，闡明一個組織實現(xiàn)信息安全的途徑。該策略文檔至少應(yīng)當包括以下指導性內(nèi)容：（1）信息安全的定義，它的總體目標和范圍以及安全保密性作為信息共享的許可機制的重要性。（2）對管理意圖、總體信息安全的目標和原理的簡單說明。（3）簡短的說明安全策略、原理、標準和對該組織具有特殊重要意義的符合性要求，例如：符合法律規(guī)定和合同要求；安全教育的需求；病毒和其他惡意軟件的阻止及檢測；業(yè)務(wù)連續(xù)性管理；違反安全管理策略的后果。（4）定義信息安全管理包括報告安全事故的一般性責任和特殊性責任。（5）參考可能支持該策略的文獻資料，例如，針對特殊的信息系統(tǒng)或者用戶應(yīng)當遵守的安全規(guī)則以及更為詳盡的安全策略和程序。信息安全策略文檔需要以一種容易理解的和易于接受的方式在整個組織中公開。2.　信息安全策略文檔復查和評價信息安全策略文檔需要專人依據(jù)確定的程序進行檢查。程序能夠確保出現(xiàn)重大安全事故、發(fā)現(xiàn)新的易損性、組織基本機構(gòu)變更或新的技術(shù)引入時，檢查工作能夠被觸發(fā)，同時，程序還包括指定內(nèi)容的定期檢查，比如：策略的效率，由所記錄的安全事故的性質(zhì)、次數(shù)和影響來表示；對業(yè)務(wù)效率管理的成本和影響；技術(shù)變革的影響。2.3　信息安全組織2.3.1　信息安全的基本架構(gòu)組織為啟動和控制信息安全的實施，需要建立適當?shù)男畔踩芾砑軜?gòu)。管理層要建立適當?shù)墓芾韱栴}論壇，以便確認信息安全策略、指派安全角色并在組織中協(xié)調(diào)安全措施的實施。為跟上技術(shù)發(fā)展趨勢、監(jiān)控安全標準和測評方法并在處理意外安全事故時提供適當?shù)穆?lián)絡(luò)點，組織應(yīng)當加強與外部的信息安全專家的聯(lián)系。組織要鼓勵發(fā)展綜合信息安全解決方案，這類綜合解決方案可能涉及經(jīng)理、用戶、管理員、應(yīng)用程序設(shè)計人員、審計人員和安全人員的協(xié)調(diào)和合作，以及在一些領(lǐng)域的專門技術(shù)，比如保險和風險管理。1.　管理信息安全論壇信息安全是一項由所有管理層成員共同承擔的運營責任。因此組織要考慮建立一個管理論壇，以確保從管理上對安全進行支持，并且使這種支持有一個清晰的方向。該論壇應(yīng)當通過適當?shù)某兄Z責任和足夠的資源配置來提高組織內(nèi)部的安全性。此論壇可以是現(xiàn)有管理機構(gòu)的一部分。通常情況下，論壇承擔以下責任：（1）檢查并批準信息安全策略和總的責任。（2）當信息資產(chǎn)暴露在大多數(shù)威脅之下時，檢測所發(fā)生的重要變動。（3）復查并監(jiān)測信息安全事故。（4）支持重要的創(chuàng)新，以加強信息安全。2.　信息安全協(xié)作在一個大型組織中，管理層代表的多功能論壇對于協(xié)調(diào)處理信息安全策略的執(zhí)行是十分必要的。這些管理層的代表都來自于組織的相關(guān)部門。一般而言，這樣的論壇能夠：（1）批準整個組織內(nèi)安全管理的特殊角色和責任。（2）批準信息安全的特殊方法和程序，例如，風險評估，安全分級系統(tǒng)。（3）批準并支持整個組織范圍內(nèi)的信息安全能動性，例如，安全意識計劃。（4）確保安全性是信息規(guī)劃過程的一部分。（5）評價適當性并協(xié)調(diào)對新系統(tǒng)或者服務(wù)的特殊安全管理措施的實施。（6）應(yīng)對信息安全事故。（7）提高在整個組織內(nèi)對信息安全業(yè)務(wù)支持的可見性。3.　信息安全責任的分配保護個人資產(chǎn)的責任和執(zhí)行特殊安全程序的責任應(yīng)當清楚地定義。信息安全策略應(yīng)當提供在組織中確定安全角色和分配安全責任的一般性指導。如果需要的話，這些指導還應(yīng)當針對特殊的地點、系統(tǒng)或者范圍補充上更為詳細的指導。對個人生命財產(chǎn)和信息資產(chǎn)所承擔的局部責任應(yīng)當清晰界定，對安全程序比如業(yè)務(wù)連續(xù)性規(guī)劃所承擔的局部責任也應(yīng)當明確定義。很多的組織會指定一個信息安全負責人，由其總體負責信息安全的發(fā)展和實現(xiàn)并管理措施的確定。然而，資源配置和實現(xiàn)管理措施的責任常常留給單獨的管理者。通常的做法是為每項信息資產(chǎn)指派一個所有權(quán)人來負責其日常安全。信息資產(chǎn)的所有權(quán)人可以把他們的安全責任委派給單獨的管理者或者服務(wù)提供商。盡管如此，所有權(quán)人仍然對此資產(chǎn)的安全負有最終的責任，并且所有權(quán)人應(yīng)當能夠確定任何責任錯誤分配的情況。每一個管理者所負責的領(lǐng)域要清晰地闡明，這一點非常重要，特別是在下述情況發(fā)生時：（1）對于不同種類資產(chǎn)的安全程序和與各自系統(tǒng)相關(guān)的安全程序，都應(yīng)當進行識別并清楚地定義。（2）負責每項資產(chǎn)或者安全過程的管理者都應(yīng)當?shù)玫脚鷾?，而且?yīng)當把此項責任的細節(jié)記錄在案。（3）授權(quán)等級應(yīng)當清楚地定義并記錄。4.　信息處理方法的授權(quán)過程對新的信息處理方法應(yīng)當建立管理授權(quán)過程：（1）新的信息處理方法應(yīng)當有相應(yīng)的客戶授權(quán)，贊同其目的和用途，還應(yīng)當獲得負責維護當?shù)匦畔⑾到y(tǒng)安全環(huán)境的管理人員的同意，以確保滿足所有相關(guān)策略和需要。（2）在需要的時候，檢測硬件和軟件以確保它們和系統(tǒng)的其他組成部分互相兼容。（3）對處理業(yè)務(wù)信息的個人信息處理程序的使用和任何必須的控制手段都應(yīng)當經(jīng)過授權(quán)。（4）在工作場所中使用個人信息處理程序可能導致新的危險，因此需要進行評估和授權(quán)。上述這些管理措施在網(wǎng)絡(luò)化的環(huán)境中尤其重要。5.　信息安全專家的建議許多組織可能都需要安全專家的建議。理想的狀況是，一位有經(jīng)驗的內(nèi)部信息安全專家可以提供這些建議。并不是所有的組織都愿意雇用一位咨詢專家。在這種情況下，建議確定一位專門人員來協(xié)調(diào)內(nèi)部的安全知識和安全經(jīng)驗，以確保處理問題時的連續(xù)性并協(xié)助做出安全決策。他們還應(yīng)當能夠找到適當?shù)耐獠孔稍儗＜襾硖峁┏鏊麄兘?jīng)驗范圍的專業(yè)建議。信息安全建議者或者具有相同作用的聯(lián)系人應(yīng)當擔負就信息安全的所有方面提供建議的任務(wù)。他們要么自己提出建議，要么利用來自外部的建議。他們對安全威脅所做評估的質(zhì)量和對管理措施的意見決定了該組織的信息安全的效果。為了達到最大的效用、產(chǎn)生最好影響，應(yīng)當允許他們直接接觸整個組織的管理。6.　組織間的合作組織要與執(zhí)法部門、管理機構(gòu)、信息服務(wù)提供商和電信運營商保持適當聯(lián)絡(luò)，以確保在發(fā)生安全事故時能夠及時采取適當?shù)拇胧┎⒛軌蚣皶r通知。類似的，也應(yīng)當考慮到與安全組成員和行業(yè)協(xié)會進行合作。7.　信息安全的獨立檢查信息安全策略明確了信息安全的策略和責任。為確保組織的實踐恰當?shù)胤从沉诉@一策略，應(yīng)當獨立地檢查其執(zhí)行情況，并證明該策略是可行的和有效的。這樣的檢查可以由內(nèi)部的審查功能執(zhí)行。此外，獨立的經(jīng)理或者在此種檢測方面有特殊專長的第三方人員也可以做這種檢查。這些候選人要具有檢查所必備的技能和經(jīng)驗。2.3.2　第三方訪問的安全為保護組織信息處理程序的安全和被第三方訪問的信息資產(chǎn)的安全，應(yīng)當控制第三方對組織信息處理程序的訪問。如果有這樣的第三方訪問的業(yè)務(wù)需要，應(yīng)當進行風險評估以確定安全隱患和管理對策，所要采取的管理措施應(yīng)當?shù)玫降谌降耐?，并在與之簽訂的合同中加以定義。第三方訪問還可能包括其他的參與者。授予第三方訪問權(quán)限的協(xié)議應(yīng)當包括準許指定其他具備資格的參與者和相應(yīng)訪問的條件。1.　判斷第三方訪問的風險允許第三方使用的訪問類型非常重要。例如，通過網(wǎng)絡(luò)連接進行訪問的風險不同于物理訪問的風險。訪問類型包括：（1）物理訪問：例如，訪問辦公室、計算機機房和檔案柜。（2）邏輯訪問：例如，訪問組織的數(shù)據(jù)庫和信息系統(tǒng)。（3）可能出于多種原因授予第三方訪問權(quán)限。例如，向組織提供訪問的第三方并不在現(xiàn)場，但是可以給以物理訪問和邏輯訪問的權(quán)利，比如：①硬件和軟件支持人員，他們需要訪問系統(tǒng)層次或者低層次的應(yīng)用程序功能。②貿(mào)易合作伙伴或者聯(lián)合經(jīng)營方，他們可能交換信息、訪問信息系統(tǒng)或者共享數(shù)據(jù)庫。如果缺乏足夠的安全管理，則第三方訪問信息時就會將其置于危險的境地。若是有與第三方地點建立聯(lián)絡(luò)的業(yè)務(wù)需要，就要進行風險評估，以確定任何特殊管理措施的要求。組織應(yīng)當考慮到所需的訪問類型、信息的價值、第三方采取的管理措施和這種訪問對組織信息的安全所造成的影響。第三方人員可能按照合同規(guī)定在現(xiàn)場駐扎一段時間，這會增加信息系統(tǒng)安全隱患?，F(xiàn)場承包方的例子包括：（1）硬件和軟件維護以及支持人員。（2）保潔、看護、安全警衛(wèi)和其他外包的服務(wù)項目承包方。（3）學生安置和其他臨時的短期安排。（4）咨詢?nèi)藛T。究竟要采取什么措施來管理第三方對信息處理設(shè)備的訪問，理解這一點十分重要。一般說來，所有的由于第三方訪問或者內(nèi)部管理措施導致的安全要求，都應(yīng)當反映在組織與第三方簽訂的合同中。例如，如果對信息的保密性有特殊要求，就應(yīng)采用保密協(xié)議。在采取了適當?shù)墓芾泶胧┖秃炇鹆硕x有連接或者訪問相關(guān)條款的合同之前，組織不應(yīng)當向第三方提供對信息和信息處理設(shè)備的訪問。2.　第三方合同的安全要求涉及第三方訪問組織信息和信息處理設(shè)備的有關(guān)安排應(yīng)當建立在一份正式的合同基礎(chǔ)上，這一合同應(yīng)當包括或者涉及所有的安全要求，以求符合組織的安全策糌和安全標準。該合同應(yīng)當保證在組織和第三方之間沒有誤解。組織應(yīng)當對供應(yīng)商做滿意的補償，并考慮把以下各項條款寫入合同中：（1）總的信息管理策略。（2）資產(chǎn)保護，包括：①保護組織資產(chǎn)的措施方法，包括對信息和軟件的保護。②確定資產(chǎn)是否受到什么損害的方法手段，比如確定數(shù)據(jù)是否丟失或者被修改。③在合同期結(jié)束或者合同期中某個協(xié)商同意的時間，確保信息或者資產(chǎn)被返回或者銷毀。④完整性和有效性。⑤對于信息復制和信息披露的限制。（3）對所要采用的每項訪問的一個詳細描述。（4）服務(wù)的目標水平和無法接受的服務(wù)水平。（5）適當?shù)娜藛T調(diào)任的規(guī)定。（6）合同各方各自所應(yīng)承擔的義務(wù)。（7）對相關(guān)法律問題所承擔的責任，例如，數(shù)據(jù)保護立法。特別是如果該合同涉及與其他國家中組織的合作，就要考慮不同國家法律體系。（8）知識產(chǎn)權(quán)（IPR）和產(chǎn)權(quán)責任以及對所有合作項目的保護。（9）服務(wù)控制協(xié)議，包括：①許可的訪問方法、對唯一標識，比如用戶ID和密碼的管理和使用。②對用戶訪問和特權(quán)的授權(quán)程序。③要求保留一份列表，記錄得到授權(quán)可以使用現(xiàn)有服務(wù)的個人、他們的權(quán)限與這種使用的關(guān)系。（10）定義可以驗證的業(yè)績標準，以及對它們的監(jiān)測和報告。（11）監(jiān)測和廢除用戶活動的權(quán)力。（12）審查合同責任的權(quán)利，或者由第三方執(zhí)行審查。（13）為問題解決建立一個擴大程序；在適當?shù)牡胤揭矐?yīng)當考慮對偶然性事件的處置。（14）有關(guān)硬件和軟件的安裝與維護的責任。（15）清晰的報告結(jié)構(gòu)和協(xié)商一致的報告格式。（16）一個清晰的和專門化的變更管理程序。（17）任何要求的物理保護措施和機制，確保那些管理措施得到落實。（18）對客戶和管理員的培訓，包括方式方法、處理程序和安全性。（19）確保能夠防范惡意軟件的管理措施。（20）有關(guān)安全事故和安全漏洞的報告、通知和調(diào)查的安排。（21）分包合同第三方的參與。

編輯推薦

《普通高等教育"十一五"國家級規(guī)劃教材·信息安全專業(yè)系列教材·信息安全管理》由北京郵電大學出版社出版。

圖書封面

評論、評分、閱讀與下載

---

    信息安全管理 PDF格式下載

---