@深巷
2年前 提问
1个回答
信息安全管理体系包括哪些方面的信息安全保护
GQQQy
2年前
信息安全管理体系包括以下方面的信息安全保护:
资产分类及控制:资产分类包括所有信息资产都应进行分类和标识,资产管理包括资产清单应标识出所有重要资产,并及时维护更新,所有资产必须指明所有者。
信息安全组织:信息安全组织包括人员安全包括所有工作岗位必须有安全职责的描述并明确敏感性,安全意识包括所有员工必须接受信息安全教育、培训来提高安全意识,角色和职责包括明确定义信息保护角色及其工作职责。
物理及环境安全:包括物理安全采取物理安全防护措施,防止资产和系统受到未经授权的访问、破坏或干扰。环境安全采取物理环境保护措施,防范或降低天灾、意外或人为灾难对信息设备的影响。
网络通信安全:采取适当安全措施,保护内部网络与公共网络及其他网络间的连接,以及传输中的信息。
访问控制:访问控制包括问责,系统使用和操作行为必须适当地监控及审查。认证,用户访问信息和系统前,必须进行身份认证。授权,访问控制权限遵循“最小化原则”。保密性,根据信息分类对信息资产做出合适的保护。完整性,采取适当的防范措施,防止信息资产受到非授权篡改或删除。职责分离,不允许单独一人完成整个业务交易或操作程序。
系统开发及维护:系统开发及维护包括应用系统开发安全在系统开发周期中适当构建信息安全控制,加密算法所使用的加密算法必须达到数据保护的要求,且有公开的论证。
第三方服务管理:第三方服务管理包括外包服务管理,确保外包服务供应商制定和执行不低于平安云的信息安全标准,并定期审查。安全产品管理,确保信息安全产品、密码产品、网络产品及服务的采购和使用满足国家相关管理部门的规定。