信息技术 安全技术信息安全管理实用规则（征求意见稿）.doc

信息技术 安全技术信息安全管理实用规则（征求意见稿） 信息安全管理实用规则 Information technology-Security techniques -Code of practice for information security management （IDT ISO/IEC #00469917799：2005） （征求意见稿） 目 次 III前 言 IV引 言 IV0.#0046991 什么是信息安全？ IV0.2 为什么需要信息安全？ IV0.3 如何建立安全要求 V0.4 评估安全风险 V0.5 选择控制措施 V0.6 信息安全起点 VI0.7 关键的成功因素 VI0.8 开发你自己的指南 #0046991#0046991 范围 术语和定义 33 本标准的结构 33.#0046991 章节 33.2 主要安全类别 44 风险评估和处理 44.#0046991 评估安全风险 44.2 处理安全风险 55 安全方针 55.#0046991 信息安全方针 66 信息安全组织 66.#0046991 内部组织 #00469912 外部各方 #004699157 资产管理 #004699157.#0046991 对资产负责 #004699177.2 信息分类 #004699188 人力资源安全 #004699188.#0046991 任用之前 22 任用中 228.3 任用的终止或变化 249 物理和环境安全 249.#0046991 安全区域 279.2 设备安全 30通信和操作管理 30#0046991 操作程序和职责 332 第三方服务交付管理 343 系统规划和验收 354 防范恶意和移动代码 375 备份 386 网络安全管理 397 介质处置 4#00469918 信息的交换 459 电子商务服务 47监视 5#0046991#0046991#0046991 访问控制 5#0046991#0046991#0046991.#0046991 访问控制的业务要求 52#0046991#0046991.2 用户访问管理 54#0046991#0046991.3 用户职责 56#0046991#0046991.4 网络访问控制 60#0046991#0046991.5 操作系统访问控制 63#0046991#0046991.6 应用和信息访问控制 64#0046991#0046991.7 移动计算和远程工作 66信息系统获取、开发和维护 66#0046991 信息系统的安全要求 672 应用中的正确处理 703 密码控制 724 系统文件的安全 745 开发和支持过程中的安全 766 技术脆弱性管理 78信息安全事件管理 78#0046991 报告信息安全事态和弱点 792 信息安全事件和改进的管理 82业务连续性管理 82#0046991 业务连续性管理的信息安全方面 86符合性 86#0046991 符合法律要求 892 符合安全策略和标准以及技术符合性 903 信息系统审核考虑 前 言 引 言 什么是信息安全？ 象其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关于信息系统和网络的安全的OECD指南）。 信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。 信息安全是保护信息免受各种威胁的损害，以确