安全管理机构及管理人员信息_信息安全管理人员的要求_零开始黑客教学
《信息安全管理人员的要求 》由会员分享,可在线阅读,更多相关《信息安全管理人员的要求 (9页珍藏版)》请在人人文库网上搜索。
1 / 9 信息安全管理人员的要求 一、 数据中心信息安全管理总体要求 1、信息安全管理架构与人员能力要求 息安全管理架构 当前管理组织架构基础上,建立信息安全管理委员会,涵盖信息安全管理、应急响应、审计、技术实施等不同职责,并保证职责清晰与分离,并形成文件。 员能力 具备标准化 信息安全管理体系内部审核员、家注册信息安全专家 )等相关 资质人员。 5 星级 少应具备一名合格的标准化信息安全管理内部审核员、一名标准化 主任审核员。 4 星级 少应至少具备一名合格的标准化信息安全管理内部审核员 2、信息安全管理体系文件要求,根据 务目标与当前实际情况,建立完善而分层次的 息安全管理体系及相应的文档,包含但不限于如下方面: 息安全管理体系方针文件 包括 息安全管理体系的范围,信息安全的目标框架、信息安全工作的总方向和原则,并考虑 务需求、国家法律法规的要求、客户以及合同要求。 险评估 2 / 9 内容包括如下流程:识别 务范围内的信息资产及其责任人 ;识别资产所面临的威胁 ;识别可能被威胁利用的脆弱点 ;识别资产保密性、完整性和可用性的丧失对 评估由主要威胁和脆弱点导致的 务安全破坏的现实可能性、对资产的影响和当前所实施的控制措施 ;对风险进行评级。
险处理 内容包括:与 理层确定接受风险的准则,确定可接受的风险级别等 ;建立可续的风险处理策略:采用适当的控制措施、接受风险、避免风险或转移风险 ;控制目标和控制措 施的选择和实施,需满足风险评估和风险处理过程中所识别的安全要求,并在满足法律法规、客户和合同要求的基础上达到最佳成本效益。 件与记录控制 明确文件制定、发布、批准、评审、更新的流程 ;确保文件的更改和现行修订状态的标识、版本控制、识别、访问控制有完善的流程 ;并对文件资料的传输、贮存和最终销毁明确做出规范。 记录控制内容包括:保留信息安全管理体系运行过程执行的记录和所有发生的与信息安全有关的重大安全事件的记录 ;记录的标识、贮存、保护、检索、保存期限和处置所需的控制措施应形成 文件并实施。 3 / 9 部审核 照计划的时间间隔进行内部 核,以确定信息安全管理的控制目标、控制措施、过程和程序符标准化标准和相关法律法规的要求并得到有效地实施和保持。五星级 至少每年 1 次对信息安全管理进行内部审核。四星级 至少每年 1 次对信息安全管理进行内部审核。 正与预防措施 立流程,以消除与信息安全管理要求不符合的原因及潜在原因,以防止其发生,并形成文件的纠正措施与预防措施程序无 制措施有效性的测 量 定义如何测量所选控制措施的有效性 ;规定如何使用这些测量措施,对控制措施的有效性进行测量 (或评估 )。
理评审 理层按计划的时间间隔评审内部信息安全管理体系,以确保其持续的适宜性、充分性和有效性,最终符合务要求。 五星级 理层应至少每年 1 次对 信息安全管理体系进行评审四星级 理层应至少每年 1 次对 用性声明 4 / 9 适用性声明必须至少包括以下 3 项内容: 选择的控制目标 和控制措施,及其选择的理由 ;当前 施的控制目标和控制措施 ;标准化附录 A 中任何控制目标和控制措施的删减,以及删减的正当性理由。 务连续性 过业务影响分析,确定 务中哪些是关键的业务进程,分出紧急先后次序 ; 确定可以导致业务中断的主要灾难和安全失效、确定它们的影响程度和恢复时间 ; 进行业务影响分析,确定恢复业务所需要的资源和成本,决定对哪些项目制作业务连续性计划 (灾难恢复计划 ( 它相关程序 另外,还应建立包括物理与环境安 全、信息设备管理、新设施管理、业务连续性管理、灾难恢复、人员管理、第三方和外包管理、信息资产管理、工作环境安全管理、介质处理与安全、系统开发与维护、法律符合性管理、文件及材料控制、安全事件处理等相关流程与制度。 二、信息安全管控要求 1、安全方针 信息安全方针文件与评审建立 息安全方针文件需得到管理层批准、发布并传达给所有员工和外部相关方。
至少每年一次或当重大变化发生时进行信息安全方针评审。 5 / 9 2、信息安全组织 部组织 息安全协调、职责与授权 信息安全管理委员会包含 所有的信息安全职责有明确成文的规定 ;对新信息处理设施,要有管理授权过程。 密协议 有员工须签署保密协议,保密内容涵盖 部敏感信息 ;保密协议条款每年至少评审一次。 威部门与利益相关团体的联系 与相关权威部门 (包括,公安部门、消防部门和监管部门 )建 立沟通管道 ;与安全专家组、专业协会等相关团体进行沟通。 立评审 参考 “ 信息安全管理体系要求 ” 第 5 和第 8 条关于管理评审、内部审核的要求,进行独立的评审。 审核员不能审核评审自己的工作 ;评审结果交管理层审阅。 方管理 部第三方的相关风险的识别 将外部第三方 (设备维护商、服务商、顾问、外包方临时人员、实习学生等 )对 息处理设施或信息纳入风6 / 9 险评估过程,考虑内容应包括:需要访问的信息处理设施、访问类型 (物理、逻辑、网络 )、涉及信息的价值和敏感性,及对业务运行的关键程度、访问控制等相关因素。 建立外部第三方信息安全管理相关管理制度与流程。 户有关的安全问题 针对客户信息资产的保护,根据合同以及相关法律、法规要求,进行恰当的保护。
理第三方协议中的安全问题 涉及访问、处理、交流 (或管理 ) 户的信息或信息处理设施的第三方协议,需涵盖所有相关的安全要求。 3、信息资产管理 产管理职责 产清单 与责任人 所有信息资产度进行识别,将所有重要资产都进行登记、建立清单文件并加以维护。 所有信息和信息处理设施相关重要资产需指定责任人。 产使用 指定信息与信息处理设施使用相关规则,形成了文件并加以实施。 息资产分类 7 / 9 产分类管理 根据信息资产对 务的价值、法律要求、敏感性和关键性进行分类,建立一个信息分类指南。 信息分类指南应涵盖外来的信息资产,尤其是来自客户的信息资产。 息的标记和处理 按照 采纳的分类指南建立和实施一组合适的信息标记和处理程序。 4、人力资源安全 这里的人员包括 员、承包方人员和第三方等相关人员。 息安全角色与职责 人员职责说明体现信息安全相关角色和要求。 景调查 人员任职前根据职责要求和岗位对信息安全的要求,采取必要的背景验证。 用的条款和条件 人员雇佣后,应签署必要的合同,明确雇佣的条件和条款,并包含信息安全 相关要求。 息安全意识、教育和培训 入职新员工培训应包含 息安全相关内容。 至少每年一次对人员进行信息安全意识培训。
8 / 9 全违纪处理 针对安全违规的人员,建立正式的纪律处理程序。 佣的终止与变更 清晰规定和分配雇用终止或雇用变更的职责 ;雇佣协议终止于变更时,及时收回相关信息资产,并调整或撤销相关访问控制权限。 5、物理与环境安全 全区域 界安全与出入口控 制 根据边界内资产的安全要求和风险评估的结果对 级管理,不同区域边界与出入口需建立卡控制的入口或有人管理的接待台。 入侵检测与报警系统覆盖所有门窗和出入口,并定期检测入侵检测系统的有效性。 机房大楼应有 724 小时的专业保安人员,出入大楼需登记或持有通行卡。 机房安全出口不少于两个,且要保持畅通,不可放置杂物。 5 星级 入记录至少保存 6 个月,视频监控至少保存 1 个月。 4 星级 入记录至少保存 6 个月,视频监控至少 保存 1 个月。 9 / 9 房环境安全 记录访问者进入和离开 日期和时间,所有的访问者要需要经过授权。 建立访客控制程序,对服务商等外部人员实现有效管控。 所有员工、服务商人员和第三方人员以及所有访问者进入 佩带某种形式的可视标识,已实现明显的区分。外部人员进入 ,需全程监控。 范外部威胁和环境威胁 火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为灾难引起的破坏建立足够的防范控制措施 ;危险或易燃材料 应在远离 放 ;备份设备和备份介质的存放地点应与 过 10 公里的距离。 机房内应严格执行消防安全规定,所有门窗、地板、窗帘、饰物、桌椅、柜子等材料、设施都应采用防火材料。
~
网络安全学习,我们一起交流
~
478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
