本文详细介绍了信息安全管理的各个控制目标和措施,包括操作规程、恶意代码防范、备份、日志记录、操作软件控制、技术漏洞管理、网络安全、信息交换、安全要求、开发支持过程中的安全、测试数据保护、供应商关系中的信息安全、服务交付管理、事件管理和改进、信息安全连续性、冗余以及符合法律和合同规定等,旨在确保信息处理设施的安全性和完整性。
操作规程和职责
控制目标:确保正确、安全地操作信息处理设施
控制措施:文件化的操作规程变更管理、容量管理、开发、测试和运行设施分离
恶意代码防范
控制目标:保护信息和信息处理设施以防恶意代码
控制措施:控制恶意代码
备份
控制目标:防止数据丢失
控制措施:信息备份
日志记录
控制目标:记录事件并生成证据
控制措施:事件日志、日志信息的保护、管理员和操作员日志、时钟同步
操作软件控制
控制目标:确保操作系统的完整性
控制措施:操作系统软件的安装
技术漏洞管理
控制目标:防止对技术漏洞的利用
控制措施:技术脆弱性管理、软件安装限制
信息系统审计的考虑
控制目标:极小化审计行为对业务系统带来的影响
控制措施:信息系统审计控制
网络安全管理
控制目标:确保网络中信息的支持性基础设施的安全性
控制措施:网络控制、网络服务安全、网络隔离
信息的交换
控制目标:保持组织内以及与组织外信息交换的安全
控制措施:信息交换策略和规程、信息交换协议、电子消息、保密或不披露协议
信息系统的安全要求
控制目标:确保信息安全是信息系统生命周期中的一个有机组成部分。这同样包含了在公共网络上提供服务的信息系统的要求
控制措施:安全需求分析和说明、共网络上的安全应用服务、应用服务交换的保护
开发和支持过程中的安全
控制目标:确保信息系统开发的生命周期中设计和实
最低0.47元/天 解锁文章
4699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
