信息安全組織解析組織分為內(nèi)部組織和外部組織兩個(gè)大部分。

1.在組織內(nèi)部應(yīng)該通過(guò)組織結(jié)構(gòu)和組織活動(dòng)來(lái)支持信息安全，首先應(yīng)建立管理框架，啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施，管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。

若需要在組織內(nèi)建立專家信息安全建議庫(kù)，并發(fā)展與外部安全專家或者組織的聯(lián)系，以便跟上行業(yè)的趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法，并且處理信息安全事件時(shí)，提供合適的聯(lián)絡(luò)點(diǎn)。組織的外部的安全問(wèn)題也必須加以考慮，組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)該由于外部的產(chǎn)品或者服務(wù)而降低，任何外部對(duì)這種信息處理設(shè)施的訪問(wèn)，對(duì)信息資7的處理和通信都應(yīng)該給以控制。

對(duì)于外部各方的信息安全控制，以防止外部方隊(duì)組織信息處理設(shè)施進(jìn)行訪問(wèn)，對(duì)信息資產(chǎn)進(jìn)行處理以及通信過(guò)程中的安全事件的發(fā)生。

2.?物理和環(huán)境安全解析物理和環(huán)境的安全控制不僅是信息安全的需要，也是傳統(tǒng)安全的要求。-個(gè)組織無(wú)論是否考慮信息安全問(wèn)面，都有物理和環(huán)境安全做好。

3.?設(shè)備的環(huán)境安全部分涉及:安全邊界的定義，入口的控制，辦公室、房間和設(shè)施一?直到外部環(huán)境威脅的安全保護(hù)，還包括工作的安全區(qū)域和公共訪問(wèn)和交接區(qū)。

4.?設(shè)備安全部分從設(shè)備購(gòu)置后的安置和保護(hù)，到支持性設(shè)施的保護(hù)，再到電纜投入運(yùn)行，一直到最后的處置和再利用。之間包括了設(shè)備的正確維護(hù)、移動(dòng)，以及場(chǎng)所外如何保證安全的問(wèn)題。6.通信和操作管理解析

5.?這里的“通信”是廣義的通信的概念，主要是指信息是交換、溝通和交流等活動(dòng)。操作是指對(duì)信息處理設(shè)備和設(shè)施、信息系統(tǒng)、軟件等的操作。

6.?為了保證對(duì)所有的有需求的用戶可用,與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)要具備形成文件的程序，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房、郵件處置管理和物理安全等。要將操作程序和系統(tǒng)活動(dòng)的文件化程序看做正式的文件，其變更由管理者授權(quán)。

7.?操作程序文件和信息系統(tǒng)的變更-定要保持-?致。?而信息系統(tǒng)的各種操作可能比較繁雜，技術(shù)上可行時(shí)，信息系統(tǒng)應(yīng)該使用相同的程序、工具和實(shí)用程序進(jìn)行-致的管理。

8.?對(duì)于信息處理設(shè)施、操作系統(tǒng)和應(yīng)用軟件等變更應(yīng)該由嚴(yán)格的控制。只有規(guī)范了變更程序，才能保證操作程序文件和實(shí)際操作的一致性，更重要的是這些變更可能會(huì)引入新的風(fēng)險(xiǎn)，必須有批準(zhǔn)、記錄、?備份等才能保證變

9.?更的安全性。

10.?在分配職責(zé)時(shí)，應(yīng)該盡量讓權(quán)限最小化，以盡量降低未授權(quán)或無(wú)意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。7.訪問(wèn)控制

11.?訪問(wèn)控制的目標(biāo)是隊(duì)長(zhǎng)對(duì)信息的訪問(wèn)，目前已經(jīng)發(fā)展成為保護(hù)信息安全的最?重要的手段之-。對(duì)信息信息處理設(shè)施和業(yè)務(wù)過(guò)程的訪問(wèn)應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上予以控制。因此，訪問(wèn)控制策略必須基于業(yè)務(wù)和訪問(wèn)的安全要求，訪問(wèn)控制規(guī)范要考慮到信息傳播授權(quán)的策略。在訪問(wèn)策略中應(yīng)該清晰地?cái)⑹雒總€(gè)用戶或者-組用戶訪問(wèn)控制規(guī)則和權(quán)力。訪問(wèn)控制既是邏輯的也是物理的，應(yīng)該引起考慮。

12.?訪問(wèn)控制策略要以用戶的訪問(wèn)管理為基礎(chǔ)，首先應(yīng)有正式的用戶注冊(cè)和注銷程序。未授權(quán)或者撤銷所有信息系統(tǒng)及服務(wù)的訪問(wèn)。用戶注冊(cè)是用戶管理生命周期的開始，注冊(cè)必須使用唯一的ID與用戶行為聯(lián)系起來(lái)。

13.?口令的分配和控制必須有正式的管理控制過(guò)程。口令的使用也必須培養(yǎng)良好的用戶習(xí)慣。?管理者必須對(duì)用戶的訪問(wèn)進(jìn)行定期審查，某些用戶可能從一個(gè)部門掉到另一個(gè)部門，這時(shí)候必須重新分配用戶的訪問(wèn)權(quán)。

信息系統(tǒng)獲取

開發(fā)和維護(hù)解析本章主要對(duì)信息系統(tǒng)購(gòu)置、開發(fā)建設(shè)以及系統(tǒng)運(yùn)行維護(hù)過(guò)程中的信息安全有關(guān)方面提出了詳細(xì)的控制目標(biāo)和控制措施。

安全應(yīng)該貫穿信息系統(tǒng)的生命周期，從需求階段必須對(duì)安全提出要求。組織的大部分信息系統(tǒng)可能都是買的，那么購(gòu)買產(chǎn)品之后就進(jìn)行常規(guī)的測(cè)試和需求處理。與供貨商簽的合同上應(yīng)該確切地標(biāo)明安全需要。

應(yīng)用中的正確處理的目的是防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤.遺失、?未授權(quán)的修改以及誤用。其中三個(gè)方面的內(nèi)容:輸入與輸出數(shù)據(jù)的驗(yàn)證和內(nèi)部處理的控制，與規(guī)范的程序編碼要求是完全一致的。

華菱咨詢成立至今，我們的咨詢師團(tuán)隊(duì)已經(jīng)為5000多家企事業(yè)單位提供各項(xiàng)咨詢及培訓(xùn)服務(wù)，并獲得了客戶及業(yè)界的一致好評(píng)，歡迎您選擇、體驗(yàn)華菱咨詢的優(yōu)質(zhì)服務(wù)。

華菱咨詢服務(wù)將通過(guò)變革的思想，快速的實(shí)施及降低風(fēng)險(xiǎn)來(lái)為客戶提供增值服務(wù)。幫助客戶構(gòu)想、開拓、實(shí)施及運(yùn)營(yíng)關(guān)鍵性業(yè)務(wù)。

版權(quán)聲明：

1.本公眾號(hào)所發(fā)布內(nèi)容，凡未注明“原創(chuàng)”等字樣的均來(lái)源于網(wǎng)絡(luò)善意轉(zhuǎn)載，版權(quán)歸原作者所有！

2.除本平臺(tái)獨(dú)家和原創(chuàng)，其他內(nèi)容非本平臺(tái)立場(chǎng)，不構(gòu)成投資建議。

3.如千辛萬(wàn)苦未找到原作者或原始出處，請(qǐng)理解并聯(lián)系我們。

4.文中部分圖片源于網(wǎng)絡(luò)。

5.本公眾號(hào)發(fā)布此文出于傳播消息之目的，如有侵權(quán)，聯(lián)系刪除。

華菱咨詢深圳官網(wǎng)：http://www.hlemc-sz.com/

華菱咨詢蘇州官網(wǎng)：http://www.hlemc.com/

若還有其他問(wèn)題，可直接在平臺(tái)私信聯(lián)系我們，我們會(huì)第一時(shí)間與您取得聯(lián)系,感謝支持。