信息安全组织解析组织分为内部组织和外部组织两个大部分。
1.在组织内部应该通过组织结构和组织活动来支持信息安全,首先应建立管理框架,启动和控制组织范围内的信息安全的实施,管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。
若需要在组织内建立专家信息安全建议库,并发展与外部安全专家或者组织的联系,以便跟上行业的趋势、跟踪标准和评估方法,并且处理信息安全事件时,提供合适的联络点。组织的外部的安全问题也必须加以考虑,组织的信息处理设施和信息资产的安全不应该由于外部的产品或者服务而降低,任何外部对这种信息处理设施的访问,对信息资7的处理和通信都应该给以控制。
对于外部各方的信息安全控制,以防止外部方队组织信息处理设施进行访问,对信息资产进行处理以及通信过程中的安全事件的发生。
2. 物理和环境安全解析物理和环境的安全控制不仅是信息安全的需要,也是传统安全的要求。-个组织无论是否考虑信息安全问面,都有物理和环境安全做好。
3. 设备的环境安全部分涉及:安全边界的定义,入口的控制,办公室、房间和设施一 直到外部环境威胁的安全保护,还包括工作的安全区域和公共访问和交接区。
4. 设备安全部分从设备购置后的安置和保护,到支持性设施的保护,再到电缆投入运行,一直到最后的处置和再利用。之间包括了设备的正确维护、移动,以及场所外如何保证安全的问题。6.通信和操作管理解析
5. 这里的“通信”是广义的通信的概念,主要是指信息是交换、沟通和交流等活动。操作是指对信息处理设备和设施、信息系统、软件等的操作。
6. 为了保证对所有的有需求的用户可用,与信息处理和通信设施相关的系统活动要具备形成文件的程序,例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。要将操作程序和系統活动的文件化程序看做正式的文件,其变更由管理者授权。
7. 操作程序文件和信息系统的变更-定要保持- 致。 而信息系统的各种操作可能比较繁杂,技术上可行时,信息系统应该使用相同的程序、工具和实用程序进行-致的管理。
8. 对于信息处理设施、操作系统和应用软件等变更应该由严格的控制。只有规范了变更程序,才能保证操作程序文件和实际操作的一致性,更重要的是这些变更可能会引入新的风险,必须有批准、记录、 备份等才能保证变
9. 更的安全性。
10. 在分配职责时,应该尽量让权限最小化,以尽量降低未授权或无意识的修改或者不当使用组织资产的机会。7.访问控制
11. 访问控制的目标是队长对信息的访问,目前已经发展成为保护信息安全的最 重要的手段之-。对信息信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制。因此,访问控制策略必须基于业务和访问的安全要求,访问控制规范要考虑到信息传播授权的策略。在访问策略中应该清晰地叙述每个用户或者-组用户访问控制规则和权力。访问控制既是逻辑的也是物理的,应该引起考虑。
12. 访问控制策略要以用户的访问管理为基础,首先应有正式的用户注册和注销程序。未授权或者撤销所有信息系统及服务的访问。用户注册是用户管理生命周期的开始,注册必须使用唯一的ID与用户行为联系起来。
13. 口令的分配和控制必须有正式的管理控制过程。口令的使用也必须培养良好的用户习惯。 管理者必须对用户的访问进行定期审查,某些用户可能从一个部门掉到另一个部门,这时候必须重新分配用户的访问权。
信息系统获取
开发和维护解析本章主要对信息系统购置、开发建设以及系统运行维护过程中的信息安全有关方面提出了详细的控制目标和控制措施。
安全应该贯穿信息系统的生命周期,从需求阶段必须对安全提出要求。组织的大部分信息系统可能都是买的,那么购买产品之后就进行常规的测试和需求处理。与供货商签的合同上应该确切地标明安全需要。
应用中的正确处理的目的是防止应用系统中的信息的错误.遗失、 未授权的修改以及误用。其中三个方面的内容:输入与输出数据的验证和内部处理的控制,与规范的程序编码要求是完全一致的。
