ISO27001信息安全管理体系三级文件汇编(策略文件).docx
《ISO27001信息安全管理体系三级文件汇编(策略文件).docx》由会员分享,可在线阅读,更多相关《ISO27001信息安全管理体系三级文件汇编(策略文件).docx(31页珍藏版)》请在第一文库网上搜索。
1、IS027001信息安全管理体系三级文件一策略文件文件清单序号文件名1信息备份安全策略2信息安全监控策略3信息资源保密策略4变更管理安全策略5口令控制策略6可移动代码防范策略7清洁桌面和清屏策略8物理访问策略9特权访问管理策略10电子邮件策略11病毒防范策略12第三方访问策略13网络访问策略14网络配置安全策略15设备及布缆安全策略16访问控制策略17运输中物理介质安全策略18雇员访问策略19密钥管理策略20便携式计算机安全策略21远程工作策略22即时通软件使用策略23服务器托管策略24信息交换策略25计算机安全策略信息备份安全策略发布部门信息安全小组生效时间2021-9-1批准人文件编号IS
2、MS-C-01介绍电子备份是一项必需的业务要求,能使数据和应用程序在发生意想不到的事件时得以恢复,这些事件包括:自然灾害、系统磁盘故障、间谍活动、数据输入错误或系统操作错误等。目的该策略的目的是设置电子信息的备份和存储职责。适用范围该策略适用于组织中负责信息资源安装和支持的所有人员,以及负责信息资源安全的人员和数据所有者。术语定义略信息备份安全策略 信息备份周期和方式必须依据信息的重要性以及数据所有者确定的可接受风险确定; 场所外备份存储区的物理访问控制的实施必须满足并超过原系统的物理访问控制,另外备份介质必须依据信息存储的最高安全等级进行保护; 必须建立并实施对电子信息备份成功与否的验证过程
3、; 为了容易识别介质和/或关联系统,备份介质至少应该被标注下列信息:令系统名;令创建日期;令敏感度分级以相应的电子记录保持法规为基础;令包含的信息。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略信息安全监控策略发布部门信息安全小组生效时间2021-9-1批准人文件编号TSMS-C-02介绍信息安全监控是确保安全实践和控制被恰当执行和有效实施的一种方法,监控活动包括对下列内容的评审:令防火墙日志令用户帐户日志令网络扫描FI志令应用程序FI
4、志令数据备份和恢复日志其他类型的志以及出错口志.目的该策略是为了确保信息资源控制措施被适当、有效地实施并且不被忽视。安全监控的其中一个好处就是较早的发现破坏行为或新的薄弱点。这样会有助于在破坏发生前阻止破坏行为或薄弱点,最起码能够减小潜在的影响。其他好处包括:审核符合性、服务层监控、业绩测量、划定责任以及容量策划。适用范围适用于负责信息资源安全、现有信息资源的操作以及负责信息资源安全的所有人员。术语定义略信息安全监控策略 自动检测工具会对检测到的破坏行为或薄弱点利用进行实时通知。在可能的地方可以开发安全底线和工具,监控:令互联网通信令电子邮件通信令 局域网通信、协议以及设备清单令操作系统安全参
5、数 在检查破坏行为以及薄弱点被利用情况时可以使用下列文件:令防火墙日志令用户帐户日志网络扫描口志令系统出错日志令应用程序日志令数据备份和恢复日志 下列内容应该由负责的人员每年至少检查一次:令 口令的难猜测程度令未经授权的网络设备令 未经授权的个人网络服务器未受保护的共享设备未经授权使用的调制解调器令操作系统和软件许可 发现的任何问题都应该向总经理办公室报告,进行进一步的调查。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会。另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略信息资源保密策略发布部门信息
6、安全小组生效时间2021-9-1批准人文件编号ISMS-C-03介绍保密策略是用于为信息资源用户建立限制和期望的机制。内部用户不期望信息资源保密。外部用户期望信息资源拥有完整的保密性,除了在发生可疑的破坏行为的情况下。目的该策略的目的是明确的沟通信息资源用户的信息服务保密期望。适用范围该策略适用于使用信息资源的所有人员。术语定义略信息资源保密策略 在公司内部保存和控制的电子文件应该公开,并且可以被信息服务人员访问; 为了管理系统并加强安全,信息安全小组可以记录、评审,同时也可以使用其信息资源系统中存储和传递的任何信息。 用户必须向适当的管理者报告公司内部计算机安全的任何薄弱点,可能的误用事故或
7、者相应授权协议的违背情况; 在未经授权或获得明确同意的情况下,用户不可以尝试访问公司内部系统中包含的任何数据或程序。惩罚违背该策略可能导致:员工以及临时工被解雇、合同方或顾问的雇佣关系终止、实习人员和志愿者失去继续工作的机会、学生被开除;另外,这些人员还可能遭受信息资源访问权以及公民权的损失,甚至遭到法律起诉。引用标准略变更管理安全策略发布部门信息安全小组生效时间2021-9-1批准人文件编号ISMS-C-04介绍信息资源基础设施正在逐步扩大并且越来越复杂。越来越多的人依赖网络、更多的客户服务机构、未升级和扩展的管理系统以及更多应用程序。由于信息资源基础设施之间的互相依赖程度越来越高,因此有必
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 信息 安全管理 体系 三级 文件 汇编 策略