信息安全組織解析組織分為內(nèi)部組織和外部組織兩個(gè)大部分。

1.在組織內(nèi)部應(yīng)該通過組織結(jié)構(gòu)和組織活動(dòng)來支持信息安全，首先應(yīng)建立管理框架，啟動(dòng)和控制組織范圍內(nèi)的信息安全的實(shí)施，管理者應(yīng)批準(zhǔn)信息安全方針、指派安全角色以及協(xié)調(diào)和評(píng)審整個(gè)組織安全的實(shí)施。

若需要在組織內(nèi)建立專家信息安全建議庫(kù)，并發(fā)展與外部安全專家或者組織的聯(lián)系，以便跟上行業(yè)的趨勢(shì)、跟蹤標(biāo)準(zhǔn)和評(píng)估方法，并且處理信息安全事件時(shí)，提供合適的聯(lián)絡(luò)點(diǎn)。組織的外部的安全問題也必須加以考慮，組織的信息處理設(shè)施和信息資產(chǎn)的安全不應(yīng)該由于外部的產(chǎn)品或者服務(wù)而降低，任何外部對(duì)這種信息處理設(shè)施的訪問，對(duì)信息資7的處理和通信都應(yīng)該給以控制。

對(duì)于外部各方的信息安全控制，以防止外部方隊(duì)組織信息處理設(shè)施進(jìn)行訪問，對(duì)信息資產(chǎn)進(jìn)行處理以及通信過程中的安全事件的發(fā)生。

2. 物理和環(huán)境安全解析物理和環(huán)境的安全控制不僅是信息安全的需要，也是傳統(tǒng)安全的要求。-個(gè)組織無論是否考慮信息安全問面，都有物理和環(huán)境安全做好。

3. 設(shè)備的環(huán)境安全部分涉及:安全邊界的定義，入口的控制，辦公室、房間和設(shè)施一 直到外部環(huán)境威脅的安全保護(hù)，還包括工作的安全區(qū)域和公共訪問和交接區(qū)。

4. 設(shè)備安全部分從設(shè)備購(gòu)置后的安置和保護(hù)，到支持性設(shè)施的保護(hù)，再到電纜投入運(yùn)行，一直到最后的處置和再利用。之間包括了設(shè)備的正確維護(hù)、移動(dòng)，以及場(chǎng)所外如何保證安全的問題。6.通信和操作管理解析

5. 這里的“通信”是廣義的通信的概念，主要是指信息是交換、溝通和交流等活動(dòng)。操作是指對(duì)信息處理設(shè)備和設(shè)施、信息系統(tǒng)、軟件等的操作。

6. 為了保證對(duì)所有的有需求的用戶可用,與信息處理和通信設(shè)施相關(guān)的系統(tǒng)活動(dòng)要具備形成文件的程序，例如計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)程序、備份、設(shè)備維護(hù)、介質(zhì)處理、計(jì)算機(jī)機(jī)房、郵件處置管理和物理安全等。要將操作程序和系統(tǒng)活動(dòng)的文件化程序看做正式的文件，其變更由管理者授權(quán)。

7. 操作程序文件和信息系統(tǒng)的變更-定要保持- 致。 而信息系統(tǒng)的各種操作可能比較繁雜，技術(shù)上可行時(shí)，信息系統(tǒng)應(yīng)該使用相同的程序、工具和實(shí)用程序進(jìn)行-致的管理。

8. 對(duì)于信息處理設(shè)施、操作系統(tǒng)和應(yīng)用軟件等變更應(yīng)該由嚴(yán)格的控制。只有規(guī)范了變更程序，才能保證操作程序文件和實(shí)際操作的一致性，更重要的是這些變更可能會(huì)引入新的風(fēng)險(xiǎn)，必須有批準(zhǔn)、記錄、 備份等才能保證變

9. 更的安全性。

10. 在分配職責(zé)時(shí)，應(yīng)該盡量讓權(quán)限最小化，以盡量降低未授權(quán)或無意識(shí)的修改或者不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。7.訪問控制

11. 訪問控制的目標(biāo)是隊(duì)長(zhǎng)對(duì)信息的訪問，目前已經(jīng)發(fā)展成為保護(hù)信息安全的最 重要的手段之-。對(duì)信息信息處理設(shè)施和業(yè)務(wù)過程的訪問應(yīng)在業(yè)務(wù)和安全要求的基礎(chǔ)上予以控制。因此，訪問控制策略必須基于業(yè)務(wù)和訪問的安全要求，訪問控制規(guī)范要考慮到信息傳播授權(quán)的策略。在訪問策略中應(yīng)該清晰地?cái)⑹雒總€(gè)用戶或者-組用戶訪問控制規(guī)則和權(quán)力。訪問控制既是邏輯的也是物理的，應(yīng)該引起考慮。

12. 訪問控制策略要以用戶的訪問管理為基礎(chǔ)，首先應(yīng)有正式的用戶注冊(cè)和注銷程序。未授權(quán)或者撤銷所有信息系統(tǒng)及服務(wù)的訪問。用戶注冊(cè)是用戶管理生命周期的開始，注冊(cè)必須使用唯一的ID與用戶行為聯(lián)系起來。

13. 口令的分配和控制必須有正式的管理控制過程?？诹畹氖褂靡脖仨毰囵B(yǎng)良好的用戶習(xí)慣。 管理者必須對(duì)用戶的訪問進(jìn)行定期審查，某些用戶可能從一個(gè)部門掉到另一個(gè)部門，這時(shí)候必須重新分配用戶的訪問權(quán)。

信息系統(tǒng)獲取

開發(fā)和維護(hù)解析本章主要對(duì)信息系統(tǒng)購(gòu)置、開發(fā)建設(shè)以及系統(tǒng)運(yùn)行維護(hù)過程中的信息安全有關(guān)方面提出了詳細(xì)的控制目標(biāo)和控制措施。

安全應(yīng)該貫穿信息系統(tǒng)的生命周期，從需求階段必須對(duì)安全提出要求。組織的大部分信息系統(tǒng)可能都是買的，那么購(gòu)買產(chǎn)品之后就進(jìn)行常規(guī)的測(cè)試和需求處理。與供貨商簽的合同上應(yīng)該確切地標(biāo)明安全需要。

應(yīng)用中的正確處理的目的是防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤.遺失、 未授權(quán)的修改以及誤用。其中三個(gè)方面的內(nèi)容:輸入與輸出數(shù)據(jù)的驗(yàn)證和內(nèi)部處理的控制，與規(guī)范的程序編碼要求是完全一致的。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202306/ccaa_52890.html