中小企業(yè)信息安全管理體系最佳實踐

出版時間:2010-8  出版社:中國標(biāo)準(zhǔn)出版社  作者:劉小菌 編  頁數(shù):166  

前言

隨著信息技術(shù)的高速發(fā)展,特別是Internet的問世及網(wǎng)上交易的啟用,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)絡(luò)釣魚、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營管理、業(yè)務(wù)發(fā)展甚至生存帶來嚴重的影響。在我們周圍。信息安全威脅無處不在。有人認為,信息安全"不就是安裝殺毒軟件,在電腦上設(shè)設(shè)密碼嗎?"如果我們這樣想,就和全世界959/6的人一樣,都錯估、低估了信息對公司的致命影響。下面看看幾個日常工作中我們可能都會碰到但往往被忽視的例子:打印紙雙面打印——好習(xí)慣換取的大損失。節(jié)約用紙是很多公司的好習(xí)慣,公司往往提倡紙張要充分利用,要盡量使用"廢紙"的背面進行打印。其實,將擁有這種習(xí)慣公司的"廢紙"收集在一起,我們會發(fā)現(xiàn)打印、復(fù)印造成的廢紙有時候包含著公司的機密。白板一一公司研發(fā)信息泄露。公司在研發(fā)過程中,研發(fā)小組往往要經(jīng)過多輪的研究、分析和評審。研發(fā)小組討論的時候會在白板上列出一些產(chǎn)品的核心參數(shù)、使用的模型或方法等。在離開會議室的時候往往沒有將白板上的信息擦掉。"有心人"非常輕易地就窺探到產(chǎn)品的機密。電腦易手一新員工真正的入職導(dǎo)師。很多員工可能都有過這樣的經(jīng)歷:如果自己新到一家公司工作,在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似"窺探"的狀態(tài)下,公司里曾經(jīng)發(fā)生過的事情"盡收眼底",例如公司以往的客戶記錄、獎懲制度等。

內(nèi)容概要

本書以范例的形式,借助一個虛擬組織——創(chuàng)新科技發(fā)展有限公司,詳細闡述了中小企業(yè)如何在組織內(nèi)建立和有效實施信息安全管理體系,為中小企業(yè)建立和實施信息安全管理體系提供一個有益的思路及最佳實踐路徑。主要內(nèi)容包括:ISMS的建立及實施、風(fēng)險評估、ISMS管理手冊、適用性聲明、信息安全策略以及ISMS常見管理流程等。    本書對已建立和即將建立信息安全管理體系的中小企業(yè)極具參考和借鑒價值,適用于企業(yè)信息安全管理人員、實施人員以及信息安全研究、咨詢、認證及測試人員。

書籍目錄

第1章  實施企業(yè)背景  1.1  公司簡介  1.2  組織結(jié)構(gòu)及各部門職責(zé)  1.3  主要設(shè)備及拓撲結(jié)構(gòu)  1.4  公司物理環(huán)境  1.5  安全要求  1.6  ISMS實施需求第2章  ISMS的建立及實施  2.1  建立及實施ISMS主要過程  2.2  各過程說明第3章  風(fēng)險評估  3.1  相關(guān)概念  3.2  要素關(guān)系  3.3  實施流程  3.4  風(fēng)險評估準(zhǔn)備  3.5  資產(chǎn)識別  3.6  威脅識別  3.7  脆弱性識別及賦值  3.8  控制措施識別  3.9  風(fēng)險分析  3.10  風(fēng)險處理  3.11  風(fēng)險評估報告第4章  ISMS管理手冊  4.1  制定ISMS手冊的必要性  4.2  確定ISMS的范圍  4.3  定義ISMS的方針和目標(biāo)  4.4  手冊內(nèi)容第5章  適用性聲明(SoA)  5.1  概述  5.2  安全方針  5.3  信息安全組織  5.4  資產(chǎn)管理  5.5  人力資源安全  5.6  實物與環(huán)境安全  5.7  通信和操作管理  5.8  訪問控制  5.9  信息系統(tǒng)獲取、開發(fā)和維護  5.10  信息安全事件管理  5.11  業(yè)務(wù)持續(xù)性管理  5.12  符合性第6章  信息安全策略  6.1  概述  6.2  備份策略(A.10.5.1)  6.3  信息交換策略(A.10.8.1)  6.4  業(yè)務(wù)信息系統(tǒng)使用策略(A.10.8.5)  6.5  訪問控制策略(A.11.1.1)  6.6  清除桌面及屏幕策略(A.11.3.3)  6.7  網(wǎng)絡(luò)服務(wù)使用策略(A.11.4.1)  6.8  移動計算和通訊策略(A.11.7.1)  6.9  遠程工作策略(A.11.7.2)  6.10  加密控制策略(A.12.3.1)第7章  ISMS常見管理流程  7.1  體系建立及持續(xù)改進涉及流程  7.2  資產(chǎn)管理涉及流程  7.3  人力資源涉及管理流程  7.4  物理和環(huán)境安全涉及管理流程  7.5  通信與操作安全涉及管理流程  7.6  訪問控制涉及管理流程  7.7  信息系統(tǒng)的獲取、開發(fā)和維護管理程序  7.8  信息安全事件管理涉及流程  7.9  業(yè)務(wù)持續(xù)性管理程序  7.10  法律法規(guī)、相關(guān)方要求識別與符合性評估管理程序參考文獻

章節(jié)摘錄

4.1 制定ISMS手冊的必要性ISMS管理手冊存在的兩大理由:(1)是公司的正式聲明,表明其如何開展與實現(xiàn)及保證信息安全有關(guān)的業(yè)務(wù)。從這個角度來說,管理手冊是供外部機構(gòu)如預(yù)期的客戶或批準(zhǔn)機構(gòu)使用的。(2)是公司職員及工人內(nèi)部使用的一套與信息安全事宜有關(guān)的管理方面的文件化指令。手冊必須是具有公司權(quán)威的文件,也是管理控制文件。它表述了作為最終對公司業(yè)績負責(zé)的公司領(lǐng)導(dǎo),即首席執(zhí)行官、總經(jīng)理、主管或現(xiàn)場經(jīng)理的指令。如果高層領(lǐng)導(dǎo)相信一個正式的信息安全管理體系是公司管理控制體系的關(guān)鍵所在,則手冊會被當(dāng)作證明公司高級管理者密切關(guān)注并一致批準(zhǔn)的重要文件。當(dāng)然,如果這些高級管理者普遍不支持建立一個正式的質(zhì)量管理體系,則手冊只是一個無意義的文件。4.2 確定ISMS的范圍確定ISMS的范圍對建立ISMS非常重要,ISMS范圍是整個ISMS要管控的邊界,企業(yè)在建立ISMS時,首先就要確定管理范圍。企業(yè)需要根據(jù)自己的實際情況,根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性,確定ISMS的范圍和邊界。

編輯推薦

《中小企業(yè)信息安全管理體系最佳實踐》是由中國標(biāo)準(zhǔn)出版社出版的。

圖書封面

評論、評分、閱讀與下載


    中小企業(yè)信息安全管理體系最佳實踐 PDF格式下載


用戶評論 (總計3條)

 
 

  •   體系模板很多,值得參考
  •   簡明易懂,沒有太深奧原理,長知識!
  •   yy
 

250萬本中文圖書簡介、評論、評分,PDF格式免費下載。 第一圖書網(wǎng) 手機版

京ICP備13047387號-7