中小企業(yè)信息安全管理體系最佳實(shí)踐

前言

隨著信息技術(shù)的高速發(fā)展，特別是Internet的問(wèn)世及網(wǎng)上交易的啟用，許多信息安全的問(wèn)題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)絡(luò)釣魚(yú)、網(wǎng)頁(yè)改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營(yíng)管理、業(yè)務(wù)發(fā)展甚至生存帶來(lái)嚴(yán)重的影響。在我們周圍。信息安全威脅無(wú)處不在。有人認(rèn)為，信息安全"不就是安裝殺毒軟件，在電腦上設(shè)設(shè)密碼嗎？"如果我們這樣想，就和全世界959／6的人一樣，都錯(cuò)估、低估了信息對(duì)公司的致命影響。下面看看幾個(gè)日常工作中我們可能都會(huì)碰到但往往被忽視的例子：打印紙雙面打印——好習(xí)慣換取的大損失。節(jié)約用紙是很多公司的好習(xí)慣，公司往往提倡紙張要充分利用，要盡量使用"廢紙"的背面進(jìn)行打印。其實(shí)，將擁有這種習(xí)慣公司的"廢紙"收集在一起，我們會(huì)發(fā)現(xiàn)打印、復(fù)印造成的廢紙有時(shí)候包含著公司的機(jī)密。白板一一公司研發(fā)信息泄露。公司在研發(fā)過(guò)程中，研發(fā)小組往往要經(jīng)過(guò)多輪的研究、分析和評(píng)審。研發(fā)小組討論的時(shí)候會(huì)在白板上列出一些產(chǎn)品的核心參數(shù)、使用的模型或方法等。在離開(kāi)會(huì)議室的時(shí)候往往沒(méi)有將白板上的信息擦掉。"有心人"非常輕易地就窺探到產(chǎn)品的機(jī)密。電腦易手一新員工真正的入職導(dǎo)師。很多員工可能都有過(guò)這樣的經(jīng)歷：如果自己新到一家公司工作，在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似"窺探"的狀態(tài)下，公司里曾經(jīng)發(fā)生過(guò)的事情"盡收眼底"，例如公司以往的客戶記錄、獎(jiǎng)懲制度等。

內(nèi)容概要

本書(shū)以范例的形式，借助一個(gè)虛擬組織——?jiǎng)?chuàng)新科技發(fā)展有限公司，詳細(xì)闡述了中小企業(yè)如何在組織內(nèi)建立和有效實(shí)施信息安全管理體系，為中小企業(yè)建立和實(shí)施信息安全管理體系提供一個(gè)有益的思路及最佳實(shí)踐路徑。主要內(nèi)容包括：ISMS的建立及實(shí)施、風(fēng)險(xiǎn)評(píng)估、ISMS管理手冊(cè)、適用性聲明、信息安全策略以及ISMS常見(jiàn)管理流程等。    本書(shū)對(duì)已建立和即將建立信息安全管理體系的中小企業(yè)極具參考和借鑒價(jià)值，適用于企業(yè)信息安全管理人員、實(shí)施人員以及信息安全研究、咨詢、認(rèn)證及測(cè)試人員。

書(shū)籍目錄

第1章  實(shí)施企業(yè)背景  1.1  公司簡(jiǎn)介  1.2  組織結(jié)構(gòu)及各部門職責(zé)  1.3  主要設(shè)備及拓?fù)浣Y(jié)構(gòu)  1.4  公司物理環(huán)境  1.5  安全要求  1.6  ISMS實(shí)施需求第2章  ISMS的建立及實(shí)施  2.1  建立及實(shí)施ISMS主要過(guò)程  2.2  各過(guò)程說(shuō)明第3章  風(fēng)險(xiǎn)評(píng)估  3.1  相關(guān)概念  3.2  要素關(guān)系  3.3  實(shí)施流程  3.4  風(fēng)險(xiǎn)評(píng)估準(zhǔn)備  3.5  資產(chǎn)識(shí)別  3.6  威脅識(shí)別  3.7  脆弱性識(shí)別及賦值  3.8  控制措施識(shí)別  3.9  風(fēng)險(xiǎn)分析  3.10  風(fēng)險(xiǎn)處理  3.11  風(fēng)險(xiǎn)評(píng)估報(bào)告第4章  ISMS管理手冊(cè)  4.1  制定ISMS手冊(cè)的必要性  4.2  確定ISMS的范圍  4.3  定義ISMS的方針和目標(biāo)  4.4  手冊(cè)內(nèi)容第5章  適用性聲明(SoA)  5.1  概述  5.2  安全方針  5.3  信息安全組織  5.4  資產(chǎn)管理  5.5  人力資源安全  5.6  實(shí)物與環(huán)境安全  5.7  通信和操作管理  5.8  訪問(wèn)控制  5.9  信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)  5.10  信息安全事件管理  5.11  業(yè)務(wù)持續(xù)性管理  5.12  符合性第6章  信息安全策略  6.1  概述  6.2  備份策略(A.10.5.1)  6.3  信息交換策略(A.10.8.1)  6.4  業(yè)務(wù)信息系統(tǒng)使用策略(A.10.8.5)  6.5  訪問(wèn)控制策略(A.11.1.1)  6.6  清除桌面及屏幕策略(A.11.3.3)  6.7  網(wǎng)絡(luò)服務(wù)使用策略(A.11.4.1)  6.8  移動(dòng)計(jì)算和通訊策略(A.11.7.1)  6.9  遠(yuǎn)程工作策略(A.11.7.2)  6.10  加密控制策略(A.12.3.1)第7章  ISMS常見(jiàn)管理流程  7.1  體系建立及持續(xù)改進(jìn)涉及流程  7.2  資產(chǎn)管理涉及流程  7.3  人力資源涉及管理流程  7.4  物理和環(huán)境安全涉及管理流程  7.5  通信與操作安全涉及管理流程  7.6  訪問(wèn)控制涉及管理流程  7.7  信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)管理程序  7.8  信息安全事件管理涉及流程  7.9  業(yè)務(wù)持續(xù)性管理程序  7.10  法律法規(guī)、相關(guān)方要求識(shí)別與符合性評(píng)估管理程序參考文獻(xiàn)

章節(jié)摘錄

4.1 制定ISMS手冊(cè)的必要性ISMS管理手冊(cè)存在的兩大理由：（1）是公司的正式聲明，表明其如何開(kāi)展與實(shí)現(xiàn)及保證信息安全有關(guān)的業(yè)務(wù)。從這個(gè)角度來(lái)說(shuō)，管理手冊(cè)是供外部機(jī)構(gòu)如預(yù)期的客戶或批準(zhǔn)機(jī)構(gòu)使用的。（2）是公司職員及工人內(nèi)部使用的一套與信息安全事宜有關(guān)的管理方面的文件化指令。手冊(cè)必須是具有公司權(quán)威的文件，也是管理控制文件。它表述了作為最終對(duì)公司業(yè)績(jī)負(fù)責(zé)的公司領(lǐng)導(dǎo)，即首席執(zhí)行官、總經(jīng)理、主管或現(xiàn)場(chǎng)經(jīng)理的指令。如果高層領(lǐng)導(dǎo)相信一個(gè)正式的信息安全管理體系是公司管理控制體系的關(guān)鍵所在，則手冊(cè)會(huì)被當(dāng)作證明公司高級(jí)管理者密切關(guān)注并一致批準(zhǔn)的重要文件。當(dāng)然，如果這些高級(jí)管理者普遍不支持建立一個(gè)正式的質(zhì)量管理體系，則手冊(cè)只是一個(gè)無(wú)意義的文件。4.2 確定ISMS的范圍確定ISMS的范圍對(duì)建立ISMS非常重要，ISMS范圍是整個(gè)ISMS要管控的邊界，企業(yè)在建立ISMS時(shí)，首先就要確定管理范圍。企業(yè)需要根據(jù)自己的實(shí)際情況，根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界。

編輯推薦

《中小企業(yè)信息安全管理體系最佳實(shí)踐》是由中國(guó)標(biāo)準(zhǔn)出版社出版的。

圖書(shū)封面

評(píng)論、評(píng)分、閱讀與下載

---

    中小企業(yè)信息安全管理體系最佳實(shí)踐 PDF格式下載

---