信息安全管理实践

控制类型：预防、检测、纠正、威慑

控制措施结构：14方面

方针、组织、人力资源安全、资产管理、访问控制

加密技术、物理和环境安全、操作安全、通信安全、系统的获取开发及维护

供应商关系、信息安全事件管理、业务连续性管理中的信息安全、符合性

信息安全策略

特点：适宜、充分、有效

组织

内部组织：角色和职责分离，与政府部门联系。与相关者联系、项目管理中的信息安全

移动设备与远程办公：设备加密、认证、远程VPN访问

人力资源安全

任用前：审查能力、教育背景、职业背景，因岗定人机制，合约声明安全责任

任用中：管理职责，安全意识、教育和培训、惩戒措施

任用终止或变化：账户删除、权限收回、隐含信息处理、归还软件硬件资产

资产管理

资产负责

建立资产清单：物理的、软件的、业务信息、服务设施、人员、无形资产

明确资产所有权：区分资产负责人，明确保护对象，分类保护

资产的可接受使用，资产归还

信息分类

按法规，价值和对泄露或篡改的敏感性和关键性分类

定义分类类别，分类标准，分类保护机制，定期审查分类与所有权的程序，员工意识培养

标记资产：有利有弊，标记重要容易被攻击者识别

介质处置

可移动介质、物理介质传输，比如笔记本不允许接入U盘

访问控制

访问控制业务要求