为确保信息安全管理体系(ISMS)的有效实施,根据公司信息安全方针制定信息安全总目标,将保证公司客户信息安全和公司内部信息安全的整体目标分解为信息安全的保密性(C)目标、完整性目标(I)、可用性目标(A),并规定这些信息安全目标C、I、A的计算方法,以便于目标达成情况的考核。
1.1. 信息保密性目标(C)
保证各种需要保密的资料(包括电子文档、磁带等)不被泄密,确保绝密、机密信息不泄漏给非授权人员。公司通过各种控制方式,确保数据不泄密,机密性总目标为公司可接受程度。保密性指标在整体信息安全中的权重为60%;
1.2. 信息完整性目标(I)
信息系统完整性总目标为可接受程度。完整性指标在整体信息安全中的权重为10%;
1.3. 业务系统可用性(A)
保证业务系统正常运行,避免各种非故意的错误与损坏,业务系统可用性总目标为公司可接受程度。可用性指标在整体信息安全中的权重为30%;
1 确定团队与人员
组织应确定识别管理参与服务连续性管理和恢复所需的核心技能和知识的合适方式,以及相关参与的人员。
能力和知识是指各种技术资源,包括技术人员、文档等,使得参与的团队和人员能够透彻地了解组织的业务情况和信息系统情况,深刻地把握单位灾难恢复系统的状态,并具有各种相关的技术能力,经历了多次灾难恢复演练,能在灾难发生时,*解决各种问题以确保单位关键业务系统的持续运行。组织应根据灾难恢复目标,确定灾难备份中心在软件、硬件和网络等方面的技术支持要求,包括技术支持的组织架构、各类技术支持人员的数量和素质等要求。
2 确定利益相关方
组织应确定参与服务连续性管理和恢复的相关利益方、业务或服务合作伙伴及承包方的关系,以及联络方式和所分担的职责。
3 确定技术设施
备用技术设施是指当灾难发生时,确保业务持续运行所需的技术设施(包括网络、应用系统等)。对可能影响网络可用性的线路及设备有冗余;对于恢复所需的软、硬件设备以及与外部的通讯方式和线路等,应提前确定获取的标的和相应的处理脚本。
信息系统审核考虑
1) 信息系统审核控制措施
任何技术符合性审核都必须经过认真策划,地减少中断工作的风险并保护公司的工作环境的数据完整性不会受到破坏。
确定适合的方法,保证技术符合性审核取得圆满。
获取信息安全管理工作小组对既定审核方法的书面批准。
判定每个系统的访问级别并从相关负责人获取书面批准。
只获取审核活动范围内的IT硬件、软件和系统的访问权。
确保技术符合性审核后删除或处理掉系统审核工具和残余数据。
确保所有的系统审核都按照《变更管理办法》中的说明进行。
确保系统审核的所有活动按照商定的审核计划进行。
2) 信息系统审核工具的保护
对于信息系统审核工具的访问应加以保护,以防止任何可能的滥用或损害。
信息系统审核工具(如软件和数据文件)应与开发和运行系统分开,并且不能保存在磁带(程序)库或用户区域内,除非给予合适级别的附加保护。
信息系统审核工具的使用必须事先获得信息安全管理工作小组的批准。
3) 活动描述
信息安全管理工作小组根据情况,对于自管服务器制定出在策略、用户管理、权限管理、VLAN管理、漏洞扫描、渗透测试等方面的审核策略。
管理人员应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。
管理人员应对自己职责范围内的信息处理是否符合合适的安全策略、标准和任何其它安全要求进行定期评审。
任何技术符合性检查应仅由有能力的、已授权的人员来完成,或在他们的监督下完成。
涉及对运行系统检查的审核要求和活动,应谨慎地加以规划并取得批准,以便小化造成业务过程中断的风险。
-/gbacfji/-
http://lsjsqd.b2b168.com
