信息安全管理标准控制措施被分成以下方面,它是组织进行信息安全管理的实用指南。
1.安全方针:制定信息安全方针,给信息安全管理指导与支持。
2.组织安全:构建信息安全基础设施,来管控组织内的信息安全,维护由第三方访问的组织的信息处理设施与资产安全,及当信息处理外包出去时,维护信息的安全。
3.资产的分类与控制:核查一切信息资产,来使组织资产的合适保护,并做好信息分类,保证信息资产被适当保护。
4.人员安全:关注工作职责定义与人力资源中的安全,来降低人为差错、盗窃、欺诈或误用设施的风险;做好用户培训,保证他知道信息安全威胁与事务,并做好在它正常工作中支撑组织的安全政策的准备;制订对安全事故和故障的响应流程,使安全事故与故障的损失降至最低,并监视其从中学习。
5.物理和环境的安全:定义安全区域,以避免对业务办公场所和信息的未授权访问、损坏和干扰;维护设备的安全,避免信息资产的丢失、损坏或泄露与业务的中断时也得把一般控制做好,来防止信息及信息处理设施的泄密或盗窃。
6.通信和操作管理:制定操作标准与职责,保证信息处理设施操作正确与安全;建立系统规划与验收标准,把系统故障的风险降到最小;防范恶意软件,保护软件与信息的完整性;建立内务规则,来使信息操作与通信服务的完整性与可用性;确保信息在网络中的安全,及保护其支持基础设施;建立媒体设置与安全的规则,,避免资产损坏与业务的中断;避免信息与软件在组织间交换时丢失、修改或误用。
7.访问控制:制定访问控制的业务需求,来控制访问信息;建立全方位的用户访问管理,防止信息系统的没有授权访问;让用户了解维护有效访问控制的责任,避免没有授权用户的访问;对网络访问加以控制,保护网络服务;建立操作系统级的访问控制,避免对计算机的没有授权访问;建立应用访问控制,避免没有授权用户访问保存于信息系统中的信息;监视系统访问与使用,检测没有授权的活动;当用移动计算与远程工作时,也要保证信息安全。
8.系统开发和维护:标明系统的安全要求,保证安全被构建于信息系统内;管控应用系统的安全,避免用户数据丢失、被改或误用;使用密码控制,保护信息的保密性、真实性或完整性;控制访问系统文件,确保由安全方式实施IT项目与支持活动;严格管控开发与支持过程,维护软件与信息的安全。
9.业务持续性管理:为的是减少业务的中断,让关键业务不被重点故障或天灾的影响。
10.符合性:信息系统的设计、操作、使用与管理得符合法律要求;定期审查安全政策与技术是否符合,确保符合组织政策与标准;控制系统的审核,使得其过程的效果最大,干扰最小。
