信息安全管理體系

《信息安全管理體系》由會員分享，可在線閱讀，更多相關(guān)《信息安全管理體系（228頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信 息 安 全 管 理 體 系 教 程 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 課 前 介 紹課程目標(biāo)課程安排課程內(nèi)容注意事項學(xué)員介紹 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 課 程 目 標(biāo)掌握信息安全管理的一般知識了解信息安全管理在信息系統(tǒng)安全保障體系中的地位認(rèn)識和了解ISO17799理解一個組織實施ISO17799的意義 初步掌握建立信息安全管理體系（ISMS）的方法和步驟 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 課 程 安 排課時: 24H課程方

2、法：講授、小組討論、練習(xí) 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 課 程 內(nèi) 容1、信息安全基礎(chǔ)知識2、信息安全管理與信息系統(tǒng)安全保障3、信息安全管理體系標(biāo)準(zhǔn)概述4、信息安全管理體系方法5、ISO17799中的控制目標(biāo)和控制措施6、ISMS建設(shè)、運(yùn)行、審核與認(rèn)證7、信息系統(tǒng)安全保障管理要求 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 注 意 事 項積極參與、活躍氣氛守時保持安靜有問題可隨時舉手提問 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 1. 信 息 安

3、全 基 礎(chǔ) 知 識 1.1 信息安全的基本概念 1.2 為什么需要信息安全 1.3 實踐中的信息安全問題 1.4 信息安全管理的實踐經(jīng)驗 2021/5/12 1.1 信 息 安 全 基 本 概 念 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 什 么 是 信 息 ？ISO17799中的描述“Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitab

4、ly protected. ” “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post or using electronic means, shown on films, or spoken in conversation. 強(qiáng)調(diào)信息： 是一種資產(chǎn)同其它重要的商業(yè)資產(chǎn)一樣對組織具有價值 需要適當(dāng)?shù)谋Ｗo(hù)以各種形式存在：紙、電子、影片、交談等 2021/5/12 小 問 題 ： 你 們 公 司 的 Knowledg

5、e都 在 哪 里 ？信 息 在 哪 里 ？ 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 什 么 是 信 息 安 全 ?nISO17799中的描述“Information security protects information from a wide range of threats in order to ensure business continuity, minimize business damage and maximize return on investments and business opportunities.”信息安全：

6、保護(hù)信息免受各方威脅確保組織業(yè)務(wù)連續(xù)性將信息不安全帶來的損失降低到最小 獲得最大的投資回報和商業(yè)機(jī)會 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 信 息 安 全 的 特 征 （ CIA）nISO17799中的描述Information security is characterized here as the preservation of: Confidentiality Integrity Availability信息在安全方面三個特征：機(jī)密性：確保只有被授權(quán)的人才可以訪問信息； 完整性：確保信息和信息處理方法的準(zhǔn)確性和完整性；可用性：確保在需要

7、時，被授權(quán)的用戶可以訪問信息和相關(guān)的資產(chǎn)。 2021/5/12信 息 本 身 信 息 處 理 設(shè) 施 信 息 處 理 者信 息 處 理過 程 機(jī) 密 可 用 完 整 總 結(jié) 2021/5/12 1.2 為 什 么 需 要 信 息 安 全 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 組 織 自 身 業(yè) 務(wù) 的 需 要自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標(biāo)要求競爭優(yōu)勢，樹立品牌加強(qiáng)內(nèi)部管理的要求 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 法 律 法 規(guī) 的 要 求計算機(jī)信息系統(tǒng)安全保護(hù)條例知識產(chǎn)權(quán)保

8、護(hù)互聯(lián)網(wǎng)安全管理辦法網(wǎng)站備案管理規(guī)定 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 信 息 系 統(tǒng) 使 命 的 要 求信息系統(tǒng)本身具有特定的使命信息安全的目的就是使信息系統(tǒng)的使命得到保障。 2021/5/12 1.3 實 踐 中 的 信 息 安 全 問 題 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 “產(chǎn) 品 導(dǎo) 向 型 ” 信 息 安 全初始階段，解決信息安全問題，通常的方法：采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案； Anti-Virus、Firewall、IDS 定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)

9、準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)；分為3個部分：第一部分：簡介和一般模型第二部分：安全功能要求 第三部分：安全保證要求 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 管 理 體 系 標(biāo) 準(zhǔn) ISO9000族 質(zhì)量管理體系 ISO14000 環(huán)境管理體系標(biāo)準(zhǔn) OHSAM18000 職業(yè)安全衛(wèi)生管理體系標(biāo)準(zhǔn) ISO17799 信息安全管理體系標(biāo)準(zhǔn) 2021/5/12 ISO/IEC17799:2000 Information technology Code of practice for information security management信 息

10、 技 術(shù) 信 息 安 全 管 理 實 施 細(xì) 則 3.2 ISO/IEC17799:2000 2021/5/12 l 歷 史 BS 7799-2:19992001.6BS7799 Part 2version CCode of practiceDTI BS 7799-Part11993.9BSI 1995.2 BS 7799-Part21998.2 BS 7799-1:19991999.4ISO/IEC 2000.12 +ISO 17799 3.3 ISO17799的 歷 史 及 發(fā) 展 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 BSI簡 介 BSI

11、英國標(biāo)準(zhǔn)協(xié)會英國標(biāo)準(zhǔn)協(xié)會是全球領(lǐng)先的國際標(biāo)準(zhǔn)、產(chǎn)品測試、體系認(rèn)證機(jī)構(gòu)。發(fā)起制定的標(biāo)準(zhǔn) ISO 9000（質(zhì)量管理體系） ISO 14001（環(huán)境管理體系） OHSAS 18001（職業(yè)健康與安全管理體系） QS-9000 / ISO/TS 16949（汽車供應(yīng)行業(yè)的質(zhì)量管理體系） TL 9000（電信供應(yīng)行業(yè)的質(zhì)量管理體系） BS 7799。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 IUG： International User Group 1997年成立宗旨 促進(jìn)ISO17799/BS7799的應(yīng)用和推廣促進(jìn)對信息安全管理體系標(biāo)準(zhǔn)、認(rèn)證等的理解

12、，服務(wù)全球商業(yè)提供一個基于互聯(lián)網(wǎng)的論壇提供一個信息交流的平臺研究和寫作成員 Australia Brazil Germany Hong Kong India Ireland Japan KoreaMalaysia The Netherlands New Zealand Norway Poland Singapore South AfricaSweden Switzerland TaiwanUAE UK USA 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 ISO17799被 各 國 或 地 區(qū) 采 用 的 情況 England Australia Ne

13、w Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands (SPE 20003) Norway Sweden (SS 627799) Taiwan中國 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 ISO17799在 中 國國內(nèi)從2000年初開始認(rèn)識ISO17799/BS7799； 2000年初開始，國內(nèi)一些公司和單位進(jìn)行BS7799 的研究和相關(guān)課程培訓(xùn)； 20022003年，我國已經(jīng)提出了國標(biāo)化的計劃； 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心

14、2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 ISO17799:2000（BS7799-1:1999） Code of Practice for Information Security Management 信息安全管理實施細(xì)則 BS7799-2:1999(已經(jīng)有BS7799-2:2002草案) Specification for Information Security Management System 信息安全管理體系規(guī)范 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框

15、 架 (續(xù))Foreword(ISO前言)Introduction( 引言)1. Scope (范圍)2. Term and Definitions (術(shù)語和定義)3.12. 詳細(xì)控制目標(biāo)和控制措施 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù)) Foreword(ISO前言) ISO(國際標(biāo)準(zhǔn)化組織)和IEC(國際電工委員會)組成世界性標(biāo)準(zhǔn)化的專門體系。作為ISO或IEC成員的各國團(tuán)體通過由各自組織設(shè)立的技術(shù)委員會參與國際標(biāo)準(zhǔn)的開發(fā)，處理特殊領(lǐng)域的技術(shù)活動。ISO和IEC技術(shù)委員會協(xié)調(diào)共同利

16、益的領(lǐng)域。其它與ISO和IEC有聯(lián)系的國際組織（官方的和非官方的）也可參加工作。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))Introduction( 引言)什么是信息安全為何需要信息安全如何確定安全需求評估安全風(fēng)險選擇控制措施信息安全起點 成功的關(guān)鍵因素制定組織自身的指導(dǎo)方針 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))1. Scope (范圍) 本標(biāo)準(zhǔn)為組織中負(fù)責(zé)信息安全的啟動、實現(xiàn)

17、和保持的人員提供了信息安全管理方面的建議。目的是為各個組織制定安全標(biāo)準(zhǔn)和有效的安全管理措施提供一個通用平臺，并建立組織間交易時的信心。本標(biāo)準(zhǔn)所提供的建議應(yīng)該根據(jù)相關(guān)法規(guī)有選擇的使用。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))2. Term and Definitions (術(shù)語和定義) 2.1 information security 信息安全 2.2 Risk assessment 風(fēng)險評估 2.3 Risk management 風(fēng)險管理 新 住 院 病 案 首 頁 填 寫 培 訓(xùn)

18、病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))2.1 information security 信息安全 Preservation of confidentiality, integrity, and availability of information. - Confidentiality Ensuring that information is accessible only to those authorized to have access. 確保只有被授權(quán)的人員才可以訪問信息。 - Integrity Safeguardin

19、g the accuracy and completeness of information and processing methods. 確保信息及其處理方法的準(zhǔn)確性和完整性。 - Availability Ensuring that authorized users have access to information and associated assets when required. 確保被授權(quán)的用戶在需要時可以訪問信息和相關(guān)的資產(chǎn)。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù)

20、)2.2 Risk assessment 風(fēng)險評估Assessment of threats to, impacts on and vulnerabilities of information and information processing facilities and the likelihood if their occurrence.對信息和信息處理設(shè)施所受到的威脅、影響和脆弱性以及發(fā)生這些事件的可能性進(jìn)行評估 。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))2.3 Risk m

21、anagement 風(fēng)險管理Process of identifying ,controlling and minimizing or eliminating security risks that may affect information systems, for an acceptable cost.基于可接受的成本，對影響信息系統(tǒng)的安全風(fēng)險進(jìn)行識別、控制、減小或消除的過程。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.4 ISO17799:2000的 內(nèi) 容 框 架 (續(xù))3. Security policy 安全方針4. Securi

22、ty Organizational 安全組織5. Asset classification and control 資產(chǎn)分類與控制6. Personnel security 人員安全7. Physical and environmental security 物理和環(huán)境安全8. Communications and operationa management 通信和操作管理9. Access control 訪問控制 10. Systems devlopment and maintenance 系統(tǒng)開發(fā)和維護(hù)11. Business continuity management 業(yè)務(wù)連續(xù)性管理1

23、2. Compliance 符合性 2021/5/12 Foreword(BSI前 言 )1. Scope (范 圍 )2. Term and Definitions (術(shù) 語 和 定 義 )3. Information security management system requirements (信 息 安 全 管 理 體 系 的 要 求 )4. Detailed controls （ 詳 細(xì) 控 制 措 施 ） 3.5 BS7799-2:1999的 內(nèi) 容 框 架 2021/5/12 1. Scope (范 圍 ) BS7799的這一部分提出了建立、實施并記錄信息安全管理體系時的具體要

24、求；同時，也提出了各組織根據(jù)具體需求采取安全控制措施的要求。 3.5 BS7799-2:1999的 內(nèi) 容 框 架 (續(xù) ) 2021/5/12 2. Term and Definitions (術(shù) 語 和 定 義 )2.1 statement of applicability (適 用 聲 明 ) Critique of the objectives and controls applicable to the needs of the organization. 根 據(jù) 組 織 需 要 對 所 選 的 控 制 目 標(biāo) 和 控 制 措 施 的 說 明 3.5 BS7799-2:1999的 內(nèi)

25、 容 框 架 (續(xù) ) 2021/5/12 3. Information security management system requirements (信 息 安 全 管 理 體 系 的 要 求 )3.1 General (總 則 )3.2 Establishing a management framework(建 立 管 理 框 架 )3.3 Implementation(實 施 )3.4 Documentation (文 檔 化 )3.5 Document control (文 件 控 制 )3.6 Records (記 錄 ) 3.5 BS7799-2:1999的 內(nèi) 容 框 架 (

26、續(xù) ) 2021/5/12 4. Detailed controls （ 詳 細(xì) 控 制 措 施 ）4.1 Security policy 安 全 方 針4.2 Security Organizational安 全 組 織4.3 Asset classification and control 資 產(chǎn) 分 類 與 控 制4.4 Personnel security 人 員 安 全4.5 Physical and environmental security 物 理 和 環(huán) 境 安 全4.6 Communications and operationa management 通 信 和 操 作 管

27、 理4.7 Access control 訪 問 控 制4.8 Systems devlopment and maintenance 系 統(tǒng) 開 發(fā) 和 維 護(hù)4.9 Business continuity management 業(yè) 務(wù) 連 續(xù) 性 管 理4.10 Compliance 符 合 性 3.5 BS7799-2:1999的 內(nèi) 容 框 架 (續(xù) ) 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 3.6 ISO/IEC 17799:2000(BS7799-1:1999)、BS7799-2:1999、 BS7799-2:2002 之 區(qū) 別 I

28、SO/IEC 17799:2000(BS7799-1:1999)為 指 南指導(dǎo)如何進(jìn)行安全管理實踐 BS7799-2:1999和 BS7799-2:2002 為 標(biāo) 準(zhǔn)建立的信息安全管理體系必須符合的要求 BS7799-2:2002 更 接 近 ISO9000標(biāo) 準(zhǔn) 的 格 式控制目標(biāo)和控制措施作為附錄 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 4. 信 息 安 全 管 理 體 系 方 法4.1 什么是ISMS4.2 ISMS的重要原則4.3 ISMS的實現(xiàn)方法 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12

29、 4.1 什 么 是 ISMS ISMS： Information Security Management System 信息安全管理體系 ISO9000-2000 術(shù)語和定義組織 organization職責(zé)、權(quán)限和相互關(guān)系得到安排的一組人員及設(shè)施, 如：公司、集團(tuán)、商行、企事業(yè)單位、研究機(jī)構(gòu)、慈善機(jī)構(gòu)、代理商、社團(tuán)、或上述組織的部分或組合。管理 management指揮和控制組織的協(xié)調(diào)的活動體系 system相互關(guān)聯(lián)和相互作用的一組要素管理體系 management system 建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的體系n管理學(xué)中的定義管理是指通過計劃、組織、領(lǐng)導(dǎo)、控制等環(huán)節(jié)來協(xié)調(diào)人力、物力、財

30、力等資源，以期有效達(dá)到組織目標(biāo)的過程。 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 信 息 安 全 管 理 體 系 ISMS定 義ISMS是：在信息安全方面指揮和控制組織的以實現(xiàn)信息安全目標(biāo)的相互關(guān)聯(lián)和相互作用的一組要素。信息安全目標(biāo)應(yīng)是可測量的要素可能包括 信息安全方針、策略 信息安全組織結(jié)構(gòu)各種活動、過程-信息安全控制措施-人力、物力等資源 2021/5/12要 求 信 息 安 全 分 析 改 進(jìn)資 源 管 理 信 息 安 全 實 現(xiàn)管 理 職 責(zé)輸 入 輸 出信 息 安 全 管 理 體 系 的 持 續(xù) 改 進(jìn) 信 息 安 全 管 理 體 系 框

31、 圖 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 4.2 ISMS的 重 要 原 則 4.2.1 PDCA循環(huán) 4.2.2 過程方法 4.2.3 其它重要原則 2021/5/12 PDCA循 環(huán) ： Plan DoCheckAct計 劃實 施檢 查改 進(jìn) PDAC 4.2.1 PDCA循 環(huán) 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 4.2.1 PDCA循 環(huán) （ 續(xù) ）又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項活動有效進(jìn)行的工作程序: P：計劃，方針和目標(biāo)的確定以及活動計劃的制定； D：執(zhí)行，具體運(yùn)作，

32、實現(xiàn)計劃中的內(nèi)容； C：檢查，總結(jié)執(zhí)行計劃的結(jié)果，分清哪些對了，哪些錯了，明確效果，找出問題； A：改進(jìn)（或處理）,對總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗加以肯定，并予以標(biāo)準(zhǔn)化，或制定作業(yè)指導(dǎo)書，便 于以后工作時遵循；對于失敗的教訓(xùn)也要總結(jié)，以免重現(xiàn)。對于沒有解決的問題，應(yīng)提給下一個PDCA循環(huán)中去解決。 2021/5/12 PDCA循 環(huán) 的 特 點 一 按 順 序 進(jìn) 行 ， 它 靠 組 織 的力 量 來 推 動 ， 像 車 輪 一 樣 向 前 進(jìn) ，周 而 復(fù) 始 ， 不 斷 循 環(huán) 90處 理 執(zhí) 行計 劃檢 查 CA DP 4.2.1 PDCA循 環(huán) （ 續(xù) ） 2021/5/12 P

33、DCA循 環(huán) 的 特 點 二 組 織 中 的 每 個 部 分 ， 甚 至 個 人 ， 均 有 一 個 PDCA循 環(huán) ， 大 環(huán) 套 小環(huán) ， 一 層 一 層 地 解 決 問 題 。 90CA DP90CA DP 90CA DP 4.2.1 PDCA循 環(huán) （ 續(xù) ） 2021/5/12 PDCA循 環(huán) 的 特 點 三 每 通 過 一 次 PDCA 循 環(huán) ， 都 要 進(jìn) 行總 結(jié) ， 提 出 新 目 標(biāo) ， 再 進(jìn) 行 第 二 次PDCA 循 環(huán) 。 90改 進(jìn) 執(zhí) 行計 劃檢 查 CA DP 達(dá) 到 新 的 水 平改 進(jìn) (修 訂 標(biāo) 準(zhǔn) )維 持 原 有 水 平 90改 進(jìn) 執(zhí) 行計 劃

34、檢 查 CA DP 4.2.1 PDCA循 環(huán) （ 續(xù) ） 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 4.2.2 過 程 方 法 定 義 ISO9000-2000術(shù)語和定義過程： 一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。 過程方法系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱之為“過程方法” 。 2021/5/12 活 動 測 量 、 改 進(jìn)責(zé) 任 人資 源 記 錄輸 入 輸 出過 程 方 法 模 型 ： 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 信 息 安 全 管 理 過

35、程 方 法信息安全實現(xiàn)是一個大的過程；信息安全實現(xiàn)過程的每一個活動也是一個過程；識別組織實現(xiàn)信息安全的每一個過程；對每一個信息安全過程的實施進(jìn)行監(jiān)控和測量；改進(jìn)每一個信息安全過程。 2021/5/12 制 定 信 息 安 全 方 針確 定 ISMS的 范 圍安 全 風(fēng) 險 評 估風(fēng) 險 管 理選 擇 控 制 目 標(biāo) 和 控 制 措 施準(zhǔn) 備 適 用 聲 明 實 施測 量 、 改 進(jìn)安全需求 安全信 息 安 全 管 理 的 過 程 網(wǎng) 絡(luò) 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 信 息 安 全 管 理 的 過 程 網(wǎng) 絡(luò)將相互關(guān)聯(lián)的過程作為一個系統(tǒng)

36、來識別、理解和管理一個過程的輸出構(gòu)成隨后過程輸入的一部分過程之間的相互作用形成相互依賴的過程網(wǎng)絡(luò) PDCA循環(huán)可用于單個過程，也可用于整個過程網(wǎng)絡(luò) 2021/5/12 領(lǐng) 導(dǎo) 重 視 指 明 方 向 和 目 標(biāo) 權(quán) 威 預(yù) 算 保 障 ， 提 供 所 需 的 資 源 監(jiān) 督 檢 查 組 織 保 障 4.2.3其 它 重 要 原 則 領(lǐng) 導(dǎo) 重 視 2021/5/12 全 員 參 與 信 息 安 全 不 僅 僅 是 IT部 門 的 事 ； 讓 每 個 員 工 明 白 隨 時 都 有 信 息 安 全 問 題 ； 每 個 員 工 都 應(yīng) 具 備 相 應(yīng) 的 安 全 意 識 和 能 力 ； 讓 每 個

37、 員 工 都 明 確 自 己 承 擔(dān) 的 信 息 安 全 責(zé) 任 ； 4.2.3 其 它 重 要 原 則 全 員 參 與 2021/5/12 持 續(xù) 改 進(jìn) 信 息 安 全 是 動 態(tài) 的 ， 時 間 性 強(qiáng) 持 續(xù) 改 進(jìn) 才 能 有 最 大 限 度 的 安 全 組 織 應(yīng) 該 為 員 工 提 供 持 續(xù) 改 進(jìn) 的 方 法 和 手 段 實 現(xiàn) 信 息 安 全 目 標(biāo) 的 循 環(huán) 活 動 4.2.3 其 它 重 要 原 則 持 續(xù) 改 進(jìn) 2021/5/12 文 件 化 文 件 的 作 用 ： 有 章 可 循 ， 有 據(jù) 可 查 文 件 的 類 型 ： 手 冊 、 規(guī) 范 、 指 南 、 記

38、 錄 4.2.3 其 它 重 要 原 則 文 件 化 溝 通 意 圖 ， 統(tǒng) 一 行 動 重 復(fù) 和 可 追 溯 提 供 客 觀 證 據(jù) 用 于 學(xué) 習(xí) 和 培 訓(xùn) 文 件 的 作 用 ： 有 章 可 循 ， 有 據(jù) 可 查 2021/5/12 文 件 的 類 型 ： 手 冊 、 規(guī) 范 、 指 南 、 記 錄 - 手 冊 ： 向 組 織 內(nèi) 部 和 外 部 提 供 關(guān) 于 信 息 安 全 管 理 體 系 的 一致 信 息 的 文 件 - 規(guī) 范 ： 闡 明 要 求 的 文 件 - 指 南 ： 闡 明 推 薦 方 法 和 建 議 的 文 件 - 記 錄 ： 為 完 成 的 活 動 或 達(dá) 到

39、的 結(jié) 果 提 供 客 觀 證 據(jù) 的 文 件 文 件 化4.2.3 其 它 重 要 原 則 文 件 化 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 4.3 ISMS的 實 現(xiàn) 方 法4.3.1 ISMS總則4.3.2 建立ISMS框架4.3.3 ISMS實施4.3.4 ISMS體系文件4.3.5 文件的控制4.3.6 記錄 2021/5/12 The organization shall establish and maintain documented ISMS. This shall address the assets to be prote

40、cted, the organizations approach to risk management, the control objectives and controls, and the degree of assurance required. 組 織 應(yīng) 該 建 立 并 運(yùn) 行 一 套 文 件 化 的 ISMS 確 定 組 織 需 要 保 護(hù) 的 資 產(chǎn) 確 定 風(fēng) 險 管 理 的 方 法 確 定 風(fēng) 險 控 制 的 目 標(biāo) 和 控 制 措 施 確 定 要 達(dá) 到 的 安 全 保 證 程 度 3.1 General (總 則 ) 4.3.1 ISMS總 則 2021/5/12 建

41、設(shè) ISMS的 步 驟 ： 如 下 圖 3.2 Establishing a management framework(建 立 管 理 框 架 ) 4.3.2 建 立 ISMS框 架 2021/5/12 制 訂 信 息安 全 方 針 方 針 文 檔定 義ISMS范圍進(jìn) 行 風(fēng) 險評 估實 施 風(fēng) 險管 理 選 擇 控 制目 標(biāo) 措 施準(zhǔn) 備 適 用聲 明第 一 步 ：第 二 步 ：第 三 步 ：第 四 步 ：第 五 步 ：第 六 步 ： ISMS范 圍評 估 報 告 文 件文 件文 件文 件文 件文 件文 檔 化文 檔 化聲 明 文 件 4.3.2 建 立 ISMS框 架 2021/5/12

42、一 、 目 的 ： 信 息 安 全 是 指 保 證 信 息 的 保 密 性 、 完 整性 和 可 用 性 不 受 破 壞 。 建 立 信 息 安 全 管 理 體 系 的 目 標(biāo)是 對 公 司 的 信 息 安 全 進(jìn) 行 全 面 管 理 ， 二 、 公 司 總 經(jīng) 理 張 未 來 先 生 決 定 在 整 個 公 司 范 圍 內(nèi)建 立 并 實 施 信 息 安 全 管 理 體 系 。 要 求 各 部 門 高 度 重 視 ， 第 一 步 制 訂 信 息 安 全 方 針 4.3.2 建 立 ISMS框 架 組 織 應(yīng) 定 義 信 息 安 全 方 針 。BS7799-2對 ISMS的 要 求 ： 2021

43、/5/12 什 么 是 信 息 安 全 方 針 ？ 信 息 安 全 方 針 是 由 組 織 的 最 高 管 理 者 正 式 制 訂 和 發(fā) 布 的 該 組織 的 信 息 安 全 的 目 標(biāo) 和 方 向 ， 用 于 指 導(dǎo) 信 息 安 全 管 理 體 系 的 建 立和 實 施 過 程 。 信 息 安 全 方 針 4.3.2 建 立 ISMS框 架 第 一 步 制 訂 信 息 安 全 方 針 2021/5/12 4.3.2 建 立 ISMS框 架 第 一 步 制 訂 信 息 安 全 方 針l 要 經(jīng) 最 高 管 理 者 批 準(zhǔn) 和 發(fā) 布l 體 現(xiàn) 了 最 高 管 理 者 對 信 息 安 全 的

44、承 諾 與 支 持l 要 傳 達(dá) 給 組 織 內(nèi) 所 有 的 員 工l 要 定 期 和 適 時 進(jìn) 行 評 審信 息 安 全 方 針 2021/5/12 目 的 和 意 義l 為 組 織 提 供 了 關(guān) 注 的 焦 點 ， 指 明 了 方 向 ， 確 定 了 目 標(biāo) ；l 確 保 信 息 安 全 管 理 體 系 被 充 分 理 解 和 貫 徹 實 施 ；l 統(tǒng) 領(lǐng) 整 個 信 息 安 全 管 理 體 系 。 4.3.2 建 立 ISMS框 架 第 一 步 制 訂 信 息 安 全 方 針 2021/5/12 信 息 安 全 方 針 的 內(nèi) 容 包 括 但 不 限 于 ：- 組 織 對 信 息 安

45、 全 的 定 義- 信 息 安 全 總 體 目 標(biāo) 和 范 圍- 最 高 管 理 者 對 信 息 安 全 的 承 諾 與 支 持 的 聲 明- 符 合 相 關(guān) 標(biāo) 準(zhǔn) 、 法 律 法 規(guī) 、 和 其 它 要 求 的 聲 明- 對 信 息 安 全 管 理 的 總 體 責(zé) 任 和 具 體 責(zé) 任 的 定 義- 相 關(guān) 支 持 文 件 4.3.2 建 立 ISMS框 架 第 一 步 制 訂 信 息 安 全 方 針 2021/5/12 注 意 事 項- 簡 單 明 了- 易 于 理 解- 可 實 施- 避 免 太 具 體 4.3.2 建 立 ISMS框 架 第 一 步 制 訂 信 息 安 全 方 針

46、2021/5/12 4.3.2 建 立 ISMS框 架 第 二 步 確 定 ISMS范 圍 組 織 應(yīng) 定 義 信 息 安 全 管 理 體 系 的 范 圍 ， 范 圍 的 邊 界 應(yīng) 依 據(jù)組 織 的 結(jié) 構(gòu) 特 征 、 地 域 特 征 、 資 產(chǎn) 和 技 術(shù) 特 點 來 確 定 。BS7799-2對 ISMS的 要 求 ： 2021/5/12 l 可 以 根 據(jù) 組 織 的 實 際 情 況 ， 將 組 織 的 一 部 分 定 義 為 信 息 安全 管 理 范 圍 ， 也 可 以 將 組 織 整 體 定 義 為 信 息 安 全 管 理 范 圍 ；l 信 息 安 全 管 理 范 圍 必 須 用

47、正 式 的 文 件 加 以 記 錄 。 4.3.2 建 立 ISMS框 架 第 二 步 確 定 ISMS范 圍 2021/5/12 l 文 件 是 否 明 白 地 描 述 了 信 息 安 全 管 理 體 系 的 范 圍l 范 圍 的 邊 界 和 接 口 是 否 已 清 楚 定 義 4.3.2 建 立 ISMS框 架 第 二 步 確 定 ISMS范 圍ISMS范 圍 文 件 ： 2021/5/12 4.3.2 建 立 ISMS框 架 第 三 步 風(fēng) 險 評 估 組 織 應(yīng) 進(jìn) 行 適 當(dāng) 的 風(fēng) 險 評 估 ， 風(fēng) 險 評 估 應(yīng) 識 別 資 產(chǎn) 所 面 對的 威 脅 、 脆 弱 性 、 以 及

48、 對 組 織 的 潛 在 影 響 ， 并 確 定 風(fēng) 險 的 等 級 。BS7799-2對 ISMS的 要 求 ： 2021/5/12 l 是 否 執(zhí) 行 了 正 式 的 和 文 件 化 的 風(fēng) 險 評 估 ？l 是 否 經(jīng) 過 一 定 數(shù) 量 的 員 工 驗 證 其 正 確 性 ？l 風(fēng) 險 評 估 是 否 識 別 了 資 產(chǎn) 的 威 脅 、 脆 弱 性 和 對 組 織 的 潛 在 影響 ？l 風(fēng) 險 評 估 是 否 定 期 和 適 時 進(jìn) 行 ？ 4.3.2 建 立 ISMS框 架 第 三 步 風(fēng) 險 評 估 2021/5/12 4.3.2 建 立 ISMS框 架 第 四 步 風(fēng) 險 管

49、理 組 織 應(yīng) 依 據(jù) 信 息 安 全 方 針 和 組 織 要 求 的 安 全 保 證 程 度 來 確定 需 要 管 理 的 信 息 安 全 風(fēng) 險 。BS7799-2對 ISMS的 要 求 ： 2021/5/12 根 據(jù) 風(fēng) 險 評 估 的 結(jié) 果 ， 選 擇 風(fēng) 險 控 制 方 法 ， 將 組 織 面 臨 的 風(fēng) 險控 制 在 可 以 接 受 的 范 圍 之 內(nèi) 。 4.3.2 建 立 ISMS框 架 第 四 步 風(fēng) 險 管 理 2021/5/12 l 是 否 定 義 了 組 織 的 風(fēng) 險 管 理 方 法 ？l 是 否 定 義 了 所 需 的 信 息 安 全 保 證 程 度 ？l 是 否

50、 給 出 了 可 選 擇 的 控 制 措 施 供 管 理 層 做 決 定 ？ 4.3.2 建 立 ISMS框 架 第 四 步 風(fēng) 險 管 理 2021/5/12 4.3.2 建 立 ISMS框 架 第 五 步 選 擇 控 制 目 標(biāo) 和 控 制 措 施 組 織 應(yīng) 選 擇 適 當(dāng) 的 控 制 措 施 和 控 制 目 標(biāo) 來 滿 足 風(fēng) 險 管 理 的要 求 ， 并 證 明 選 擇 結(jié) 果 的 正 確 性 。BS7799-2對 ISMS的 要 求 ： 2021/5/12 安 全 問 題安 全 需 求控 制 目 標(biāo) 控 制 措 施解 決指 出定 義 被 滿 足 第 五 步 選 擇 控 制 目 標(biāo)

51、和 控 制 措 施 4.3.2 建 立 ISMS框 架選 擇 控 制 措 施 的 示 意 圖 2021/5/12 l 選 擇 的 控 制 措 施 是 否 建 立 在 風(fēng) 險 評 估 的 結(jié) 果 之 上 ？l 是 否 能 從 風(fēng) 險 評 估 中 清 楚 地 看 出 哪 一 些 是 基 本 控 制 措 施 ，哪 一 些 是 必 須 的 ， 哪 一 些 是 可 以 考 慮 選 擇 的 控 制 措 施 ？l 選 擇 的 控 制 措 施 是 否 反 應(yīng) 了 組 織 的 風(fēng) 險 管 理 戰(zhàn) 略 ？l 針 對 每 一 種 風(fēng) 險 ， 控 制 措 施 都 不 是 唯 一 的 ， 要 根 據(jù) 實 際情 況 進(jìn)

52、行 選 擇 4.3.2 建 立 ISMS框 架 第 五 步 選 擇 控 制 目 標(biāo) 和 控 制 措 施 2021/5/12 未 選 擇 某 項 控 制 措 施 的 原 因 風(fēng) 險 原 因 - 沒 有 識 別 出 相 關(guān) 的 風(fēng) 險 財 務(wù) 原 因 - 財 務(wù) 預(yù) 算 的 限 制 環(huán) 境 原 因 - 安 全 設(shè) 備 、 氣 候 、 空 間 等 技 術(shù) - 某 些 控 制 措 施 在 技 術(shù) 上 不 可 行 文 化 - 社 會 環(huán) 境 的 限 制 時 間 - 某 些 要 求 目 前 無 法 實 施 其 它 - ？ 4.3.2 建 立 ISMS框 架 第 五 步 選 擇 控 制 目 標(biāo) 和 控 制

53、措 施 2021/5/12 4.3.2 建 立 ISMS框 架 第 六 步 準(zhǔn) 備 適 用 聲 明 組 織 應(yīng) 準(zhǔn) 備 適 用 聲 明 ， 記 錄 已 選 擇 的 控 制 措 施 和 理 由 ， 以及 未 選 擇 的 控 制 措 施 及 其 理 由 。BS7799-2對 ISMS的 要 求 ： 2021/5/12 在 選 擇 了 控 制 目 標(biāo) 和 控 制 措 施 后 ， 對 實 施 某 項 控 制 目 標(biāo) 、措 施 和 不 實 施 某 項 控 制 目 標(biāo) 、 措 施 進(jìn) 行 記 錄 ， 并 對 原 因 進(jìn) 行 解釋 的 文 件 。 未 來 實 現(xiàn) 公 司 ISMS適 用 聲 明 4.3.2

54、建 立 ISMS框 架 第 六 步 準(zhǔn) 備 適 用 聲 明 2021/5/12 The selected control objectives and controls shall be implemented effectively by the organization. The effectiveness of the procedures adopted to implement the controls shall be verified by reviews in accordance with 4.10.2. 組織應(yīng)該對所選擇的控制目標(biāo)和控制措施有效的實施。實施程序的有效性應(yīng)依據(jù)

55、4.10.2條之規(guī)定加以驗證。 4.10.2 安 全 方 針 和 技 術(shù) 符 合 性 的 評 審4.10.2.1 安 全 方 針 的 符 合 性4.10.2.2 技 術(shù) 符 合 性 的 檢 查 4.3.3 ISMS實 施BS7799-2對 ISMS實 施 的 要 求 ： 2021/5/12 信 息 安 全 管 理 體 系 文 件 應(yīng) 包 括 如 下 方 面 的 信 息 ： 按 3.2條 款 規(guī) 定 采 取 的 行 動 的 證 據(jù) 對 管 理 框 架 的 總 結(jié) ， 包 括 適 用 聲 明 中 所 列 信 息 安 全 方 針 、 控 制目 標(biāo) 和 控 制 措 施 3.3條 規(guī) 定 的 實 施 管

56、 理 程 序 ， 此 程 序 應(yīng) 對 責(zé) 任 和 相 關(guān) 措 施 加 以描 述 信 息 安 全 管 理 體 系 的 管 理 和 操 作 程 序 ， 此 程 序 應(yīng) 對 責(zé) 任 和 相 關(guān)措 施 加 以 描 述 4.3.4 ISMS體 系 文 件BS7799-2對 ISMS文 件 的 要 求 ： 2021/5/12 組 織 要 建 立 和 維 護(hù) 一 套 控 制 3.4條 款 中 要 求 的 所 有 文 件 的 流 程 ， 應(yīng) 確 保這 些 文 件 ： 隨 時 可 得 根 據(jù) 組 織 的 安 全 方 針 的 變 化 得 以 定 期 評 審 和 修 訂 版 本 要 及 時 更 新 ， 并 存 放

57、在 信 息 安 全 管 理 體 系 的 涉 及 的 現(xiàn) 場 過 時 后 及 時 撤 換 過 時 撤 換 后 對 其 進(jìn) 行 分 類 存 檔 ， 用 于 事 后 憑 據(jù) 或 查 閱 此 類 文 本 應(yīng) 保 持 整 潔 、 清 楚 ， 并 標(biāo) 明 日 期 ， 按 分 類 妥 善 保 存 至 規(guī) 定 期限 到 期 為 止 。 針 對 各 類 文 件 的 建 立 和 修 訂 ， 要 制 定 一 定 的 流 程 和 職 責(zé) 劃 分 。 4.3.5 ISMS文 件 控 制BS7799-2對 ISMS文 件 控 制 的 要 求 ： 2021/5/12 記 錄 作 為 ISMS運(yùn) 行 結(jié) 果 的 證 據(jù) ，

58、要 求 加 以 保 留 ， 以 證 明 是否 符 合 ISMS和 組 織 所 提 出 的 要 求 。 記 錄 可 為 訪 客 記 錄 、 審計 記 錄 和 出 入 證 明 等 等 。 各 單 位 應(yīng) 建 立 并 運(yùn) 行 合 理 程 序 ， 以 確 認(rèn) 、 維 護(hù) 、 保 存 和 處理 這 些 過 程 是 否 規(guī) 范 的 要 求 。 記 錄 要 求 清 晰 可 辨 ， 通 過 其 可 追 溯 到 所 記 錄 的 活 動 情 況 。記 錄 的 保 存 和 維 護(hù) 應(yīng) 當(dāng) 做 到 隨 時 可 得 ， 并 不 得 損 壞 、 磨 損或 丟 失 。 4.3.6 ISMS記 錄BS7799-2對 ISMS

59、記 錄 的 要 求 ： 2021/5/12 5.1 十 類 控 制 措 施 5.2 基 本 控 制 措 施 5.3 ISO17799控 制 目 標(biāo) 和 控 制 措 施 概 述 5. ISO17799中 的 控 制 目 標(biāo) 和 控 制 措 施 2021/5/12 5.1 十 類 控 制 措 施一 、 安 全 方 針 （ Security Policy） （ 1,2） （ 附 注 ）二 、 安 全 組 織 （ Security Organization） (3,10)三 、 資 產(chǎn) 分 類 與 控 制 (Asset classification and Control)(2,3)四 、 人 員 安

60、 全(Personnel Security) (3,10) 五 、 物 理 與 環(huán) 境 安全 (Physic and Environment Security)(3,13) 六 、 通 信 與 運(yùn) 行 管理(Communication and Operation Management)(7,24) 八 、 系 統(tǒng) 開 發(fā) 與 維護(hù) (System develop and maintenance)(5,18)七 、 訪 問 控 制 (Access control)(8,31)九 、 業(yè) 務(wù) 持 續(xù) 性 管 理 (Business continuity management)(1,5)十 、 符

61、合 性 (Compliance)(3,11)附 注 ： (m， n) m： 執(zhí) 行 目 標(biāo) 的 數(shù) 目 n： 控 制 方 法 的 數(shù) 目 新 住 院 病 案 首 頁 填 寫 培 訓(xùn) 病 案 質(zhì) 控 中 心 2021/5/12 5.1 十 類 控 制 措 施 (續(xù) ) ISO17799包含了36個控制目標(biāo)和127個控制措施不是所有的控制措施都適用于組織的各種情形所描述的控制措施也未考慮組織的環(huán)境和適用技術(shù)的限制所描述的控制措施并不是必須適用于組織中的所有人 2021/5/12 ISO17799推 薦 了 八 個 控 制 措 施 作 為 信 息安 全 的 起 始 點 （ Starting Poin

62、t） ， 組 織 可以 此 為 基 礎(chǔ) 建 立 ISMS。 這 些 控 制 措 施 在 大 多 數(shù) 情 況 下 是 普 遍 適用 的 。 5.2 基 本 控 制 措 施 2021/5/12 與 法 律 有 關(guān) 的 控 制 措 施12.1.4 數(shù) 據(jù) 保 護(hù) 和 個 人 隱 私12.1.3 組 織 記 錄 的 保 護(hù)12.1.2 知 識 產(chǎn) 權(quán)5.2 基 本 控 制 措 施 與 法 律 相 關(guān)的 2021/5/12 與 法 律 有 關(guān) 的 控 制 措 施12.1.4 數(shù) 據(jù) 保 護(hù) 和 個 人 隱 私目 標(biāo) ： 符 合 所 在 國 家 的 數(shù) 據(jù) 保 護(hù) 法 律 和 與 個 人 隱 私 相 關(guān)

63、的法 律 數(shù) 據(jù) 保 護(hù) 法 1998（ 英 國 ） 電 子 數(shù) 據(jù) 保 護(hù) 法 （ 歐 盟 2002年 6月 通 過 ） 電 信 服 務(wù) 數(shù) 據(jù) 保 護(hù) 法 （ 德 國 ） 個 人 隱 私 法 （ 美 國 、 加 拿 大 等 ） 電 子 通 信 隱 私 法 （ 美 國 ）5.2 基 本 控 制 措 施 與 法 律 相 關(guān)的 2021/5/12 與 法 律 有 關(guān) 的 控 制 措 施12.1.3 組 織 記 錄 的 保 護(hù)目 標(biāo) ： 保 護(hù) 重 要 的 記 錄 不 被 丟 失 、 破 壞 或 偽 造 保 留 期 存 儲 報 廢 處 理5.2 基 本 控 制 措 施 與 法 律 相 關(guān)的 202

64、1/5/12 與 法 律 有 關(guān) 的 控 制 措 施12.1.2 知 識 產(chǎn) 權(quán) 12.1.2.1 版 權(quán) 12.1.2.2 軟 件 版 權(quán)目標(biāo)：確保使用產(chǎn)品或服務(wù)時不違反國家有關(guān)知識產(chǎn)權(quán)和專屬軟件產(chǎn)品方面的法律、法規(guī)和法令。 復(fù) 制 限 制 許 可 協(xié) 議 合 同 要 求5.2 基 本 控 制 措 施 與 法 律 相 關(guān)的 2021/5/12 與 最 佳 實 踐 有 關(guān) 的 控 制 措 施3.1 信 息 安 全 方 針4.1.3 信 息 安 全 責(zé) 任 分 配6.2.1 信 息 安 全 教 育 與 培 訓(xùn)6.3.1 安 全 事 件 匯 報11.1 業(yè) 務(wù) 連 續(xù) 性 管 理 5.2 基 本

65、控 制 措 施 與 最 佳 實 踐相 關(guān) 的 2021/5/12 與 最 佳 實 踐 有 關(guān) 的 控 制 措 施3.1.1 信 息 安 全 方 針 文 件目 標(biāo) ： 為 信 息 安 全 提 供 管 理 指 導(dǎo) 和 支 持 。 信 息 安 全 方 針5.2 基 本 控 制 措 施 與 最 佳 實 踐相 關(guān) 的 2021/5/12 與 最 佳 實 踐 有 關(guān) 的 控 制 措 施4.1.3 信 息 安 全 責(zé) 任 分 配目 標(biāo) ： 分 配 安 全 責(zé) 任 ， 使 得 信 息 安 全 在 組 織 內(nèi) 得 以 有 效 管理 。 和 各 個 系 統(tǒng) 相 關(guān) 的 各 種 資 產(chǎn) 和 安 全 程 序 應(yīng) 給

66、予 識 別 和明 確 的 定 義負(fù)責(zé)上述各資產(chǎn)和安全程序的經(jīng)理人的任命要經(jīng)過批準(zhǔn)，其權(quán)責(zé)要記錄在案 授 權(quán) 級 別 應(yīng) 清 晰 定 義 并 記 錄 在 案5.2 基 本 控 制 措 施 與 最 佳 實 踐相 關(guān) 的 2021/5/12 與 最 佳 實 踐 有 關(guān) 的 控 制 措 施6.2.1 信 息 安 全 教 育 與 培 訓(xùn)目 標(biāo) ： 保 證 使 用 者 有 信 息 安 全 意 識 ， 理 解 并 執(zhí) 行 信 息 安全 方 針 ， 并 有 能 力 勝 任 信 息 安 全 的 相 關(guān) 工 作 。 安 全 意 識 安 全 知 識 5.2 基 本 控 制 措 施 與 最 佳 實 踐相 關(guān) 的 2021/5/12 與 最 佳 實 踐 有 關(guān) 的 控 制 措 施6.3.1 安 全 事 件 匯 報目 標(biāo) ： 最 大 程 度 減 小 安 全 事 故 和 故 障 造 成 的 破 壞 ， 并 且 監(jiān)控 此 類 事 故 、 從 事 故 中 學(xué) 習(xí) 。 應(yīng) 該 建 立 正 式 的 報 告 程 序 ， 同 時 建 立 事 故 響 應(yīng) 程 序 ， 闡 明 接到 事 故 報 告 后 所 采 取 的 行 動 。