ISO27001信息安全管理體系介紹課件

1、招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)ISO27001信息安全管理體系介紹2009年3月第1頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第2頁，共52頁。幾個(gè)問題信息是否是企業(yè)的重要資產(chǎn)？信息的泄漏是否會(huì)給企業(yè)帶來重大影響？信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響？信息的可用性對(duì)企業(yè)是否帶來重大影響？我們是否清楚知道什么信息對(duì)企業(yè)是重要的？信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)？我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式，是否收到足夠保護(hù)？信息安全事件給企業(yè)造成的最

2、大/最壞影響？第3頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第4頁，共52頁。信息資產(chǎn)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排（fallback arrangement）、審核跟蹤記錄（audit trails）、歸檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序；物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備；服務(wù)：計(jì)算和通信服務(wù)（例如，網(wǎng)絡(luò)瀏覽、域名解析）、公用設(shè)施（例如，供暖，照明，能源，空調(diào)）

3、；人員，他們的資格、技能和經(jīng)驗(yàn)；無形資產(chǎn)，如組織的聲譽(yù)和形象。信息資產(chǎn)類型:第5頁，共52頁。信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式：第6頁，共52頁。信息資產(chǎn)產(chǎn)生使用存儲(chǔ)傳輸銷毀/拋棄信息資產(chǎn)的生命周期：產(chǎn)生使用存貯傳輸銷毀/拋棄第7頁，共52頁。什么是信息安全? ISO27001 將信息安全定義如下:保證信息的保密性，完整性，可用性；另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性保密性可用性保密性：信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性可用性：根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性 完整性：保護(hù)資產(chǎn)的準(zhǔn)確和完整的特

4、性 第8頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第9頁，共52頁。信息安全管理體系（ISMS）介紹Information Security Management System(ISMS)信息安全管理體系基于國際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個(gè)成員ISO/IEC JTC1/SC27/WG1（國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì) 聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1），WG1做為ISMS

5、標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南第10頁，共52頁。ISO 27000系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC 27000基礎(chǔ)與術(shù)語起草中，未發(fā)布ISO/IEC 27001ISMS Requirement ISMS要求 2005年10月ISO/IEC 27002Code of Practice for ISMS實(shí)用規(guī)則2007年4月ISO/IEC 27003ISMS Implementation Guidance ISMS實(shí)施指南起草中，未發(fā)布ISO/IEC 27004ISMS Metrics and Measurement ISMS的測量起草中，未發(fā)布ISO/IEC 27

6、005Information Security Risk Management 信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC 27006Certification and Registration process審核認(rèn)證機(jī)構(gòu)要求2007年2月第11頁，共52頁。ISO 27001 的歷史第12頁，共52頁。等同的國家標(biāo)準(zhǔn)GB/T 22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求 GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則 我國已將ISO27001和ISO27002系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月，經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，全國信息安全標(biāo)

7、準(zhǔn)化技術(shù)委員會(huì)發(fā)布兩個(gè)新的國家標(biāo)準(zhǔn)，并于2008年11月1日起實(shí)施。第13頁，共52頁。提升競爭力提高合規(guī)性滿足利益相關(guān)方期望實(shí)施ISMS的好處建立持續(xù)改進(jìn)的信息安全與風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率ISO 27001第14頁，共52頁。當(dāng)前獲得ISO27001證書的組織分布(2008年9月) 第15頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理

8、實(shí)用規(guī)則 第16頁，共52頁。ISO27001信息安全管理體系要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。 第17頁，共52頁。定義范圍和邊界定義安全策略定義風(fēng)險(xiǎn)評(píng)估方法識(shí)別風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)識(shí)別和評(píng)價(jià)

9、風(fēng)險(xiǎn)處理的可選措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)準(zhǔn)備適用性聲明（SoA）建立ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS第18頁，共52頁。實(shí)施和運(yùn)行ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃管理ISMS的運(yùn)行 管理ISMS的資源應(yīng)急響應(yīng)、事故管理第19頁，共52頁。監(jiān)視和評(píng)審ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審IS

10、MS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施 ISMS有效性的定期評(píng)審 測量控制措施的有效性 定期實(shí)施ISMS內(nèi)部審核 定期進(jìn)行ISMS管理評(píng)審 第20頁，共52頁。保持和改進(jìn)ISMS檢查Check建立ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do實(shí)施和運(yùn)行ISMS實(shí)施已識(shí)別的ISMS改進(jìn)措施 采取合適的糾正和預(yù)防措施 從安全經(jīng)驗(yàn)中吸取教訓(xùn) 向所有相關(guān)方溝通措施和改進(jìn)情況 第21頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第22頁，共52頁。風(fēng)

11、險(xiǎn)的概念風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IEC GUIDE73將風(fēng)險(xiǎn)定義為：事件的概率及其結(jié)果的組合。第23頁，共52頁。風(fēng)險(xiǎn)管理的目標(biāo)風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。 風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的一個(gè)組成部分。 風(fēng)險(xiǎn)管理的目標(biāo)：高影響低概率高影響高概率低影響低概率底影響低概率影響概率控制目標(biāo)概率第24頁，共52頁。信息安全風(fēng)險(xiǎn)管理一般方法資產(chǎn)識(shí)別 威

12、脅識(shí)別 分析和評(píng)價(jià)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)處理計(jì)劃識(shí)別脆弱性當(dāng)前控制措施分析風(fēng)險(xiǎn)監(jiān)控、檢查與溝通第25頁，共52頁。識(shí)別威脅威脅威脅可多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑幾種常見威脅：自然災(zāi)害計(jì)算機(jī)犯罪員工操作失誤商業(yè)間諜黑客ISO 27001將威脅定義如下：可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 第26頁，共52頁。識(shí)別脆弱性脆弱性常被成為漏洞幾種常見脆弱性：簡單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗(yàn)表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重技術(shù)脆弱性。ISO 270

13、01將脆弱性定義如下：可能會(huì)被一個(gè)或多個(gè)威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點(diǎn) 第27頁，共52頁。分析當(dāng)前控制ISO 27002將控制定義如下：管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的?？刂拼胧┮灿糜诜雷o(hù)措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性（或概率）第28頁，共52頁。風(fēng)險(xiǎn)的分析與評(píng)價(jià)風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)評(píng)價(jià):將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程存在定性、定量兩種風(fēng)險(xiǎn)分析方法實(shí)例：第29頁，共5

14、2頁。風(fēng)險(xiǎn)處理策略經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn)，接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃. 可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合:采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce) 風(fēng)險(xiǎn)。了解并客觀地接受( accept) 風(fēng)險(xiǎn), 倘若他們清除的符合公司策略并在可接受風(fēng)險(xiǎn)范圍之內(nèi)，或者如果采取控制（control）措施的話，成本太高。通過放棄當(dāng)前的某些活動(dòng)來規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其它組織， 例如保險(xiǎn)公司、供應(yīng)商等。第30頁，共52頁。定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi)初始風(fēng)險(xiǎn)水平（高）可接受的風(fēng)險(xiǎn)水平（Low）殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)級(jí)別高中

15、低殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施第31頁，共52頁?？刂拼胧┻x擇從針對(duì)性和實(shí)施方式來看，控制措施分三類：管理(Administrative)性: 安全策略,流程, 組織與職責(zé)等操作(Operation)性:人員職責(zé), 事故反應(yīng), 意識(shí)培訓(xùn),系統(tǒng)開發(fā)等等技術(shù)(Technical)性: 加密,訪問控制,審計(jì)等或者從功能上來分,控制措施類型包括：威懾性(Deterrent): 告示、標(biāo)語預(yù)防性(Preventive): 培訓(xùn)，操作手冊，加密，身份認(rèn)證檢測性(Detective): CCTV,保安，報(bào)警糾正性(Corrective):培訓(xùn)，問責(zé)，應(yīng)急響應(yīng)，災(zāi)備第32頁，共52頁。風(fēng)險(xiǎn)成本最佳投資點(diǎn)基

16、本原則實(shí)施安全控制措施的代價(jià)不應(yīng)該大于要保護(hù)的資產(chǎn)的價(jià)值選擇控制措施時(shí)的成本效益分析第33頁，共52頁。1234信息安全概述信息安全風(fēng)險(xiǎn)評(píng)估 ISMS介紹ISO27001 信息安全管理體系要求目錄5ISO27002 信息安全管理實(shí)用規(guī)則 第34頁，共52頁。ISO27002信息安全管理體系實(shí)用規(guī)則一、安全方針（Security Policy）二、組織信息安全（Organizing Information Security）三、資產(chǎn)管理（Asset Management）四、人力資源安全（Human Resource Security）五、物理及環(huán)境安全(Physical and Environ

17、mental Security) 六、通信與操作管理（Communications and Operations Management）八、系統(tǒng)獲取、開發(fā)與維護(hù)(Information System Acquisition, Development and Maintenance)七、訪問控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、業(yè)務(wù)持續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）11個(gè)安全域，39個(gè)控制目標(biāo)，133個(gè)控制點(diǎn)第35頁

18、，共52頁?？刂朴?：安全方針信息安全方針文件信息安全方針文件的評(píng)審1.1信息安全方針 依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全 第36頁，共52頁。控制域2：組織信息安全信息安全的管理承諾信息安全協(xié)調(diào) 信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議2.1內(nèi)部組織 在組織內(nèi)管理信息安全 與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的安全 第37頁，共52頁?？刂朴?：資產(chǎn)管理資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的合格使用3.1資產(chǎn)責(zé)任實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù) 分類指南

19、信息的標(biāo)記和處理3.2資產(chǎn)分類確保信息受到適當(dāng)級(jí)別的保護(hù) 第38頁，共52頁。控制域4：人力資源安全角色和職責(zé)背景審查任用條款和條件4.1任用之前確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn) 管理職責(zé)信息安全意識(shí)、教育和培訓(xùn) 紀(jì)律處理過程4.2任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風(fēng)險(xiǎn)終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)4.3任用的終止或變化確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系 第39頁，共

20、52頁?？刂朴?：物理和環(huán)境安全物理安全邊界 物理入口控制 辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域防止對(duì)組織場所和信息的未授權(quán)物理訪問、損壞和干擾 設(shè)備安置和保護(hù)支持性設(shè)施布纜安全設(shè)備維護(hù)組織場所外的設(shè)備安全設(shè)備的安全處置和再利用資產(chǎn)的移動(dòng)5.2設(shè)備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動(dòng)的中斷 第40頁，共52頁?？刂朴?：通信和操作管理文件化的操作程序變更管理責(zé)任分割開發(fā)、測試和運(yùn)行設(shè)施分離6.1操作程序和職責(zé)確保正確、安全的操作信息處理設(shè)施 服務(wù)交付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理6.2第三方服務(wù)交付

21、管理實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn) 容量管理系統(tǒng)驗(yàn)收6.3系統(tǒng)規(guī)劃和驗(yàn)收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小 第41頁，共52頁?？刂朴?：通信和操作管理（續(xù)）控制惡意代碼控制移動(dòng)代碼6.4防范惡意和移動(dòng)代碼保護(hù)軟件和信息的完整性 信息備份6.5備份保持信息和信息處理設(shè)施的完整性及可用性 網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中信息的安全性并保護(hù)支持性的基礎(chǔ)設(shè)施 第42頁，共52頁?？刂朴?：通信和操作管理（續(xù)）可移動(dòng)介質(zhì)的管理介質(zhì)的處置信息處理程序系統(tǒng)文件安全6.7介質(zhì)處置防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷 信息交換策略和程序交換協(xié)議運(yùn)輸中

22、的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)6.8信息的交換保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全 電子商務(wù)在線交易公共可用信息6.9電子商務(wù)服務(wù)確保電子商務(wù)服務(wù)的安全及其安全使用 第43頁，共52頁?？刂朴?：通信和操作管理（續(xù)）審計(jì)日志監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故障日志時(shí)鐘同步6.10監(jiān)視檢測未經(jīng)授權(quán)的信息處理活動(dòng) 第44頁，共52頁?？刂朴?：訪問控制訪問控制策略7.1訪問控制的業(yè)務(wù)要求控制對(duì)信息的訪問 用戶注冊特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復(fù)查7.2用戶訪問管理確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問 口令使用無人值守的用戶設(shè)備清空桌面和屏幕策略7

23、.3用戶職責(zé)防止未授權(quán)用戶對(duì)信息和信息處理設(shè)施的訪問、危害或竊取 第45頁，共52頁。控制域7：訪問控制（續(xù)）使用網(wǎng)絡(luò)服務(wù)的策略外部連接的用戶鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)遠(yuǎn)程診斷和配置端口的保護(hù)網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路由控制7.4網(wǎng)絡(luò)訪問控制防止對(duì)網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問 安全登錄程序用戶標(biāo)識(shí)和鑒別口令管理系統(tǒng)系統(tǒng)實(shí)用工具的使用會(huì)話超時(shí)聯(lián)機(jī)時(shí)間的限定7.5操作系統(tǒng)訪問控制防止對(duì)操作系統(tǒng)的未授權(quán)訪問 信息訪問限制敏感系統(tǒng)隔離7.6應(yīng)用和信息訪問控制防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問 第46頁，共52頁?？刂朴?：訪問控制（續(xù)）移動(dòng)計(jì)算和通訊遠(yuǎn)程工作7.7移動(dòng)計(jì)算和遠(yuǎn)程工作確保使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息安全 第47頁，共52頁?？刂朴?：信息系統(tǒng)獲取、開發(fā)和維護(hù)安全要求分析和說明8.1信息系統(tǒng)的安全要求確保安全是信息系統(tǒng)的一個(gè)有機(jī)組成部分 輸入數(shù)據(jù)驗(yàn)證內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗(yàn)證8.2應(yīng)用中的正確處理防止應(yīng)用系統(tǒng)中的信