|
|
|
信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
|
|
|
|
不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
|
|
|
|
信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
|
|
|
|
.物理安全:包括环境安全、设备安全和记录介质安全。
|
|
|
|
.运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
|
|
|
|
.数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
|
|
|
