» 第三章  信息安全管理体系的构建与认证



                   5.物理和环境安全
                   定义安全区域，防止对办公场所和信息的未授权访问，破坏和干扰；保护设备的
               安全，防止信息资产的丢失，损坏或被盗以及对企业业务的干扰；同时，还要做好一
               般控制，防止信息和信息处理设施的损坏和被盗。

                   6.通信和操作管理
                   制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验
               收准则，将系统失效的风险降到最低；防范恶意代码和移动代码，保护软件和信息的
               完整性；做好信息备份和网络安全管理，确保信息在网络中的安全，确保其支持性基

               础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和业务活动的中断；防
               止信息和软件在组织之间交换时丢失，修改或误用。
                   7.访问控制
                   制定访问控制策略，避免信息系统的非授权访问，并让用户了解其职责和义务，

               包括网络访问控制，操作系统访问控制，应用系统和信息访问控制，监视系统访问和
               使用，定期检测未授权的活动；当使用移动办公和远程控制时，也要确保信息安全。
                   8.系统采集、开发和维护

                   标示系统的安全要求，确保安全成为信息系统的内置部分，控制应用系统的安
               全，防止应用系统中用户数据的丢失，被修改或误用；通过加密手段保护信息的保密
               性，真实性和完整性；控制对系统文件的访问，确保系统文档，源程序代码的安全；
               严格控制开发和支持过程，维护应用系统软件和信息安全。
                   9.信息安全事故管理

                   报告信息安全事件和弱点，及时采取纠正措施，确保使用持续有效的方法管理信
               息安全事故，并确保及时修复。
                   10.业务连续性管理

                   目的是减少业务活动的中断，是关键业务过程免受主要故障或天灾的影响，并确
               保及时恢复。
                   11.符合性
                   信息系统的设计，操作，使用过程和管理要符合法律法规的要求，符合组织安全

               方针和标准，还要控制系统审计，使信息审核过程的效力最大化，干扰最小化。
                   （三）效益
                   ISO27001的效益包括：
                   一是通过定义、评估和控制风险，确保经营的持续性和能力。

                   二是减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。
                   三是通过遵守国际标准提高企业竞争能力，提升企业形象。


                                                                                          • 73 •