Si usted es un administrador de información, ¿cómo juzga la implementación de la seguridad de la información?
1. Política de seguridad
La política de seguridad proporciona dirección de gestión, medios de apoyo necesarios y compromiso de gestión para las actividades de seguridad de la información. Al mismo tiempo, la política de seguridad debe definir claramente las responsabilidades de mantener la política de seguridad de la empresa. El contenido de una política de seguridad típica es muy extenso e incluye la definición y el propósito de la seguridad de la información, el campo y la importancia de la prevención de la seguridad en el mecanismo operativo de intercambio de información; la explicación de las intenciones de la gestión y el apoyo a los objetivos y principios de seguridad de la información; políticas, principios y Una breve descripción de la norma y una descripción de las condiciones para la implementación de la especificación que son de particular importancia para la institución2. organización de seguridad.
La organización de seguridad incluye tres objetivos de control: infraestructura de información empresarial, seguridad de acceso de terceros y subcontratación. La organización de seguridad requiere una organización y colaboración claras relacionadas con la seguridad de la información dentro de la empresa, cómo implementar responsabilidades de seguridad y procesos de autorización relacionados con la seguridad. Al mismo tiempo, los gerentes deben identificar riesgos en el proceso de cooperación y subcontratación de terceros, y controlar los riesgos de seguridad a través de contratos relevantes.
Liberación; explicar las responsabilidades de seguridad de la información; esperar.
3. Clasificación y control de activos
La gestión y control de la clasificación de activos incluye dos objetivos de gestión y control: la responsabilidad de los activos y la clasificación de la información. Los activos y pasivos requieren el establecimiento de un catálogo de activos preciso y completo; la clasificación de la información requiere el establecimiento de principios de clasificación de la información empresarial mediante estándares de información y el procesamiento relacionado, los activos de información pueden protegerse en un nivel apropiado.
4. Seguridad personal
La seguridad del personal incluye tres objetivos de control: responsabilidad y división de seguridad de los recursos, formación de los usuarios y respuesta a incidentes y fallos de seguridad. Esta parte, junto con la organización de seguridad, forma la base de la gestión de la seguridad empresarial. La "Separación de Responsabilidades y Seguridad de Recursos" requiere medidas efectivas para reducir los errores del personal, el robo, el fraude y el mal uso de las instalaciones. Los requisitos de “capacitación de usuarios” garantizan que los empleados comprendan las políticas de seguridad, los sistemas, las amenazas a la seguridad, etc. y respaldar eficazmente la implementación de políticas de seguridad empresarial. “Responder a incidentes y fallas de seguridad” requiere tomar medidas para minimizar el daño causado por incidentes y fallas de seguridad, monitorear dichos incidentes y aprender de ellos. La respuesta de seguridad requiere sistemas de procesos y herramientas eficaces para garantizar su calidad.
5. Seguridad física y ambiental
La seguridad física y ambiental incluye tres objetivos de control: área segura, seguridad de los equipos y medidas generales de control. El propósito de la "Zona Segura" es proteger las instalaciones y la información comercial del acceso físico no autorizado, la destrucción y la interferencia. Los controles de “seguridad de los dispositivos” protegen contra pérdidas, daños y amenazas a los activos y la interrupción de las actividades comerciales, incluido el suministro de telecomunicaciones y la seguridad de las líneas. Los "controles generales" incluyen la limpieza de escritorios y mamparas, y la limpieza de activos.
6. Gestión de comunicaciones y operaciones
La gestión de comunicaciones y operaciones incluye siete objetivos de control: procedimientos y responsabilidades operativas, planificación y aceptación del sistema, protección contra malware, gestión de limpieza, gestión de redes, procesamiento de medios. y seguridad e intercambio de información y software. El objetivo de "Procedimientos operativos y responsabilidades" es garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información, incluidos los procedimientos operativos documentados, la gestión de cambios, la gestión de incidentes y la segregación de funciones. Las medidas de control de "planificación y aceptación del sistema" incluyen la planificación de la capacidad y la aceptación del sistema, con el objetivo de reducir el riesgo de falla del sistema a un nivel mínimo. El objetivo de Malware Protection es proteger la integridad del software y la información del malware. El objetivo de la "limpieza" es mantener la integridad y disponibilidad de los servicios de comunicación y procesamiento de información. Las medidas de control incluyen copias de seguridad de la información, registros de operaciones y registros de errores. El objetivo de la "administración de red" es proteger la información y la infraestructura de soporte en una red. El "procesamiento y seguridad de medios" tiene un significado especial para el actual entorno de TI empresarial cada vez más móvil, cuyo objetivo es evitar la destrucción de activos y la interferencia con las actividades comerciales. El "intercambio de información y software" requiere medidas para evitar la pérdida, modificación o uso indebido de información durante el proceso de intercambio. La gestión de comunicaciones y operaciones son las principales consideraciones para la seguridad de la información de la red en general y reciben gran atención.
. . . . Es demasiado. Por favor verifique las referencias usted mismo. . .