信息安全管理体系.doc

1. 信息安全概述1.1. 什么是信息安全1.1.1. 什么是信息文字、数字、图形、图像、声音，如源代码、项目文档、应用系统数据等可存储在纸介质、磁介质或人脑中1.1.2. 什么是信息安全信息安全就是为了降低信息资产的风险，保护信息资产不受各种威胁，从而确保业务营运持续，企业损失降至最低，同时投资收益与企业机会最大化。1.1.3. 信息安全三要素CIAC机密性，I完整性，A可用性1.1.4. 信息安全工作依据的国际标准是：ISO27002 20051.1.5. 信息安全管理体系isms1.1.6. 东软的信息安全管理体系ISMS2008 PDCA模型1.1.7. ISMS2008文件结构1.2. 课后题 1、 C信息安全是：降低信息资产的风险2、 A ISMS2008是有关信息安全管理的文件3、 D下列哪项不属于信息安全的三要素:价值性4、 c信息安全工作依据的国际标准是：ISO270012. 人员信息安全2.1. 东软信息安全组织东软信息安全最高权力机构：东软信息安全管理委员会ISMC，公司领导者组成。2.2. 东软信息安全方针：管理风险，保障信息安全，提升经营持续性。2.3. 部门信息安全行为规范公司级ISMS2008文件培训部门级信息安全意识培训项目级安全培训出差前信息安全培训2.4. 员工办理离职、内部调转工作成果上传到服务器公司及客户物品归还相关管理员取消各类访问权限：如服务器、门禁系统、网络访问等。交回员工卡离职后保密协议：不能体现项目名称、客户名称2.5. 课后题 1、c 负责公司信息安全管理的部门是 信息规划与管理部2、b下列哪项描述正确3、a公司信息安全管理体系的方针是 管理风险，保障信息安全，提升经营持续性3. 信息资产安全3.1. 信息分类:4类(规范类、管理类、项目类、IT类)3.1.1. 规范类3.1.2. 管理类3.1.3. 项目类3.1.4. IT类3.2. 信息密级分类：3（东软绝密、东软机密、东软秘密）纸质或电子类密级信息均需在左上角进行密级标识3.3. 课后题 1、 公司的涉密信息密级划分为 三个级别abc2、 下面哪几项描述正确bcd涉密的信息资产,可以带回家3、 涉密信息资产废弃时,下列哪项描述不正确cd4、 关于信息的使用, 下列哪项描述不正确a打印的涉密文件不需要立刻取走5、 关于移动设备管理,下列哪项描述不正确b6、 关于设备管理方面,下列哪项描述不正确d设备报废时需检查4. 物理安全门禁系统：出入管理、会议室预订、考勤管理4.1. 课后题1、 a2、 b3、 b4、 a5、 b5. 系统和网络安全5.1. 课后题7、 关于上网行为，下面哪些描述不正确Abc8、 强密码策略包括Abcd9、 桌面系统必须进行的安全配置包括Abcd6. 项目信息安全6.1. 课后题：1、 下列哪些资料属于项目开发中的涉密信息Abcd设计书,成果物,项目管理资料,客户信息2、 针对项目实施中的信息安全要求，下面哪些描述是正确的Abcd项目启动时,须接受相关信息安全培训7. 信息安全事件处理7.1. 公司组织ISIRT7.2. 事件分级7.2.1. 重大信息安全事件举例说明:处理结果7.2.2. 严重信息安全事件举例说