信息安全管理规范(20201206145354)

1、精品文档信息安全管理规范公司.精品文档版本信息当前版本 :最新更新日期 :最新更新作者 :作者 :创建日期 :审批人 :审批日期 :修订历史版本号更新日期修订作者主要修订摘要.精品文档Table of Contents（目录）1.公司信息安全要求51.1信息安全方针51.2信息安全工作准则51.3职责61.4信息资产的分类规定61.5信息资产的分级（保密级别）规定71.6现行保密级别与原有保密级别对照表81.7信息标识与处置中的角色与职责81.8信息资产标注管理规定101.9允许的信息交换方式101.10信息资产处理和保护要求对应表111.11口令使用策略131.12桌面、屏幕清空策略131.

2、13远程工作安全策略141.14移动办公策略151.15介质的申请、使用、挂失、报废要求151.16信息安全事件管理流程171.17电子邮件安全使用规范191.18设备报废信息安全要求211.19用户注册与权限管理策略211.20用户口令管理211.21终端网络接入准则221.22终端使用安全准则221.23出口防火墙的日常管理规定231.24局域网的日常管理规定241.25集线器、交换机、无线AP的日常管理规定24.精品文档1.26网络专线的日常管理规定241.27信息安全惩戒242.信息安全知识262.1什么是信息？262.2什么是信息安全？262.3信息安全的三要素262.4什么是信息安

3、全管理体系？272.5建立信息安全管理体系的目的282.6信息安全管理的 PDCA 模式292.7安全管理风险评估过程292.8信息安全管理体系标准（ISO27001 标准家族）302.9信息安全控制目标与控制措施31.精品文档1. 公司信息安全要求1.1信息安全方针拥有信息资产，积累、共享并保护信息资产是我们共同的责任。管理与技术并重，确保公司信息资产的安全，保障公司持续正常运营。履行对客户知识产权的保护承诺，保障客户信息资产的安全，满足并超越客户信息安全需求。1.2信息安全工作准则保护信息的机密性、完整性和可用性，即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整

4、性、确保获得授权的人员能及时可靠地使用信息及信息系统；公司通过建立有效的信息安全管理体系和必要的技术手段，保障信息资产的安全，降低信息安全风险；各级信息安全责任者负责所辖区域的信息安全，通过建立相关制度及有效的保护措施，确保公司的信息安全方针得到可靠实施；全体员工应只访问或使用获得授权的信息系统及其它信息资产，应按要求选择和保护口令；未经授权，任何人不得对公司信息资产进行复制、利用或用于其它目的；应及时检测病毒，防止恶意软件的攻击；.精品文档公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理；通过建立有效和高效的信息安全管理体系，定期评估信息安全风险，持续改

5、进信息安全管理体系。1.3职责全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值，负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守信息标识与处理程序，了解信息的保密级别。对于不能确定是否为涉密信息的内容，必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安全相关的各项制度和规定，保证的系统、网络、数据仅用于的各项工作相关的用途，不得滥用。1.4信息资产的分类规定公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。类别说明电子数据存在信息媒介上的各种数据资料，包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告

6、、用户手册、作业指导书等各种电子化的数据资料。软件包括系统软件、应用软件、共享软件.精品文档系统软件：操作系统、语言包、工具软件、各种库等；应用软件：外部购买的应用软件，办公软件等；共享软件：各种共享源代码、共享可执行程序等。硬件网络设备：路由器、网关、交换机等计算机设备：大型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列、工控机等移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等传输线路：光纤、双绞线等基础保障设备：（ UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等，如对基础设施使用属于租用形式，请将其识别到服务类别中。安全保障设备：硬件防火墙、入侵检测系

7、统、身份验证等其他电子设备：打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。1.5信息资产的分级（保密级别）规定信息资产分为：一般、内部公开、企业秘密、企业机密4 个保密级别。保密级别名称说明1一般一般性信息，可以公开的信息、信息处理设备和系统资源。.精品文档2内部公非敏感但仅限公司内部使用的信息、信息处理设备和开系统资源。3企业秘敏感的信息、信息处理设备和系统资源，只给必须知密道者。4企业机敏感的信息、信息处理设备和

8、系统资源，仅适用极少密数必须知道的人。1.6现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下：现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密1.7信息标识与处置中的角色与职责角色职责责任人：信息资产的创建者，理解和各种信息访问活动相关的安全风或者主要用户所在组织、单位险；.精品文档或部门的负责人。信息资产责根据公司信息密级划分标准来确定所属信任人对所属信息资产负直接责息资产的级别；任。根据公司相关策略确定并检查信息访问权限；针对所属信息资产提出恰当的保护措施。保管者：受信息资产责任人根据公司相关策略和信息资产责任人的要委托，对信息资产进

9、行日常求，负责信息资产的维护操作和日常管理的管理，维护已经建立的保事务；护措施。资产保管者通常是负责具体设置信息访问权限；公司或部门的 IT 管理者或者负责所管理的信息资产的安全控制；代表（例如系统管理员）。部署恰当的安全机制，进行备份和恢复操作；按照信息资产责任人的要求实施其他控制。用户：信息资产的使用者，除向信息责任人申请信息访问；了公司内部员工，也可能是因按照公司信息安全策略要求正当访问信为业务需要而访问公司信息的息，禁止非授权访问；客户或第三方组织。向相关组织报告隐患、故障或者违规事件。.精品文档1.8信息资产标注管理规定（ 1） 公司所属的各类信息资产，无论其存在形式是电子、纸质还是

10、磁盘等，都应在显著位置标注其保密级别。（ 2） 一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章，磁盘等介质应在其表面非数据区予以标注其保密级别。（ 3） 如果某存储介质中包含各个级别的信息，作为整体考虑，该存储介质的保密级别标注应以最高为准。（ 4） 如果没有明显的保密级别标注，该信息资产以“一般”级别看待。（ 5） 对于对外公开的信息，需要得到相关责任人的核准，并由对外信息发布部门统一处理。（ 6） 如需在信息资产上表述保密声明，可采用以下两种表述方式：表述方式一：“保密声明：公司资产，注意保密。”表述方式二：“保密声明：本文档受国家相关法律和公司制度保

11、护，不得擅自复制或扩散。”1.9允许的信息交换方式公司允许的信息交换方式有：邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。.精品文档1.10 信息资产处理和保护要求对应表企业机密企业秘密授需得到责任人和需得到相关责任权公司管理层批准人及部门领导批准只能被得到授权只能被公司内部访的公司极少数核心或外部得到明确授人员访问权的人员访问，访问问者应该签署保密协议电子类的应该加电子类的应该妥密存储在安全的计善保存在设有安全算机系统内；硬拷控制的计算机系统存贝应该锁在安全的内（建议进行信息保险柜内；禁止以加密）；硬拷贝应储其他形式存储或显该妥善保管，严禁示摆放在桌面；使用白板展示

12、后应立即擦除得到相关责任人须经相关责任人复及公司管理层批批准，并让专人操制准；需要登记作或监督实施，需要登记禁止打印（或在须经相关责任人打授权情况下专人负许可，打印件标注责打印，不得打印密级并妥善管理，印到无人值守机）不得打印到无人值守机邮禁止邮件直接发须经相关责任人送，经授权后做电许可，邮件发送应件子签名和加密控做加密控制，保留内部公开一般需得到责无特别任人批准要求可以被公任何公司内部或外司员工或部因为业务外部人员需要的人员都可以访访问问电子类的以恰当应该妥善保方式保管，可以进存，避免行加密；纸被非授权质不应放在人员看桌面到；存储有信息的介质避免丢失经相关责内部复任人批准制无限制经相关责无限

13、任人许可，制，打印打印件标注件标注密密级并妥善级管理经相关责无限制任人许可.精品文档制，经安全的途径记录发送，保留记录传禁止传真须经相关责任人许可后专人负责传真真经授权后采取妥经授权后，由签善的保护措施，由署了特定安全协议快专人快递的专门的快递公司递快递经相关责任人和经相关责任人批公司管理层批准准后，密封分发，内部分后，密封分发，或或以允许的电子分发以允许的电子分发发形式进行安全的形式进行安全的分分发发经相关责任人和经相关责任人批公司管理层批准后准后分发，需签署对外分分发，需要签署特保密协议，需要进发定的保密协议，需行登记要进行登记碎纸机；彻底销碎纸机；彻底销毁介质；电子记录毁介质；电子记录处

14、定期消除；进行检定期消除；进行检理查确认查确认直接责任人应有跟踪文件复制、记录跟收件人、复制者、保存、浏览、销毁踪保存者、浏览者、过程，应有记录销毁者的日志记录经相关责无限制任人许可经授权无限制后，由签署了特定安全协议的专门的快递公司快递经授权无限制后，以内部邮件形式发放，或直接进行硬拷贝分发经授权经授权后，以邮件后，以允或者快递方许的分发式分发，建方式分发议签署保密协议保存件标电子记明作废；电录定期消子记录定期除，介质消除；介质销毁销毁无要求不建议跟踪.精品文档1.11 口令使用策略全体员工在挑选和使用口令时，应：（ 1） 保证口令的机密。（ 2） 除非能安全保存，避免将口令记录在纸上。（

15、3） 只要有迹象表明系统或口令可能遭到破坏，应立即更改口令。（ 4） 选用高质量的口令，最少要有 6 个字符，另外：A 口令应由字母加数字组成；B 口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。（ 5） 每三个月更改或根据访问次数更改口令（特别是特权用户），避免再次使用或循环使用旧口令。（ 6） 首次登录时，应立即更改临时口令。（ 7） 不得共享个人用户口令。1.12 桌面、屏幕清空策略为了降低在正常工作时间以外对信息进行未经授权访问所带来的风险、损失和损害，员工应：（ 1） 在闲置或工作时间之外将纸张或计算机存储介质储存在合适的柜子或其它形式的安全设备中。（ 2） 当办公室无人时

16、将关键业务信息放置到安全地点（比如防火的保险箱或.精品文档柜子中）。（ 3） 在无人使用时，将个人计算机、计算机终端和打印机、复印机设为锁定状态。（ 4） 为个人计算机、计算机终端设定密码，同时设定屏保时间（=15分钟）。（ 5） 在打印保密级别为企业机密、企业秘密的信息后，应立刻从打印机中清除相关痕迹，并有效保护打印出来的信息内容。1.13 远程工作安全策略必须保护好远程工作场所防止盗窃设备和信息、未经授权公开信息、对公司内部系统进行远程非法访问或滥用设备等行为。员工应：（ 1） 保障物理安全。（ 2） 对家人和客人使用设备进行限制。如果必须要使用，应在旁边进行监督和控制，确保关键业务信息的

17、安全。（ 3） 远程工作活动结束时，权限以及设备及时收回。（ 4） 网络远程登录终端的拨号密码即 VPN 帐号仅限本人使用，不允许他人使用。（ 5） 进入公司或客户的信息系统工作完毕后，必须立即退出系统。.精品文档1.14 移动办公策略使用移动办公设备（如笔记本电脑）时，员工尤其应该注意保证业务信息不受损坏、非法访问或泄密：（ 1） 移动办公设备需要带出公司工作场所时，应进行登记。（ 2） 在公共场所使用移动办公设备时，必须注意防范被未经授权的人员窥视。（ 3） 应实时更新用于防范恶意软件的程序。（ 4） 应对信息进行方便快捷的备份。（ 5） 备份的信息应该予以适当的保护以防信息被盗或丢失。（

18、 6） 使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和 VPN 访问控制。（ 7） 防止移动办公设备被盗。（ 8） 防止保密级别为企业秘密级以上的信息所在的移动办公设备无人看管。1.15 介质的申请、使用、挂失、报废要求（ 1） 介质的申请：序号责任者任务1资产管理员按照公司的固定资产或消耗资材申领方式向公司申领介质。相关文件或记录 固定资产管理制度 计算机维护消耗资材管.精品文档理办法2资产管理员从公司领取介质并登记 介质登记表到 介质登记表中。3资产管理员如通过设备管理，需通参见使用说明过 usb 使用的移动存储介质在中注册。4资产管理员在 介质登记表中登 介质登

19、记表记发放时间，使用人等信息后发放介质。（ 2） 介质的使用：A 如安装了设备，所有工作中使用的USB 存储介质都应在中进行注册。B如果确认介质中的内容不再需要，应立即将其以可靠方式清除。C 如果数据需要保存，则使用人应该保存在有良好安全措施的个人计算机和服务器上，而不应该放在计算机活动介质中。D 所有的备份介质都应存放在安全可靠的地方，并符合生产厂家说明书的安全要求。（ 3） 介质的挂失：序号责任者任务相关文件或记录1使用者使用人立即向资产管理员申报挂失2资产管理员如果是通过 usb 使用的移动存储介质被挂失且在上注册过，则应在上.精品文档进行注销。3资产管理在介质登记表中登记挂失介质登记表

20、员（ 4） 介质的报废：序号责任者任务相关文件或记录1使用者1）、书面文件用碎纸机粉碎2）、其他介质报废，使用人向资产管理员申请介质报废。2资产管理如果是通过 usb 使用的移动存员储介质且在上注册过，则应在上进行注销。3资产管理按照公司的固定资产和消耗资 固定资产管理制员材的报废流程实施。度 计算机维护消耗资材管理办法4资产管理在介质清单中登记已报废 1 介质登记表员1.16 信息安全事件管理流程（1） 发现A 公司全体员工都有责任和义务将已发现的或可疑的事件、故障和薄弱点及时报告给相关部门或人员。B任何企图阻拦、干扰、报复事件报告者的行为都被视为违反公司策.精品文档略。（2） 报告A 对于

21、部门范围内的信息安全事件，当事人可直接向部门负责人报告，并按照本部门规范进行处理。事件处理者需填写附录中的 信息安全事件报告处理记录单，每月将相关记录上交过程管理部。B除部门内可以自行处理的信息安全事件外，其余信息安全事件必须统一上报给客服记录。（3） 响应A 客服对信息安全事件做出最初响应，将技术方面的信息安全事件交给系统服务部组织处理，将管理方面的信息安全事件交给过程管理部组织相关部门进行处理。B需要做进一步调查的信息安全事件，当其影响范围涉及整个公司或影响程度严重妨碍了公司的正常运营时，报告给信息安全管理委员会。C事件响应及处理者在处理安全事件时应考虑以下优先次序：保护人员的生命与安全保

22、护敏感的设备和资料保护重要的数据资源防止系统被损坏将公司遭受的损失降至最小D 如果发生违法事件，事件相关涉及部门要采集并保存有效证据，上.精品文档交过程管理部报告给公司最高管理者决策，由法务部向外部法律机构报告。必要时，法务部可以寻求外部专家的支持。（4） 评价 / 调查安全事件或故障发生之后，事件处理者要对事件或故障的类型、严重程度、发生的原因、性质、产生的损失、责任人进行调查确认，形成事件或故障评价资料。（5） 惩戒A 要根据事件的严重程度、造成的损失、产生的原因对违规者进行教育或者处罚。B惩戒手段可包括通报批评、行政警告、经济处罚、调离岗位、依据合同给予辞退，对于触犯刑律者可交司法机关处

23、理。C具体处罚标准参见信息安全管理职责程序。（6） 公告A 事件的调查结果要反馈给当事部门领导。B当事部门可组织相关的人员进行学习和培训。1.17 电子邮件安全使用规范（ 1） 公司电子邮件系统禁止用于创建与分发任何含有破坏性、歧视性的信息，包括对种族、性别、残疾人、年龄、职业、性取向、宗教信仰、政治信念、国籍等方面的攻击性语言。公司的员工如果接收到任何含有此类信息的邮件，应立即向主管领导进行汇报。.精品文档（ 2） 禁止使用公司帐号发送连锁信。禁止使用公司电子邮件帐号发送病毒或恶意代码警告邮件。这些规则也适用于当公司员工接收到这类电子邮件并进行转发的情况。（ 3） 使用的邮件软件客户端要及时

24、升级，减少由于软件的漏洞而受到外部攻击，避免因此而导致的邮件丢失和系统中毒。（ 4） 邮件必须有标题，尽量以文本方式浏览邮件。（ 5） 陌生人的邮件附件尽量不要打开，禁止撰写、发送、转发各种垃圾邮件，禁止在未经授权的情况下利用他人的计算机系统发送互联网电子邮件。（ 6） 禁止使用工作邮箱从事任何非法活动及其与工作无关的邮件。（ 7） 为了保证邮件安全禁止使用自动转发功能。（ 8） 公司业务信息邮件必须使用公司规定的业务专用邮箱发送，除了业务相关邮件禁止使用业务邮箱发送其他邮件。（ 9） 邮件必须主题明确，能够通过邮件主题判断业务类别。（10 ）做好邮件的病毒防护工作。发送邮件应该注意邮件的保密

25、，避免泄漏公司机密。（11 ）所有员工都要严格遵守电子邮件安全使用规范的相关规定，员工之间应互相监督，及时制止违反规定的人员，对于使用公司邮箱传播反动言论、从事任何与法律或公司制度相违活动的人员将禁用或者注销其邮箱，并根据情节严重给予相应处罚或提交司法机关处理。.精品文档1.18 设备报废信息安全要求报废设备上交前，使用者自己负责将设备介质中的信息进行备份，机电一体化产品事业部负责将设备介质中的所有信息清除掉，以防信息泄漏。1.19 用户注册与权限管理策略对任何多用户使用的信息系统和服务设施进行访问，应：（ 1） 使用唯一的用户名，以便将用户与其操作联系起来，使用户对其操作负责。只有因工作需要

26、才允许使用组用户名。（ 2） 添加新用户或用户权限变更时应有书面申请并经过审批。（ 3） 系统管理员对新注册用户进行授权。（ 4） 应记录所有注册用户。（ 5） 用户因工作变更或离开组织时，应立即取消其访问权限。（ 6） 系统权限管理的责任人应定期组织检查并删除多余的用户名和账户，并对用户的访问权限进行定期评审或在变动后进行评审。（ 7） 系统权限管理的责任人需要严格控制特权的分配和使用，要对特权的分配和使用情况进行评审，确保没有非法授予用户特权，以保证对数据和信息服务的访问进行了有效的控制。1.20 用户口令管理在进行信息系统的口令管理，应：.精品文档（ 1） 用户需要自己维护口令，系统仅在

27、开始时提供一个安全的临时口令，用户需要立即更改临时口令。用户忘记口令时，必须在对该用户进行适当的身份核实后才能向其提供临时口令。（ 2） 在向用户提供临时口令时必须确保其安全，避免使用第三方或无保护的（明文）电子邮件，用户应对收到的口令予以确认。（ 3） 不允许在计算机系统上以无保护的形式存储口令。（ 4） 保证个人口令安全，确保工作组口令仅在本组成员间共享。1.21 终端网络接入准则公司网络覆盖范围内使用的每台计算机，员工均应安装公司规定的防毒软件 ，不得私自使用其他防毒软件。1.22 终端使用安全准则（ 1） 每台计算机应开启实时监控功能，定期进行计算机病毒检测，并及时对防毒软件或病毒特征

28、库进行升级更新。（ 2） 每台计算机应定期连接公司网络并从病毒服务器获得防病毒软件的最新定义码及扫描引擎。（ 3） 为防止计算机使用人员私自卸载客户端及信息安全客户端，卸载密码和工具由系统服务事业部统一管理。（ 4） 公司不定期组织相关部门对客户端及信息安全客户端安装情况进行抽查。抽查情况将通报各相关部门并列入年度的绩效考核。（ 5） 计算机使用人员在安装、使用客户端及信息安全客户端中遇到技术问题，可通过拨打客户服务热线寻求技术支持。.精品文档（ 6） 为防止恶意代码的侵扰，每台计算机必须按访问控制管理程序第5.2.1 节的要求设置管理员口令；网络共享文件必须设置密码和只读权限。（ 7） 任何

29、部门和个人不得制作、复制、传播计算机病毒，任何部门和个人负有清除或防治计算机病毒的义务。（ 8） 不使用来路不明或含有盗版软件的软盘与光盘，不随意安装执行从网络上下载的各种程序。当需要从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时，应当进行计算机病毒检测。（ 9） 使用电子邮件，对来路不明的邮件（特别是含有附件的邮件），收到后不要打开，直接删除并清空废件箱。1.23 出口防火墙的日常管理规定（ 1） 为公司的出口防火墙设置只读权限，便于监视进出本公司的所有访问。（ 2） 对防火墙的接口 IP 地址、用户名、口令及配置文件信息进行严格管理。（ 3） 除授权人员外，禁止任何人员物

30、理接触防火墙；对防火墙的远程管理仅限于指定 IP 地址、指定管理方式、指定用户、指定用户的管理权限。（ 4） 严禁连接公司网络的任何单位和人员以任何形式对防火墙进行攻击。（ 5） 集中收集、存储防火墙报警日志，定期检查防火墙安全记录，优化防火墙访问规则，杜绝安全漏洞。（ 6） 定期使用安全评估系统检查防火墙的各项服务是否有漏洞。（ 7） 部门如有公司出口防火墙的变更需求，必须通过公司审批，备案在册，由系统服务部统一操作。.精品文档1.24 局域网的日常管理规定各部门不得将私自构建的局域网接入公司网络。如需接入必须通过公司审批，备案在册，由系统服务部统一操作。员工在办公区域只能通过公司内网联入互

31、联网。1.25 集线器、交换机、无线AP 的日常管理规定（ 1） 各部门不得私自使用网络访问设备。（ 2） 禁止使用路由器及无线路由设备。（ 3） 如需使用集线器、交换机、无线 AP，必须通过公司审批，备案在册。（ 4） 无线 AP 必须设置符合安全要求的密码（具体要求参见管理文件访问控制管理程序中5.2.1 的要求），只有被授权人员方可使用无线网络。（ 5） 公司定期检查集线器、交换机、无线AP 的登记和使用情况。1.26 网络专线的日常管理规定（ 1） 各部门不得私自搭建网络专线。如需使用网络专线必须通过公司审批，备案在册。（ 2） 公司定期检查网络专线的登记和使用情况。1.27 信息安全

32、惩戒（ 1） 全体员工（含临时员工、派遣员工、实习员工、常驻外包员工）均应遵.精品文档守所有与信息安全相关的管理规定，不允许任何部门或人员有损害公司信息安全的行为。（ 2） 对违反信息安全管理规定，并造成严重后果的部门或员工，由公司信息安全管理委员会授权实施惩戒。（ 3） 惩戒手段包括通告、行政警告、经济处罚、调离岗位、依据合同予以辞退，对于触犯刑律者移交司法机关处理。（ 4） 对于的合同承包商和外部用户，如果违反了信息安全管理规定，公司信息安全委员会有权建议公司中止与他们的合同和协议。.精品文档2. 信息安全知识2.1什么是信息？是来自任何来源的知识。在ISO 27001的标准里：信息是一种

33、资产，就象其它重要的企业资产一样，信息资产对组织具有价值，因而需要受到妥善的保护。信息是有生命周期的。安全保护应兼顾到从其创建或诞生，到被使用或操作，到存储，再到被传递，直至其生命期结束而被销毁或丢弃。2.2什么是信息安全？信息安全的目的是，保护信息不受各种威胁，以确保业务连续，将企业损失降至最低，将投资收益与商业机会最大化。信息安全的任务是，要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。2.3信息安全的三要素机密性.精品文档完整性可用性注：1 ）、机密性：信息不可用或不被泄漏给未授权的个人、实体或过程的特性，确保只有获得授权的使用者才能使用信息。2 ）、完整性：保护资产的精确与完整的特性，确保信息在存储、使用、传输的过程中不会被未授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。3 ）、可用性：需要时，授权实体可以访问和使用的特性，确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源。2.4什么是信息安全管理体系？信息安全管理体系是协