信息安全

，天威诚信决定依据 BS7799定义的安全管理活动中的目标和措施来制定了天威诚信 PKI/CA 认证中心的各项安全管理策略并具体措施，在实施后的长期运行过程中取得了良好的效果，现已形成了可持续改进的良性运转的安全管理体系。 二、如何 结合 BS7799建设 PKI/CA认证中心 下面我们从 BS7799定义的十个安全管理领域出发，分别阐述 CA中心的运营安全管理体系是如何与其控制点进行结合的。

险。 安全的权责应当在对员工进行聘用的阶段就开始实施，还应包括在合同中，并在以后员工的聘用期内时时进行监督。 对潜在的待聘员工应加以仔细充分的筛选（见 ），特别是从事敏感工作的员工。 所有使用信息处理设备的员工或第三方都要签署保密或不泄密协议。 工作权责涵盖的安全需求 单位信息安全政策中规定的安全角色和责任当在工作定义中恰当标明（见 ）。

准则和可接受水平。 1) 识别适用于 ISMS和已经识别的业务信息安全、法律和法规要求的风险评估方法。 2) 建立接受风险的准则并识别风险的可接受等级。 选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。 注：风险评估具有不同的方法。 具体参照 国家 《 信息安全风险评估规范 》 标准。 3) 公司的风险评估的流程 公司制定《信息安全风险评估控制程序》，建立识别适用于信息安全管理体

坏后可能对公司造成中等程度的损失 2 低 (B级 ) 不太重要，其安全属性破坏后可能对公司造成较低的损失 1 很低 (C级 ) 不重要，其安全属性破坏后对公司造成导很小的损失，甚至忽略不计 威胁识别 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。 造成威胁的因素可 以 是人为 因素，也可以是环境因素， 在本评估方法中将 根据其表现形式 进行分类，详见表 3。

式 指定或委派各信息安全相关部门管理者代表及成员 信息安全管理委员会 通过文件形式下发 定期评审信息安全策略文件 一年一次或安全策略发生变更时对策略进行评审工作的发起 信息安全管理委员会 依据变更流程 惠州 培训网 更多免费资料下载请进： 好好学习社区 定期召开信息安全工作会议，讨论信息安全相关事项 每月一次 信息管理部 会议记录并上报信息安全管理委员会 定期对信息安全策略实施审计

2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到 25%以上 1 可忽略 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于 25% 惠州 培训网 更多免费资料下载请进： 好好学习社区 3分以上为重要资产，重要信息资产由信息安全部确立清单 威胁识别 威胁分类 对重要资产应由 ISMS 小组识别其面临的威胁。 针对威胁来源，根据其表现形式将威胁分为

目的具体工 作将由思乐信息安全顾问师组成的信息安全顾问组和客户方体系建设工作组来共同执行。 思乐顾问组负责提供实施方案建议及实施指导，客户方体系建设工作组负责具体的实施工作。 以咨询项目组方式进行咨询 思乐公司以项目小组的方式进行咨询，针对特定行业进行最佳的人员 组合。 每个项目小组将由一名思乐高级咨询顾问担任项目经理，负责领导项目小组工作、进行项目管理，并对最终项目成果的负责。 4

充路由控制公证安 全 机 制认 证访 问 控 制数 据 完 整 性数 据 保 密 性抗 否 认安 全 服 务0 三维信息安全体系结构图  安全体系结构所配备的安全服务和有关安全机制在体系中的一般描述  确定体系结构内部可以提供相关安全服务的位置  保证安全准确地配置安全服务，并且一直维持于信息安全的生命中，安全功能必须满足一定强度的要求。  一种安全服务可以通过某种单独的安全机制提供

一个网络系统中，使用者均通过一个操作系统来进入网络，因此，操作系统的安全性对于信息系统的安全起着至关重要的作用，但遗憾的是，现行的几种主要网络操作系统在安全机制上均存在着不同程度的缺陷。 (1)UNIX 操作系统的缺陷 (a)特权用户权力过大 UNIX通过特权系统解决安全问题，该特权系统中的特权由系统管理员控制。 第 4章 网络信息安全的因素和常见网络技术 7

all 中国科学院沈阳应用生态研究所 9:37 PM 中国科学院沈阳应用生态研究所 9:37 PM 网络的使用及常见故障处理 常见网络故障及处理流程： 使用 ping命令逐级判断 中国科学院沈阳应用生态研究所 9:37 PM 中国科学院沈阳应用生态研究所 9:37 PM 网络的使用及常见故障处理 常见网络故障及处理流程： Ping 网关 () 生态所内部网络 Ping 沈阳地区网络