1、 安全方针:为信息安全提供管理指导和支持;
2、 组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信
息安全;
3、 资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息
资产受到适当程度的保护;
4、人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强
用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全
方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事
件中吸取教训;
5、实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过保障设备
安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处
理设施损坏或失窃;
6、通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统
策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息
处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;
通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织
间在交换信息时发生丢失、更改和误用。
7、访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系
统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访
问控制,防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统
的访问与使用,监测非授权行为;在移动式计算和电传工作方面,确保使用移动式计算和电传工作设施
的信息安全;
8、系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安
全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或
完整性;加强系统文件的安全,确保IT方案及其支持活动以安全的方式进行;加强开发和支持过程的安
全,确保应用系统软件和信息的安全;
9、商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;
10、符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的
规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考
虑因素,使效果最大化,并使系统审核过程的影响最小化。
