标准

目的

内容

安全方针

为信息安全提供管理方向和支持。

建立安全方针文档

安全组织

建立组织内的管理体系以便安全管理。

组织内部信息安全责任；信息采集设施安全；可被第三方利用的信息资产的安全；外部信息安全评审；外包合同的安全。

资产的归类

与控制

维护组织资产的适当保护系统。

利用资产清单、分类处理、信息标签等对信息资产进行保护

人员安全

减少人为造成的风险。

在工作说明和资源方面，减少因人为错误、盗窃、欺诈和设施误用造成的风险；加强用户培训，确保用户清楚知道信息安全的危险性和相关事项，以便在他们的日常工作中支持组织的安全方针；制定安全事故或故障的反应程序，减少由安全事故和故障造成的损失，监控安全事件并从这种事件中吸取教训。

物 理 与 环

境安全

防止对关于IT服务的未经许可的介入、损伤和干扰服务。

确定安全区域，防止非授权访问、破坏、干扰商务场所和信息；通过保障设备安全，防止资产的丢失、破坏、资产危害及商务活动的中断；采用通用的控制方式，防止信息或信息处理设施损坏或失窃。

通信与操

作方式管理

保证通讯和操作设备的正确和安全维护。

明确操作程序及其责任，确保信息处理设施的正确、安全操作；加强系统策划与验收，减少系统失效风险；防范恶意软件以保持软件和信息的完整性；加强内务管理以保持信息处理和通讯服务的完整性和有效性通过；加强网络管理确保网络中的信息安全及其辅助设施受到保护；通过保护媒体处理的安全，防止资产损坏和商务活动的中断；加强信息和软件的交换的管理，防止组织间在交换信息时发生丢失、更改和误用。

访问控制

控制对商业信息的访问。

按照访问控制的商务要求，控制信息访问；加强用户访问管理，防止非授权访问信息系统；明确用户职责，防止非授权的用户访问；加强网络访问控制，保护网络服务程序；加强操作系统访问控制，防止非授权的计算机访问；加强应用访问控制，防止非授权访问系统中的信息；通过监控系统的访问与使用，监测非授权行为；在移动式计算和电传工作方面，确保使用移动式计算和电传工作设施的信息安全。

系统开发

与维护

保证系统开发与维护的安全。

明确系统安全要求，确保安全性已构成信息系统的一部份；加强应用系统的安全，防止应用系统用户数据的丢失、被修改或误用；加强密码技术控制，保护信息的保密性、可靠性或完整性；加强系统文件的安全，确保IT方案及其支持活动以安全的方式进行；加强开发和支持过程的安全，确保应用系统软件和信息的安全。

商务连续性管理

防止商业活动中断和灾难事故的影响

防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响。

符合性

避免任何违反法令、法规、合同约定及其他安全要求的行为。

符合法律法规要求，避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触；加强安全方针和技术符合性评审，确保体系按照组织的安全方针及标准执行；系统审核考虑因素，使效果最大化，并使系统审核过程的影响最小化。