×
超值优惠券
¥50
100可用 有效期2天

全场图书通用(淘书团除外)

关闭
组织机构代码信息系统等级保护工作指南

组织机构代码信息系统等级保护工作指南

1星价 ¥48.0 (8.0折)
2星价¥48.0 定价¥60.0
暂无评论
图文详情
  • ISBN:9787506678858
  • 装帧:一般胶版纸
  • 册数:暂无
  • 重量:暂无
  • 开本:16开
  • 页数:245
  • 出版时间:2015-05-01
  • 条形码:9787506678858 ; 978-7-5066-7885-8

本书特色

柯志勇、孙镇、赵捷主编的《组织机构代码信息系统等级保护工作指南》根据全国组织机构代码管理中心多年来进行等级保护工作的经验,结合组织机构代码工作特点和国家的各项政策要求,加以充实提高写成。本书除了能够为全国各级组织机构代码管理机构信息系统的等级保护工作提供指导外,还可以为准备开展信息系统等级保护定级工作的企事业单位提供**手工作参考指南。

内容简介

  《组织机构代码信息系统等级保护工作指南》特点:  1.以等级保护政策及标准体系为主线,参照国家等级保护标准进行编写。从信息安全等级保护的基本含义展开,到整个过程的实施,可以从整体上把握,进一步了解等级保护工作的开展。  2.在内容的先后次序与组织形式、知识点安排等方面,符合循序渐进、深入浅出的原则,能够让读者容易看懂、快速上手,并根据全国组织机构代码管理中心实际等级保护工作进行解读,能够引导读者快速入门。

目录

第1章 概述
1.1 组织机构代码简介
1.2 组织机构代码管理体系
1.3 组织机构代码信息系统
1.4 组织机构代码信息系统信息安全等级保护现实意义

第2章 国家信息安全等级保护制度介绍
2.1 信息安全等级保护定义
2.2 实行信息安全等级保护制度的目的
2.3 信息安全等级保护的法律和政策依据
2.4 信息安全等级保护制度的地位和作用
2.5 信息系统安全保护等级的划分与监管
2.6 等级保护工作的主要环节
2.7 贯彻落实信息安全等级保护制度的原则
2.8 信息安全等级保护政策体系
2.9 信息安全等级保护标准体系

第3章 组织机构代码信息系统等级保护主要环节
3.1 信息系统定级
3.2 信息系统备案
3.3 信息安全等级保护等级测评工作
3.4 信息安全等级保护安全建设整改工作
3.5 安全自查和监督检查
3.6 等级变更

第4章 组织机构代码信息系统生命周期等级保护主要内容
4.1 信息系统定级
4.2 总体安全规划
4.3 安全设计与实施
4.4 安全运行与维护
4.5 等级测评
4.6 系统备案
4.7 监督检查
4.8 信息系统终止

第5章 组织机构代码信息系统等级保护工作实例
5.1 等级保护工作的目标
5.2 系统划分及定级对象的确定
5.3 确定信息系统安全等级保护等级及备案
5.4 信息安全等级测评
5.5 信息系统安全整改

第6章 融合等级保护与ISMS推进信息安全工作
6.1 什么是ISMS
6.2 ISMS与等级保护的联系
6.3 ISMS与等级保护的融合

附录1 信息安全等级保护管理办法
附录2 关于信息安全等级保护工作的实施意见
附录3 关于开展全国重要信息系统安全等级保护定级工作的通知
附录4 信息安全等级保护备案实施细则
附录5 公安机关信息安全等级保护检查工作规范(试行)
附录6 关于开展信息安全等级保护安全建设整改工作的指导意见
附录7 信息系统安全等级测评报告模版(试行)
附录8 GB/T22081-2008信息技术安全技术信息安全管理实用规则(摘录)
参考文献
展开全部

节选

  《组织机构代码信息系统等级保护工作指南》:  2.定义风险评估的系统性方法  确定信息安全风险评估方法,并确定风险等级准则。评估方法应该和组织既定的信息安全管理体系范围、信息安全需求、法律法规要求相适应,兼顾效果和效率。组织需要建立风险评估文件,解释所选择的风险评估方法,说明为什么该方法适合组织的安全要求和业务环境,介绍所采用的技术和一[具,以及使用这些技术和工具的原因。评估文件还应该规范下列评估细节:  信息安全管理体系内资产的估价,包括所用的价值尺度信息;  威胁及薄弱点的识别;  可能利用薄弱点的威胁的评估,以及此类事故可能造成的影响;  以风险评估结果为基础的风险计算,以及剩余风险的识别。  3.识别风险  识别信息安全管理体系控制范围内的信息资产;识别对这些资产的威胁;识别可能被威胁利用的薄弱点;识别保密性、完整性和可用性丢失对这些资产的潜在影响。  4.评估风险  根据资产保密性、完整性或可用性丢失的潜在影响,评估由于安全失败(failure)可能引起的商业影响;根据与资产相关的主要威胁、薄弱点及其影响,以及目前实施的控制,评估此类失败发生的现实可能性;根据既定的风险等级准则,确定风险等级。  5.识别并评价风险处理的方法  对于所识别的信息安全风险,组织需要加以分析,区别对待。如果风险满足组织的风险接受方针和准则,那么就有意地、客观地接受风险;对于不可接受的风险,组织可以考虑避免风险或者转移风险;对于不可避免也不可转移的风险,应该采取适当的安全控制,将其降低到可接受的水平。  6.为风险的处理选择控制目标与控制方式  选择并文件化控制目标和控制方式,以将风险降低到可接受的等级。BS7799-2:2002中的附录A提供了可供选择的控制目标与控制方式。不可能总是以可接受的费用将风险降低到可接受的等级,那么需要确定的是增加额外的控制,还是接受高风险。在设定可接受的风险等级时,控制的强度和费用应该与事故的潜在费用相比较。这个阶段还应该策划安全破坏或者违背的探测机制,进而安排预防、制止、限制和恢复控制。在形式上,组织可以通过设计风险处理计划来完成步骤5和步骤6。风险处理计划是组织针对所识别的每一项不可接受风险建立的详细处理方案和实施时间表,是组织安全风险和控制措施的接口性文档。风险处理计划不仅可以指导后续的信息安全管理活动,还可以作为与高层管理者、上级领导机构、合作伙伴或者员工进行信息安全事宜沟通的桥梁。这个计划至少应该为每一个信息安全风险阐明以下内容:组织所选择的处理方法;已经到位的控制;建议采取的额外措施;建议控制的实施时间框架。  7.获得*高管理者的授权批准  剩余风险(residualrisks)的建议应该获得批准,开始实施和运作信息安全管理体系需要获得*高管理者的授权。  6.1.2实施并运行信息安全管理体系(D)  PDCA循环中这个阶段的任务是以适当的优先权进行管理运作,执行所选择的控制,以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险,不需要采取进一步的措施。对于不可接受风险,需要实施所选择的控制,这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统,其中要规定所选择方法、分配职责和职责分离,并且要依据规定的方式方法监控这些活动。  在不可接受的风险被降低或转移之后,还会有一部分剩余风险。应对这部分风险进行控制,确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源(人员、时间和资金)运行信息安全管理体系以及所有的安全控制。这包括所有已实施控制的文件化,以及信息安全管理体系文件的积极维护。  提高信息安全意识的目的就是产生适当的风险和安全文化,保证意识和控制活动的同步,还必须安排针对信息安全意识的培训,并检查意识培训的效果,以确保其持续有效和实时性。如有必要,应对相关方实施有针对性的安全培训,以支持组织的意识程序,保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持已策划的探测和响应机制。  ……

预估到手价 ×

预估到手价是按参与促销活动、以最优惠的购买方案计算出的价格(不含优惠券部分),仅供参考,未必等同于实际到手价。

确定
快速
导航