本页面只读。您可以查看源文件,但不能更改它。如果您觉得这是系统错误,请联系管理员。 ====== 管理控制 ====== ==== 1、安全计划 ==== ---- 安全计划包含为公司提供全面保护和长远安全策略所需的所有条款。 ==== 2、信息资产分级 ==== ---- 确定信息资产分级方案,根据数据的用途、数据的价值、数据泄露可能导致的损失级别、恢复数据的成本等参数划分信息资产敏感级别。 一般商业公司的信息敏感级别由高到低为: * 机密 * 隐私 * 敏感 * 公开 ==== 3、人员控制 ==== ---- * 招聘时员工背景调查 * 在职期间防范内部人员外泄敏感信息、误操作引起的损失等 * 解聘相关账号注销 ==== 4、安全培训 ==== ---- 企业安全培训一般分为高层培训、IT部门培训和普通员工培训三类。 * 高层培训:主要是确定组织安全需求、得到高层在安全工作中的支持 * IT部门培训:针对安全开发、安全运营等开展的安全培训 * 普通员工培训:一般就是安全意识的培训 ==== 5、业务持续性管理(BCM) ==== ---- BCM是整体的管理框架,提供足够有效的能力以保障组织关键利益相关者的利益,包含BCP和DRP。 === 5.1 业务连续性计划(BCP) === 业务连续性计划是机构信息系统安全项目(Security Program)的一部分,其目的是在中断事件发生时通过以下措施为机构提供解决方法: * 采取及时和恰当的应急响应 * 保护生命安全 * 减少业务影响 * 恢复关键业务功能 * 在恢复期间与外部厂商和伙伴合作 * 在危险期间减少混乱 * 确保业务存活 * 在灾难后快速恢复 === 5.2 灾难恢复计划(DRP) === 灾难恢复的目标是降低灾难或者中断所带来的影响,当灾难来临时恰当的处理灾难及其灾难性的后果,通常灾难恢复计划关注于IT层面。 灾难恢复是在所有事情处于紧急状态时执行的。