第一层文件： ➢ 《信息安全方针和适用性声明文件》 ➢ 《信息安全管理手册》 ➢ 《风险评估报告》 ➢ 《信息安全策略》
根据《信息安全管理体系规范》编制的体系文件有
第二层文件 ➢《信息安全管理体系程序文件》 ➢《管理制度》 ➢《应急预案》
根据《信息安全管理体系规范》编制的体系文件有 第三层文件 ➢ 《作业指导书》 ➢ 《检查清单、表格》等
2、实施和运行信息安全管理体系
（1）形成风险处理方案 （2）实施风险处理方案 （3）实施控制措施 （4）进行培训和教育 （5）运行控制 （6）管理资源 （7）检测和应对安全事故
3、监督和评审信息安全管理体系
（1）启动监督程序和控制措施 （2）定期进行信息安全管理体系有效性的评审 （3）评审可接受风险认可的程度 （4）定期进行信息安全管理体系的内部审核 （5）记录对管理体系有效性或产生影响的行动
➢ 2004年5月中旬形成了《信息安全管理体系规范》 （1.0版本）和相应的培训教材
➢ 2004年7月底完成了《信息安全管理体系规范》 （1.1版本）的专家评审
➢ 2004年我们举办了为期六天共两期的《信息安全 管理体系规范审核员培训班》，有近40名学员考 试合格获得证书，并得到了国家认证认可监督委 员会的认可备案
《信息安全管理体系规范》(2004) 十大控制目标
（1）信息安全方针 （2）组织的信息安全 （3）资产分类与控制 （4）人事安全 （5）设备与环境安全 （6）通信和运作管理 （7）访问控制 （8）系统开发与维护 （9）业务连续性管理 （10）符合性要求
构ቤተ መጻሕፍቲ ባይዱ信息安全管理体系的四大环节
P、建立信息安全管理体系 D、实施和运行信息安全管理体系 C、监督和评审信息安全管理体系 A、维护并改进信息安全管理体系
实施建设的涉密信息系统须通过国家保密局的安全 保密测评
（4）运行信息安全管理体系
通过安全保密测评的涉密信息系统可正式投入使用
信息安全管理体系实施与认证过程
（5）监督和评审信息安全管理体系（内审、 管理评审）
（6）维护和改进信息安全管理体系 （7）申请信息安全管理体系认证 （8）进行信息安全管理体系的外部审核 （9）获得信息安全管理体系认证证书
三、实施有效的信息安全策略
1、机构管理安全
（1）建立安全保密管理组织机构 （2）制定安全保密管理制度 （3）实施人员安全管理培训与教育
2、物理环境安全
（1）环境安全 （2）设备安全 （3）介质安全
3、信息资产安全
（1）身份鉴别 （2）访问控制 （3）信息传输保密 （4）电磁泄露防护 （5）安全审计 （6）入侵检测 （7）划分安全域
得道多助失道寡助，掌控人心方位上 。10:1 1:371 0:11: 3710: 11Thu rsday, December 10, 2020
安全在于心细，事故出在麻痹。20.1 2.102 0.12.1 010:1 1:371 0:11: 37Dec embe r 10, 2020
加强自身建设，增强个人的休养。20 20年1 2月10 日上午 10时11 分20. 12.10 20.12. 10
面向电子政务的 信息安全管理体系建设
上海市信息中心 陆国樑 2005年5月12日
一、我国电子政务发展框架
1、电子政务网络架构
➢ 我国电子政务网络架构分为 内网、外网、互联网
➢ 网路安全策略 涉密内网与政务外网采用物理隔离 政务外网与互联网采用逻辑隔离
2、电子政务应用架构
➢ 在涉密内网中 提供面向政府公务员的信息资源系统、公文管 理系统、业务应用系统、决策支持系统
3、系统风险分析
（1）机密性威胁
➢ 线路窃听 ➢ 非法访问 ➢ 业务数据导入时窃取 ➢ 病毒 ➢ 人员犯罪
（2）完整性威胁
➢ 传输过程中篡改数据 ➢ 病毒 ➢ 业务数据导入时修改 ➢ 数据库数据非法修改 ➢ 采用不可信系统
（3）可用性威胁
➢ 阻断通信线路 ➢ 攻击中心数据库 ➢ DNS无法使用 ➢ 病毒
➢ 面向社会公众的信息服务 提供政务公开、行政审批等方面的信息服务
二、电子政务信息安全风险分析
1、电子政务信息安全管理的目标
➢ 确保对信息“机密性、完整性、可用性”的保护 确保政务信息的保密性、保证身份正确识别 确保政务流程安全、明确责任和用户权限的控制 确保政务业务连续运转、维护政府形象
2、电子政务系统常见的安全威胁
监督信息安全管理体系的四个节点
1、体系监控 2、内部审核 3、管理评审 4、外部审核
改进信息安全管理体系的四种措施
1、改进措施 2、预防措施 3、纠正措施 4、风险再评估
六、我们的实践
2004年初，上海市信息中心、上海质量体系审核 中心、上海质量教育培训中心三家单位牵头，在参考 了《ISO/IEC17799信息安全管理业务规范》的基础上 开始进行了《信息安全管理体系规范》编撰与培训、 咨询等工作
科学，你是国力的灵魂；同时又是社 会发展 的标志 。上午 10时11 分37 秒上午1 0时11 分10: 11:37 20.12. 10
每天都是美好的一天，新的一天开启 。20.1 2.102 0.12.1 010:1 110:1 1:371 0:11: 37Dec -20
人生不是自发的自我发展，而是一长 串机缘 。事件 和决定 ，这些 机缘、 事件和 决定在 它们实 现的当 时是取 决于我 们的意 志的。 2020年 12月1 0日星 期四10 时11分 37秒T hursd ay, December 10, 2020
感情上的亲密，发展友谊；钱财上的 亲密， 破坏友 谊。20 .12.10 2020 年12月 10日星 期四1 0时11 分37秒 20.12. 10
谢谢大家！
（1）非人为的安全威胁
➢自然灾害（洪水、地震、台风、火灾等） ➢信息技术的局限性、漏洞和缺陷
（2）人为的安全威胁
➢内部人员的安全威胁：恶意破坏、无意损坏 ➢外部人员的安全威胁：主动攻击、被动攻击
（3）信息泄漏的风险案例
➢ 通过网络传播（拨号、在可连接互联网的电脑上处理 内部非公开信息）
➢ 通过介质扩散（磁盘、胶片等） ➢ 无意中传播（信息发布、对外交流） ➢ 通过电波扩散（电磁泄漏） ➢ 传输中被窃取（搭线窃听） ➢ 介质输出扩散（打印） ➢ 非授权访问（多人使用设备、身份冒用） ➢ 通过笔记本电脑接入（或私接设备） ➢ 利用系统漏洞进行攻击（病毒等）
4、系统运行安全
（1）病毒的防治 （2）信息备份与恢复 （3）安全监管系统 （4）应急响应系统
四、构建有效的信息安全管理体系
按照GB/T19000-2000质量管理体系和 ISO/IEC17799、 BS7799-2：2000标准，我们 提出了报国家认可委备案的《信息安全管理 体系规范》（2004）
在此，我们希望与大家一起，为加快我国 与国际信息安全管理体系接轨，使信息安全管 理步入“标准化、规范化”的轨道，共同进行 积极的探索，并为最终诞生中国信息安全管理 体系规范标准，做出我们的贡献
谢 谢!
联系地址：上海市华山路１０７６号 联系电话：０２１－６２５３７９８９ 电子邮件：luxm@
扩展市场，开发未来，实现现在。20 20年1 2月10 日星期 四上午 10时11 分37 秒10:1 1:372 0.12.1 0
做专业的企业，做专业的事情，让自 己专业 起来。 2020年 12月 上午10 时11分 20.12. 1010: 11De cembe r 10, 2020
时间是人类发展的空间。2020年12 月10日 星期四 10时11 分37 秒10:1 1:371 0 December 2020
1、建立信息安全管理体系
（1）确定信息安全管理体系的范围 （2）建立信息安全方针 （3）明确风险管理的步骤 （4）风险识别 （5）风险评估 （6）识别并评价风险处理的方法 （7）选择处理风险的控制目标和控制措施
包括10个控制方面、36项控制目标和127项控制措施 （8）适用性声明 （9）获得管理层的批准
➢ 在政务外网中 提供面向政务机关之间的业务协同系统、资源 共享系统
➢ 在互联网政府门户网站 提供面向社会公众的信息发布系统和面向企业 的业务应用系统
3、信息资源的开发利用
➢ 面向政府内部的涉密信息服务 严格按流程在授权人范围内进行信息的传递
➢ 面向政府之间的共享信息服务 按授权的访问控制在指定范围内进行信息共享与交换
➢同时，我们选择了一家企业根据《信息安全管理体系规 范》建立信息安全管理体系的试点工作
➢上海质量体系审核中心作为《信息安全管理规范》审核 单位，获得了审核资质的认可备案
➢今年四月份，上海一著名信息技术股份有限公司经过上 海市信息中心的咨询和上海质量体系审核中心的审核， 获得了首张《信息安全体系规范（2004）认证证书》
和事件
4、维护并改进信息安全管理体系
（1）实施已明确的改进措施 （2）利用在安全事故中的经验教训 （3）与所有相关方交流结果并取得一致同意 （4）确保改进措施达到预期目标
建立信息安全管理体系文件的四个层次
1、方针文件 2、程序文件 3、作业指导性文件 4、记录
根据《信息安全管理体系规范》编制的体系文件有
每一次的加油，每一次的努力都是为 了下一 次更好 的自己 。20.1 2.102 0.12.1 0Thursday, December 10, 2020
天生我材必有用，千金散尽还复来。 10:11: 3710: 11:37 10:11 12/10 /2020 10:11:37 AM
安全象只弓，不拉它就松，要想保安 全，常 把弓弦 绷。20 .12.10 10:11 :3710 :11D ec-201 0-Dec -20
根据《信息安全管理体系规范》产生的文件有
第四层文件 ➢《记录》 作为信息安全管理体系运行结果的证据