信息安全管理体系抵御风险

       新版信息安全管理体系标准分为11个控制区域，39个控制目标，133个控制措施。这是一个完整的、全方位的、系统的管理体系，它可以帮助公司识别、管理和减少信息所面临的各种风险。

       控制域一：安全策略

       这是一个为信息安全提供管理指导和支持的控制域，它要回答的是信息安全管理到底要干什么的问题，我们可以把它理解为意图、目的或者方向。这里的策略是多级的，既有宏观的策略，又有针对每一个细节的二级甚至更低层策略。

       控制域二：组织信息安全

       这里的组织不仅包括推行管理体系的主体即内部组织，还包括外部关系，与客户、供应商的关系

       控制域三：资产管理

       信息安全管理体系是一个以风险评估为基础的，而风险是与资产共生的。这里的资产不仅包括本组织中想保护的信息资产控制工程网版权所有，还包括信息依存的介质，介质所依存的设备和设备所处的环境，以及能接触到的环境、介质、设备的人。为了能够全面管理风险，资产识别应覆盖全部。过程方法是通常被采纳的方法。

       资产管理中，还包括信息资产分级分类、资产责任等方面。

       控制域四：人力资源安全

       人作为特殊的一种信息载体，是管理体系的主体控制工程网版权所有，也是管理体系中最难管理的一个环节。新版标准从人员在组织中的生命周期的三个阶段识别了相应的控制措施：包括聘用前的职责描述、人员筛选以及聘用条件约束等；在职期间的管理职责和教育训练，以及离职时的相关要求。

       控制域五：物理和环境的安全

       如前所述，物理环境是整个组织正常运营的支撑，保障信息安全时，物理环境的安全需要同样进行控制。这其中包括组织环境周界划分、出入管控、安全区域等管理措施，此外CONTROL ENGINEERING China版权所有，针对设备的安置和维护工作也有相应的控制。

       控制域六：日常运作和通讯

       信息是在组织的各项业务中产生的，保护信息安全的目的就在于保证业务的延续性，组织日常的运作是信息安全管理的主要组成部分。这包括日常的操作、变更的控制、容量的规划、备份、恶意软件防护、存储介质处理、信息交换、电子商务以及监控等管理要求。

       控制域七：访问控制

       当今信息安全管理区别于传统的保密，就是通过访问控制，在保障信息的机密性的同时，保持可用性和完整性。因此访问控制是信息安全管理之中的主要技术体现。
标准从访问控制策略开始，规范了用户管理、用户职责的方法，并从网络、操作系统、应用系统和信息等层次给出了各级访问控制的要求。此外CONTROL ENGINEERING China版权所有，对于移动办公和远程工作也进行了规范。

       控制域八：系统的获得、开发与维护

       信息的安全与信息所主要存在的信息系统息息相关控制工程网版权所有，信息系统本身设计开发的安全性CONTROL ENGINEERING China版权所有，维护当中的安全性，以及获得一个新的信息系统时所需要关注的安全要求，都在本控制域当中描述。

       控制域九：信息安全意外事件管理

       信息安全意外事件的管理在旧版中散落在人员管理和运营管理当中，新版将这部分整合为一个新的控制域。它包括两个方面的控制目标，一个是信息安