资源目录

机构中计算机安全项目的目标是确保自动化信息系统的安全性、完整性、可用性和机密性。目的是确保持续的业务，防止非法使用、破坏和更改系统数据或相关资源。

尤其重要的是，自动化信息系统安全项目的主要任务是部署必要的控制以确保关键业务的连续性；防止滥用或非法破坏或更改系统数据、记录、文件和应用系统；保护敏感信息免遭意外或故意泄漏。自动化信息系统安全的基本目标是：（1）防止系统资产遭受损失、破坏和滥用；（2）数据的正确性和应用处理的可靠性；（3）信息和应用处理的可用性；和（4）控制信息的分发。要达到这些目的，必须明确系统所有者的如下责任。

• 系统拥有者必须辨别、描述和设定他们所拥有或想要拥有的应用系统的敏感级别。
• 系统拥有者必须确保在系统设施、设备、软件和相关服务的获取和操作过程中有适当的安全控制要求。
• 在系统部署或重大更改之前，做为认证过程的一部分，系统拥有者必须通过对所使用的资产、所存在的威胁和漏洞进行鉴别和评价的方式对安全需求进行评估。
• 对于每一个敏感系统，系统拥有者都必须准备一份描述系统安全需求和这些需求怎样或将要怎样被满足的系统安全规划。
• 在敏感的应用系统部署或重大更改之前或者每一个年度，系统拥有者必须验证系统安全控制是足够的。
• 在运行新的敏感系统前或对敏感系统进行重大改造前都必须进行安全评估和测试以确认安全需求已经被满足。
• 对于每一个敏感系统，系统拥有者都必须制定、整理和测试应急计划以便在正常操作或其支持系统被中断或阻断时系统用户能够继续完成关键的业务。
• 系统拥有者必须制定书面政策规定什么人被授权出于什么目的使用系统，而且确保所有的系统用户了解他们的责任以及如何落实这种责任。