信息安全管理體系包括哪些方面的信息安全保護

信息安全管理體系包括以下方面的信息安全保護：

• 資產分類及控制：資產分類包括所有信息資產都應進行分類和標識，資產管理包括資產清單應標識出所有重要資產，并及時維護更新，所有資產必須指明所有者。

• 信息安全組織：信息安全組織包括人員安全包括所有工作崗位必須有安全職責的描述并明確敏感性，安全意識包括所有員工必須接受信息安全教育、培訓來提高安全意識，角色和職責包括明確定義信息保護角色及其工作職責。

• 物理及環境安全：包括物理安全采取物理安全防護措施，防止資產和系統受到未經授權的訪問、破壞或干擾。環境安全采取物理環境保護措施，防范或降低天災、意外或人為災難對信息設備的影響。

• 網絡通信安全：采取適當安全措施，保護內部網絡與公共網絡及其他網絡間的連接，以及傳輸中的信息。

• 訪問控制：訪問控制包括問責，系統使用和操作行為必須適當地監控及審查。認證，用戶訪問信息和系統前，必須進行身份認證。授權，訪問控制權限遵循“最小化原則”。保密性，根據信息分類對信息資產做出合適的保護。完整性，采取適當的防范措施，防止信息資產受到非授權篡改或刪除。職責分離，不允許單獨一人完成整個業務交易或操作程序。

• 系統開發及維護：系統開發及維護包括應用系統開發安全在系統開發周期中適當構建信息安全控制，加密算法所使用的加密算法必須達到數據保護的要求，且有公開的論證。

• 第三方服務管理：第三方服務管理包括外包服務管理，確保外包服務供應商制定和執行不低于平安云的信息安全標準，并定期審查。安全產品管理，確保信息安全產品、密碼產品、網絡產品及服務的采購和使用滿足國家相關管理部門的規定。

回答所涉及的環境：聯想天逸510S、Windows 10。