CMB培訓(xùn)ISO27001

1、ISO27001信息安全管理體系介紹頁數(shù) 1招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)ISO27001ISO27001信息安全管理體系介紹信息安全管理體系介紹20092009年年3 3月月ISO27001信息安全管理體系介紹頁數(shù) 2招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 ISO27001信息安全管理體系介紹頁數(shù) 3招

2、商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)幾個問題幾個問題信息是否是企業(yè)的重要資產(chǎn)？信息的泄漏是否會給企業(yè)帶來重大影響？信息的真實性對企業(yè)是否帶來重大影響？信息的可用性對企業(yè)是否帶來重大影響？我們是否清楚知道什么信息對企業(yè)是重要的？信息的價值是否在企業(yè)內(nèi)部有一個統(tǒng)一的標(biāo)準(zhǔn)？我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲方式，是否收到足夠保護？信息安全事件給企業(yè)造成的最大/最壞影響？ISO27001信息安全管理體系介紹頁數(shù) 4招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息

3、安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 ISO27001信息安全管理體系介紹頁數(shù) 5招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)信息資產(chǎn)信息資產(chǎn)信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計劃、應(yīng)變安排（fallback arrangement）、審核跟蹤記錄（audit trails）、歸檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實用程序；物理資產(chǎn)：計算機設(shè)備、通信設(shè)備、可移動介質(zhì)和其他設(shè)備；服務(wù)：計算和通信服務(wù)（例如，網(wǎng)絡(luò)瀏覽、域名解析）、公用設(shè)施（例如，供暖

4、，照明，能源，空調(diào)）；人員，他們的資格、技能和經(jīng)驗；無形資產(chǎn)，如組織的聲譽和形象。信息資產(chǎn)類型:ISO27001信息安全管理體系介紹頁數(shù) 6招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)信息資產(chǎn)信息資產(chǎn)電腦數(shù)據(jù)網(wǎng)絡(luò)傳輸傳真紙上記錄圖片數(shù)碼照片光盤磁帶電話交談人的大腦等信息資產(chǎn)存在方式：ISO27001信息安全管理體系介紹頁數(shù) 7招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)信息資產(chǎn)信息資產(chǎn)產(chǎn)生使用存儲傳輸銷毀/拋棄信息資產(chǎn)的生命周期：產(chǎn)生使用存貯傳輸銷毀/拋棄ISO27001信息安全管理體系介紹頁數(shù) 8招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)什么是信息安全什么是信息安全? ? ISO27001 將信息安全定義如下:保證信息的保密性，完整性，

5、可用性；另外也可包括諸如真實性，可核查性，不可否認(rèn)性和可靠性等特性保密性可用性保密性：信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性可用性：根據(jù)授權(quán)實體的要求可訪問和利用的特性 完整性：保護資產(chǎn)的準(zhǔn)確和完整的特性 ISO27001信息安全管理體系介紹頁數(shù) 9招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 ISO27001信息安全管理體系介紹頁數(shù) 10招商銀行信

6、息系統(tǒng)內(nèi)部審計培訓(xùn)信息安全管理體系（信息安全管理體系（ISMSISMS）介紹）介紹Information Security Management System(ISMS)信息安全管理體系基于國際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS是管理體系（MS）家族的一個成員ISO/IEC JTC1/SC27/WG1（國際標(biāo)準(zhǔn)化組織/國際電工委員會 聯(lián)合技術(shù)委員會1/子委員27/工作組1），WG1做為ISMS標(biāo)準(zhǔn)的工作組，負責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南ISO27001信息安全管理體系介紹頁數(shù) 11招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)IS

7、O 27000ISO 27000系列標(biāo)準(zhǔn)系列標(biāo)準(zhǔn)標(biāo)準(zhǔn)序號標(biāo)準(zhǔn)名稱發(fā)布時間ISO/IEC 27000基礎(chǔ)與術(shù)語基礎(chǔ)與術(shù)語起草中，未發(fā)布起草中，未發(fā)布ISO/IEC 27001ISMS Requirement ISMS要求要求 2005年年10月月ISO/IEC 27002Code of Practice for ISMS實用規(guī)則實用規(guī)則2007年年4月月ISO/IEC 27003ISMS Implementation Guidance ISMS實施指南實施指南起草中，未發(fā)布起草中，未發(fā)布ISO/IEC 27004ISMS Metrics and Measurement ISMS的測量的測量起草中

8、，未發(fā)布起草中，未發(fā)布ISO/IEC 27005Information Security Risk Management 信息安全風(fēng)險管理信息安全風(fēng)險管理2008年年6月月ISO/IEC 27006Certification and Registration process審核認(rèn)證機構(gòu)要求審核認(rèn)證機構(gòu)要求2007年年2月月ISO27001信息安全管理體系介紹頁數(shù) 12招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)ISO 27001 ISO 27001 的歷史的歷史ISO27001信息安全管理體系介紹頁數(shù) 13招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)等同的國家標(biāo)準(zhǔn)等同的國家標(biāo)準(zhǔn)GB/T 22080-2008 信息技術(shù) 安全技

9、術(shù) 信息安全管理體系 要求 GB/T 22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實用規(guī)則 我國已將ISO27001和ISO27002系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月，經(jīng)國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布兩個新的國家標(biāo)準(zhǔn)，并于2008年11月1日起實施。ISO27001信息安全管理體系介紹頁數(shù) 14招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)提升競爭力提高合規(guī)性滿足利益相關(guān)方期望實施實施ISMSISMS的好處的好處建立持續(xù)改進的信息安全與風(fēng)險管理有效保護組織的知識產(chǎn)權(quán)有效保護客戶信息提升組織形象提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)要求保護商業(yè)機密遵從法律法規(guī)要求更好

10、的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強自信與客戶信任度提升投資回報率ISO 27001ISO27001信息安全管理體系介紹頁數(shù) 15招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)當(dāng)前獲得當(dāng)前獲得ISO27001ISO27001證書的組織分布證書的組織分布(2008(2008年年9 9月月) ) ISO27001信息安全管理體系介紹頁數(shù) 16招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 I

11、SO27001信息安全管理體系介紹頁數(shù) 17招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)ISO27001ISO27001信息安全管理體系要求信息安全管理體系要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。 ISO27001

12、信息安全管理體系介紹頁數(shù) 18招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)定義范圍和邊界定義安全策略定義風(fēng)險評估方法識別風(fēng)險識別和評價風(fēng)險識別和評價風(fēng)險處理的可選措施為處理風(fēng)險選擇控制目標(biāo)和控制措施獲得管理者對建議的殘余風(fēng)險的批準(zhǔn)獲得管理者對實施和運行ISMS的授權(quán)準(zhǔn)備適用性聲明（SoA）建立建立ISMSISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMSISO27001信息安全管理體系介紹頁數(shù) 19招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)實施和運行實施和運行ISMSISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行

13、ISMS制定風(fēng)險處理計劃實施風(fēng)險處理計劃 實施培訓(xùn)和意識教育計劃管理ISMS的運行 管理ISMS的資源應(yīng)急響應(yīng)、事故管理ISO27001信息安全管理體系介紹頁數(shù) 20招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)監(jiān)視和評審監(jiān)視和評審ISMSISMS檢查Check建立ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMS執(zhí)行監(jiān)視與評審程序和其它控制措施 ISMS有效性的定期評審 測量控制措施的有效性 定期實施ISMS內(nèi)部審核 定期進行ISMS管理評審 ISO27001信息安全管理體系介紹頁數(shù) 21招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)保持和改進保持和改進ISMSISMS檢查Check建立ISMS

14、保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do實施和運行ISMS實施已識別的ISMS改進措施 采取合適的糾正和預(yù)防措施 從安全經(jīng)驗中吸取教訓(xùn) 向所有相關(guān)方溝通措施和改進情況 ISO27001信息安全管理體系介紹頁數(shù) 22招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 ISO27001信息安全管理體系介紹頁數(shù) 23招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)風(fēng)險的概念風(fēng)險的

15、概念風(fēng)險是指遭受損害或損失的可能性，是實現(xiàn)一個事件的不想要的負面結(jié)果的潛在因素。對信息系統(tǒng)而言：兩種因素造成對其使命的實際影響：一個特定的威脅源利用或偶然觸發(fā)一個特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IEC GUIDE73將風(fēng)險定義為：事件的概率及其結(jié)果的組合。ISO27001信息安全管理體系介紹頁數(shù) 24招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)風(fēng)險管理的目標(biāo)風(fēng)險管理的目標(biāo)風(fēng)險管理指標(biāo)識、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。 風(fēng)險管理被認(rèn)為是良好管理的一個組成部分。 風(fēng)險管理的目標(biāo)：高影響低概率高影響高影響高概率高概率低影響低影響低概率低概率

16、底影響底影響低概率低概率影響概率控制目標(biāo)控制目標(biāo)概率ISO27001信息安全管理體系介紹頁數(shù) 25招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)信息安全風(fēng)險管理一般方法信息安全風(fēng)險管理一般方法資產(chǎn)識別 威脅識別 分析和評價風(fēng)險 風(fēng)險處理計劃識別脆弱性當(dāng)前控制措施分析風(fēng)險監(jiān)控、檢查與溝通風(fēng)險監(jiān)控、檢查與溝通ISO27001信息安全管理體系介紹頁數(shù) 26招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)識別威脅識別威脅威脅威脅可多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑幾種常見威脅：自然災(zāi)害計算機犯罪員工操作失誤商業(yè)間諜黑客ISO 27001將威脅定義如下：可能導(dǎo)致對系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在原因 ISO2

17、7001信息安全管理體系介紹頁數(shù) 27招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)識別脆弱性識別脆弱性脆弱性常被成為漏洞幾種常見脆弱性：簡單口令員工安全意思淡薄第三方缺乏保密協(xié)議變更管理薄弱明文傳輸信息經(jīng)驗表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進行風(fēng)險評估時往往過分注重技術(shù)脆弱性。ISO 27001將脆弱性定義如下：可能會被一個或多個威脅所利用的資產(chǎn)或一組資產(chǎn)的弱點 ISO27001信息安全管理體系介紹頁數(shù) 28招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)分析當(dāng)前控制分析當(dāng)前控制ISO 27002將控制定義如下：管理風(fēng)險的方法，包括策略、規(guī)程、指南、慣例或組織結(jié)構(gòu)。它們可以

18、是行政、技術(shù)、管理、法律等方面的。控制措施也用于防護措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對已經(jīng)實現(xiàn)或規(guī)劃中的安全防護措施進行分析單位通過這些措施來減小或消除一個威脅源利用系統(tǒng)脆弱性的可能性（或概率）ISO27001信息安全管理體系介紹頁數(shù) 29招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)風(fēng)險的分析與評價風(fēng)險的分析與評價風(fēng)險分析：系統(tǒng)地使用信息來識別風(fēng)險來源和估計風(fēng)險 風(fēng)險評價:將估計的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程存在定性、定量兩種風(fēng)險分析方法實例：ISO27001信息安全管理體系介紹頁數(shù) 30招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)風(fēng)險處理策略風(fēng)險處理策略經(jīng)過風(fēng)險評估后識別出來的風(fēng)險，接著便是制定其對應(yīng)

19、的風(fēng)險處理計劃. 可能的風(fēng)險處理計劃包括以下四種之一或四種的組合:采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce) 風(fēng)險。了解并客觀地接受( accept) 風(fēng)險, 倘若他們清除的符合公司策略并在可接受風(fēng)險范圍之內(nèi)，或者如果采取控制（control）措施的話，成本太高。通過放棄當(dāng)前的某些活動來規(guī)避(avoid)風(fēng)險發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險至其它組織， 例如保險公司、供應(yīng)商等。ISO27001信息安全管理體系介紹頁數(shù) 31招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)定義風(fēng)險接收水平定義風(fēng)險接收水平風(fēng)險處理計劃完成后的殘余風(fēng)險水平應(yīng)在可接受風(fēng)險水平之內(nèi)初始風(fēng)險水平（高）可接受的風(fēng)險水平（Low）殘余風(fēng)險風(fēng)險級別

20、高中低殘余風(fēng)險風(fēng)險控制措施風(fēng)險控制措施ISO27001信息安全管理體系介紹頁數(shù) 32招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制措施選擇控制措施選擇從針對性和實施方式來看，控制措施分三類：管理(Administrative)性: 安全策略,流程, 組織與職責(zé)等操作(Operation)性:人員職責(zé), 事故反應(yīng), 意識培訓(xùn),系統(tǒng)開發(fā)等等技術(shù)(Technical)性: 加密,訪問控制,審計等或者從功能上來分,控制措施類型包括：威懾性(Deterrent): 告示、標(biāo)語預(yù)防性(Preventive): 培訓(xùn)，操作手冊，加密，身份認(rèn)證檢測性(Detective): CCTV,保安，報警糾正性(Corrective

21、):培訓(xùn)，問責(zé)，應(yīng)急響應(yīng)，災(zāi)備ISO27001信息安全管理體系介紹頁數(shù) 33招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)風(fēng)險風(fēng)險成本成本最佳投資點最佳投資點基本原則實施安全控制措施的代價不應(yīng)該大于要保護的資產(chǎn)的價值選擇控制措施時的成本效益分析選擇控制措施時的成本效益分析ISO27001信息安全管理體系介紹頁數(shù) 34招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)1234信息安全概述信息安全概述信息安全風(fēng)險評估信息安全風(fēng)險評估 ISMSISMS介紹介紹ISO27001ISO27001 信息安全管理體系要求信息安全管理體系要求目錄目錄5ISO27002 ISO27002 信息安全管理實用規(guī)則信息安全管理實用規(guī)則 ISO27001信息

22、安全管理體系介紹頁數(shù) 35招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)ISO27002ISO27002信息安全管理體系實用規(guī)則信息安全管理體系實用規(guī)則一、安全方針（Security Policy）二、組織信息安全（Organizing Information Security）三、資產(chǎn)管理（Asset Management）四、人力資源安全（Human Resource Security）五、物理及環(huán)境安全(Physical and Environmental Security) 六、通信與操作管理（Communications and Operations Management）八、系統(tǒng)獲取、開發(fā)與維護(I

23、nformation System Acquisition, Development and Maintenance)七、訪問控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、業(yè)務(wù)持續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）11個安全域，39個控制目標(biāo)，133個控制點ISO27001信息安全管理體系介紹頁數(shù) 36招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域1 1：安全方針：安全方針信息安全方針文件信息安全方針文件的評審1.1信息安全方針信息

24、安全方針 依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息安全 ISO27001信息安全管理體系介紹頁數(shù) 37招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域2 2：組織信息安全：組織信息安全信息安全的管理承諾信息安全協(xié)調(diào) 信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保密性協(xié)議2.12.1內(nèi)部組織內(nèi)部組織 在組織內(nèi)管理信息安全 與外部各方相關(guān)風(fēng)險的識別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題2.2組織外部各方組織外部各方保持組織的被外部各方訪問、處理、管理或與外部進行通信的信息和信息處理設(shè)施的安全 ISO27001信息安全管理體系介紹頁數(shù) 38招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域3 3：資產(chǎn)

25、管理：資產(chǎn)管理資產(chǎn)清單資產(chǎn)責(zé)任人資產(chǎn)的合格使用3.13.1資產(chǎn)責(zé)任資產(chǎn)責(zé)任實現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護 分類指南信息的標(biāo)記和處理3.2資產(chǎn)分類資產(chǎn)分類確保信息受到適當(dāng)級別的保護 ISO27001信息安全管理體系介紹頁數(shù) 39招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域4 4：人力資源安全：人力資源安全角色和職責(zé)背景審查任用條款和條件4.1任用之前任用之前確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對其承擔(dān)的角色是適合的，以降低設(shè)施被竊、欺詐和誤用的風(fēng)險 管理職責(zé)信息安全意識、教育和培訓(xùn) 紀(jì)律處理過程4.2任用中任用中確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他們的職責(zé)

26、和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，以減少人為過失的風(fēng)險終止職責(zé)資產(chǎn)的歸還撤銷訪問權(quán)4.3任用的終止任用的終止或變化或變化確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系 ISO27001信息安全管理體系介紹頁數(shù) 40招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域5 5：物理和環(huán)境安全：物理和環(huán)境安全物理安全邊界 物理入口控制 辦公室、房間和設(shè)施的安全保護外部和環(huán)境威脅的安全防護在安全區(qū)域工作公共訪問、交接區(qū)安全5.1安全區(qū)域安全區(qū)域防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾 設(shè)備安置和保護支持性設(shè)施布纜安全設(shè)備維護組織場所外的設(shè)備安全設(shè)備的安全處

27、置和再利用資產(chǎn)的移動5.2設(shè)備安全設(shè)備安全防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)安全以及組織活動的中斷 ISO27001信息安全管理體系介紹頁數(shù) 41招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域6 6：通信和操作管理：通信和操作管理文件化的操作程序變更管理責(zé)任分割開發(fā)、測試和運行設(shè)施分離6.16.1操作程序和操作程序和職責(zé)職責(zé)確保正確、安全的操作信息處理設(shè)施 服務(wù)交付第三方服務(wù)的監(jiān)視和評審第三方服務(wù)的變更管理6.26.2第三方服務(wù)第三方服務(wù)交付管理交付管理實施和保持符合第三方服務(wù)交付協(xié)議的信息安全和服務(wù)交付的適當(dāng)水準(zhǔn) 容量管理系統(tǒng)驗收6.36.3系統(tǒng)規(guī)劃和系統(tǒng)規(guī)劃和驗收驗收將系統(tǒng)失效的風(fēng)險降至最小

28、ISO27001信息安全管理體系介紹頁數(shù) 42招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域6 6：通信和操作管理（續(xù)）：通信和操作管理（續(xù)）控制惡意代碼控制移動代碼6.4防范惡意和防范惡意和移動代碼移動代碼保護軟件和信息的完整性 信息備份6.5備份備份保持信息和信息處理設(shè)施的完整性及可用性 網(wǎng)絡(luò)控制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全管理確保網(wǎng)絡(luò)中信息的安全性并保護支持性的基礎(chǔ)設(shè)施 ISO27001信息安全管理體系介紹頁數(shù) 43招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域6 6：通信和操作管理（續(xù)）：通信和操作管理（續(xù)）可移動介質(zhì)的管理介質(zhì)的處置信息處理程序系統(tǒng)文件安全6.7介質(zhì)處置介質(zhì)處置防止資產(chǎn)

29、遭受未授權(quán)泄露、修改、移動或銷毀以及業(yè)務(wù)活動的中斷 信息交換策略和程序交換協(xié)議運輸中的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)6.8信息的交換信息的交換保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的安全 電子商務(wù)在線交易公共可用信息6.9電子商務(wù)服務(wù)電子商務(wù)服務(wù)確保電子商務(wù)服務(wù)的安全及其安全使用 ISO27001信息安全管理體系介紹頁數(shù) 44招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域6 6：通信和操作管理（續(xù)）：通信和操作管理（續(xù)）審計日志監(jiān)視系統(tǒng)的使用日志信息的保護管理員和操作員日志故障日志時鐘同步6.10監(jiān)視監(jiān)視檢測未經(jīng)授權(quán)的信息處理活動 ISO27001信息安全管理體系介紹頁數(shù) 45招商銀行

30、信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域7 7：訪問控制：訪問控制訪問控制策略7.1訪問控制的訪問控制的業(yè)務(wù)要求業(yè)務(wù)要求控制對信息的訪問 用戶注冊特殊權(quán)限管理用戶口令管理用戶訪問權(quán)的復(fù)查7.2用戶訪問管理用戶訪問管理確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問 口令使用無人值守的用戶設(shè)備清空桌面和屏幕策略7.3用戶職責(zé)用戶職責(zé)防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取 ISO27001信息安全管理體系介紹頁數(shù) 46招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域7 7：訪問控制（續(xù)）：訪問控制（續(xù)）使用網(wǎng)絡(luò)服務(wù)的策略外部連接的用戶鑒別網(wǎng)絡(luò)上的設(shè)備標(biāo)識遠程診斷和配置端口的保護網(wǎng)絡(luò)隔離網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)路

31、由控制7.4網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)訪問控制防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問 安全登錄程序用戶標(biāo)識和鑒別口令管理系統(tǒng)系統(tǒng)實用工具的使用會話超時聯(lián)機時間的限定7.5操作系統(tǒng)訪操作系統(tǒng)訪問控制問控制防止對操作系統(tǒng)的未授權(quán)訪問 信息訪問限制敏感系統(tǒng)隔離7.6應(yīng)用和信息應(yīng)用和信息訪問控制訪問控制防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問 ISO27001信息安全管理體系介紹頁數(shù) 47招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域7 7：訪問控制（續(xù)）：訪問控制（續(xù)）移動計算和通訊遠程工作7.7移動計算和移動計算和遠程工作遠程工作確保使用移動計算和遠程工作設(shè)施時的信息安全 ISO27001信息安全管理體系介紹頁數(shù) 48招商銀行信息系統(tǒng)內(nèi)部審計培訓(xùn)控制域控制域8 8：信息系統(tǒng)獲取、開發(fā)和維護：信息系統(tǒng)獲取、開發(fā)和維護安全要求分析和說明8.1信息系統(tǒng)的信息系統(tǒng)的安全要求安全要求確保安全是信息系統(tǒng)的一個有機組成部分 輸入數(shù)據(jù)驗證內(nèi)部處理的控制消息完整性輸出數(shù)據(jù)驗證8.2應(yīng)用中的正應(yīng)用中的正確處理確處理防止應(yīng)用系統(tǒng)中的信息的錯誤、遺失、未授權(quán)的修改及誤用 使用密碼