XXXXCIS信息安全控制措施-v

信息安全控制措施培訓(xùn)機(jī)構(gòu)名稱講師姓名版本：3.0發(fā)布日期：2014-12-1生效日期：2015-1-1內(nèi)容組織結(jié)構(gòu)每個(gè)主要安全控制措施類別，包括：一個(gè)或多個(gè)控制目標(biāo)，聲明要實(shí)現(xiàn)什么對(duì)于每個(gè)控制目標(biāo)，包含一項(xiàng)或多項(xiàng)控制措施，可被用于實(shí)現(xiàn)該控制目標(biāo)不是所有的控制措施適用于任何場(chǎng)合，它也不會(huì)考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對(duì)一個(gè)組織中所有人都適用211個(gè)類別39個(gè)目標(biāo)133個(gè)控制措施課程內(nèi)容3知識(shí)體知識(shí)域知識(shí)子域信息安全管理體系信息安全管理體系建設(shè)人力資源安全信息安全組織安全方針物理和環(huán)境安全信息安全管理體系基礎(chǔ)資產(chǎn)管理信息安全控制措施通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護(hù)符合性知識(shí)域：信息安全控制措施知識(shí)子域：安全方針理解信息安全方針控制目標(biāo)的含義掌握信息安全方針文件和信息安全方針評(píng)審兩項(xiàng)措施的常規(guī)控制方法4Why?有沒有遇到過這樣的事情？案例1有單位領(lǐng)導(dǎo)說：“聽說信息安全工作很重要，可是我不知道對(duì)于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護(hù)的?！?安全方針控制目標(biāo)

（1）信息安全方針6信息安全方針控制目標(biāo):組織的安全方針能夠依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供信息安全管理指導(dǎo)并支持信息安全控制措施信息安全方針文件信息安全方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相關(guān)方信息安全方針評(píng)審應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息安全方針評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性7信息安全方針應(yīng)符合實(shí)際情況，切實(shí)可行。對(duì)方針的落實(shí)尤為重要信息安全方針文件信息安全方針是陳述管理者的管理意圖，說明信息安全工作目標(biāo)和原則的文件信息安全方針應(yīng)當(dāng)說明以下內(nèi)容：本單位信息安全的整體目標(biāo)、范圍以及重要性信息安全工作的基本原則風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制措施的架構(gòu)需要遵守的法規(guī)和制度信息安全責(zé)任分配對(duì)支持方針的文件的引用8信息安全方針主要闡述信息安全工作的原則，具體的技術(shù)實(shí)現(xiàn)問題，如設(shè)備的選型，系統(tǒng)的安全技術(shù)方案一般不寫在安全方針中知識(shí)域：信息安全控制措施知識(shí)子域：信息安全組織理解內(nèi)部組織控制目標(biāo)的含義，掌握信息安全協(xié)調(diào)等實(shí)現(xiàn)這一目標(biāo)的控制措施的常規(guī)實(shí)施方法理解外部各方控制目標(biāo)的含義，掌握與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別等控制措施的實(shí)施方法9Why?有沒有遇到過這樣的事情？案例1我是一名網(wǎng)絡(luò)管理員，發(fā)現(xiàn)最近來自外部的病毒攻擊很猖獗，要是有15萬買個(gè)防毒墻就解決問題了，找誰要這筆錢，誰來采購？案例2我是一名普通工作人員，我的內(nèi)網(wǎng)計(jì)算機(jī)上不了外網(wǎng)沒辦法打補(bǔ)丁，我該找誰獲得幫助？應(yīng)該有一群人，至少包括單位領(lǐng)導(dǎo)、技術(shù)部門和行政部門的人組織在一起，專門負(fù)責(zé)信息安全的事10信息安全組組織控制目標(biāo)（1）內(nèi)部組織織（2）外部各方方11(1)內(nèi)部組織控制目標(biāo)：實(shí)現(xiàn)對(duì)組織織內(nèi)部的信信息安全管管理控制措施：信息安全的的管理承諾諾12信息安全協(xié)協(xié)調(diào)信息安全職職責(zé)的分配配信息處理設(shè)設(shè)施的授權(quán)權(quán)過程保密性協(xié)議議與政府部門門的聯(lián)系與特定利益益集團(tuán)的聯(lián)聯(lián)系信息安全的的獨(dú)立評(píng)審審信息安全的的管理承諾諾高層管理者者參與信息息安全建設(shè)設(shè)，負(fù)責(zé)重重大決策，，提供資源源，并對(duì)工工作方向、、職責(zé)分配配給出清晰晰的說明高層管理者者就是說了了算的，可可以給人、、給錢、給給設(shè)備，提提出工作要要求還給與與資源保障障的人13信息安全協(xié)協(xié)調(diào)不僅僅由信信息化技術(shù)術(shù)部門參與與，與信息息安全相關(guān)關(guān)的部門（（如行政、、人事、安安保、采購購、外聯(lián)））都應(yīng)參與與到組織體體系中各司司其責(zé)，協(xié)協(xié)調(diào)配合。。因此需要要協(xié)調(diào)信息安全工工作和其他他工作一樣樣不是某個(gè)個(gè)個(gè)人、某個(gè)部門就就可以完成成的信息技術(shù)部部門是信息息安全組織織中的重要要執(zhí)行機(jī)構(gòu)構(gòu)，但不是是全部14機(jī)構(gòu)內(nèi)部達(dá)達(dá)成共識(shí)避免流于形形式或作假假信息安全職職責(zé)的分配配為有效實(shí)施施信息安全全管理，保保障和實(shí)施施系統(tǒng)的信信息安全，，應(yīng)在機(jī)構(gòu)構(gòu)內(nèi)部建立立信息安全全組織，明明確角色和和職責(zé)信息安全責(zé)責(zé)任的重要要性在一個(gè)機(jī)構(gòu)構(gòu)中，安全全角色與責(zé)責(zé)任的不明明確是實(shí)施施信息安全全過程中的的最大障礙礙，建立安安全組織與與落實(shí)責(zé)任任是實(shí)施信信息安全管管理的第一一步15與政府部門門的聯(lián)系、、與特定利益益集團(tuán)的聯(lián)聯(lián)系要注意充分分利用外部部資源，與與上級(jí)主管管單位、國(guó)國(guó)家職能部部門、設(shè)備備和基礎(chǔ)設(shè)設(shè)施提供商商、安全服服務(wù)商、有有關(guān)專家保保持良好的的溝通和合合作關(guān)系例如與電力力部門建立立良好的協(xié)協(xié)作關(guān)系，，停電了，，UPS的的電也要用用光了，電電力部門可可以開個(gè)發(fā)發(fā)電車來解解決關(guān)鍵信信息系統(tǒng)臨臨時(shí)電力供供應(yīng)16(2)外部各方控制目標(biāo)：保持組織被被外部各方方訪問、處處理、管理理或與外部部進(jìn)行通信信的信息和和信息處理理設(shè)施的安安全控制措施：與外部各各方相關(guān)風(fēng)風(fēng)險(xiǎn)的識(shí)別別17處理外部各各方協(xié)議中中的安全問問題訪問風(fēng)險(xiǎn)：：維護(hù)軟件設(shè)設(shè)備的承包包商清潔、送餐餐人員外部咨詢?nèi)巳藛T審核人員知識(shí)域：信信息安全控控制措施知識(shí)子域：：資產(chǎn)管理理解對(duì)資產(chǎn)產(chǎn)負(fù)責(zé)控制制目標(biāo)的含含義，掌握握資產(chǎn)清單單、資產(chǎn)責(zé)責(zé)任人等控控制措施的的實(shí)施方法法理解信息分分類控制目目標(biāo)的含義義，掌握分分類指南、、信息的標(biāo)標(biāo)記和處理理等控制措措施的實(shí)施施方法18Why？那些曾經(jīng)發(fā)發(fā)生過的事事：案例1：某單位欲欲安裝一臺(tái)臺(tái)網(wǎng)絡(luò)防火火墻，卻發(fā)發(fā)現(xiàn)沒有人人可以說清清楚當(dāng)前的的真實(shí)網(wǎng)絡(luò)絡(luò)拓?fù)淝闆r況，也沒有有人能說清清楚系統(tǒng)中中有哪些服服務(wù)器，這這些服務(wù)器器運(yùn)行了哪哪些應(yīng)用系系統(tǒng)。案例2：某單位信信息安全評(píng)評(píng)估，發(fā)現(xiàn)現(xiàn)大部分服服務(wù)器安全全狀況良好好，只有一一臺(tái)服務(wù)器器存在嚴(yán)重重安全漏洞洞。研究整整改措施時(shí)時(shí)，發(fā)現(xiàn)平平時(shí)沒有人人對(duì)該服務(wù)務(wù)器的安全全負(fù)責(zé)。19資產(chǎn)管理控制目標(biāo)（1）對(duì)資產(chǎn)負(fù)負(fù)責(zé)（2）信息分類類20(1)對(duì)資產(chǎn)負(fù)責(zé)責(zé)控制目標(biāo)：實(shí)現(xiàn)和保持持對(duì)組織資資產(chǎn)的適當(dāng)當(dāng)保護(hù)控制措施：資產(chǎn)清單單21資產(chǎn)責(zé)任人人資產(chǎn)的可接接受使用資產(chǎn)清單信息安全管管理工作的的直接目的是保護(hù)護(hù)組織的資產(chǎn)資產(chǎn)包括：：信息：業(yè)務(wù)數(shù)據(jù)、、合同協(xié)議議、科研材材料、操作作手冊(cè)、系系統(tǒng)配置、、審計(jì)記錄錄、制度流流程等軟件：應(yīng)用軟件、、系統(tǒng)軟件件、開發(fā)工工具物理資產(chǎn)：：計(jì)算機(jī)設(shè)備備、通信設(shè)設(shè)備、存儲(chǔ)儲(chǔ)介質(zhì)等服務(wù)：通信服務(wù)、、供暖、照照明、能源源等人員無形資產(chǎn)，如品牌、、聲譽(yù)和形形象22資產(chǎn)責(zé)任人人明確資產(chǎn)責(zé)責(zé)任列出資產(chǎn)清清單，明確確保護(hù)對(duì)象象明確資產(chǎn)受受保護(hù)的程程度明確誰對(duì)資資產(chǎn)的安全全負(fù)責(zé)23(2)信息分類控制目標(biāo)：確保信息受受到適當(dāng)級(jí)級(jí)別的保護(hù)護(hù)控制措施：分類指南南24信息的標(biāo)記記和處理分類指南分類依據(jù)根據(jù)信息的價(jià)值值、法律要求和對(duì)組織的敏感感程度進(jìn)行分類關(guān)注點(diǎn)、重重點(diǎn)不同直直接影響信信息分類軍事機(jī)構(gòu)更更加關(guān)注機(jī)機(jī)密信息的的保護(hù)，私私有企業(yè)通通常更加關(guān)關(guān)注數(shù)據(jù)的的完整性和和可用性25分類必要步步驟定義分類類類別說明決定信信息分類的的標(biāo)準(zhǔn)制定每種分分類所需的的安全控制制，或保護(hù)護(hù)機(jī)制建立一個(gè)定定期審查信信息分類與與所有權(quán)的的程序讓所有員工工了解如何何處理各種種不同分類類信息分類指南建議分類方方法不宜復(fù)復(fù)雜，否則則容易造成成混亂每種分類應(yīng)應(yīng)唯一區(qū)別別于其它分分類，同時(shí)時(shí)不能有任任何重疊分類過程還還應(yīng)簡(jiǎn)單說說明如何在在其生命周周期內(nèi)控制制并處理26信息息的的標(biāo)標(biāo)記記和和處處理理標(biāo)識(shí)識(shí)信信息息類類別別，，表表明明文文件件的的密密級(jí)級(jí)、、存存儲(chǔ)儲(chǔ)介介質(zhì)質(zhì)的的種種類類（（如如內(nèi)內(nèi)網(wǎng)網(wǎng)專專用用U盤））規(guī)定定重重要要敏敏感感信信息息的的安安全全處處理理、、存存儲(chǔ)儲(chǔ)、、傳傳輸輸、、刪刪除除和和銷銷毀毀的的程程序序27知識(shí)識(shí)域域：：信信息息安安全全控控制制措措施施知識(shí)識(shí)子子域域：：人力力資資源源安安全全理解解任任用用前前控控制制目目標(biāo)標(biāo)的的含含義義，，掌掌握握角角色色和和職職責(zé)責(zé)、、審審查查等等控控制制措措施施的的實(shí)實(shí)施施方方法法理解解任任用用中中控控制制目目標(biāo)標(biāo)的的含含義義，，掌掌握握管管理理職職責(zé)責(zé)、、信信息息安安全全意意識(shí)識(shí)教教育育和和培培訓(xùn)訓(xùn)等等控控制制措措施施的的實(shí)實(shí)施施方方法法理解解任任用用的的終終止止或或變變化化控控制制目目標(biāo)標(biāo)的的含含義義，，掌掌握握終終止止職職責(zé)責(zé)、、撤撤銷銷訪訪問問權(quán)權(quán)等等控控制制措措施施的的實(shí)實(shí)施施方方法法28Why?那些些曾曾經(jīng)經(jīng)發(fā)發(fā)生生過過的的事事：：案例例一一：：2010年3月中中旬旬，，匯匯豐豐控控股股發(fā)發(fā)布布公公告告，，其其旗旗下下匯匯豐豐私私人人銀銀行行(瑞士士)的一一名名IT員工工，，曾曾于于三三年年前前竊竊取取了了銀銀行行客客戶戶的的資資料料，，失失竊竊的的資資料料涉涉及及1.5萬名名于于2006年10月前前在在瑞瑞士士開開戶戶的的現(xiàn)現(xiàn)有有客客戶戶。。有有鑒鑒于于此此，，匯匯豐豐銀銀行行三三年年來來共共投投放放1億瑞瑞士士法法郎郎，，用用來來將將IT系統(tǒng)統(tǒng)升升級(jí)級(jí)并并加加強(qiáng)強(qiáng)保保安安。。這這讓讓人人想想起起了了《論語語》中的的一一句句話話：：“吾吾恐恐季季孫孫之之憂憂，，不不在在顓顓（（zhuan）臾臾（（yu），，而而在在蕭蕭墻墻之之內(nèi)內(nèi)也也。?！薄笔拤χ湹湵缺扔饔鳛?zāi)災(zāi)禍禍、、變變亂亂由由內(nèi)內(nèi)部部原原因因所所致致。。案例例二二：：某某單單位位負(fù)負(fù)責(zé)責(zé)信信息息化化工工作作的的領(lǐng)領(lǐng)導(dǎo)導(dǎo)說說：：““為為什什么么要要買買防防火火墻墻？？我我們們蓋蓋樓樓時(shí)時(shí)是是嚴(yán)嚴(yán)格格按按照照國(guó)國(guó)家家消消防防有有關(guān)關(guān)規(guī)規(guī)定定施施工工的的呀呀！！””29人力力資資源源安安全全控制制目目標(biāo)標(biāo)（1）任任用用前前（2）任任用用中中（3）任任用用的的終終止止或或變變化化30(1)任用用前前控制制目目標(biāo)標(biāo)：確保保雇雇員員、、承承包包方方人人員員和和第第三三方方人人員員理理解解其其工工作作職職責(zé)責(zé)并并適適合合預(yù)預(yù)期期角角色色，，以以降降低低設(shè)設(shè)施施被被竊竊、、欺欺詐詐和和誤誤用用的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控制制措措施施：角角色色和和職職責(zé)責(zé)31審查查作用用條條款款和和條條件件任用用前前對(duì)擔(dān)擔(dān)任任敏敏感感和和重重要要崗崗位位的的人人員員要要考考察察其其身身份份、、學(xué)學(xué)歷歷和和技技術(shù)術(shù)背背景景、、工工作作履履歷歷和和以以往往的的違違法法違違規(guī)規(guī)記記錄錄要在在合合同同或或?qū)ｉT門的的協(xié)協(xié)議議中中，，明明確確其其信信息息安安全全職職責(zé)責(zé)明確確人人員員遵遵守守安安全全規(guī)規(guī)章章制制度度、、執(zhí)執(zhí)行行特特定定的的信信息息安安全全工工作作、、報(bào)報(bào)告告安安全全事事件件或或潛潛在在風(fēng)風(fēng)險(xiǎn)險(xiǎn)的的責(zé)責(zé)任任32(2)任用用中中控制制目目標(biāo)標(biāo)：確保保所所有有雇雇員員、、承承包包方方和和第第三三方方人人員員了了解解信信息息安安全全威威脅脅和和危危害害，，明明確確其其工工作作應(yīng)應(yīng)承承擔(dān)擔(dān)的的安安全全職職責(zé)責(zé)和和義義務(wù)務(wù)，，如如果果違違反反安安全全規(guī)規(guī)定定將將會(huì)會(huì)受受到到的的紀(jì)紀(jì)律律處處理理，，通通過過安安全全培培訓(xùn)訓(xùn)使使其其掌掌握握信信息息處處理理設(shè)設(shè)施施的的安安全全正正確確使使用用方方法法，，以以減減少少人人為為過過失失造造成成的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控制措施施：管理職職責(zé)33信息安全全意識(shí)、、教育和和培訓(xùn)紀(jì)律處理理過程任用中保證其充充分了解解所在崗崗位的信信息安全全角色和和職責(zé)有針對(duì)性性地進(jìn)行行信息安安全意識(shí)識(shí)教育和和技能培培訓(xùn)及時(shí)有效效的懲戒戒措施34(3)任用的終終止或變變化控制目標(biāo)標(biāo)：確保雇員員、承包包方人員員和第三三方人員員以一個(gè)個(gè)規(guī)范的的方式退退出一個(gè)個(gè)組織或或改變其其任用關(guān)關(guān)系，包包括調(diào)換換崗位或或崗位職職責(zé)發(fā)生生變化控制措施施：終止職職責(zé)35資產(chǎn)的歸歸還撤銷訪問問權(quán)離職可能能引發(fā)的的安全隱隱患未刪除的的賬戶未收回的的各種權(quán)權(quán)限VPN、遠(yuǎn)程主主機(jī)、企企業(yè)郵箱箱和VoIP等應(yīng)用其它隱含含信息網(wǎng)絡(luò)架構(gòu)構(gòu)、規(guī)劃劃，存在在的漏洞洞同事的賬賬戶、口口令和使使用習(xí)慣慣等這些信息息和權(quán)限限如果被被離職的的員工和和攻擊者者們惡意意利用，，很容易易導(dǎo)致信信息安全全事件36任用的終終止終止職責(zé)責(zé)：組織應(yīng)該該清晰定定義和分分配負(fù)責(zé)責(zé)執(zhí)行任任用終止止或任用用變更的的相關(guān)職職責(zé)，如通知相關(guān)關(guān)人員人人事變化化，向離職者者重申離職后仍仍需遵守守的規(guī)定定和承擔(dān)的的義務(wù)歸還資產(chǎn)產(chǎn)：保證離職職人員歸歸還軟件件、電腦腦、存儲(chǔ)儲(chǔ)設(shè)備、、文件和和其他設(shè)設(shè)備撤銷訪問問權(quán)限：撤銷用戶戶名、門門禁卡、、密鑰、數(shù)字字證書等等37知識(shí)域：：信息安安全控制制措施知識(shí)子域域：物理和環(huán)環(huán)境安全全理解人身身安全的的重要性性理解安全全區(qū)域控控制目標(biāo)標(biāo)的含義義，掌握握物理安安全邊界界、物理理入口控控制等控控制措施施的實(shí)施施方法理解設(shè)設(shè)備安安全控控制目目標(biāo)的的含義義，掌掌握設(shè)設(shè)備安安置和和保護(hù)護(hù)、支支持性性設(shè)施施等控控制措措施的的實(shí)施施方法法38Why？那些曾曾經(jīng)發(fā)發(fā)生過過的事事：案例1：間諜諜潛入入機(jī)房房，直直接用用移動(dòng)動(dòng)硬盤盤將服服務(wù)器器中的的重要要數(shù)據(jù)據(jù)拷貝貝走。。案例2：機(jī)房房中氣氣溫過過高，，導(dǎo)致致計(jì)算算機(jī)無無法正正常運(yùn)運(yùn)行，，造成成業(yè)務(wù)務(wù)中斷斷。39物理和和環(huán)境境安全全的范范疇物理（（Physical）：身身體的的、物物質(zhì)的的、自自然的的身體的的：人身安安全是是物理理安全全首要要考慮慮的問問題，，因?yàn)闉槿艘惨彩切判畔⑾迪到y(tǒng)的的一部部分物質(zhì)的的：承載信信息的的物質(zhì)質(zhì)，包包括信信息存存儲(chǔ)、、處理理、傳傳輸和和顯示示的設(shè)設(shè)施和和設(shè)備備自然的的：自然環(huán)環(huán)境的的保障障，如如溫度度、濕濕度、、電力力、災(zāi)災(zāi)害等等40物理和和環(huán)境境安全全控制目目標(biāo)（1）安全全區(qū)域域（2）設(shè)備備安全全41(1)安全區(qū)區(qū)域控制目目標(biāo)：防止對(duì)對(duì)組織織場(chǎng)所所和信信息的的未授授權(quán)物物理訪訪問、、損壞壞和干干擾，，關(guān)鍵鍵或敏敏感的的信息息及信信息處處理設(shè)設(shè)施應(yīng)應(yīng)放在在安全全區(qū)域域內(nèi)，，并受受到相相應(yīng)保保護(hù)控制措措施：物理安安全邊邊界42物理入入口控控制辦公室室、房房間和和設(shè)施施的安安全保外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全物理安安全邊邊界周邊入入侵檢檢測(cè)系系統(tǒng)用來探探測(cè)未未經(jīng)授授權(quán)而而進(jìn)入入的人人，并并發(fā)出出警報(bào)報(bào)現(xiàn)在最最常用用的入入侵監(jiān)監(jiān)測(cè)系系統(tǒng)是是機(jī)電式式的，能能夠探探測(cè)到到電路路的變變化或或斷路路，例例如：：窗戶戶貼，，繃緊緊線等等一個(gè)常常被忽忽略的的脆弱弱點(diǎn)——報(bào)警系系統(tǒng)閉路電電視使用照相機(jī)機(jī)通過傳輸媒媒介將圖片片傳送送到連連接的的顯示器器的電視視傳輸輸系統(tǒng)統(tǒng)（三三個(gè)主主要的的組件件）傳輸媒媒介可可以使使用同同軸電電纜、、光纜纜、微微波、、無線線電波波、或或紅外外光束束與廣播電視視是不同的的，盡管也也是點(diǎn)對(duì)點(diǎn)點(diǎn)的無線連連接，但CCTV的信號(hào)不是是公開傳輸輸?shù)?3物理入口控控制必須弄清來來訪者的身身份，并將將其進(jìn)入與與離開安全全區(qū)域的日日期與時(shí)間間記錄起來來所有人員配配戴識(shí)別證證44物理入口控控制卡訪問控制制磁卡、非接接觸卡等生物特征系系統(tǒng)生理特征：：指紋、視視網(wǎng)膜、聲聲音、手形形等行為特征：：簽名45辦公室、房房間和設(shè)施施的安全保保護(hù)安全區(qū)域關(guān)鍵設(shè)備應(yīng)應(yīng)放在公眾眾無法進(jìn)入入的地方避免寫出“機(jī)房重地，，請(qǐng)勿進(jìn)入入”的字樣安全區(qū)內(nèi)，，各種打印印機(jī)、復(fù)印印機(jī)設(shè)備齊齊全設(shè)備如果放放在安全區(qū)區(qū)內(nèi)，可以以降低對(duì)該該設(shè)備的保保護(hù)級(jí)別46(2)設(shè)備安全控制目標(biāo)：防止資產(chǎn)的的丟失、損損壞、失竊竊或危及資資產(chǎn)安全以以及組織活活動(dòng)的中斷斷控制措施：設(shè)備安置和和保護(hù)47支持性設(shè)施施布纜安全設(shè)備維護(hù)組織場(chǎng)所外外的設(shè)備安安全設(shè)備的安全全處置和再再利用資產(chǎn)的轉(zhuǎn)移移設(shè)備安置和和保護(hù)來自空中的的威脅——TEMPEST(抑制和防止止電磁泄露露)途徑以電磁波形形式的輻射射泄露；電源線、控控制線、信信號(hào)線和地地線造成的的傳導(dǎo)泄露露危害使各系統(tǒng)設(shè)設(shè)備相互干干擾，降低低設(shè)備性能能電磁泄露會(huì)會(huì)造成信息息暴露電磁輻射強(qiáng)強(qiáng)度影響因因素功率和頻率率距離因素屏蔽狀況預(yù)防措施選用低輻射射設(shè)備利用噪聲干干擾源采取屏蔽措措施距離防護(hù)采用微波吸吸收材料48設(shè)備運(yùn)行的的良好環(huán)境境建設(shè)機(jī)房，，應(yīng)當(dāng)參照照有關(guān)國(guó)家家標(biāo)準(zhǔn)，如機(jī)房的選址和設(shè)備的放置要考慮火災(zāi)、地震、洪水、風(fēng)暴等可能的自然威脅，以及爆炸、蓄意破壞、盜竊、恐怖襲擊、暴動(dòng)等可能的人為威脅機(jī)房、辦公場(chǎng)所和通信線路鋪設(shè)需要考慮通信中斷、電力中斷等支撐性基礎(chǔ)設(shè)施失效的問題支持性設(shè)施施電力供應(yīng)——關(guān)系到企業(yè)業(yè)的營(yíng)運(yùn)是是否正常電源：防止止電源故障障與供電不不正常的現(xiàn)現(xiàn)象多路供電、、不間斷電電源UPS、備用發(fā)電電機(jī)49支持性設(shè)施施HVAC（適當(dāng)?shù)墓┕┡?、通風(fēng)風(fēng)和空調(diào)））數(shù)據(jù)中心或或服務(wù)器機(jī)機(jī)房的空調(diào)調(diào)控制應(yīng)當(dāng)當(dāng)與大樓其其它部分隔隔離計(jì)算機(jī)房空空調(diào)不同于于舒適性空空調(diào)和常規(guī)規(guī)恒溫恒濕濕空調(diào)消防設(shè)施：：火災(zāi)的預(yù)預(yù)防、檢測(cè)測(cè)和排除火災(zāi)燃燒的的條件火災(zāi)預(yù)防-減少火災(zāi)起起因火災(zāi)檢測(cè)-在火災(zāi)發(fā)生生前，接受受火災(zāi)警報(bào)報(bào)滅火-如何滅火，，并降低到到最小損失失50人身安全的的重要性以人為本，，人身安全全最重要不要忘記人人是系統(tǒng)資資產(chǎn)的重要要組成部分分辦公室、機(jī)機(jī)房應(yīng)為操操作人員提提供健康的的工作環(huán)境境突發(fā)災(zāi)難時(shí)時(shí)，人身安安全是首先先需要保障障的51知識(shí)域：信信息安全控控制措施知識(shí)子域：：通信和操作作管理理解操作程程序和職責(zé)責(zé)、第三方方服務(wù)交付付管理、系系統(tǒng)規(guī)劃和和驗(yàn)收、防防范惡意代代碼、備份份、網(wǎng)絡(luò)安安全管理、、介質(zhì)處置置、信息的的交換、電電子商務(wù)服服務(wù)、監(jiān)視視和訪問控控制這些控控制目標(biāo)的的含義掌握實(shí)現(xiàn)這這些控制目目標(biāo)的控制制措施的實(shí)實(shí)施方法52Why？案例1：２００７年年８月３００日，美國(guó)國(guó)空軍一架架Ｂ－５２２戰(zhàn)略轟炸炸機(jī)誤裝６６枚核彈后后，從北部部的北達(dá)科科他州飛往往南部的路路易斯安那那州。這一一空前事件件顯示了美美國(guó)空軍對(duì)對(duì)核武器指指揮和控制制體系中的的漏洞。案例2：數(shù)據(jù)庫管管理員由于于疏忽進(jìn)行行了誤操作作,將重要的信信息刪除了了。案例3：涉密計(jì)算算機(jī)出現(xiàn)故故障硬盤數(shù)數(shù)據(jù)丟失，，使用人員員將硬盤拿拿到社會(huì)上上的數(shù)據(jù)恢恢復(fù)公司進(jìn)進(jìn)行恢復(fù)，，造成秘密密泄露。53通信和操作作管理控制目標(biāo)（1）操作程序序和職責(zé)（2）第三方服服務(wù)交付管管理（3）系統(tǒng)規(guī)劃劃和驗(yàn)收（4）防范惡意意代碼（5）備份（6）網(wǎng)絡(luò)安全全管理（7）介質(zhì)處置置（8）信息的交交換（9）電子商務(wù)務(wù)服務(wù)（10）監(jiān)視54(1)操作程序和和職責(zé)控制目標(biāo)：確保正確、、安全地操操作信息處處理設(shè)施控制措施：文件化的操操作程序55變更管理責(zé)任分割開發(fā)、測(cè)試試和運(yùn)行設(shè)設(shè)施分離(2)第三方服務(wù)務(wù)交付管理理控制目標(biāo)：對(duì)第三方服服務(wù)進(jìn)行管管理，使其其交付的服服務(wù)符合第第三方服務(wù)務(wù)交付協(xié)議議，并保持持在適當(dāng)水水平控制措施：服務(wù)交付56第三方服務(wù)務(wù)的監(jiān)視和和評(píng)審第三方服務(wù)務(wù)的變更管管理(3)系統(tǒng)規(guī)劃和和驗(yàn)收控制目標(biāo)：將系統(tǒng)失效效的風(fēng)險(xiǎn)降降至最小控制措施：容量管理57系統(tǒng)驗(yàn)收(4)防范惡意代代碼控制目標(biāo)：保護(hù)軟件和和信息的完完整性控制措施：控制惡意意代碼58(5)備份控制目標(biāo)：保持信息和和信息處理理設(shè)施的完完整性及可可用性控制措施：信息備份份59備份資料必必須給予適適當(dāng)級(jí)別與與保護(hù)定期測(cè)試備備份介質(zhì)定期檢查與與測(cè)試恢復(fù)復(fù)步驟(6)網(wǎng)絡(luò)安全管管理控制目標(biāo)：確保網(wǎng)絡(luò)中中信息和支支持性基礎(chǔ)礎(chǔ)設(shè)施的安安全性控制措施：網(wǎng)絡(luò)控制制60網(wǎng)絡(luò)服務(wù)安安全(7)介質(zhì)處置控制目標(biāo)：防止資產(chǎn)遭遭受未授權(quán)權(quán)泄露、修修改、移動(dòng)動(dòng)、銷毀及及業(yè)務(wù)活動(dòng)動(dòng)的中斷控制措施：可移動(dòng)介介質(zhì)的管理理61介質(zhì)的處置置(8)信息的交換換控制目標(biāo)：保持組織內(nèi)內(nèi)以及與外外部組織信信息和軟件件交換的安安全控制措施：信息交換換策略和規(guī)規(guī)程62交換協(xié)議運(yùn)輸中的物物理介質(zhì)電子消息發(fā)發(fā)送(9)電子商務(wù)服服務(wù)控制目標(biāo)：確保電子商商務(wù)服務(wù)及及使用的安安全控制措施：電子商務(wù)務(wù)63在線交易(10)監(jiān)視控制目標(biāo)：檢測(cè)未經(jīng)授授權(quán)的信息息處理活動(dòng)動(dòng)控制措施：審計(jì)日志志64監(jiān)視系統(tǒng)的的使用日志信息的的保護(hù)管理員和操操作員日志志故障日志時(shí)鐘同步知識(shí)域：信信息安全控控制措施知識(shí)子域：：訪問控制理解訪問控控制的業(yè)務(wù)務(wù)要求、用用戶訪問管管理、用戶戶職責(zé)、網(wǎng)網(wǎng)絡(luò)訪問控控制、操作作系統(tǒng)訪問問控制、應(yīng)應(yīng)用和信息息訪問控制制、移動(dòng)計(jì)計(jì)算和遠(yuǎn)程程工作這些些控制目標(biāo)標(biāo)的含義掌握實(shí)現(xiàn)這這些控制目目標(biāo)的控制制措施的實(shí)實(shí)施方法65Why?案例1：飛飛機(jī)登機(jī)，，旅客的身身份證號(hào)區(qū)區(qū)別了不同同的人，身身份證證明明確實(shí)是這這名旅客來來乘機(jī)，安安檢人員察察看身份證證和登機(jī)牌牌，掃描違違禁物品后后允許乘客客登上機(jī)票票中規(guī)定的的航班。案例2：：登錄網(wǎng)網(wǎng)站，用用戶ID區(qū)別了了不同的的用戶，，輸入登登錄密碼碼確定是是這位用用戶，網(wǎng)網(wǎng)絡(luò)防火火墻和服服務(wù)器的的權(quán)限管管理系統(tǒng)統(tǒng)允許用用戶使用用網(wǎng)站中中可以使使用的功功能。66訪問問控控制制控制制目目標(biāo)標(biāo)（1）訪訪問問控控制制的的業(yè)業(yè)務(wù)務(wù)要要求求（2）用用戶戶訪訪問問管管理理（3）用用戶戶職職責(zé)責(zé)（4）網(wǎng)網(wǎng)絡(luò)絡(luò)訪訪問問控控制制（5）操操作作系系統(tǒng)統(tǒng)訪訪問問控控制制（6）應(yīng)應(yīng)用用和和信信息息訪訪問問控控制制（7）移移動(dòng)動(dòng)計(jì)計(jì)算算和和遠(yuǎn)遠(yuǎn)程程工工作作67(1)訪問問控控制制的的業(yè)業(yè)務(wù)務(wù)要要求求控制制目目標(biāo)標(biāo)：基于于業(yè)業(yè)務(wù)務(wù)目目標(biāo)標(biāo)和和業(yè)業(yè)務(wù)務(wù)原原則則來來控控制制對(duì)對(duì)信信息息的的訪訪問問控制制措措施施：訪訪問問控控制制策策略略68(2)用戶戶訪訪問問管管理理控制制目目標(biāo)標(biāo)：確保保授授權(quán)權(quán)用用戶戶能能夠夠訪訪問問信信息息系系統(tǒng)統(tǒng)，，防防止止非非授授權(quán)權(quán)的的訪訪問問控制制措措施施：用用戶戶注注冊(cè)冊(cè)69特殊殊權(quán)權(quán)限限管管理理用戶戶口口令令管管理理用戶戶訪訪問問權(quán)權(quán)的的復(fù)復(fù)查查(3)用戶戶職職責(zé)責(zé)控制制目目標(biāo)標(biāo)：防止止未未授授權(quán)權(quán)用用戶戶對(duì)對(duì)信信息息和和信信息息處處理理設(shè)設(shè)施施的的訪訪問問、、危危害害或或竊竊取取控制制措措施施：口口令令使使用用70無人人值值守守的的用用戶戶設(shè)設(shè)備備清空空桌桌面面和和屏屏幕幕策策略略(4)網(wǎng)絡(luò)絡(luò)訪訪問問控控制制控制制目目標(biāo)標(biāo)：防止止對(duì)對(duì)網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)的的未未授授權(quán)權(quán)訪訪問問控制制措措施施：使使用用網(wǎng)網(wǎng)絡(luò)絡(luò)服服務(wù)務(wù)的的策策略略71網(wǎng)絡(luò)絡(luò)隔隔離離(5)操作作系系統(tǒng)統(tǒng)訪訪問問控控制制控制制目目標(biāo)標(biāo)：防止止對(duì)對(duì)操操作作系系統(tǒng)統(tǒng)的的未未授授權(quán)權(quán)訪訪問問控制制措措施施：安安全全登登錄錄規(guī)規(guī)程程72用戶戶標(biāo)標(biāo)識(shí)識(shí)和和鑒鑒別別口令令管管理理系系統(tǒng)統(tǒng)系統(tǒng)統(tǒng)實(shí)實(shí)用用工工具具的的使使用用(6)應(yīng)用用和和信信息息訪訪問問控控制制控制制目目標(biāo)標(biāo)：防止止對(duì)對(duì)應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)中中信信息息的的未未授授權(quán)權(quán)訪訪問問控制制措措施施：信信息息訪訪問問限限制制73(7)移動(dòng)動(dòng)計(jì)計(jì)算算和和遠(yuǎn)遠(yuǎn)程程工工作作控制制目目標(biāo)標(biāo)：確保保使使用用移移動(dòng)動(dòng)計(jì)計(jì)算算和和遠(yuǎn)遠(yuǎn)程程工工作作設(shè)設(shè)施施時(shí)時(shí)的的信信息息安安全全控制制措措施施：移移動(dòng)動(dòng)計(jì)計(jì)算算和和通通信信74遠(yuǎn)程程工工作作訪問問控控制制思思路路由于于服服務(wù)務(wù)是是分分層層次次的的，，攻攻擊擊可可能能從從各各個(gè)個(gè)層層次次發(fā)發(fā)起起，，好好的的訪訪問問控控制制應(yīng)應(yīng)該該在在多多層層面面進(jìn)進(jìn)行行只靠靠網(wǎng)網(wǎng)絡(luò)絡(luò)防防火火墻墻不不能能抵抵抗抗所所有有的的攻攻擊擊，，操操作作系系統(tǒng)統(tǒng)層層面面、、應(yīng)應(yīng)用用安安全全層層面面都都要要做做好好訪訪問問控控制制才才行行網(wǎng)絡(luò)接口層IP應(yīng)用TCPUDP75知識(shí)識(shí)域域：：信信息息安安全全控控制制措措施施知識(shí)識(shí)子子域域：：信息息系系統(tǒng)統(tǒng)獲獲取取、、開開發(fā)發(fā)與與維維護(hù)護(hù)理解解信信息息系系統(tǒng)統(tǒng)的的安安全全需需求求、、應(yīng)應(yīng)用用中中的的正正確確處處理理、、密密碼碼控控制制、、系系統(tǒng)統(tǒng)文文件件的的安安全全、、開開發(fā)發(fā)和和支支持持過過程程中中的的安安全全、、技技術(shù)術(shù)脆脆弱弱性性管管理理這這些些控控制制目目標(biāo)標(biāo)的的含含義義掌握握實(shí)實(shí)現(xiàn)現(xiàn)這這些些控控制制目目標(biāo)標(biāo)的的控控制制措措施施的的實(shí)實(shí)施施方方法法76信息息系系統(tǒng)統(tǒng)獲獲取取、、開開發(fā)發(fā)和和維維護(hù)護(hù)控制制目目標(biāo)標(biāo)（1）信信息息系系統(tǒng)統(tǒng)的的安安全全要要求求（2）應(yīng)應(yīng)用用中中的的正正確確處處理理（3）密密碼碼控控制制（4）系系統(tǒng)統(tǒng)文文件件的的安安全全（5）開開發(fā)發(fā)和和支支持持過過程程中中的的安安全全（6）技技術(shù)術(shù)脆脆弱弱性性管管理理77(1)信息息系系統(tǒng)統(tǒng)的的安安全全需需求求控制制目目標(biāo)標(biāo)：確保保安安全全是是信信息息系系統(tǒng)統(tǒng)的的一一個(gè)個(gè)有有機(jī)機(jī)組組成成部部分分控制制措措施施：安全全需需求求分分析析和和說說明明78安全全信信息息系系統(tǒng)統(tǒng)獲獲取取的的基基本本原原則則和和方方法法安全全信信息息系系統(tǒng)統(tǒng)獲獲取取的的基基本本原原則則符合合國(guó)國(guó)家家、、地地區(qū)區(qū)及及行行業(yè)業(yè)的的法法律律法法規(guī)規(guī)量力力而而行行，，達(dá)達(dá)到到經(jīng)經(jīng)濟(jì)濟(jì)性性與與安安全全性性間間的的平平衡衡符合合組組織織的的安安全全策策略略與與業(yè)業(yè)務(wù)務(wù)目目標(biāo)標(biāo)安全全信信息息系系統(tǒng)統(tǒng)的的獲獲取取策策略略外部部采采購購自主主開開發(fā)發(fā)或或者者自自主主開開發(fā)發(fā)與與外外包包相相結(jié)結(jié)合合采取取何何種種獲獲取取策策略略在在項(xiàng)項(xiàng)目目立立項(xiàng)項(xiàng)與與可可行行性性分分析析過過程程中中得得出出結(jié)結(jié)論論79信息息系系統(tǒng)統(tǒng)購購買買流流程程選擇擇中中標(biāo)標(biāo)供供應(yīng)應(yīng)商商，，并并簽簽訂訂合合同同源代代碼碼托托管管(SourceCodeEscrow)安全全緊緊急急響響應(yīng)應(yīng)條條款款售后后服服務(wù)務(wù)協(xié)協(xié)議議安全全培培訓(xùn)訓(xùn)業(yè)務(wù)務(wù)連連續(xù)續(xù)性性與與災(zāi)災(zāi)備備條條款款需求求分析析市場(chǎng)場(chǎng)招標(biāo)標(biāo)評(píng)標(biāo)標(biāo)選擇擇供應(yīng)應(yīng)商商簽訂訂合同同系統(tǒng)統(tǒng)實(shí)施施系統(tǒng)統(tǒng)運(yùn)維維80(2)應(yīng)用用中中的的正正確確處處理理控制制目目標(biāo)標(biāo)：防止止應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)中中信信息息的的錯(cuò)錯(cuò)誤誤、、遺遺失失、、非非授授權(quán)權(quán)修修改改及及誤誤用用控制制措措施施：輸輸入入數(shù)數(shù)據(jù)據(jù)驗(yàn)驗(yàn)證證81內(nèi)部部處處理理的的控控制制消息息完完整整性性輸出出數(shù)數(shù)據(jù)據(jù)驗(yàn)驗(yàn)證證(3)密碼碼控控制制控制制目目標(biāo)標(biāo)：通過過密密碼碼方方法法保保護(hù)護(hù)信信息息的的保保密密性性、、真真實(shí)實(shí)性性或或完完整整性性控制制措措施施：使使用用密密碼碼控控制制的的策策略略82密鑰鑰管管理理(4)系統(tǒng)統(tǒng)文文件件的的安安全全控制制目目標(biāo)標(biāo)：確保保系系統(tǒng)統(tǒng)文文件件的的安安全全控制制措措施施：運(yùn)運(yùn)行行軟軟件件的的控控制制83系統(tǒng)統(tǒng)測(cè)測(cè)試試數(shù)數(shù)據(jù)據(jù)的的保保護(hù)護(hù)對(duì)程程序序源源代代碼碼的的訪訪問問控控制制(5)開發(fā)發(fā)和和支支持持過過程程中中的的安安全全控制制目目標(biāo)標(biāo)：維護(hù)護(hù)應(yīng)應(yīng)用用系系統(tǒng)統(tǒng)軟軟件件和和信信息息的的安安全全控制制措措施施：變變更更控控制制程程序序84操作作系系統(tǒng)統(tǒng)變變更更后后應(yīng)應(yīng)用用的的技技術(shù)術(shù)評(píng)評(píng)審審軟件件包包變變更更的的限限制制外包包軟軟件件開開發(fā)發(fā)(6)技術(shù)術(shù)脆脆弱弱性性管管理理控制制目目標(biāo)標(biāo)：降低低利利用用公公布布的的技技術(shù)術(shù)脆脆弱弱性性導(dǎo)導(dǎo)致致的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控制制措措施施：技技術(shù)術(shù)脆脆弱弱性性控控制制85小結(jié)結(jié)安全全是是信信息息系系統(tǒng)統(tǒng)需需求求的的重重要要組組成成部部分分信息息系系統(tǒng)統(tǒng)安安全全建建設(shè)設(shè)要要符符合合國(guó)國(guó)家家法法律律法法規(guī)規(guī)，，符符合合組組織織業(yè)業(yè)務(wù)務(wù)目目標(biāo)標(biāo)，，量量力力而而行行信息息系系統(tǒng)統(tǒng)即即使使是是外外購購方方式式獲獲取取，，其其產(chǎn)產(chǎn)生生的的連連帶帶安安全全責(zé)責(zé)任任仍仍然然停停留留在在組組織織內(nèi)內(nèi)部部信息息系系統(tǒng)統(tǒng)的的安安全全性性可可以以由由專專業(yè)業(yè)的的安安全全人人員員、、組組織織的的安安全全策策略略、、以以及及嵌嵌入入到到管管理理流流程程中中的的一一系系列列安安全全控控制制過過程程來來保保障障86知識(shí)識(shí)域域：：信信息息安安全全控控制制措措施施知識(shí)識(shí)子子域域：：符合合性性理解解符符合合法法律律要要求求、、符符合合安安全全策策略略和和標(biāo)標(biāo)準(zhǔn)準(zhǔn)以以及及技技術(shù)術(shù)符符合合性性、、信信息息系系統(tǒng)統(tǒng)審審核核考考慮慮這這些些控控制制目目標(biāo)標(biāo)的的含含義義掌握握實(shí)實(shí)現(xiàn)現(xiàn)這這些些控控制制目目標(biāo)標(biāo)的的控控制制措措施施的的實(shí)實(shí)施施方方法法87Why？？案例例：：目前前，，Internet上至至少少有有三三萬萬多多個(gè)個(gè)公公開開的的黑黑客客網(wǎng)網(wǎng)站站，，這這些些網(wǎng)網(wǎng)站站除除了了黑黑客客知知識(shí)識(shí)與與技技能能的的培培訓(xùn)訓(xùn)外外，，還還提提供供了了大大量量的的黑黑客客工工具具，，一一個(gè)個(gè)稍稍具具電電腦腦知知識(shí)識(shí)的的中中學(xué)學(xué)生生經(jīng)經(jīng)過過黑黑客客網(wǎng)網(wǎng)站站的的培培訓(xùn)訓(xùn)，，利利用用下下載載的的黑黑客客工工具具就就可可以以發(fā)發(fā)起起有有一一定定威威脅脅性性的的攻攻擊擊。。最最近近有有人人甚甚至至在在網(wǎng)網(wǎng)上上以以幾幾百百元元的的價(jià)價(jià)格格兜兜售售定定制制的的病病毒毒。。但同樣樣的情情況如如果發(fā)發(fā)生在在現(xiàn)實(shí)實(shí)生活活中，，結(jié)果果就不不一樣樣了。。比如如有人人想辦辦一個(gè)個(gè)小偷偷培訓(xùn)訓(xùn)學(xué)校校，可可能還還沒開開張就就被取取締了了；很很少有有人敢敢故意意培養(yǎng)養(yǎng)并散散布傳傳染病病病毒毒，否否則必必將受受到法法律的的嚴(yán)懲懲。解決信信息安安全問問題不不能僅僅依靠靠安全全技術(shù)術(shù)，制制訂并并執(zhí)行行一系系列完完善的的法律律、法法規(guī)才才是保保護(hù)信信息安安全的的最重重要手手段。。88符合性性控制目目標(biāo)（1）符合合法律律要求求（2）符合合安全全策略略和標(biāo)標(biāo)準(zhǔn)以以及技技術(shù)符符合性性（3）信息息系統(tǒng)統(tǒng)審核核考慮慮89(1)符合法法律要要求控制目目標(biāo)：避免違違反任任何法法律、、法令令、法法規(guī)或或合同同義務(wù)務(wù)，以以及任任何安安全要要求控制措施：可用法律律的識(shí)別90知識(shí)產(chǎn)權(quán)保護(hù)組織的的記錄數(shù)據(jù)保護(hù)和和個(gè)人信息息的隱私密碼控制措措施的規(guī)則則可用法律的的識(shí)別一般通過以以下步驟來來確定組織織對(duì)法律、、法規(guī)的符符合性指派專人負(fù)負(fù)責(zé)跟蹤國(guó)國(guó)家法律法法規(guī)的發(fā)布布情況計(jì)算機(jī)的運(yùn)運(yùn)行與控制制計(jì)算機(jī)、程程序及數(shù)據(jù)據(jù)的存放方方式信息服務(wù)的的活動(dòng)及組組織記錄相關(guān)法法律與法規(guī)規(guī)的要求組織在制定定信息系統(tǒng)統(tǒng)計(jì)劃、策策略、標(biāo)準(zhǔn)準(zhǔn)及程序時(shí)時(shí)落實(shí)法律律、法規(guī)的的要求建立檢查程程序，檢查查執(zhí)行法律律、法規(guī)的的情況91(2)符合安全策策略和標(biāo)標(biāo)準(zhǔn)以及技技術(shù)符合性性控制目標(biāo)：確保系統(tǒng)和和業(yè)務(wù)活動(dòng)動(dòng)符合組織織的安全策策略及標(biāo)準(zhǔn)準(zhǔn)控制措施：符合安全全策略和標(biāo)標(biāo)準(zhǔn)92技術(shù)符合性性檢查(3)信息系統(tǒng)審審核考慮控制目標(biāo)：將信息系統(tǒng)統(tǒng)審核過程程的有效性性最大化，，干擾最小小化控制措施：信息系統(tǒng)審審核控制93謝謝，請(qǐng)?zhí)崽釂栴}！9、靜夜四無無鄰，荒居居舊業(yè)貧。。。1月月-231月月-23Thursday,January5,202310、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。00:56:5200:56:5200:561/5/202312:56:52AM11、以我我獨(dú)沈沈久，，愧君君相見見頻。。。1月-2300:56:5200:56Jan-2305-Jan-2312、故人江江海別，，幾度隔隔山川。。。00:56:520