信息安全管理培訓(xùn)

信息安全管理體系安全防護技術(shù)體系分階段發(fā)展規(guī)劃1、建章立制以明確要求為重點，分系統(tǒng)落實，缺乏有效的檢查手段。2、有效執(zhí)行（1）通過集中化的安全防護手段，有效落實安全要求。（2）形成專業(yè)的安全支撐維護隊伍。3、量化優(yōu)化量化掌握總體安全態(tài)勢，有效地形成整體安全防護策略，量化評價安全要求的執(zhí)行安全管理發(fā)展階段1、分散防護分系統(tǒng)部署防火墻、入侵檢測、防病毒等基礎(chǔ)防護手段。3、集成防護建設(shè)集成的安全運行管理平臺，將各安全防護手段形成合力。實現(xiàn)精細化的風險管理、全網(wǎng)安全態(tài)勢的量化分析及安全事件的實時監(jiān)控，并借助EOMS等系統(tǒng)的配合形成快速、流程順暢的反應(yīng)機制。2、集中防護以安全域劃分和邊界整合為基礎(chǔ)，綜合部署各類基礎(chǔ)安全技術(shù)防護手段。建立集中的網(wǎng)絡(luò)安全管控手段。安全防護技術(shù)體系分階段發(fā)展規(guī)劃支撐信息安全的演化反病毒……數(shù)據(jù)保密信息安全信息保障信息安全保障被動的防范和控制防火墻、IDS、安全應(yīng)急服務(wù)……積極的主動防御、更關(guān)注“人”的要素，強調(diào)綜合的安全保障體系，強調(diào)安全管理人技術(shù)管理策略和流程安全意識和培訓(xùn)第三方管理。。。。。。信息保障體系結(jié)構(gòu)框架系統(tǒng)風險評估安全產(chǎn)品采購。。。。。。安全法律、法規(guī)安全運作管理密碼管理攻擊檢測和響應(yīng)。。。。。。目錄信息安全現(xiàn)狀信息安全管理體系標準介紹信息安全管理體系的設(shè)計與實施信息安全保障體系的構(gòu)成和建設(shè)案例分析在實施過程中，有個部門采購了一臺設(shè)備準備用來安裝某一軟件，由于機房搬遷等各方面原因，造成實施延誤。一切妥當后已經(jīng)過去了大半年，但再來找這臺設(shè)備的時候，卻怎么也找不著了…..事后的結(jié)果是這臺設(shè)備可能發(fā)給地市去用了。最后是臨時再找一臺設(shè)備來安裝產(chǎn)品案例分析為了加快項目的速度，花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個本地化團隊，但是這個團隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購，花旗銀行為此損失了425,000美金。西藏入侵事件案例分析某公司技術(shù)部存在2個CTO，一個副CTO，一個主管……某公司員工離職，遲遲未收到人力行政部的通知，并且有設(shè)備的口令問了曾管理過的幾個管理人員，都不知道口令是什么……在對機房進入的日志檢查過程中，發(fā)現(xiàn)沒有對清潔工的記錄案例分析“88888帳戶”毀了巴林銀行，1995年2月26日，英國中央銀行宣布了一條震驚世界的消息：巴林銀行不得從事交易活動并將申請資產(chǎn)清理。10天后，這家擁有233年歷史的銀行以1英鎊的象征性價格被荷蘭國際集團收購。88888錯誤帳戶沒有銷掉。巴林銀行沒有將交易與清算業(yè)務(wù)分開，允許里森既作首席交易員，又負責其交易的清算工作。巴林銀行的內(nèi)部審計極其松散。案例分析3邯鄲農(nóng)行案主犯寫下12條金庫管理建議一、監(jiān)控方面

1、應(yīng)安排專人負責查看監(jiān)控錄像，并定期抽查以前的錄像記錄，查看是否有違規(guī)操作等情況；

2、每日必須檢查監(jiān)控設(shè)備的正常使用及備份情況，監(jiān)控數(shù)據(jù)備份保存時間最少在3個月以上；

3、在非工作時間必須設(shè)防110聯(lián)網(wǎng)報警系統(tǒng)，對非工作時間，進入設(shè)防范圍或金庫內(nèi)的人員，要馬上向領(lǐng)導(dǎo)匯報詳細情況；

4、金庫內(nèi)必須安裝監(jiān)控設(shè)備。二、嚴格執(zhí)行規(guī)章制度案例分析3邯鄲農(nóng)行案主犯寫下12條金庫管理建議二、嚴格執(zhí)行規(guī)章制度

1、應(yīng)安排現(xiàn)金中心，主管或副主任每旬查一次金庫，安排現(xiàn)金中心主任每月查一次金庫；

2、在查庫時，應(yīng)先核對記帳情況是否屬實，然后根據(jù)碰庫清單，認真核對現(xiàn)金數(shù)額，對裝好的整包現(xiàn)金，必須打開包進行核對；

3、各級領(lǐng)導(dǎo)在查庫時，都不應(yīng)該在固定時間和日期；

4、對重要崗位的人員(如記帳員、管庫員)，應(yīng)實行強制休假制度，在不事先通知情況下，由領(lǐng)導(dǎo)監(jiān)督交接工作；

5、應(yīng)對現(xiàn)金中心的每個崗位，都制定出各自的崗位職責和工作要求，對現(xiàn)金中心工作人員要定期進行思想教育學(xué)習。

案例分析3邯鄲農(nóng)行案主犯寫下12條金庫管理建議三、現(xiàn)金中心崗位設(shè)置

1、應(yīng)設(shè)立記帳員崗位，現(xiàn)金中心金庫的往來帳目由管庫員記帳，對現(xiàn)金中心所有往來帳目都應(yīng)該由專人記帳，這樣可以防止管庫員在記帳方面做假帳，從金庫挪用資金；

2、對銀行內(nèi)部資金調(diào)撥和安排到人民銀行交取款的情況，應(yīng)由專人負責。四、農(nóng)行的信用卡通過電話銀行，往彩票中心轉(zhuǎn)彩票款，應(yīng)設(shè)置最高轉(zhuǎn)款限額。信息安全現(xiàn)狀重視技術(shù)，輕視管理重視產(chǎn)品功能，輕視人為因素重視對外安全，輕視內(nèi)部安全靜態(tài)不變的觀念缺乏整體性信息安全體系的考慮目錄信息安全現(xiàn)狀信息安全管理體系標準介紹信息安全管理體系的設(shè)計與實施信息安全保障體系的構(gòu)成和建設(shè)信息安全管理體系標準ISO27001:2005信息安全管理體系規(guī)范ISO17799:2005信息安全管理實踐規(guī)則標準發(fā)展的歷史19951998率先由英國工業(yè)部進行專案英國公布BS7799第一部分

(Part1)瑞典成立LIS專案英國公布BS7799第二部分

(Part2)瑞典標準

SS627799Part1&2發(fā)行1999新版英國標準

BS7799Part1&2發(fā)行提交ISO組織討論(ISODIS17799-1)2000挪威成立7799BD項目(2001年正式發(fā)行)1993紅皮書：可信任的網(wǎng)絡(luò)描述指南；

橘皮書:可信任的設(shè)施管理指南1990世界經(jīng)濟發(fā)展組織(OECD)：信息系統(tǒng)安全指導(dǎo)原則(1992/11/26)12月正式出版ISO17799標準20029月BS7799-2:2002公開發(fā)行

ISO17799:20052005

ISO27001:2005Information信息Informationisanimportantasset,essentialtoanorganization’sbusinessneeds.Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorbyusingelectronicmeans,shownonfilms,orspokeninconversation. 信息是一種重要資產(chǎn)，對組織的業(yè)務(wù)非常關(guān)鍵。信息可以以各種形式存在，可以印刷或?qū)懺诩埳?，以電子形式存儲，郵寄或使用電子手段傳輸，以影片播放或?qū)υ扵heelementsofinformationsecurity

信息安全的要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entities,orprocesses 保密性－信息被獲取或泄露給未經(jīng)授權(quán)的個人、實體或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompletenessofassets

完整性－保護資產(chǎn)準確和完整Availability–thepropertyofbeingaccessibleandusableupondemandbyanauthorisedentity 可用性－資產(chǎn)僅對授權(quán)人員在需要的時候是可訪問的或可用的Informationsecurity信息安全Informationsecurity–Preservationofconfidentiality,integrityandavailabilityofinformation;Inaddition,otherpropertiessuchasauthenticity,accountability,non-repudiationandreliabilitycanalsobeinvolved 信息安全－保護信息保密性、完整性和可用性；另外，其他特性如真實性、可確認性、不可否認性和可靠性也可以包括在內(nèi)信息安全管理體系標準什么是信息安全管理體系？信息安全管理體系是系統(tǒng)的對組織敏感信息進行管理，涉及到人，技術(shù)和管理。即：安全管理是信息安全的關(guān)鍵；人員是安全管理的核心，教育是提高人員安全意識和素質(zhì)的最好方法；技術(shù)是安全運營支撐。Informationsecuritymanagementsystem

信息安全管理體系

Informationsecuritymanagementsystem:Thatpartoftheoverallmanagementsystem,basedonabusinessriskapproach,toestablish,implement,operate,monitor,review,maintainandimproveinformationsecurity 信息安全管理體系：整個管理體系的一部分，基于業(yè)務(wù)風險的方法，建立、實施、運作、監(jiān)控、評審、維護和改進信息安全。

Note:Themanagementsystemincludesorganisationalstructure,policies,planningactivities,responsibilities,practices,procedures,processesandresources. 注：管理體系包括組織架構(gòu)、方針（政策）、策劃活動、職責、活動、程序、流程和資源信息安全管理體系標準企業(yè)為什么要實現(xiàn)信息安全？組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標要求競爭優(yōu)勢，樹立品牌加強內(nèi)部管理的要求……法律法規(guī)的要求計算機信息系統(tǒng)安全保護條例互聯(lián)網(wǎng)安全管理辦法知識產(chǎn)權(quán)保護信息安全等級保護……WhatdoestheStandardOffer?

標準提供什么Experiencefeedbackfromthousandsofusersregardinginformationsecuritymanagementsystem成千上萬的信息安全管理體系的使用者的經(jīng)驗反饋Asystematicapproachtochangeandimprovement(PDCA)

采用系統(tǒng)化的方法進行變革與改進（PDCA)Focusoninformationsecurityrequirmentsandspecifications,processes,management,andpeople

關(guān)注信息安全要求和規(guī)范、過程、管理和人員Advantage:Similarstructurewithinthequality,enviromentalandsafetymanagementstandards

優(yōu)勢：與質(zhì)量、環(huán)境和安全管理標準的類似結(jié)構(gòu)Aprocess-basedinformationsecuritymanagementsystemISO27001利益相關(guān)方InterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheinformationsecuritymanagementsystemEstablishISMS4.2.1MonitorandReviewtheISMS4.2.3ImplementandOperatetheISMS4.2.2MaintainandimprovetheISMS4.2.4InputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACInformationsecuritymanagementsystem

信息安全管理體系4.1Generalrequirements

一般要求

4.2EstablishingandmanagingTheISMS

建立和管理ISMS4.2.1EstablishtheISMS

建立ISMS4.2.2ImplementandoperatetheISMS

管理和運營ISMS4.2.3MonitorandreviewtheISMS

監(jiān)控和評審ISMS4.2.4MaintainandimprovetheISMS

維護和改進ISMS4.3Documentationrequirements

文件要求4.3.1General一般要求4.3.2Controlofdocuments

文件控制4.3.3Controlofrecords

記錄控制4.ISMS

Managementresponsibility

管理層責任InternalISMSaudit

內(nèi)部審核5.1Managementcommitment

管理層承諾5.2Resourcemanagement

資源管理5.3Training,awarenessandcompetence

培訓(xùn)，意識和能力5.Managementresponsibility管理責任6.InternalISMSaudit

ISMS內(nèi)審7.1General

一般要求7.2Reviewinput

評審輸入7.2Reviewoutput

評審輸出7.Management

reviewofISMS

ISMS管理評審ManagementreviewofISMS8.1Continualimprovement

持續(xù)改進8.2Correctiveaction

糾正措施

8.3Preventiveaction

預(yù)防措施8.ISMSimprovement

持續(xù)改進ISMSimprovementISO/IEC17799內(nèi)容39個控制目標133個控制措施Securitypolicyand安全方針

Organisationofinformationsecurity

信息安全組織A.5Securitypolicy安全方針A.5.1Informationsecuritypolicy

信息安全方針A.5.1.1Informationsecuritypolicydocument

信息安全方針文件A.5.1.2ReviewofInformationsecuritypolicydocument評審信息安全方針文件A.6.1Tomanageinformationsecuritywithintheorganization在組織內(nèi)部管理信息安全A.6.1.1ManagementcommitmenttoInformationsecurity 信息安全管理委員會A.6.1.2Informationsecuritycoordination

信息安全協(xié)作A.6.1.3Allocationofinformationsecurityresponsibilities

落實（分派）信息安全責任A.6.1.4Authorizationprocessforinformationprocessingfacilities

信息處理設(shè)施的授權(quán)過程A.6.1.5Confidentialityagreements

保密協(xié)議A.6.1.6Contactwithauthorities

與權(quán)力機構(gòu)保持聯(lián)系A(chǔ).6.1.7Contactwithspecialinterestgroups 與特殊利益團體保持聯(lián)系A(chǔ).6.1.8Independentreviewofinformationsecurity

信息 安全的獨立評審A.6.2Tomaintainsecurityofinformationassets/facilitiesfromthirdparties從第三方維護信資息產(chǎn)/設(shè)施的安全A.6.2.1Identificationofriskrelatedtoexternalparties

識別與外部機構(gòu)相關(guān)的風險A.6.2.2Addressingsecuritywhendealingwithcustomers

與客戶接觸時強調(diào)安全A.6.2.3Addressingsecurityinthirdpartyagreements

在第三方協(xié)議中強調(diào)安全A.6Organizationofinformationsecurity信息安全組織Assetmanagement

資產(chǎn)管理A.7Assetmanagement

資產(chǎn)管理A.7.1ToachieveandmaintainappropriateprotectionofAssets

對資產(chǎn)達成和維護適當?shù)谋ＷoA.7.2Toensurethatinformationreceivesappropriateprotectionlevel

確保信息受到適當程度的保護A.7.1.1InventoryofAssets

資產(chǎn)清點A.7.1.2OwnershipofAssets

資產(chǎn)的責任關(guān)系A(chǔ).7.1.3Acceptableuseofassets

資產(chǎn)使用的可接受方法A.7.2.1Classificationguidelines

分類指南A.7.2.2InformationLabelingandhandling

信息標示和處理Humanresourcesecurity

人力資源安全A.8.2Toensureawarenessofthreatsandconcerns,roles/responsibilitiesandtoenablethemtosupportorganization’sinformationsecuritypolicy

確保知曉威脅和需要關(guān)注點，角色/責任并他們能夠支持組織的信息安全政策A.8.1Toensurethatemployeesareawareofinformationsecurityandtheirroletoreducesecurityrisk

確保員工知曉信息安全和他們在降低安全風險方面的角色A.8.1.1RolesandResponsibilities

角色和責任A.8.1.2Screening

篩審A.8.1.3Termsandconditionsofemployment

雇傭協(xié)議和條件A.8.2.1Managementresponsibilities

管理層責任A.8.2.2Informationsecurityawareness,educationandtraining

信息安全意識、教育和培訓(xùn)A.8.2.3Disciplinaryprocess

懲罰過程A.8.3Toensureexitofemployees,contractorsandthirdpartyusersinanorderlymanner

確保員工、合同商和第三方有秩序地退出A.8.3.1Terminationresponsibilities

結(jié)束雇傭關(guān)系時的責任A.8.3.2Returnofassets

退還資產(chǎn)A.8.3.3Removalofaccessrights

取消訪問權(quán)限A.8Humanresourcesecurity人力資源安全PhysicalandenvironmentalsecurityA.9.1Topreventunauthorizedphysicalaccessdamageandinterferencetopremisesandinformation.

防止未經(jīng)授權(quán)的物理資產(chǎn)損壞和對辦公室及信息的干擾A.9.2Topreventloss,damage,theftorcompromiseofassetsandtoorganizationalactivities.A.9.1.1Physicalsecurityperimeter

物理安全周界A.9.1.2Physicalentrycontrols

物理進出控制A.9.1.3Securingoffices,roomsandfacilities

辦公室、 房間和設(shè)施的安全A.9.1.4Protectingagainstexternal/environmentalthreats 防止外部/環(huán)境威脅A.9.1.5Workinginsecureareas

在安全區(qū)域內(nèi)工作A.9.1.6Publicaccess,deliveryandloadingareas

公共訪問、運送和裝卸區(qū)域A.9.2.1Equipmentsitingandprotection

設(shè)備放置與保護A.9.2.2Supportingutilities

支持設(shè)施A.9.2.3Cablingsecurity

電纜安全A.9.2.4Equipmentmaintenance

設(shè)備維護A.9.2.5Securityofequipmentoffpremises

辦公區(qū)域外設(shè)備的安全A.9.2.6Securedisposalorre-useofequipment

處置和重新使用設(shè)備的安全A.9.2.7Removalofproperty

資產(chǎn)搬移A.9Physicalandenvironmentalsecurity 物理和環(huán)境安全Communicationsandoperationsmanagement

通信和運營安全A.10Communicationsandoperationsmanagement

通信和運營安全A.10.1Toensurecorrectandsecureoperations

確保正確與安全地運營A.10.2Toimplementandmaintainappropriatelevelofinf.securityinlinewiththirdpartyservicedeliveryagreements實施和維護適當程度的、與第三方服務(wù)提供協(xié)議一致的信息安全A.10.3Tominimizeriskofsystemfailures最小化系統(tǒng)失效的風險A.10.4Toprotectintegrityofsoftwareandinformation

保護信息和軟件的完整性A.10.2.1Servicedelivery

服務(wù)提供A.10.2.2Monitoring,reviewofthirdpartyservices

監(jiān)控、評審第三方服務(wù)A.10.2.3Managingchangestothirdpartyservices管理對第三方服務(wù)的變更A.10.3.1Capacitymanagement

容量管理A.10.3.2Systemacceptance

系統(tǒng)驗受條件A.10.4.1Controlsagainstmaliciouscode

控制惡意代碼A.10.4.2Controlsagainstmobilecode

控制移動代碼A.10.1.1Documentedoperatingprocedures

文件化運營程序A.10.1.2Changemanagement

變更管理A.10.1.3Segregationofduties

責任分離A.10.1.4separationofdevelopment,testandoperationalfacilities

分離開發(fā)、測試和運營設(shè)施Communicationsandoperationsmanagement

通訊和運營管理A.10.5Tomaintainintegrityandavailabilityofinformationandinformationprocessingfacilities.

維護信息和信息處理設(shè)施的完整性、可用性A.10.6Toprotectinformationinnetworksandsupportinginfrastructure保護在網(wǎng)絡(luò)和支持架構(gòu)中的信息A.10.7Topreventunauthorizeddisclosure,modification,removalordestructionofassetsandinterruptionstobusinessactivities.

防止未授權(quán)的披露、修改、移動和毀壞資產(chǎn)以及對業(yè)務(wù)活動的干擾A.10.5.1Informationbackup信息備份A.10.6.1Networkcontrols

網(wǎng)絡(luò)控制A.10.6.2Securityofnetworkdevices

網(wǎng)絡(luò)服務(wù)中的安全A.10.7.1Managementofremovablemedia

管理可移動的介質(zhì)A.10.7.2Disposalofmedia

介質(zhì)處置A.10.7.3Informationhandlingprocedures 信息處理程序A.10.7.4Securityofsystemdocumentation

保護系統(tǒng)文件安全A.10Communicationsandoperationsmanagement

通信和運營管理Communicationsandoperationsmanagement

通信和運營管理A.10.8Tomaintainsecurityofinformationandsoftwareexchangedwithintheorgn.andwithanyexternalentity

維護信息和軟件在組織內(nèi)與組織外交換的安全A.10.9Toensuresecurityofe-commerceandtheirsecureuse

確保電子商務(wù)的安全以及他們的安全使用A.10.10Todetectunauthorizedinformationprocessingfacilities.

偵測未經(jīng)授權(quán)的信息處理設(shè)施A.10.8.1Informationexchange,policies,procedures

信息交換政策、程序A.10.8.2Exchangeagreements

交換協(xié)議A.10.8.3Physicalmediaintransit

物理介質(zhì)在運輸中的安全A.10.8.4Electronicmessaging

電子消息A.10.8.5Businessinformationsystems

業(yè)務(wù)信息系統(tǒng)A.10.10.1Auditlogging

審計日志A.10.10.2Monitoringsystemuse

監(jiān)控系統(tǒng)的使用A.10.10.3Protectingloginformation

保護日志信息A.10.10.4Adminandoperatorlogs

管理和操作者記錄A.10.10.5faultlogging

錯誤日志A.10.10.6Clocksynchronization

始終同步A.10.9.1ElectronicCommerce

電子商務(wù)A.10.9.2Onlinetransactions

在線交易A.10.9.3Publiclyavailableinformation

可利用的公共信息A.10Communicationsandoperationsmanagement通信和運營管理Accesscontrol訪問控制A.11.1TocontrolaccesstoInformation

控制對信息的訪問A.11.2Toensureauthorizeduseraccessandpreventunauthorizedaccesstoinformationsystems

確保授權(quán)用戶的訪問和防止未經(jīng)授權(quán)的對信息系統(tǒng)的訪問A.11.3TopreventunauthorizeduserAccessandcompromise/theftofinformationandinformationprocessingfacilities

防止未經(jīng)授權(quán)的用戶訪問和危及/偷盜信息和信息處理設(shè)施A.11.4Topreventunauthorizedaccesstonetworked

Services

防止未經(jīng)授權(quán)的網(wǎng)絡(luò)服務(wù)訪問A.11.2.1UserRegistration

用戶注冊A.11.2.2Privilegemanagement

特權(quán)管理A.11.2.3Userpasswordmanagement

用戶口令字管理A.11.2.4Reviewofuseraccessrights

評審用戶訪問權(quán)限A.11.3.1Passworduse

口令字使用A.11.3.2Unattendeduserequipment

無人看管的用戶設(shè)備A.11.3.3Cleardeskandclearscreenpolicy

清楚桌面和屏幕政策A.11.4.1Policyonuseofnetworkservices使用網(wǎng)絡(luò)服務(wù)政策A.11.4.2Userauthenticationforexternalconnections

用戶外部連接的授權(quán)A.11.4.3Equipmentidentificationinnetworks

網(wǎng)絡(luò)中設(shè)備的識別A.11.4.4Remotediagnosticandconfigurationportprotection 保護遠程診斷和配置端口A.11.4.5Segregationinnetworks

網(wǎng)絡(luò)分離A.11.4.6Networkconnectioncontrol

網(wǎng)絡(luò)連接控制A.11.4.7Networkroutingcontrol

網(wǎng)絡(luò)路由控制A.11.1.1AccessControlPolicy

訪問控制方針A.11Accesscontrol

訪問控制Accesscontrol訪問控制A.11.5Topreventunauthorizedaccesstooperatingsystems防止未經(jīng)授權(quán)的對操作系統(tǒng)的訪問A.11.5.1Securelog-onprocedures

安全注冊程序A.11.5.2Useridentificationandauthentication

用戶識別和驗證A.11.5.3Passwordmanagementsystem

口令管理系統(tǒng)A.11.5.4Useofsystemutilities

系統(tǒng)設(shè)施的使用A.11.5.5Sessiontime-out

訪問時間限制A.11.5.6Limitationofconnectiontime

連接時間限制A.11.6Topreventunauthorizedaccesstoinformationheldinapplicationsystem防止未經(jīng)授權(quán)的對應(yīng)用系統(tǒng)中信息的訪問A.11.6.1Informationaccessrestriction

信息訪問限制A.11.6.2Sensitivesystemisolation

敏感系統(tǒng)隔離A.11.7Toensureinformationsecuritywhenusingmobilecomputingandteleworkingfacilities

在使用移動計算和遠程通信設(shè)施時確保信息安全A.11.7.1Mobilecomputingandcommunications

移動計算和通訊A.11.7.2Teleworking

遠程工作A.11Accesscontrol訪問控制Informationsystems,acquisition,developmentandmaintenance

信息系統(tǒng)的獲得、開發(fā)和維護A.12.1ToensurethatsecurityisanintegralpartofinformationSystems

確保安全是信息系統(tǒng)的一個重要部分A.12.2Topreventerror,loss,unauthorizedmodificationormisuseofinformationinApplication

防止錯誤、丟失、未經(jīng)授權(quán)的修改或誤用在應(yīng)用系統(tǒng)中的信息A.12.3Toprotectconfidentiality,authenticityorintegrityofinformationbycryptographicMeans

用加密手段保護信息的機密性、真實性或完整性A.12.2.1Inputdatavalidation

輸入數(shù)據(jù)驗證A.12.2.2Controlofinternalprocessing

控制內(nèi)部過程A.12.2.3Messageintegrity

消息完整性A.12.2.4Outputdatavalidation

輸出數(shù)據(jù)的驗證A.12.3.1Policyontheuseofcryptographiccontrols

使用加密控制方針A.12.3.2Keymanagement

密鑰管理A.12.1.1Securityrequirement,analysisandspecification安全需求、分析和詳細說明A.12Informationsystemsacquisition,developmentandmaintenance信息系統(tǒng)的獲得，開發(fā)和維護Informationsystemsacquisition,developmentandmaintenance

信息系統(tǒng)的獲得、開發(fā)和維護A.12.4Toensuresecurityofsystemfiles

確保系統(tǒng)文檔的安全A.12.4.1Controlofoperationalsoftware

控制運營軟件A.12.4.2Protectionofsystemtestdata

保護系統(tǒng)測試數(shù)據(jù)A.12.4.3Accesscontroltoprogramsourcecode

程序員代碼的訪問控制A.12.5Tomaintainsecurityofapplicationsystemsoftwareandinformation

維護應(yīng)用系統(tǒng)軟件和信息的安全A.12.5.1Changecontrolprocedures

變更控制程序A.12.5.2Technicalreviewofapplicationsafteroperatingsystemchanges.

在操作系統(tǒng)變更后 的應(yīng)用系統(tǒng)技術(shù)評審A.12.5.3Restrictiononchangestosoftwarepackages

軟件包變更的限制A.12.5.4Informationleakage

信息泄露A.12.5.5Outsourcedsoftwaredevelopment

外包的軟件開發(fā)A.12.6Toreducerisksresultingfromexploitationofpublishedtechnicalvulnerabilities

通過利用已公開的技術(shù)弱點降低風險A.12.6.1Controloftechnicalvulnerabilities

技術(shù)弱點的控制A.12Informationsystemsacquisition,developmentandmaintenance信息系統(tǒng)的獲得，開發(fā)和維護Informationsecurityincidentmanagement

信息安全事故管理A.13.1Toensureinformationsecurityeventsandweaknessesassociatedwiththeinformationsystemsarecommunicatedinamannerallowingtimelycorrectiveactiontobetaken

確保與信息系統(tǒng)有關(guān)的事件和弱點及時溝通以確保及時采取糾正措施A.13.1.1Reportinginformationsecurityevents

報告信 息安全事件A.13.1.2Reportingsecurityweaknesses報告安全弱點A.13.2Toensureconsistentandeffectiveapproachisappliedtothemanagementofinformationsecurityincidents確保管理信息安全事故的一致的和有效的方法A.13.2.1Responsibilitiesandprocedures

責任和程序A.13.2.2Learningfrominformationsecurityincidents

從信息安全事故中學(xué)習A.13.2.3Collectionofevidence

收集證據(jù)A.13Informationsecurityincidentmanagement

信息安全事故管理Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性A.14.1Tocounterinterruptionstobusinessactivitiesandtoprotectcriticalbusinessprocessesfromtheeffectsofmajorfailuresofinformationsystemsordisasterstoensuretheirtimelyresumption

應(yīng)對業(yè)務(wù)活動的中斷及保護關(guān)鍵業(yè)務(wù)流程不受重大信息系統(tǒng)失效或災(zāi)難的影響并及時恢復(fù)A.14.1.1Includinginformationsecurityinbusinesscontinuitymanagementprocess 在業(yè)務(wù)連續(xù)性管理過程中包括信息安全A.14.1.2Businesscontinuityandriskassessment

業(yè)務(wù)連續(xù)性和風險評估A.14.1.3DevelopingandimplementingcontinuityplansIncludinginformationsecurity

開發(fā)和實施包括信息安全連續(xù)性計劃A.14.1.4Businesscontinuityplanningframework

業(yè)務(wù)連續(xù)性計劃框架A.14.1.5Testing,maintainingandreassessingbusinesscontinuityplans.

測試、維護和重新評估業(yè)務(wù)連續(xù)性計劃A.14Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性管理Compliance

符合A.15.1Toavoidbreachesofanylaw,statutoryregulatoryorcontractualobligationsandofanysecurityRequirements

避免違背任何的法律、法令、法規(guī)或合同義務(wù)和任何安全要求A.15.1.1Identificationofapplicablelegislation

識別適用的法律A.15.1.2Intellectualpropertyrights(IPR)

知識產(chǎn)權(quán)A.15.1.3Protectionoforganizationalrecords

保護 組織記錄A.15.1.4Dataprotectionandprivacyofpersonalinformation.

數(shù)據(jù)保護和個人信息保密A.15.1.5Preventionofmisuseofinformationprocessingfacilities

防止信息處理設(shè)施誤用A.15.1.6Regulationofcryptographiccontrols

密碼 控制法規(guī)A.15.2Toensurecomplianceofsystemswithorganizationalsecuritypoliciesandstandards確保系統(tǒng)符合組織的安全政策和標準A.15.2.1Compliancewithsecuritystandards

符合安全標準A.15.2.2Technicalcompliancechecking

技術(shù)符合性檢查A.15.3Tomaximizeeffectivenessofandtominimizeinterferenceto/fromtheinformationsystemsauditProcess

最大化信息系統(tǒng)審計的有效性和最小化業(yè)務(wù)干擾A.15.3.1Informationsystemauditcontrols

信息系統(tǒng)審計控制A.15.3.2Protectionofinformationsystemaudittools

保護信息系統(tǒng)審計工具A.15Compliance

符合信息安全方針為信息安全提供符合業(yè)務(wù)要求和相關(guān)法律法規(guī)的管理指導(dǎo)和支持信息安全方針文檔應(yīng)經(jīng)過管理層的批準，并向所有員工和外部相關(guān)方公布和溝通應(yīng)按策劃的時間間隔或當發(fā)生重大變化時，對信息，安全方針文檔進行評審，以確保其持續(xù)的適宜性、充分性和有效性信息安全組織使組織內(nèi)部信息安全保證基礎(chǔ)設(shè)施安全管理信息安全委員會信息安全協(xié)作落實信息安全責任控制第三方訪問確認第三方訪問風險第三方合同安全要求控制外包外包合同安全要求資產(chǎn)管理確保信息資產(chǎn)受到相應(yīng)級別的保護資產(chǎn)是組織認為有價值的東西，例如:信息資產(chǎn)紙上的文件軟件資產(chǎn)物理資產(chǎn)人公司的形象和名譽服務(wù)一個組織必須確定哪些資產(chǎn)在損失之后對于本組織的產(chǎn)品及服務(wù)產(chǎn)生物質(zhì)上的影響人力資源安全目標：減少人為的錯誤，偷盜，欺騙或錯誤使用設(shè)施帶來的風險就業(yè)申請審查將安全責任寫入合同，并在雇用期間進行監(jiān)督保密協(xié)議教育與培訓(xùn)---組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當?shù)呐嘤?xùn)并定期了解最新變化。還包括安全要求、法律責任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)熟悉安全事故處理流程物理與環(huán)境安全防止未經(jīng)授權(quán)的訪問，破壞和干擾辦公場所和信息

周邊安全

進入控制

工作區(qū)安全

電力供應(yīng)

設(shè)備整理通訊與運作管理保證信息處理設(shè)施的安全和正確運營運營程序和責任系統(tǒng)計劃和接收預(yù)防惡意軟件網(wǎng)絡(luò)管理媒介管理和安全信息和軟件交換的安全訪問控制控制對信息的訪問業(yè)務(wù)要求對訪問進行控制用戶訪問管理用戶職責網(wǎng)絡(luò)訪問控制操作系統(tǒng)訪問控制應(yīng)用訪問控制系統(tǒng)訪問和使用監(jiān)控移動計算設(shè)備和通信信息系統(tǒng)的獲取、開發(fā)與維護防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用通過加密手段來保護細膩的保密性、真實性或完整性確保系統(tǒng)文檔的安全開發(fā)和支持過程的安全，保持應(yīng)用系統(tǒng)軟件和信息的安全減少由利用公開的技術(shù)漏洞帶來的風險信息系統(tǒng)的獲取、開發(fā)與維護需求階段系統(tǒng)開發(fā)和交付系統(tǒng)部署實施系統(tǒng)運行維護系統(tǒng)廢棄系統(tǒng)敏感度評估確定安全需求將安全需求加入到系統(tǒng)設(shè)計中獲得系統(tǒng)（開發(fā)或購買）及安全功能安裝并使安全控制有效安全測試鑒定合格安全操作和管理運作保證（監(jiān)控和審計）變更管理系統(tǒng)廢棄審核定期評估信息安全事件管理報告信息安全事件和弱點，確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施信息安全事故的管理和改進，確保使用持續(xù)有效的方法管理信息安全事故業(yè)務(wù)連續(xù)性管理防止業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)流程不會受信息系統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時恢復(fù)連續(xù)性計劃業(yè)務(wù)連續(xù)性計劃的框架業(yè)務(wù)連續(xù)性計劃的測試、維護和再評估符合性避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求確認適用的法律知識產(chǎn)權(quán)保護組織的記錄數(shù)據(jù)保護和個人隱私信息防止錯誤使用信息處理設(shè)施加密控制規(guī)定證據(jù)搜集CertificationProcess申請認證簽約并安排日程確定認證范圍與報價預(yù)評(模擬評審)第二階段審核定期復(fù)合糾正措施確認或追蹤審核(13周內(nèi))建議頒證可選擇三年全面復(fù)核是否每6個月或一年第一階段審核文件評審不符合事項糾正措施確認或追蹤審核(13周內(nèi))不符合事項否是頒布證書12周關(guān)鍵成功因素Informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives

信息安全方針、目標和活動反映業(yè)務(wù)目標關(guān)鍵成功因素Approachtoinformationsecurityconsistentwiththeorganizationalculture 與組織文化一致的信息安全方法關(guān)鍵成功因素Visiblesupportandcommitmentfromalllevelsofmanagment所有管理層可見的支持和承諾關(guān)鍵成功因素Agoodunderstandingoftheinformationsecurityrequirments,riskassessmentandriskmanagement對信息安全要求、風險評估和風險管理有好的理解關(guān)鍵成功因素

Distributionofguidanceoninformationsecuritytoallthestaffandothers

向所有員工和其他人分發(fā)信息安全指南關(guān)鍵成功因素Effectivemarketingofinformationsecuritytoallthestaffandothers有效地對員工和其他人推銷信息安全Effectivemarketingofinformationsecuritytoallthestaffandothers有效地對員工和其他人推銷信息安全關(guān)鍵成功因素Adequatefinancialsupport足夠的財務(wù)支持關(guān)鍵成功因素Appropriateawareness,trainingandeducation

適當?shù)囊庾R、培訓(xùn)和教育關(guān)鍵的成功因素Effectiveinformationsecurityincident

managmentprocess

有效的信息安全事故管理過程關(guān)鍵的成功因素Implementationofameasurement

systemthatisusedtoevaluateperformancein

informationsecuritymanagementandfeedbacksuggestionsforimprovement

實施能夠評價信息安全管理績效并反饋改進意見的測量體系ISO27001的一些問題11大類的結(jié)構(gòu)性不夠清晰一些風險控制點的歸類不妥“加密”在開發(fā)與維護類中“事故報告”在人員安全類中操作與通信類中太雜亂一些風險控制點的闡述不夠關(guān)于資產(chǎn)關(guān)于業(yè)務(wù)安全目錄信息安全現(xiàn)狀信息安全管理體系標準介紹信息安全管理體系的設(shè)計與實施信息安全保障體系的構(gòu)成和建設(shè)風險概述風險的定義風險要素及要素之間的關(guān)系資產(chǎn)、威脅和脆弱性對應(yīng)關(guān)系風險的定義普通字典的解釋風險：遭受損害或損失的可能性AS/NZS4360：澳大利亞/新西蘭國家標準風險：對目標產(chǎn)生影響的某種事件發(fā)生的機會。它可以用后果和可能性來衡量。ISO/IECTR13335-1:1996安全風險：是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全領(lǐng)域信息安全風險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。風險的要素資產(chǎn)及其價值威脅脆弱性現(xiàn)有的和計劃的控制措施(對策)風險的要素－資產(chǎn)資產(chǎn)是任何對組織有價值的東西資產(chǎn)的分類軟件：基礎(chǔ)應(yīng)用軟件（如數(shù)據(jù)庫軟件）、操作系統(tǒng)硬件設(shè)施：主機、路由器、防火墻、交換機等實體信息：合同、傳真、電報、財務(wù)報告、企業(yè)發(fā)展計劃，磁帶，光盤打印機、復(fù)印機等人員：包括各級安全組織，安全人員、各級管理人員，網(wǎng)管員，系統(tǒng)管理員，業(yè)務(wù)操作人員，第三方人員等電子數(shù)據(jù)：所有通過網(wǎng)絡(luò)能訪問到的數(shù)據(jù)服務(wù)性設(shè)施：電源、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施、照明等其他：公司形象、公司信譽和客戶關(guān)系風險的要素－威脅威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動，威脅是利用脆弱性來造成后果威脅舉例自然威脅：洪水、地震、颶風、泥石流、雪崩、電風暴及其他類似事件。人為威脅：由人激發(fā)或引發(fā)的事件，例如無意識行為（粗心的數(shù)據(jù)錄入）或故意行為（網(wǎng)絡(luò)攻擊、惡意軟件上傳、對秘密信息的未授權(quán)訪問）環(huán)境威脅：長時間電力故障、污染、化學(xué)、液體泄漏等。風險的要素－脆弱性與信息資產(chǎn)有關(guān)的弱點或安全隱患，脆弱性本身并不對資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時，脆弱性會被威脅加以利用來對信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞配置不當程序Bug專業(yè)人員缺乏不良習慣弱口令缺乏安全意識后門……風險要素之間的關(guān)系安全措施

抗擊

業(yè)務(wù)脆弱性安全需求威脅風險殘余風險安全事件依賴擁有被滿足利用暴露降低增加增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本或CIA資產(chǎn)資產(chǎn)價值資產(chǎn)、威脅和脆弱性對應(yīng)關(guān)系資產(chǎn)威脅A威脅B來源A1來源A2來源B1來源B2脆弱點A1脆弱點A2。。。。。。。。。。。。。。。。。。脆弱點B1脆弱點B2。。。。。。每一項資產(chǎn)可能存在多個威脅；每一威脅可能利用一個或數(shù)個脆弱點PDCA模型一種持續(xù)改進的過程，而不是目標。PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagement設(shè)計與實施Step1:定義范圍、安全方針和文件化Step2:管理層承諾Step3:風險評估Step4:風險處置Step5:實施和運作ISMSStep6:監(jiān)督、審查Step7:改進ISMSStep8:完善ISMS文件體系階段一建立和管理ISMS階段二實施和運作ISMS階段三監(jiān)督和檢查ISMS階段四維護和改進ISMS實施內(nèi)容文件化按文件體系生命周期編寫文件需求分析制定發(fā)布推行審核修訂廢除文檔體系結(jié)構(gòu)記錄程序文件主策略作業(yè)文件作業(yè)指導(dǎo)書風險評估概述風險評估定義對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)識別和評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來確定信息系統(tǒng)的安全風險。風險評估原則不管使用哪一種風險評估的方法或工具，其內(nèi)容都應(yīng)包括風險的四個要素：資產(chǎn)及其價值威脅脆弱性現(xiàn)有的和計劃的控制措施風險評估常用術(shù)語風險一個規(guī)定威脅將利用一個或一組系統(tǒng)資源的弱點導(dǎo)致其損失或破壞的可能性風險管理以可接受的成本認證、控制、消滅或最小化不確定因素對系統(tǒng)資源的影響的過程風險賦值對照給定的風險準則和正在估計的風險，以確定風險嚴重程度的過程風險評估對信息和信息處理設(shè)施的危害、影響和弱點及三者發(fā)生的可能性的評估剩余風險風險處理后殘留的風險風險接受接受一個風險的決定風險處置選擇安全措施，轉(zhuǎn)移、降低或消除風險的過程風險降低采取措施降低風險發(fā)生的可能性以及與風險相關(guān)的負面影響風險轉(zhuǎn)移與另一方共同承擔風險，從而減輕利益或財產(chǎn)損失的負擔定量的風險評估當部分的公司資產(chǎn)已具有量化的價值利用財務(wù)的手法算出風險造成的財務(wù)損失再根據(jù)損失的大小決定風險等級定性的風險評估從風險發(fā)生可能性及造成的后果來考慮風險的等級對于后果和可能性采用定性度量并在最后階段歸納出不同等級風險的方法基于要素的風險評估風險的函數(shù)表達：

R=f（a,v,t）

R：風險

a：資產(chǎn)的價值（資產(chǎn)價值用于反映某個資產(chǎn) 作為一個整體的價值，綜合了機密性、完整性和可 用性三個屬性）

v：資產(chǎn)本身的脆弱性

t：資產(chǎn)所面臨的威脅為何需要風險評估網(wǎng)絡(luò)面臨的最大威脅是什么？有那些安全問題？什么是最關(guān)鍵的信息資產(chǎn)？網(wǎng)絡(luò)設(shè)備是否安全？操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)是否安全？在系統(tǒng)中采用了哪些安全措施？是否有效？您需要什么風險控制手段？您需要什么安全技術(shù)保障？對于安全事故，是否具備應(yīng)急響應(yīng)與恢復(fù)能力？……

面對這些問題，我們會自然地想到：對組織的信息系統(tǒng)，我們應(yīng)該保護什么？應(yīng)該如何保護？……這些問題有的看似簡單，但如果要準確回答這些問題---信息安全風險評估。風險評估流程否否是風險評估的準備已有安全措施的確認風險計算風險是否接受保持已有的控制措施選擇控制措施并評估殘余風險實施風險管理是脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風險

風險識別與評價風險評估記錄風險評估報告風險評估結(jié)果記錄風險處置報告…..資產(chǎn)清單風險處置措施風險矩陣表項

目威脅等級低(0)中(1)高(2)脆弱性等級低0中1高2低0中1高2低0中1高2資產(chǎn)價值11232343452234345456334545656744565676785567678789風險管理風險評估－舉例吃魚的時候，魚刺可能刺傷喉嚨。 資產(chǎn)＝ 弱點＝ 威脅＝ 威脅發(fā)生的可能性＝ 威脅的影響＝風險＝風險處置舉例吃魚的時候，魚刺可能刺傷喉嚨：拒絕風險：不吃魚。風險轉(zhuǎn)移：醫(yī)療保險。減少風險：（減少威脅）可以將魚刺剔除，買魚刺比較少的魚，（減少脆弱性）吃的時候要小心，（檢測意外事件）準備醋、饅頭、大米飯|及時上醫(yī)院救治。接受風險：照常吃魚（不能因為有魚刺，一輩子不吃魚吧），接受殘余風險。

監(jiān)督、審查管理評審高層參與，內(nèi)部審核，外部審核等作為輸入一般以會議的方式進行內(nèi)部審核依據(jù)BS7799-2:2002標準制訂的信息安全管理體系文件有關(guān)法律法規(guī)相關(guān)方的要求（包括客戶、消費者、政府信息安全主管機構(gòu)、供應(yīng)商等）公司的信息安全管理承諾內(nèi)審方法詢問法抽樣法查看文件在實際審核中，一般是以上方法結(jié)合使用改進、完善糾正采取措施，以消除與ISMS的實施、運作相關(guān)的不合格的原因，防止再次發(fā)生。預(yù)防確定措施，以消除潛在不合格的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。認證認證機構(gòu)認證機構(gòu)認證機構(gòu)權(quán)威部門認證機構(gòu)產(chǎn)品、過程、服務(wù)等認證機構(gòu)……UKAS認證公司BSI/DNV公司或企業(yè)咨詢公司目錄信息安全現(xiàn)狀信息安全管理體系標準介紹信息安全管理體系的設(shè)計與實施信息安全保障體系的構(gòu)成和建設(shè)信息安全工作的總體思路我們的方向是什么？我們的目標是什么，做成什么樣？我們現(xiàn)在的起點在哪里？我們怎么做？做得效果如何，還有什么問題？我們開始做了1.公司安全的使命和目標3.安全現(xiàn)狀2.安全體系框架與指標4.信息安全規(guī)劃5.管理體系推廣與實施7.體系運營和持續(xù)改進6.技術(shù)體系實施與工程建設(shè)8.定期評估、檢查、審計和持續(xù)改進安全管理運行中心技術(shù)體系安全組織設(shè)置和崗位職責安全教育、培訓(xùn)與資質(zhì)認證組織體系安全策略