信息安全管理培訓(xùn)

信息安全管理體系安全防護(hù)技術(shù)體系分階段發(fā)展規(guī)劃1、建章立制以明確要求為重點(diǎn)，分系統(tǒng)落實(shí)，缺乏有效的檢查手段。2、有效執(zhí)行（1）通過集中化的安全防護(hù)手段，有效落實(shí)安全要求。（2）形成專業(yè)的安全支撐維護(hù)隊(duì)伍。3、量化優(yōu)化量化掌握總體安全態(tài)勢(shì)，有效地形成整體安全防護(hù)策略，量化評(píng)價(jià)安全要求的執(zhí)行安全管理發(fā)展階段1、分散防護(hù)分系統(tǒng)部署防火墻、入侵檢測(cè)、防病毒等基礎(chǔ)防護(hù)手段。3、集成防護(hù)建設(shè)集成的安全運(yùn)行管理平臺(tái)，將各安全防護(hù)手段形成合力。實(shí)現(xiàn)精細(xì)化的風(fēng)險(xiǎn)管理、全網(wǎng)安全態(tài)勢(shì)的量化分析及安全事件的實(shí)時(shí)監(jiān)控，并借助EOMS等系統(tǒng)的配合形成快速、流程順暢的反應(yīng)機(jī)制。2、集中防護(hù)以安全域劃分和邊界整合為基礎(chǔ)，綜合部署各類基礎(chǔ)安全技術(shù)防護(hù)手段。建立集中的網(wǎng)絡(luò)安全管控手段。安全防護(hù)技術(shù)體系分階段發(fā)展規(guī)劃支撐信息安全的演化反病毒……數(shù)據(jù)保密信息安全信息保障信息安全保障被動(dòng)的防范和控制防火墻、IDS、安全應(yīng)急服務(wù)……積極的主動(dòng)防御、更關(guān)注“人”的要素，強(qiáng)調(diào)綜合的安全保障體系，強(qiáng)調(diào)安全管理人技術(shù)管理策略和流程安全意識(shí)和培訓(xùn)第三方管理。。。。。。信息保障體系結(jié)構(gòu)框架系統(tǒng)風(fēng)險(xiǎn)評(píng)估安全產(chǎn)品采購(gòu)。。。。。。安全法律、法規(guī)安全運(yùn)作管理密碼管理攻擊檢測(cè)和響應(yīng)。。。。。。目錄信息安全現(xiàn)狀信息安全管理體系標(biāo)準(zhǔn)介紹信息安全管理體系的設(shè)計(jì)與實(shí)施信息安全保障體系的構(gòu)成和建設(shè)案例分析在實(shí)施過程中，有個(gè)部門采購(gòu)了一臺(tái)設(shè)備準(zhǔn)備用來安裝某一軟件，由于機(jī)房搬遷等各方面原因，造成實(shí)施延誤。一切妥當(dāng)后已經(jīng)過去了大半年，但再來找這臺(tái)設(shè)備的時(shí)候，卻怎么也找不著了…..事后的結(jié)果是這臺(tái)設(shè)備可能發(fā)給地市去用了。最后是臨時(shí)再找一臺(tái)設(shè)備來安裝產(chǎn)品案例分析為了加快項(xiàng)目的速度，花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個(gè)本地化團(tuán)隊(duì)，但是這個(gè)團(tuán)隊(duì)中有人泄漏了花旗銀行在美國(guó)客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購(gòu)，花旗銀行為此損失了425,000美金。西藏入侵事件案例分析某公司技術(shù)部存在2個(gè)CTO，一個(gè)副CTO，一個(gè)主管……某公司員工離職，遲遲未收到人力行政部的通知，并且有設(shè)備的口令問了曾管理過的幾個(gè)管理人員，都不知道口令是什么……在對(duì)機(jī)房進(jìn)入的日志檢查過程中，發(fā)現(xiàn)沒有對(duì)清潔工的記錄案例分析“88888帳戶”毀了巴林銀行，1995年2月26日，英國(guó)中央銀行宣布了一條震驚世界的消息：巴林銀行不得從事交易活動(dòng)并將申請(qǐng)資產(chǎn)清理。10天后，這家擁有233年歷史的銀行以1英鎊的象征性價(jià)格被荷蘭國(guó)際集團(tuán)收購(gòu)。88888錯(cuò)誤帳戶沒有銷掉。巴林銀行沒有將交易與清算業(yè)務(wù)分開，允許里森既作首席交易員，又負(fù)責(zé)其交易的清算工作。巴林銀行的內(nèi)部審計(jì)極其松散。案例分析3邯鄲農(nóng)行案主犯寫下12條金庫(kù)管理建議一、監(jiān)控方面

1、應(yīng)安排專人負(fù)責(zé)查看監(jiān)控錄像，并定期抽查以前的錄像記錄，查看是否有違規(guī)操作等情況；

2、每日必須檢查監(jiān)控設(shè)備的正常使用及備份情況，監(jiān)控?cái)?shù)據(jù)備份保存時(shí)間最少在3個(gè)月以上；

3、在非工作時(shí)間必須設(shè)防110聯(lián)網(wǎng)報(bào)警系統(tǒng)，對(duì)非工作時(shí)間，進(jìn)入設(shè)防范圍或金庫(kù)內(nèi)的人員，要馬上向領(lǐng)導(dǎo)匯報(bào)詳細(xì)情況；

4、金庫(kù)內(nèi)必須安裝監(jiān)控設(shè)備。二、嚴(yán)格執(zhí)行規(guī)章制度案例分析3邯鄲農(nóng)行案主犯寫下12條金庫(kù)管理建議二、嚴(yán)格執(zhí)行規(guī)章制度

1、應(yīng)安排現(xiàn)金中心，主管或副主任每旬查一次金庫(kù)，安排現(xiàn)金中心主任每月查一次金庫(kù)；

2、在查庫(kù)時(shí)，應(yīng)先核對(duì)記帳情況是否屬實(shí)，然后根據(jù)碰庫(kù)清單，認(rèn)真核對(duì)現(xiàn)金數(shù)額，對(duì)裝好的整包現(xiàn)金，必須打開包進(jìn)行核對(duì)；

3、各級(jí)領(lǐng)導(dǎo)在查庫(kù)時(shí)，都不應(yīng)該在固定時(shí)間和日期；

4、對(duì)重要崗位的人員(如記帳員、管庫(kù)員)，應(yīng)實(shí)行強(qiáng)制休假制度，在不事先通知情況下，由領(lǐng)導(dǎo)監(jiān)督交接工作；

5、應(yīng)對(duì)現(xiàn)金中心的每個(gè)崗位，都制定出各自的崗位職責(zé)和工作要求，對(duì)現(xiàn)金中心工作人員要定期進(jìn)行思想教育學(xué)習(xí)。

案例分析3邯鄲農(nóng)行案主犯寫下12條金庫(kù)管理建議三、現(xiàn)金中心崗位設(shè)置

1、應(yīng)設(shè)立記帳員崗位，現(xiàn)金中心金庫(kù)的往來帳目由管庫(kù)員記帳，對(duì)現(xiàn)金中心所有往來帳目都應(yīng)該由專人記帳，這樣可以防止管庫(kù)員在記帳方面做假帳，從金庫(kù)挪用資金；

2、對(duì)銀行內(nèi)部資金調(diào)撥和安排到人民銀行交取款的情況，應(yīng)由專人負(fù)責(zé)。四、農(nóng)行的信用卡通過電話銀行，往彩票中心轉(zhuǎn)彩票款，應(yīng)設(shè)置最高轉(zhuǎn)款限額。信息安全現(xiàn)狀重視技術(shù)，輕視管理重視產(chǎn)品功能，輕視人為因素重視對(duì)外安全，輕視內(nèi)部安全靜態(tài)不變的觀念缺乏整體性信息安全體系的考慮目錄信息安全現(xiàn)狀信息安全管理體系標(biāo)準(zhǔn)介紹信息安全管理體系的設(shè)計(jì)與實(shí)施信息安全保障體系的構(gòu)成和建設(shè)信息安全管理體系標(biāo)準(zhǔn)ISO27001:2005信息安全管理體系規(guī)范ISO17799:2005信息安全管理實(shí)踐規(guī)則標(biāo)準(zhǔn)發(fā)展的歷史19951998率先由英國(guó)工業(yè)部進(jìn)行專案英國(guó)公布BS7799第一部分

(Part1)瑞典成立LIS專案英國(guó)公布BS7799第二部分

(Part2)瑞典標(biāo)準(zhǔn)

SS627799Part1&2發(fā)行1999新版英國(guó)標(biāo)準(zhǔn)

BS7799Part1&2發(fā)行提交ISO組織討論(ISODIS17799-1)2000挪威成立7799BD項(xiàng)目(2001年正式發(fā)行)1993紅皮書：可信任的網(wǎng)絡(luò)描述指南；

橘皮書:可信任的設(shè)施管理指南1990世界經(jīng)濟(jì)發(fā)展組織(OECD)：信息系統(tǒng)安全指導(dǎo)原則(1992/11/26)12月正式出版ISO17799標(biāo)準(zhǔn)20029月BS7799-2:2002公開發(fā)行

ISO17799:20052005

ISO27001:2005Information信息Informationisanimportantasset,essentialtoanorganization’sbusinessneeds.Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorbyusingelectronicmeans,shownonfilms,orspokeninconversation. 信息是一種重要資產(chǎn)，對(duì)組織的業(yè)務(wù)非常關(guān)鍵。信息可以以各種形式存在，可以印刷或?qū)懺诩埳?，以電子形式存?chǔ)，郵寄或使用電子手段傳輸，以影片播放或?qū)υ扵heelementsofinformationsecurity

信息安全的要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entities,orprocesses 保密性－信息被獲取或泄露給未經(jīng)授權(quán)的個(gè)人、實(shí)體或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompletenessofassets

完整性－保護(hù)資產(chǎn)準(zhǔn)確和完整Availability–thepropertyofbeingaccessibleandusableupondemandbyanauthorisedentity 可用性－資產(chǎn)僅對(duì)授權(quán)人員在需要的時(shí)候是可訪問的或可用的Informationsecurity信息安全I(xiàn)nformationsecurity–Preservationofconfidentiality,integrityandavailabilityofinformation;Inaddition,otherpropertiessuchasauthenticity,accountability,non-repudiationandreliabilitycanalsobeinvolved 信息安全－保護(hù)信息保密性、完整性和可用性；另外，其他特性如真實(shí)性、可確認(rèn)性、不可否認(rèn)性和可靠性也可以包括在內(nèi)信息安全管理體系標(biāo)準(zhǔn)什么是信息安全管理體系？信息安全管理體系是系統(tǒng)的對(duì)組織敏感信息進(jìn)行管理，涉及到人，技術(shù)和管理。即：安全管理是信息安全的關(guān)鍵；人員是安全管理的核心，教育是提高人員安全意識(shí)和素質(zhì)的最好方法；技術(shù)是安全運(yùn)營(yíng)支撐。Informationsecuritymanagementsystem

信息安全管理體系

Informationsecuritymanagementsystem:Thatpartoftheoverallmanagementsystem,basedonabusinessriskapproach,toestablish,implement,operate,monitor,review,maintainandimproveinformationsecurity 信息安全管理體系：整個(gè)管理體系的一部分，基于業(yè)務(wù)風(fēng)險(xiǎn)的方法，建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)信息安全。

Note:Themanagementsystemincludesorganisationalstructure,policies,planningactivities,responsibilities,practices,procedures,processesandresources. 注：管理體系包括組織架構(gòu)、方針（政策）、策劃活動(dòng)、職責(zé)、活動(dòng)、程序、流程和資源信息安全管理體系標(biāo)準(zhǔn)企業(yè)為什么要實(shí)現(xiàn)信息安全？組織自身業(yè)務(wù)的需要自身業(yè)務(wù)和利益的要求客戶的要求合作伙伴的要求投標(biāo)要求競(jìng)爭(zhēng)優(yōu)勢(shì)，樹立品牌加強(qiáng)內(nèi)部管理的要求……法律法規(guī)的要求計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例互聯(lián)網(wǎng)安全管理辦法知識(shí)產(chǎn)權(quán)保護(hù)信息安全等級(jí)保護(hù)……WhatdoestheStandardOffer?

標(biāo)準(zhǔn)提供什么Experiencefeedbackfromthousandsofusersregardinginformationsecuritymanagementsystem成千上萬的信息安全管理體系的使用者的經(jīng)驗(yàn)反饋Asystematicapproachtochangeandimprovement(PDCA)

采用系統(tǒng)化的方法進(jìn)行變革與改進(jìn)（PDCA)Focusoninformationsecurityrequirmentsandspecifications,processes,management,andpeople

關(guān)注信息安全要求和規(guī)范、過程、管理和人員Advantage:Similarstructurewithinthequality,enviromentalandsafetymanagementstandards

優(yōu)勢(shì)：與質(zhì)量、環(huán)境和安全管理標(biāo)準(zhǔn)的類似結(jié)構(gòu)Aprocess-basedinformationsecuritymanagementsystemISO27001利益相關(guān)方InterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheinformationsecuritymanagementsystemEstablishISMS4.2.1MonitorandReviewtheISMS4.2.3ImplementandOperatetheISMS4.2.2MaintainandimprovetheISMS4.2.4InputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACInformationsecuritymanagementsystem

信息安全管理體系4.1Generalrequirements

一般要求

4.2EstablishingandmanagingTheISMS

建立和管理ISMS4.2.1EstablishtheISMS

建立ISMS4.2.2ImplementandoperatetheISMS

管理和運(yùn)營(yíng)ISMS4.2.3MonitorandreviewtheISMS

監(jiān)控和評(píng)審ISMS4.2.4MaintainandimprovetheISMS

維護(hù)和改進(jìn)ISMS4.3Documentationrequirements

文件要求4.3.1General一般要求4.3.2Controlofdocuments

文件控制4.3.3Controlofrecords

記錄控制4.ISMS

Managementresponsibility

管理層責(zé)任InternalISMSaudit

內(nèi)部審核5.1Managementcommitment

管理層承諾5.2Resourcemanagement

資源管理5.3Training,awarenessandcompetence

培訓(xùn)，意識(shí)和能力5.Managementresponsibility管理責(zé)任6.InternalISMSaudit

ISMS內(nèi)審7.1General

一般要求7.2Reviewinput

評(píng)審輸入7.2Reviewoutput

評(píng)審輸出7.Management

reviewofISMS

ISMS管理評(píng)審ManagementreviewofISMS8.1Continualimprovement

持續(xù)改進(jìn)8.2Correctiveaction

糾正措施

8.3Preventiveaction

預(yù)防措施8.ISMSimprovement

持續(xù)改進(jìn)ISMSimprovementISO/IEC17799內(nèi)容39個(gè)控制目標(biāo)133個(gè)控制措施Securitypolicyand安全方針

Organisationofinformationsecurity

信息安全組織A.5Securitypolicy安全方針A.5.1Informationsecuritypolicy

信息安全方針A.5.1.1Informationsecuritypolicydocument

信息安全方針文件A.5.1.2ReviewofInformationsecuritypolicydocument評(píng)審信息安全方針文件A.6.1Tomanageinformationsecuritywithintheorganization在組織內(nèi)部管理信息安全A.6.1.1ManagementcommitmenttoInformationsecurity 信息安全管理委員會(huì)A.6.1.2Informationsecuritycoordination

信息安全協(xié)作A.6.1.3Allocationofinformationsecurityresponsibilities

落實(shí)（分派）信息安全責(zé)任A.6.1.4Authorizationprocessforinformationprocessingfacilities

信息處理設(shè)施的授權(quán)過程A.6.1.5Confidentialityagreements

保密協(xié)議A.6.1.6Contactwithauthorities

與權(quán)力機(jī)構(gòu)保持聯(lián)系A(chǔ).6.1.7Contactwithspecialinterestgroups 與特殊利益團(tuán)體保持聯(lián)系A(chǔ).6.1.8Independentreviewofinformationsecurity

信息 安全的獨(dú)立評(píng)審A.6.2Tomaintainsecurityofinformationassets/facilitiesfromthirdparties從第三方維護(hù)信資息產(chǎn)/設(shè)施的安全A.6.2.1Identificationofriskrelatedtoexternalparties

識(shí)別與外部機(jī)構(gòu)相關(guān)的風(fēng)險(xiǎn)A.6.2.2Addressingsecuritywhendealingwithcustomers

與客戶接觸時(shí)強(qiáng)調(diào)安全A.6.2.3Addressingsecurityinthirdpartyagreements

在第三方協(xié)議中強(qiáng)調(diào)安全A.6Organizationofinformationsecurity信息安全組織Assetmanagement

資產(chǎn)管理A.7Assetmanagement

資產(chǎn)管理A.7.1ToachieveandmaintainappropriateprotectionofAssets

對(duì)資產(chǎn)達(dá)成和維護(hù)適當(dāng)?shù)谋Ｗo(hù)A.7.2Toensurethatinformationreceivesappropriateprotectionlevel

確保信息受到適當(dāng)程度的保護(hù)A.7.1.1InventoryofAssets

資產(chǎn)清點(diǎn)A.7.1.2OwnershipofAssets

資產(chǎn)的責(zé)任關(guān)系A(chǔ).7.1.3Acceptableuseofassets

資產(chǎn)使用的可接受方法A.7.2.1Classificationguidelines

分類指南A.7.2.2InformationLabelingandhandling

信息標(biāo)示和處理Humanresourcesecurity

人力資源安全A.8.2Toensureawarenessofthreatsandconcerns,roles/responsibilitiesandtoenablethemtosupportorganization’sinformationsecuritypolicy

確保知曉威脅和需要關(guān)注點(diǎn)，角色/責(zé)任并他們能夠支持組織的信息安全政策A.8.1Toensurethatemployeesareawareofinformationsecurityandtheirroletoreducesecurityrisk

確保員工知曉信息安全和他們?cè)诮档桶踩L(fēng)險(xiǎn)方面的角色A.8.1.1RolesandResponsibilities

角色和責(zé)任A.8.1.2Screening

篩審A.8.1.3Termsandconditionsofemployment

雇傭協(xié)議和條件A.8.2.1Managementresponsibilities

管理層責(zé)任A.8.2.2Informationsecurityawareness,educationandtraining

信息安全意識(shí)、教育和培訓(xùn)A.8.2.3Disciplinaryprocess

懲罰過程A.8.3Toensureexitofemployees,contractorsandthirdpartyusersinanorderlymanner

確保員工、合同商和第三方有秩序地退出A.8.3.1Terminationresponsibilities

結(jié)束雇傭關(guān)系時(shí)的責(zé)任A.8.3.2Returnofassets

退還資產(chǎn)A.8.3.3Removalofaccessrights

取消訪問權(quán)限A.8Humanresourcesecurity人力資源安全PhysicalandenvironmentalsecurityA.9.1Topreventunauthorizedphysicalaccessdamageandinterferencetopremisesandinformation.

防止未經(jīng)授權(quán)的物理資產(chǎn)損壞和對(duì)辦公室及信息的干擾A.9.2Topreventloss,damage,theftorcompromiseofassetsandtoorganizationalactivities.A.9.1.1Physicalsecurityperimeter

物理安全周界A.9.1.2Physicalentrycontrols

物理進(jìn)出控制A.9.1.3Securingoffices,roomsandfacilities

辦公室、 房間和設(shè)施的安全A.9.1.4Protectingagainstexternal/environmentalthreats 防止外部/環(huán)境威脅A.9.1.5Workinginsecureareas

在安全區(qū)域內(nèi)工作A.9.1.6Publicaccess,deliveryandloadingareas

公共訪問、運(yùn)送和裝卸區(qū)域A.9.2.1Equipmentsitingandprotection

設(shè)備放置與保護(hù)A.9.2.2Supportingutilities

支持設(shè)施A.9.2.3Cablingsecurity

電纜安全A.9.2.4Equipmentmaintenance

設(shè)備維護(hù)A.9.2.5Securityofequipmentoffpremises

辦公區(qū)域外設(shè)備的安全A.9.2.6Securedisposalorre-useofequipment

處置和重新使用設(shè)備的安全A.9.2.7Removalofproperty

資產(chǎn)搬移A.9Physicalandenvironmentalsecurity 物理和環(huán)境安全Communicationsandoperationsmanagement

通信和運(yùn)營(yíng)安全A.10Communicationsandoperationsmanagement

通信和運(yùn)營(yíng)安全A.10.1Toensurecorrectandsecureoperations

確保正確與安全地運(yùn)營(yíng)A.10.2Toimplementandmaintainappropriatelevelofinf.securityinlinewiththirdpartyservicedeliveryagreements實(shí)施和維護(hù)適當(dāng)程度的、與第三方服務(wù)提供協(xié)議一致的信息安全A.10.3Tominimizeriskofsystemfailures最小化系統(tǒng)失效的風(fēng)險(xiǎn)A.10.4Toprotectintegrityofsoftwareandinformation

保護(hù)信息和軟件的完整性A.10.2.1Servicedelivery

服務(wù)提供A.10.2.2Monitoring,reviewofthirdpartyservices

監(jiān)控、評(píng)審第三方服務(wù)A.10.2.3Managingchangestothirdpartyservices管理對(duì)第三方服務(wù)的變更A.10.3.1Capacitymanagement

容量管理A.10.3.2Systemacceptance

系統(tǒng)驗(yàn)受條件A.10.4.1Controlsagainstmaliciouscode

控制惡意代碼A.10.4.2Controlsagainstmobilecode

控制移動(dòng)代碼A.10.1.1Documentedoperatingprocedures

文件化運(yùn)營(yíng)程序A.10.1.2Changemanagement

變更管理A.10.1.3Segregationofduties

責(zé)任分離A.10.1.4separationofdevelopment,testandoperationalfacilities

分離開發(fā)、測(cè)試和運(yùn)營(yíng)設(shè)施Communicationsandoperationsmanagement

通訊和運(yùn)營(yíng)管理A.10.5Tomaintainintegrityandavailabilityofinformationandinformationprocessingfacilities.

維護(hù)信息和信息處理設(shè)施的完整性、可用性A.10.6Toprotectinformationinnetworksandsupportinginfrastructure保護(hù)在網(wǎng)絡(luò)和支持架構(gòu)中的信息A.10.7Topreventunauthorizeddisclosure,modification,removalordestructionofassetsandinterruptionstobusinessactivities.

防止未授權(quán)的披露、修改、移動(dòng)和毀壞資產(chǎn)以及對(duì)業(yè)務(wù)活動(dòng)的干擾A.10.5.1Informationbackup信息備份A.10.6.1Networkcontrols

網(wǎng)絡(luò)控制A.10.6.2Securityofnetworkdevices

網(wǎng)絡(luò)服務(wù)中的安全A.10.7.1Managementofremovablemedia

管理可移動(dòng)的介質(zhì)A.10.7.2Disposalofmedia

介質(zhì)處置A.10.7.3Informationhandlingprocedures 信息處理程序A.10.7.4Securityofsystemdocumentation

保護(hù)系統(tǒng)文件安全A.10Communicationsandoperationsmanagement

通信和運(yùn)營(yíng)管理Communicationsandoperationsmanagement

通信和運(yùn)營(yíng)管理A.10.8Tomaintainsecurityofinformationandsoftwareexchangedwithintheorgn.andwithanyexternalentity

維護(hù)信息和軟件在組織內(nèi)與組織外交換的安全A.10.9Toensuresecurityofe-commerceandtheirsecureuse

確保電子商務(wù)的安全以及他們的安全使用A.10.10Todetectunauthorizedinformationprocessingfacilities.

偵測(cè)未經(jīng)授權(quán)的信息處理設(shè)施A.10.8.1Informationexchange,policies,procedures

信息交換政策、程序A.10.8.2Exchangeagreements

交換協(xié)議A.10.8.3Physicalmediaintransit

物理介質(zhì)在運(yùn)輸中的安全A.10.8.4Electronicmessaging

電子消息A.10.8.5Businessinformationsystems

業(yè)務(wù)信息系統(tǒng)A.10.10.1Auditlogging

審計(jì)日志A.10.10.2Monitoringsystemuse

監(jiān)控系統(tǒng)的使用A.10.10.3Protectingloginformation

保護(hù)日志信息A.10.10.4Adminandoperatorlogs

管理和操作者記錄A.10.10.5faultlogging

錯(cuò)誤日志A.10.10.6Clocksynchronization

始終同步A.10.9.1ElectronicCommerce

電子商務(wù)A.10.9.2Onlinetransactions

在線交易A.10.9.3Publiclyavailableinformation

可利用的公共信息A.10Communicationsandoperationsmanagement通信和運(yùn)營(yíng)管理Accesscontrol訪問控制A.11.1TocontrolaccesstoInformation

控制對(duì)信息的訪問A.11.2Toensureauthorizeduseraccessandpreventunauthorizedaccesstoinformationsystems

確保授權(quán)用戶的訪問和防止未經(jīng)授權(quán)的對(duì)信息系統(tǒng)的訪問A.11.3TopreventunauthorizeduserAccessandcompromise/theftofinformationandinformationprocessingfacilities

防止未經(jīng)授權(quán)的用戶訪問和危及/偷盜信息和信息處理設(shè)施A.11.4Topreventunauthorizedaccesstonetworked

Services

防止未經(jīng)授權(quán)的網(wǎng)絡(luò)服務(wù)訪問A.11.2.1UserRegistration

用戶注冊(cè)A.11.2.2Privilegemanagement

特權(quán)管理A.11.2.3Userpasswordmanagement

用戶口令字管理A.11.2.4Reviewofuseraccessrights

評(píng)審用戶訪問權(quán)限A.11.3.1Passworduse

口令字使用A.11.3.2Unattendeduserequipment

無人看管的用戶設(shè)備A.11.3.3Cleardeskandclearscreenpolicy

清楚桌面和屏幕政策A.11.4.1Policyonuseofnetworkservices使用網(wǎng)絡(luò)服務(wù)政策A.11.4.2Userauthenticationforexternalconnections

用戶外部連接的授權(quán)A.11.4.3Equipmentidentificationinnetworks

網(wǎng)絡(luò)中設(shè)備的識(shí)別A.11.4.4Remotediagnosticandconfigurationportprotection 保護(hù)遠(yuǎn)程診斷和配置端口A.11.4.5Segregationinnetworks

網(wǎng)絡(luò)分離A.11.4.6Networkconnectioncontrol

網(wǎng)絡(luò)連接控制A.11.4.7Networkroutingcontrol

網(wǎng)絡(luò)路由控制A.11.1.1AccessControlPolicy

訪問控制方針A.11Accesscontrol

訪問控制Accesscontrol訪問控制A.11.5Topreventunauthorizedaccesstooperatingsystems防止未經(jīng)授權(quán)的對(duì)操作系統(tǒng)的訪問A.11.5.1Securelog-onprocedures

安全注冊(cè)程序A.11.5.2Useridentificationandauthentication

用戶識(shí)別和驗(yàn)證A.11.5.3Passwordmanagementsystem

口令管理系統(tǒng)A.11.5.4Useofsystemutilities

系統(tǒng)設(shè)施的使用A.11.5.5Sessiontime-out

訪問時(shí)間限制A.11.5.6Limitationofconnectiontime

連接時(shí)間限制A.11.6Topreventunauthorizedaccesstoinformationheldinapplicationsystem防止未經(jīng)授權(quán)的對(duì)應(yīng)用系統(tǒng)中信息的訪問A.11.6.1Informationaccessrestriction

信息訪問限制A.11.6.2Sensitivesystemisolation

敏感系統(tǒng)隔離A.11.7Toensureinformationsecuritywhenusingmobilecomputingandteleworkingfacilities

在使用移動(dòng)計(jì)算和遠(yuǎn)程通信設(shè)施時(shí)確保信息安全A.11.7.1Mobilecomputingandcommunications

移動(dòng)計(jì)算和通訊A.11.7.2Teleworking

遠(yuǎn)程工作A.11Accesscontrol訪問控制Informationsystems,acquisition,developmentandmaintenance

信息系統(tǒng)的獲得、開發(fā)和維護(hù)A.12.1ToensurethatsecurityisanintegralpartofinformationSystems

確保安全是信息系統(tǒng)的一個(gè)重要部分A.12.2Topreventerror,loss,unauthorizedmodificationormisuseofinformationinApplication

防止錯(cuò)誤、丟失、未經(jīng)授權(quán)的修改或誤用在應(yīng)用系統(tǒng)中的信息A.12.3Toprotectconfidentiality,authenticityorintegrityofinformationbycryptographicMeans

用加密手段保護(hù)信息的機(jī)密性、真實(shí)性或完整性A.12.2.1Inputdatavalidation

輸入數(shù)據(jù)驗(yàn)證A.12.2.2Controlofinternalprocessing

控制內(nèi)部過程A.12.2.3Messageintegrity

消息完整性A.12.2.4Outputdatavalidation

輸出數(shù)據(jù)的驗(yàn)證A.12.3.1Policyontheuseofcryptographiccontrols

使用加密控制方針A.12.3.2Keymanagement

密鑰管理A.12.1.1Securityrequirement,analysisandspecification安全需求、分析和詳細(xì)說明A.12Informationsystemsacquisition,developmentandmaintenance信息系統(tǒng)的獲得，開發(fā)和維護(hù)Informationsystemsacquisition,developmentandmaintenance

信息系統(tǒng)的獲得、開發(fā)和維護(hù)A.12.4Toensuresecurityofsystemfiles

確保系統(tǒng)文檔的安全A.12.4.1Controlofoperationalsoftware

控制運(yùn)營(yíng)軟件A.12.4.2Protectionofsystemtestdata

保護(hù)系統(tǒng)測(cè)試數(shù)據(jù)A.12.4.3Accesscontroltoprogramsourcecode

程序員代碼的訪問控制A.12.5Tomaintainsecurityofapplicationsystemsoftwareandinformation

維護(hù)應(yīng)用系統(tǒng)軟件和信息的安全A.12.5.1Changecontrolprocedures

變更控制程序A.12.5.2Technicalreviewofapplicationsafteroperatingsystemchanges.

在操作系統(tǒng)變更后 的應(yīng)用系統(tǒng)技術(shù)評(píng)審A.12.5.3Restrictiononchangestosoftwarepackages

軟件包變更的限制A.12.5.4Informationleakage

信息泄露A.12.5.5Outsourcedsoftwaredevelopment

外包的軟件開發(fā)A.12.6Toreducerisksresultingfromexploitationofpublishedtechnicalvulnerabilities

通過利用已公開的技術(shù)弱點(diǎn)降低風(fēng)險(xiǎn)A.12.6.1Controloftechnicalvulnerabilities

技術(shù)弱點(diǎn)的控制A.12Informationsystemsacquisition,developmentandmaintenance信息系統(tǒng)的獲得，開發(fā)和維護(hù)Informationsecurityincidentmanagement

信息安全事故管理A.13.1Toensureinformationsecurityeventsandweaknessesassociatedwiththeinformationsystemsarecommunicatedinamannerallowingtimelycorrectiveactiontobetaken

確保與信息系統(tǒng)有關(guān)的事件和弱點(diǎn)及時(shí)溝通以確保及時(shí)采取糾正措施A.13.1.1Reportinginformationsecurityevents

報(bào)告信 息安全事件A.13.1.2Reportingsecurityweaknesses報(bào)告安全弱點(diǎn)A.13.2Toensureconsistentandeffectiveapproachisappliedtothemanagementofinformationsecurityincidents確保管理信息安全事故的一致的和有效的方法A.13.2.1Responsibilitiesandprocedures

責(zé)任和程序A.13.2.2Learningfrominformationsecurityincidents

從信息安全事故中學(xué)習(xí)A.13.2.3Collectionofevidence

收集證據(jù)A.13Informationsecurityincidentmanagement

信息安全事故管理Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性A.14.1Tocounterinterruptionstobusinessactivitiesandtoprotectcriticalbusinessprocessesfromtheeffectsofmajorfailuresofinformationsystemsordisasterstoensuretheirtimelyresumption

應(yīng)對(duì)業(yè)務(wù)活動(dòng)的中斷及保護(hù)關(guān)鍵業(yè)務(wù)流程不受重大信息系統(tǒng)失效或?yàn)?zāi)難的影響并及時(shí)恢復(fù)A.14.1.1Includinginformationsecurityinbusinesscontinuitymanagementprocess 在業(yè)務(wù)連續(xù)性管理過程中包括信息安全A.14.1.2Businesscontinuityandriskassessment

業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估A.14.1.3DevelopingandimplementingcontinuityplansIncludinginformationsecurity

開發(fā)和實(shí)施包括信息安全連續(xù)性計(jì)劃A.14.1.4Businesscontinuityplanningframework

業(yè)務(wù)連續(xù)性計(jì)劃框架A.14.1.5Testing,maintainingandreassessingbusinesscontinuityplans.

測(cè)試、維護(hù)和重新評(píng)估業(yè)務(wù)連續(xù)性計(jì)劃A.14Businesscontinuitymanagement

業(yè)務(wù)連續(xù)性管理Compliance

符合A.15.1Toavoidbreachesofanylaw,statutoryregulatoryorcontractualobligationsandofanysecurityRequirements

避免違背任何的法律、法令、法規(guī)或合同義務(wù)和任何安全要求A.15.1.1Identificationofapplicablelegislation

識(shí)別適用的法律A.15.1.2Intellectualpropertyrights(IPR)

知識(shí)產(chǎn)權(quán)A.15.1.3Protectionoforganizationalrecords

保護(hù) 組織記錄A.15.1.4Dataprotectionandprivacyofpersonalinformation.

數(shù)據(jù)保護(hù)和個(gè)人信息保密A.15.1.5Preventionofmisuseofinformationprocessingfacilities

防止信息處理設(shè)施誤用A.15.1.6Regulationofcryptographiccontrols

密碼 控制法規(guī)A.15.2Toensurecomplianceofsystemswithorganizationalsecuritypoliciesandstandards確保系統(tǒng)符合組織的安全政策和標(biāo)準(zhǔn)A.15.2.1Compliancewithsecuritystandards

符合安全標(biāo)準(zhǔn)A.15.2.2Technicalcompliancechecking

技術(shù)符合性檢查A.15.3Tomaximizeeffectivenessofandtominimizeinterferenceto/fromtheinformationsystemsauditProcess

最大化信息系統(tǒng)審計(jì)的有效性和最小化業(yè)務(wù)干擾A.15.3.1Informationsystemauditcontrols

信息系統(tǒng)審計(jì)控制A.15.3.2Protectionofinformationsystemaudittools

保護(hù)信息系統(tǒng)審計(jì)工具A.15Compliance

符合信息安全方針為信息安全提供符合業(yè)務(wù)要求和相關(guān)法律法規(guī)的管理指導(dǎo)和支持信息安全方針文檔應(yīng)經(jīng)過管理層的批準(zhǔn)，并向所有員工和外部相關(guān)方公布和溝通應(yīng)按策劃的時(shí)間間隔或當(dāng)發(fā)生重大變化時(shí)，對(duì)信息，安全方針文檔進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性信息安全組織使組織內(nèi)部信息安全保證基礎(chǔ)設(shè)施安全管理信息安全委員會(huì)信息安全協(xié)作落實(shí)信息安全責(zé)任控制第三方訪問確認(rèn)第三方訪問風(fēng)險(xiǎn)第三方合同安全要求控制外包外包合同安全要求資產(chǎn)管理確保信息資產(chǎn)受到相應(yīng)級(jí)別的保護(hù)資產(chǎn)是組織認(rèn)為有價(jià)值的東西，例如:信息資產(chǎn)紙上的文件軟件資產(chǎn)物理資產(chǎn)人公司的形象和名譽(yù)服務(wù)一個(gè)組織必須確定哪些資產(chǎn)在損失之后對(duì)于本組織的產(chǎn)品及服務(wù)產(chǎn)生物質(zhì)上的影響人力資源安全目標(biāo)：減少人為的錯(cuò)誤，偷盜，欺騙或錯(cuò)誤使用設(shè)施帶來的風(fēng)險(xiǎn)就業(yè)申請(qǐng)審查將安全責(zé)任寫入合同，并在雇用期間進(jìn)行監(jiān)督保密協(xié)議教育與培訓(xùn)---組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。還包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn)熟悉安全事故處理流程物理與環(huán)境安全防止未經(jīng)授權(quán)的訪問，破壞和干擾辦公場(chǎng)所和信息

周邊安全

進(jìn)入控制

工作區(qū)安全

電力供應(yīng)

設(shè)備整理通訊與運(yùn)作管理保證信息處理設(shè)施的安全和正確運(yùn)營(yíng)運(yùn)營(yíng)程序和責(zé)任系統(tǒng)計(jì)劃和接收預(yù)防惡意軟件網(wǎng)絡(luò)管理媒介管理和安全信息和軟件交換的安全訪問控制控制對(duì)信息的訪問業(yè)務(wù)要求對(duì)訪問進(jìn)行控制用戶訪問管理用戶職責(zé)網(wǎng)絡(luò)訪問控制操作系統(tǒng)訪問控制應(yīng)用訪問控制系統(tǒng)訪問和使用監(jiān)控移動(dòng)計(jì)算設(shè)備和通信信息系統(tǒng)的獲取、開發(fā)與維護(hù)防止應(yīng)用系統(tǒng)信息的錯(cuò)誤、丟失、未授權(quán)的修改或誤用通過加密手段來保護(hù)細(xì)膩的保密性、真實(shí)性或完整性確保系統(tǒng)文檔的安全開發(fā)和支持過程的安全，保持應(yīng)用系統(tǒng)軟件和信息的安全減少由利用公開的技術(shù)漏洞帶來的風(fēng)險(xiǎn)信息系統(tǒng)的獲取、開發(fā)與維護(hù)需求階段系統(tǒng)開發(fā)和交付系統(tǒng)部署實(shí)施系統(tǒng)運(yùn)行維護(hù)系統(tǒng)廢棄系統(tǒng)敏感度評(píng)估確定安全需求將安全需求加入到系統(tǒng)設(shè)計(jì)中獲得系統(tǒng)（開發(fā)或購(gòu)買）及安全功能安裝并使安全控制有效安全測(cè)試鑒定合格安全操作和管理運(yùn)作保證（監(jiān)控和審計(jì)）變更管理系統(tǒng)廢棄審核定期評(píng)估信息安全事件管理報(bào)告信息安全事件和弱點(diǎn)，確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的溝通能夠及時(shí)采取糾正措施信息安全事故的管理和改進(jìn)，確保使用持續(xù)有效的方法管理信息安全事故業(yè)務(wù)連續(xù)性管理防止業(yè)務(wù)活動(dòng)的中斷，保護(hù)關(guān)鍵業(yè)務(wù)流程不會(huì)受信息系統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時(shí)恢復(fù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃的框架業(yè)務(wù)連續(xù)性計(jì)劃的測(cè)試、維護(hù)和再評(píng)估符合性避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求確認(rèn)適用的法律知識(shí)產(chǎn)權(quán)保護(hù)組織的記錄數(shù)據(jù)保護(hù)和個(gè)人隱私信息防止錯(cuò)誤使用信息處理設(shè)施加密控制規(guī)定證據(jù)搜集CertificationProcess申請(qǐng)認(rèn)證簽約并安排日程確定認(rèn)證范圍與報(bào)價(jià)預(yù)評(píng)(模擬評(píng)審)第二階段審核定期復(fù)合糾正措施確認(rèn)或追蹤審核(13周內(nèi))建議頒證可選擇三年全面復(fù)核是否每6個(gè)月或一年第一階段審核文件評(píng)審不符合事項(xiàng)糾正措施確認(rèn)或追蹤審核(13周內(nèi))不符合事項(xiàng)否是頒布證書12周關(guān)鍵成功因素Informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives

信息安全方針、目標(biāo)和活動(dòng)反映業(yè)務(wù)目標(biāo)關(guān)鍵成功因素Approachtoinformationsecurityconsistentwiththeorganizationalculture 與組織文化一致的信息安全方法關(guān)鍵成功因素Visiblesupportandcommitmentfromalllevelsofmanagment所有管理層可見的支持和承諾關(guān)鍵成功因素Agoodunderstandingoftheinformationsecurityrequirments,riskassessmentandriskmanagement對(duì)信息安全要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理有好的理解關(guān)鍵成功因素

Distributionofguidanceoninformationsecuritytoallthestaffandothers

向所有員工和其他人分發(fā)信息安全指南關(guān)鍵成功因素Effectivemarketingofinformationsecuritytoallthestaffandothers有效地對(duì)員工和其他人推銷信息安全Effectivemarketingofinformationsecuritytoallthestaffandothers有效地對(duì)員工和其他人推銷信息安全關(guān)鍵成功因素Adequatefinancialsupport足夠的財(cái)務(wù)支持關(guān)鍵成功因素Appropriateawareness,trainingandeducation

適當(dāng)?shù)囊庾R(shí)、培訓(xùn)和教育關(guān)鍵的成功因素Effectiveinformationsecurityincident

managmentprocess

有效的信息安全事故管理過程關(guān)鍵的成功因素Implementationofameasurement

systemthatisusedtoevaluateperformancein

informationsecuritymanagementandfeedbacksuggestionsforimprovement

實(shí)施能夠評(píng)價(jià)信息安全管理績(jī)效并反饋改進(jìn)意見的測(cè)量體系ISO27001的一些問題11大類的結(jié)構(gòu)性不夠清晰一些風(fēng)險(xiǎn)控制點(diǎn)的歸類不妥“加密”在開發(fā)與維護(hù)類中“事故報(bào)告”在人員安全類中操作與通信類中太雜亂一些風(fēng)險(xiǎn)控制點(diǎn)的闡述不夠關(guān)于資產(chǎn)關(guān)于業(yè)務(wù)安全目錄信息安全現(xiàn)狀信息安全管理體系標(biāo)準(zhǔn)介紹信息安全管理體系的設(shè)計(jì)與實(shí)施信息安全保障體系的構(gòu)成和建設(shè)風(fēng)險(xiǎn)概述風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)要素及要素之間的關(guān)系資產(chǎn)、威脅和脆弱性對(duì)應(yīng)關(guān)系風(fēng)險(xiǎn)的定義普通字典的解釋風(fēng)險(xiǎn)：遭受損害或損失的可能性AS/NZS4360：澳大利亞/新西蘭國(guó)家標(biāo)準(zhǔn)風(fēng)險(xiǎn)：對(duì)目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機(jī)會(huì)。它可以用后果和可能性來衡量。ISO/IECTR13335-1:1996安全風(fēng)險(xiǎn)：是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全領(lǐng)域信息安全風(fēng)險(xiǎn)是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。風(fēng)險(xiǎn)的要素資產(chǎn)及其價(jià)值威脅脆弱性現(xiàn)有的和計(jì)劃的控制措施(對(duì)策)風(fēng)險(xiǎn)的要素－資產(chǎn)資產(chǎn)是任何對(duì)組織有價(jià)值的東西資產(chǎn)的分類軟件：基礎(chǔ)應(yīng)用軟件（如數(shù)據(jù)庫(kù)軟件）、操作系統(tǒng)硬件設(shè)施：主機(jī)、路由器、防火墻、交換機(jī)等實(shí)體信息：合同、傳真、電報(bào)、財(cái)務(wù)報(bào)告、企業(yè)發(fā)展計(jì)劃，磁帶，光盤打印機(jī)、復(fù)印機(jī)等人員：包括各級(jí)安全組織，安全人員、各級(jí)管理人員，網(wǎng)管員，系統(tǒng)管理員，業(yè)務(wù)操作人員，第三方人員等電子數(shù)據(jù)：所有通過網(wǎng)絡(luò)能訪問到的數(shù)據(jù)服務(wù)性設(shè)施：電源、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施、照明等其他：公司形象、公司信譽(yù)和客戶關(guān)系風(fēng)險(xiǎn)的要素－威脅威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)，威脅是利用脆弱性來造成后果威脅舉例自然威脅：洪水、地震、颶風(fēng)、泥石流、雪崩、電風(fēng)暴及其他類似事件。人為威脅：由人激發(fā)或引發(fā)的事件，例如無意識(shí)行為（粗心的數(shù)據(jù)錄入）或故意行為（網(wǎng)絡(luò)攻擊、惡意軟件上傳、對(duì)秘密信息的未授權(quán)訪問）環(huán)境威脅：長(zhǎng)時(shí)間電力故障、污染、化學(xué)、液體泄漏等。風(fēng)險(xiǎn)的要素－脆弱性與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患，脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來對(duì)信息資產(chǎn)造成危害。脆弱性舉例系統(tǒng)漏洞配置不當(dāng)程序Bug專業(yè)人員缺乏不良習(xí)慣弱口令缺乏安全意識(shí)后門……風(fēng)險(xiǎn)要素之間的關(guān)系安全措施

抗擊

業(yè)務(wù)脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本或CIA資產(chǎn)資產(chǎn)價(jià)值資產(chǎn)、威脅和脆弱性對(duì)應(yīng)關(guān)系資產(chǎn)威脅A威脅B來源A1來源A2來源B1來源B2脆弱點(diǎn)A1脆弱點(diǎn)A2。。。。。。。。。。。。。。。。。。脆弱點(diǎn)B1脆弱點(diǎn)B2。。。。。。每一項(xiàng)資產(chǎn)可能存在多個(gè)威脅；每一威脅可能利用一個(gè)或數(shù)個(gè)脆弱點(diǎn)PDCA模型一種持續(xù)改進(jìn)的過程，而不是目標(biāo)。PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagement設(shè)計(jì)與實(shí)施Step1:定義范圍、安全方針和文件化Step2:管理層承諾Step3:風(fēng)險(xiǎn)評(píng)估Step4:風(fēng)險(xiǎn)處置Step5:實(shí)施和運(yùn)作ISMSStep6:監(jiān)督、審查Step7:改進(jìn)ISMSStep8:完善ISMS文件體系階段一建立和管理ISMS階段二實(shí)施和運(yùn)作ISMS階段三監(jiān)督和檢查ISMS階段四維護(hù)和改進(jìn)ISMS實(shí)施內(nèi)容文件化按文件體系生命周期編寫文件需求分析制定發(fā)布推行審核修訂廢除文檔體系結(jié)構(gòu)記錄程序文件主策略作業(yè)文件作業(yè)指導(dǎo)書風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估定義對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)的過程，它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來確定信息系統(tǒng)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估原則不管使用哪一種風(fēng)險(xiǎn)評(píng)估的方法或工具，其內(nèi)容都應(yīng)包括風(fēng)險(xiǎn)的四個(gè)要素：資產(chǎn)及其價(jià)值威脅脆弱性現(xiàn)有的和計(jì)劃的控制措施風(fēng)險(xiǎn)評(píng)估常用術(shù)語風(fēng)險(xiǎn)一個(gè)規(guī)定威脅將利用一個(gè)或一組系統(tǒng)資源的弱點(diǎn)導(dǎo)致其損失或破壞的可能性風(fēng)險(xiǎn)管理以可接受的成本認(rèn)證、控制、消滅或最小化不確定因素對(duì)系統(tǒng)資源的影響的過程風(fēng)險(xiǎn)賦值對(duì)照給定的風(fēng)險(xiǎn)準(zhǔn)則和正在估計(jì)的風(fēng)險(xiǎn)，以確定風(fēng)險(xiǎn)嚴(yán)重程度的過程風(fēng)險(xiǎn)評(píng)估對(duì)信息和信息處理設(shè)施的危害、影響和弱點(diǎn)及三者發(fā)生的可能性的評(píng)估剩余風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理后殘留的風(fēng)險(xiǎn)風(fēng)險(xiǎn)接受接受一個(gè)風(fēng)險(xiǎn)的決定風(fēng)險(xiǎn)處置選擇安全措施，轉(zhuǎn)移、降低或消除風(fēng)險(xiǎn)的過程風(fēng)險(xiǎn)降低采取措施降低風(fēng)險(xiǎn)發(fā)生的可能性以及與風(fēng)險(xiǎn)相關(guān)的負(fù)面影響風(fēng)險(xiǎn)轉(zhuǎn)移與另一方共同承擔(dān)風(fēng)險(xiǎn)，從而減輕利益或財(cái)產(chǎn)損失的負(fù)擔(dān)定量的風(fēng)險(xiǎn)評(píng)估當(dāng)部分的公司資產(chǎn)已具有量化的價(jià)值利用財(cái)務(wù)的手法算出風(fēng)險(xiǎn)造成的財(cái)務(wù)損失再根據(jù)損失的大小決定風(fēng)險(xiǎn)等級(jí)定性的風(fēng)險(xiǎn)評(píng)估從風(fēng)險(xiǎn)發(fā)生可能性及造成的后果來考慮風(fēng)險(xiǎn)的等級(jí)對(duì)于后果和可能性采用定性度量并在最后階段歸納出不同等級(jí)風(fēng)險(xiǎn)的方法基于要素的風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)的函數(shù)表達(dá)：

R=f（a,v,t）

R：風(fēng)險(xiǎn)

a：資產(chǎn)的價(jià)值（資產(chǎn)價(jià)值用于反映某個(gè)資產(chǎn) 作為一個(gè)整體的價(jià)值，綜合了機(jī)密性、完整性和可 用性三個(gè)屬性）

v：資產(chǎn)本身的脆弱性

t：資產(chǎn)所面臨的威脅為何需要風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)面臨的最大威脅是什么？有那些安全問題？什么是最關(guān)鍵的信息資產(chǎn)？網(wǎng)絡(luò)設(shè)備是否安全？操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)是否安全？在系統(tǒng)中采用了哪些安全措施？是否有效？您需要什么風(fēng)險(xiǎn)控制手段？您需要什么安全技術(shù)保障？對(duì)于安全事故，是否具備應(yīng)急響應(yīng)與恢復(fù)能力？……

面對(duì)這些問題，我們會(huì)自然地想到：對(duì)組織的信息系統(tǒng)，我們應(yīng)該保護(hù)什么？應(yīng)該如何保護(hù)？……這些問題有的看似簡(jiǎn)單，但如果要準(zhǔn)確回答這些問題---信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估流程否否是風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施選擇控制措施并評(píng)估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理是脆弱性識(shí)別威脅識(shí)別資產(chǎn)識(shí)別是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)識(shí)別與評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估記錄風(fēng)險(xiǎn)評(píng)估報(bào)告風(fēng)險(xiǎn)評(píng)估結(jié)果記錄風(fēng)險(xiǎn)處置報(bào)告…..資產(chǎn)清單風(fēng)險(xiǎn)處置措施風(fēng)險(xiǎn)矩陣表項(xiàng)

目威脅等級(jí)低(0)中(1)高(2)脆弱性等級(jí)低0中1高2低0中1高2低0中1高2資產(chǎn)價(jià)值11232343452234345456334545656744565676785567678789風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估－舉例吃魚的時(shí)候，魚刺可能刺傷喉嚨。 資產(chǎn)＝ 弱點(diǎn)＝ 威脅＝ 威脅發(fā)生的可能性＝ 威脅的影響＝風(fēng)險(xiǎn)＝風(fēng)險(xiǎn)處置舉例吃魚的時(shí)候，魚刺可能刺傷喉嚨：拒絕風(fēng)險(xiǎn)：不吃魚。風(fēng)險(xiǎn)轉(zhuǎn)移：醫(yī)療保險(xiǎn)。減少風(fēng)險(xiǎn)：（減少威脅）可以將魚刺剔除，買魚刺比較少的魚，（減少脆弱性）吃的時(shí)候要小心，（檢測(cè)意外事件）準(zhǔn)備醋、饅頭、大米飯|及時(shí)上醫(yī)院救治。接受風(fēng)險(xiǎn)：照常吃魚（不能因?yàn)橛恤~刺，一輩子不吃魚吧），接受殘余風(fēng)險(xiǎn)。

監(jiān)督、審查管理評(píng)審高層參與，內(nèi)部審核，外部審核等作為輸入一般以會(huì)議的方式進(jìn)行內(nèi)部審核依據(jù)BS7799-2:2002標(biāo)準(zhǔn)制訂的信息安全管理體系文件有關(guān)法律法規(guī)相關(guān)方的要求（包括客戶、消費(fèi)者、政府信息安全主管機(jī)構(gòu)、供應(yīng)商等）公司的信息安全管理承諾內(nèi)審方法詢問法抽樣法查看文件在實(shí)際審核中，一般是以上方法結(jié)合使用改進(jìn)、完善糾正采取措施，以消除與ISMS的實(shí)施、運(yùn)作相關(guān)的不合格的原因，防止再次發(fā)生。預(yù)防確定措施，以消除潛在不合格的原因，防止其發(fā)生。預(yù)防措施應(yīng)與潛在問題的影響程度相適應(yīng)。認(rèn)證認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)認(rèn)證機(jī)構(gòu)權(quán)威部門認(rèn)證機(jī)構(gòu)產(chǎn)品、過程、服務(wù)等認(rèn)證機(jī)構(gòu)……UKAS認(rèn)證公司BSI/DNV公司或企業(yè)咨詢公司目錄信息安全現(xiàn)狀信息安全管理體系標(biāo)準(zhǔn)介紹信息安全管理體系的設(shè)計(jì)與實(shí)施信息安全保障體系的構(gòu)成和建設(shè)信息安全工作的總體思路我們的方向是什么？我們的目標(biāo)是什么，做成什么樣？我們現(xiàn)在的起點(diǎn)在哪里？我們?cè)趺醋?？做得效果如何，還有什么問題？我們開始做了1.公司安全的使命和目標(biāo)3.安全現(xiàn)狀2.安全體系框架與指標(biāo)4.信息安全規(guī)劃5.管理體系推廣與實(shí)施7.體系運(yùn)營(yíng)和持續(xù)改進(jìn)6.技術(shù)體系實(shí)施與工程建設(shè)8.定期評(píng)估、檢查、審計(jì)和持續(xù)改進(jìn)安全管理運(yùn)行中心技術(shù)體系安全組織設(shè)置和崗位職責(zé)安全教育、培訓(xùn)與資質(zhì)認(rèn)證組織體系安全策略