《信息安全管理培訓(xùn)》由會員分享，可在線閱讀，更多相關(guān)《信息安全管理培訓(xùn)（119頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、信息安全管理體系,,,安全防護技術(shù)體系分階段發(fā)展規(guī)劃,,1、建章立制 以明確要求為重點，分系統(tǒng)落實，缺乏有效的檢查手段。,2、有效執(zhí)行 （1）通過集中化的安全防護手段，有效落實安全要求。 （2）形成專業(yè)的安全支撐維護隊伍。,3、量化優(yōu)化 量化掌握總體安全態(tài)勢，有效地形成整體安全防護策略，量化評價安全要求的執(zhí)行,安全管理發(fā)展階段,1、分散防護 分系統(tǒng)部署防火墻、入侵檢測、防病毒等基礎(chǔ)防護手段。,3、集成防護 建設(shè)集成的安全運行管理平臺，將各安全防護手段形成合力。實現(xiàn)精細化的風(fēng)險管理、全網(wǎng)安全態(tài)勢的量化分析及安全事件的實時監(jiān)控，并借助EOMS等系統(tǒng)的配合形成快速、流程順暢的反應(yīng)機制。,2、集中防護

2、 以安全域劃分和邊界整合為基礎(chǔ)，綜合部署各類基礎(chǔ)安全技術(shù)防護手段。 建立集中的網(wǎng)絡(luò)安全管控手段。,安全防護技術(shù)體系分階段發(fā)展規(guī)劃,,,支撐,信息安全的演化,反病毒 ,,數(shù)據(jù)保密,,被動的防范和控制 防火墻、IDS、安全應(yīng)急服務(wù) ,積極的主動防御、更關(guān)注“人”的要素，強調(diào)綜合的安全保障體系，強調(diào)安全管理,目錄,信息安全現(xiàn)狀,信息安全管理體系標(biāo)準(zhǔn)介紹,信息安全管理體系的設(shè)計與實施,,,,,,,,,信息安全保障體系的構(gòu)成和建設(shè),,,案例分析,在實施過程中，有個部門采購了一臺設(shè)備準(zhǔn)備用來安裝某一軟件，由于機房搬遷等各方面原因，造成實施延誤。一切妥當(dāng)后已經(jīng)過去了大半年，但再來找這臺設(shè)備的時候，卻怎么也找

3、不著了.. 事后的結(jié)果是這臺設(shè)備可能發(fā)給地市去用了。最后是臨時再找一臺設(shè)備來安裝產(chǎn)品,案例分析,為了加快項目的速度，花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個本地化團隊，但是這個團隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息，從而導(dǎo)致了大量的欺騙性采購，花旗銀行為此損失了425,000美金。 西藏入侵事件,案例分析,某公司技術(shù)部存在2個CTO，一個副CTO，一個主管 某公司員工離職，遲遲未收到人力行政部的通知，并且有設(shè)備的口令問了曾管理過的幾個管理人員，都不知道口令是什么 在對機房進入的日志檢查過程中，發(fā)現(xiàn)沒有對清潔工的記錄,案例分析,“88888帳戶”毀了巴林銀行，1995

4、年2月26日，英國中央銀行宣布了一條震驚世界的消息：巴林銀行不得從事交易活動并將申請資產(chǎn)清理。10天后，這家擁有233年歷史的銀行以1英鎊的象征性價格被荷蘭國際集團收購。 88888錯誤帳戶沒有銷掉。 巴林銀行沒有將交易與清算業(yè)務(wù)分開，允許里森既作首席交易員，又負(fù)責(zé)其交易的清算工作。 巴林銀行的內(nèi)部審計極其松散。,案例分析 3,邯鄲農(nóng)行案主犯寫下12條金庫管理建議 一、監(jiān)控方面 1、應(yīng)安排專人負(fù)責(zé)查看監(jiān)控錄像，并定期抽查以前的錄像記錄，查看是否有違規(guī)操作等情況； 2、每日必須檢查監(jiān)控設(shè)備的正常使用及備份情況，監(jiān)控數(shù)據(jù)備份保存時間最少在3個月以上； 3、在非工作時間必須設(shè)防110聯(lián)網(wǎng)報警系統(tǒng)，對

5、非工作時間，進入設(shè)防范圍或金庫內(nèi)的人員，要馬上向領(lǐng)導(dǎo)匯報詳細情況； 4、金庫內(nèi)必須安裝監(jiān)控設(shè)備。 二、嚴(yán)格執(zhí)行規(guī)章制度,案例分析 3,邯鄲農(nóng)行案主犯寫下12條金庫管理建議 二、嚴(yán)格執(zhí)行規(guī)章制度 1、應(yīng)安排現(xiàn)金中心，主管或副主任每旬查一次金庫，安排現(xiàn)金中心主任每月查一次金庫； 2、在查庫時，應(yīng)先核對記帳情況是否屬實，然后根據(jù)碰庫清單，認(rèn)真核對現(xiàn)金數(shù)額，對裝好的整包現(xiàn)金，必須打開包進行核對； 3、各級領(lǐng)導(dǎo)在查庫時，都不應(yīng)該在固定時間和日期； 4、對重要崗位的人員(如記帳員、管庫員)，應(yīng)實行強制休假制度，在不事先通知情況下，由領(lǐng)導(dǎo)監(jiān)督交接工作； 5、應(yīng)對現(xiàn)金中心的每個崗位，都制定出各自的崗位職責(zé)和工

6、作要求，對現(xiàn)金中心工作人員要定期進行思想教育學(xué)習(xí)。,案例分析 3,邯鄲農(nóng)行案主犯寫下12條金庫管理建議 三、現(xiàn)金中心崗位設(shè)置 1、應(yīng)設(shè)立記帳員崗位，現(xiàn)金中心金庫的往來帳目由管庫員記帳，對現(xiàn)金中心所有往來帳目都應(yīng)該由專人記帳，這樣可以防止管庫員在記帳方面做假帳，從金庫挪用資金； 2、對銀行內(nèi)部資金調(diào)撥和安排到人民銀行交取款的情況，應(yīng)由專人負(fù)責(zé)。 四、農(nóng)行的信用卡通過電話銀行，往彩票中心轉(zhuǎn)彩票款，應(yīng)設(shè)置最高轉(zhuǎn)款限額。,信息安全現(xiàn)狀,重視技術(shù)，輕視管理 重視產(chǎn)品功能，輕視人為因素 重視對外安全，輕視內(nèi)部安全 靜態(tài)不變的觀念 缺乏整體性信息安全體系的考慮,目錄,信息安全現(xiàn)狀,信息安全管理體系標(biāo)準(zhǔn)介紹,

7、信息安全管理體系的設(shè)計與實施,,,,,,,,,信息安全保障體系的構(gòu)成和建設(shè),,,信息安全管理體系標(biāo)準(zhǔn),ISO 27001:2005 信息安全管理體系規(guī)范 ISO 17799:2005 信息安全管理實踐規(guī)則,標(biāo)準(zhǔn)發(fā)展的歷史,1995,1998,率先由英國工業(yè)部進行專案,英國公布BS 7799 第一部分 (Part 1),瑞典成立LIS 專案,英國公布BS 7799 第二部分 (Part 2),瑞典標(biāo)準(zhǔn) SS 62 77 99 Part 1 In addition, other properties such as authenticity, accountability, non-repudia

8、tion and reliability can also be involved 信息安全保護信息保密性、完整性和可用性；另外，其他特性如真實性、可確認(rèn)性、不可否認(rèn)性和可靠性也可以包括在內(nèi),信息安全管理體系標(biāo)準(zhǔn),什么是信息安全管理體系？ 信息安全管理體系是系統(tǒng)的對組織敏感信息進行管理，涉及到人，技術(shù)和管理。即： 安全管理是信息安全的關(guān)鍵； 人員是安全管理的核心，教育是提高人員安全意識和素質(zhì)的最好方法； 技術(shù)是安全 運營支撐。,Information security management system信息安全管理體系,Information security management syste

9、m: That part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security 信息安全管理體系：整個管理體系的一部分，基于業(yè)務(wù)風(fēng)險的方法，建立、實施、運作、監(jiān)控、評審、維護和改進信息安全。 Note: The management system includes organisational structure, polici

10、es, planning activities, responsibilities, practices, procedures, processes and resources. 注：管理體系包括組織架構(gòu)、方針（政策）、策劃活動、職責(zé)、活動、程序、流程和資源,信息安全管理體系標(biāo)準(zhǔn),企業(yè)為什么要實現(xiàn)信息安全？ 組織自身業(yè)務(wù)的需要 自身業(yè)務(wù)和利益的要求 客戶的要求 合作伙伴的要求 投標(biāo)要求 競爭優(yōu)勢，樹立品牌 加強內(nèi)部管理的要求 法律法規(guī)的要求 計算機信息系統(tǒng)安全保護條例 互聯(lián)網(wǎng)安全管理辦法 知識產(chǎn)權(quán)保護 信息安全等級保護 ,What does the Standard Offer? 標(biāo)準(zhǔn)提供什

11、么,Experience feedback from thousands of users regarding information security management system成千上萬的信息安全管理體系的使用者的經(jīng)驗反饋 A systematic approach to change and improvement (PDCA) 采用系統(tǒng)化的方法進行變革與改進（PDCA) Focus on information security requirments and specifications, processes, management, and people 關(guān)注信息安全要求和規(guī)

12、范、過程、管理和人員 Advantage: Similar structure within the quality, enviromental and safety management standards 優(yōu)勢：與質(zhì)量、環(huán)境和安全管理標(biāo)準(zhǔn)的類似結(jié)構(gòu),A process-based information security management system ISO 27001,,,利益相關(guān)方 Interested Parties,Information security requirements and expectations,Interested Parties,Managed Inf

13、ormation security,Continual improvementof the information security management system,Establish ISMS 4.2.1,Monitor and Review the ISMS 4.2.3,Implement and Operate the ISMS 4.2.2,Maintain and improve the ISMS 4.2.4,,Input,Output,,,Information security management system,,,,,,Information security manage

14、ment system 信息安全管理體系,4.1 General requirements 一般要求,4.2 Establishing and managing The ISMS 建立和管理ISMS,4.2.1 Establish the ISMS 建立ISMS 4.2.2 Implement and operate the ISMS 管理和運營ISMS 4.2.3 Monitor and review the ISMS 監(jiān)控和評審ISMS 4.2.4 Maintain and improve the ISMS 維護和改進ISMS,4.3 Documentation requirements

15、文件要求,4.3.1 General 一般要求 4.3.2 Control of documents 文件控制 4.3.3 Control of records 記錄控制,4.ISMS,Management responsibility 管理層責(zé)任 Internal ISMS audit 內(nèi)部審核,5.1 Management commitment 管理層承諾,5.2 Resource management 資源管理,5.3 Training, awareness and competence 培訓(xùn)，意識和能力,5. Management responsibility 管理責(zé)任,6.Inter

16、nal ISMS audit ISMS內(nèi)審,7.1 General 一般要求,7.2 Review input 評審輸入,7.2 Review output 評審輸出,7.Management review of ISMS ISMS管理評審,Management review of ISMS,8.1 Continual improvement 持續(xù)改進,8.2 Corrective action 糾正措施,8.3 Preventive action 預(yù)防措施,8.ISMS improvement 持續(xù)改進,ISMS improvement,ISO/IEC 17799內(nèi)容,39個控制目標(biāo) 133

17、個控制措施,Security policy and 安全方針Organisation of information security 信息安全組織,A.5 Security policy安全方針,A.5.1 Information security policy 信息安全方針,A.5.1.1 Information security policy document 信息安全方針文件,A.5.1.2 Review of Information security policy document 評審信息安全方針文件,,,A.6.1 To manage information security wi

18、thin the organization 在組織內(nèi)部管理信息安全,A.6.1.1 Management commitment to Information security 信息安全管理委員會 A.6.1.2 Information security coordination 信息安全協(xié)作 A.6.1.3 Allocation of information security responsibilities 落實（分派）信息安全責(zé)任 A.6.1.4 Authorization process for information processing facilities 信息處理設(shè)施的授權(quán)

19、過程 A.6.1.5 Confidentiality agreements 保密協(xié)議 A.6.1.6 Contact with authorities 與權(quán)力機構(gòu)保持聯(lián)系 A.6.1.7 Contact with special interest groups 與特殊利益團體保持聯(lián)系 A.6.1.8 Independent review of information security 信息安全的獨立評審,A.6.2 To maintain security of information assets/facilities from third parties 從第三方維護信資息產(chǎn)/設(shè)施的安全,

20、A.6.2.1 Identification of risk related to external parties 識別與外部機構(gòu)相關(guān)的風(fēng)險 A.6.2.2 Addressing security when dealing with customers 與客戶接觸時強調(diào)安全 A.6.2.3 Addressing security in third party agreements 在第三方協(xié)議中強調(diào)安全,A.6 Organization of information security 信息安全組織,,Asset management 資產(chǎn)管理,A.7 Asset management 資產(chǎn)管

21、理,A.7.1 To achieve and maintain appropriate protection of Assets 對資產(chǎn)達成和維護適當(dāng)?shù)谋Ｗo,A.7.2 To ensure that information receives appropriate protection level 確保信息受到適當(dāng)程度的保護,A.7.1.1 Inventory of Assets 資產(chǎn)清點 A.7.1.2 Ownership of Assets 資產(chǎn)的責(zé)任關(guān)系 A.7.1.3 Acceptable use of assets 資產(chǎn)使用的可接受方法,A.7.2.1 Classification

22、guidelines 分類指南 A.7.2.2 Information Labeling and handling 信息標(biāo)示和處理,Human resource security 人力資源安全,A.8.2 To ensure awareness of threats and concerns, roles/responsibilities and to enable them to support organizations information security policy 確保知曉威脅 和需要關(guān)注點，角色/責(zé)任并他們能夠支持 組織的信息安全政策,A.8.1To ensure that

23、employees are aware of information security and their role to reduce security risk 確保員工知曉信息安全和他們在降低安全風(fēng)險方面的角色,A.8.1.1 Roles and Responsibilities 角色和責(zé)任 A.8.1.2 Screening 篩審 A.8.1.3 Terms and conditions of employment 雇傭協(xié)議和條件,A.8.2.1 Management responsibilities 管理層責(zé)任 A.8.2.2 Information security awarene

24、ss, education and training 信息安全意識、教育和培訓(xùn) A.8.2.3 Disciplinary process 懲罰過程,A.8.3 To ensure exit of employees, contractors and third party users in an orderly manner 確保員工、合同商 和第三方有秩序地退出,A.8.3.1 Termination responsibilities 結(jié)束雇傭關(guān)系時的責(zé)任 A.8.3.2 Return of assets 退還資產(chǎn) A.8.3.3 Removal of access rights 取消

25、訪問權(quán)限,A.8 Human resource security 人力資源安全,,,,,Physical and environmental security,A.9.1 To prevent unauthorized physical access damage and interference to premises and information. 防止未經(jīng) 授權(quán)的物理資產(chǎn)損壞和對辦公室及信息的干擾,A.9.2 To prevent loss, damage, theft or compromise of assets and to organizational activities.,

26、A.9.1.1 Physical security perimeter 物理安全周界 A.9.1.2 Physical entry controls 物理進出控制 A.9.1.3 Securing offices, rooms and facilities 辦公室、 房間和設(shè)施的安全 A.9.1.4 Protecting against external/environmental threats 防止外部/環(huán)境威脅 A.9.1.5 Working in secure areas 在安全區(qū)域內(nèi)工作 A.9.1.6 Public access, delivery and loading area

27、s 公共訪問、運送和裝卸區(qū)域,A.9.2.1 Equipment siting and protection 設(shè)備放置與保護 A.9.2.2 Supporting utilities 支持設(shè)施 A.9.2.3 Cabling security 電纜安全 A.9.2.4 Equipment maintenance 設(shè)備維護 A.9.2.5 Security of equipment off premises 辦公區(qū)域外設(shè)備的安全 A.9.2.6 Secure disposal or re-use of equipment 處置和重新使用設(shè)備的安全 A.9.2.7 Removal of prope

28、rty 資產(chǎn)搬移,A.9 Physical and environmental security 物理和環(huán)境安全,Communications and operations management 通信和運營安全,A.10 Communications and operations management 通信和運營安全,A.10.1 To ensure correct and secure operations 確保正確與安全地運營,A.10.2 To implement and maintain appropriate level of inf. security in line with t

29、hird party service delivery agreements 實施和維護適當(dāng)程度的、與第三方服務(wù) 提供協(xié)議一致的信息安全,A.10.3 To minimize risk of system failures 最小化系統(tǒng)失效的風(fēng)險,A.10.4 To protect integrity of software and information 保護信息和軟件的完整性,A.10.2.1 Service delivery 服務(wù)提供 A.10.2.2 Monitoring, review of third party services 監(jiān)控、評審第三方服務(wù) A.10.2.3 Managi

30、ng changes to third party services 管理對第三方服務(wù)的變更,A.10.3.1 Capacity management 容量管理 A.10.3.2 System acceptance 系統(tǒng)驗受條件,A.10.4.1 Controls against malicious code 控制惡意代碼 A.10.4.2 Controls against mobile code 控制移動代碼,A.10.1.1 Documented operating procedures 文件化運營程序 A.10.1.2 Change management 變更管理 A.10.1.3 Se

31、gregation of duties 責(zé)任分離 A.10.1.4 separation of development, test and operational facilities 分離開發(fā)、測試和運營設(shè)施,Communications and operations management 通訊和運營管理,A.10.5 To maintain integrity and availability of information and information processing facilities. 維護信息和信息處理設(shè)施的完 整性、可用性,A.10.6 To protect inf

32、ormation in networks and supporting infrastructure 保護在網(wǎng)絡(luò)和支持架構(gòu)中的信息,A.10.7 To prevent unauthorized disclosure, modification, removal or destruction of assets and interruptions to business activities. 防止未授權(quán)的披露、修改、移動 和毀壞資產(chǎn)以及對業(yè)務(wù)活動的干擾,A.10.5.1 Information backup信息備份,A.10.6.1 Network controls 網(wǎng)絡(luò)控制 A.10.6.2

33、 Security of network devices 網(wǎng)絡(luò)服務(wù)中的安全,A.10.7.1 Management of removable media 管理可移動的介質(zhì) A.10.7.2 Disposal of media 介質(zhì)處置 A.10.7.3 Information handling procedures 信息處理程序 A.10.7.4 Security of system documentation 保護系統(tǒng)文件安全,A.10 Communications and operations management 通信和運營管理,Communications and operations

34、 management 通信和運營管理,A.10.8 To maintain security of information and software exchanged within the orgn. and with any external entity 維護信息和軟件 在組織內(nèi)與組織外交換的安全,A.10.9 To ensure security of e-commerce and their secure use 確保電子商務(wù)的安全 以及他們的安全使用,A.10.10 To detect unauthorized information processing facilities.

35、 偵測未經(jīng)授權(quán)的信息處理設(shè)施,A.10.8.1 Information exchange, policies, procedures 信息交換政策、程序 A.10.8.2 Exchange agreements 交換協(xié)議 A.10.8.3 Physical media in transit 物理介質(zhì)在運輸中的安全 A.10.8.4 Electronic messaging 電子消息 A.10.8.5 Business information systems 業(yè)務(wù)信息系統(tǒng),A.10.10.1 Audit logging 審計日志 A.10.10.2 Monitoring system use 監(jiān)

36、控系統(tǒng)的使用 A.10.10.3 Protecting log information 保護日志信息 A.10.10.4 Admin and operator logs 管理和操作者記錄 A.10.10.5 fault logging 錯誤日志 A.10.10.6 Clock synchronization 始終同步,A.10.9.1 Electronic Commerce 電子商務(wù) A.10.9.2 Online transactions 在線交易 A.10.9.3 Publicly available information 可利用的公共信息,A.10 Communications and

37、 operations management 通信和運營管理,Access control訪問控制,A.11.1 To control access to Information 控制對信息的訪問,A.11.2 To ensure authorized user access and prevent unauthorized access to information systems 確保授權(quán)用戶 的訪問和防止未經(jīng)授權(quán)的對信息系統(tǒng)的訪問,A.11.3 To prevent unauthorized user Access and compromise/theft of information

38、and information processing facilities 防止未經(jīng)授權(quán)的用戶訪問 和危及/偷盜信息和信息處理設(shè)施,A.11.4 To prevent unauthorized access to networked Services 防止未經(jīng)授權(quán)的網(wǎng)絡(luò)服務(wù)訪問,A.11.2.1 User Registration 用戶注冊 A.11.2.2 Privilege management 特權(quán)管理 A.11.2.3 User password management 用戶口令字管理 A.11.2.4 Review of user access rights 評審用戶訪問權(quán)限,A.11

39、.3.1 Password use 口令字使用 A.11.3.2 Unattended user equipment 無人看管的用戶設(shè)備 A.11.3.3 Clear desk and clear screen policy 清楚桌面和屏幕政策,A.11.4.1 Policy on use of network services使用網(wǎng)絡(luò)服務(wù)政策 A.11.4.2 User authentication for external connections 用戶外部連接的授權(quán) A.11.4.3 Equipment identification in networks 網(wǎng)絡(luò)中設(shè)備的識別 A.11.4.

40、4 Remote diagnostic and configuration port protection 保護遠程診斷和配置端口 A.11.4.5 Segregation in networks 網(wǎng)絡(luò)分離 A.11.4.6 Network connection control 網(wǎng)絡(luò)連接控制 A.11.4.7 Network routing control 網(wǎng)絡(luò)路由控制,A.11.1.1 Access Control Policy 訪問控制方針,A.11 Access control 訪問控制,Access control訪問控制,A.11.5 To prevent unauthorized

41、access to operating systems 防止未經(jīng)授權(quán)的對操作系統(tǒng)的訪問,A.11.5.1 Secure log-on procedures 安全注冊程序 A.11.5.2 User identification and authentication 用戶識別和驗證 A.11.5.3 Password management system 口令管理系統(tǒng) A.11.5.4 Use of system utilities 系統(tǒng)設(shè)施的使用 A.11.5.5 Session time-out 訪問時間限制 A.11.5.6 Limitation of connection time 連接時

42、間限制,A.11.6 To prevent unauthorized access to information held in application system 防止未經(jīng)授權(quán)的 對應(yīng)用系統(tǒng)中信息的訪問,A.11.6.1 Information access restriction 信息訪問限制 A.11.6.2 Sensitive system isolation 敏感系統(tǒng)隔離,A.11.7 To ensure information security when using mobile computing and teleworking facilities 在使用移動 計算和遠程通信

43、設(shè)施時確保信息安全,A.11.7.1 Mobile computing and communications 移動計算和通訊 A.11.7.2 Teleworking 遠程工作,A.11 Access control 訪問控制,,,,,Information systems, acquisition, development and maintenance 信息系統(tǒng)的獲得、開發(fā)和維護,A.12.1 To ensure that security is an integral part of information Systems 確保安全是信息系統(tǒng)的一個重要部分,A.12.2 To preve

44、nt error, loss, unauthorized modification or misuse of information in Application 防止錯誤、丟失、未經(jīng)授權(quán) 的修改或誤用在應(yīng)用系統(tǒng)中的信息,A.12.3 To protect confidentiality, authenticity or integrity of information by cryptographic Means 用加密手段保護信息的機密性、 真實性或完整性,A.12.2.1 Input data validation 輸入數(shù)據(jù)驗證 A.12.2.2 Control of internal

45、processing 控制內(nèi)部過程 A.12.2.3 Message integrity 消息完整性 A.12.2.4 Output data validation 輸出數(shù)據(jù)的驗證,A.12.3.1 Policy on the use of cryptographic controls 使用加密控制方針 A.12.3.2 Key management 密鑰管理,A.12.1.1 Security requirement, analysis and specification 安全需求、分析和詳細說明,A.12 Information systems acquisition, developme

46、nt and maintenance 信息系統(tǒng)的獲得，開發(fā)和維護,Information systems acquisition, development and maintenance 信息系統(tǒng)的獲得、開發(fā)和維護,A.12.4 To ensure security of system files 確保系統(tǒng) 文檔的安全,A.12.4.1 Control of operational software 控制運營軟件 A.12.4.2 Protection of system test data 保護系統(tǒng)測試數(shù)據(jù) A.12.4.3 Access control to program source

47、code 程序員代碼的訪問控制,A.12.5 To maintain security of application system software and information 維護應(yīng)用系統(tǒng) 軟件和信息的安全,A.12.5.1 Change control procedures 變更控制程序 A.12.5.2 Technical review of applications after operating system changes. 在操作系統(tǒng)變更后 的應(yīng)用系統(tǒng)技術(shù)評審 A.12.5.3 Restriction on changes to software packages 軟件

48、包變更的限制 A.12.5.4 Information leakage 信息泄露 A.12.5.5 Outsourced software development 外包的軟件開發(fā),A.12.6 To reduce risks resulting from exploitation of published technical vulnerabilities 通過利用已公開 的技術(shù)弱點降低風(fēng)險,A.12.6.1 Control of technical vulnerabilities 技術(shù)弱點的控制,A.12 Information systems acquisition, developmen

49、t and maintenance 信息系統(tǒng)的獲得，開發(fā)和維護,Information security incident management 信息安全事故管理,A.13.1 To ensure information security events and weaknesses associated with the information systems are communicated in a manner allowing timely corrective action to be taken 確保與信息系統(tǒng) 有關(guān)的事件和弱點及時溝通以確保及時采取糾正措施,A.13.1.1 Re

50、porting information security events 報告信息安全事件 A.13.1.2 Reporting security weaknesses報告安全弱點,A.13.2 To ensure consistent and effective approach is applied to the management of information security incidents 確保管理信息安全事故的一致的和有效的方法,A.13.2.1 Responsibilities and procedures 責(zé)任和程序 A.13.2.2 Learning from infor

51、mation security incidents 從信息安全事故中學(xué)習(xí) A.13.2.3 Collection of evidence 收集證據(jù),A.13 Information security incident management 信息安全事故管理,,,,Business continuity management 業(yè)務(wù)連續(xù)性,A.14.1 To counter interruptions to business activities and to protect critical business processes from the effects of major fai

52、lures of information systems or disasters to ensure their timely resumption 應(yīng)對業(yè)務(wù)活動的中斷及 保護關(guān)鍵業(yè)務(wù)流程不受重大信息系統(tǒng)失效 或災(zāi)難的影響并及時恢復(fù),A.14.1.1 Including information security in business continuity management process 在業(yè)務(wù)連續(xù)性管理過程中包括信息安全 A.14.1.2 Business continuity and risk assessment 業(yè)務(wù)連續(xù)性和風(fēng)險評估 A.14.1.3 Developin

53、g and implementing continuity plans Including information security 開發(fā)和實施包括信息安全連續(xù)性計劃 A.14.1.4 Business continuity planning framework 業(yè)務(wù)連續(xù)性計劃框架 A.14.1.5 Testing, maintaining and reassessing business continuity plans. 測試、維護和重新評估業(yè)務(wù)連續(xù)性計劃,A.14 Business continuity management 業(yè)務(wù)連續(xù)性管理,,,Compliance 符合,A

54、.15.1 To avoid breaches of any law, statutory regulatory or contractual obligations and of any security Requirements 避免違背任何的法律、 法令、法規(guī)或合同義務(wù)和任何安全要求,A.15.1.1 Identification of applicable legislation 識別適用的法律 A.15.1.2 Intellectual property rights (IPR) 知識產(chǎn)權(quán) A.15.1.3 Protection of organizational records 保

55、護組織記錄 A.15.1.4 Data protection and privacy of personal information. 數(shù)據(jù)保護和個人信息保密 A.15.1.5 Prevention of misuse of information processing facilities 防止信息處理設(shè)施誤用 A.15.1.6 Regulation of cryptographic controls 密碼控制法規(guī),A.15.2 To ensure compliance of systems with organizational security policies and st

56、andards確保系統(tǒng)符合組織的安全 政策和標(biāo)準(zhǔn),A.15.2.1 Compliance with security standards 符合安全標(biāo)準(zhǔn) A.15.2.2 Technical compliance checking 技術(shù)符合性檢查,A.15.3 To maximize effectiveness of and to minimize interference to/from the information systems audit Process 最大化信息系統(tǒng)審計的有效性和 最小化業(yè)務(wù)干擾,A.15.3.1 Information system audit controls

57、信息系統(tǒng)審計控制 A.15.3.2 Protection of information system audit tools 保護信息系統(tǒng)審計工具,A.15 Compliance 符合,,,,,信息安全方針,為信息安全提供符合業(yè)務(wù)要求和相關(guān)法律法規(guī)的管理指導(dǎo)和支持 信息安全方針文檔應(yīng)經(jīng)過管理層的批準(zhǔn)，并向所有員工和外部相關(guān)方公布和溝通 應(yīng)按策劃的時間間隔或當(dāng)發(fā)生重大變化時，對信息，安全方針文檔進行評審，以確保其持續(xù)的適宜性、充分性和有效性,信息安全組織,使組織內(nèi)部信息安全 保證基礎(chǔ)設(shè)施安全 管理信息安全委員會 信息安全協(xié)作 落實信息安全責(zé)任 控制第三方訪問 確認(rèn)第三方訪問風(fēng)險 第三方合同安全要

58、求 控制外包 外包合同安全要求,資產(chǎn)管理,確保信息資產(chǎn)受到相應(yīng)級別的保護 資產(chǎn)是組織認(rèn)為有價值的東西，例如: 信息資產(chǎn) 紙上的文件 軟件資產(chǎn) 物理資產(chǎn) 人 公司的形象和名譽 服務(wù) 一個組織必須確定哪些資產(chǎn)在損失之后對于本組織的產(chǎn)品及服務(wù)產(chǎn)生物質(zhì)上的影響,人力資源安全,目標(biāo)：減少人為的錯誤，偷盜，欺騙或錯誤使用設(shè)施帶來的風(fēng)險 就業(yè)申請審查 將安全責(zé)任寫入合同，并在雇用期間進行監(jiān)督 保密協(xié)議 教育與培訓(xùn) ---組織所有員工以及相關(guān)的第三方用戶應(yīng)該就組織策略和程序接受適當(dāng)?shù)呐嘤?xùn)并定期了解最新變化。還包括安全要求、法律責(zé)任和業(yè)務(wù)控制措施方面的內(nèi)容，以及如何使用信息處理設(shè)備方面的培訓(xùn) 熟悉安全事故處理流

59、程,物理與環(huán)境安全,防止未經(jīng)授權(quán)的訪問，破壞和干擾辦公場所和信息 周邊安全 進入控制 工作區(qū)安全 電力供應(yīng) 設(shè)備整理,通訊與運作管理,保證信息處理設(shè)施的安全和正確運營 運營程序和責(zé)任 系統(tǒng)計劃和接收 預(yù)防惡意軟件 網(wǎng)絡(luò)管理 媒介管理和安全 信息和軟件交換的安全,訪問控制,控制對信息的訪問 業(yè)務(wù)要求對訪問進行控制 用戶訪問管理 用戶職責(zé) 網(wǎng)絡(luò)訪問控制 操作系統(tǒng)訪問控制 應(yīng)用訪問控制 系統(tǒng)訪問和使用監(jiān)控 移動計算設(shè)備和通信,信息系統(tǒng)的獲取、開發(fā)與維護,防止應(yīng)用系統(tǒng)信息的錯誤、丟失、未授權(quán)的修改或誤用 通過加密手段來保護細膩的保密性、真實性或完整性 確保系統(tǒng)文檔的安全 開發(fā)和支持過程的安全，保持應(yīng)用

60、系統(tǒng)軟件和信息的安全 減少由利用公開的技術(shù)漏洞帶來的風(fēng)險,信息系統(tǒng)的獲取、開發(fā)與維護,需求階段,系統(tǒng)開發(fā)和交付,系統(tǒng)部署實施,系統(tǒng)運行維護,系統(tǒng)廢棄,系統(tǒng)敏感度評估,確定安全需求,將安全需求加入 到系統(tǒng)設(shè)計中,獲得系統(tǒng)（開發(fā) 或購買）及安全功能,安裝并使安全 控制有效,安全測試,鑒定合格,安全操作和管理,運作保證 （監(jiān)控和審計）,變更管理,系統(tǒng)廢棄審核,定期評估,信息安全事件管理,報告信息安全事件和弱點，確保與信息系統(tǒng)有關(guān)的安全事件和弱點的溝通能夠及時采取糾正措施 信息安全事故的管理和改進，確保使用持續(xù)有效的方法管理信息安全事故,業(yè)務(wù)連續(xù)性管理,防止業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)流程不會受信息系

61、統(tǒng)重大失效或自然災(zāi)害的影響，并確保他們的及時恢復(fù) 連續(xù)性計劃 業(yè)務(wù)連續(xù)性計劃的框架 業(yè)務(wù)連續(xù)性計劃的測試、維護和再評估,符合性,避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求 確認(rèn)適用的法律 知識產(chǎn)權(quán) 保護組織的記錄 數(shù)據(jù)保護和個人隱私信息 防止錯誤使用信息處理設(shè)施 加密控制規(guī)定 證據(jù)搜集,Certification Process,關(guān)鍵成功因素,Information security policy, objectives, and activities that reflect business objectives 信息安全方針、目標(biāo)和活動反映業(yè)務(wù)目標(biāo),關(guān)鍵成功因素,Approach

62、 to information security consistent with the organizational culture 與組織文化一致的信息安全方法,關(guān)鍵成功因素,Visible support and commitment from all levels of managment 所有管理層可見的支持和承諾,關(guān)鍵成功因素,A good understanding of the information security requirments, risk assessment and risk management 對信息安全要求、風(fēng)險評估和風(fēng)險管理有好的理解,關(guān)鍵成功因素,D

63、istribution of guidance on information security to all the staff and others 向所有員工和其他人分發(fā)信息安全指南,關(guān)鍵成功因素,Effective marketing of information security to all the staff and others 有效地對員工和其他人推銷信息安全,Effective marketing of information security to all the staff and others 有效地對員工和其他人推銷信息安全,關(guān)鍵成功因素,Adequate finan

64、cial support足夠的財務(wù)支持,關(guān)鍵成功因素,Appropriate awareness, training and education 適當(dāng)?shù)囊庾R、培訓(xùn)和教育,關(guān)鍵的成功因素,Effective information security incident managment process 有效的信息安全事故管理過程,關(guān)鍵的成功因素,Implementation of a measurement system that is used to evaluate performance in information security management and feedback sug

65、gestions for improvement 實施能夠評價信息安全管理績效并反饋改進意見的測量體系,ISO27001的一些問題,11大類的結(jié)構(gòu)性不夠清晰 一些風(fēng)險控制點的歸類不妥 “加密”在開發(fā)與維護類中 “事故報告”在人員安全類中 操作與通信類中太雜亂 一些風(fēng)險控制點的闡述不夠 關(guān)于資產(chǎn) 關(guān)于業(yè)務(wù)安全,目錄,信息安全現(xiàn)狀,信息安全管理體系標(biāo)準(zhǔn)介紹,信息安全管理體系的設(shè)計與實施,,,,,,,,,信息安全保障體系的構(gòu)成和建設(shè),,,風(fēng)險概述,風(fēng)險的定義 風(fēng)險要素及要素之間的關(guān)系 資產(chǎn)、威脅和脆弱性對應(yīng)關(guān)系,風(fēng)險的定義,普通字典的解釋 風(fēng)險：遭受損害或損失的可能性 AS/NZS 4360：澳大利

66、亞/新西蘭國家標(biāo)準(zhǔn) 風(fēng)險：對目標(biāo)產(chǎn)生影響的某種事件發(fā)生的機會。它可以用后果和可能性來衡量。 ISO/IEC TR 13335-1:1996 安全風(fēng)險：是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。 信息安全領(lǐng)域 信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。,風(fēng)險的要素,資產(chǎn)及其價值 威脅 脆弱性 現(xiàn)有的和計劃的控制措施(對策),風(fēng)險的要素資產(chǎn),資產(chǎn)是任何對組織有價值的東西 資產(chǎn)的分類 軟件：基礎(chǔ)應(yīng)用軟件（如數(shù)據(jù)庫軟件）、操作系統(tǒng) 硬件設(shè)施：主機、路由器、防火墻、交換機等 實體信息：合同、傳真、電報、財務(wù)報告、企業(yè)發(fā)展計劃，磁帶，光盤打印機、復(fù)印機等 人員：包括各級安全組織，安全人員、各級管理人員，網(wǎng)管員，系統(tǒng)管理員，業(yè)務(wù)操作人員，第三方人員等 電子數(shù)據(jù)：所有通過網(wǎng)絡(luò)能訪問到的數(shù)據(jù) 服務(wù)性設(shè)施：電源、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施、照明等 其他：公司形象、公司信譽和客戶關(guān)系,風(fēng)險的要素威脅,威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動，威脅是利用脆弱性來造成后果 威脅舉例 自然威脅：洪水、地震、颶風(fēng)、泥石流、雪崩、電風(fēng)暴及其他類