CIS信息安全控制措施-v

信息安全控制措施内容组织结构每个主要安全控制措施类别，包括：一个或多个控制目标，声明要实现什么对于每个控制目标，包含一项或多项控制措施，可被用于实现该控制目标不是所有的控制措施适用于任何场合，它也不会考虑到使用者的具体环境和技术限制，也不可能对一个组织中所有人都适用211个类别39个目标133个控制措施课程内容3知识体知识域知识子域信息安全管理体系信息安全管理体系建设人力资源安全信息安全组织安全方针物理和环境安全信息安全管理体系基础资产管理信息安全控制措施通信和操作管理访问控制信息系统获取、开发和维护符合性知识域：信息安全控制措施知识子域：安全方针理解信息安全方针控制目标的含义掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法4Why?有没有遇到过这样的事情？案例1有单位领导说：“听说信息安全工作很重要，可是我不知道对于我们单位来说到底有多重要，也不知道究竟有哪些信息是需要保护的。”5安全方针控制目标

（1）信息安全方针6信息安全方针控制目标:组织的安全方针能够依据业务要求和相关法律法规提供信息安全管理指导并支持信息安全控制措施信息安全方针文件信息安全方针文件应由管理者批准、发布并传达给所有员工和外部相关方信息安全方针评审应按计划的时间间隔或当重大变化发生时进行信息安全方针评审，以确保其持续的适宜性、充分性和有效性7信息安全方针应符合实际情况，切实可行。对方针的落实尤为重要信息安全方针文件信息安全方针是陈述管理者的管理意图，说明信息安全工作目标和原则的文件信息安全方针应当说明以下内容：本单位信息安全的整体目标、范围以及重要性信息安全工作的基本原则风险评估和风险控制措施的架构需要遵守的法规和制度信息安全责任分配对支持方针的文件的引用8信息安全方针主要阐述信息安全工作的原则，具体的技术实现问题，如设备的选型，系统的安全技术方案一般不写在安全方针中知识域：信息安全控制措施知识子域：信息安全组织理解内部组织控制目标的含义，掌握信息安全协调等实现这一目标的控制措施的常规实施方法理解外部各方控制目标的含义，掌握与外部各方相关风险的识别等控制措施的实施方法9Why?有没有遇到过这样的事情？案例1我是一名网络管理员，发现最近来自外部的病毒攻击很猖獗，要是有15万买个防毒墙就解决问题了，找谁要这笔钱，谁来采购？案例2我是一名普通工作人员，我的内网计算机上不了外网没办法打补丁，我该找谁获得帮助？应该有一群人，至少包括单位领导、技术部门和行政部门的人组织在一起，专门负责信息安全的事10信息安全全组织控制目标标（1）内部组组织（2）外部各各方11(1)内部组织织控制目标标：实现对组组织内部部的信息息安全管管理控制措施施：信息安全全的管理理承诺12信息安全全协调信息安全全职责的的分配信息处理理设施的的授权过过程保密性协协议与政府部部门的联联系与特定利利益集团团的联系系信息安全全的独立立评审信息安全全的管理理承诺高层管理理者参与与信息安安全建设设，负责责重大决决策，提提供资源源，并对对工作方方向、职职责分配配给出清清晰的说说明高层管理理者就是是说了算算的，可可以给人人、给钱钱、给设设备，提提出工作作要求还还给与资资源保障障的人13信息安全全协调不仅仅由由信息化化技术部部门参与与，与信信息安全全相关的的部门（（如行政政、人事事、安保保、采购购、外联联）都应应参与到到组织体体系中各各司其责责，协调调配合。。因此需需要协调调信息安全全工作和和其他工工作一样样不是某某个个人、某个部门就可可以完成成的信息技术术部门是信信息安全全组织中中的重要要执行机机构，但但不是全部14机构内部部达成共识识避免流于形式式或作假假信息安全全职责的的分配为有效实实施信息息安全管管理，保保障和实实施系统统的信息息安全，，应在机机构内部部建立信信息安全全组织，，明确角角色和职职责信息安全全责任的的重要性性在一个机机构中，，安全角角色与责责任的不不明确是是实施信信息安全全过程中中的最大大障碍，，建立安安全组织织与落实实责任是是实施信信息安全全管理的的第一步步15与政府部门的的联系、与特定利益集集团的联系要注意充分利利用外部资源源，与上级主主管单位、国国家职能部门门、设备和基基础设施提供供商、安全服服务商、有关关专家保持良良好的沟通和和合作关系例如与电力部部门建立良好好的协作关系系，停电了，，UPS的电电也要用光了了，电力部门门可以开个发发电车来解决决关键信息系系统临时电力力供应16(2)外部各方控制目标：保持组织被外外部各方访问问、处理、管管理或与外部部进行通信的的信息和信息息处理设施的的安全控制措施：与外部各方相相关风险的识别17处理外部各方方协议中的安安全问题访问风险：维护软件设备的承承包商清洁、送餐人员外部咨询人员审核人员知识域：信息息安全控制措措施知识子域：资产管理理解对资产负责控控制目标的含含义，掌握资资产清单、资资产责任人等等控制措施的的实施方法理解信息分类类控制目标的的含义，掌握握分类指南、、信息的标记记和处理等控控制措施的实实施方法18Why？那些曾经发生生过的事：案例1：某单位欲安安装一台网络络防火墙，却却发现没有人人可以说清楚楚当前的真实实网络拓扑情情况，也没有有人能说清楚楚系统中有哪哪些服务器，，这些服务器器运行了哪些些应用系统。。案例2：某单位信息息安全评估，，发现大部分分服务器安全全状况良好，，只有一台服服务器存在严严重安全漏洞洞。研究整改改措施时，发发现平时没有有人对该服务务器的安全负负责。19资产管理控制目标（1）对资产负责责（2）信息分类20(1)对资产负责控制目标：实现和保持对对组织资产的的适当保护控制措施：资产清单21资产责任人资产的可接受受使用资产清单信息安全管理理工作的直接目的是保护组织的资产资产包括：信息：业务数据、合合同协议、科科研材料、操操作手册、系系统配置、审审计记录、制制度流程等软件：应用软件、系系统软件、开开发工具物理资产：计算机设备、、通信设备、、存储介质等服务：通信服务、供供暖、照明、、能源等人员无形资产，如品牌、声声誉和形象22资产责任人明确资产责任任列出资产清单单，明确保护护对象明确资产受保保护的程度明确谁对资产产的安全负责责23(2)信息分类控制目标：确保信息受到到适当级别的的保护控制措施：分类指南24信息的标记和和处理分类指南分类依据根据信息的价值、法律要求和对组织的敏感程程度进行分类关注点、重点不同同直接影响信信息分类军事机构更加加关注机密信信息的保护，，私有企业通通常更加关注注数据的完整整性和可用性性25分类必要步骤骤定义分类类别别说明决定信息息分类的标准准制定每种分类类所需的安全全控制，或保保护机制建立一个定期期审查信息分分类与所有权权的程序让所有员工了了解如何处理理各种不同分分类信息分类指南建议分类方法法不宜复杂，，否则容易造造成混乱每种分类应唯唯一区别于其其它分类，同同时不能有任任何重叠分类过程还应应简单说明如如何在其生命命周期内控制制并处理26信息的标记和和处理标识信息类别，表表明文件的密级、、存储介质的的种类（如内网专用U盘）规定重要敏感感信息的安全全处理、存储储、传输、删删除和销毁的的程序27知识域：信息息安全控制措措施知识子域：人力资源安全全理解任用前控制目目标的含义，，掌握角色和和职责、审查查等控制措施施的实施方法法理解任用中控控制目标的含含义，掌握管管理职责、信信息安全意识识教育和培训训等控制措施施的实施方法法理解任用的终终止或变化控控制目标的含含义，掌握终终止职责、撤撤销访问权等等控制措施的的实施方法28Why?那些曾经发生生过的事：案例一：2010年3月中旬，汇丰丰控股发布公公告，其旗下下汇丰私人银银行(瑞士)的一名IT员工，曾于三三年前窃取了了银行客户的的资料，失窃窃的资料涉及及1.5万名于2006年10月前在瑞士开开户的现有客客户。有鉴于于此，汇丰银银行三年来共共投放1亿瑞士法郎，，用来将IT系统升级并加加强保安。这这让人想起了了《论语》中的一句话：：“吾恐季孙之之忧，不在颛颛（zhuan）臾（yu），而在萧墙墙之内也。””萧墙之祸比喻喻灾祸、变乱乱由内部原因因所致。案例二：某单单位负责信息息化工作的领领导说：“为为什么要买防防火墙？我们们盖楼时是严严格按照国家家消防有关规规定施工的呀呀！”29人力资源安全全控制目标（1）任用前（2）任用中（3）任用的终止止或变化30(1)任用前控制目标：确保雇员、承承包方人员和和第三方人员员理解其工作作职责并适合合预期角色，，以降低设施施被窃、欺诈诈和误用的风险控制措施：角色和职责责31审查作用条款和条条件任用前对担任敏感和和重要岗位的的人员要考察察其身份、学学历和技术背背景、工作履履历和以往的的违法违规记记录要在合同或专专门的协议中中，明确其信信息安全职责责明确人员遵守安全全规章制度、、执行特定的的信息安全工工作、报告安安全事件或潜潜在风险的责责任32(2)任用中控制目标：确保所有雇员员、承包方和和第三方人员员了解信息安安全威胁和危危害，明确其其工作应承担担的安全职责责和义务，如如果违反安全全规定将会受受到的纪律处处理，通过安安全培训使其其掌握信息处处理设施的安安全正确使用用方法，以减减少人为过失失造成的风险险控制措施：管理职责33信息安全意识识、教育和培培训纪律处理过程程任用中保证其充分了了解所在岗位位的信息安全全角色和职责责有针对性地进进行信息安全全意识教育和和技能培训及时有效的惩惩戒措施34(3)任用的终止或或变化控制目标：确保雇员、承承包方人员和和第三方人员员以一个规范范的方式退出出一个组织或或改变其任用用关系，包括括调换岗位或或岗位职责发发生变化控制措施：终止职责35资产的归还撤销访问权离职可能引发发的安全隐患患未删除的账户户未收回的各种种权限VPN、远程主机、、企业邮箱和和VoIP等应用其它隐含信息息网络架构、规规划，存在的的漏洞同事的账户、、口令和使用用习惯等这些信息和权权限如果被离离职的员工和和攻击者们恶恶意利用，很很容易导致信信息安全事件36任用的终止终止职责：组织应该清晰定义义和分配负责责执行任用终终止或任用变变更的相关职责，如通知相关人员员人事变化，，向离职者重申申离职后仍需遵遵守的规定和承担的义务务归还资产：保证离职人员员归还软件、、电脑、存储储设备、文件件和其他设备备撤销访问权限限：撤销用户名、、门禁卡、密钥、数字证书书等37知识域：信息息安全控制措措施知识子域：物理和环境安安全理解人身安全的重重要性理解安全区域域控制目标的的含义，掌握握物理安全边边界、物理入入口控制等控控制措施的实实施方法理解设备安全全控制目标的的含义，掌握握设备安置和和保护、支持持性设施等控控制措施的实实施方法38Why？那些曾经发生生过的事：案例1：间谍潜入机机房，直接用用移动硬盘将将服务器中的的重要数据拷拷贝走。案例2：机房中气温温过高，导致致计算机无法法正常运行，，造成业务中中断。39物理和环境安安全的范畴物理（Physical）：身体的、、物质的、自自然的身体体的的：：人身身安安全全是是物物理理安安全全首首要要考考虑虑的的问问题题，，因因为为人人也也是是信信息息系系统统的的一一部部分分物质质的的：：承载载信信息息的的物物质质，，包包括括信信息息存存储储、、处处理理、、传传输输和和显显示示的的设设施施和和设设备备自然然的的：：自然然环环境境的的保保障障，，如如温温度度、、湿湿度度、、电电力力、、灾灾害害等等40物理理和和环环境境安安全全控制制目目标标（1）安安全全区区域域（2）设设备备安安全全41(1)安全全区区域域控制制目目标标：防止止对对组组织织场场所所和和信信息息的的未未授授权权物物理理访访问问、、损损坏坏和和干干扰扰，，关关键键或或敏敏感感的的信信息息及及信信息息处处理理设设施施应应放放在在安安全全区区域域内内，，并并受受到到相相应应保保护护控制制措措施施：物理理安全全边边界界42物理理入口口控制制办公公室室、、房房间间和设设施施的的安安全全保护护外部部和环环境境威威胁胁的的安安全全防护护在安全全区区域域工作作公共共访访问问、、交交接接区安安全全物理理安安全全边边界界周边边入入侵侵检检测测系系统统用来来探探测测未未经经授授权权而而进进入入的的人人，，并并发发出出警警报报现在在最最常常用用的的入入侵侵监监测测系系统统是是机电电式式的，，能能够够探探测测到到电电路路的的变变化化或或断断路路，，例例如如：：窗窗户户贴贴，，绷绷紧紧线线等等一个个常常被被忽忽略略的的脆脆弱弱点点———报警警系系统统闭路路电电视视使用用照相相机机通过过传输输媒媒介介将图图片片传传送送到到连连接接的的显示示器器的电电视视传传输输系系统统（（三三个个主主要要的的组组件件））传输输媒媒介介可可以以使使用用同同轴轴电电缆缆、、光光缆缆、、微微波波、、无无线线电电波波、、或或红红外外光光束束与广广播播电电视视是是不不同同的的，，尽尽管管也也是是点点对对点点的的无无线线连连接接，，但但CCTV的信信号号不不是是公公开开传传输输的的43物理理入入口口控控制制必须须弄弄清清来来访访者者的的身身份份，，并并将将其其进进入入与与离离开开安安全全区区域域的的日日期期与与时时间间记记录录起起来来所有有人人员员配配戴戴识识别别证证44物理理入入口口控控制制卡访访问问控控制制磁卡卡、、非非接接触触卡卡等等生物物特征征系系统统生理理特特征征：：指指纹纹、视网网膜膜、、声声音音、、手形形等行为为特征征：：签签名名45办公公室室、、房房间间和和设设施施的的安安全全保保护护安全全区区域域关键键设设备备应应放放在在公公众众无无法法进进入入的的地地方方避免免写写出出“机房房重重地地，，请请勿勿进进入入”的字字样样安全全区区内内，，各各种种打打印印机机、、复复印印机机设设备备齐齐全全设备备如果果放放在安安全全区区内内，，可可以以降低低对对该设设备备的的保保护护级级别别46(2)设备备安安全全控制制目目标标：防止止资资产产的的丢丢失失、、损损坏坏、、失失窃窃或或危危及及资资产产安安全全以以及及组组织织活活动动的的中断断控制制措措施施：设备备安安置置和和保保护护47支持持性设施施布缆安全全设备备维维护护组织织场所所外外的的设设备备安全全设备备的安安全全处置置和和再再利利用用资产产的转转移移设备备安安置置和和保保护护来自自空空中中的的威威胁胁———TEMPEST(抑制制和和防防止止电电磁磁泄泄露露)途径径以电电磁磁波波形形式式的的辐辐射射泄泄露露；；电源源线线、、控控制制线线、、信信号号线线和和地地线线造造成成的的传传导导泄泄露露危害害使各各系系统统设设备备相相互互干干扰扰，，降降低低设设备备性性能能电磁磁泄泄露露会会造造成成信信息息暴暴露露电磁磁辐辐射射强强度度影响响因因素素功率率和和频频率率距离离因因素素屏蔽蔽状状况况预防防措施施选用用低低辐辐射射设设备备利用用噪噪声声干干扰扰源源采取取屏屏蔽蔽措措施施距离离防防护护采用用微微波波吸吸收收材材料料48设备备运运行行的的良良好好环环境境建设设机机房房，，应应当当参参照照有有关关国国家家标标准准，，如如GB50174-2008《《电子子信信息息系系统统机机房房设设计计规规范范》机房房的的选选址址和和设设备备的的放放置置要要考考虑虑火火灾灾、、地地震震、、洪洪水水、、风风暴暴等等可可能能的的自自然然威威胁胁，，以以及及爆爆炸炸、、蓄蓄意意破破坏坏、、盗盗窃窃、、恐恐怖怖袭袭击击、、暴暴动动等等可可能能的的人人为为威威胁胁机房房、、办办公公场场所所和和通通信信线线路路铺铺设设需需要要考考虑虑通通信信中中断断、、电电力力中中断断等等支支撑撑性性基基础础设设施施失失效效的的问题题支持持性性设设施施电力力供供应应———关系系到到企企业业的的营营运运是是否否正正常常电源源：：防防止止电电源源故故障障与与供供电电不不正正常常的的现现象象多路路供供电电、、不不间间断断电电源源UPS、备备用用发发电电机机49支持持性性设设施施HVAC（适适当当的的供供暖暖、、通通风风和和空空调调））数据据中中心心或或服服务务器器机机房房的的空空调调控控制制应应当当与与大大楼楼其其它它部部分分隔隔离离计算算机机房房空空调调不不同同于于舒舒适适性性空空调调和和常常规规恒恒温温恒恒湿湿空空调调消防防设设施施：：火火灾灾的的预预防防、、检检测测和和排排除除火灾灾燃燃烧烧的的条条件件火灾灾预预防防-减少少火火灾灾起起因因火灾灾检检测测-在火火灾灾发发生生前前，，接接受受火火灾灾警警报报灭火火-如何何灭灭火火，，并并降降低低到到最最小小损损失失50人身身安安全全的的重重要要性性以人人为为本本，，人人身身安安全全最最重重要要不要要忘忘记记人人是是系系统统资资产产的的重重要要组组成成部部分分办公公室室、、机机房房应应为为操操作作人人员员提提供供健健康康的的工工作作环环境境突发发灾灾难难时时，，人人身身安安全全是是首首先先需需要要保保障障的的51知识识域域：：信信息息安安全全控控制制措措施施知识识子子域域：：通信信和和操操作作管管理理理解解操作作程程序序和和职职责责、、第第三三方方服服务务交交付付管管理理、、系系统统规规划划和和验验收收、、防防范范恶恶意意代代码码、、备备份份、、网网络络安安全全管管理理、、介介质质处处置置、、信信息息的的交交换换、、电电子子商商务务服服务务、、监监视视和和访访问问控控制制这这些些控控制制目目标标的的含含义义掌握实现现这些控控制目标标的控制制措施的的实施方方法52Why？案例1：２００７７年８月月３０日日，美国国空军一一架Ｂ－－５２战战略轰炸炸机误装装６枚核核弹后，，从北部部的北达达科他州州飞往南南部的路路易斯安安那州。。这一空空前事件件显示了了美国空空军对核核武器指指挥和控控制体系系中的漏漏洞。案例2：数据库库管理员员由于疏疏忽进行行了误操操作,将重要的的信息删删除了。。案例3：涉密计计算机出出现故障障硬盘数数据丢失失，使用用人员将将硬盘拿拿到社会会上的数数据恢复复公司进进行恢复复，造成成秘密泄泄露。53通信和操操作管理理控制目标标（1）操作程程序和职职责（2）第三方方服务交交付管理理（3）系统规规划和验验收（4）防范恶恶意代码码（5）备份（6）网络安安全管理理（7）介质处处置（8）信息的的交换（9）电子商商务服务务（10）监视54(1)操作程序序和职责责控制目标标：确保正确确、安全全地操作作信息处处理设施施控制措施施：文件化的的操作程程序55变更管理理责任分割割开发、测试和和运行设设施分离离(2)第三方服服务交付付管理控制目标标：对第三方方服务进进行管理理，使其其交付的的服务符符合第三三方服务务交付协协议，并并保持在在适当水水平控制措施施：服务交付付56第三方服服务的监监视和评评审第三方服服务的变变更管理理(3)系统规划划和验收收控制目标标：将系统失失效的风风险降至至最小控制措施施：容量管理理57系统验收收(4)防范恶意意代码控制目标标：保护软件件和信息息的完整性控制措施施：控制恶恶意代码码58(5)备份控制目标标：保持信息息和信息息处理设设施的完完整性及及可用性性控制措施施：信息备备份59备份资料料必须给给予适当当级别与与保护定期测试试备份介介质定期检查查与测试试恢复步步骤(6)网络安全全管理控制目标标：确保网络络中信息息和支持持性基础础设施的的安全性性控制措施施：网络控控制60网络服务务安全(7)介质处置置控制目标标：防止资产产遭受未未授权泄泄露、修修改、移移动、销销毁及业业务活动动的中断控制措施施：可移动动介质的的管理61介质的处处置(8)信息的交交换控制目标标：保持组织织内以及及与外部部组织信信息和软软件交换换的安全全控制措施施：信息交交换策略略和规程程62交换协议议运输中的的物理介介质电子消息息发送(9)电子商务务服务控制目标标：确保电子子商务服服务及使使用的安全控制措施施：电子商商务63在线交易易(10)监视控制目标标：检测未经经授权的的信息处处理活动控制措施施：审计日日志64监视系统统的使用用日志信息息的保护护管理员和和操作员员日志故障日志志时钟同步步知识域：：信息安安全控制制措施知识子域域：访问控制制理解访问控制制的业务务要求、、用户访访问管理理、用户户职责、、网络访访问控制制、操作作系统访访问控制制、应用用和信息息访问控控制、移移动计算算和远程程工作这这些控制制目标的的含义掌握实现现这些控控制目标标的控制制措施的的实施方方法65Why?案例1：飞机登登机，旅旅客的身身份证号号区别了了不同的的人，身身份证证证明确实实是这名名旅客来来乘机，，安检人人员察看看身份证证和登机机牌，扫扫描违禁禁物品后后允许乘乘客登上上机票中中规定的的航班。。案例2：登录网网站，用用户ID区别了不不同的用用户，输输入登录录密码确确定是这这位用户户，网络络防火墙墙和服务务器的权权限管理理系统允允许用户户使用网网站中可可以使用用的功能能。66访问控制制控制目标标（1）访问控控制的业业务要求求（2）用户访访问管理理（3）用户职职责（4）网络访访问控制制（5）操作系系统访问问控制（6）应用和和信息访访问控制制（7）移动计计算和远远程工作作67(1)访问控制制的业务务要求控制目标标：基于业务务目标和和业务原原则来控控制对信信息的访问控制措施施：访问控控制策略略68(2)用户访问问管理控制目标标：确保授权权用户能能够访问问信息系系统，防防止非授授权的访问控制措施施：用户注注册69特殊权限限管理用户口令令管理用户访问问权的复复查(3)用户职责责控制目标标：防止未授授权用户户对信息息和信息息处理设设施的访访问、危危害或窃取控制措施施：口令使使用70无人值守守的用户户设备清空桌面和和屏幕策策略(4)网络访问问控制控制目标标：防止对网网络服务务的未授授权访问控制措施施：使用网网络服务务的策略略71网络隔离离(5)操作系统统访问控控制控制目标标：防止对操操作系统统的未授授权访问控制措施施：安全登登录规程程72用户标识识和鉴别别口令管理理系统系统实用用工具的的使用(6)应用和信信息访问问控制控制目标标：防止对应应用系统统中信息息的未授授权访问控制措施施：信息访访问限制制73(7)移动计算算和远程程工作控制目标标：确保使用用移动计计算和远远程工作作设施时时的信息息安全控制措施施：移动计计算和通通信74远程工作作访问控制制思路由于服务务是分层层次的，，攻击可可能从各各个层次次发起，，好的访访问控制制应该在在多层面面进行只靠网络络防火墙墙不能抵抵抗所有有的攻击击，操作作系统层层面、应应用安全全层面都都要做好好访问控控制才行行网络接口层IP应用TCPUDP75知识域：：信息安安全控制制措施知识子域域：信息系统统获取、、开发与与维护理解信息系统统的安全全需求、、应用中中的正确确处理、、密码控控制、系系统文件件的安全全、开发发和支持持过程中中的安全全、技术术脆弱性性管理这这些控制制目标的的含义掌握实现现这些控控制目标标的控制制措施的的实施方方法76信息系统统获取、、开发和和维护控制目标标（1）信息系系统的安全要要求（2）应用中的正确确处理（3）密码控制（4）系统文文件的安全（5）开发和支持过程中中的安全（6）技术脆弱性管理77(1)信息系统的安安全需求控制目标：确保安全是信信息系统的一一个有机组成成部分控制措施：安全需求分析析和说明78安全信息系统统获取的基本本原则和方法法安全信息系统统获取的基本本原则符合国家、地地区及行业的的法律法规量力而行，达达到经济性与与安全性间的的平衡符合组织的安安全策略与业业务目标安全信息系统统的获取策略略外部采购自主开发或者者自主开发与与外包相结合合采取何种获取取策略在项目目立项与可行行性分析过程程中得出结论论79信息系统购买买流程选择中标供应应商，并签订订合同源代码托管(SourceCodeEscrow)安全紧急响应应条款售后服务协议议安全培训业务连续性与与灾备条款需求分析市场招标评标选择供应商签订合同系统实施系统运维80(2)应用中的正确确处理控制目标：防止应用系统统中信息的错错误、遗失、、非授权修改改及误用控制措施：输入数据验验证81内部处理的控控制消息完整性输出数据验证证(3)密码控制控制目标：通过密码方法法保护信息的的保密性、真真实性或完整性控制措施：使用密码控控制的策略82密钥管理(4)系统文件的安安全控制目标：确保系统文件件的安全控制措施：运行软件的的控制83系统测试数据据的保护对程序源代码码的访问控制制(5)开发和支持过过程中的安全全控制目标：维护应用系统统软件和信息息的安全控制措施：变更控制程程序84操作系统变更更后应用的技技术评审软件包变更的的限制外包软件开发发(6)技术脆弱性管管理控制目标：降低利用公布布的技术脆弱弱性导致的风险控制措施：技术脆弱性性控制85小结安全是信息系系统需求的重重要组成部分分信息系统安全全建设要符合合国家法律法法规，符合组组织业务目标标，量力而行行信息系统即使使是外购方式式获取，其产产生的连带安安全责任仍然然停留在组织织内部信息系统的安安全性可以由由专业的安全全人员、组织织的安全策略略、以及嵌入入到管理流程程中的一系列列安全控制过过程来保障86知识域：信息息安全控制措措施知识子域：符合性理解符合法律要求求、符合安全全策略和标准准以及技术符符合性、信息息系统审核考考虑这些控制制目标的含义义掌握实现这些些控制目标的的控制措施的的实施方法87Why？案例：目前，Internet上至少有三万万多个公开的的黑客网站，，这些网站除除了黑客知识识与技能的培培训外，还提提供了大量的的黑客工具，，一个稍具电电脑知识的中中学生经过黑黑客网站的培培训，利用下下载的黑客工工具就可以发发起有一定威威胁性的攻击击。最近有人人甚至在网上上以几百元的的价格兜售定定制的病毒。。但同样的情况况如果发生在在现实生活中中，结果就不不一样了。比比如有人想办办一个小偷培培训学校，可可能还没开张张就被取缔了了；很少有人人敢故意培养养并散布传染染病病毒，否否则必将受到到法律的严惩惩。解决信息安全全问题不能仅仅依靠安全技技术，制订并并执行一系列列完善的法律律、法规才是是保护信息安安全的最重要要手段。88符合性控制目标（1）符合法律要要求（2）符合安全策策略和标准以以及技术符合合性（3）信息系统审审核考虑89(1)符合法律要求求控制目标：避免违反任何何法律、法令令、法规或合合同义务，以以及任何安全全要求控制措施：可用法律的的识别90知识产权保护组织的记记录数据保护和个个人信息的隐隐私密码控制措施施的规则可用法律的识识别一般通过以下下步骤来确定定组织对法律律、法规的符符合性指派专人负责责跟踪国家法法律法规的发发布情况计算机的运行行与控制计算机、程序序及数据的存存放方式信息服务的活活动及组织记录相关法律律与法规的要要求组织在制定信信息系统计划划、策略、标标准及程序时时落实法律、、法规的要求求建立检查程序，检查执行法法律、法规的的情况91(2)符合安全策策略和标准以以及技术符合合性控制目标：确保系统和业业务活动符合合组织的安全全策略及标准准控制措施：符合安全策策略和标准92技术符合性检检查(3)信息系统审核核考虑控制目标：将信息系统审审核过程的有有效性最大化化，干扰最小小化控制措施：信息系统审核核控制93谢谢，请提问问题！9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Tuesday,December20,202210、雨中黄叶树树，灯下白头头人。。17:28:2517:28:2517:2812/20/20225:28:25PM11、以我独沈久久，愧君相见见频。。12月-2217:28:2517:28Dec-2220-Dec-2212、故故人人江江海海别别，，几几度度隔隔山山川川。。。。17:28:2517:28:2517:28Tuesday,December20,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2217:28:2517:28:25December20,202214、他乡生生白发，，旧国见见青山。。。20十十二月20225:28: