信息安全管理体系标准培训

机密此报告仅供客户内部使用。未经启明星辰团队公司的书面许可，其它任何机构不得擅自传阅、引用或复制。此培训资料仅供客户内部使用。未经启明星辰团队(北京启明星辰信息技术\深圳是诺恒管理筹划)的书面许可，其它任何机构不得擅自传阅、引用或复制。信息平安管理系列培训

ISO27001信息平安管理标准二○○七年五月

V1.01培训目的 启明星辰团队理解信息平安管理体系标准要求了解建立信息平安管理体系的根本思路了解信息平安风险的根本概念掌握风险评估根本方法V1.02培训课程内容 启明星辰团队第一局部全球及中国面临的信息平安风险第二局部信息平安概念与标准背景第三局部ISO27001信息平安管理体系标准介绍V1.03组织业务对信息平安依赖启开工程工程开发过程工程开发工程测试工程结束XXXSERP系统VSS工具XXXX系统主机效劳器监控系统存储设备核心交换机路由器传输设备平安设备自动办公系统供电系统空调系统监控系统消防系统启明星辰团队V1.04全球面临的信息平安威胁美国(CERT/CC)平安事件报告数量1998—37342003—137528英国900家不同企业的调查一半的政府机构及三分之一的民营组织面临信息不法入侵、滥用和破坏100家英国大型企业信息平安专业人员年度调查显示〔2007年〕信息盗窃和合规性已经取代了恶意软件和黑客攻击成为企业最担忧的平安问题启明星辰团队V1.05中国面临的信息平安威胁中国国内80%网站有平安隐患中国国内20％网站有严重平安问题中国的银行过去两年损失1.6亿人民币利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，而已发现的黑客攻击案只占总数的30%启明星辰团队V1.062006年CNCERT/CC年度工作报告网络平安事件大幅度增加，影响最为严重的包括：涉及国内政府/重要信息系统部门的网页篡改事件涉及国内外商业机构网络仿冒类事件针对互联网企业的拒绝效劳攻击类事件僵尸网络和木马威胁依然非常严重黑客地下产业链根本形成摘自CNCERT/CC2006年年度工作报告启明星辰团队V1.072006年CNCERT/CC年度工作报告木马威胁方面中国大陆约4.5万ＩＰ地址的主机被植入木马，与２００５年相比增长一倍僵尸网络方面抽样监测发现大陆地区约一千多万个ＩＰ地址主机被植入僵尸程序；境外约1.6万个ＩＰ对我国境内的僵尸主机实施控制网页篡改方面监测到中国大陆被篡改网页达２４４７７个，比２００５年增长接近一倍，政府网站被篡改频繁摘自CNCERT/CC2006年年度工作报告启明星辰团队V1.08CNCERT/CC2006年工作报告 CNCERT/CC=国家计算机网络应急技术处理协调中心接收非扫描性事件年度统计启明星辰团队V1.09当今组织的信息平安管理状况 根据最新的一份研究报告指出,组织计算机系统的开展比保护他们的系统要快,很多组织存在以下信息平安问题:组织各级人员的信息平安意识薄弱组织缺乏对网络平安和应急响应有管理经验的人员由于组织的目的是制造收入，所以大局部组织不会花时间构建有效的信息平安管理体系大局部组织几乎没有全职人员对信息平安进行管理启明星辰团队V1.010信息平安管理不当可能造成的后果 很多组织几乎没有意识到，由于管理不充分而发生的信息平安事件可能带来以下的后果:财产或生命损失公司倒闭法律责任客户流失损坏公司声誉启明星辰团队V1.011案例讨论:启明星辰团队阅读学员培训手册案例练习一,讨论:

可能是什么原因造成案例中事件发生?

请建议用什么措施防止这些事件再次发生?V1.012总结:启明星辰团队员工缺乏信息平安意识没有建立必要的信息平安管理机制〔流程和程序〕没有人执行信息平安管理制度缺乏必要的信息平安技术控制措施总之,针对信息平安风险缺乏必要的预防性控制措施大局部信息平安问题的发生是因为:V1.013培训课程内容 启明星辰团队第一局部全球及中国面临的信息平安风险第二局部信息平安概念与标准背景第三局部ISO27001信息平安管理体系标准介绍V1.014第二局部信息平安概念及背景 启明星辰团队关于信息及信息资产关于信息平安关于信息平安管理标准的开展关于其他相关标准及指南V1.015什么是信息?启明星辰团队ISO/IECIT平安指南(ISO/IECTR13335)定义:信息是通过在数据上施加某些约定而赋予这些数据特殊的含义.ISO27001标准对信息的解释:任何对组织有价值的东西信息是一种资产,和组织其他资产一样，是有价值的，应得到适当保护。信息本身是无形的,借助于媒体以多种形式存在或传播:存储在计算机、磁带、纸张等介质中存储在人的大脑里通过网络、机、打印机进行传播V1.016信息的类型

计算机及网络中的数据客户提供的各类信息组织经营管理各类资料门户网站提供的信息

纸面文件图纸管理规章制度培训记录启明星辰团队V1.017

启明星辰团队信息的生命周期 产生贮存损毁处理传递使用丧失滥用V1.018信息资产对信息的保护应该是信息生命周期的各个阶段，因此，对信息的保护涉及信息及信息生命周期各个阶段的资产：软件计算机人员打印机机

启明星辰团队V1.019第二局部信息平安概念及背景 启明星辰团队关于信息及信息资产关于信息平安关于信息平安管理标准的开展关于其他相关标准及指南V1.020什么是信息平安? 对一个门户网站而言,其信息平安的核心是:网站信息能够准确和及时发布保证网站随时随地可访问网站发布的所有新闻必须是合法的启明星辰团队V1.021什么是信息平安? 对网上银行而言，其信息平安的核心是:客户信息资料的保密性得到充分保证客户信息资料不出现任何错误网上电子商务随时可获取启明星辰团队V1.022什么是信息平安? 启明星辰团队对一个提供IDC效劳的组织而言，其信息平安的核心是:网络通信持续可用数据中心场地平安可靠防止客户财产因保管不当而遭受损坏V1.023什么是信息平安? 启明星辰团队保密性C完整性I可用性A确保只有授权的人员才能访问信息确保信息及处理方式的准确性和完整性确保经授权的人员在需要的时候可以访问信息及相关资产V1.024三者必须到达一个平衡 启明星辰团队保密性可用性完整性在有些组织,完整性和/或可用性可能比保密性更重要V1.025其他信息平安元素 启明星辰团队还有其他信息平安元素来细化、补充CIA要素，例如：可追溯性〔Accountability)抗抵赖性〔Non-repudiation〕真实性〔Authenticity)V1.026与ＣＩＡ相反的三元素〔ＤＡＤ〕 启明星辰团队泄漏〔Disclosure)篡改〔Alteration〕破坏〔Destruction)信息平安面临的最普遍的风险V1.027第二局部信息平安概念及背景启明星辰团队关于信息及信息资产关于信息平安关于信息平安管理标准的开展关于其他相关标准及指南V1.028ISO27001/ISO17799的开展 启明星辰团队1995/2月—BS7799-第一局部信息平安管理实施细那么1998/2月—BS7799第二局部信息平安管理体系标准1999/4月—BS7799第一局部/第二局部2000/12月—ISO/IEC17799第一局部信息平安管理实施细那么2002/9月—BS7799第二局部信息平安管理体系标准2005/6月—ISO17799:2005---信息技术–平安技术–信息平安管理体系实施细那么2005/11月—ISO27001:2005---信息技术–平安技术–信息平安管理体系要求标准V1.029信息平安管理体系标准启明星辰团队信息平安管理标准信息平安管理实施细那么ISO17799:2005信息平安管理体系标准ISO27001:2005

管理体系框架明确控制要求(没有详细的指南)

强制性要求用于体系认证各类平安控制手段实施指南包括管理制度要求建立管理体系的参考不用于认证V1.030ISO27000系列标准介绍 启明星辰团队ISO/IEC27000—标准介绍及术语ISO/IEC27001—信息平安管理体系要求ISO/IEC27002—信息平安管理实施细那么ISO/IEC27003—信息平安管理体系实施指南ISO/IEC27004—信息平安管理测量方法ISO/IEC27005—信息平安管理体系风险评估ISO/IEC27006—认证机构认可要求V1.031标准在全球的应用 启明星辰团队已经被全球二十多个国家采用为国家标准截止2007年4月,全球ISO27001/BS7799认证证书应超过3530张中国发布的证书数量47张ISMSIUG〔信息平安管理体系国际用户组织〕推进BS7799标准在全球的应用有关ISO27001标准的应用及认证可查询：

V1.032第二局部信息平安概念及背景启明星辰团队关于信息及信息资产关于信息平安关于信息平安管理标准的开展关于其他相关标准及指南V1.033ISO/IEC13335TR启明星辰团队IT平安管理指南〔GMITS〕，ISO/IEC技术报告ISO/IEC13335-1:2005—IT平安概念与模型ISO/IEC13335-2:1997—IT平安管理与规划ISO/IEC13335-3:1998—IT平安管理技术ISO/IEC13335-4:2000—平安措施选择ISO/IEC13335-5:2001—网络平安管理指南V1.034CC—CommonCriteria启明星辰团队信息平安产品和系统平安性测评标准，度量信息技术平安性的基准1985——美国可信计算机系统评估标准〔TCSEC〕1991——欧洲信息技术平安评估标准〔ITSEC〕1993——加拿大可信计算机系统评估标准〔CTCSEC〕1993——美国信息技术平安评估联邦标准〔FC〕1996——六国七方信息技术平安评估通用标准〔CCv1.0)1998——六国七方信息技术平安评估通用标准〔CCv2.0)1999——CC成为国际标准ISO/IEC154082001——我国等同采用CC标准：GB/T18336:2001)V1.035CC〔ISO/IEC15408标准〕启明星辰团队ISO/IEC15408标准由三局部组成ISO/IEC15408-1—IT平安评估简介及通用模型ISO/IEC15408-2—平安功能要求ISO/IEC15408-3—平安保证要求V1.036中国在信息平安管理相关法规计算机信息系统平安保护条例—1994计算机信息系统平安等级划分准那么〔GB17859-1999〕信息平安等级保护管理方法–2006年3月信息系统平安等级保护实施指南〔送审稿〕—2006信息系统平安保护等级定级指南信息系统平安等级保护根本要求

启明星辰团队V1.037对信息平安管理的等级划分

自主保护级指导保护级监督保护级强制保护级专控保护级根据不同等级，采取不同措施启明星辰团队V1.038培训内容启明星辰团队第一局部全球及中国面临的信息平安风险第二局部信息平安概念与标准背景第三局部ISO27001信息平安管理体系标准介绍V1.039第三局部ISO27001信息平安管理体系标准 ISO27001:2005标准体系框架介绍ISO17799:2005标准控制目标与措施介绍启明星辰团队V1.040

启明星辰团队ISO27001:2005 体系框架介绍标准结构及过程模型信息平安管理体系管理要求案例练习二标准理解〔体系框架要求〕V1.041ISO27001标准内容构成体系管理要求符合性要求4信息平安管理体系5管理职责6内部ISMS审核7管理评审8ISMS持续改进附件A控制目标和措施

符合性要求附件B

OECD原那么与标准标准的框架性要求与ISO要求兼容

(ISO9000/ISO14000)

ISO17799简化只谈要求,不谈方法

11大管理要求可以删减通过风险评估来确定选择哪些控制措施与ISO9000、ISO14000标准对照参考资料OECD信息体系与网络平安指南与本标准对照附件C

与其他标准对照参考资料启明星辰团队V1.042ISO27001:2005过程方法(PDCA模型) 启明星辰团队相关方信息平安要求和期望建立体系

实施体系

筹划

执行监控评审维持改进检查改进相关方信息平安受控以组织业务流程为导向建立信息平安管理体系V1.043所谓过程方法启明星辰团队若干活动相互作用输入输出顾客我满意,是因为流程为我创造了价值资源V1.044IDC效劳提供过程 启明星辰团队业务承接效劳准备效劳启用例行效劳应急响应效劳终止效劳合约工单制作客户工作证发放效劳申请资源准备准备确认客户接待安装协助系统启用确认效劳跟踪运行维护网络监控故障处理XXXXXXXXXXXXXXXX网络通信/根底设施保障V1.045PDCA模型要求 启明星辰团队筹划(建立ISMS)建立平安方针、目标、过程与程序，确保管理风险、改进信息平安，确保信息平安管理结果符合组织总体方针和目标。执行(实施ISMS)执行信息平安方针、控制措施、过程和程序。检查(监视和评审ISMS)对照信息平安方针、目标和实践经验评价，适宜时，测量过程绩效，并汇报评价结果供管理评审。改进(维持和改进ISMS)在管理评审的根底上，采取纠正和预防措施，以持续改进ISMS。V1.046信息平安管理控制措施启明星辰团队1信息平安策略〔方针〕2组织的信息平安3资产管理4人力资源平安5物理和环境平安6通信与操作〔运行〕平安7访问控制8信息系统采购、开发和维护9信息平安事件管理10业务连续性管理11符合性70%管理要求+30%技术控制措施，建立在风险评估根底上V1.047

启明星辰团队ISO27001:2005 体系框架介绍标准结构及过程模型信息平安管理体系管理要求案例练习二标准理解〔体系框架要求〕V1.0484信息平安管理体系启明星辰团队4.1总要求4.2建立和管理信息平安管理体系〔ＩＳＭＳ〕 4.2.1建立ＩＳＭＳ 4.2.2实施并运行ＩＳＭＳ 4.2.3监视并评审ＩＳＭＳ 4.2.4维持并改进ＩＳＭＳ4.3文件要求 4.3.1总那么 4.3.2文件控制 4.3.3记录控制V1.049建立信息平安管理体系 启明星辰团队确定ＩＳＭＳ范围定义ＩＳＭＳ方针定义系统的风险评估方法识别风险评估风险识别并评价处置风险的各类措施选择处置风险的控制目标和措施制订ＳＯＡ获取高层批准V1.050监视并评审体系〔测量目标〕 启明星辰团队分类CTQ测量定义单位测量周期优先级别下限上线目标单元机会流程要求的Zst完整性服务被中断的次数监控软件日志（5分钟）和邮件系统问题汇总表次/周周502013.0完整性服务被中断的时间监控软件日志和邮件系统问题汇总表分钟/周周5020014.5服务效率服务相应时间从服务调度收到服务请求，到完成服务的工作时间。小时周548413.0安全性出现病毒率（Norton）Norton检查出的文件数量/总扫描的文件数量百分比周43%1%2%13.0安全性Norton不能扫描率Norton不能扫描的文件数量/总扫描的文件数量百分比周401%0%13.0V1.051监视并测量体系〔测量结果〕启明星辰团队No.Name绩效指标名称目前为此上周定义2006Value12341稳定性平均中断时间(分钟)3723服务被中断的次数10343

时间中断率(Percent)3.7%0.7%服务被中断的时间(分)370####70

时间中断率(Sigma)3.293.96服务时间(分钟)30,240######

邮件效劳平安指标测量V1.052文件化管理体系 启明星辰团队信息平安方针及控制目标声明ISMS范围支持ISMS的程序与控制措施风险评估方法的书面描述风险评价报告风险处置方案组织为保证有效筹划、运行和控制ISMS的书面化程序标准要求的记录SOA(适用性声明书)V1.0535管理职责启明星辰团队５.1管理承诺5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力V1.0546内部审核 启明星辰团队定期进行内部审核,确定ISMS的控制目标、措施、程序和过程是否:符合本标准及相关法律与法规要求符合识别的信息平安要求得到有效实施和维持到达预期绩效表现V1.0557管理评审 启明星辰团队管理层定期评审ISMS保证ISMS持续适宜、充分和有效应评价改进时机及对ISMS的修订，包括对方针和目标的修订评审结果形成文件并进行保存V1.0568持续改进 启明星辰团队持续改进纠正措施预防措施应用信息平安方针、平安目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审采取措施消除与实施和运行ISMS有关的不合格，防止问题重复发生。应建立书面的程序明确纠正措施要求。确定措施防止不合格发生，采取的预防措施应与潜在的问题相适应。应建立书面的程序明确预防措施要求。V1.057小结 启明星辰团队ISO27001:2005标准的终极目标—提供信心需要有可审计的证据来提供信心全面完整的体系—不能缺失对某一重大风险的控制文件化的程序和标准—管理是有依据的可证实的控制措施—技术和产品高层管理的支持—可证实的证据通过绩效数据证明风险被控制—测量目标和结果V1.058

启明星辰团队ISO27001:2005 体系框架介绍标准结构及过程模型信息平安管理体系管理要求案例练习二标准理解〔体系框架要求〕V1.059第三局部ISO27001信息平安管理体系标准启明星辰团队ISO27001:2005标准体系框架介绍ISO17799:2005标准控制目标与措施介绍V1.060信息平安管理的核心内容 启明星辰团队信息资产客户资料与数据经营信息与数据个人隐私合作伙伴信息所依赖的系统应用系统〔通关系统、缉私办案。〕操作系统应用工具运作依赖的根底设施供电消防供水空调信息系统依赖的IT架构个人计算机效劳器主机交换机路由器平安设备〔防火墙、入侵检测〕保护资产保密性完整性/可用性V1.061信息平安控制措施考虑的几个角度启明星辰团队人人员管理制度技术措施针对重要的信息资产，采取预防性的保护措施V1.062十一个管理要求启明星辰团队1信息平安策略〔方针〕2组织的信息平安3资产管理4人力资源平安5物理和环境平安6通信与操作〔运行〕平安7访问控制8信息系统采购、开发和维护9信息平安事件管理10业务连续性管理11符合性70%管理要求+30%技术控制措施，建立在风险评估根底上V1.063A5信息平安方针启明星辰团队信息平安方针文件控制目标：根据要求及相关法规为信息平安提供管理方向和支持评审与评估管理层进行批准、发布并传达给所有员工对方针进行定期并在发生重大变化时进行评审V1.064A6信息平安组织 启明星辰团队A6.1内部组织控制目标：在组织内部对信息平安进行管理信息平安管理承诺明确方向进行管理承诺提供充分资源确定各个业务领域代表组建跨部门工作委员会协调信息平安管理措施的执行明确保护各项信息资产的职责明确从事具体信息平安过程的职责对新启用的信息处理设施建立授权过程信息平安工作协调(例)明确信息平安职责信息处理设施授权V1.065A6信息平安组织 启明星辰团队A6.1内部组织控制目标：在组织内部对信息平安进行管理与权威机构联络保持与相关权威机构的联络与特定利益组织联络与特定利益组织或专业平安论坛、行业协会等保持联络信息平安独立评审对信息平安执行情况进行独立评审保密协议识别保密协议需求要求定期评审要求V1.066A6信息平安组织 启明星辰团队与权威机构联络?与特殊利益组织联络?法律机构消防部门行业主管部门互联网效劳提供商在平安事件发生/灾难发生时及时响应并联络行业协会专家论坛及时了解业界最新知识对信息平安环境有全面了的认识获取专家意见V1.067A6信息平安组织 启明星辰团队信息平安的独立评审?体系框架6信息平安管理体系审核与被评审范围相独立的人员进行可能包括使用审计工具对信息系统进行平安审计ISO19011:2002提供了指南V1.068A6信息平安组织 启明星辰团队A6.2外部组织控制目标：确保被外部访问的信息处理设施及资产的平安识别外部组织相关的风险识别与外部组织相关的风险采取必要的平安措施在第三方协议中说明平安事项第三方访问按照正式合同进行管理合同中应包括所有必要的平安要求与客户说明平安事项允许客户访问公司前，说明所有平安事项V1.069A6信息平安组织 启明星辰团队外部组织?可能接触到哪些信息及信息设施?接触的方式?-物理访问?-逻辑访问?-网络连接(永久性的\远程的)-现场进行还是非现场进行?所接触信息的价值?是否授权?授权程序?是否认期评审这些权限?访问不能提供造成的影响?访问接受到错误信息后的影响?平安事件处理程序?必须在正式确定合约并规定访问控制程序后向第三方开放外部组织可能的风险?互联网效劳提供商网络效劳提供商效劳提供商客户平安效劳提供商设备设施外包提供商管理参谋临时工\见习生V1.070A6信息平安组织 启明星辰团队在合约中通常包含哪些平安要求?说明公司的信息平安方针说明保护资产的程序,例如:对复印\拍照片的限制可能需要接受的培训更换人员时的程序硬件和软件安装的职责访问控制策略和程序,例如:允许的访问方法\访问授权程序目标效劳水平,不可接受的效劳水平......V1.071A7资产管理 启明星辰团队A7.1资产责任控制目标：确保对组织资产进行适当保护资产清单(例)建立并维护与信息系统相关的所有重要资产的登记清单

资产归属为所有资产指定责任单位(?)资产合理使用(例)识别与信息及资产相关的处理设施合理的使用所需的方法合理使用的方法应文件化并有效执行V1.072A7资产管理 启明星辰团队A7.2信息分级控制目标：确保信息资产得到适当级别的保护。

分级指南明确信息分级及有关的保护措施考虑组织分享或限制信息的业务需求以及与这些需求相关的业务影响。信息标识与处理应根据组织信息分级方案对信息的分类和处理制定一系列的程序。

例V1.073A8人力资源平安 启明星辰团队A8.1雇佣前控制目标：确保雇员、承包方、第三方用户理解工作职责，降低偷盗、欺诈及误用设施的风险在职务说明书中规定平安职责人员筛选雇佣条款和条件对专职员工、分包方人员以及临时员工应在申请职位时进行验证检查。(例)

信息平安方针规定的平安职责应在职务说明书中描述。雇佣条款和条件中描述信息平安职责

V1.074A8人力资源平安 启明星辰团队A8.2雇佣中控制目标：确保人员了解信息平安的威胁和关注问题，并在其日常工作中能够执行组织信息平安方针。信息平安意识教育与培训组织所有员工以及相关的第三方用户应该就组织政策和程序接受适当的培训并定期了解最新变化。管理职责管理层要求人员执行方针和程序纪律处置过程对违反组织信息平安方针和程序的员工通过正式的纪律处置过程进行处理

V1.075A8人力资源平安 启明星辰团队A8.3离职或转岗控制目标：尽量雇员、承包商以及第三方用户离开组织或转岗有序进行终止职责明确处理雇佣终止或变化的职责资产归还删除访问权限确保所有雇员、承包方及第三方用户归还资产确保职责终止或岗位变化后，权限及时删除或调整

案例V1.076A9物理与环境平安 启明星辰团队A9.1平安区域控制目标：防止对业务工作区域和信息的非授权访问、损害及影响。

物理平安区隔离带组织应使用平安隔离带保护存放信息平安处理设施的区域。

物理进入控制应通过适当的进入控制方法保护平安区域，以确保只有授权人员才能进行出入访问办公室、房间和设施的平安应设立平安区域以保护有特别平安要求的办公室、房间和设施V1.077A9物理环境平安 启明星辰团队周边环境是否平安?进入是否控制?工作区域内是否平安?单独办公大楼物理隔离空间(锁/门禁)加固的平安区域接待台身份识别出入登记是否有消防设施是否有应急照明温度和湿度要求是否可以使用录象\录音等设备?V1.078A9物理与环境平安 启明星辰团队A9.1平安区域控制目标：防止对业务工作区域和信息的非授权访问、损害及影响。

在平安区域工作采取额外的控制措施和指南来控制平安区域的工作。

公共访问、卸货和上货区卸货和上货区应进行控制，在可能的情况下，应与信息处理设施隔离，以防止非授权的出入访问。保护外部及环境威胁应设计并应用物理保护措施，预防火灾、洪水、爆炸、社会动乱等威胁

V1.079物理环境平安启明星辰团队机房平安平安区域工作卸货\上货\公共访问区域卸货和上货区仅限于授权人员进出上货和卸货区平安设计除人员进出门外，其他出口应进行平安控制(关闭\保安守护独立的多回路供电系统

精密空调

防静电地板

气体灭火

温湿控制机房内工作指南

双人相互监督

禁止使用任何影像设备V1.080A9物理环境平安启明星辰团队A9.2设备平安控制目标：防止资产丧失、损害或损坏以及对业务活动的影响。设备选址及保护应对设备进行选址考虑或保护，以降低环境方面的威胁和危险以及非授权访问的时机支持性设施应保护设备免受停电及其它支持设施故障的影响电缆线路平安应保护携带数据或支持信息效劳的电力及通讯电缆，使其免遭拦截或损坏

V1.081A8物理与环境平安 启明星辰团队设备放置地点支持性设施平安电缆平安减少不必要的访问接触

处理高敏感信息的信息处理设施放置角度不易被人看到处理信息防止灰尘\雨水\震动等等供电\空调\通风\照明等充分巡视检查/测试发电机燃料充分通讯电缆和和供电电缆隔离电缆保护充分电缆清晰标识楼层数据电缆房进出控制V1.082A9物理与环境平安 启明星辰团队A9.2设备平安控制目标：防止资产丧失、损害或损坏以及对业务活动的影响。设备维护应对设备进行正确维护，以确保其连续的可用性及完整性场外设备平安任何在组织现场外使用设备进行信息处理的情况应经过管理授权

确保设备报废或回用平安设备在报废或回用前，应去除其中的信息物资搬移设备、信息或软件转移在未经授权的情况下不允许进行搬移V1.083A9物理与环境平安 启明星辰团队设备维护非现场设备平安设备报废或再使用设备报废前检查敏感信息删除处理并考虑处理方式

(不可恢复)

再使用前的处理建立维护规程

只允许维护人员接触设备

第三方提供的维护需要考虑现场工作的风险带出组织外设备和媒介平安在家工作使用信息处理设施出差在外的使用信息处理设施财产转移设备带出公司的管理设备进出管理设备带出时间限制,返还时检查V1.084A10通信和运行管理启明星辰团队A10.1操作程序及职责控制目标：确保信息处理设施的正确和平安操作书面化的操作程序书面规定并维持信息平安方针中识别的操作程序运行变更控制应对信息处理设施及系统的变更进行控制V1.085A10通信和运行管理启明星辰团队书面化操作程序?变更管理?信息处理和通信设施

-计算机开机/关机程序

-备份程序

-机房作业

-处理常见故障程序

-系统故障后重启动和恢复程序

-出现异常情况时联络人信息

-审计痕迹及系统支持信息的管理

-…操作系统和应用系统软件\设备\操作程序系统升级管理设备变更安装新软件原有的书面化操作程序变更V1.086A10通信和运行管理启明星辰团队A10.2第三方效劳交付管理控制目标：确保第三方效劳与协议要求一致效劳交付确保第三方交付协议中规定的平安控制要求、效劳定义和交付水平有效执行监视并评审第三方效劳定期监视并评审第三方效劳、报告和记录应定期进行审计管理第三方效劳变更应对第三方效劳提供进行变更管理考虑业务系统、过程的关键程度及风险再评估结果V1.087A10通信与运行管理启明星辰团队A10.3系统规划与接受容量规划应对容量需求进行监视，并对未来容量要求进行预测，以确保足够的处理能力及存储空间系统接受对新的信息处理系统、系统升级以及新版本应建立接受准那么，在接受前，应对系统进行适当的测试控制目标：尽量降低系统失效的风险

V1.088A10通信与运行管理 启明星辰团队A10.4防止恶意软件及移动代码控制恶意软件采取侦测和预防措施防止恶意软件执行适当的人员意识管理程序控制移动代码使用移动代码进行授权确保移动代码按照规定的方针操作控制目标：防止恶意造成的损害，保护软件和信息的完整性。

V1.089A10通信与运行管理 启明星辰团队防止恶意代码?建立正式策略禁止使用非授权软件建立正式策略,预防与网络下载软件或其他形式软件获取方式相关的风险定期检查系统中软件和数据,对存在的非授权软件进行正式调查安装并及时更新防病毒软件,对浏览网页\接受邮件等进行扫描定义病毒管理程序和职责，规定病毒使用培训程序\发现病毒报告和处理程序通过浏览网站等获取最新的病毒信息V1.090A10通信与运行管理 启明星辰团队A10.5备份信息备份应对根本的业务信息和软件进行备份，并定期测试控制目标：确保信息处理及通信效劳的完整性和可用性。定义备份信息不同的级别(备份频次\方式\保存)

书面的备份信息恢复程序备份信息的储存,确定储存环境的级别,包括储存地点备份介质定期测试与恢复V1.091A10通信与运行管理 启明星辰团队A10.6网络平安管理网络控制应有效管理和控制网络保护使用网络的系统和应用免遭威胁控制目标：确保网络信息以及支持架构平安。网络效劳的平安识别所有网络效劳的平安特点、效劳级别以及管理要求应明确规定，并在协议中说明〔包括内部网络与外部网络效劳〕V1.092A10通信与运行管理 启明星辰团队网络控制网络运行管理职责与计算机操作职责别离明确用户区域设备管理职责与程序对网络进行必要的监视协调所有的管理活动，优化网络效劳并保证必要的控制网络效劳平安接入效劳、专用网效劳、增值效劳、网络平安解决方案〔防火墙、入侵检测系统〕对网络效劳提供商的能力需要确定，必要时,应对其能力进行审计。对一些特别的网络效劳，需要定义平安特性、效劳水平以及管理要求平安特性包括：平安技术〔身份验证、加密、网络连接控制〕等。V1.093A10通信与运行管理 启明星辰团队A10.7媒介处理可移动电脑媒介管理应对可移动电脑媒介〔例如：磁带、磁盘、盒式磁带以及打印报告〕的管理进行控制媒介报废处理媒介不再使用时，应平安地进行处理

信息处理程序应建立信息处理和保管程序，以防止信息的非授权泄露或误用

系统文件平安应对系统文件进行保护以防止非授权访问〔应用过程描述、数据结构〕

控制目标：防止资产损害以及对业务活动的影响。

V1.094A10通信与运行管理 启明星辰团队A10.8信息和软件交换信息和软件方针与程序针对使用各类通信设施进行信息交换的活动，规定正式的方针、程序和控制要求媒介传递平安应对运输过程中的媒介进行保护，防止非授权访问、误用或滥用

交换协议组织与外部机构进行信息和软件交换应建立协议。控制目标：防止对组织间交换的信息造成丧失、更改或滥用。V1.095A10通信与运行管理 启明星辰团队信息交换–使用电子通信设施交换信息E-MAIL视频会议系统录音手提电脑FTP即时通信工具V1.096A10通信与运行管理 启明星辰团队A10.8信息交换电子讯息与电子讯息相关的信息应进行适当保护业务信息系统对业务信息系统之间的相互连接应明确并执行方针和程序

控制目标：防止对组织间交换的信息造成丧失、更改或滥用。V1.097A10通信与运行管理 启明星辰团队A10.9电子商务控制目标：确保电子商务效劳的平安以及平安使用电子商务的平安应对电子商务进行保护，防止欺诈行为、合同纠纷和泄露或对信息的修改

在线交易在线交易使用的信息尽心保护，防止不完整的传输、错误路由、非授权的信息更改等等

公共可访问信息信息在对外正式公布前应经过正式的授权过程控制，应对信息的完整性进行保护以防止非授权的修改V1.098A10通信与运行管理 启明星辰团队A10.10监视审计日志应建立并按规定的时间保存记录异常及其他平安相关事件的审计日志，为今后调查和访问控制监视提供帮助对系统使用管理进行监控应建立程序，对信息处理设施的使用进行监视控制，监视活动记录应定期评审保护日志信息对日志设施和信息进行保护，防止企图性及未授权的访问V1.099A10通信与运行管理 启明星辰团队A10.10监视管理者和操作者日志应建立系统管理员和操作员日志时钟同步电脑时钟应进行同步处理，以确保准确的记录错误日志错误操作应登记、分析并采取纠正措施

控制目标：防止非授权的信息处理活动。

V1.0100A11访问控制 启明星辰团队A11.1访问控制的业务需求访问控制方针〔例〕明确访问控制的业务要求并形成文件根据访问控制方针的规定对访问进行限制控制目标：控制对信息的访问。

V1.0101A11访问控制启明星辰团队A11.2用户访问管理用户注册通过建立正式的用户注册和注销程序获取多用户信息系统及效劳的权限特权管理应对特权分配和使用进行限制和控制

用户口令管理口令分配应通过正式的管理过程进行控制

控制目标：确保信息系统的访问权限经适当的授权、分配及维护。

用户访问权限评审管理层应定期对用户访问权限进行正式评审

V1.0102A11访问控制 启明星辰团队A11.3用户职责口令的使用应要求用户在选择和使用口令时遵守优秀的平安惯例无人值守的用户设备应要求用户确保对无人值守的设备进行适当的保护

控制目标：防止非授权的用户访问以及对信息及处理设施的破坏

工作台及电脑屏幕空净政策明确工作台及电脑屏幕空净政策。

V1.0103A11访问控制启明星辰团队A11.4网络访问控制网络效劳使用方针用户只能直接访问经过访问授权的效劳外部连接的用户身份鉴别

远程用户访问应进行鉴别网络中的设备识别

应考虑自动设备识别，作为鉴别特定位置和设备的方法控制目标：保护使用网络进行的效劳活动。V1.0104A11访问控制启明星辰团队A11.4网络访问控制远程诊断端口的保护对诊断端口的访问应进行平安控制网络隔离应采取控制措施，在网络中隔离信息效劳、用户以及信息系统

网络链接控制应根据访问控制方针对用户在共享网络中的链接能力进行限制控制目标：保护使用网络进行的效劳活动。网络路由控制应对共享网络进行路由控制以确保电脑连接及信息流不违反访问控制方针V1.0105A11访问控制启明星辰团队A11.5操作系统访问控制平安登陆程序应使用平安登陆程序控制操作系统的访问用户识别与鉴别用户应使用唯一的身份识别〔用户代码〕供其个人单独使用，以确保追溯个人责任应选择适宜的鉴别技术以证实用户身份口令管理系统口令管理系统应提供有效的及交叉功能，以确保有效的口令质量

控制目标：防止非授权的电脑访问。

V1.0106A11访问控制启明星辰团队A11.5操作系统访问控制系统实用程序使用对系统实用程序的使用应进行限制并严密进行控制终端超时对高风险区域的\或为高风险系统提供效劳的非活泼性终端.在其非活动时间超过规定时限后,应进行关闭以防止非授权访问连接时间限制应对高风险系统的应用进行连接时间限制，以提供更多平安控制

控制目标：防止非授权的电脑访问。

V1.0107A11访问控制 启明星辰团队A11.6应用系统及信息访问控制信息访问限制应根据访问控制方针对信息及应用系统功能的访问进行限制

敏感信息隔离对敏感系统应提供隔离的计算机工作环境控制目标：防止非授权访问信息系统的信息

V1.0108A11访问控制 启明星辰团队A11.7可移动计算机工作及远程工作可移动计算及通讯应建立正式的方针并采取适宜的控制措施,预防应用可移动计算及通讯设施工作\特别在非保护环境下进行工作的风险远程工作应制订方针、程序和标准，对远程工作进行授权和控制控制目标：确保使用可移动计算机及远程设施进行工作时的信息平安。V1.0109A12 信息系统获取、开发及维护启明星辰团队A12.1信息系统平安要求平安要求分析与标准新系统以及现有系统改进的业务需求应规定平安控制要求控制目标：确保平安是信息系统的一局部。V1.0110A12 信息系统获取、开发及维护 启明星辰团队A12.2应用中的正确处理输入数据确认应对输入应用系统的数据进行确认以确保数据准确性和适应性内部处理过程控制应在系统中设置确认检查功能以监测对处理数据的滥用

消息完整性识别在应用中消息的可认证性及完整性的要求，并识别和采取控制措施输入数据确认应对应用系统输出数据进行确认以确保对存储数据的处理正确及适宜

控制目标：防止应用系统中用户数据丧失、修改或滥用。V1.0111A12 信息系统获取、开发及维护启明星辰团队A12.3加密控制加密控制方针对使用加密控制技术保护信息应制订方针密钥管理应使用密钥管理系统支持加密技术，密钥管理系统应以相互商定的标准、程序和方法为根底。控制目标：保护信息的保密性、真实性和完整性。

V1.0112A12 信息系统获取、开发及维护 启明星辰团队A12.4系统文件平安操作软件控制应建立程序控制在操作系统上执行的软件系统测试数据保护测试数据应进行保护和控制.系统源程序库访问对系统源程序库的访问应进行严格控制控制目标：确保IT工程及辅助性活动以平安的方式进行。V1.0113A12 信息系统获取、开发及维护启明星辰团队A12.5开发与支持过程的平安变更控制应使用正式的变更控制程序以严格控制变更实施对运行系统变更进行技术评审应用系统变更时，应进行评审和测试软件包变更限制应限制对软件包的更改，根本变更进行严格控制控制目标：维护应用系统软件及信息的平安V1.0114A12 信息系统获取、开发及维护 启明星辰团队A12.5开发与支持过程的平安信息泄露防止信息泄露外包的软件开发应采取控制措施保护外包软件开发的平安控制目标：维护应用系统软件及信息的平安V1.0115A12 信息系统获取、开发及维护 启明星辰团队A12.6技术脆弱性管理控制技术脆弱性应及时获取在用信息系统的技术脆弱性评估脆弱性并采取适当措施控制目标：降低由于公开的脆弱性而导致的风险。

V1.0116A13信息平安事件管理 启明星辰团队A13.1报告信息平安事件和弱点报告平安事件应尽快通过适宜的管理渠道报告平安事件。报告平安弱点报告软件故障从事件中吸取教训应要求用户注意并报告任何系统或效劳中已发现或疑心的平安弱点应建立报告软件故障的程序。

应建立相应的管理机制以量化和监视事件和故障的类型、大小和本钱。纪律处置过程对违反组织信息平安方针和程序的员工通过正式的纪律处置过程进行处理控制目标：确保与信息系统相关的信息平安事件和弱点得到沟通，以及时采取纠正措施V1.0117A13信息平安事件管理 启明星辰团队A13.2管理信息平安事件并改进控制目标：确保采取持续有效的措施管理信息平安事件职责和程序从事件中吸取教训明确管理职责，制订程序以确保快速有效地响应信息平安事件应建立相应的管理机制以量化和监视事件和故障的类型、大小和本钱。证据收集信息平安事件涉及后续调查及法律行为，应根据相关司法要求收集证据V1.0118A14业务连续性管理启明星辰团队A14.1与信息平安相关的业务连续性管理在业务连续性管理过程中包含信息平安在组织全面的业务连续性管理过程中明确信息平安管理要求业务连续性及风险评估识别造成组织业务中断的事件，并考虑中断的可能性以及对信息平安造成的影响控制目标：防止由于重大信息系统故障或灾难导致的业务活动中断，保护组织关键业务活动。

制订并执行包含信息平安的连续性方案制订并执行方案，确保信息可用性，以保证在组织关键业务过程遭到影响或发生瘫痪时维持或及时恢复业务运行V1.0119A14业务连续性管理 启明星辰团队A14.1与信息平安相关的业务连续性管理业务连续性方案框架应维持统一的业务连续性方案框架以确保所有方案的一致性，并确定进行测试和实施的优先排序方案测试\维护与再评估应对业务连续性方案进行定期测试，并通过定期评审以保持连续性方案保持最新及有效控制目标：防止由于重大故障或灾难导致的业务活动中断，保护组织关键业务活动。

V1.0120业务连续性管理 启明星辰团队在发生以下重大信息系统故障或灾难导致的业务活动中断，我们的关键系统在多长时间能够恢复,如何恢复?自然灾害意外事件人为事件地震、海啸、台风、暴雨、洪水大规模传染病、火灾、通信故障〔网络中断〕、设备故障、软件故障、停电黑客入侵、爆炸V1.0121业务连续性风险分析启明星辰团队业务连续性方案启始于业务连续性风险分析影响业务连续性的事件可能的危机类型业务影响分析

业务连续性管理策略业务功能分类业务连续性恢复目标确定业务恢复的顺序V1.0122影响业务连续性的事件 启明星辰团队在风险评估结果已经识别出相关事件,例如:自然灾害意外事件人为事件地震、海啸、台风、暴雨、洪水大规模传染病、火灾、通信故障〔网络中断〕、设备故障、软件故障、停电黑客入侵、爆炸风险评估中已经对局部业务中断确定了相应的预防措施V1.0123后果严重程度启明星辰团队各类事件造成的后果程度可能不同，大致分为:

单一业务功能中断多个业务功能中断

公司现场不可用城市不可用国家暴乱V1.0124业务影响分析 启明星辰团队业务影响分析的是对各个业务单元的重要程度进行分析:

描述各个业务单元对各个业务单元重要程度进行分析确定业务功能分类确定业务单元允许中断的最长时间V1.0125业务影响分析 启明星辰团队业务影响分析需要考虑以下因素：序号评价因素理解要点评价分值1战略影响对公司战略影响程度1–10分2业务功能重要程度可容忍缺损时间(没有该业务功能不会造成任何业务影响和损失)1–10分3运作影响缺损该业务功能,对其他业务运作的影响程度1–10分4财务影响由于该失去该业务功