信息安全管理培训

信息安全管理体系安全防护技术体系分阶段发展规划1、建章立制以明确要求为重点，分系统落实，缺乏有效的检查手段。2、有效执行（1）通过集中化的安全防护手段，有效落实安全要求。（2）形成专业的安全支撑维护队伍。3、量化优化量化掌握总体安全态势，有效地形成整体安全防护策略，量化评价安全要求的执行安全管理发展阶段1、分散防护分系统部署防火墙、入侵检测、防病毒等基础防护手段。3、集成防护建设集成的安全运行管理平台，将各安全防护手段形成合力。实现精细化的风险管理、全网安全态势的量化分析及安全事件的实时监控，并借助EOMS等系统的配合形成快速、流程顺畅的反应机制。2、集中防护以安全域划分和边界整合为基础，综合部署各类基础安全技术防护手段。建立集中的网络安全管控手段。安全防护技术体系分阶段发展规划支撑信息安全的演化反病毒……数据保密信息安全信息保障信息安全保障被动的防范和控制防火墙、IDS、安全应急服务……积极的主动防御、更关注“人”的要素，强调综合的安全保障体系，强调安全管理人技术管理策略和流程安全意识和培训第三方管理。。。。。。信息保障体系结构框架系统风险评估安全产品采购。。。。。。安全法律、法规安全运作管理密码管理攻击检测和响应。。。。。。目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设案例分析在实施过程中，有个部门采购了一台设备准备用来安装某一软件，由于机房搬迁等各方面原因，造成实施延误。一切妥当后已经过去了大半年，但再来找这台设备的时候，却怎么也找不着了…..事后的结果是这台设备可能发给地市去用了。最后是临时再找一台设备来安装产品案例分析为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。西藏入侵事件案例分析某公司技术部存在2个CTO，一个副CTO，一个主管……某公司员工离职，迟迟未收到人力行政部的通知，并且有设备的口令问了曾管理过的几个管理人员，都不知道口令是什么……在对机房进入的日志检查过程中，发现没有对清洁工的记录案例分析“88888帐户”毁了巴林银行，1995年2月26日，英国中央银行宣布了一条震惊世界的消息：巴林银行不得从事交易活动并将申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。88888错误帐户没有销掉。巴林银行没有将交易与清算业务分开，允许里森既作首席交易员，又负责其交易的清算工作。巴林银行的内部审计极其松散。案例分析3邯郸农行案主犯写下12条金库管理建议一、监控方面

1、应安排专人负责查看监控录像，并定期抽查以前的录像记录，查看是否有违规操作等情况；

2、每日必须检查监控设备的正常使用及备份情况，监控数据备份保存时间最少在3个月以上；

3、在非工作时间必须设防110联网报警系统，对非工作时间，进入设防范围或金库内的人员，要马上向领导汇报详细情况；

4、金库内必须安装监控设备。二、严格执行规章制度案例分析3邯郸农行案主犯写下12条金库管理建议二、严格执行规章制度

1、应安排现金中心，主管或副主任每旬查一次金库，安排现金中心主任每月查一次金库；

2、在查库时，应先核对记帐情况是否属实，然后根据碰库清单，认真核对现金数额，对装好的整包现金，必须打开包进行核对；

3、各级领导在查库时，都不应该在固定时间和日期；

4、对重要岗位的人员(如记帐员、管库员)，应实行强制休假制度，在不事先通知情况下，由领导监督交接工作；

5、应对现金中心的每个岗位，都制定出各自的岗位职责和工作要求，对现金中心工作人员要定期进行思想教育学习。

案例分析3邯郸农行案主犯写下12条金库管理建议三、现金中心岗位设置

1、应设立记帐员岗位，现金中心金库的往来帐目由管库员记帐，对现金中心所有往来帐目都应该由专人记帐，这样可以防止管库员在记帐方面做假帐，从金库挪用资金；

2、对银行内部资金调拨和安排到人民银行交取款的情况，应由专人负责。四、农行的信用卡通过电话银行，往彩票中心转彩票款，应设置最高转款限额。信息安全现状重视技术，轻视管理重视产品功能，轻视人为因素重视对外安全，轻视内部安全静态不变的观念缺乏整体性信息安全体系的考虑目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设信息安全管理体系标准ISO27001:2005信息安全管理体系规范ISO17799:2005信息安全管理实践规则标准发展的历史19951998率先由英国工业部进行专案英国公布BS7799第一部分

(Part1)瑞典成立LIS专案英国公布BS7799第二部分

(Part2)瑞典标准

SS627799Part1&2发行1999新版英国标准

BS7799Part1&2发行提交ISO组织讨论(ISODIS17799-1)2000挪威成立7799BD项目(2001年正式发行)1993红皮书：可信任的网络描述指南；

橘皮书:可信任的设施管理指南1990世界经济发展组织(OECD)：信息系统安全指导原则(1992/11/26)12月正式出版ISO17799标准20029月BS7799-2:2002公开发行

ISO17799:20052005

ISO27001:2005Information信息Informationisanimportantasset,essentialtoanorganization’sbusinessneeds.Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorbyusingelectronicmeans,shownonfilms,orspokeninconversation. 信息是一种重要资产，对组织的业务非常关键。信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储，邮寄或使用电子手段传输，以影片播放或对话Theelementsofinformationsecurity

信息安全的要素Confidentiality–thepropertythatinformationismadeavailableordisclosedtounauthorizedindividuals,entities,orprocesses 保密性－信息被获取或泄露给未经授权的个人、实体或流程Integrity–thepropertyofsafeguardingtheaccuracyandcompletenessofassets

完整性－保护资产准确和完整Availability–thepropertyofbeingaccessibleandusableupondemandbyanauthorisedentity 可用性－资产仅对授权人员在需要的时候是可访问的或可用的Informationsecurity信息安全Informationsecurity–Preservationofconfidentiality,integrityandavailabilityofinformation;Inaddition,otherpropertiessuchasauthenticity,accountability,non-repudiationandreliabilitycanalsobeinvolved 信息安全－保护信息保密性、完整性和可用性；另外，其他特性如真实性、可确认性、不可否认性和可靠性也可以包括在内信息安全管理体系标准什么是信息安全管理体系？信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理。即：安全管理是信息安全的关键；人员是安全管理的核心，教育是提高人员安全意识和素质的最好方法；技术是安全运营支撑。Informationsecuritymanagementsystem

信息安全管理体系

Informationsecuritymanagementsystem:Thatpartoftheoverallmanagementsystem,basedonabusinessriskapproach,toestablish,implement,operate,monitor,review,maintainandimproveinformationsecurity 信息安全管理体系：整个管理体系的一部分，基于业务风险的方法，建立、实施、运作、监控、评审、维护和改进信息安全。

Note:Themanagementsystemincludesorganisationalstructure,policies,planningactivities,responsibilities,practices,procedures,processesandresources. 注：管理体系包括组织架构、方针（政策）、策划活动、职责、活动、程序、流程和资源信息安全管理体系标准企业为什么要实现信息安全？组织自身业务的需要自身业务和利益的要求客户的要求合作伙伴的要求投标要求竞争优势，树立品牌加强内部管理的要求……法律法规的要求计算机信息系统安全保护条例互联网安全管理办法知识产权保护信息安全等级保护……WhatdoestheStandardOffer?

标准提供什么Experiencefeedbackfromthousandsofusersregardinginformationsecuritymanagementsystem成千上万的信息安全管理体系的使用者的经验反馈Asystematicapproachtochangeandimprovement(PDCA)

采用系统化的方法进行变革与改进（PDCA)Focusoninformationsecurityrequirmentsandspecifications,processes,management,andpeople

关注信息安全要求和规范、过程、管理和人员Advantage:Similarstructurewithinthequality,enviromentalandsafetymanagementstandards

优势：与质量、环境和安全管理标准的类似结构Aprocess-basedinformationsecuritymanagementsystemISO27001利益相关方InterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheinformationsecuritymanagementsystemEstablishISMS4.2.1MonitorandReviewtheISMS4.2.3ImplementandOperatetheISMS4.2.2MaintainandimprovetheISMS4.2.4InputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACInformationsecuritymanagementsystem

信息安全管理体系4.1Generalrequirements

一般要求

4.2EstablishingandmanagingTheISMS

建立和管理ISMS4.2.1EstablishtheISMS

建立ISMS4.2.2ImplementandoperatetheISMS

管理和运营ISMS4.2.3MonitorandreviewtheISMS

监控和评审ISMS4.2.4MaintainandimprovetheISMS

维护和改进ISMS4.3Documentationrequirements

文件要求4.3.1General一般要求4.3.2Controlofdocuments

文件控制4.3.3Controlofrecords

记录控制4.ISMS

Managementresponsibility

管理层责任InternalISMSaudit

内部审核5.1Managementcommitment

管理层承诺5.2Resourcemanagement

资源管理5.3Training,awarenessandcompetence

培训，意识和能力5.Managementresponsibility管理责任6.InternalISMSaudit

ISMS内审7.1General

一般要求7.2Reviewinput

评审输入7.2Reviewoutput

评审输出7.Management

reviewofISMS

ISMS管理评审ManagementreviewofISMS8.1Continualimprovement

持续改进8.2Correctiveaction

纠正措施

8.3Preventiveaction

预防措施8.ISMSimprovement

持续改进ISMSimprovementISO/IEC17799内容39个控制目标133个控制措施Securitypolicyand安全方针

Organisationofinformationsecurity

信息安全组织A.5Securitypolicy安全方针A.5.1Informationsecuritypolicy

信息安全方针A.5.1.1Informationsecuritypolicydocument

信息安全方针文件A.5.1.2ReviewofInformationsecuritypolicydocument评审信息安全方针文件A.6.1Tomanageinformationsecuritywithintheorganization在组织内部管理信息安全A.6.1.1ManagementcommitmenttoInformationsecurity 信息安全管理委员会A.6.1.2Informationsecuritycoordination

信息安全协作A.6.1.3Allocationofinformationsecurityresponsibilities

落实（分派）信息安全责任A.6.1.4Authorizationprocessforinformationprocessingfacilities

信息处理设施的授权过程A.6.1.5Confidentialityagreements

保密协议A.6.1.6Contactwithauthorities

与权力机构保持联系A.6.1.7Contactwithspecialinterestgroups 与特殊利益团体保持联系A.6.1.8Independentreviewofinformationsecurity

信息 安全的独立评审A.6.2Tomaintainsecurityofinformationassets/facilitiesfromthirdparties从第三方维护信资息产/设施的安全A.6.2.1Identificationofriskrelatedtoexternalparties

识别与外部机构相关的风险A.6.2.2Addressingsecuritywhendealingwithcustomers

与客户接触时强调安全A.6.2.3Addressingsecurityinthirdpartyagreements

在第三方协议中强调安全A.6Organizationofinformationsecurity信息安全组织Assetmanagement

资产管理A.7Assetmanagement

资产管理A.7.1ToachieveandmaintainappropriateprotectionofAssets

对资产达成和维护适当的保护A.7.2Toensurethatinformationreceivesappropriateprotectionlevel

确保信息受到适当程度的保护A.7.1.1InventoryofAssets

资产清点A.7.1.2OwnershipofAssets

资产的责任关系A.7.1.3Acceptableuseofassets

资产使用的可接受方法A.7.2.1Classificationguidelines

分类指南A.7.2.2InformationLabelingandhandling

信息标示和处理Humanresourcesecurity

人力资源安全A.8.2Toensureawarenessofthreatsandconcerns,roles/responsibilitiesandtoenablethemtosupportorganization’sinformationsecuritypolicy

确保知晓威胁和需要关注点，角色/责任并他们能够支持组织的信息安全政策A.8.1Toensurethatemployeesareawareofinformationsecurityandtheirroletoreducesecurityrisk

确保员工知晓信息安全和他们在降低安全风险方面的角色A.8.1.1RolesandResponsibilities

角色和责任A.8.1.2Screening

筛审A.8.1.3Termsandconditionsofemployment

雇佣协议和条件A.8.2.1Managementresponsibilities

管理层责任A.8.2.2Informationsecurityawareness,educationandtraining

信息安全意识、教育和培训A.8.2.3Disciplinaryprocess

惩罚过程A.8.3Toensureexitofemployees,contractorsandthirdpartyusersinanorderlymanner

确保员工、合同商和第三方有秩序地退出A.8.3.1Terminationresponsibilities

结束雇佣关系时的责任A.8.3.2Returnofassets

退还资产A.8.3.3Removalofaccessrights

取消访问权限A.8Humanresourcesecurity人力资源安全PhysicalandenvironmentalsecurityA.9.1Topreventunauthorizedphysicalaccessdamageandinterferencetopremisesandinformation.

防止未经授权的物理资产损坏和对办公室及信息的干扰A.9.2Topreventloss,damage,theftorcompromiseofassetsandtoorganizationalactivities.A.9.1.1Physicalsecurityperimeter

物理安全周界A.9.1.2Physicalentrycontrols

物理进出控制A.9.1.3Securingoffices,roomsandfacilities

办公室、 房间和设施的安全A.9.1.4Protectingagainstexternal/environmentalthreats 防止外部/环境威胁A.9.1.5Workinginsecureareas

在安全区域内工作A.9.1.6Publicaccess,deliveryandloadingareas

公共访问、运送和装卸区域A.9.2.1Equipmentsitingandprotection

设备放置与保护A.9.2.2Supportingutilities

支持设施A.9.2.3Cablingsecurity

电缆安全A.9.2.4Equipmentmaintenance

设备维护A.9.2.5Securityofequipmentoffpremises

办公区域外设备的安全A.9.2.6Securedisposalorre-useofequipment

处置和重新使用设备的安全A.9.2.7Removalofproperty

资产搬移A.9Physicalandenvironmentalsecurity 物理和环境安全Communicationsandoperationsmanagement

通信和运营安全A.10Communicationsandoperationsmanagement

通信和运营安全A.10.1Toensurecorrectandsecureoperations

确保正确与安全地运营A.10.2Toimplementandmaintainappropriatelevelofinf.securityinlinewiththirdpartyservicedeliveryagreements实施和维护适当程度的、与第三方服务提供协议一致的信息安全A.10.3Tominimizeriskofsystemfailures最小化系统失效的风险A.10.4Toprotectintegrityofsoftwareandinformation

保护信息和软件的完整性A.10.2.1Servicedelivery

服务提供A.10.2.2Monitoring,reviewofthirdpartyservices

监控、评审第三方服务A.10.2.3Managingchangestothirdpartyservices管理对第三方服务的变更A.10.3.1Capacitymanagement

容量管理A.10.3.2Systemacceptance

系统验受条件A.10.4.1Controlsagainstmaliciouscode

控制恶意代码A.10.4.2Controlsagainstmobilecode

控制移动代码A.10.1.1Documentedoperatingprocedures

文件化运营程序A.10.1.2Changemanagement

变更管理A.10.1.3Segregationofduties

责任分离A.10.1.4separationofdevelopment,testandoperationalfacilities

分离开发、测试和运营设施Communicationsandoperationsmanagement

通讯和运营管理A.10.5Tomaintainintegrityandavailabilityofinformationandinformationprocessingfacilities.

维护信息和信息处理设施的完整性、可用性A.10.6Toprotectinformationinnetworksandsupportinginfrastructure保护在网络和支持架构中的信息A.10.7Topreventunauthorizeddisclosure,modification,removalordestructionofassetsandinterruptionstobusinessactivities.

防止未授权的披露、修改、移动和毁坏资产以及对业务活动的干扰A.10.5.1Informationbackup信息备份A.10.6.1Networkcontrols

网络控制A.10.6.2Securityofnetworkdevices

网络服务中的安全A.10.7.1Managementofremovablemedia

管理可移动的介质A.10.7.2Disposalofmedia

介质处置A.10.7.3Informationhandlingprocedures 信息处理程序A.10.7.4Securityofsystemdocumentation

保护系统文件安全A.10Communicationsandoperationsmanagement

通信和运营管理Communicationsandoperationsmanagement

通信和运营管理A.10.8Tomaintainsecurityofinformationandsoftwareexchangedwithintheorgn.andwithanyexternalentity

维护信息和软件在组织内与组织外交换的安全A.10.9Toensuresecurityofe-commerceandtheirsecureuse

确保电子商务的安全以及他们的安全使用A.10.10Todetectunauthorizedinformationprocessingfacilities.

侦测未经授权的信息处理设施A.10.8.1Informationexchange,policies,procedures

信息交换政策、程序A.10.8.2Exchangeagreements

交换协议A.10.8.3Physicalmediaintransit

物理介质在运输中的安全A.10.8.4Electronicmessaging

电子消息A.10.8.5Businessinformationsystems

业务信息系统A.10.10.1Auditlogging

审计日志A.10.10.2Monitoringsystemuse

监控系统的使用A.10.10.3Protectingloginformation

保护日志信息A.10.10.4Adminandoperatorlogs

管理和操作者记录A.10.10.5faultlogging

错误日志A.10.10.6Clocksynchronization

始终同步A.10.9.1ElectronicCommerce

电子商务A.10.9.2Onlinetransactions

在线交易A.10.9.3Publiclyavailableinformation

可利用的公共信息A.10Communicationsandoperationsmanagement通信和运营管理Accesscontrol访问控制A.11.1TocontrolaccesstoInformation

控制对信息的访问A.11.2Toensureauthorizeduseraccessandpreventunauthorizedaccesstoinformationsystems

确保授权用户的访问和防止未经授权的对信息系统的访问A.11.3TopreventunauthorizeduserAccessandcompromise/theftofinformationandinformationprocessingfacilities

防止未经授权的用户访问和危及/偷盗信息和信息处理设施A.11.4Topreventunauthorizedaccesstonetworked

Services

防止未经授权的网络服务访问A.11.2.1UserRegistration

用户注册A.11.2.2Privilegemanagement

特权管理A.11.2.3Userpasswordmanagement

用户口令字管理A.11.2.4Reviewofuseraccessrights

评审用户访问权限A.11.3.1Passworduse

口令字使用A.11.3.2Unattendeduserequipment

无人看管的用户设备A.11.3.3Cleardeskandclearscreenpolicy

清楚桌面和屏幕政策A.11.4.1Policyonuseofnetworkservices使用网络服务政策A.11.4.2Userauthenticationforexternalconnections

用户外部连接的授权A.11.4.3Equipmentidentificationinnetworks

网络中设备的识别A.11.4.4Remotediagnosticandconfigurationportprotection 保护远程诊断和配置端口A.11.4.5Segregationinnetworks

网络分离A.11.4.6Networkconnectioncontrol

网络连接控制A.11.4.7Networkroutingcontrol

网络路由控制A.11.1.1AccessControlPolicy

访问控制方针A.11Accesscontrol

访问控制Accesscontrol访问控制A.11.5Topreventunauthorizedaccesstooperatingsystems防止未经授权的对操作系统的访问A.11.5.1Securelog-onprocedures

安全注册程序A.11.5.2Useridentificationandauthentication

用户识别和验证A.11.5.3Passwordmanagementsystem

口令管理系统A.11.5.4Useofsystemutilities

系统设施的使用A.11.5.5Sessiontime-out

访问时间限制A.11.5.6Limitationofconnectiontime

连接时间限制A.11.6Topreventunauthorizedaccesstoinformationheldinapplicationsystem防止未经授权的对应用系统中信息的访问A.11.6.1Informationaccessrestriction

信息访问限制A.11.6.2Sensitivesystemisolation

敏感系统隔离A.11.7Toensureinformationsecuritywhenusingmobilecomputingandteleworkingfacilities

在使用移动计算和远程通信设施时确保信息安全A.11.7.1Mobilecomputingandcommunications

移动计算和通讯A.11.7.2Teleworking

远程工作A.11Accesscontrol访问控制Informationsystems,acquisition,developmentandmaintenance

信息系统的获得、开发和维护A.12.1ToensurethatsecurityisanintegralpartofinformationSystems

确保安全是信息系统的一个重要部分A.12.2Topreventerror,loss,unauthorizedmodificationormisuseofinformationinApplication

防止错误、丢失、未经授权的修改或误用在应用系统中的信息A.12.3Toprotectconfidentiality,authenticityorintegrityofinformationbycryptographicMeans

用加密手段保护信息的机密性、真实性或完整性A.12.2.1Inputdatavalidation

输入数据验证A.12.2.2Controlofinternalprocessing

控制内部过程A.12.2.3Messageintegrity

消息完整性A.12.2.4Outputdatavalidation

输出数据的验证A.12.3.1Policyontheuseofcryptographiccontrols

使用加密控制方针A.12.3.2Keymanagement

密钥管理A.12.1.1Securityrequirement,analysisandspecification安全需求、分析和详细说明A.12Informationsystemsacquisition,developmentandmaintenance信息系统的获得，开发和维护Informationsystemsacquisition,developmentandmaintenance

信息系统的获得、开发和维护A.12.4Toensuresecurityofsystemfiles

确保系统文档的安全A.12.4.1Controlofoperationalsoftware

控制运营软件A.12.4.2Protectionofsystemtestdata

保护系统测试数据A.12.4.3Accesscontroltoprogramsourcecode

程序员代码的访问控制A.12.5Tomaintainsecurityofapplicationsystemsoftwareandinformation

维护应用系统软件和信息的安全A.12.5.1Changecontrolprocedures

变更控制程序A.12.5.2Technicalreviewofapplicationsafteroperatingsystemchanges.

在操作系统变更后 的应用系统技术评审A.12.5.3Restrictiononchangestosoftwarepackages

软件包变更的限制A.12.5.4Informationleakage

信息泄露A.12.5.5Outsourcedsoftwaredevelopment

外包的软件开发A.12.6Toreducerisksresultingfromexploitationofpublishedtechnicalvulnerabilities

通过利用已公开的技术弱点降低风险A.12.6.1Controloftechnicalvulnerabilities

技术弱点的控制A.12Informationsystemsacquisition,developmentandmaintenance信息系统的获得，开发和维护Informationsecurityincidentmanagement

信息安全事故管理A.13.1Toensureinformationsecurityeventsandweaknessesassociatedwiththeinformationsystemsarecommunicatedinamannerallowingtimelycorrectiveactiontobetaken

确保与信息系统有关的事件和弱点及时沟通以确保及时采取纠正措施A.13.1.1Reportinginformationsecurityevents

报告信 息安全事件A.13.1.2Reportingsecurityweaknesses报告安全弱点A.13.2Toensureconsistentandeffectiveapproachisappliedtothemanagementofinformationsecurityincidents确保管理信息安全事故的一致的和有效的方法A.13.2.1Responsibilitiesandprocedures

责任和程序A.13.2.2Learningfrominformationsecurityincidents

从信息安全事故中学习A.13.2.3Collectionofevidence

收集证据A.13Informationsecurityincidentmanagement

信息安全事故管理Businesscontinuitymanagement

业务连续性A.14.1Tocounterinterruptionstobusinessactivitiesandtoprotectcriticalbusinessprocessesfromtheeffectsofmajorfailuresofinformationsystemsordisasterstoensuretheirtimelyresumption

应对业务活动的中断及保护关键业务流程不受重大信息系统失效或灾难的影响并及时恢复A.14.1.1Includinginformationsecurityinbusinesscontinuitymanagementprocess 在业务连续性管理过程中包括信息安全A.14.1.2Businesscontinuityandriskassessment

业务连续性和风险评估A.14.1.3DevelopingandimplementingcontinuityplansIncludinginformationsecurity

开发和实施包括信息安全连续性计划A.14.1.4Businesscontinuityplanningframework

业务连续性计划框架A.14.1.5Testing,maintainingandreassessingbusinesscontinuityplans.

测试、维护和重新评估业务连续性计划A.14Businesscontinuitymanagement

业务连续性管理Compliance

符合A.15.1Toavoidbreachesofanylaw,statutoryregulatoryorcontractualobligationsandofanysecurityRequirements

避免违背任何的法律、法令、法规或合同义务和任何安全要求A.15.1.1Identificationofapplicablelegislation

识别适用的法律A.15.1.2Intellectualpropertyrights(IPR)

知识产权A.15.1.3Protectionoforganizationalrecords

保护 组织记录A.15.1.4Dataprotectionandprivacyofpersonalinformation.

数据保护和个人信息保密A.15.1.5Preventionofmisuseofinformationprocessingfacilities

防止信息处理设施误用A.15.1.6Regulationofcryptographiccontrols

密码 控制法规A.15.2Toensurecomplianceofsystemswithorganizationalsecuritypoliciesandstandards确保系统符合组织的安全政策和标准A.15.2.1Compliancewithsecuritystandards

符合安全标准A.15.2.2Technicalcompliancechecking

技术符合性检查A.15.3Tomaximizeeffectivenessofandtominimizeinterferenceto/fromtheinformationsystemsauditProcess

最大化信息系统审计的有效性和最小化业务干扰A.15.3.1Informationsystemauditcontrols

信息系统审计控制A.15.3.2Protectionofinformationsystemaudittools

保护信息系统审计工具A.15Compliance

符合信息安全方针为信息安全提供符合业务要求和相关法律法规的管理指导和支持信息安全方针文档应经过管理层的批准，并向所有员工和外部相关方公布和沟通应按策划的时间间隔或当发生重大变化时，对信息，安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性信息安全组织使组织内部信息安全保证基础设施安全管理信息安全委员会信息安全协作落实信息安全责任控制第三方访问确认第三方访问风险第三方合同安全要求控制外包外包合同安全要求资产管理确保信息资产受到相应级别的保护资产是组织认为有价值的东西，例如:信息资产纸上的文件软件资产物理资产人公司的形象和名誉服务一个组织必须确定哪些资产在损失之后对于本组织的产品及服务产生物质上的影响人力资源安全目标：减少人为的错误，偷盗，欺骗或错误使用设施带来的风险就业申请审查将安全责任写入合同，并在雇用期间进行监督保密协议教育与培训---组织所有员工以及相关的第三方用户应该就组织策略和程序接受适当的培训并定期了解最新变化。还包括安全要求、法律责任和业务控制措施方面的内容，以及如何使用信息处理设备方面的培训熟悉安全事故处理流程物理与环境安全防止未经授权的访问，破坏和干扰办公场所和信息

周边安全

进入控制

工作区安全

电力供应

设备整理通讯与运作管理保证信息处理设施的安全和正确运营运营程序和责任系统计划和接收预防恶意软件网络管理媒介管理和安全信息和软件交换的安全访问控制控制对信息的访问业务要求对访问进行控制用户访问管理用户职责网络访问控制操作系统访问控制应用访问控制系统访问和使用监控移动计算设备和通信信息系统的获取、开发与维护防止应用系统信息的错误、丢失、未授权的修改或误用通过加密手段来保护细腻的保密性、真实性或完整性确保系统文档的安全开发和支持过程的安全，保持应用系统软件和信息的安全减少由利用公开的技术漏洞带来的风险信息系统的获取、开发与维护需求阶段系统开发和交付系统部署实施系统运行维护系统废弃系统敏感度评估确定安全需求将安全需求加入到系统设计中获得系统（开发或购买）及安全功能安装并使安全控制有效安全测试鉴定合格安全操作和管理运作保证（监控和审计）变更管理系统废弃审核定期评估信息安全事件管理报告信息安全事件和弱点，确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施信息安全事故的管理和改进，确保使用持续有效的方法管理信息安全事故业务连续性管理防止业务活动的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复连续性计划业务连续性计划的框架业务连续性计划的测试、维护和再评估符合性避免违反法律、法规、规章、合同要求和其他的安全要求确认适用的法律知识产权保护组织的记录数据保护和个人隐私信息防止错误使用信息处理设施加密控制规定证据搜集CertificationProcess申请认证签约并安排日程确定认证范围与报价预评(模拟评审)第二阶段审核定期复合纠正措施确认或追踪审核(13周内)建议颁证可选择三年全面复核是否每6个月或一年第一阶段审核文件评审不符合事项纠正措施确认或追踪审核(13周内)不符合事项否是颁布证书12周关键成功因素Informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives

信息安全方针、目标和活动反映业务目标关键成功因素Approachtoinformationsecurityconsistentwiththeorganizationalculture 与组织文化一致的信息安全方法关键成功因素Visiblesupportandcommitmentfromalllevelsofmanagment所有管理层可见的支持和承诺关键成功因素Agoodunderstandingoftheinformationsecurityrequirments,riskassessmentandriskmanagement对信息安全要求、风险评估和风险管理有好的理解关键成功因素

Distributionofguidanceoninformationsecuritytoallthestaffandothers

向所有员工和其他人分发信息安全指南关键成功因素Effectivemarketingofinformationsecuritytoallthestaffandothers有效地对员工和其他人推销信息安全Effectivemarketingofinformationsecuritytoallthestaffandothers有效地对员工和其他人推销信息安全关键成功因素Adequatefinancialsupport足够的财务支持关键成功因素Appropriateawareness,trainingandeducation

适当的意识、培训和教育关键的成功因素Effectiveinformationsecurityincident

managmentprocess

有效的信息安全事故管理过程关键的成功因素Implementationofameasurement

systemthatisusedtoevaluateperformancein

informationsecuritymanagementandfeedbacksuggestionsforimprovement

实施能够评价信息安全管理绩效并反馈改进意见的测量体系ISO27001的一些问题11大类的结构性不够清晰一些风险控制点的归类不妥“加密”在开发与维护类中“事故报告”在人员安全类中操作与通信类中太杂乱一些风险控制点的阐述不够关于资产关于业务安全目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设风险概述风险的定义风险要素及要素之间的关系资产、威胁和脆弱性对应关系风险的定义普通字典的解释风险：遭受损害或损失的可能性AS/NZS4360：澳大利亚/新西兰国家标准风险：对目标产生影响的某种事件发生的机会。它可以用后果和可能性来衡量。ISO/IECTR13335-1:1996安全风险：是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。信息安全领域信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。风险的要素资产及其价值威胁脆弱性现有的和计划的控制措施(对策)风险的要素－资产资产是任何对组织有价值的东西资产的分类软件：基础应用软件（如数据库软件）、操作系统硬件设施：主机、路由器、防火墙、交换机等实体信息：合同、传真、电报、财务报告、企业发展计划，磁带，光盘打印机、复印机等人员：包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等电子数据：所有通过网络能访问到的数据服务性设施：电源、空调、保险柜、文件柜、门禁、消防设施、照明等其他：公司形象、公司信誉和客户关系风险的要素－威胁威胁是可能导致信息安全事故和组织信息资产损失的活动，威胁是利用脆弱性来造成后果威胁举例自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其他类似事件。人为威胁：由人激发或引发的事件，例如无意识行为（粗心的数据录入）或故意行为（网络攻击、恶意软件上传、对秘密信息的未授权访问）环境威胁：长时间电力故障、污染、化学、液体泄漏等。风险的要素－脆弱性与信息资产有关的弱点或安全隐患，脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞配置不当程序Bug专业人员缺乏不良习惯弱口令缺乏安全意识后门……风险要素之间的关系安全措施

抗击

业务脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变

未被满足未控制可能诱发残留成本或CIA资产资产价值资产、威胁和脆弱性对应关系资产威胁A威胁B来源A1来源A2来源B1来源B2脆弱点A1脆弱点A2。。。。。。。。。。。。。。。。。。脆弱点B1脆弱点B2。。。。。。每一项资产可能存在多个威胁；每一威胁可能利用一个或数个脆弱点PDCA模型一种持续改进的过程，而不是目标。PLANDOACTCHECKPDCAModelDesignISMSImplement&useISMSMonitor&reviewISMSMaintain&improveISMSRiskbasedcontinualimprovementframeworkforinformationsecuritymanagement设计与实施Step1:定义范围、安全方针和文件化Step2:管理层承诺Step3:风险评估Step4:风险处置Step5:实施和运作ISMSStep6:监督、审查Step7:改进ISMSStep8:完善ISMS文件体系阶段一建立和管理ISMS阶段二实施和运作ISMS阶段三监督和检查ISMS阶段四维护和改进ISMS实施内容文件化按文件体系生命周期编写文件需求分析制定发布推行审核修订废除文档体系结构记录程序文件主策略作业文件作业指导书风险评估概述风险评估定义对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来确定信息系统的安全风险。风险评估原则不管使用哪一种风险评估的方法或工具，其内容都应包括风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施风险评估常用术语风险一个规定威胁将利用一个或一组系统资源的弱点导致其损失或破坏的可能性风险管理以可接受的成本认证、控制、消灭或最小化不确定因素对系统资源的影响的过程风险赋值对照给定的风险准则和正在估计的风险，以确定风险严重程度的过程风险评估对信息和信息处理设施的危害、影响和弱点及三者发生的可能性的评估剩余风险风险处理后残留的风险风险接受接受一个风险的决定风险处置选择安全措施，转移、降低或消除风险的过程风险降低采取措施降低风险发生的可能性以及与风险相关的负面影响风险转移与另一方共同承担风险，从而减轻利益或财产损失的负担定量的风险评估当部分的公司资产已具有量化的价值利用财务的手法算出风险造成的财务损失再根据损失的大小决定风险等级定性的风险评估从风险发生可能性及造成的后果来考虑风险的等级对于后果和可能性采用定性度量并在最后阶段归纳出不同等级风险的方法基于要素的风险评估风险的函数表达：

R=f（a,v,t）

R：风险

a：资产的价值（资产价值用于反映某个资产 作为一个整体的价值，综合了机密性、完整性和可 用性三个属性）

v：资产本身的脆弱性

t：资产所面临的威胁为何需要风险评估网络面临的最大威胁是什么？有那些安全问题？什么是最关键的信息资产？网络设备是否安全？操作系统、数据库系统是否安全？在系统中采用了哪些安全措施？是否有效？您需要什么风险控制手段？您需要什么安全技术保障？对于安全事故，是否具备应急响应与恢复能力？……

面对这些问题，我们会自然地想到：对组织的信息系统，我们应该保护什么？应该如何保护？……这些问题有的看似简单，但如果要准确回答这些问题---信息安全风险评估。风险评估流程否否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择控制措施并评估残余风险实施风险管理是脆弱性识别威胁识别资产识别是否接受残余风险

风险识别与评价风险评估记录风险评估报告风险评估结果记录风险处置报告…..资产清单风险处置措施风险矩阵表项

目威胁等级低(0)中(1)高(2)脆弱性等级低0中1高2低0中1高2低0中1高2资产价值11232343452234345456334545656744565676785567678789风险管理风险评估－举例吃鱼的时候，鱼刺可能刺伤喉咙。 资产＝ 弱点＝ 威胁＝ 威胁发生的可能性＝ 威胁的影响＝风险＝风险处置举例吃鱼的时候，鱼刺可能刺伤喉咙：拒绝风险：不吃鱼。风险转移：医疗保险。减少风险：（减少威胁）可以将鱼刺剔除，买鱼刺比较少的鱼，（减少脆弱性）吃的时候要小心，（检测意外事件）准备醋、馒头、大米饭|及时上医院救治。接受风险：照常吃鱼（不能因为有鱼刺，一辈子不吃鱼吧），接受残余风险。

监督、审查管理评审高层参与，内部审核，外部审核等作为输入一般以会议的方式进行内部审核依据BS7799-2:2002标准制订的信息安全管理体系文件有关法律法规相关方的要求（包括客户、消费者、政府信息安全主管机构、供应商等）公司的信息安全管理承诺内审方法询问法抽样法查看文件在实际审核中，一般是以上方法结合使用改进、完善纠正采取措施，以消除与ISMS的实施、运作相关的不合格的原因，防止再次发生。预防确定措施，以消除潜在不合格的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。认证认证机构认证机构认证机构权威部门认证机构产品、过程、服务等认证机构……UKAS认证公司BSI/DNV公司或企业咨询公司目录信息安全现状信息安全管理体系标准介绍信息安全管理体系的设计与实施信息安全保障体系的构成和建设信息安全工作的总体思路我们的方向是什么？我们的目标是什么，做成什么样？我们现在的起点在哪里？我们怎么做？做得效果如何，还有什么问题？我们开始做了1.公司安全的使命和目标3.安全现状2.安全体系框架与指标4.信息安全规划5.管理体系推广与实施7.体系运营和持续改进6.技术体系实施与工程建设8.定期评估、检查、审计和持续改进安全管理运行中心技术体系安全组织设置和岗位职责安全教育、培训与资质认证组织体系安全策略