第5章 信息安全管理控制措施与网络安全等级保护安全要求

第5章

信息安全管理控制措施

与

网络安全等级保护安全要求5.1管理信息安全事件

5.2信息安全管理控制措施

5.3网络安全等级保护安全要求5.1管理信息安全事件

信息安全事件是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态。通常情况下，信息安全事件的发生是由于自然的、人为的或者软硬件自身存在缺陷或故障造成的。信息安全事故由单个或一系列有害或意外信息安全事件组成，它们具有损害业务运作和威胁信息安全的极大可能性。5.1.1事件分类1．有害程序事件2．网络攻击事件3．信息破坏事件4．信息内容安全事件5．设备设施故障6．灾害性事件7．其它信息安全事件5.1.2事件分级

对信息安全事件进行分级主要考虑信息系统的重要程度、系统损失和对社会造成的影响等3个基本要素。1．特别重大事件2．重大事件3．较大事件4．一般事件5.1.3应急组织机构1．国内外知名应急组织机构计算机应急处理协调中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）中国教育和科研计算机网（ChinaEducationandResearchNetwork,CERNET）国家计算机网络应急处理协调中心（NationalComputerNetworkEmergencyResponseTechnicalTeam/CoordinationCenterofChina,CNCERT/CC）2．单位应急响应工作机构应急领导小组应急工作小组应急响应小组5.1.4应急处置流程1．事件上报和接报2．事件处置3．事件报告4．事件总结5.2信息安全管理控制措施

5.2.1控制措施的选择1．选择控制措施的原则在法律需求、业务需求和风险评估结果基础上，确定并评估能满足这3种安全需求的控制措施，使这些控制措施与业务环境保持一致，并能应对可能出现的后果，要求选择的控制措施最好地满足相关业务准则。2．影响选择控制措施的因素和条件成本可用性实施与维护已存在的控制措施所有的控制目标与安全需求是否已满足5.2.1控制措施的选择3．选择控制措施的过程来自法律、法规、合同的需求来自业务需求来自风险的安全需求5.2.1控制措施的选择3．选择控制措施的过程5.2.2标准中控制措施的描述结构14个方面114项信息安全控制措施ISO/IEC27001附录A信息安全控制措施域控制目标控制措施A5信息安全策略12（2）A6信息安全组织27（5+2）A7人力资源安全36（2+3+1）A8资产管理310（4+3+3）A9访问控制414（2+6+1+5）A10密码12（2）A11物理和环境安全215（6+9）A12运行安全714（4+1+1+4+1+2+1）A13通信安全27（3+4）A14系统获取、开发和维护313（3+9+1）A15供应商关系25（3+2）A16信息安全事件管理17（7）A17业务连续性管理的信息安全方面24（3+1）A18符合性28（5+3）合计351145.2.3控制目标与控制措施详述Ａ.5信息安全策略Ａ.5.1信息安全的管理方向Ａ.6信息安全组织Ａ.6.1内部组织Ａ.6.2移动设备和远程工作Ａ.7人力资源安全Ａ.7.1任用之前Ａ.7.2任用中Ａ.7.3任用的终止或变更Ａ.8资产管理Ａ.8.1对资产负责Ａ.8.2信息分类Ａ.8.3介质处置Ａ.9访问控制Ａ.9.1访问控制的业务要求Ａ.9.2用户访问管理Ａ.9.3用户职责Ａ.9.4系统和应用访问控制5.2.3控制目标与控制措施详述Ａ.10密码学Ａ.10.1密码控制Ａ.11物理和环境安全Ａ.11.1安全区域Ａ.11.2设备Ａ.12操作安全Ａ.12.1操作规程和职责Ａ.12.2恶意软件防护Ａ.12.3备份Ａ.12.4日志和监视Ａ.12.5运行软件的控制Ａ.12.6技术脆弱性管理Ａ.12.7信息系统审计考虑Ａ.13通信安全Ａ.13.1网络安全管理Ａ.13.2信息传递5.2.3控制目标与控制措施详述Ａ.14系统获取、开发和维护Ａ.14.1信息系统的安全要求Ａ.14.2开发和支持过程中的安全Ａ.14.3测试数据Ａ.15供应商关系Ａ.15.1供应商关系的信息安全Ａ.15.2供应商服务交付管理Ａ.16信息安全事件管理Ａ.16.1信息安全事件和改进的管理Ａ.17业务连续性管理的信息安全方面Ａ.17.1信息安全连续性Ａ.17.2冗余Ａ.18符合性Ａ.18.1符合法律和合同要求Ａ.18.2信息安全评审5.3网络安全等级保护安全要求5.3.1保护对象整体安全保护能力总体要求构建纵深的防御体系；采取互补的安全措施；保证一致的安全强度；建立统一的支撑平台；进行集中的安全管理。5.3.2安全要求的选择与使用5.3.2安全要求的选择与使用技术/管理分类安全控制点安全技术要求安全物理环境物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护安全通信网络网络架构通信传输可信验证5.3.2安全要求的选择与使用技术/管理分类安全控制点安全技术要求安全区域边界边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证安全计算环境身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护5.3.2安全要求的选择与使用技术/管理分类安全控制点安全管理要求安全管理中心系统管理审计管理安全管理集中管控安全管理制度安全策略管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查5.3.2安全要求的选择与使用技术/管理分类安全控制点安全管理要求安全管理人员人员录用人员离岗安全意识教育和培训外部人员访问管理安全建设管理定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商选择5.3.2安全要求的选择与使用技术/管理分类安全控制点安全管理要求安全运维管理环境管理资产管理介质管理设备维护管理漏洞和风险管理网络与系统安全管理恶意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维管理思考题（1）归纳“信息安全事件分类、分级的主要内容”。（2）叙