iso27001主任审核员培训.ppt

1、ISO27001 Lead Auditor Training Course,Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6 Updated on June 19, 2008,ISO27001 LA Training CourseDay 1,Shanghai Feb. 18, 2008,典型的信息安全事件,HW事件 HW到中东某国投标，、人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低 经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘 LM事件 LM一

2、直与中国军方关系密切，承接过国家级信息安全项目 骨干中一人离职出国，带出很多涉密文件，结果LM被封杀 艳照门 很傻很天真,什么叫管理体系,System Set of interrelated or interacting elements 体系 一系列相关关联相互作用的元素 Work systematically To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence 系统地工作 为保证工作效率，事情必须按合适的/可行的方法

3、进行组织，并以一定的顺序完成 Management System System to establish policy and objectives and to achieve those objectives 管理体系 建立方针和目标，并实现目标的体系,管理体系的4大要素,组织机构： 明确职责、权限 程序： 告诉相关人员怎么做 过程： 具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？ 资源： 可调配、使用的人员、设备等 培训,常见的管理体系,质量管理：ISO9001 环境管理：ISO14001 职业安全：OHSAS18001 社会责任：SA8000 信息安全：IS

4、O27001,什么是质量,质量3要素QCT 符合客户的要求（Q） 不能导致成本上升（C） 时间（T） 以上三个方面的平衡的结果就是质量,质量管理体系一览,国际标准 ISO9001 汽车行业（比ISO9001多了项目管理方面的要求） TS16949（汽车行业的质量管理体系） QS9000（美国的汽车行业标准） VDA6.1（德国大众的质量管理体系） 其他行业 ISO22000（食品行业） TL9000（通讯业） ISO20000（可称为IT业的服务质量标准） CMMI（适合软件研发和新技术开发）,信息安全的3要素,Confidentiality the property that informa

5、tion is made available or disclosed to unauthorized individuals, entities or processes 保密性 信息被获取或泄漏给未经授权的个人、实体或流程 Integrity the property of safeguarding the accuracy and completeness 完整性 保护资产准确和完整 Availability the property of being accessible and useable upon demand by an authorized entity 可用性 资产仅对授

6、权人员在需要的时候是可访问的或可用的,什么叫ISMS信息安全管理体系,Information 信息 信息是一种重要资产，对组织的业务非常关键。 信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。 Information Security信息安全 对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。,Information Security Management System信息安全管理体系 是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。 简单地说，是为了确保组

7、织信息的“三性”，设立的组织机构、程序、过程和资源。,step1,如果,ISMS和其他体系的联系和区别,联系 所有管理体系的共性（需要分析的5大要素）：人、机、料、法、环 区别 ISMS： %5的人：做95%的工作 %95的人：执行（需要接受培训）,本页及下页图片来源于BSI中国网站,ISMS适用的行业,以信息为生命线的行业： 金融行业：银行、保险、证券、基金、期货等 通信行业：电信、网通、移动、联通等 皮包公司：外贸、进出口、HR、猎头、会计师事务所等 对信息技术依赖度高的行业： 钢铁、半导体、物流 电力、能源 外包（ITO或BPO）：IT、软件、电信IDC、Call Center等 工艺技

8、术要求高、竞争对手渴望得到的： 医药、精细化工 研究机构,ISO27001, 20000 或目前的实践满足定义的需求的情况值得怀疑. A group of category 2 non-conformities indicating inadequate implementation of the system relevant to an element of the standard. 针对标准的某个条款一组轻微不符合事项发现,说明需求没有得到充分的实施. A category 2 non-conformity that is persistent shall be treated (up

9、-graded) as a category 1 non-conformity. 轻微不符合事项持续下去应该判断为严重不符合事项,不符合定义 by DNV,Category II (Minor) Non-Conformity轻微不符合 A lapse of either discipline or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will mee

10、t requirements. 系统或程序需求方面的一种过失,这种过失不说明体系的崩溃,或引起实践满足需求的怀疑.,不符合,Non-conformity 审核报告中必须附证据 一个不符合事项是没有符合一个要求、失败和证据（很烂的翻译） 要求 the requirement 失败 the failing 证据 the evidence 尽量不要开条款4.2,Source of the requirements: 法令/法规的要求 组织的过程和运营 时间规范 程序 作业指导书 客户要求 详细说明 时间规范 体系标准 组织的管理手册,What is an observation?,Potential

11、 problem Risk Inefficiency Ineffectiveness Failure to apply best practice Misunderstanding Lack of communication,Tips n,How to solve conflicts？ LA职责：主持、确认，解决冲突 找对方的CISO！ 对方可以找LA！ 两条重要的审核路线： 资产清单-风险评估 文件审核（按4.3.1要求） 要求有涉及信息安全的法律法规 发现缺失的文件太多，企业基础太差怎么办？ 列出缺失项，告诉对方 建议推迟审核,审核准备,启动阶段需要提前知道的： 企业简况 组织名称 地点

12、规模 审核范围 采用的标准（ISOXXXX） 组织结构图 审核时间 审核理由（第几方）,编制审核计划 公司多sites的抽样方法： 抽样数=地点数量开平方+1 制订审核计划，发送给客户请他们确认,Case Study: GetRich Bank,绘制Department-Roles Matrix Day1 高层访谈（15-30分钟了解高层关注的焦点问题） 审核前必须有一个opening meeting（30分钟） 练习：四人分两组，分别审核GetRich银行各个部门 每天审核结束前（4：00-4：30）开审核小组内部会议 审核小组同客户交流审核发现（4：30-5：00），确认当天的问题 Day

13、2 中午开close meeting,内部会议,由LA主持，审核师交流需要交接的内容，主要目的是合并共性的问题 总结归纳,准备审查清单（e.g.）,服务器的型号、购买时间、保修期、上门服务响应时间有记录吗？ 服务器硬件配置、供应商联系方式有更新吗？ 服务器上的所有软件安装清单、版本有记录吗？ 供应商提供的软硬件维修/维护有记录吗？ 服务器administrator/su密码由专人负责维护吗？ 服务器访问控制审计记录？ 对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级监控的系统弱点有监控吗？ 对服务器操作系统、支撑软件和数据库软件的关键更新（KB）、补丁（SP）和升级

14、时进行过测试吗？,准备审查清单-continued,审计失败的登录/存取日至的周期是多少？ 服务器上的外部USB端口是否禁用？ 通过什么方式监控服务器软件的漏洞，例如sql注入？ 服务器DOWN掉之后通常如何处理？处理流程？ 服务器上开放的端口共有几个？非常用端口的用途是什么？ 采用何种方式远程登录服务器？ 是否有服务器的系统备份？备份到哪里？ 多长时间检查一下登录服务器的帐户清单？各种帐户的权限是否满足ISMS的要求？ 如何处理服务器故障警报（磁盘、内存或最大并发数?),ISO27001 LA Training CourseDay 4,Shanghai Feb. 21, 2008,闪现的几道

15、题的答案,Policy ,经验,每年都需要审查到的条款：（经验） 4-8：每次都要审查到（每个部门都会涉及到） 资产清单 职责、权限 事故管理 BCP 法律法规 结束会议： 交流信息，交接希望与他人沟通的内容，归纳不符合项！ 对于不符合项，Close meeting之前就应该进行了确认！,Conduct an audit,Opening meeting 自我介绍/介绍对方 领导致词 LA要宣布和确认如下内容： 目的、适用标准和文件 关注焦点（不一定，之前和高层领导交流） 公司名称（最好包含部门） 范围、地点（子公司、分公司，核心部门的外延，如机房、异地备份中心） 审核计划 LA介绍 审核方法（

16、抽样2-3个，若有问题再加1-2个） 报告方法和不符合项的构成 沟通方式、各种会议介绍末次会议时间及安排 后勤事宜 有无特殊区域、特殊穿戴、装备要求？ LA作保密声明,审核技巧,Funnel technique漏斗技术 Open问题 What? How? Why? Closed问题 Who? Is it? Alternative Confirm: 抽样！ 审核开始时最好由对方多讲，从职责讲起 切记不要当tutor,GetRich Bank Organizational Chart,Just for training drawing,Also 末次会议,末次会议10分钟 之前有一个audit t

17、eam的会议，合并所有问题 感谢 通报审核结果 总结：优势和劣势 发现沟通/提问和确认发现 审核发现的行动要求（客户写原因，要有改进计划和证据） 签署确认书/定期审核安排（ 再次确认公司名称、地点） 保密要求,ISO27001 LA Training CourseDay 5,Shanghai Feb. 22, 2008,Prepare for examination,上午复习 下午准备考试,ISO27001主要条款一览,4 信息安全管理体系 4.1 总要求 4.2 建立和管理ISMS 4.2.1 建立ISMS 4.2.2 实施和运作ISMS 4.2.3 监控和评审ISMS 4.2.4 维护和改

18、进ISMS 4.3 文件要求 4.3.1 总则 4.3.2 文件控制 4.3.3 记录控制 5 管理职责 5.1 管理承诺 5.2 资源管理 5.2.1 提供资源 5.2.2 培训、意识和能力 6 信息安全管理体系内部审核 7 信息安全管理体系管理评审 7.1 总则 7.2 评审输入 7.3 评审输出 8 ISMS改进 8.1 持续改进 8.2 纠正措施 8.3 预防措施,A.5 信息安全策略 A.5.1 信息安全策略 A5.1.1 信息安全策略文件 （DOC） A5.1.2 信息安全策略评审（Reviewed） A.6 信息安全组织 A.6.1 内部组织 A.6.1.1 信息安全管理承诺 A

19、.6.1.2 信息安全协作 A.6.1.3 信息安全责任划分 A.6.1.4 信息处理设施授权过程 A.6.1.5 保密协议 A.6.1.6 与监管机构的联系 A.6.1.7 与特殊利益团体适当的联系 A.6.1.8 信息安全独立审查 A.6.2 外部组织 A.6.2.1 识别外部组织风险 A.6.2.2 当与客户接触时强调安全 A.6.2.3 在第三方协议中强调安全 A.7 资产管理 A.7.1 资产的责任 A.7.1.1 资产清单 A.7.1.2 资产所有权 A.7.1.3 资产的合理使用（DOC） A.7.2 信息分类 A.7.2.1 分类原则 A.7.2.2 信息标识及处理,A.8 人

20、力资源的安全 A.8.1 雇佣之前 （员工、合同人员、第三方人员） A.8.1.1 角色和职责 （DOC） A.8.1.2 人员筛选 （ 背景调查） A.8.1.3雇佣条款和条件 A.8.2 雇佣中 A.8.2.1 管理职责（员工、合同人员、第三方人员） A.8.2.2 信息安全意识、教育与培训 A.8.2.3 惩戒过程 A.8.3 雇佣终止和变更 A.8.3.1 终止责任 A.8.3.2 资产归还 A.8.3.3 删除访问权限 A.9 物理和环境安全 A.9.1 安全区域 A.9.1.1 物理安全边界 A.9.1.2 物理进入控制 A.9.1.3 办公室、房间及设施和安全 A.9.1.4防范

21、外部和环境威胁 A.9.1.5 在安全区域工作 A.9.1.6 公共访问和装卸区域 A.9.2设备安全 A.9.2.1 设备安置及保护,ISO27001主要条款一览,A.9.2.2 支持设施 A.9.2.3 电缆安全 A.9.2.4 设备维护 A.9.2.5 管辖区域外设备安全 A.9.2.6 设备报废或重用 A.9.2.7 财产转移 A.10 通讯与操作管理 A.10.1 操作程序及职责 A.10.1.1 文件化的操作程序 （） A.10.1.2 变更管理 A.10.1.3 职责分离 A.10.1.4 开发、测试与运营设施的分离 A.10.2 第三方服务交付管理 A.10.2.1 服务交付

22、A.10.2.2 第三方服务的监督和评审（Review） A.10.2.3 第三方服务的变更管理 A.10.3 系统规划和验收 A.10.3.1 容量管理 A.10.3.2 系统验收 （测试） A.10.4 防范恶意代码和移动代码 A.10.4.1 控制恶意代码 （病毒） A.10.4.2 控制移动代码 A.10.5 备份 A.10.5.1 信息备份 （Regularly）,A.10.6 网络安全管理 A.10.6.1 网络控制 A.10.6.2 网络服务安全 （网络服务级别） A.10.7 介质处理 A.10.7.1 可移动介质管理 A.10.7.2 媒体销毁 A.10.7.3 信息处理程序

23、 A.10.7.4 系统文档安全 A.10.8 信息交换 A.10.8.1 信息交换策略和程序 A.10.8.2 交换协议 A.10.8.3 物理介质传输 A.10.8.4 电子消息 A.10.8.5 业务信息系统 A.10.9电子商务 A.10.9.1 电子商务 A.10.9.2 在线交易 A.10.9.3 公共可用信息 A.10.10 监督 A.10.10.1 审核日志 A.10.10.2 监控系统的使用 A.10.10.3日志信息保护 A.10.10.4 管理员和操作员日志 A.10.10.5 错误日志 A.10.10.6 时钟同步,A.11 访问控制 A.11.1 访问控制的业务需求

24、A.11.1.1 访问控制策略 （DOC） A.11.2 用户访问管理 A.11.2.1 用户注册 A.11.2.2 特权管理 A.11.2.3 用户口令管理 A.11.2.4 用户访问权限的评审（Review） A.11.3 用户责任 A.11.3.1 口令使用 A.11.3.2无人值守的用户设备 A.11.3.3 清除桌面机屏幕策略 A.11.4 网络访问控制 A.11.4.1 网络服务使用策略 A.11.4.2 外部连接用户的鉴别（远程访问） A.11.4.3 网络设备的识别 A.11.4.4 远程诊断和配置端口保护 A.11.4.5 网内隔离 A.11.4.6 网络连接控制 A.11.

25、4.7网络路由控制 A.11.5 操作系统访问控制 A.11.5.1 安全登录程序 A.11.5.2 用户标识和鉴别 （唯一的UID） A.11.5.3 口令管理系统 A.11.5.4 系统设施的使用 A.11.5.5 会话超时 A.11.5.6 联机时间限制 A.11.6应用系统和信息访问控制 A.11.6.1 信息访问限制 A.11.6.2 敏感系统隔离,ISO27001主要条款一览,A.11.7 移动计算和远程工作 A.11.7.1 移动计算和通讯 A.11.7.2 远程工作 A.12 信息系统采集、开发及维护 A.12.1 信息系统安全要求 A.12.1.1安全要求分析及规范 A.12.2 应用程序中的正确处理 A.12.2.1 输入数据验证 A.12.2.2 内部处理控制 A.12.2.3 消息完整性 A.12.2.4 输出