某公司信息安全管理體系基礎(chǔ)培訓(xùn)教材

中遠網(wǎng)絡(luò)(北京)有限公司信息安全管理體系基礎(chǔ)培訓(xùn)北京安言信息技術(shù)有限公司歡迎您參加這次《信息安全管理體系基礎(chǔ)知識》培訓(xùn)班，本課程是我們特意為北京中遠網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實踐，以便更好地開展即將啟動的項目。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。關(guān)于課程內(nèi)容及授課效果的意見和建議，請及時反饋給我們，以便我們改進自身工作。再次歡迎您的參與，真誠感謝您的支持與合作！我們的目標理解信息、信息安全和信息安全管理理解信息安全風(fēng)險評估與風(fēng)險管理理解779927001標準本身的條款內(nèi)容掌握一種實施的方法和途徑了解27001認證的完整過程用27001指導(dǎo)企業(yè)進行信息安全的各項活動第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望內(nèi)容目錄積極參與，小組討論，活躍氣氛遵守時間請將移動電話設(shè)置為震動有問題請隨時提出課堂注意事項讓我們開始吧！什么是信息？什么是信息安全？為什么要強調(diào)信息安全管理？怎樣做好信息安全管理？什么是779927001？779927001對信息安全管理有什么指導(dǎo)意義？信息安全管理體系如何認證？需要首先搞清楚的幾個問題第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望什么是信息？信息安全概述什么是信息？消息、信號、數(shù)據(jù)、情報和知識信息本身是無形的，借助于信息媒體以多種形式存在或傳播：存儲在計算機、磁帶、紙張等介質(zhì)中記憶在人的大腦里通過網(wǎng)絡(luò)、打印機、傳真機等方式進行傳播信息借助媒體而存在，對現(xiàn)代企業(yè)來說具有價值，就成為信息資產(chǎn)：計算機和網(wǎng)絡(luò)中的數(shù)據(jù)硬件、軟件、文檔資料關(guān)鍵人員組織提供的服務(wù)具有價值的信息資產(chǎn)面臨諸多威脅，需要妥善保護有價值的內(nèi)容——9000信息安全概述企業(yè)信息安全管理關(guān)注的信息類型內(nèi)部信息組織不想讓其競爭對手知道的信息客戶信息顧客/客戶不想讓組織泄漏的信息共享信息需要與其他業(yè)務(wù)伙伴分享的信息信息安全概述信息的處理方式創(chuàng)建傳遞銷毀存儲使用更改信息安全概述什么是信息安全？信息安全概述采取措施保護信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運行的連續(xù)性。信息安全概述信息安全的發(fā)展歷史20世紀60年代前60年代到80年代20世紀80年代末以后電話、電報、傳真強調(diào)的是信息的保密性對安全理論和技術(shù)的研究只側(cè)重于密碼學(xué)通信安全，即計算機軟硬件極大發(fā)展關(guān)注保密性、完整性和可用性目標信息安全，即代表性成果是美國的和歐洲的測評標準互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，信息無論是對內(nèi)還是對外都得到極大開放信息安全從中又衍生出可控性、抗抵賴性、真實性等特性，并且從單一的被動防護向全面而動態(tài)的防護、檢測、響應(yīng)、恢復(fù)發(fā)展信息保障（），從整體角度考慮安全體系建設(shè)美國的規(guī)范信息安全概述CIAonfidentialityntegrityvailability信息安全基本目標信息安全概述企業(yè)重大泄密事件屢屢發(fā)生信息安全概述敏感信息遭受篡改也會導(dǎo)致惡劣后果信息安全概述破壞導(dǎo)致系統(tǒng)癱瘓后果非常嚴重信息安全概述C保密性（）——確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w。完整性（）——確保信息在存儲、使用、傳輸過程中不會被非授權(quán)篡改，防止授權(quán)用戶或?qū)嶓w不恰當?shù)匦薷男畔ⅲ３中畔?nèi)部和外部的一致性。可用性（）——確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。三元組是信息安全的目標，也是基本原則，與之相反的是三元組：.和.IADisclosureAlterationDestruction泄漏破壞篡改信息安全概述機密性

可用性

完整性信息安全概述其他概念和原則私密性（）——個人和組織控制私用信息采集、存儲和分發(fā)的權(quán)利。身份識別（）——用戶向系統(tǒng)聲稱其真實身份的方式。身份認證（）——測試并認證用戶的身份。授權(quán)（）——為用戶分配并校驗資源訪問權(quán)限的過程?？勺匪菪裕ǎ_認系統(tǒng)中個人行為和活動的能力?？沟仲囆裕ǎ_保信息創(chuàng)建者就是真正的發(fā)送者的能力。審計（）——對系統(tǒng)記錄和活動進行獨立復(fù)查和審核，確保遵守性信息安全概述信息安全的重要性信息作為資產(chǎn)，就像其他重要的商務(wù)資產(chǎn)那樣，有價值，因而要妥善保護信息安全是國家安全的需要信息安全是維持組織競爭優(yōu)勢、贏利能力、守法性和企業(yè)形象的保障之一信息安全是保護個人隱私與財產(chǎn)的需要許多組織都曾面臨過嚴重的威脅，包括基于計算機的欺詐和蓄意破壞現(xiàn)在，組織又面臨更復(fù)雜的威脅，例如計算機病毒、黑客和拒絕服務(wù)攻擊網(wǎng)絡(luò)技術(shù)的高速發(fā)展增加了對計算機系統(tǒng)未授權(quán)訪問的機會組織跨地區(qū)分布，集中式的、專家控制為主的信息安全管理系統(tǒng)比較困難許多信息系統(tǒng)的設(shè)計本身就不安全通過技術(shù)手段獲得的安全是有限的，還應(yīng)該通過恰當?shù)墓芾砗统绦騺碇С中畔踩攀龇煞ㄒ?guī)與合同要求組織原則目標和業(yè)務(wù)需要風(fēng)險評估的結(jié)果從什么方面考慮信息安全？信息安全概述常規(guī)的技術(shù)措施物理安全技術(shù)：環(huán)境安全、設(shè)備安全、媒體安全系統(tǒng)安全技術(shù)：操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)的安全性網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)隔離、訪問控制、、入侵檢測、掃描評估應(yīng)用安全技術(shù)：安全、訪問安全、內(nèi)容過濾、應(yīng)用系統(tǒng)安全數(shù)據(jù)加密技術(shù)：硬件和軟件加密，實現(xiàn)身份認證和數(shù)據(jù)信息的特性認證授權(quán)技術(shù)：口令認證、認證（例如）、證書認證等訪問控制技術(shù)：防火墻、訪問控制列表等審計跟蹤技術(shù)：入侵檢測、日志審計、辨析取證防病毒技術(shù)：單機防病毒技術(shù)逐漸發(fā)展成整體防病毒體系災(zāi)難恢復(fù)和備份技術(shù)：業(yè)務(wù)連續(xù)性技術(shù)，前提就是對數(shù)據(jù)的備份信息安全概述防火墻網(wǎng)絡(luò)入侵檢測病毒防護主機入侵檢測漏洞掃描評估VPN通道訪問控制信息安全概述有沒有更好的途徑？信息安全概述信息安全管理信息安全的成敗取決于兩個因素：技術(shù)和管理。安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。信息安全管理（）是組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)?，F(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。信息安全管理的核心就是風(fēng)險管理。信息安全概述信息安全管理面臨的一些問題國家的信息安全法律法規(guī)體系建設(shè)還不是很完善組織缺乏信息安全意識和明確的信息安全策略對信息安全還持有傳統(tǒng)的認識，即重技術(shù)，輕管理安全管理缺乏系統(tǒng)管理的思想，還是就事論事式的靜態(tài)管理信息安全概述調(diào)查顯示有8成企業(yè)安全管理不理想信息安全概述各行業(yè)安全管理狀況都不容樂觀信息安全概述安全管理各方面能力都很低下信息安全概述信息安全管理應(yīng)該是體系化的信息安全必須從整體去考慮，必須做到“有計劃有目標、發(fā)現(xiàn)問題、分析問題、采取措施解決問題、后續(xù)監(jiān)督避免再現(xiàn)”這樣的全程管理的路子這就是信息安全管理體系，它應(yīng)該成為組織整體經(jīng)營管理體系的一部分務(wù)必重視信息安全管理加強信息安全建設(shè)工作信息安全概述怎樣實現(xiàn)信息安全？信息安全概述通常的信息安全建設(shè)方法采購各種安全產(chǎn)品，由產(chǎn)品廠商提供方案：防病毒，防火墻，，，等通常由部門的技術(shù)人員兼職負責日常維護，甚至根本沒有日常維護這是一種以產(chǎn)品為核心的信息安全解決方案這種方法存在眾多不足：難以確定真正的需求：保護什么？保護對象的邊界？保護到什么程度？管理和服務(wù)跟不上，對采購產(chǎn)品運行的效率和效果缺乏評價通常用漏洞掃描代替風(fēng)險評估，對風(fēng)險的認識很不全面這種方法是“頭痛醫(yī)頭，腳痛醫(yī)腳”，很難實現(xiàn)整體安全不同廠商、不同產(chǎn)品之間的協(xié)調(diào)也是難題信息安全概述真正有效的方法技術(shù)和產(chǎn)品是基礎(chǔ)，管理才是關(guān)鍵產(chǎn)品和技術(shù)，要通過管理的組織職能才能發(fā)揮最佳作用技術(shù)不高但管理良好的系統(tǒng)遠比技術(shù)高超但管理混亂的系統(tǒng)安全先進、易于理解、方便操作的安全策略對信息安全至關(guān)重要建立一個管理框架，讓好的安全策略在這個框架內(nèi)可重復(fù)實施，并不斷得到修正，就會擁有持續(xù)安全根本上說，信息安全是個管理過程，而不是技術(shù)過程信息安全概述對信息安全的正確認識安全不是產(chǎn)品的簡單堆積，也不是一次性的靜態(tài)過程，它是人員、技術(shù)、操作三者緊密結(jié)合的系統(tǒng)工程，是不斷演進、循環(huán)發(fā)展的動態(tài)過程信息安全概述基于風(fēng)險分析的安全管理方法信息安全管理是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動。制定信息安全策略方針風(fēng)險評估和管理控制目標和方式選擇風(fēng)險控制安全保證信息安全策略方針為信息安全管理提供導(dǎo)向和支持?？刂颇繕伺c控制方式的選擇應(yīng)該建立在風(fēng)險評估的基礎(chǔ)上?？紤]控制成本與風(fēng)險平衡的原則，將風(fēng)險降低到組織可接受的水平。對風(fēng)險實施動態(tài)管理。需要全員參與。遵循管理的一般模式——模型。信息安全概述安全管理模型——根據(jù)風(fēng)險評估結(jié)果、法律法規(guī)要求、組織業(yè)務(wù)運作自身需要來確定控制目標與控制措施。實施所選的安全控制措施。針對檢查結(jié)果采取應(yīng)對措施，改進安全狀況。依據(jù)策略、程序、標準和法律法規(guī)，對安全措施的實施情況進行符合性檢查。信息安全概述7799定義的信息安全管理體系建立一個信息安全管理框架評估安全風(fēng)險選擇并實施控制信息安全管理體系ISMS設(shè)定信息安全的方向和目標，定義管理層承諾的策略確定安全需求根據(jù)需求采取措施消減風(fēng)險，以實現(xiàn)既定安全目標信息安全概述必須明確的內(nèi)容要保護的資產(chǎn)控制目標和控制措施需要保證的程度風(fēng)險管理的途徑信息安全概述實施的過程定義的范圍定義策略定義一個系統(tǒng)化的風(fēng)險管理途徑識別風(fēng)險評估風(fēng)險識別并評價風(fēng)險處理的可選方案選擇控制目標和控制措施，以便處理風(fēng)險準備適用性聲明（）獲得管理層批準信息安全概述是一個文檔化的體系對管理框架的概括包括策略、控制目標、已實施的控制措施、適用性聲明（）各種程序文件實施控制措施并描述責任和活動的程序文件覆蓋了管理和運行的程序文件證據(jù)能夠表明組織按照7799要求采取相應(yīng)步驟而建立了管理框架各種：在操作過程當中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性信息安全概述實施的關(guān)鍵成功因素（）安全策略、目標和活動應(yīng)該反映業(yè)務(wù)目標有一種與組織文化保持一致的實施、維護、監(jiān)督和改進信息安全的途徑來自高級管理層的明確的支持和承諾深刻理解安全需求、風(fēng)險評估和風(fēng)險管理向所有管理者和員工有效地推廣安全意識向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標準為信息安全管理活動提供資金支持提供適當?shù)呐嘤?xùn)和教育建立有效的信息安全事件管理流程建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進信息安全概述第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望英國標準協(xié)會（）英國標準學(xué)會（，）著名的9000、14000、177997799等標準的編寫機構(gòu)

英國標準學(xué)會（）是世界上最早的全國性標準化機構(gòu)，它受政府控制但得到了政府的大力支持。不斷發(fā)展自己的工作隊伍，完善自己的工作機構(gòu)和體制，把標準化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作的宗旨：1.為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進生產(chǎn)，達到標準化（包括簡化）

2.制定和修訂英國標準，并促進其貫徹執(zhí)行

3.以學(xué)會名義，對各種標志進行登記，并頒發(fā)許可證

4.必要時采取各種行動，保護學(xué)會利益7799簡介國際標準化組織（）國際標準化組織（，）國際標準化組織是世界上最大的非政府性標準化專門機構(gòu)，它在國際標準化中占主導(dǎo)地位。的主要活動是制定國際標準，協(xié)調(diào)世界范圍內(nèi)的標準化工作，組織各成員國和技術(shù)委員會進行報交流，以及與其他國際性組織進行合作，共同研究有關(guān)標準問題。隨著國際貿(mào)易的發(fā)展，對國際標準的要求日益提高，的作用也日趨擴大，世界上許多國家對也越加重視。的目的和宗旨是：在世界范圍內(nèi)促進標準化工作的發(fā)展，以利于國際物資交流和互助，并擴大在知識、科學(xué)、技術(shù)和經(jīng)濟方面的合作。7799簡介什么是7799？英國標準協(xié)會（，）制定的信息安全標準。由信息安全方面的最佳慣例組成的一套全面的控制集。信息安全管理方面最受推崇的國際標準。7799簡介7799的目的"為信息安全管理提供建議，供那些在其機構(gòu)中負有安全責任的人使用。它旨在為一個機構(gòu)提供用來制定安全標準、實施有效的安全管理時的通用要素，并得以使跨機構(gòu)的交易得到互信"。7799簡介7799的歷史沿革1990年代初——英國貿(mào)工部（）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。1993年9月——頒布《信息安全管理實施細則》，形成7799的基礎(chǔ)。1995年2月——首次出版7799-1:1995《信息安全管理實施細則》。1998年2月——英國公布7799-2:《信息安全管理體系規(guī)范》。1999年4月——7799-1與7799-2修訂后重新發(fā)布。2000年12月——國際標準組織127工作組認可通過7799-1，頒布17799:2000《信息技術(shù)——信息安全管理實施細則》。2002年9月——對7799-2進行了改版，用來替代原標準（7799-2:1999）使用。2005年6月——17799:2000改版，成為17799:2005。2005年10月——正式采用7799-2:2002，命名為27001:2005。7799簡介7799的發(fā)展現(xiàn)狀7799技術(shù)委員會是2，成員包括：金融服務(wù)：英國保險協(xié)會，渣打會計協(xié)會，匯豐銀行等通信行業(yè)：大英電訊公司等零售業(yè)：國際組織：殼牌，聯(lián)合利華，畢馬威（）等目前除英國之外，國際上已有荷蘭（20003）、丹麥和瑞典（627799）、挪威、芬蘭、澳大利亞和新西蘭（4444）、南非、巴西、日本（X5080）等國采用7799。我國的臺灣、香港地區(qū)也在推廣該標準。日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在7799認證方面表現(xiàn)積極。全球目前有2000多家機構(gòu)通過了779927001認證，涉及政府機構(gòu)、銀行、保險公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國公司。（可查詢）目前大陸地區(qū)通過信息安全管理體系認證的有近30家。7799簡介截至2006年初，全球通過779927001認證的有2000多家機構(gòu)7799簡介7799認證的發(fā)展趨勢圖此圖摘自2003年2月前到2005年底7799簡介建立并通過認證的意義可以強化員工的信息安全意識，規(guī)范組織信息安全行為。對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。在信息系統(tǒng)受到侵害時，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。向貿(mào)易伙伴證明對信息安全的承諾，使貿(mào)易伙伴和客戶對組織充滿信心。如果通過體系認證，表明組織的信息安全體系符合標準，證明組織有能力保障重要信息，提高組織的知名度與信任度。促使管理層堅持貫徹信息安全保障體系。7799簡介1779927001的內(nèi)容框架17799：源自7799-1。工具包，體現(xiàn)了三分技術(shù)七分管理的思想27001：源自7799-2?？蚣荏w系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案安全策略Securitypolicy人力資源安全Humanresourcessecurity物理與環(huán)境安全Physicalandenvironmentalsecurity通信與操作管理Communicationsandoperationsmanagement信息系統(tǒng)獲取、開發(fā)和維護Informationsystemsacquisition,developmentandmaintenance組織信息安全Organizinginformationsecurity資產(chǎn)管理Assetmanagement訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務(wù)連續(xù)性管理Businesscontinuitymanagement符合性Compliance7799簡介新版本的變化特點17799:2005從10個域變到11個域，增加了“信息安全事件管理”去掉了9項控制，增加了17項控制，一共有133項控制加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求7799-2:200227001:2005（略做修改）附錄引向17799:2005原來的條款6（管理評審）分成現(xiàn)在的6（內(nèi)審）、7（管理評審）兩個部分17799:200019716:20057799簡介ISO17799PeopleCISOSecurityISOSSOSecurityOrganisationProceduresIncidentHandlingIncidentReportingDisasterRecoveryRiskAssessmentBusinessContinuityPlanPoliciesSecurityPolicy7799的輸出結(jié)果7799簡介其他類似或相關(guān)的標準規(guī)范17498-2（9387-2,1995）1989年組織制定的《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》，該標準對安全服務(wù)及相關(guān)機制進行了一般描述15408（18336,2001，即標準）1993年6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了標準，最終將其推進到國際標準。的目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標準（21827）美國國家安全局（）于1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善安全工程的根本保證

美國國家安全局（）制定的，為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南13569銀行和相關(guān)金融服務(wù)信息安全指南7799簡介其他類似或相關(guān)的標準規(guī)范2提供了一組關(guān)于7799的系列指導(dǎo)文件（3000系列）：3001–77993002–3003–“a7799?”3004–77993005–77994444澳大利亞和新西蘭等同采用的7799（后來，根據(jù)17799:2000頒布了17799:2001，根據(jù)7799-2:2002又頒布了7799.2:2003）4360澳大利亞和新西蘭自己的信息安全管理標準13335即安全管理指南（，），分5個部分。是信息安全管理方面的指導(dǎo)性標準，專注于領(lǐng)域，并不用于審計和認證7799簡介第一部分信息安全概述779927001簡介信息安全管理體系認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望選擇認證機構(gòu)信息安全管理體系認證明確認證的范圍定義認證范圍是讓認證機構(gòu)和審核員確定評估程序的基礎(chǔ)。定義認證范圍時，組織應(yīng)該考慮：文檔化的適用性聲明組織的相關(guān)活動要包括在內(nèi)的組織范圍地理位置信息系統(tǒng)邊界、平臺和應(yīng)用包括在內(nèi)的支持活動排除在外的因素認證機構(gòu)在展開認證過程之前將與組織在認證范圍上達成一致意見。信息安全管理體系認證認證之前做好準備進行27001認證之前，組織可以參照以下檢查列表來做準備：董事會和管理層的簽署承諾已簽署并發(fā)布的安全策略文檔已識別的資產(chǎn)風(fēng)險評估的結(jié)果文檔已作出的風(fēng)險管理決策已識別的可用控制文檔化的適用性聲明文檔化的業(yè)務(wù)連續(xù)性計劃，并得到了實施和測試文檔化的程序，并且發(fā)布和實施確定有效性的內(nèi)部復(fù)審信息安全管理體系認證認證過程選擇受認可的認證機構(gòu)Phase1：文檔審核Phase2：現(xiàn)場審查維持認證組織應(yīng)該向認證機構(gòu)提供必要的信息復(fù)審風(fēng)險評估文檔、安全策略和適用性聲明復(fù)審ISMS的其他文檔ISMS的實施情況，符合性審查風(fēng)險管理決策的基礎(chǔ)組織被授予證書后，審核組每年都會對其ISMS符合性進行檢查。證書三年有效，之后需要再次認證。組織必須向認證機構(gòu)通報任何變化。預(yù)審（Pre-assessment）可選信息安全管理體系認證文檔審核一般來說都是現(xiàn)場進行的審核框架，以考查其是否符合27001的4-8部分的要求查看策略、范圍、風(fēng)險評估、風(fēng)險管理、控制選擇和適用性聲明相關(guān)的文件審核員或許不會非常深入地查看特定程序文件的細節(jié)，但卻期望能直接在標準、程序和工作指導(dǎo)書上簽署意見符合性審核對來自文檔審核階段的不符合項進行究根問底審核抽樣，以驗證底實施和操作審核小組組長會提交一個建議，但并不做最終認證決策對于審核期間記錄在案的不符合項，組織必須在一個月之內(nèi)采取糾正性措施信息安全管理體系認證信息安全管理體系認證實施7799認證項目的建議過程信息安全管理體系認證成功的關(guān)鍵因素安全策略、目標和活動應(yīng)該反映業(yè)務(wù)目標實施信息安全的方法應(yīng)該與組織的文化保持一致來自高級管理層的明確的支持和承諾深刻理解安全需求、風(fēng)險評估和風(fēng)險管理向所有管理者和員工有效地推廣安全意識信息安全管理體系認證成功的關(guān)鍵因素（續(xù)）向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標準為信息安全管理活動提供資金支持提供適當?shù)呐嘤?xùn)和教育建立有效的信息安全事件管理流程建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進信息安全管理體系認證第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望風(fēng)險風(fēng)險管理（）就是以可接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全風(fēng)險的過程。在信息安全領(lǐng)域，風(fēng)險（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負面影響的潛在可能性。風(fēng)險評估風(fēng)險管理風(fēng)險評估（）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。風(fēng)險評估與管理風(fēng)險評估和管理的目標低影響高可能性高影響高可能性高影響低可能性低影響低可能性威脅帶來的影響威脅發(fā)生的可能性目標采取有效措施，降低威脅事件發(fā)生的可能性，或者減小威脅事件造成的影響，從而將風(fēng)險消減到可接受的水平。風(fēng)險評估與管理風(fēng)險RISKRISKRISKRISK風(fēng)險基本的風(fēng)險采取措施后剩余的風(fēng)險資產(chǎn)威脅漏洞資產(chǎn)威脅漏洞風(fēng)險管理目標更形象的描述風(fēng)險評估與管理絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。絕對的安全是不存在的！在計算機安全領(lǐng)域有一句格言：“真正安全的計算機是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)。”顯然，這樣的計算機是無法使用的。風(fēng)險評估與管理關(guān)鍵是實現(xiàn)成本利益的平衡安全控制的成本安全事件的損失最小化的總成本低高高安全成本/損失所提供的安全水平風(fēng)險評估與管理與風(fēng)險管理相關(guān)的概念資產(chǎn)（）——任何對組織具有價值的東西，包括計算機硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息服務(wù)和人員等，所有這些資產(chǎn)都需要妥善保護。威脅（）——可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（）或威脅代理（）。弱點（）——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。風(fēng)險（）——特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。可能性（）——對威脅發(fā)生幾率（）或頻率（）的定性描述。影響（）——后果（），意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。安全措施（）——控制措施（）或?qū)Σ撸ǎ?，即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風(fēng)險的機制、方法和措施。殘留風(fēng)險（）——在實施安全措施之后仍然存在的風(fēng)險。風(fēng)險評估與管理安全措施安全需求防范采取提出減少威脅弱點資產(chǎn)資產(chǎn)價值利用導(dǎo)致導(dǎo)致暴露增加具有風(fēng)險風(fēng)險要素關(guān)系模型風(fēng)險評估與管理風(fēng)險管理概念的公式化描述Risk=AssetValue×ThreatVulnerability×ResidualRisk=AssetValue×ThreatVulnerability××ControlGap（）風(fēng)險評估與管理風(fēng)險管理過程識別并評價資產(chǎn)識別并評估威脅識別并評估弱點現(xiàn)有控制確認評估風(fēng)險（測量與等級劃分）接受保持現(xiàn)有控制選擇控制目標和控制方式制定/修訂適用性聲明實施選定的控制YesNo確認并評估殘留風(fēng)險定期評估風(fēng)險評估風(fēng)險消減風(fēng)險接受風(fēng)險管理風(fēng)險評估與管理定量與定性風(fēng)險評估方法定性風(fēng)險分析優(yōu)點計算方式簡單，易于理解和執(zhí)行不必精確算出資產(chǎn)價值和威脅頻率不必精確計算推薦的安全措施的成本流程和報告形式比較有彈性缺點本質(zhì)上是非常主觀的，其結(jié)果高度依賴于評估者的經(jīng)驗和能力，很難客觀地跟蹤風(fēng)險管理的效果對關(guān)鍵資產(chǎn)財務(wù)價值評估參考性較低并不能為安全措施的成本效益分析提供客觀依據(jù)定量風(fēng)險分析優(yōu)點評估結(jié)果是建立在獨立客觀地程序或量化指標之上的可以為成本效益審核提供精確依據(jù)，有利于預(yù)算決策量化的資產(chǎn)價值和預(yù)期損失易理解可利用自動化工具幫助分析缺點信息量大，計算量大，方法復(fù)雜沒有一種標準化的知識庫，依賴于提供工具或?qū)嵤┱{(diào)查的廠商投入大，費時費力定量風(fēng)險評估：試圖從數(shù)字上對安全風(fēng)險進行分析評估的一種方法。定性風(fēng)險評估：憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標準和慣例，為風(fēng)險管理諸要素的大小或高低程度定性分級。風(fēng)險評估與管理識別并評估信息資產(chǎn)數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序?qū)嵨镔Y產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所人員：承擔特定職能和責任的人員服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)，例如供暖、照明、水電、等組織形象與聲譽：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn)信息資產(chǎn)價值評估標準高（3）：非常重要，缺了這個資產(chǎn)（的喪失），業(yè)務(wù)活動將中斷并且遭受不可挽回的損失中（2）：比較重要，缺了這個資產(chǎn)（的喪失或受損），業(yè)務(wù)活動將被迫延緩，造成明顯損失低（1）：不太重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上不受影響風(fēng)險評估與管理識別并評估威脅人員威脅：故意破壞和無意失誤系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等自然威脅：洪水、地震、臺風(fēng)、雷電等威脅可能性評估標準高（3）：非?？赡?，在業(yè)務(wù)活動持續(xù)期間，時刻都有可能出現(xiàn)中（2）：比較可能，在業(yè)務(wù)活動持續(xù)期間，有可能多次出現(xiàn)低（1）：不太可能，在業(yè)務(wù)活動持續(xù)期間，不大可能出現(xiàn)風(fēng)險評估與管理識別并評估弱點技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。弱點嚴重性評估標準高（3）：很容易被利用中（2）：可被利用，但不是太容易低（1）：基本上不可能被利用風(fēng)險評估與管理人最常犯的一些錯誤將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，泄漏敏感信息隨便在服務(wù)器上接，或者隨意將服務(wù)器連入網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題風(fēng)險評估與管理風(fēng)險場景：一個個人經(jīng)濟上存在問題的公司職員（公司并不了解這一點）有權(quán)獨立訪問某類高敏感度的信息，他可能竊取這些信息并賣給公司的競爭對手。確定風(fēng)險因子：后果為2，弱點值為3，威脅值為3評估風(fēng)險：套用風(fēng)險分析矩陣，該風(fēng)險被定為高風(fēng)險（18）應(yīng)對風(fēng)險：根據(jù)公司風(fēng)險評估計劃中確定的風(fēng)險接受水平，應(yīng)該對該風(fēng)險采取措施予以消減。風(fēng)險評價示例

風(fēng)險可能性威脅值123弱點值123123123風(fēng)險影響/資產(chǎn)價值1123246369224648126121833696121891827風(fēng)險評估與管理第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望提供了一套由最佳實踐構(gòu)成的控制目標和控制，涉及11個方面，包括39個控制目標和133項控制措施,可作為參考文件使用，但并不是認證評審的依據(jù)。ISO17799:2005安全策略組織信息安全資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息系統(tǒng)獲取、開發(fā)和維護信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性17799:2005信息安全管理實施細則11個方面39個目標133個控制措施10個方面36個目標127個控制措施對比17799:2000老版……17799:2005信息安全管理實施細則“.,.a..a,,a.”并不是所有此處描述的控制都與各種環(huán)境相關(guān)，這里并沒有考慮本地系統(tǒng)、環(huán)境或者技術(shù)性的約束，不大可能以一種適合組織內(nèi)部各類潛在用戶的形式展現(xiàn)。因此，還需要通過進一步的指導(dǎo)方針來補充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。17799:2005信息安全管理實施細則法律要求和最佳實踐控制措施與法律相關(guān)的控制措施：知識產(chǎn)權(quán)（）：遵守知識產(chǎn)權(quán)保護和軟件產(chǎn)品保護的法律（15.1.2）保護組織的記錄：保護重要的記錄不丟失、破壞和偽造（15.1.3）數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律（15.1.4）與最佳實踐相關(guān)的控制措施：信息安全策略文件：高管批準發(fā)布信息安全策略文件，并廣泛告知（5.1.1）信息安全責任的分配：清晰地定義所有的信息安全責任（6.1.3）信息安全意識、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當?shù)囊庾R培訓(xùn)（8.2.2）正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、損壞或被非授權(quán)篡改及誤用（12.2）漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞（12.6）管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件（13.2）業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事件或災(zāi)難影響（14）盡管選擇以上控制是信息安全很好的起點，但還是不能代替基于風(fēng)險評估選擇合適的安全控制。17799:2005信息安全管理實施細則5安全策略5.1信息安全策略5.1.1信息安全策略文件5.1.2信息安全策略復(fù)查目標：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。17799:2005信息安全管理實施細則信息安全策略的定義信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程。策略方針的目的和意義為組織提供了關(guān)注的焦點，指明了方向，確定了目標確保信息安全管理體系被充分理解和貫徹實施統(tǒng)領(lǐng)整個信息安全管理體系方針文件的內(nèi)容信息安全的定義、整體目標和范圍；對管理層支持信息安全目標和原則的意圖的聲明和承諾；建立控制目標和控制的框架，包括風(fēng)險評估和風(fēng)險管理的框架；對安全策略、原則、標準以及符合性需求的簡單說明；信息安全管理責任，包括報告安全事件；對策略支持文檔的引用參考；由管理者批準，正式發(fā)布，并得到全員貫徹。安全策略的復(fù)查策略應(yīng)有一個屬主，負責按復(fù)查程序維護和復(fù)查該策略。如果發(fā)生任何影響最初風(fēng)險評估基礎(chǔ)的變化，都應(yīng)復(fù)查策略。也應(yīng)定期復(fù)查安全策略。策略復(fù)審應(yīng)該考慮到管理評審的結(jié)果17799:2005信息安全管理實施細則要點提示用最簡單、明確的語言直擊主題保持與具體規(guī)范、指南、記錄等文件的區(qū)別信息安全策略應(yīng)該人手一份，并保證充分理解要定期評審和修訂17799:2005信息安全管理實施細則信息安全策略體系的層次性方針Policy程序Procedure標準Standard強制性指南Guideline建議性基線Baseline最低標準目標要求具體步驟實現(xiàn)方法戰(zhàn)略層次戰(zhàn)術(shù)層次戰(zhàn)役層次17799:2005信息安全管理實施細則最高方針示例6組織信息安全6.1內(nèi)部組織6.1.1管理層對信息安全的責任6.1.2信息安全協(xié)調(diào)機制6.1.3分派信息安全責任6.1.4信息處理設(shè)施的批準程序6.1.5保密協(xié)議6.1.6保持和權(quán)威機構(gòu)的聯(lián)系6.1.7保持和專業(yè)團隊聯(lián)系6.1.8對信息安全做獨立評審目標：在組織內(nèi)建立發(fā)起和控制信息安全實施的管理框架。6.2外部伙伴6.2.1識別與外部伙伴相關(guān)的風(fēng)險6.2.2和客戶交往時注意安全6.2.3在第三方協(xié)議中注明安全目標：維護被外部伙伴訪問、處理和管理的組織的信息處理設(shè)施和信息資產(chǎn)的安全。17799:2005信息安全管理實施細則組織應(yīng)該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內(nèi)部信息安全的實施。信息安全管理委員會外部安全專家信息安全獨立評審信息安全管理框架權(quán)威機構(gòu)17799:2005信息安全管理實施細則識別與外部伙伴相關(guān)的風(fēng)險外部伙伴可能包括：服務(wù)提供商（例如、網(wǎng)絡(luò)和通信服務(wù)、維護和支持服務(wù)提供商等），管理安全服務(wù)（）客戶外包服務(wù)（系統(tǒng)設(shè)施和運維、數(shù)據(jù)采集、呼叫中心）管理和業(yè)務(wù)咨詢顧問、審計師軟件產(chǎn)品和系統(tǒng)的開發(fā)者和供應(yīng)商保潔快餐等外部服務(wù)臨時工、短期兼職人員等如果需要讓外部伙伴訪問組織的信息處理設(shè)施或信息，有必要先做一次風(fēng)險評估，找到特別的安全控制需求。應(yīng)該考慮到是物理訪問，還是邏輯訪問，是現(xiàn)場訪問還是非現(xiàn)場訪問。還應(yīng)考慮需要訪問哪些設(shè)施和信息？信息的價值，必要的控制，授權(quán)以及監(jiān)督方式，出錯可能造成的影響，對安全事件的響應(yīng)，法律法規(guī)等。在沒有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問。應(yīng)該讓外部伙伴意識到其責任和必須遵守的規(guī)定。17799:2005信息安全管理實施細則在第三方協(xié)議中體現(xiàn)安全信息安全方針用來保護資產(chǎn)的各種控制措施描述將被提供的產(chǎn)品和服務(wù)確保用戶意識到信息安全責任對人員調(diào)換做出規(guī)定硬件和軟件安裝及維護的責任清晰的結(jié)構(gòu)和格式變更管理流程任何必要的物理保護措施和機制訪問控制策略：允許的訪問方法，授權(quán)流程，禁止聲明信息安全事件及問題處理機制期望的及監(jiān)督報告機制監(jiān)督、撤銷等權(quán)利，審計責任約定法律責任知識產(chǎn)權(quán)保護中止或重新協(xié)商協(xié)議的條件17799:2005信息安全管理實施細則7資產(chǎn)管理7.1資產(chǎn)責任7.1.1資產(chǎn)清單7.1.2資產(chǎn)屬主7.1.3對資產(chǎn)的可接受使用目標：保持對組織資產(chǎn)的恰當?shù)谋Ｗo。所有資產(chǎn)都應(yīng)該責任到人。7.2信息分類7.2.1分類指南7.2.2信息標注及處理目標：確保信息資產(chǎn)得到適當級別的保護。組織可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別信息資產(chǎn)。按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單。所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責任。信息應(yīng)該被分類，以標明其需求、優(yōu)先級和保護程度。根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序。TopSecretSecretConfidentialRestricted17799:2005信息安全管理實施細則信息資產(chǎn)的類型信息：數(shù)據(jù)庫和數(shù)據(jù)文件，合同和協(xié)議，系統(tǒng)文件，用戶手冊，培訓(xùn)資料等軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，工具程序?qū)嵨镔Y產(chǎn)：計算機和通信設(shè)備，移動介質(zhì)，電源空調(diào)等技術(shù)性設(shè)備人員：承擔特定職能和責任的人員，資質(zhì)、技能和經(jīng)驗服務(wù)：計算和通信服務(wù)，環(huán)境支持服務(wù)等組織形象與聲譽：無形資產(chǎn)17799:2005信息安全管理實施細則識別資產(chǎn)時的注意事項所有主要信息資產(chǎn)都應(yīng)清點并指定專人負責這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的7799標準認為,“資產(chǎn)”沒必要包括通?？紤]的組織內(nèi)所有有價值的東西組織必須確定哪些資產(chǎn)在損失后對組織的產(chǎn)品及服務(wù)會產(chǎn)生實質(zhì)上的影響17799:2005信息安全管理實施細則資產(chǎn)清單示例17799:2005信息安全管理實施細則信息資產(chǎn)的屬主、保管者和用戶屬主（）：信息屬主可能是組織的某個決策者或者管理者，或者部門負責人，或者是信息的創(chuàng)建者，對必須保護的信息資產(chǎn)負責，承擔著“”的責任，但日常的數(shù)據(jù)保護工作則由保管者承擔。信息屬主的責任在于：基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔數(shù)據(jù)保護任務(wù)的責任保管者（）：受信息屬主委托而負責保護信息，通常由系統(tǒng)人員來承擔，其職責包括：定期備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進行恢復(fù)；根據(jù)既定的信息分類策略，維護保留下來的記錄用戶（）：任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費者，應(yīng)該注意：用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔保護信息安全的責任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用17799:2005信息安全管理實施細則目標：確保雇員、合同工和第三方用戶理解其自身責任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險。8人力資源安全8.1聘用前的控制8.1.1角色和責任8.1.2人員篩選（Screening）8.1.3聘用條件和條款8.2聘用期間8.2.1管理層職責8.2.2信息安全意識、教育和培訓(xùn)8.2.3懲罰機制目標：確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關(guān)系、責任和義務(wù)，并在其正常工作當中支持組織的安全策略，減少人為錯誤導(dǎo)致的風(fēng)險。8.3解聘或變更8.3.1解聘責任8.3.2返還資產(chǎn)8.3.3去除訪問權(quán)限目標：確保雇員、合同工和第三方用戶按照既定方式離職或變更職位。17799:2005信息安全管理實施細則人員安全重要提示人員和組織安全是信息安全管理的難點，因為：人本身就是一個最復(fù)雜的因素信息安全的“潛在性”使得安全組織和人才培養(yǎng)不容易獲得認可信息安全人才的培養(yǎng)是一個高難的過程信息安全組織需要和企業(yè)文化進行磨合避免信息安全組織和業(yè)務(wù)組織對立17799:2005信息安全管理實施細則人員篩選時做背景檢查背景檢查是工作申請過程的一個部分，組織至少會審查申請人簡歷中的基本信息。對于敏感職位，可能還會考慮進一步的調(diào)查。調(diào)查過程中，組織可以請求訪問申請人的信用和犯罪記錄，甚至可以聘請外部公司對申請人進行調(diào)查，以確定是否存在潛在問題或利益沖突。通過背景檢查，可以防止：因為人員解雇而導(dǎo)致法律訴訟因為雇用疏忽而導(dǎo)致第三方的法律訴訟雇用不合格的人員喪失商業(yè)秘密員工從一般崗位轉(zhuǎn)入信息安全重要崗位，組織也應(yīng)當對其進行檢查，對于處在有相當權(quán)力位置的人員，這種檢查應(yīng)定期進行。17799:2005信息安全管理實施細則增強全員的安全意識安全意識（），泛指組織員工對安全和安全控制重要性的一般性的、集體的意識。促進安全意識，可以減少人員的非授權(quán)活動，可以增強保護控制的效率，有助于避免欺詐和對計算資源的浪費員工具有安全意識的標志：認知可能存在的安全問題及其危害，理解安全所需明白自身的安全職責，恪守正確的行為方式促進安全意識的方法和途徑多種多樣：交互性的、實時的介紹，課程，視頻出版發(fā)布物品，新聞傳單，張貼物，簡報，布告欄，獎金和贊譽等激勵機制提醒物，比如登錄，筆、便簽、鼠標墊等隨身物品安全意識材料應(yīng)該直接、簡單和清楚，易于理解，要有創(chuàng)新和變化17799:2005信息安全管理實施細則安全培訓(xùn)和教育培訓(xùn)（）不同于意識，其目的是傳授安全相關(guān)的工作技能，主要對象為信息系統(tǒng)管理和維護人員，通常利用一對一的課堂形式，包括：為操作者和具體用戶提供的安全相關(guān)的職務(wù)培訓(xùn)為與敏感安全位置相關(guān)的具體的部門或人員提供的技能培訓(xùn)為支持人員和系統(tǒng)管理員提供的技術(shù)性安全培訓(xùn)為安全實踐者和信息系統(tǒng)審計師提供的高級信息安全培訓(xùn)為高級管理者、職能經(jīng)理和業(yè)務(wù)單位經(jīng)理提供的安全培訓(xùn)教育（）更為深入，其目的是為安全專業(yè)人士提供工作所需的專業(yè)技術(shù)，一般通過外部程序?qū)崿F(xiàn)，并且應(yīng)該成為職業(yè)規(guī)劃的一部分具體的安全軟件和硬件的產(chǎn)品培訓(xùn)也很重要17799:2005信息安全管理實施細則加強人員離職控制人員離職往往存在安全風(fēng)險，特別是雇員主動辭職時解雇通知應(yīng)選擇恰當?shù)臅r機，例如重要項目結(jié)束，或新項目啟動前使用標準的檢查列表（）來實施離職訪談離職者需在陪同下清理個人物品確保離職者返還所有的公司證章、、鑰匙等物品與此同時，立即消除離職者的訪問權(quán)限，包括：解除對系統(tǒng)、網(wǎng)絡(luò)和物理設(shè)施的訪問權(quán)解除電話，注銷電子郵箱，鎖定賬號通知公司其他人員、外部伙伴或客戶，聲明此人已離職17799:2005信息安全管理實施細則目標：防止資產(chǎn)的丟失、損害和破壞，防止組織的各項活動被打斷。9物理和環(huán)境安全9.1安全區(qū)域9.1.1物理安全邊界9.1.2物理入口控制9.1.3保護辦公場所、房間和設(shè)施9.1.4防止外部和環(huán)境威脅9.1.5在安全區(qū)內(nèi)工作9.1.6公共訪問和交接區(qū)域目標：防止非授權(quán)物理訪問、破壞和干擾組織的安全區(qū)邊界。9.2設(shè)備安全9.2.1設(shè)備的安置與保護9.2.2供電9.2.3電纜安全9.2.4設(shè)備維護9.2.5場外設(shè)備的安全9.2.6設(shè)備報廢或重用時的安全9.2.7財物遷移I.D.17799:2005信息安全管理實施細則物理安全要點提示清晰劃定安全區(qū)域邊界圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng)專門設(shè)立接待區(qū)，限制物理訪問外來人員登記及陪同定期檢查訪問記錄關(guān)鍵設(shè)施不要放置在公共區(qū)域關(guān)鍵區(qū)域不做顯眼標記防止火災(zāi)、水災(zāi)、地震、爆炸等自然或人為災(zāi)難安全區(qū)域內(nèi)工作，禁止攝影攝像，加強監(jiān)督一定要注意那些不在視野范圍內(nèi)的東西17799:2005信息安全管理實施細則注意你的身邊！注意最細微的地方！17799:2005信息安全管理實施細則我們來看一個可怕的案例您肯定用過銀行的機，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？……17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則17799:2005信息安全管理實施細則關(guān)于場外設(shè)備使用的提示無論是誰，信息處理設(shè)施要帶到組織邊界外使用，必須得到相關(guān)授權(quán)場外設(shè)備或介質(zhì)不應(yīng)該單獨置于公共區(qū)域，筆記本電腦應(yīng)該放在不顯眼的包里注意設(shè)備防暴、防磁、防熱、防水、防震家庭辦公時，遵守設(shè)備加鎖保存、桌面凈空、計算機訪問控制及安全通信策略可以考慮購買適當?shù)谋ｋU17799:2005信息安全管理實施細則目標：確保正確并安全地操作信息處理設(shè)施。10通信和操作管理10.1操作程序和責任10.1.1操作程序的文檔化10.1.2變更管理10.1.3職責分離10.1.5開發(fā)、測試和運營設(shè)施的分離10.3系統(tǒng)規(guī)劃及驗收10.3.1容量管理10.3.2系統(tǒng)驗收目標：減少系統(tǒng)故障帶來的風(fēng)險。10.4抵御惡意和移動代碼10.4.1惡意代碼控制10.4.2移動代碼控制目標：保護軟件和信息的完整性。10.2第三方服務(wù)交付管理10.2.1服務(wù)交付10.2.2監(jiān)督和復(fù)查第三方服務(wù)10.2.3第三方服務(wù)變更管理目標：根據(jù)第三方服務(wù)交付協(xié)議，實施并保持恰當?shù)男畔踩头?wù)交付水平。17799:2005信息安全管理實施細則目標：維護信息和信息處理設(shè)施的完整性及可用性。10.5備份10.5.1信息備份10.7介質(zhì)處理10.7.1移動計算機介質(zhì)的管理10.7.2介質(zhì)的處置10.7.3信息處理程序10.7.4系統(tǒng)文件的安全目標：防止非授權(quán)泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務(wù)活動中斷。10.8信息的交換10.8.1信息交換策略和程序10.8.2交換協(xié)議10.8.3傳輸中的物理介質(zhì)10.8.4電子信息交換10.8.5業(yè)務(wù)信息系統(tǒng)目標：保持組織內(nèi)部和與外部實體間進行信息交換的安全性。10.6網(wǎng)絡(luò)安全管理10.6.1網(wǎng)絡(luò)控制10.6.2網(wǎng)絡(luò)服務(wù)的安全目標：確保網(wǎng)絡(luò)中的信息以及支持技術(shù)設(shè)施得到保護。17799:2005信息安全管理實施細則目標：確保電子商務(wù)服務(wù)的安全性，保證安全使用電子商務(wù)服務(wù)。10.9電子商務(wù)服務(wù)10.9.1電子商務(wù)10.9.2在線交易10.9.3公共可用信息10.10監(jiān)視10.10.1審計日志10.10.2監(jiān)視系統(tǒng)使用10.10.3保護日志信息10.10.4管理員和操作日志10.10.5故障日志10.10.6時鐘同步目標：發(fā)現(xiàn)非授權(quán)活動。17799:2005信息安全管理實施細則通信和操作管理提示明確操作管理理程序和責任，包括信息處理、備份、故障處理、介質(zhì)處理、系統(tǒng)重啟和恢復(fù)、日志審計等事務(wù)定義變更管理責任和流程，做好信息處理設(shè)施的變更控制對第三方服務(wù)實施有效監(jiān)督，確保其符合既定協(xié)議的要求。應(yīng)該定期檢查服務(wù)報告，分析安全事件相關(guān)信息，復(fù)查第三方審計記錄制定專門的策略，禁止使用非授權(quán)軟件，防止惡意代碼做好系統(tǒng)的備份容災(zāi)規(guī)劃移動介質(zhì)使用是一個管理難題，應(yīng)該采取有效措施，防止信息泄漏17799:2005信息安全管理實施細則變更管理一般流程17799:2005信息安全管理實施細則關(guān)于職責分離不應(yīng)有人從頭到尾地完全控制一項牽涉到敏感的、有價值的、或者關(guān)鍵信息的任務(wù)，例如金融交易中，一個人負責數(shù)據(jù)錄入，另一個人負責檢查，第三人確認最終交易應(yīng)該分離：開發(fā)/生產(chǎn)；安全管理/審計；加密密鑰管理/密鑰更改小型組織實施職責分離比較困難，可以采取其他一些控制措施，如活動監(jiān)控、跟蹤檢查和監(jiān)督管理等但安全審計務(wù)必要有獨立性17799:2005信息安全管理實施細則目標：控制對信息的訪問。應(yīng)該根據(jù)業(yè)務(wù)和安全需求對信息、系統(tǒng)和業(yè)務(wù)流程加以控制，還應(yīng)該考慮信息傳播和授權(quán)的策略。11訪問控制11.1訪問控制的業(yè)務(wù)需求11.1.1訪問控制策略11.2用戶訪問的管理11.2.1用戶注冊11.2.2特權(quán)管理11.2.3用戶口令管理11.2.4用戶訪問權(quán)限的復(fù)審目標：確保授權(quán)用戶的訪問，防止非授權(quán)訪問信息系統(tǒng)。11.3用戶責任11.3.1口令使用11.3.2無人值守的用戶設(shè)備11.3.3桌面清理和清屏策略目標：防止非授權(quán)用戶訪問、破壞、竊取信息及信息處理設(shè)施。17799:2005信息安全管理實施細則目標：保護網(wǎng)絡(luò)服務(wù)，防止非授權(quán)訪問，對內(nèi)部和外部的網(wǎng)絡(luò)訪問都應(yīng)該得到控制。11.4網(wǎng)絡(luò)訪問控制11.4.1網(wǎng)絡(luò)服務(wù)使用策略11.4.2對外部連接用戶進行身份認證11.4.3識別網(wǎng)絡(luò)中的設(shè)備11.4.4遠程診斷和配置端口的保護11.4.5網(wǎng)絡(luò)隔離11.4.6網(wǎng)絡(luò)連接控制11.4.7網(wǎng)絡(luò)路由控制11.5操作系統(tǒng)訪問控制11.5.1安全的登錄程序11.5.2用戶身份識別與認證11.5.3口令管理系統(tǒng)11.5.4系統(tǒng)工具的使用11.5.5會話超時11.5.6限制連接時間目標：防止對信息系統(tǒng)的非授權(quán)訪問。17799:2005信息安全管理實施細則11.6應(yīng)用和信息訪問控制11.6.1信息訪問限制11.6.2敏感系統(tǒng)的隔離目標：防止非授權(quán)訪問信息系統(tǒng)中的信息。11.7移動計算和通訊11.7.1移動計算和通信11.7.2遠程工作（Teleworking）目標：確保使用移動計算和通訊設(shè)施時的信息安全。17799:2005信息安全管理實施細則訪問控制重要提示關(guān)于訪問控制策略：根據(jù)業(yè)務(wù)制訂的策略才能實施策略內(nèi)容：所需訪問的信息，訪問控制規(guī)則，用戶訪問權(quán)限，其他訪問控制要求沒有明確允許就是缺省禁止，最小權(quán)限原則等口令是常見的訪問控制措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護和管理關(guān)于網(wǎng)絡(luò)訪問控制：組織網(wǎng)絡(luò)與其他組織網(wǎng)絡(luò)或者公共網(wǎng)之間進行正確的連接用戶和設(shè)備都具有適當?shù)纳矸蒡炞C機制在用戶訪問信息服務(wù)時進行控制關(guān)于操作系統(tǒng)訪問控制：識別和驗證來訪者身份。如果需要，還要驗證每個合法用戶的終端節(jié)點或位置記錄成功和失敗的系統(tǒng)訪問提供適當?shù)纳矸蒡炞C方法。如果使用了口令管理系統(tǒng)，則應(yīng)該確保使用高質(zhì)量的口令根據(jù)情況限制用戶連接時間17799:2005信息安全管理實施細則訪問控制重要提示（續(xù)）關(guān)于應(yīng)用訪問控制：考慮應(yīng)用系統(tǒng)的安全，不得不考慮業(yè)務(wù)流程如果業(yè)務(wù)流程有安全隱患，應(yīng)用系統(tǒng)是無法避免這些危險的。底層系統(tǒng)和網(wǎng)絡(luò)更是無能為力關(guān)于系統(tǒng)監(jiān)控：日志、入侵監(jiān)測系統(tǒng)、漏洞分析掃描器都是很好的工具，但是如果沒有有效的審計措施的話，都無法發(fā)揮大作用關(guān)于移動計算的訪問控制：可變性太大有時會涉及“人格”問題、“工作熱情”問題執(zhí)行控制需要堅決的政策和有力的執(zhí)行要關(guān)注新技術(shù)的沖擊17799:2005信息安全管理實施細則目標：確保安全內(nèi)建于信息系統(tǒng)中。12信息系統(tǒng)獲取、開發(fā)和維護12.1信息系統(tǒng)的安全需求12.1.1安全需求分析和規(guī)范12.2應(yīng)用程序中正確的處理12.2.1輸入數(shù)據(jù)的驗證12.2.2內(nèi)部處理控制12.2.3消息完整性12.2.4輸出數(shù)據(jù)的驗證目標：防止應(yīng)用程序中的信息出錯、丟失、被非授權(quán)篡改或誤用。12.3密碼控制12.3.1密碼控制使用策略12.3.2密鑰管理目標：通過加密手段，保護信息的保密性、真實性或完整性。12.4系統(tǒng)文件安全12.4.1控制運營系統(tǒng)上的軟件12.4.2保護系統(tǒng)測試數(shù)據(jù)12.4.3對源代碼的訪問控制目標：控制對系統(tǒng)文件和程序源代碼的訪問，使IT項目及其支持活動安全進行，確保系統(tǒng)文件的安全性。17799:2005信息安全管理實施細則目標：維護應(yīng)用系統(tǒng)軟件和信息的安全。應(yīng)該嚴格控制項目和支持環(huán)境。12.5開發(fā)和支持過程的安全12.5.1變更控制程序12.5.2運營系統(tǒng)變更后對應(yīng)用做技術(shù)評審12.5.3限制對軟件包的變更12.5.4信息泄漏12.5.5外包的軟件開發(fā)12.6技術(shù)漏洞管理12.6.1控制技術(shù)漏洞目標：防止因為利用已發(fā)布漏洞而實施的破壞。17799:2005信息安全管理實施細則系統(tǒng)開發(fā)安全性的重要提示建立安全的軟件開發(fā)過程和編碼規(guī)范開發(fā)一個有關(guān)如何利用加密控制對信息進行保護的策略（哪些信息要加密，加密的強度如何，移動介質(zhì)或傳輸中的加密，密鑰管理，角色和責任，法律法規(guī)限制等）對密碼技術(shù)的應(yīng)用，其關(guān)鍵在于密鑰管理：生成，分發(fā)和傳輸使用和驗證保存，消除和恢復(fù)對正式上線的運營系統(tǒng)應(yīng)嚴加控制，做好軟件開發(fā)的變更控制和管理不將運營系統(tǒng)上的敏感信息直接用作測試系統(tǒng)需要對外包開發(fā)提高警惕（代碼所屬權(quán)，知識產(chǎn)權(quán)，資格認定，第三方保證，合同中對質(zhì)量和安全功能的要求，中間審計，安裝前測試）17799:2005信息安全管理實施細則關(guān)于漏洞管理為了實施有效的漏洞管理，必須先有一個完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當前部署狀況、軟件的責任人等信息應(yīng)該建立漏洞管理相關(guān)角色和責任：漏洞監(jiān)視，漏洞評估，補丁跟蹤定義新漏洞發(fā)現(xiàn)時的通知時限對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個子集補丁安裝前必須做相關(guān)風(fēng)險評估和測試必須采取相應(yīng)的審計機制17799:2005信息安全管理實施細則目標：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時發(fā)現(xiàn)，以便采取糾正措施。13信息安全事件管理13.1報告信息安全事件和缺陷13.1.1報告信息安全事件13.1.2報告安全缺陷13.2管理信息安全事件和改進13.2.1責任和程序13.2.2從信息安全事件中吸取教訓(xùn)13.2.3證據(jù)搜集目標：確保采取一致和有效的方法來管理信息安全事件。17799:2005信息安全管理實施細則信息安全事件管理一般流程17799:2005信息安全管理實施細則14業(yè)務(wù)連續(xù)性管理14.1業(yè)務(wù)連續(xù)性管理的信息安全方面14.1.1在業(yè)務(wù)連續(xù)性管理過程中考慮信息安全14.1.2業(yè)務(wù)連續(xù)性和風(fēng)險評估14.1.3開發(fā)和實施包含信息安全的連續(xù)性計劃14.1.4業(yè)務(wù)連續(xù)性計劃框架14.1.5測試、維護和再評估業(yè)務(wù)連續(xù)性計劃目標：減少業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)害的影響，確保其及時恢復(fù)。分析對業(yè)務(wù)連續(xù)性的潛在影響編寫，實施，測試和維護業(yè)務(wù)連續(xù)性計劃建立計劃框架業(yè)務(wù)連續(xù)性管理過程理解組織面臨的風(fēng)險，識別關(guān)鍵業(yè)務(wù)活動和優(yōu)先次序。確認可能對業(yè)務(wù)造成影響的中斷。考慮購買合適的保險。制訂及文檔化與業(yè)務(wù)目標和優(yōu)先級保持一致的業(yè)務(wù)連續(xù)性戰(zhàn)略。根據(jù)業(yè)務(wù)連續(xù)性戰(zhàn)略制定并文檔化業(yè)務(wù)連續(xù)性計劃。定期測試并更新計劃和程序。明確業(yè)務(wù)連續(xù)性管理的責任。17799:2005信息安全管理實施細則關(guān)于的重要提示有效的業(yè)務(wù)連續(xù)性計劃必須包括業(yè)務(wù)與技術(shù)兩部分：業(yè)務(wù)觀點：行政主管必須定義和規(guī)劃他們的可用性需求，以及達到這些需求所需動用的資源技術(shù)觀點：管理者必須定義、規(guī)劃及設(shè)計一份業(yè)務(wù)連續(xù)性計劃，以達到企業(yè)的可用性需求災(zāi)難恢復(fù)的業(yè)務(wù)觀點包括評估發(fā)生意外的可能性、風(fēng)險變成事實后所帶來的沖擊、以及管理階層的應(yīng)對措施為了有效地對抗災(zāi)難，擬定業(yè)務(wù)需求時應(yīng)注重于設(shè)計出在發(fā)生災(zāi)難時能夠至少涵蓋下列部分的完整計劃：響應(yīng)：發(fā)生災(zāi)難時，必須立即采取的緊急應(yīng)變措施復(fù)原：為了從災(zāi)難中復(fù)原所采取的動作繼續(xù)：為了繼續(xù)正常業(yè)務(wù)運作所采取的動作還原：讓原來的節(jié)點還原成最初狀況的過程責任：個人應(yīng)對執(zhí)行哪一部份的計劃負責負責人必須確認計劃實施所需資源：人力、裝備、技術(shù)、財務(wù)17799:2005信息安全管理實施細則業(yè)務(wù)連續(xù)性計劃框架計劃啟動條件應(yīng)急（Emergency）程序退卻（Fallback）及臨時操作程序恢復(fù)（Resumption）程序計劃維護時間表意識和教育個人職責17799:2005信息安全管理實施細則測試方式針對各種假想場景做桌面測試，展開討論模擬（特別針對承擔事后/危機管理角色的人員培訓(xùn)）技術(shù)恢復(fù)測試（確保信息系統(tǒng)能被有效恢復(fù)）在替換場地做恢復(fù)測試測試供應(yīng)商設(shè)備和服務(wù)（確保所提供的外部服務(wù)和產(chǎn)品符合合同承諾）排練（測試組織、人員、設(shè)備、設(shè)施和流程能夠應(yīng)付中斷）17799:2005信息安全管理實施細則目標：避免違反任何法律、條令、法規(guī)或者合同義務(wù)，以及任何安全要求。15符合性15.1符合法律要求15.1.1識別適用的法律15.1.2知識產(chǎn)權(quán)（IPR）15.1.3保護組織記錄15.1.4數(shù)據(jù)保護和個人信息的隱私15.1.5防止對信息處理設(shè)施的濫用15.1.6加密控制的規(guī)定15.2符合安全策略和標準15.2.1符合安全策略和標準15.2.2技術(shù)符合性檢查目標：確保遵守組織的安全策略和標準。15.3信息系統(tǒng)審計的考慮15.3.1信息系統(tǒng)審計控制15.3.2保護信息系統(tǒng)審計工具目標：發(fā)揮系統(tǒng)審計過程的最大效用，并把干擾降到最低。17799:2005信息安全管理實施細則17799:2005的內(nèi)容小結(jié)安全策略Securitypolicy人力資源安全Humanresourcessecurity物理與環(huán)境安全Physicalandenvironmentalsecurity通信與操作管理Communicationsandoperationsmanagement信息系統(tǒng)獲取、開發(fā)和維護Informationsystemsacquisition,developmentandmaintenance組織信息安全Organizinginformationsecurity資產(chǎn)管理Assetmanagement訪問控制Accesscontrol信息安全事件管理Informationsecurityincidentmanagement業(yè)務(wù)連續(xù)性管理Businesscontinuitymanagement符合性Compliance17799:2005信息安全管理實施細則第一部分信息安全概述779927001簡介信息安全管理與認證之道第二部分風(fēng)險評估與管理過程及方法1－信息安全管理實施細則2－信息安全管理體系規(guī)范總結(jié)和展望包含用于審計的需求規(guī)范，可形成衡量組織ISMS的基準。ISO27001解釋標準的作用和所用的定義解釋相關(guān)術(shù)語解釋建立和維護文檔化的的要求列舉可用的控制和控制目標是依照779927001對組織的進行評估認證的基礎(chǔ)27001:2005信息安全管理體系規(guī)范27001標準對信息安全管理體系（）并沒有一個十分明確的定義，可以將其理解為組織管理體系的一部分。涉及到的內(nèi)容：用于組織信息資產(chǎn)風(fēng)險管理、確保組織信息安全的、包括為制定、實施、評審和維護信息安全策略所需的組織機構(gòu)、目標、職責、程序、過程和資源。標準要求的建立過程：制定信息安全策略，確定體系范圍，明確管理職責，通過風(fēng)險評估確定控制目標和控制方式。遵循體系一旦建立，組織應(yīng)該按規(guī)定要求進行運作，保持體系的有效性。應(yīng)形成一定的文檔，包括策略、適用性聲明文件和實施安全控制所需的程序文件。一個文檔化的應(yīng)該闡述：要保護的資產(chǎn)，組織進行風(fēng)險管理的途徑，控制目標和控制方式，需要的保障程度。27001簡介27001:2005信息安全管理體系規(guī)范什么是？信息安全管理體系（）在信息安全方面指導(dǎo)和控制組織，用以實現(xiàn)信息安全目標的相互關(guān)聯(lián)和相關(guān)作用的一組要素。這組要素通常包括：信息安全組織結(jié)構(gòu)各種活動和過程信息安全管理體系文件信息安全控制措施人力物力等資源……27001:2005信息安全管理體系規(guī)范的重要原則管理層足夠重視組織保障指明方向和目標權(quán)威預(yù)算保障，提供所需的資源監(jiān)督檢查需要全員參與信息安全不僅僅是部門的事情每個員工都應(yīng)明白隨時可能出現(xiàn)的安全問題每個員工都應(yīng)具備相關(guān)的安全意識和能力讓每個員工都明確自己承擔的安全責任遵循過程的方法信息安全是個管理過程應(yīng)該系統(tǒng)地識別每項管理活動并加以控制需要持續(xù)改進實現(xiàn)信息安全目標的循環(huán)活動信息安全是動態(tài)的，時間性強持續(xù)改進才能有