【正文】 q Ensure that “knowledge capital” will be “stored” and managed in a business management system實(shí)施 ISMS的關(guān)鍵成功因素n 與組織文化一致的信息安全方法n 老板的支持n 對(duì)信息安全的要求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理有好的理解n 向所有員工和其他人分發(fā)信息安全指南n 有效的對(duì)員工和其他人推銷信息安全（外部人員也被要求進(jìn)行信息安全培訓(xùn)）n 足夠的財(cái)務(wù)支持，以及滿足要求的現(xiàn)有系統(tǒng)的能力和配置水平n 有效的信息安全事故管理過程Tips1重要提示n ISMS（信息安全管理體系）和 ITSM（信息技術(shù)服務(wù)管理）的整合需求越來越大：q 來自最高管理者的關(guān)注增強(qiáng)q 來自客戶的推動(dòng)、壓力q 政府的推動(dòng)并提供資金的支持，如 “十百千 ”工程q 行業(yè)的普遍關(guān)注，如電信 IDC，移動(dòng)，電力系統(tǒng)，海關(guān)總署，國(guó)家質(zhì)監(jiān)總局n 目前，各大銀行和電力企業(yè)正在實(shí)施 ITIL，每年有 Very Large的市場(chǎng)。n 半導(dǎo)體業(yè)對(duì) ISMS的要求非常嚴(yán)格，甚至高過金融業(yè)！Tips2n 歷史教訓(xùn)：保安和清潔工是信息安全的重要威脅?。o意傷害對(duì) “階層 ” 感情的好惡）q 所有員工，包括所有外來人員，必須接受信息安全的培訓(xùn)q 小竅門：在門衛(wèi) /傳達(dá)室放一個(gè)《外來人員安全須知》， 外來人員在閱讀后要簽字，這是對(duì)外來人員進(jìn)行了信息安全培訓(xùn)的證據(jù)Tips3n 信息安全容易忽視的兩個(gè)的地方q Thumb drive （ U盤，盡量禁用?。﹒ Domain controller（域控制器，加強(qiáng)管理?。﹏ Good practices: q 人員發(fā)生變動(dòng)的時(shí)候，一定要調(diào)整訪問權(quán)限q 查看企業(yè)的財(cái)產(chǎn)保險(xiǎn)合同q 審核完畢后一般都需要提高保險(xiǎn)級(jí)別！很 NB的縮寫n Black Belt：黑帶 %！ %！ ￥ ……n ERM：企業(yè)風(fēng)險(xiǎn)管理（目前最高級(jí)別的認(rèn)證）n BCM：業(yè)務(wù)持續(xù)性管理n CSR：企業(yè)可持續(xù)發(fā)展報(bào)告（驗(yàn)證各項(xiàng)指標(biāo)）n RPN：風(fēng)險(xiǎn)優(yōu)先指數(shù)n BCM/BCP：業(yè)務(wù)持續(xù)戰(zhàn)略n Continual Improvement：持續(xù)改進(jìn)n RA：風(fēng)險(xiǎn)分析n ITDRn MCAn BIAn RTO： recovery time objectiven RPO： recovery point objectiven LBCBCP與災(zāi)難恢復(fù)等概念的比較影響公司層面業(yè)務(wù)持續(xù)性的因素n 供應(yīng)鏈中斷：重要原料、 IT硬件n 高層的錯(cuò)誤決策n 客戶不滿n 關(guān)鍵人員流失n 數(shù)據(jù)中心重大事故n 恐怖襲擊、戰(zhàn)爭(zhēng)n 員工信心n 天災(zāi)人禍、火災(zāi)爆炸n 聯(lián)動(dòng)點(diǎn)n 法律法規(guī)n 公眾反應(yīng)BCM非常重要n 實(shí)施 ITSM業(yè)務(wù)連續(xù)性管理的兩條途徑q 公司層面的 BCM（適合于 IT Outsourcing或 BPO企業(yè)）q 信息安全層面的 BCM，適合大型制造業(yè)及工藝流程復(fù)雜的企業(yè)n BCM或 BCP比 “可用性管理 ”有更大的范圍和規(guī)模！BCM: 一個(gè)好的平臺(tái)n Quality managementn Public relationshipn Investment directionn Security managementn Disaster recoveryn Safety managementn Facilities managementn IT/Other disaster recoveryn Supply chain managementn Risk managementBCM的步驟1. 理解你的業(yè)務(wù) BIA (Business Impact Assessment)2. 業(yè)務(wù)持續(xù)性計(jì)劃 BCP (Business Continuity Planning)3. 研究并實(shí)施 BCM行動(dòng)4. 建立并深入公司 BCM文件5. 演練 /維護(hù)及審核 BCMISO27001 LA Training CourseDay 2ShanghaiFeb. 19, 2023建立 ISMS的步驟1. 制定方針2. 確定邊界3. 識(shí)別資產(chǎn)4. 風(fēng)險(xiǎn)評(píng)估5. 風(fēng)險(xiǎn)處置6. 風(fēng)險(xiǎn)接受7. 動(dòng)態(tài)的風(fēng)險(xiǎn)管理制定方針確定邊界識(shí)別資產(chǎn)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受動(dòng)態(tài)的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)、威脅和脆弱性的概念n 風(fēng)險(xiǎn) Risk：q 特定的威脅利用資產(chǎn)漏洞的潛在可能，并可導(dǎo)致對(duì)組織的危害。它根據(jù)事件的可能性及后果進(jìn)行測(cè)量。n 風(fēng)險(xiǎn)分析：q 評(píng)估風(fēng)險(xiǎn)數(shù)量的系統(tǒng)化流程n 風(fēng)險(xiǎn)評(píng)估：q 包括風(fēng)險(xiǎn)定義，風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估的流程。n 威脅 Threat：q 引起事故的潛在因素，可能對(duì)組織或系統(tǒng)產(chǎn)生損害n 脆弱性 Vulnerability：q 資產(chǎn)的弱點(diǎn)，可能被一個(gè)或多個(gè)威脅利用n 影響 Impact：q 信息安全事故的結(jié)果風(fēng)險(xiǎn)產(chǎn)生的原因n 5大因素：q 自然環(huán)境q 社會(huì)經(jīng)濟(jì)環(huán)境q 政治及法制因素q 營(yíng)運(yùn)環(huán)境q 意識(shí)及溝通因素n 或者：q 人q 機(jī)：軟硬件，需要維護(hù)q 料：輸入，包括客戶需求q 法：程序、方法，是否清楚、適當(dāng)q 環(huán)：大環(huán)境資產(chǎn)類型n 通常：q 網(wǎng)絡(luò)q 機(jī)房q PCn 臺(tái)式機(jī)n 筆記本q 普通q 營(yíng)銷部 /中層干部q 高層管理人員q 人員q 文檔n 電子n 書面n 客戶要求q 整體實(shí)體（物理）安全n 分類：q 信息資產(chǎn)：數(shù)據(jù)文件、數(shù)據(jù)庫q 軟件資產(chǎn)：系統(tǒng)軟件、應(yīng)用軟件q 物理資產(chǎn)：計(jì)算機(jī)、通訊設(shè)備q 服務(wù)資產(chǎn)：電力、消防、打印機(jī)、復(fù)印機(jī)q 人力資產(chǎn)：?jiǎn)T工、工人q 紙面資產(chǎn)：協(xié)議、合同q 無形資產(chǎn)：公司形象、名譽(yù)、品牌n 注意： IT部門可能擁有上述所有資產(chǎn)，其他部門可能只擁有其中 1至 2項(xiàng)編制資產(chǎn)識(shí)別表n 資產(chǎn)？q 對(duì)組織有價(jià)值的任何事物n 編制資產(chǎn)識(shí)別表的要點(diǎn)q 找對(duì) ownerq 合并同類項(xiàng)，特性和風(fēng)險(xiǎn)相同的資產(chǎn)可以合并為一項(xiàng)n 小竅門：q 先按部門分別進(jìn)行q 對(duì)資產(chǎn)項(xiàng)合并同類項(xiàng)后，可跨部門再進(jìn)行一次合并同類項(xiàng)風(fēng)險(xiǎn)的計(jì)算n 第一種方法：風(fēng)險(xiǎn) =嚴(yán)重性 *可能性q 影響程度的嚴(yán)重性（權(quán)重較大）q 威脅發(fā)生的可能性：按歷史發(fā)生情況！n 第二種方法：嚴(yán)重性 *可能性 *脆弱性q 脆弱性：檢驗(yàn)現(xiàn)有防護(hù)措施q RPN=S*O*W (servility* occurrence* weakness)q 比如，美國(guó)地震工程研究所對(duì) “地震風(fēng)險(xiǎn)性 ”的定義n 是地震危險(xiǎn)性（致災(zāi)因子）、社會(huì)財(cái)富（承災(zāi)性）和脆弱性三者的乘積n FMEA：好方法！q 行業(yè)內(nèi)的叫法： RPN（風(fēng)險(xiǎn)優(yōu)先指數(shù)）風(fēng)險(xiǎn)的計(jì)算（續(xù)）n （第二種方法）根據(jù)資產(chǎn)識(shí)別的結(jié)果判斷q 嚴(yán)重性q 威脅名稱、威脅來源、威脅賦值q 脆弱性類別、已有控制措施、脆弱性賦值n 低：現(xiàn)有系統(tǒng)能夠自動(dòng)識(shí)別，且有充分有效的緊急響應(yīng)n 中：通過檢查 /監(jiān)控能夠看出趨勢(shì)或有較充分的緊急響應(yīng)n 高：現(xiàn)有條件下不能探測(cè)或一旦發(fā)生問題沒有有效q 風(fēng)險(xiǎn)計(jì)算q 風(fēng)險(xiǎn)處理指標(biāo)：風(fēng)險(xiǎn)處置措施、責(zé)任部門、完成時(shí)間示例嚴(yán)重性 …… ……風(fēng)險(xiǎn)接受 /殘余風(fēng)險(xiǎn)可能性 脆弱性 殘余風(fēng) 險(xiǎn)風(fēng)險(xiǎn)的計(jì)算（續(xù)）n 剩余風(fēng)險(xiǎn)q 剩余風(fēng)險(xiǎn) ＝ 資產(chǎn)嚴(yán)重性（不變的）＊　可能性（改進(jìn)后的