【正文】 要 求2 7 0 0 2 信 息 安 全 管 理 實用 規(guī) 則2 7 0 0 3 信 息 安 全 管 理 體系 實 施 指 南2 7 0 0 4 信 息 安 全 管 理 測量2 7 0 0 5 信 息 安 全 風 險 管理2 7 0 0 6 信 息 安 全 管 理 體系 審 核 和 認 證 機 構(gòu) 要 求2 7 0 0 7 信 息 安 全 管 理 體系 審 核 指 南2 7 0 0 8 信 息 安 全 管 理 體系 控 制 措 施 審 核 員 指 南? ?ISMS標準我國采標情況 ?各國等同采標 ?我國采標情況 20 序號 國際標準 采標形式 國家標準 1 ISO/IEC 27000:2023 等同采用 《 信息安全管理體系概述和詞匯 》（ GB/T 292462023） 2 ISO/IEC 27001:2023 等同采用 《 信息安全管理體系 要求 》（ GBT 220802023） 3 ISO/IEC 27002:2023 等同采用 《 信息安全管理實用規(guī)則 》（ GB/T 220812023） 4 ISO/IEC 27006:2023 等同采用 《 信息安全管理體系審核認證機構(gòu)的要求 》 （ GB/T 250672023） 知識體：信息 安全管理 體系 ?知識域：信息安全管理控制措施 ? 了解信息安全管理控制措施的作用 ? 理解安全方針、信息安全組織、資產(chǎn)管理、人力資源管理、物理和環(huán)境安全等 管理域的控制目標和主要控制措施 ? 了解 通信和操作管理 、 訪問控制 、 信息系統(tǒng) 獲取開發(fā) 和維護 、 信息安全事件管理 、 業(yè)務(wù)連續(xù)性管理 等管理域的控制目標 和控制 措施 21 信息安全控制措施 ?控制 措施 ? 是 實施信息安全管理的方法和 手段 ? 單位 通過實施一組適當?shù)陌踩刂拼胧?，保護信息資產(chǎn)，抵御威脅并減少系統(tǒng)脆弱性，降低安全風險，達到信息安全 目標 ? 控制 措施涉及行政、技術(shù)和管理等 方面 ?如何制定信息安全控制措施 ? 自己 制定本單位的信息 安全管理控制 措施 ? 學習別人實踐經(jīng)驗，參考國際 /國家標準 ? 《 信息安全管理實用規(guī)則 》 （ ISO 27002） ? 《信息安全管理實用規(guī)則》（ GB/T 22081） 22 ISMS信息 安全管理域 23 安全方針信息安全組織資產(chǎn)管理人力資源安全物理和環(huán)境安全通信和操作管理信息系統(tǒng)獲取開發(fā)和維護訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理符合性? 《信息安全管理實用規(guī)則》（ ISO 27002:2023） ? 《信息安全管理實用規(guī)則》 （ GB/T 220812023） 信息安全管理實用規(guī)則（ GB/T 220812023） 11個域 39個目標 133個控制 措施 24 信息安全管理實用規(guī)則 ?每個主要 安全域， 包括： ? 控制 目標，聲明要實現(xiàn)什么 ? 一個或多 個控制 措施 ，用于 實現(xiàn)該控制 目標 ? 每個（安全）控制措施的描述內(nèi)容 ? 控制措施： 是對該控制措施的定義 ? 實施指南： 是對實施該控制措施的指導性說明 ? 其它信息： 其它需要說明的補充信息，如法律考慮 25 什么是控制措施 ?什么是控制措施 ? 管理風險的方法。為達成企業(yè)目標提供合理保證，并能預防、檢查和糾正風險。 ? 必須保護這些資產(chǎn)不受威脅侵害 ? 定義和監(jiān)督執(zhí)行 XX系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略是XX部門的責任 32 舉例 —— 《 XX系統(tǒng)信息安全總體策略 》 ?安全方針概述 ?資產(chǎn)分類和控制 ? 信息分類 ? 資產(chǎn)分類：信息資產(chǎn)，包括計算機和網(wǎng)絡(luò)，應(yīng)當依據(jù)其價值和敏感性以及保密性、完整性和可用性原則進行分類。研究整改措施時，發(fā)現(xiàn)平時沒有人對該服務(wù)器的安全負責 47 資產(chǎn)管理目標 ?目標 ? 對 資產(chǎn) 負責 —— 實現(xiàn)并保持組織資產(chǎn)的適當保護 ? 信息分類 —— 確保對信息資產(chǎn)的保護達到恰當?shù)乃? ?包含的 內(nèi)容 ? 組織可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別信息資產(chǎn) ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責任 ? 信息應(yīng)該被分類，以標明其需求、優(yōu)先級和保護程度 ? 根據(jù)組織采用的分類方案，為信息標注和處理定義一套合適的程序 48 資產(chǎn)管理 ?信息安全管理工作的根本目的是保護系統(tǒng)中的資產(chǎn) ?資產(chǎn)包括 ? 信息 資產(chǎn) ： 業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊、系統(tǒng)配置、審計記錄、制度流程等 ? 軟件資產(chǎn)： 應(yīng)用軟件、系統(tǒng)軟件、開發(fā) 工具等 ? 物理資產(chǎn)：計算機設(shè)備、通信設(shè)備、存儲介質(zhì)等 ? 服務(wù)：通信 服務(wù) 、公用設(shè)施（供暖 、照明、 能源）等 ? 人員：他們的資格、技能和經(jīng)驗 ? 無形 資產(chǎn)：品牌 、聲譽和形象 49 資產(chǎn)管理控制目標 ?控制目標 ? 對資產(chǎn)負責 ? 信息分類 50 控制措施 —— 對資產(chǎn)負責 ?對資產(chǎn)負責 ? 列出資產(chǎn)清單，明確保護對象 ? 準確 識別資產(chǎn) ， 編制清單，形成文件 ? 括 資產(chǎn)類型 、位置 、備份 信息和 業(yè)務(wù)價值等內(nèi)容 ? 為 資產(chǎn)指定 責任人，明確安全負責 ? “ 責任人 ” 不一定是指具有資產(chǎn)所有權(quán)的人，而是指具有控制生產(chǎn)、開發(fā)、使用和保護資產(chǎn)權(quán)限的個人或?qū)嶓w ? 確定資產(chǎn)的使用限制 條件 ,合法使用 51 資產(chǎn)管理是信息安全管理的重要 內(nèi)容 控制措施 —— 信息分類 ?信息分類 ? 分類 指南 ? 根據(jù) 信息的價值 、 法律要求 和對 組織的敏感程度和關(guān)鍵性 進行分類 ? 信息 標記和 處理 ? 信息類別標記， 設(shè)置合適的分類 說明 ? 如 表明文件的密級、存儲介質(zhì)分類的標簽 ? 規(guī)定重要敏感信息的安全處理、存儲、傳輸、刪除和銷毀的程序 52 對 信息分類是使信息受到適當級別的保護，在處理信息時指明保護的需求、優(yōu)先級和期望程度 關(guān)鍵點 建議分類方法不宜復雜，否則容易造成混亂 每種分類應(yīng)唯一區(qū)別于其它分類，同時不能有任何重疊 分類過程還應(yīng)簡單說明如何在其生命周期內(nèi)控制并處理 53 舉例 —— 商業(yè)公司和軍事機構(gòu)信息分類 組織 分類類別 定義 實例 商業(yè)公司 公共 即使泄漏不會給公司或個 人造成不利影響 有多少人完成某個項 私有 可能給公司或個人帶來不 利影響 人事資源信息 軍事機構(gòu) 絕密 如果泄漏會給國家安全帶 來毀滅性破壞 新型戰(zhàn)時武器設(shè)計圖 秘密 給國家安全造成重大威脅 部隊分布及部署 不保密 非保密信息 計算機通用學習手冊 54 55 Why? ?那些曾經(jīng)發(fā)生過的事 ? 案例一 ? 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現(xiàn)有客戶。 ? 信息系統(tǒng)審核的考慮因素 —— 最大化信息系統(tǒng)審核的有效性，最小化來自 /對信息系統(tǒng)審核的影響。 :25:1320:25Jan2323Jan23 1故人江海別，幾度隔山川。 2023年 1月 下午 8時 25分 :25January 23, 2023 1行動出成果，工作出財富。 20:25:1320:25:1320:251/23/2023 8:25:13 PM 1成功就是日復一日那一點點小小努力的積累。 2023年 1月 23日星期一 下午 8時 25分 13秒 20:25: 1楚塞三湘接，荊門九派通。 , January 23, 2023 閱讀一切好書如同和過去最杰出的人談話。勝人者有力，自勝者強。 2023年 1月 23日星期一 8時 25分 13秒 20:25:1323 January 2023 1一個人即使已登上頂峰，也仍要