【正文】 stem – Set of interrelated or interacting elements q 體系 – 一系列相關(guān)關(guān)聯(lián)相互作用的元素n Work systematically – To be effective ,things have to be anized in a suitable/practical way and should be done in a certain sequenceq 系統(tǒng)地工作 – 為保證工作效率，事情必須按合適的 /可行的方法進(jìn)行組織，并以一定的順序完成n Management System – System to establish policy and objectives and to achieve those objectivesq 管理體系 – 建立方針和目標(biāo)，并實(shí)現(xiàn)目標(biāo)的體系管理體系的 4大要素n 組織機(jī)構(gòu) ：q 明確職責(zé)、權(quán)限n 程序 ：q 告訴相關(guān)人員怎么做n 過程 ：q 具體的執(zhí)行情況，如何做的？比如執(zhí)行人是否每周 2次檢查了某個(gè)應(yīng)用程序的日志？n 資源 ：q 可調(diào)配、使用的人員、設(shè)備等q 培訓(xùn)資源過程程序組織結(jié)構(gòu)管理體系常見的管理體系n 質(zhì)量管理： ISO9001n 環(huán)境管理： ISO14001n 職業(yè)安全： OHSAS18001n 社會責(zé)任： SA8000n 信息安全： ISO27001什么是質(zhì)量n 質(zhì)量 3要素 QCTq 符合客戶的要求（ Q）q 不能導(dǎo)致成本上升（ C）q 時(shí)間（ T）n 以上三個(gè)方面的平衡的結(jié)果就是質(zhì)量QualityCostTime質(zhì)量管理體系一覽n 國際標(biāo)準(zhǔn)q ISO9001n 汽車行業(yè)（比 ISO9001多了項(xiàng)目管理方面的要求）q TS16949（汽車行業(yè)的質(zhì)量管理體系）q QS9000（美國的汽車行業(yè)標(biāo)準(zhǔn)）q （德國大眾的質(zhì)量管理體系）n 其他行業(yè)q ISO22023（食品行業(yè)）q TL9000（通訊業(yè)）q ISO20230（可稱為 IT業(yè)的服務(wù)質(zhì)量標(biāo)準(zhǔn)）q CMMI（適合軟件研發(fā)和新技術(shù)開發(fā)）信息安全的 3要素n Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes q 保密性 – 信息被獲取或泄漏給未經(jīng)授權(quán)的個(gè)人、實(shí)體或流程n Integrity – the property of safeguarding the accuracy and pletenessq 完整性 – 保護(hù)資產(chǎn)準(zhǔn)確和完整n Availability – the property of being accessible and useable upon demand by an authorized entityq 可用性 – 資產(chǎn)僅對授權(quán)人員在需要的時(shí)候是可訪問的或可用的什么叫 ISMS信息安全管理體系n Information 信息q 信息是一種重要資產(chǎn)，對組織的業(yè)務(wù)非常關(guān)鍵。q 簡單地說，是為了確保組織信息的 “三性 ”，設(shè)立的組織機(jī)構(gòu)、程序、過程和資源。n 威脅 Threat：q 引起事故的潛在因素，可能對組織或系統(tǒng)產(chǎn)生損害n 脆弱性 Vulnerability：q 資產(chǎn)的弱點(diǎn)，可能被一個(gè)或多個(gè)威脅利用n 影響 Impact：q 信息安全事故的結(jié)果風(fēng)險(xiǎn)產(chǎn)生的原因n 5大因素：q 自然環(huán)境q 社會經(jīng)濟(jì)環(huán)境q 政治及法制因素q 營運(yùn)環(huán)境q 意識及溝通因素n 或者：q 人q 機(jī)：軟硬件，需要維護(hù)q 料：輸入，包括客戶需求q 法：程序、方法，是否清楚、適當(dāng)q 環(huán)：大環(huán)境資產(chǎn)類型n 通常：q 網(wǎng)絡(luò)q 機(jī)房q PCn 臺式機(jī)n 筆記本q 普通q 營銷部 /中層干部q 高層管理人員q 人員q 文檔n 電子n 書面n 客戶要求q 整體實(shí)體（物理）安全n 分類：q 信息資產(chǎn)：數(shù)據(jù)文件、數(shù)據(jù)庫q 軟件資產(chǎn)：系統(tǒng)軟件、應(yīng)用軟件q 物理資產(chǎn)：計(jì)算機(jī)、通訊設(shè)備q 服務(wù)資產(chǎn)：電力、消防、打印機(jī)、復(fù)印機(jī)q 人力資產(chǎn)：員工、工人q 紙面資產(chǎn)：協(xié)議、合同q 無形資產(chǎn)：公司形象、名譽(yù)、品牌n 注意： IT部門可能擁有上述所有資產(chǎn)，其他部門可能只擁有其中 1至 2項(xiàng)編制資產(chǎn)識別表n 資產(chǎn)？q 對組織有價(jià)值的任何事物n 編制資產(chǎn)識別表的要點(diǎn)q 找對 ownerq 合并同類項(xiàng)，特性和風(fēng)險(xiǎn)相同的資產(chǎn)可以合并為一項(xiàng)n 小竅門：q 先按部門分別進(jìn)行q 對資產(chǎn)項(xiàng)合并同類項(xiàng)后，可跨部門再進(jìn)行一次合并同類項(xiàng)風(fēng)險(xiǎn)的計(jì)算n 第一種方法：風(fēng)險(xiǎn) =嚴(yán)重性 *可能性q 影響程度的嚴(yán)重性（權(quán)重較大）q 威脅發(fā)生的可能性：按歷史發(fā)生情況！n 第二種方法：嚴(yán)重性 *可能性 *脆弱性q 脆弱性：檢驗(yàn)現(xiàn)有防護(hù)措施q RPN=S*O*W (servility* occurrence* weakness)q 比如，美國地震工程研究所對 “地震風(fēng)險(xiǎn)性 ”的定義n 是地震危險(xiǎn)性（致災(zāi)因子）、社會財(cái)富（承災(zāi)性）和脆弱性三者的乘積n FMEA：好方法！q 行業(yè)內(nèi)的叫法： RPN（風(fēng)險(xiǎn)優(yōu)先指數(shù)）風(fēng)險(xiǎn)的計(jì)算（續(xù)）n （第二種方法）根據(jù)資產(chǎn)識別的結(jié)果判斷q 嚴(yán)重性q 威脅名稱、威脅來源、威脅賦值q 脆弱性類別、已有控制措施、脆弱性賦值n 低：現(xiàn)有系統(tǒng)能夠自動識別，且有充分有效的緊急響應(yīng)n 中：通過檢查 /監(jiān)控能夠看出趨勢或有較充分的緊急響應(yīng)n 高：現(xiàn)有條件下不能探測或一旦發(fā)生問題沒有有效q 風(fēng)險(xiǎn)計(jì)算q 風(fēng)險(xiǎn)處理指標(biāo)：風(fēng)險(xiǎn)處置措施、責(zé)任部門、完成時(shí)間示例嚴(yán)重性 …… ……風(fēng)險(xiǎn)接受 /殘余風(fēng)險(xiǎn)可能性 脆弱性 殘余風(fēng) 險(xiǎn)風(fēng)險(xiǎn)的計(jì)算（續(xù)）n 剩余風(fēng)險(xiǎn)q 剩余風(fēng)險(xiǎn) ＝ 資產(chǎn)嚴(yán)重性（不變的）＊　可能性（改進(jìn)后的）＊脆弱性（改進(jìn)后的）n 脆弱性 （需要自己定義，以下舉例）q 低：現(xiàn)有系統(tǒng)能夠自動識別，且有充分有效的緊急響應(yīng)q 中：通過檢查 /監(jiān)控能夠看出趨勢或有較充分的緊急響應(yīng)q 高：現(xiàn)有條件下不能探測或一旦發(fā)生問題沒有有效響應(yīng)n 嚴(yán)重性 （需要自己定義，以下舉例）q 低：不影響正常生產(chǎn)及客戶滿意度，對公司運(yùn)營影響不大q 中：停止 4小時(shí)生產(chǎn)以下，被用戶投訴q 高：停止 4小時(shí)生產(chǎn)以上，被用戶投訴　補(bǔ)充n ISMS的范圍和邊界q 是建立 ISMS的第一步，明確覆蓋哪些業(yè)務(wù)流程n ISMS Policy信息安全管理體系方針q 是信息安全策略（ Information security policy）的擴(kuò)展集q 根據(jù)組織的實(shí)際情況，如業(yè)務(wù)性質(zhì)、地理位置、資產(chǎn)情況和技術(shù)水平來定義，例如：n 在線服務(wù)：對可用性要求高n 金融機(jī)構(gòu)：對完整性要求高n 醫(yī)院：對保密性要求高q 需要考慮業(yè)務(wù)、法規(guī)及合同責(zé)任方面的要求q 建立風(fēng)險(xiǎn)管理準(zhǔn)則，明確可接受的風(fēng)險(xiǎn)水平q 得到管理層的批準(zhǔn)Exercise 1n 作業(yè)：q 講解 ISO27001 a10a12q 以及 和 ISO27001 LA Training CourseDay 3ShanghaiFeb. 20, 2023ISO27001的組成n 主體部分：q Clause 4, 5, 6, 7, 8 （所有 IS