【正文】 Feb. 19, 2023建立 ISMS的步驟1. 制定方針2. 確定邊界3. 識別資產(chǎn)4. 風(fēng)險(xiǎn)評估5. 風(fēng)險(xiǎn)處置6. 風(fēng)險(xiǎn)接受7. 動態(tài)的風(fēng)險(xiǎn)管理制定方針確定邊界識別資產(chǎn)風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)接受動態(tài)的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)、威脅和脆弱性的概念n 風(fēng)險(xiǎn) Risk：q 特定的威脅利用資產(chǎn)漏洞的潛在可能，并可導(dǎo)致對組織的危害。 物理安全和人員安全的要點(diǎn)n 物理安全需檢查：q 平面布局圖q 標(biāo)示出的敏感物理區(qū)域n 人員安全需注意：q 任何人發(fā)生變動而引起權(quán)限變更，都必須報(bào)告給HR文件管理n Best practices:q 絕密級的文件要受控發(fā)放（每頁加 “絕密 ”字樣），當(dāng)天發(fā)放、當(dāng)天收回q 絕密級的電子文件不允許放到網(wǎng)上q 一句經(jīng)典： online的才是有效的，打印的僅供參考！風(fēng)險(xiǎn)處置選項(xiàng)與適用性聲明n Risk Treatment Optionsq 降低風(fēng)險(xiǎn) Risk reductionn 采取控制措施q 回避風(fēng)險(xiǎn) Risk avoidancen 拋棄某種技術(shù)或生產(chǎn)方式q 轉(zhuǎn)移風(fēng)險(xiǎn) Risk transfern 保險(xiǎn)、外包q 接受風(fēng)險(xiǎn) Risk acceptancen ……n Statement of applicabilityq 概括了對風(fēng)險(xiǎn)處置的決定About FILES Audit關(guān)于文審n Basic audit skills: q 初審之前要求企業(yè)提供 Two Initial requirements:n Organizational chart組織結(jié)構(gòu)圖n Files list文件清單n Files architecture:q High level: Policy/ Manual（方針、手冊）q Medium level: Standard procedures (4W1H)q Low Level: Working instructions (作業(yè)指導(dǎo)書，針對特定工藝、產(chǎn)品或崗位 )q Basic level: records（記錄）Tips 4n 初審時(shí)最重要的一件事：找出 “風(fēng)險(xiǎn) ”點(diǎn)！n 針對核心系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，實(shí)施控制措施n 考試小竅門：q 很多問題的答案都應(yīng)該選 “Policy”q ?審核類型n Types of auditsq First party/ internal auditn 內(nèi)審，但不能審核與自己工作職責(zé)相同的范圍q Second party/ external auditn 客戶對于供應(yīng)商的審核q Third party/ external auditn 獨(dú)立、公正的認(rèn)證機(jī)構(gòu)的審核n Other auditsq Process audit （一般表現(xiàn)為受委托對第二方進(jìn)行審核）q Product audit（一般表現(xiàn)為企業(yè)對自身產(chǎn)品的抽樣、破壞性試驗(yàn)）認(rèn)可 /認(rèn)證的層次關(guān)系n 由上至下：q Department of Trade and Industry (DTI)n 世界工業(yè)聯(lián)合會q Accreditation Body (. UKAS)n 認(rèn)可機(jī)構(gòu)q Certification Bodies (. DNV)n 認(rèn)證機(jī)構(gòu)q Organizationsn 組織q Suppliersn 供應(yīng)商Certificate Processes預(yù)審 Preliminary assessment (optional)文件審核 Document review (stage 1)初訪 Initial visit (stage1)初審 Initial audit (stage2) followup visit跟蹤訪問 followup visit定期審核 Periodic audits換證審核 Recertification audit另類的標(biāo)準(zhǔn)n ISO 19011 審核標(biāo)準(zhǔn)q 系統(tǒng)性q 獨(dú)立性q 公正性n ISO 13335q IT最佳實(shí)踐 n q 質(zhì)量的 checklist，很有參考價(jià)值！ISO19011 Auditor Attributesn Open minded：開放的思想n Observant：觀察力n Diplomatic：外交能力n Perceptive：理解力n Versatile：多才多藝n Tenacious：不屈不撓n Decisive：堅(jiān)定n Self reliant：自信Observant：觀察力Diplomatic：外交能力Perceptive：理解力Versatile：多才多藝Tenacious：不屈不撓Decisive：堅(jiān)定Self reliant：自信Open minded：開放的思想AuditorAttributes審核輸出與審核發(fā)現(xiàn)n What is the output of an audit? 審核的輸出q Weaknessq Strengthsq Opportunitiesq Risksq Failuresn Findings審核發(fā)現(xiàn)（需要定義）q Noteworthy efforts值得努力（一般口頭說說即可）q Observations觀察項(xiàng)q Nonconformitiesn 一般不符合（如果無證據(jù)支撐，即使說做過了，也可認(rèn)為是一般不符合）n 嚴(yán)重不符合（在同一個(gè)區(qū)域多次發(fā)生或造成嚴(yán)重事故或后果，有嚴(yán)重失效） 不符合定義 by DNVn Category I (Major) NonConformity嚴(yán)重不符合q The absence of, or the ineffective implementation of, one or more required system elements, or a situation which raises significant doubt that practices will meet specified requirements.q 一個(gè)或多個(gè)系統(tǒng)的要素缺失或無效實(shí)施 。￥ ISO27001 Lead Auditor Training CourseNeil YuShanghaiFeb. 1822, 2023Version Updated on June 19, 2023ISO27001 LA Training CourseDay 1ShanghaiFeb. 18, 2023典型的信息安全事件n HW事件q HW到中東某國投標(biāo)，５、６人住當(dāng)?shù)匾患揖频?。n 半導(dǎo)體業(yè)對 ISMS的要求非常嚴(yán)格，甚至高過金融業(yè)！Tips2n 歷史教訓(xùn)：保安和清潔工是信息安全的重要威脅！（無意傷害對 “階層 ” 感情的好惡）q 所有員工，包括所有外來人員，必須接受信息安全的培訓(xùn)q 小竅門：在門衛(wèi) /傳達(dá)室放一個(gè)《外來人員安全須知》， 外來人員在閱讀后要簽字，這是對外來人員進(jìn)行了信息安全培訓(xùn)的證據(jù)Tips3n 信息安全容易忽視的兩個(gè)的地方q Thumb drive （ U盤，盡量禁用?。﹒ Domain controller（域控制器，加強(qiáng)管理?。﹏ Good practices: q 人員發(fā)生變動的時(shí)候，一定要調(diào)整訪問權(quán)限q 查看企業(yè)的財(cái)產(chǎn)保險(xiǎn)合同q 審核完畢后一般都需要提高保險(xiǎn)級別！很 NB的縮寫n Black Belt：黑帶 %！ %！ 至于三級文件，因各個(gè)機(jī)構(gòu)情況不一，在此就沒有一一列舉