【正文】 連續(xù)性計劃，以達到企業(yè)的可用性需求 ? 災(zāi)難恢復(fù)的業(yè)務(wù)觀點包括評估發(fā)生意外的可能性、風(fēng)險變成事實后所帶來的沖擊、以及管理階層的應(yīng)對措施 ? 為了有效地對抗災(zāi)難，擬定業(yè)務(wù)需求時應(yīng)注重于設(shè)計出在發(fā)生災(zāi)難時能夠至少涵蓋下列部分的完整計劃： ? 響應(yīng)：發(fā)生災(zāi)難時，必須立即采取的緊急應(yīng)變措施 ? 復(fù)原：為了從災(zāi)難中復(fù)原所采取的動作 ? 繼續(xù)：為了繼續(xù)正常業(yè)務(wù)運作所采取的動作 ? 還原：讓原來的節(jié)點還原成最初狀況的過程 ? 責(zé)任：個人應(yīng)對執(zhí)行哪一部份的計劃負(fù)責(zé) ? 負(fù)責(zé)人必須確認(rèn)計劃實施所需資源：人力、裝備、技術(shù)、財務(wù) 17799:2023 信息安全管理實施細(xì)則 業(yè)務(wù)連續(xù)性計劃框架 計劃啟動條件 應(yīng)急（ Emergency）程序 退卻（ Fallback）及臨時操作程序 恢復(fù)（ Resumption）程序 計劃維護時間表 意識和教育 個人職責(zé) 17799:2023 信息安全管理實施細(xì)則 測試方式 ? 針對各種假想場景做桌面測試，展開討論 ? 模擬（特別針對承擔(dān)事后 /危機管理角色的人員培訓(xùn)） ? 技術(shù)恢復(fù)測試（確保信息系統(tǒng)能被有效恢復(fù)） ? 在替換場地做恢復(fù)測試 ? 測試供應(yīng)商設(shè)備和服務(wù)（確保所提供的外部服務(wù)和產(chǎn)品符合合同承諾） ? 排練（測試組織、人員、設(shè)備、設(shè)施和流程能夠應(yīng)付中斷） 17799:2023 信息安全管理實施細(xì)則 目標(biāo)：避免違反任何法律、條令、法規(guī)或者合同義務(wù)，以及任何安全要求。 17799:2023 信息安全管理實施細(xì)則 信息安全事件管理一般流程 17799:2023 信息安全管理實施細(xì)則 14 業(yè)務(wù)連續(xù)性管理 業(yè)務(wù)連續(xù)性管理的信息安全方面 在業(yè)務(wù)連續(xù)性管理過程中考慮信息安全 業(yè)務(wù)連續(xù)性和風(fēng)險評估 開發(fā)和實施包含信息安全的連續(xù)性計劃 業(yè)務(wù)連續(xù)性計劃框架 測試、維護和再評估業(yè)務(wù)連續(xù)性計劃 目標(biāo)：減少業(yè)務(wù)活動的中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事故或災(zāi)害的影響，確保其及時恢復(fù)。 12 信息系統(tǒng)獲取、開發(fā)和維護 信息系統(tǒng)的安全需求 安全需求分析和規(guī)范 應(yīng)用程序中正確的處理 輸入數(shù)據(jù)的驗證 內(nèi)部處理控制 消息完整性 輸出數(shù)據(jù)的驗證 目標(biāo)： 防止應(yīng)用程序中的信息出錯、丟失、被非授權(quán)篡改或誤用。 17799:2023 信息安全管理實施細(xì)則 目標(biāo)：保護網(wǎng)絡(luò)服務(wù)，防止非授權(quán)訪問，對內(nèi)部和外部的網(wǎng)絡(luò)訪問都應(yīng)該得到控制。 網(wǎng)絡(luò)安全管理 網(wǎng)絡(luò)控制 網(wǎng)絡(luò)服務(wù)的安全 目標(biāo)： 確保網(wǎng)絡(luò)中的信息以及支持技術(shù)設(shè)施得到保護。 9 物理和環(huán)境安全 安全區(qū)域 物理安全邊界 物理入口控制 保護辦公場所、房間和設(shè)施 防止外部和環(huán)境威脅 在安全區(qū)內(nèi)工作 公共訪問和交接區(qū)域 目標(biāo)： 防止非授權(quán)物理訪問、破壞和干擾組織的安全區(qū)邊界。 8 人力資源安全 聘用前的控制 角色和責(zé)任 人員篩選（ Screening） 聘用條件和條款 聘用期間 管理層職責(zé) 信息安全意識、教育和培訓(xùn) 懲罰機制 目標(biāo)： 確保所有雇員、合同工和第三方用戶都意識到信息安全威脅、利害關(guān)系、責(zé)任和義務(wù)，并在其正常工作當(dāng)中支持組織的安全策略，減少人為錯誤導(dǎo)致的風(fēng)險。 信息分類 分類指南 信息標(biāo)注及處理 目標(biāo)：確保信息資產(chǎn)得到適當(dāng)級別的保護。 17799:2023 信息安全管理實施細(xì)則 組織應(yīng)該建立起有效的信息安全管理框架，以便發(fā)起并控制組織內(nèi)部信息安全的實施。 17799:2023 信息安全管理實施細(xì)則 5 安全策略 信息安全策略 信息安全策略文件 信息安全策略復(fù)查 目標(biāo)：為信息安全提供與業(yè)務(wù)需求和法律法規(guī)相一致的管理指示及支持。 ? 操作性弱點：配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份中的漏洞。 ? 風(fēng)險（） —— 特定威脅利用資產(chǎn)弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性。 風(fēng)險評估 風(fēng)險管理 風(fēng)險評估（ ）就是對信息和信息處理設(shè)施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。該模型定義了一個安全工程過程應(yīng)有的特征，這些特征是完善安全工程的根本保證 ? ? 美國國家安全局（）制定的 ，為保護美國政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南 ? 13569 ? 銀行和相關(guān)金融服務(wù)信息安全指南 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 2 ? 提供了一組關(guān)于 7799的系列指導(dǎo)文件（ 3000系列）： ? 3001 – 7799 ? 3002 – ? 3003 – “ a 7799 ?” ? 3004 – 7799 ? 3005 – 7799 ? 4444 ? 澳大利亞和新西蘭等同采用的 7799（后來，根據(jù) 17799:2023頒布了 17799:2023，根據(jù) 77992:2023又頒布了 :2023） ? 4360 ? 澳大利亞和新西蘭自己的信息安全管理標(biāo)準(zhǔn) ? 13335 ? 即安全管理指南（ ，），分 5個部分。 ? 在信息系統(tǒng)受到侵害時，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。 ? 2023年 10月 —— 正式采用 77992:2023，命名為 27001:2023。 7799簡介 7799的歷史沿革 ? 1990年代初 —— 英國貿(mào)工部（）成立工作組，立項開發(fā)一套可供開發(fā)、實施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 ? 的主要活動是制定國際標(biāo)準(zhǔn)，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)化工作，組織各成員國和技術(shù)委員會進行報交流，以及與其他國際性組織進行合作，共同研究有關(guān)標(biāo)準(zhǔn)問題。 ? 需要全員參與。 ? 信息安全管理（ ）是組織完整的管理體系中一個重要的環(huán)節(jié)，它構(gòu)成了信息安全具有能動性的部分，是指導(dǎo)和控制組織的關(guān)于信息安全風(fēng)險的相互協(xié)調(diào)的活動，其針對對象就是組織的信息資產(chǎn)。 ? 身份識別（） —— 用戶向系統(tǒng)聲稱其真實身份的方式。中遠(yuǎn)網(wǎng)絡(luò) (北京 )有限公司信息安全管理體系基礎(chǔ)培訓(xùn) 北京安言信息技術(shù)有限公司 歡迎您參加這次《信息安全管理體系基礎(chǔ)知識》培訓(xùn)班，本課程是我們特意為北京中遠(yuǎn)網(wǎng)絡(luò)公司度身定制的，旨在引領(lǐng)大家理解信息安全管理最佳實踐，以便更好地開展即將啟動的項目。 三元組是信息安全的目標(biāo)，也是基本原則，與之相反的是三元組： .和 . I A D isclosure A lteration D estruction 泄漏 破壞 篡改 信息安全概述 機密性 可用性 完整性 信息安全概述 其他概念和原則 ? 私密性（） —— 個人和組織控制私用信息采集、存儲和分發(fā)的權(quán)利。 ? 人們常說，三分技術(shù)，七分管理，可見管理對信息安全的重要性。 ? 對風(fēng)險實施動態(tài)管理。 不斷發(fā)展自己的工作隊伍，完善自己的工作機構(gòu)和體制， 把標(biāo)準(zhǔn)化和質(zhì)量管理以及對外貿(mào)易緊密結(jié)合起來開展工作 ? 的宗旨： ? 1. 為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進生產(chǎn)， 達到標(biāo)準(zhǔn)化（包括簡化） ? 2. 制定和修訂英國標(biāo)準(zhǔn)，并促進其貫徹執(zhí)行 ? 3. 以學(xué)會名義，對各種標(biāo)志進行登記，并頒發(fā)許可證 ? 4. 必要時采取各種行動，保護學(xué)會利益 7799簡介 國際標(biāo)準(zhǔn)化組織（） ? 國際標(biāo)準(zhǔn)化組織（ ，） ? 國際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專門機構(gòu)， 它在國際標(biāo)準(zhǔn)化中占主導(dǎo)地位。它旨在為一個機構(gòu)提供用來制定安全標(biāo)準(zhǔn)、實施有效的安全管理時的通用要素，并得以使跨機構(gòu)的交易得到互信 。 ? 2023年 6月 —— 17799:2023改版，成為 17799:2023。 ? 對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。的目的是建立一個各國都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評價標(biāo)準(zhǔn) ? （ 21827） ? 美國國家安全局（）于 1993年提出的專門用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。 在信息安全領(lǐng)域，風(fēng)險（）就是指信息資產(chǎn)遭受損壞并給企業(yè)帶來負(fù)面影響的潛在可能性。 ? 弱點（） —— 也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。 風(fēng)險評估與管理 識別并評估信息資產(chǎn) ? 數(shù)據(jù)信息：存在于電子媒介中的各種數(shù)據(jù)和資料，包括源代碼、數(shù)據(jù)庫、數(shù)據(jù)文件、系統(tǒng)文件等 ? 書面文件：合同，策略方針，企業(yè)文件，重要商業(yè)結(jié)果 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開發(fā)工具，公用程序 ? 實物資產(chǎn)：計算機和通信設(shè)備，磁介質(zhì)，電源和空調(diào)等技術(shù)性設(shè)備，家具，場所 ? 人員：承擔(dān)特定職能和責(zé)任的人員 ? 服務(wù)：計算和通信服務(wù)，其他技術(shù)性服務(wù)， 例如供暖、照明、水電、等 ? 組織形象與聲譽：企業(yè)形象，客戶關(guān)系等，屬于無形資產(chǎn) 信息資產(chǎn)價值評估標(biāo)準(zhǔn) 高（ 3）：非常重要，缺了這個資產(chǎn)（的喪失），業(yè)務(wù)活動將中斷并且遭受不可挽回的損失 中（ 2）：比較重要，缺了這個資產(chǎn)（的喪失或受損），業(yè)務(wù)活動將被迫延緩，造成明顯損失 低（ 1）：不太重要，缺了這個資產(chǎn)，業(yè)務(wù)活動基本上不受影響 風(fēng)險評估與管理 識別并評估威脅 ? 人員威脅：故意破壞和無意失誤 ? 系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或服務(wù)出現(xiàn)的故障 ? 環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等 ? 自然威脅：洪水、地震、臺風(fēng)、雷電等 威脅可能性評估標(biāo)準(zhǔn) 高（ 3）：非?？赡?，在業(yè)務(wù)活動持續(xù)期間，時刻都有可能出現(xiàn) 中（ 2）：比較可能，在業(yè)務(wù)活動持續(xù)期間，有可能多次出現(xiàn) 低（ 1）：不太可能，在業(yè)務(wù)活動持續(xù)期間，不大可能出現(xiàn) 風(fēng)險評估與管理 識別并評估弱點 ? 技術(shù)性弱點：系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷。 17799:2023 信息安全管理實施細(xì)則 法律要求和最佳實踐控制措施 ? 與法律相關(guān)的控制措施： ? 知識產(chǎn)權(quán)（ ）：遵守知識產(chǎn)權(quán)保護和軟件產(chǎn)品保護的法律（ ） ? 保護組織的記錄：保護重要的記錄不丟失、破壞和偽造（ ） ? 數(shù)據(jù)保護和個人信息隱私：遵守所在國的數(shù)據(jù)保護法律（ ） ? 與最佳實踐相關(guān)的控制措施： ? 信息安全策略文件：高管批準(zhǔn)發(fā)布信息安全策略文件，并廣泛告知（ ） ? 信息安全責(zé)任的分配：清晰地定義所有的信息安全責(zé)任（ ） ? 信息安全意識、教育和培訓(xùn)：全員員工及相關(guān)人員應(yīng)該接受恰當(dāng)?shù)囊庾R培訓(xùn)（ ） ? 正確處理應(yīng)用程序：防止應(yīng)用程序中的信息出錯、損壞或被非授權(quán)篡改及誤用（ ） ? 漏洞管理：防止利用已發(fā)布的漏洞信息來實施破壞（ ） ? 管理信息安全事件和改進：確保采取一致和有效的方法來管理信息安全事件（ ） ? 業(yè)務(wù)連續(xù)性管理：減少業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)過程不受重大事件或災(zāi)難影響（ 14） ? 盡管選擇以上控制是信息安全很好的起點，但還是不能代替基于風(fēng)險評估選擇合適的安全控制。 外部伙伴 識別與外部伙伴相關(guān)的風(fēng)險 和客戶交往時注意安全 在第三方協(xié)議中注明安全 目標(biāo)：維護被外部伙伴訪問、處理和管理的組織的信息處理設(shè)施和信息資產(chǎn)的安全。所有資產(chǎn)都應(yīng)該責(zé)任到人。信息屬主的責(zé)任在于： ? 基于業(yè)務(wù)需求，對信息分類等級作出最初決定；定期復(fù)查分類方案，根據(jù)業(yè)務(wù)需求的變化作出更改；向保管者委派承擔(dān)數(shù)據(jù)保護任務(wù)的責(zé)任 ? 保管者（）： ? 受信息屬主委托而負(fù)責(zé)保護信息，通常由系統(tǒng)人員來承擔(dān)，其職責(zé)包括： ? 定期備份，測試備份數(shù)據(jù)的有效性；必要時對數(shù)據(jù)進行恢復(fù)；根據(jù)既定的信息分類策略，維護保留下來的記錄 ? 用戶（）： ? 任何在日常工作中使用信息的人（操作員、雇員或外部伙伴），即數(shù)據(jù)的消費者，應(yīng)該注意： ? 用戶必須遵守安全策略中定義的操作程序；用戶必須在工作期間承擔(dān)保護信息安全的責(zé)任；用戶必須只將公司的計算資源用作公司目的，不能做個人使用 17799:2023 信息安全管理實施細(xì)則 目標(biāo)：確保雇員、合同工和第三方用戶理解其自身責(zé)任，適合角色定位，減少偷竊、欺詐或誤用設(shè)施帶來的風(fēng)險。促進安全意識，可以減少人員的非授權(quán)活動，可以增強保護控制的效率，有助于避免欺詐和對計算資源的浪費 ? 員工具有安全意識的標(biāo)志： ? 認(rèn)知可能存在的安全問題及其危害，理解安全所需 ? 明白自身的安全職責(zé)，恪守正確的行為方式 ? 促進安全意識的方法和途徑多種多樣： ? 交互性的、實時的介紹，課程，視頻 ? 出版發(fā)布物品，新聞傳單，張貼物，簡