【正文】 e c u r it y P o li c y ）? ISMS “ 木桶 ” 由哪些 “ 板 ” 組成？ ? 類似于質量管理體系的 ISO9000標準， ISMS也有相應的國際標準ISO27001，它確定了 ISMS的 11個安全領域及 133個相應的控制措施。 ? 正式運行前，需要領導層進行動員，并進行全員培訓，簽定相關協(xié)議，方針策略、規(guī)章制度正式起用。 基礎技術系統(tǒng) 安全防護系統(tǒng) 應用支撐系統(tǒng) 安全 運維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎技術系統(tǒng) ? 縱深防御架構 ? 可信網和不可信網要物理層隔斷，網絡邏輯連接要割斷，應用數(shù)據(jù)要凈化，不可信網絡上的計算機不能直接到達可信網絡。 入侵檢測：發(fā)現(xiàn)非法入侵行為 。 ? 解決方案 :使用統(tǒng)一的身份認證證書 ? 業(yè)務系統(tǒng)本身必須能夠對自己的資源進行控制， 能夠動態(tài)地分配權限，控制使用者的操作行為，防止越崗位操作或越權限操作。我們把信息安全中對人的有效管理稱為“人力防火墻”。 ? 人力資源政策 ? 因此除了技術的控制手段外，要制定合適的人力資源政策，加強對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人的這種對安全價值的認識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。 ? 檢查小組根據(jù)組織的信息安全方針、策略及程序要求，編寫各類安全檢查列表，進行符合性檢查。 ? 在 IT行業(yè)系統(tǒng)集成、軟件開發(fā)、信息安全與控制領域有十五年工作經驗，精通網絡技術、軟件開發(fā)技術、信息安全技術，長期從事企業(yè)信息化建設，對國內大中型企業(yè)的計算機網絡、應用系統(tǒng)、安全系統(tǒng)的規(guī)劃、設計、實施有較豐富的經驗。 :15:0423:15:04March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :15:0423:15Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1一個人即使已登上頂峰，也仍要自強不息。勝人者有力，自勝者強。 。 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 ? 內審小組負責編寫本次內審的 《 內部審計方案 》 ，其內容一般為 :被審部門、審計時間、內容、范圍、審計依據(jù)、目的、方法；內審小組成員及其分工；審計活動日程安排。 ? 審核工作是審計機構對組織的信息安全控制措施是否完備所做的鑒證過程。 ? 好的安全教育計劃應該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關。 ? 信息安全指導委員會 ? 信息安全主管為核心的、專業(yè)的信息安全管理的隊伍 ? 把相應的安全責任落實到每一個員工身上 員工 ISMS職責表 ISMS文件與工作人員矩陣 信息安全管理員職責矩陣 、 工作流程 火龍果 ? 整理 . ? 制定計劃 ? 行動計劃主要有 ： ? 信息安全政策制訂與實施 ? 與信息安全相關的人力資源政策的制訂 ? 安全事件響應計劃 ? 監(jiān)控日常安全事務及員工對安全政策的遵循 ? 業(yè)務連續(xù)性計劃及災難恢復計劃 ? 安全教育計劃 ? 建設企業(yè)安全文化 ? 預算計劃 ? 有足夠資金支持的計劃才是切實可行的計劃，才能有效地落實信息安全所需要的人、財、物等資源的配置。 ? 解決方案 :基于數(shù)字簽名 火龍果 ? 整理 . ? 安全運維系統(tǒng) ? 安全運維管理系統(tǒng)對整個安全系統(tǒng)起管理、監(jiān)控、調度和應急報警等作用，負責對全網絡安全防護設備進行管理，為各個應用系統(tǒng)提供安全管理接口，對需要特別關注的應用系統(tǒng)進行應用審計。（網絡及主機操作系統(tǒng)、數(shù)據(jù)庫、應用平臺的加固） 安 全 邊 界 網絡行為審計：加強網絡安全管理，追查安全事件。 網 頁 保 護安 全 審 計漏 洞 、 病 毒 掃 描抗 拒 絕 服 務入 侵 檢 測邊 界 訪 問 控 制I n t e r n e t公 眾 服 務 網多 重 認 證 與 授 權強 審 計漏 洞 、 病 毒 掃 描入 侵 檢 測辦 公 業(yè) 務 網V L A N網絡隔離　 　 　 　 　 　 　 　 　 　 　 基 礎 安 全 服 務 設 施－ C A / P K I 認 證 體 系 （ 提 供 數(shù) 字 簽 名 、 加 密 等 基 礎 服 務 接 口 ） 　 － 應 急 支 援 系 統(tǒng) （ C E R T ）－ 基 于 數(shù) 據(jù) 證 書 的 可 信 時 間 服 務 　 　 － 基 于 L A N / S A N 結 構 的 備 份 系 統(tǒng) 　 － 災 難 恢 復 及 業(yè) 務 連 續(xù) 性 計 劃網 絡 隔 離V P N外 單 位 網 絡信 息 交 換 層邊 界 訪 問 控 制物理隔離多 重 認 證 與 授 權強 審 計加 密 數(shù) 據(jù) 庫系 統(tǒng) 鏡 像涉 密 內 網. . .加 密 傳 輸明 文 傳 輸圖 例 ： 火龍果 ? 整理 . 省級局域網 上級接口 下級接口 橫 向 接 口 互 聯(lián) 網 接 口 加密機：保護離開局域網的信息安全，同時防止非法接入。 ? 技術產品方面 ：綜合利用商用密碼、防火墻、防病毒、身份識別、網絡隔離、可信服務、安全服務、備份恢復、 PKI服務、取證、網絡入侵陷阱、主動反擊等多種技術與產品來保證企業(yè)的信息系統(tǒng)的機密性、完整性和可靠性。 火龍果 ? 整理 . 定 義 安 全 方 針定 義 I S M S的 范 圍實 施 風 險 評 估風 險 管 理選 擇 控 制 目 標和 實 施 控 制準 備 適 用 性聲 明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 針 文 檔I S M S 范 圍 文 檔風 險 評 估 文 檔結 果 與 結 論選 擇 控 制適 用 性 聲 明識 別 資 產風 險 管 理 策 略控 制 概 要威 脅 、 脆 弱 點資 產 影 響組 織 風 險 管 理 方 法需 要 保 護 的 程 度B S 7 7 9 9 中 的 控 制其 他 控 制 措 施? ISMS建設過程： ? 建立 ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進行整體安全建設 ? 從信息系統(tǒng)本身出發(fā)，通過建立資產清單，進行風險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 ? 從安全防護手段看信息安全的成本：技術成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經濟損失 ? 信息安全的非價值效益：增加聲譽、提升品牌價值 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術框架 ? 信息安全管理體系 ISMS 七、建立信息安全管理體系 人們逐漸認識到安全管理的重要性，作為信息安全建設藍圖的安全體系就應該顧及安全管理的內容。 人員安全 維護組織資產的適當保護系統(tǒng)。 ? ISO27001確立了組織機構內啟動、實施、維護和改進信息安全管理的指導方針和通用原則，以規(guī)范組織機構信息安全管理建設的內容，因此，風險評估時，可以把 ISO27001作為安全基線，與組織當前的信息安全現(xiàn)狀進行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏 ISO27001調查問卷示例 0%64%40%67% 62%81%56%81%60% 60%70% 67%%%%%%%%%%%安全政策信息安全的組織資產管理人力資源安全實體與環(huán)境安全 通訊與操作管理訪問控制信息系統(tǒng)取得、開發(fā)及維護信息安全事故管理營運持續(xù)管理符合性合計系列1《 信息安全管理體系風險評估與處置建議報告 》 火龍果 ? 整理 . ? 信息資產風險評估 ? 針對重要的信息資產進行安全影響、威脅、漏洞及可能性分析，從而估計對業(yè)務產生的影響，最終可以選擇適當?shù)姆椒▽︼L險進行有效管理。 ? 缺點：風險評估人員一般最容易找到的資產無非就是硬件類、軟件類的資產，而對安全來說至關重要的 IT治理、組織