【正文】 e c u r it y P o li c y ）? ISMS “ 木桶 ” 由哪些 “ 板 ” 組成？ ? 類似于質(zhì)量管理體系的 ISO9000標(biāo)準(zhǔn)， ISMS也有相應(yīng)的國際標(biāo)準(zhǔn)ISO27001，它確定了 ISMS的 11個安全領(lǐng)域及 133個相應(yīng)的控制措施。 ? 正式運行前，需要領(lǐng)導(dǎo)層進(jìn)行動員，并進(jìn)行全員培訓(xùn)，簽定相關(guān)協(xié)議，方針策略、規(guī)章制度正式起用。 基礎(chǔ)技術(shù)系統(tǒng) 安全防護(hù)系統(tǒng) 應(yīng)用支撐系統(tǒng) 安全 運維 管理 系統(tǒng) 火龍果 ? 整理 . ? 基礎(chǔ)技術(shù)系統(tǒng) ? 縱深防御架構(gòu) ? 可信網(wǎng)和不可信網(wǎng)要物理層隔斷，網(wǎng)絡(luò)邏輯連接要割斷，應(yīng)用數(shù)據(jù)要凈化，不可信網(wǎng)絡(luò)上的計算機(jī)不能直接到達(dá)可信網(wǎng)絡(luò)。 入侵檢測：發(fā)現(xiàn)非法入侵行為 。 ? 解決方案 :使用統(tǒng)一的身份認(rèn)證證書 ? 業(yè)務(wù)系統(tǒng)本身必須能夠?qū)ψ约旱馁Y源進(jìn)行控制， 能夠動態(tài)地分配權(quán)限，控制使用者的操作行為，防止越崗位操作或越權(quán)限操作。我們把信息安全中對人的有效管理稱為“人力防火墻”。 ? 人力資源政策 ? 因此除了技術(shù)的控制手段外，要制定合適的人力資源政策，加強(qiáng)對“人”的管理，對潛在的安全入侵者也是一種威懾及懲戒措施，這是建立人力防火墻的有效控制手段。人的這種對安全價值的認(rèn)識以及使自己的一舉一動符合安全的行為規(guī)范的表現(xiàn)，正是所謂的“安全修養(yǎng)”。 ? 檢查小組根據(jù)組織的信息安全方針、策略及程序要求，編寫各類安全檢查列表，進(jìn)行符合性檢查。 ? 在 IT行業(yè)系統(tǒng)集成、軟件開發(fā)、信息安全與控制領(lǐng)域有十五年工作經(jīng)驗，精通網(wǎng)絡(luò)技術(shù)、軟件開發(fā)技術(shù)、信息安全技術(shù)，長期從事企業(yè)信息化建設(shè)，對國內(nèi)大中型企業(yè)的計算機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、安全系統(tǒng)的規(guī)劃、設(shè)計、實施有較豐富的經(jīng)驗。 :15:0423:15:04March 8, 2023 ? 1他鄉(xiāng)生白發(fā)，舊國見青山。 :15:0423:15Mar238Mar23 ? 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 ? 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1一個人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時 15分 4秒 23:15:048 March 2023 ? 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 8, 2023 ? 雨中黃葉樹，燈下白頭人。 ? 內(nèi)審小組負(fù)責(zé)編寫本次內(nèi)審的 《 內(nèi)部審計方案 》 ，其內(nèi)容一般為 :被審部門、審計時間、內(nèi)容、范圍、審計依據(jù)、目的、方法；內(nèi)審小組成員及其分工；審計活動日程安排。 ? 審核工作是審計機(jī)構(gòu)對組織的信息安全控制措施是否完備所做的鑒證過程。 ? 好的安全教育計劃應(yīng)該讓員工知道組織的信息安全面臨的威脅及信息安全事件帶來的后果，使員工切身感覺到安全事件與自己息息相關(guān)。 ? 信息安全指導(dǎo)委員會 ? 信息安全主管為核心的、專業(yè)的信息安全管理的隊伍 ? 把相應(yīng)的安全責(zé)任落實到每一個員工身上 員工 ISMS職責(zé)表 ISMS文件與工作人員矩陣 信息安全管理員職責(zé)矩陣 、 工作流程 火龍果 ? 整理 . ? 制定計劃 ? 行動計劃主要有 ： ? 信息安全政策制訂與實施 ? 與信息安全相關(guān)的人力資源政策的制訂 ? 安全事件響應(yīng)計劃 ? 監(jiān)控日常安全事務(wù)及員工對安全政策的遵循 ? 業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃 ? 安全教育計劃 ? 建設(shè)企業(yè)安全文化 ? 預(yù)算計劃 ? 有足夠資金支持的計劃才是切實可行的計劃，才能有效地落實信息安全所需要的人、財、物等資源的配置。 ? 解決方案 :基于數(shù)字簽名 火龍果 ? 整理 . ? 安全運維系統(tǒng) ? 安全運維管理系統(tǒng)對整個安全系統(tǒng)起管理、監(jiān)控、調(diào)度和應(yīng)急報警等作用，負(fù)責(zé)對全網(wǎng)絡(luò)安全防護(hù)設(shè)備進(jìn)行管理，為各個應(yīng)用系統(tǒng)提供安全管理接口，對需要特別關(guān)注的應(yīng)用系統(tǒng)進(jìn)行應(yīng)用審計。（網(wǎng)絡(luò)及主機(jī)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用平臺的加固） 安 全 邊 界 網(wǎng)絡(luò)行為審計：加強(qiáng)網(wǎng)絡(luò)安全管理，追查安全事件。 網(wǎng) 頁 保 護(hù)安 全 審 計漏 洞 、 病 毒 掃 描抗 拒 絕 服 務(wù)入 侵 檢 測邊 界 訪 問 控 制I n t e r n e t公 眾 服 務(wù) 網(wǎng)多 重 認(rèn) 證 與 授 權(quán)強(qiáng) 審 計漏 洞 、 病 毒 掃 描入 侵 檢 測辦 公 業(yè) 務(wù) 網(wǎng)V L A N網(wǎng)絡(luò)隔離　 　 　 　 　 　 　 　 　 　 　 基 礎(chǔ) 安 全 服 務(wù) 設(shè) 施－ C A / P K I 認(rèn) 證 體 系 （ 提 供 數(shù) 字 簽 名 、 加 密 等 基 礎(chǔ) 服 務(wù) 接 口 ） 　 － 應(yīng) 急 支 援 系 統(tǒng) （ C E R T ）－ 基 于 數(shù) 據(jù) 證 書 的 可 信 時 間 服 務(wù) 　 　 － 基 于 L A N / S A N 結(jié) 構(gòu) 的 備 份 系 統(tǒng) 　 － 災(zāi) 難 恢 復(fù) 及 業(yè) 務(wù) 連 續(xù) 性 計 劃網(wǎng) 絡(luò) 隔 離V P N外 單 位 網(wǎng) 絡(luò)信 息 交 換 層邊 界 訪 問 控 制物理隔離多 重 認(rèn) 證 與 授 權(quán)強(qiáng) 審 計加 密 數(shù) 據(jù) 庫系 統(tǒng) 鏡 像涉 密 內(nèi) 網(wǎng). . .加 密 傳 輸明 文 傳 輸圖 例 ： 火龍果 ? 整理 . 省級局域網(wǎng) 上級接口 下級接口 橫 向 接 口 互 聯(lián) 網(wǎng) 接 口 加密機(jī)：保護(hù)離開局域網(wǎng)的信息安全，同時防止非法接入。 ? 技術(shù)產(chǎn)品方面 ：綜合利用商用密碼、防火墻、防病毒、身份識別、網(wǎng)絡(luò)隔離、可信服務(wù)、安全服務(wù)、備份恢復(fù)、 PKI服務(wù)、取證、網(wǎng)絡(luò)入侵陷阱、主動反擊等多種技術(shù)與產(chǎn)品來保證企業(yè)的信息系統(tǒng)的機(jī)密性、完整性和可靠性。 火龍果 ? 整理 . 定 義 安 全 方 針定 義 I S M S的 范 圍實 施 風(fēng) 險 評 估風(fēng) 險 管 理選 擇 控 制 目 標(biāo)和 實 施 控 制準(zhǔn) 備 適 用 性聲 明第 一 步第 二 步第 三 步第 四 步第 五 步第 六 步安 全 方 針 文 檔I S M S 范 圍 文 檔風(fēng) 險 評 估 文 檔結(jié) 果 與 結(jié) 論選 擇 控 制適 用 性 聲 明識 別 資 產(chǎn)風(fēng) 險 管 理 策 略控 制 概 要威 脅 、 脆 弱 點資 產(chǎn) 影 響組 織 風(fēng) 險 管 理 方 法需 要 保 護(hù) 的 程 度B S 7 7 9 9 中 的 控 制其 他 控 制 措 施? ISMS建設(shè)過程： ? 建立 ISMS首先要建立一個合理的信息安全管理框架，要從整體和全局的視角，從信息系統(tǒng)的所有層面進(jìn)行整體安全建設(shè) ? 從信息系統(tǒng)本身出發(fā)，通過建立資產(chǎn)清單，進(jìn)行風(fēng)險分析和需求分析和選擇安全控制等步驟，建立安全體系并提出安全解決方案。 ? 投資回報計劃 ? 信息安全投資回報計劃就是要研究信息安全的成本效益，其成本效益組成如下： ? 從系統(tǒng)生命周期看信息安全的成本：獲取成本和運行成本 ? 從安全防護(hù)手段看信息安全的成本：技術(shù)成本和管理成本 ? 信息安全的價值效益：減少信息安全事故的經(jīng)濟(jì)損失 ? 信息安全的非價值效益：增加聲譽(yù)、提升品牌價值 火龍果 ? 整理 . ? 信息安全體系模型的演變 ? ISO 74982(GB/T － 1995) ? PDR 模型 ? PDRR 安全模型 (P2DR2) ? IATF信息保障技術(shù)框架 ? 信息安全管理體系 ISMS 七、建立信息安全管理體系 人們逐漸認(rèn)識到安全管理的重要性，作為信息安全建設(shè)藍(lán)圖的安全體系就應(yīng)該顧及安全管理的內(nèi)容。 人員安全 維護(hù)組織資產(chǎn)的適當(dāng)保護(hù)系統(tǒng)。 ? ISO27001確立了組織機(jī)構(gòu)內(nèi)啟動、實施、維護(hù)和改進(jìn)信息安全管理的指導(dǎo)方針和通用原則，以規(guī)范組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容，因此，風(fēng)險評估時，可以把 ISO27001作為安全基線，與組織當(dāng)前的信息安全現(xiàn)狀進(jìn)行比對，發(fā)現(xiàn)組織存在的差距，這樣一方面操作較方便，更重要的是不會有遺漏 ISO27001調(diào)查問卷示例 0%64%40%67% 62%81%56%81%60% 60%70% 67%%%%%%%%%%%安全政策信息安全的組織資產(chǎn)管理人力資源安全實體與環(huán)境安全 通訊與操作管理訪問控制信息系統(tǒng)取得、開發(fā)及維護(hù)信息安全事故管理營運持續(xù)管理符合性合計系列1《 信息安全管理體系風(fēng)險評估與處置建議報告 》 火龍果 ? 整理 . ? 信息資產(chǎn)風(fēng)險評估 ? 針對重要的信息資產(chǎn)進(jìn)行安全影響、威脅、漏洞及可能性分析，從而估計對業(yè)務(wù)產(chǎn)生的影響，最終可以選擇適當(dāng)?shù)姆椒▽︼L(fēng)險進(jìn)行有效管理。 ? 缺點：風(fēng)險評估人員一般最容易找到的資產(chǎn)無非就是硬件類、軟件類的資產(chǎn)，而對安全來說至關(guān)重要的 IT治理、組織