【正文】 ilable or disclosed to unauthorized individuals, entities or processes q 保密性 – 信息被獲取或泄漏給未經(jīng)授權(quán)的個人、實體或流程n Integrity – the property of safeguarding the accuracy and pletenessq 完整性 – 保護資產(chǎn)準(zhǔn)確和完整n Availability – the property of being accessible and useable upon demand by an authorized entityq 可用性 – 資產(chǎn)僅對授權(quán)人員在需要的時候是可訪問的或可用的什么叫 ISMS信息安全管理體系n Information 信息q 信息是一種重要資產(chǎn)，對組織的業(yè)務(wù)非常關(guān)鍵?；蚰壳暗膶嵺`滿足定義的需求的情況值得懷疑 .q A group of category 2 nonconformities indicating inadequate implementation of the system relevant to an element of the standard. q 針對標(biāo)準(zhǔn)的某個條款一組輕微不符合事項發(fā)現(xiàn) ,說明需求沒有得到充分的實施 .q A category 2 nonconformity that is persistent shall be treated (upgraded) as a category 1 nonconformity.q 輕微不符合事項持續(xù)下去應(yīng)該判斷為嚴(yán)重不符合事項不符合定義 by DNVn Category II (Minor) NonConformity輕微不符合q A lapse of either discipline or control during the implementation of system/procedural requirements, which does not indicate a system breakdown or raise doubt that practices will meet requirements.q 系統(tǒng)或程序需求方面的一種過失 ,這種過失不說明體系的崩潰 ,或引起實踐滿足需求的懷疑 .不符合n Nonconformityq 審核報告中必須附證據(jù)q 一個不符合事項是沒有符合一個要求、失敗和證據(jù)（很爛的翻譯）n 要求 the requirementn 失敗 the failingn 證據(jù) the evidenceq 盡量不要開條款 n Source of the requirements:q 法令 /法規(guī)的要求q 組織的過程和運營q 時間規(guī)范q 程序q 作業(yè)指導(dǎo)書q 客戶要求q 詳細說明q 時間規(guī)范q 體系標(biāo)準(zhǔn)q 組織的管理手冊What is an observation?q Potential problemq Riskq Inefficiencyq Ineffectivenessq Failure to apply best practiceq Misunderstandingq Lack of municationTips nn How to solve conflicts？q LA職責(zé)：主持、確認(rèn)，解決沖突q 找對方的 CISO！q 對方可以找 LA！n 兩條重要的審核路線：1. 資產(chǎn)清單 風(fēng)險評估2. 文件審核（按 ）n 要求有涉及信息安全的法律法規(guī)n 發(fā)現(xiàn)缺失的文件太多，企業(yè)基礎(chǔ)太差怎么辦？q 列出缺失項，告訴對方q 建議推遲審核審核準(zhǔn)備n 啟動階段需要提前知道的：q 企業(yè)簡況n 組織名稱n 地點n 規(guī)模q 審核范圍q 采用的標(biāo)準(zhǔn)（ ISOXXXX）q 組織結(jié)構(gòu)圖q 審核時間q 審核理由（第幾方）n 編制審核計劃q 公司多 sites的抽樣方法：n 抽樣數(shù) =地點數(shù)量開平方 +1q 制訂審核計劃，發(fā)送給客戶請他們確認(rèn)Case Study: GetRich Bankn 繪制 DepartmentRoles Matrixn Day1q 高層訪談（ 1530分鐘了解高層關(guān)注的焦點問題）q 審核前必須有一個 opening meeting（ 30分鐘）q 練習(xí)：四人分兩組，分別審核 GetRich銀行各個部門n 每天審核結(jié)束前（ 4： 004： 30）開審核小組內(nèi)部會議n 審核小組同客戶交流審核發(fā)現(xiàn)（ 4： 305： 00），確認(rèn)當(dāng)天的問題n Day2q 中午開 close meeting內(nèi)部會議n 由 LA主持，審核師交流需要交接的內(nèi)容，主要目的是合并共性的問題n 總結(jié)歸納準(zhǔn)備審查清單（ .）n 服務(wù)器的型號、購買時間、保修期、上門服務(wù)響應(yīng)時間有記錄嗎？n 服務(wù)器硬件配置、供應(yīng)商聯(lián)系方式有更新嗎？n 服務(wù)器上的所有軟件安裝清單、版本有記錄嗎？n 供應(yīng)商提供的軟硬件維修 /維護有記錄嗎？n 服務(wù)器 administrator/su密碼由專人負責(zé)維護嗎？n 服務(wù)器訪問控制審計記錄？n 對服務(wù)器操作系統(tǒng)、支撐軟件和數(shù)據(jù)庫軟件的關(guān)鍵更新（ KB）、補?。?SP）和升級監(jiān)控的系統(tǒng)弱點有監(jiān)控嗎？n 對服務(wù)器操作系統(tǒng)、支撐軟件和數(shù)據(jù)庫軟件的關(guān)鍵更新（ KB）、補?。?SP）和升級時進行過測試嗎？準(zhǔn)備審查清單 continuedn 審計失敗的登錄 /存取日至的周期是多少？n 服務(wù)器上的外部 USB端口是否禁用？n 通過什么方式監(jiān)控服務(wù)器軟件的漏洞，例如 sql注入？n 服務(wù)器 DOWN掉之后通常如何處理？處理流程？n 服務(wù)器上開放的端口共有幾個？非常用端口的用途是什么？n 采用何種方式遠程登錄服務(wù)器？n 是否有服務(wù)器的系統(tǒng)備份？備份到哪里？n 多長時間檢查一下登錄服務(wù)器的帳戶清單？各種帳戶的權(quán)限是否滿足 ISMS的要求？n 如何處理服務(wù)器故障警報（磁盤、內(nèi)存或最大并發(fā)數(shù) ?)ISO27001 LA Training CourseDay 4ShanghaiFeb. 21, 2023閃現(xiàn)的幾道題的答案n Policyn ……經(jīng)驗n 每年都需要審查到的條款：（經(jīng)驗）q 48：每次都要審查到（每個部門都會涉及到）q 資產(chǎn)清單q 職責(zé)、權(quán)限q 事故管理q BCPq 法律法規(guī)n 結(jié)束會議：q 交流信息，交接希望與他人溝通的內(nèi)容，歸納不符合項！q 對于不符合項， Close meeting之前就應(yīng)該進行了確認(rèn)！Conduct an auditq Opening meetingn 自我介紹 /介紹對方n 領(lǐng)導(dǎo)致詞n LA要宣布和確認(rèn)如下內(nèi)容：q 目的、適用標(biāo)準(zhǔn)和文件q 關(guān)注焦點（不一定，之前和高層領(lǐng)導(dǎo)交流）q 公司名稱（最好包含部門）q 范圍、地點（子公司、分公司，核心部門的外延，如機房、異地備份中心）q 審核計劃n LA介紹q 審核方法（抽樣 23個，若有問題再加 12個）q 報告方法和不符合項的構(gòu)成q 溝通方式、各種會議介紹末次會議時間及安排q 后勤事宜q 有無特殊區(qū)域、特殊穿戴、裝備要求？n LA作保密聲明審核技巧n Funnel technique漏斗技術(shù)q Open問題n What? How? Why?q Closed問題n Who? Is it?q Alternativen Co