【正文】 ? 安全保證 ? 信息安全策略方針為信息安全管理提供導(dǎo)向和支持。 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況。 ? 由信息安全方面的最佳慣例組成的一套全面的控制集。 ? 1999年 4月 —— 77991與 77992修訂后重新發(fā)布。 ? 全球目前有 2023多家機(jī)構(gòu)通過(guò)了 779927001認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國(guó)公司。 7799簡(jiǎn)介 1779927001的內(nèi)容框架 ? 17799：源自 77991。證書(shū)三年有效，之后需要再次認(rèn)證。” 顯然，這樣的計(jì)算機(jī)是無(wú)法使用的。 ? 殘留風(fēng)險(xiǎn)（ ） —— 在實(shí)施安全措施之后仍然存在的風(fēng)險(xiǎn)。 風(fēng)險(xiǎn)評(píng)價(jià)示例 風(fēng)險(xiǎn)可能性 威脅值 1 2 3 弱點(diǎn)值 1 2 3 1 2 3 1 2 3 風(fēng)險(xiǎn)影響 /資產(chǎn)價(jià)值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 風(fēng)險(xiǎn)評(píng)估與管理 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 提供了一套由最佳實(shí)踐構(gòu)成的控制目標(biāo)和控制，涉及 11個(gè)方面，包括 39個(gè)控制目標(biāo)和 133項(xiàng)控制措施 ,可作為參考文件使用，但并不是認(rèn)證評(píng)審的依據(jù)。 ? 如果發(fā)生任何影響最初風(fēng)險(xiǎn)評(píng)估基礎(chǔ)的變化，都應(yīng)復(fù)查策略。 ? 在沒(méi)有采取必要控制措施，包括簽署相關(guān)協(xié)議之前，不應(yīng)該授權(quán)給外部伙伴訪問(wèn)。 ? 信息應(yīng)該被分類(lèi)，以標(biāo)明其需求、優(yōu)先級(jí)和保護(hù)程度。調(diào)查過(guò)程中，組織可以請(qǐng)求訪問(wèn)申請(qǐng)人的信用和犯罪記錄，甚至可以聘請(qǐng)外部公司對(duì)申請(qǐng)人進(jìn)行調(diào)查，以確定是否存在潛在問(wèn)題或利益沖突。 第三方服務(wù)交付管理 服務(wù)交付 監(jiān)督和復(fù)查第三方服務(wù) 第三方服務(wù)變更管理 目標(biāo)： 根據(jù)第三方服務(wù)交付協(xié)議，實(shí)施并保持恰當(dāng)?shù)男畔踩头?wù)交付水平。應(yīng)該定期檢查服務(wù)報(bào)告，分析安全事件相關(guān)信息，復(fù)查第三方審計(jì)記錄 ? 制定專(zhuān)門(mén)的策略，禁止使用非授權(quán)軟件，防止惡意代碼 ? 做好系統(tǒng)的備份容災(zāi)規(guī)劃 ? 移動(dòng)介質(zhì)使用是一個(gè)管理難題，應(yīng)該采取有效措施，防止信息泄漏 17799:2023 信息安全管理實(shí)施細(xì)則 變更管理一般流程 識(shí) 別 變 更 需 求 計(jì) 劃 和 測(cè) 試 變 更 評(píng) 估 潛 在 的 影 響是 否 影 響 安 全變 更 準(zhǔn) 備 ， 提 請(qǐng) 批準(zhǔn)問(wèn) 題 記 錄是 否 得 到 批 準(zhǔn)實(shí) 施 變 更變 更 是 否 成 功F a l l b a c k 程 序與 相 關(guān) 人 員 溝 通 ，記 錄可 行 是否不 可 行是否否是17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于職責(zé)分離 ? 不應(yīng)有人從頭到尾地完全控制一項(xiàng)牽涉到敏感的、有價(jià)值的、或者關(guān)鍵信息的任務(wù)，例如金融交易中，一個(gè)人負(fù)責(zé)數(shù)據(jù)錄入，另一個(gè)人負(fù)責(zé)檢查，第三人確認(rèn)最終交易 ? 應(yīng)該分離：開(kāi)發(fā) /生產(chǎn)；安全管理 /審計(jì)；加密密鑰管理 /密鑰更改 ? 小型組織實(shí)施職責(zé)分離比較困難，可以采取其他一些控制措施，如活動(dòng)監(jiān)控、跟蹤檢查和監(jiān)督管理等 ? 但安全審計(jì)務(wù)必要有獨(dú)立性 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：控制對(duì)信息的訪問(wèn)。 17799:2023 信息安全管理實(shí)施細(xì)則 訪問(wèn)控制重要提示 ? 關(guān)于訪問(wèn)控制策略： ? 根據(jù)業(yè)務(wù)制訂的策略才能實(shí)施 ? 策略?xún)?nèi)容：所需訪問(wèn)的信息，訪問(wèn)控制規(guī)則，用戶(hù)訪問(wèn)權(quán)限，其他訪問(wèn)控制要求 ? 沒(méi)有明確允許就是缺省禁止，最小權(quán)限原則等 ? 口令是常見(jiàn)的訪問(wèn)控制措施，也是重要的信息資產(chǎn)，應(yīng)妥善保護(hù)和管理 ? 關(guān)于網(wǎng)絡(luò)訪問(wèn)控制： ? 組織網(wǎng)絡(luò)與其他組織網(wǎng)絡(luò)或者公共網(wǎng)之間進(jìn)行正確的連接 ? 用戶(hù)和設(shè)備都具有適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制 ? 在用戶(hù)訪問(wèn)信息服務(wù)時(shí)進(jìn)行控制 ? 關(guān)于操作系統(tǒng)訪問(wèn)控制： ? 識(shí)別和驗(yàn)證來(lái)訪者身份。應(yīng)該嚴(yán)格控制項(xiàng)目和支持環(huán)境。 ? 制訂及文檔化與業(yè)務(wù)目標(biāo)和優(yōu)先級(jí)保持一致的業(yè)務(wù)連續(xù)性戰(zhàn)略。 ? 定期測(cè)試并更新計(jì)劃和程序。 17799:2023 信息安全管理實(shí)施細(xì)則 系統(tǒng)開(kāi)發(fā)安全性的重要提示 ? 建立安全的軟件開(kāi)發(fā)過(guò)程和編碼規(guī)范 ? 開(kāi)發(fā)一個(gè)有關(guān)如何利用加密控制對(duì)信息進(jìn)行保護(hù)的策略（哪些信息要加密，加密的強(qiáng)度如何，移動(dòng)介質(zhì)或傳輸中的加密，密鑰管理，角色和責(zé)任，法律法規(guī)限制等） ? 對(duì)密碼技術(shù)的應(yīng)用，其關(guān)鍵在于密鑰管理： ? 生成，分發(fā)和傳輸 ? 使用和驗(yàn)證 ? 保存，消除和恢復(fù) ? 對(duì)正式上線的運(yùn)營(yíng)系統(tǒng)應(yīng)嚴(yán)加控制，做好軟件開(kāi)發(fā)的變更控制和管理 ? 不將運(yùn)營(yíng)系統(tǒng)上的敏感信息直接用作測(cè)試系統(tǒng) ? 需要對(duì)外包開(kāi)發(fā)提高警惕（代碼所屬權(quán)，知識(shí)產(chǎn)權(quán)，資格認(rèn)定，第三方保證，合同中對(duì)質(zhì)量和安全功能的要求，中間審計(jì)，安裝前測(cè)試） 17799:2023 信息安全管理實(shí)施細(xì)則 關(guān)于漏洞管理 ? 為了實(shí)施有效的漏洞管理，必須先有一個(gè)完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號(hào)、當(dāng)前部署狀況、軟件的責(zé)任人等信息 ? 應(yīng)該建立漏洞管理相關(guān)角色和責(zé)任：漏洞監(jiān)視，漏洞評(píng)估，補(bǔ)丁跟蹤 ? 定義新漏洞發(fā)現(xiàn)時(shí)的通知時(shí)限 ? 對(duì)發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個(gè)子集 ? 補(bǔ)丁安裝前必須做相關(guān)風(fēng)險(xiǎn)評(píng)估和測(cè)試 ? 必須采取相應(yīng)的審計(jì)機(jī)制 17799:2023 信息安全管理實(shí)施細(xì)則 目標(biāo)：確保與信息系統(tǒng)相關(guān)的信息安全事件和缺陷能夠及時(shí)發(fā)現(xiàn)，以便采取糾正措施。如果使用了口令管理系統(tǒng)，則應(yīng)該確保使用高質(zhì)量的口令 ? 根據(jù)情況限制用戶(hù)連接時(shí)間 17799:2023 信息安全管理實(shí)施細(xì)則 訪問(wèn)控制重要提示（續(xù)） ? 關(guān)于應(yīng)用訪問(wèn)控制： ? 考慮應(yīng)用系統(tǒng)的安全，不得不考慮業(yè)務(wù)流程 ? 如果業(yè)務(wù)流程有安全隱患，應(yīng)用系統(tǒng)是無(wú)法避免這些危險(xiǎn)的。 11 訪問(wèn)控制 訪問(wèn)控制的業(yè)務(wù)需求 訪問(wèn)控制策略 用戶(hù)訪問(wèn)的管理 用戶(hù)注冊(cè) 特權(quán)管理 用戶(hù)口令管理 用戶(hù)訪問(wèn)權(quán)限的復(fù)審 目標(biāo)： 確保授權(quán)用戶(hù)的訪問(wèn)， 防止非授權(quán)訪問(wèn)信息系統(tǒng)。 備份 信息備份 介質(zhì)處理 移動(dòng)計(jì)算機(jī)介質(zhì)的管理 介質(zhì)的處置 信息處理程序 系統(tǒng)文件的安全 目標(biāo)： 防止非授權(quán)泄漏、篡改、廢除和破壞資產(chǎn)，防止業(yè)務(wù)活動(dòng)中斷。 17799:2023 信息安全管理實(shí)施細(xì)則 增強(qiáng)全員的安全意識(shí) ? 安全意識(shí)（ ），泛指組織員工對(duì)安全和安全控制重要性的一般性的、集體的意識(shí)。 Top Secret Secret Confidential Restricted 17799:2023 信息安全管理實(shí)施細(xì)則 信息資產(chǎn)的類(lèi)型 ? 信息：數(shù)據(jù)庫(kù)和數(shù)據(jù)文件，合同和協(xié)議，系統(tǒng)文件，用戶(hù)手冊(cè)，培訓(xùn)資料等 ? 軟件資產(chǎn)：應(yīng)用軟件，系統(tǒng)軟件，開(kāi)發(fā)工具，工具程序 ? 實(shí)物資產(chǎn)：計(jì)算機(jī)和通信設(shè)備，移動(dòng)介質(zhì)，電源空調(diào)等技術(shù)性設(shè)備 ? 人員：承擔(dān)特定職能和責(zé)任的人員，資質(zhì)、技能和經(jīng)驗(yàn) ? 服務(wù)：計(jì)算和通信服務(wù)，環(huán)境支持服務(wù)等 ? 組織形象與聲譽(yù)：無(wú)形資產(chǎn) 17799:2023 信息安全管理實(shí)施細(xì)則 識(shí)別資產(chǎn)時(shí)的注意事項(xiàng) ? 所有主要信息資產(chǎn)都應(yīng)清點(diǎn)并指定專(zhuān)人負(fù)責(zé) ? 這些資產(chǎn)必須是在信息安全管理體系范圍之內(nèi)的 ? 7799標(biāo)準(zhǔn)認(rèn)為 , “資產(chǎn)”沒(méi)必要包括通?？紤]的組織內(nèi)所有有價(jià)值的東西 ? 組織必須確定哪些資產(chǎn)在損失后對(duì)組織的產(chǎn)品及服務(wù)會(huì)產(chǎn)生實(shí)質(zhì)上的影響 17799:2023 信息安全管理實(shí)施細(xì)則 資產(chǎn)清單示例 17799:2023 信息安全管理實(shí)施細(xì)則 信息資產(chǎn)的屬主、保管者和用戶(hù) ? 屬主（）： ? 信息屬主可能是組織的某個(gè)決策者或者管理者，或者部門(mén)負(fù)責(zé)人，或者是信息的創(chuàng)建者，對(duì)必須保護(hù)的信息資產(chǎn)負(fù)責(zé)，承擔(dān)著“ ”的責(zé)任，但日常的數(shù)據(jù)保護(hù)工作則由保管者承擔(dān)。 17799:2023 信息安全管理實(shí)施細(xì)則 在第三方協(xié)議中體現(xiàn)安全 ? 信息安全方針 ? 用來(lái)保護(hù)資產(chǎn)的各種控制措施 ? 描述將被提供的產(chǎn)品和服務(wù) ? 確保用戶(hù)意識(shí)到信息安全責(zé)任 ? 對(duì)人員調(diào)換做出規(guī)定 ? 硬件和軟件安裝及維護(hù)的責(zé)任 ? 清晰的結(jié)構(gòu)和格式 ? 變更管理流程 ? 任何必要的物理保護(hù)措施和機(jī)制 ? 訪問(wèn)控制策略： ? 允許的訪問(wèn)方法，授權(quán)流程，禁止聲明 ? 信息安全事件及問(wèn)題處理機(jī)制 ? 期望的及監(jiān)督報(bào)告機(jī)制 ? 監(jiān)督、撤銷(xiāo)等權(quán)利，審計(jì)責(zé)任約定 ? 法律責(zé)任 ? 知識(shí)產(chǎn)權(quán)保護(hù) ? 中止或重新協(xié)商協(xié)議的條件 17799:2023 信息安全管理實(shí)施細(xì)則 7 資產(chǎn)管理 資產(chǎn)責(zé)任 資產(chǎn)清單 資產(chǎn)屬主 對(duì)資產(chǎn)的可接受使用 目標(biāo)：保持對(duì)組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)。 ? 策略復(fù)審應(yīng)該考慮到管理評(píng)審的結(jié)果 17799:2023 信息安全管理實(shí)施細(xì)則 要點(diǎn)提示 ? 用最簡(jiǎn)單、明確的語(yǔ)言直擊主題 ? 保持與具體規(guī)范、指南、記錄等文件的區(qū)別 ? 信息安全策略應(yīng)該人手一份，并保證充分理解 ? 要定期評(píng)審和修訂 17799:2023 信息安全管理實(shí)施細(xì)則 信息安全策略體系的層次性 方針 Policy 程序 Procedure 標(biāo)準(zhǔn) Standard 強(qiáng)制性 指南 Guideline 建議性 基線 Baseline 最低標(biāo)準(zhǔn) 目標(biāo)要求 具體步驟 實(shí)現(xiàn)方法 戰(zhàn)略層次 戰(zhàn)術(shù)層次 戰(zhàn)役層次 17799:2023 信息安全管理實(shí)施細(xì)則 最高方針示例 6 組織信息安全 內(nèi)部組織 管理層對(duì)信息安全的責(zé)任 信息安全協(xié)調(diào)機(jī)制 分派信息安全責(zé)任 信息處理設(shè)施的批準(zhǔn)程序 保密協(xié)議 保持和權(quán)威機(jī)構(gòu)的聯(lián)系 保持和專(zhuān)業(yè)團(tuán)隊(duì)聯(lián)系 對(duì)信息安全做獨(dú)立評(píng)審 目標(biāo)：在組織內(nèi)建立發(fā)起和控制信息安全實(shí)施的管理框架。因此，還需要通過(guò)進(jìn)一步的指導(dǎo)方針來(lái)補(bǔ)充此文，組織可以將其作為基礎(chǔ)，繼而開(kāi)發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 定性風(fēng)險(xiǎn)評(píng)估：憑借分析者的經(jīng)驗(yàn)和直覺(jué)，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險(xiǎn)管理諸要素的大小或 高低程度定性分級(jí)。 ? 威脅（） —— 可能對(duì)資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識(shí)別出威脅源（ ）或威脅代理（ ）。 預(yù)審（ Preassessment） 可選 信息安全管理體系認(rèn)證 文檔審核 ? 一般來(lái)說(shuō)都是現(xiàn)場(chǎng)進(jìn)行的 ? 審核框架，以考查其是否符合 27001的 48部分的要求 ? 查看策略、范圍、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、控制選擇和適用性聲明相關(guān)的文件 ? 審核員或許不會(huì)非常深入地查看特定程序文件的細(xì)節(jié)，但卻期望能直接在標(biāo)準(zhǔn)、程序和工作指導(dǎo)書(shū)上簽署意見(jiàn) 符合性審核 ? 對(duì)來(lái)自文檔審核階段的不符合項(xiàng)進(jìn)行究根問(wèn)底 ? 審核抽樣，以驗(yàn)證底實(shí)施和操作 ? 審核小組組長(zhǎng)會(huì)提交一個(gè)建議，但并不做最終認(rèn)證決策 ? 對(duì)于審核期間記錄在案的不符合項(xiàng)，組織必須在一個(gè)月之內(nèi)采取糾正性措施 信息安全管理體系認(rèn)證 信息安全管理體系認(rèn)證 實(shí)施 7799認(rèn)證項(xiàng)目的建議過(guò)程 項(xiàng)目啟動(dòng) 預(yù)先審核 風(fēng)險(xiǎn)評(píng)估 前期培訓(xùn) 風(fēng)險(xiǎn)處理 文件編寫(xiě) 中期培訓(xùn) 認(rèn)證申請(qǐng) 內(nèi)部審核 后期培訓(xùn) 認(rèn)證準(zhǔn)備 協(xié)助認(rèn)證 準(zhǔn)備階段 實(shí)現(xiàn)階段 運(yùn)行階段 認(rèn)證階段 后續(xù)培訓(xùn) 業(yè)務(wù)分析 發(fā)布實(shí)施 管理評(píng)審 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素 ? 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo) ? 實(shí)施信息安全的方法應(yīng)該與組織的文化保持一致 ? 來(lái)自高級(jí)管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 ? 向所有管理者和員工有效地推廣安全意識(shí) 信息安全管理體系認(rèn)證 成功的關(guān)鍵因素（續(xù)） ? 向所有管理者、員工及簽約人分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動(dòng)提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來(lái)評(píng)估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全管理體系認(rèn)證 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ?