【正文】 變更限制 第三十九條 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 25 Cobit ISO 17799:2021 63號(hào)文 域 過(guò)程 控制目標(biāo) 控制目標(biāo) 條文 影響的評(píng)定、優(yōu)先化與授權(quán) 緊急變更 在第三方協(xié)議中強(qiáng)調(diào)安全 業(yè)務(wù)連續(xù)性計(jì)劃框架 第三十九條 變更情況的跟蹤報(bào)道 第三十九條 變更結(jié)束與歸檔 第三十九條 AI7 安裝和獲取解決方案及變更 培訓(xùn) 信息安全意識(shí)、教育和培訓(xùn) 測(cè)試計(jì)劃 的測(cè)試、保持和再評(píng)估 第四十條 實(shí)施計(jì)劃 第四十條 測(cè)試環(huán)境 、測(cè)試與運(yùn)營(yíng)設(shè)施的分離 第二十八條 系統(tǒng)與數(shù)據(jù)轉(zhuǎn)換 第二十八條 測(cè)試變更 安全要求分析和規(guī)范 第四十條 最終驗(yàn)收測(cè)試 安全要求分析和規(guī)范 ATE 產(chǎn)品推出 ATE 軟件發(fā)布 第二十條 系統(tǒng)布署 ADO 變更的記錄與追蹤 第四十一條 實(shí)施后評(píng)審 第四十二條 DS DS1 定義和管理服務(wù)水平 服務(wù)水平管理框架的建立 第二十九條 定義服務(wù) 第三十一條 確定相關(guān)的服務(wù) 第五十二條 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 26 Cobit ISO 17799:2021 63號(hào)文 域 過(guò)程 控制目標(biāo) 控制目標(biāo) 條文 水平協(xié)議 執(zhí)行服務(wù)水平協(xié)議 第五十二條 監(jiān)控并匯報(bào)服務(wù)水平管理的成果 第五十二條 回顧并更新服務(wù)水平管理協(xié)議 第五十二條 DS2 管理第三方的服務(wù) 識(shí)別所有的供應(yīng)商關(guān)系 第五十三條 供應(yīng)商關(guān)系管理 第五十四條 供應(yīng)商風(fēng)險(xiǎn)管理 第五十六條 第五十七條 供應(yīng)商績(jī)效考核 第五十八條 DS3 管理 IT系統(tǒng)的性能和容量 IT 系統(tǒng)性能和容量規(guī)劃 第二十三條 評(píng)估現(xiàn)有 IT系統(tǒng)的容量和性能 第二十三條 預(yù)測(cè)未來(lái)的容量和性能 第二十三條 IT 資源的可用性； 第二十三條 持續(xù)監(jiān)控及報(bào)告對(duì)應(yīng)的 IT系統(tǒng)性能和容量。二是建立有效的合規(guī)風(fēng)險(xiǎn)管理體系。 ISO/IEC 27001:2021 為在風(fēng)險(xiǎn)評(píng)估、安 全設(shè)計(jì)和實(shí)施、安全管理和再評(píng)估方面實(shí)施這些指南中的準(zhǔn)則提供了強(qiáng)健模型。體系規(guī)范的結(jié)構(gòu)如下圖所示： 圖 . ISO/IEC 27001:2021 結(jié)構(gòu) 信息安全管理體系作為一個(gè)管理標(biāo)準(zhǔn)，也遵 循了 PDCA（ PlanDoCheckAction，策劃 實(shí)施 檢查 行動(dòng)）的持續(xù)改進(jìn)的管理模式，這也反映在整個(gè)標(biāo)準(zhǔn)的架構(gòu)上，整個(gè)標(biāo)準(zhǔn)的重心在建立 ISMS 系統(tǒng)，如下圖所示： 圖 . ISMS 框架 規(guī)劃（建立 ISMS） 根據(jù)組織的整體策略和目標(biāo)，建立安全策略、目標(biāo)以及與管理風(fēng)險(xiǎn)和改進(jìn)信息安全相關(guān)的過(guò)程和程序，以獲得結(jié)果。 ? 業(yè)務(wù)視野： 提供了建議和指南，以幫助 IT 人員理解他們?nèi)绾尾拍転闃I(yè)務(wù)目標(biāo)作出貢獻(xiàn)以及如何更好地聯(lián)系和挖掘其角色和服務(wù)以最大化其貢獻(xiàn)。下面將對(duì)其中各 個(gè)模塊的新的范圍、內(nèi)容及其關(guān)系進(jìn)行介紹。 2021 年 BS15000 被提交給國(guó)際標(biāo)準(zhǔn)化組織（ ISO），申請(qǐng)成為了 IT 服務(wù)管理國(guó)際標(biāo)準(zhǔn) ISO 20210。管理指導(dǎo)方針的部件由衡量企業(yè)在 34 種 IT 流程中能力的工具所組成。它將幫助企業(yè)部署對(duì)系統(tǒng)和網(wǎng)絡(luò)的有效管理。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 10 COSO 報(bào)告提出， COSO 整 體框架包括 3 大運(yùn)營(yíng)目標(biāo)和 5大控制要素。在設(shè)計(jì)過(guò)程和方案的實(shí)施中，結(jié)合客戶(hù)網(wǎng)絡(luò)的特點(diǎn)，遵循和參照最 新、最權(quán)威、最具有代表性的國(guó)家和國(guó)際信息安全標(biāo)準(zhǔn)與建議。 遠(yuǎn)程為主（電話(huà)，郵件，傳真等） ，必要時(shí)進(jìn)行現(xiàn)場(chǎng)支 持 低級(jí)事件 攻擊或者非法事件并沒(méi)有對(duì)系統(tǒng)造成傷害，但有入 侵企圖，可能會(huì)造成損害。 制定好應(yīng)急預(yù)案后，將根據(jù)應(yīng)急預(yù)案協(xié)助 XXXXX 進(jìn)行應(yīng)急響應(yīng)演練 ,檢驗(yàn)應(yīng)急預(yù)賽的可行 性，評(píng)估應(yīng)急響應(yīng)演練效果并提供改進(jìn)建議。 在本項(xiàng)目中，我們將會(huì)對(duì) XXXXX 現(xiàn)有制度進(jìn)行梳理，結(jié)合公司的管 理體系框架，形成一套適合 XXXXX 的管理制度體系及流程，具體如下步驟： 本活動(dòng)由以下步驟組成： 步驟 1：分析已獲信息 策略規(guī)劃小組對(duì) 已收集的各種文檔信息進(jìn)行分析，鑒別已有的信息安全策略，并進(jìn)行相應(yīng)的記錄。 第 1 章 概述 ................................................................................................................................................ 3 需求分析 ........................................................................................................................................ 3 項(xiàng)目建設(shè)目標(biāo) ................................................................................................................................ 3 第 2 章 方案內(nèi)容 ........................................................................................................................................ 4 安全管理咨詢(xún)顧問(wèn)服務(wù) ............................................................................................................... 4 進(jìn)行信息安全管理體系咨詢(xún) .............................................................................................. 4 協(xié)助進(jìn)行信息安全應(yīng)急響應(yīng)演練 ...................................................................................... 4 提供定制化的信息安全培訓(xùn) .............................................................................................. 5 提供互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)服務(wù) ................................................................................. 5 國(guó)內(nèi)外安全事件技術(shù)分析和趨勢(shì)跟蹤 ............................................................................. 6 安全建設(shè)及安全監(jiān)控外包服務(wù) .................................................................................................. 6 風(fēng)險(xiǎn)評(píng)估 ............................................................................................................................... 6 提供安全改造咨詢(xún) ............................................................................................................... 6 提供加固技術(shù)支持 ............................................................................................................... 6 提供監(jiān)控服務(wù) ....................................................................................................................... 6 第 3 章 評(píng)估理論、方法及模型 ............................................................................................................... 7 相關(guān)標(biāo)準(zhǔn)與規(guī)范 ........................................................................................................................... 7 評(píng)估咨詢(xún)項(xiàng)目的標(biāo)準(zhǔn)性原則 .............................................................................................. 7 方案中標(biāo)準(zhǔn)的體現(xiàn)對(duì)照 ...................................................................................................... 7 相關(guān)標(biāo)準(zhǔn)規(guī)范介紹 ............................................................................................................... 9 COSO 報(bào)告《內(nèi)部控制整體框架》與 ERM《企業(yè)風(fēng)險(xiǎn)管理一整體框架》 ...................... 9 COBIT《信息及相關(guān)技術(shù)的控制目標(biāo)》 ........................................................................... 11 ITIL《 IT 基礎(chǔ)架構(gòu)庫(kù)》 .....................................................................................................13 ISO27001《信息安全管理規(guī)范》 .....................................................................................15 銀監(jiān)會(huì) 63 號(hào)文《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》 ...........................................17 Cobit、 ISO17799 與 63 號(hào)文控制目標(biāo)對(duì)應(yīng)表 ...................................................................18 安全風(fēng)險(xiǎn)評(píng)估策略 .....................................................................................................................31 風(fēng)險(xiǎn)管理原則 .....................................................................................................................31 建模策略 .............................................................................................................................32 信息安全管理 .....................................................................................................................33 標(biāo)準(zhǔn)遵循 ..................................................................................