【正文】 性 ?符合性 ? 符合性管理就是要避免違反法律、法規(guī)、規(guī)章、合同的要求，以及本單位安全策略和制度標準的規(guī)定 ? 控制目標 ? 與法律法規(guī)要求的符合性 —— 避免違反法律、法規(guī)、規(guī)章、合同要求和其他的安全要求。 ? 控制措施的分類： ? 預(yù)防性控制 ? 檢查性控制 ? 糾正性控制 26 不是 所有的控制措施適用于任何場合，它也不會考慮到使用者的具體環(huán)境和技術(shù)限制，也不可能對一個組織中所有人都 適用 方針 27 Why? ?有沒有遇到過這樣的事情？ ? 案例 1 ? 有單位領(lǐng)導(dǎo)說：“聽說信息安全工作很重要，可是我不知道對于我們單位來說到底有多重要，也不知道究竟有哪些信息是需要保護的。 ? 它們可以是行政、技術(shù)、管理、法律等方面的措施。有鑒于此，匯豐銀行三年來共投放 1億瑞士法郎，用來將 IT系統(tǒng)升級并加強保安 ? 案例二 ? 《 論語 》 “ 吾恐季孫之憂，不在 顓臾，而 在蕭墻之內(nèi) 也” ? 蕭墻 之禍比喻災(zāi)禍、變亂由內(nèi)部原因所致 56 人力資源安全目標 ?目標 ： ? 任用 前 —— 確保員工、合同訪和第三方用戶了解他們的責(zé)任并適合于他們所考慮的角色 ，降低設(shè)施被竊、欺詐和誤用的風(fēng)險 ? 任用中 —— 確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，減少人為錯誤的風(fēng)險 ? 任用終止及變更 —— 確保員工、合同方和第三方用戶離開組織或變更雇傭關(guān)系時以一種 規(guī)范 的方式進行 57 控制措施 —— 任用前 ?任用 （上崗）前 ? 明確人員遵守安全規(guī)章制度、執(zhí)行特定的信息安全工作、報告安全事件或潛在風(fēng)險的責(zé)任 ? 對擔(dān)任敏感和重要崗位的人員要考察其身份、學(xué)歷和技術(shù)背景、工作履歷和以往的違法違規(guī)記錄 ? 要在合同或?qū)ｉT的協(xié)議中，明確其信息安全職責(zé) 58 控制措施 —— 任用中 ?任用 中 ? 保證其充分了解所在崗位的信息安全角色和職責(zé) ? 有針對性地進行信息安全意識教育和技能培訓(xùn) ? 及時有效的 紀律處理（懲戒） 措施 59 控制措施 —— 任用終止及變更 ?離職人員存在的安全隱患 ? 未刪除的帳戶 ? 未收回的各種權(quán)限 ? VPN、遠程主機、企業(yè)郵箱和 VoIP等應(yīng)用 ? 其它隱含信息 ? 網(wǎng)絡(luò)機構(gòu)、規(guī)劃，存在的漏洞 ? 同事 的賬戶、 口令和使用習(xí)慣等 60 這些信息和權(quán)限如果被離職的員工和攻擊者們惡意利用，很容易導(dǎo)致信息 安全 事件 控制措施 —— 任用終止及變更 ?以 規(guī)范 的方式退出單位或改變其任用關(guān)系 ? 終止職責(zé) ? 通知相關(guān)人員人事變化，明確離職后仍需遵守的責(zé)任規(guī)定 ? 歸還資產(chǎn) ? 保證離職人員歸還軟件、電腦、存儲設(shè)備、文件和其他設(shè)備 ? 撤銷訪問權(quán)限 ? 撤銷用戶名、門禁卡 、 密鑰 、 數(shù)字證書等 61 舉例 —— 任用中安全管理 ?員工缺乏基本的安全意識，特別是一些業(yè)務(wù)人員等，沒有進行統(tǒng)一的、系統(tǒng)的安全培訓(xùn)和學(xué)習(xí)的機會 ? 由于員工對發(fā)生安全問題后造成的后果不負任何責(zé)任，從而也就不能有效的督促員工提高自己的安全意識，最終形成惡性循環(huán)、導(dǎo)致員工不能嚴格遵循公司的安全管理 制度 ? 個人電腦的密碼設(shè)置為空或者非常脆弱 ? 系統(tǒng)默認安裝，從不進行補丁升級 ? 撥號上網(wǎng)，給個人以及整個公司帶來后門 ? 啟動眾多不用的服務(wù) 62 人員 層次不同，流動性大，安全意識薄弱而產(chǎn)生病毒泛濫、終端濫用資源、非授權(quán)訪問、惡意終端破壞、信息泄露等安全事件 不勝枚舉 物理和環(huán)境安全 63 Why？ ?那些曾經(jīng)發(fā)生過的事 ? 案例 1 ? 競爭對手潛入機房，直接用移動硬盤將服務(wù)器中的重要數(shù)據(jù)拷貝走 ? 案例 2 ? 機房中溫度過高，導(dǎo)致計算機無法正常運行，造成業(yè)務(wù)中斷，全國性服務(wù)停止超過 1天 64 物理和環(huán)境安全目標 ?目標： ? 安全區(qū)域 —— 防止非授權(quán)訪問、破壞和干擾業(yè)務(wù)運行的前提條件及信息 ? 設(shè)備安全 —— 預(yù)防資產(chǎn)的丟失、損壞或被盜，以及對組織業(yè)務(wù)活動的干擾 ?包含的內(nèi)容： ? 應(yīng)該建立帶有物理入口控制的安全區(qū)域 ? 應(yīng)該配備物理保護的硬件設(shè)備 ? 應(yīng)該防止網(wǎng)絡(luò)電纜被塔線竊聽 ? 將設(shè)備搬離場所，或者準備報廢時，應(yīng)考慮其安全 65 安全區(qū)域 1 ?物理安全邊界 ? 建立安全邊界，形成安全區(qū)域 ?物理入口控制 ? 必須弄清來訪者的身份，并將其進入與離開安全區(qū)域的日期與時間記錄起來 ? 所有人員配戴識別證 66 安全區(qū)域 2 ?房間和設(shè)施的安全 保護 ? 關(guān)鍵設(shè)施 要坐落在可避免公眾訪問的場地 ? 保護標識敏感信息處理設(shè)施位置的目錄和內(nèi)部電話簿不被公眾 得到 ?外部和環(huán)境威脅的安全 防護 ? 設(shè)計 物理保護 措施 ，防止 火災(zāi)、洪水、地震、爆炸、社會動蕩和其他形式自然或人為災(zāi)難引起的 破壞 ? 在合適的位置提供滅火 設(shè)備 ? 加固設(shè)施，防止 屋頂 漏水或地下室地板滲水 67 安全區(qū)域 3 ?安全區(qū)域 工作 防護 ? 未使用的安全區(qū)域 ，應(yīng) 加鎖以限制 訪問 并定期檢查 ? 避免 寫入 “ 機房重地，請勿進入 ” 的字樣 ? 應(yīng)限制授權(quán)，一般不允許攜帶攝影、視頻、聲頻或其他記錄設(shè)備 進入 ?公共訪問和交接區(qū) 安全 ? 訪問點（例如交接區(qū)）和未授權(quán)人員可進入辦公場所的地點應(yīng)加以控制 ，避免 未授權(quán) 訪問 ? 除交接區(qū)外，交貨人員無需獲得 對本建筑物其他部分的 訪問權(quán)就 能卸下 物資 ? 當(dāng) 內(nèi) 部門 打開時，交接區(qū)的外部門應(yīng)得到安全 保護 68 設(shè)備安全 1 ?設(shè)備安置和保護 ? 為不同設(shè)備劃分不同區(qū)域進行安置和保護，盡量限制對工作區(qū)域不必要的 訪問 ? 通過樓房建筑和機房裝修要求，防范偷竊、火災(zāi)、爆炸 、 煙霧 、 塵埃、震動、電源干擾 ?支持性設(shè)施 ? 保護設(shè)備使其免于由支持性設(shè)施失效 引起故障 ? 定期檢查 并測試 支持 性 設(shè)施 ? 制定電源計劃， 如 多回路供電、 UPS、發(fā)電機等 ? 保障（空調(diào)） 用水 ? 保障通信線路 69 設(shè)備安全 2 ?布纜安全 ? 保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源電纜和通信電纜免受竊聽或 損壞 ? 電力線路應(yīng)與通訊線路隔離，以避免相互干擾 ?設(shè)備維護 ? 正確維護單位設(shè)備，保證其持續(xù)的可用性和 完整性 ? 按照推薦的服務(wù)間隔與規(guī)范，對設(shè)備進行維護 ? 只有已授權(quán)的維護人員才能修理 設(shè)備 ? 刪除敏感信息或保證維護人員可靠性 70 設(shè)備安全 3 ?組織場所外的設(shè)備安全 ? 在單位場所外 使用信息處理設(shè)備 ， 必須經(jīng)過 授權(quán) ? 離開辦公場所的設(shè)備要有合理的保護措施 ?設(shè)備的安全處置和再利用 ? 對于儲存敏感信息的儲存設(shè)備，必須銷毀或是重寫重灌數(shù)據(jù)資料，不可以只使用簡單的刪除功能。 20:25:1320:25:1320:25Monday, January 23, 2023 1乍見翻疑夢，相悲各問年。 :25:1320:25Jan2323Jan23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 20:25:1320:25:1320:251/23/2023 8:25:13 PM 1越是沒有本領(lǐng)的就越加自命不凡。 下午 8時 25分 13秒 下午 8時 25分 20:25: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴