【正文】 分析對業(yè)務連續(xù)性的潛在影響 編寫，實施，測試和維護業(yè)務連續(xù)性計劃 建立計劃框架 業(yè)務連續(xù)性管理過程 ? 理解組織面臨的風險，識別關(guān)鍵業(yè)務活動和優(yōu)先次序。 網(wǎng)絡訪問控制 網(wǎng)絡服務使用策略 對外部連接用戶進行身份認證 識別網(wǎng)絡中的設備 遠程診斷和配置端口的保護 網(wǎng)絡隔離 網(wǎng)絡連接控制 網(wǎng)絡路由控制 操作系統(tǒng)訪問控制 安全的登錄程序 用戶身份識別與認證 口令管理系統(tǒng) 系統(tǒng)工具的使用 會話超時 限制連接時間 目標： 防止對信息系統(tǒng)的非授權(quán)訪問。 設備安全 設備的安置與保護 供電 電纜安全 設備維護 場外設備的安全 設備報廢或重用時的安全 財物遷移 . 17799:2023 信息安全管理實施細則 物理安全要點提示 ? 清晰劃定安全區(qū)域邊界 ? 圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng) ? 專門設立接待區(qū)，限制物理訪問 ? 外來人員登記及陪同 ? 定期檢查訪問記錄 ? 關(guān)鍵設施不要放置在公共區(qū)域 ? 關(guān)鍵區(qū)域不做顯眼標記 ? 防止火災、水災、地震、爆炸等自然或人為災難 ? 安全區(qū)域內(nèi)工作，禁止攝影攝像，加強監(jiān)督 ? 一定要注意那些不在視野范圍內(nèi)的東西 17799:2023 信息安全管理實施細則 注意你的身邊！ 注意最細微的地方！ 17799:2023 信息安全管理實施細則 我們來看一個可怕的案例 您肯定用過銀行的機，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？ ?? 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 17799:2023 信息安全管理實施細則 關(guān)于場外設備使用的提示 ? 無論是誰，信息處理設施要帶到組織邊界外使用，必須得到相關(guān)授權(quán) ? 場外設備或介質(zhì)不應該單獨置于公共區(qū)域，筆記本電腦應該放在不顯眼的包里 ? 注意設備防暴、防磁、防熱、防水、防震 ? 家庭辦公時，遵守設備加鎖保存、桌面凈空、計算機訪問控制及安全通信策略 ? 可以考慮購買適當?shù)谋ｋU 17799:2023 信息安全管理實施細則 目標：確保正確并安全地操作信息處理設施。 ? 組織可以根據(jù)業(yè)務運作流程和信息系統(tǒng)拓撲結(jié)構(gòu)來識別信息資產(chǎn)。 17799:2023 信息安全管理實施細則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標和方向，用于指導信息安全管理體系的建立和實施過程。 ? 可能性（） —— 對威脅發(fā)生幾率（）或頻率（）的定性描述。是信息安全管理方面的指導性標準，專注于領域，并不用于審計和認證 7799簡介 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理體系認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 選擇認證機構(gòu) 信息安全管理體系認證 明確認證的范圍 ? 定義認證范圍是讓認證機構(gòu)和審核員確定評估程序的基礎。 7799簡介 7799的發(fā)展現(xiàn)狀 ? 7799技術(shù)委員會是 2，成員包括： ? 金融服務：英國保險協(xié)會，渣打會計協(xié)會，匯豐銀行等 ? 通信行業(yè)：大英電訊公司等 ? 零售業(yè)： ? 國際組織：殼牌，聯(lián)合利華，畢馬威（）等 ? 目前除英國之外，國際上已有荷蘭（ 20233）、丹麥和瑞典（ 627799）、挪威、芬蘭、澳大利亞和新西蘭（ 4444）、南非、巴西、日本（ X 5080）等國采用 7799。 ? 隨著國際貿(mào)易的發(fā)展，對國際標準的要求日益提高，的作用也日趨擴大，世界上許多國家對也越加重視。 ? 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標來說尤其重要。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。 ? 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 信息安全概述 7799定義的信息安全管理體系 建立一個信息安全管理框架 評估安全風險 選擇并實施控制 信息安全管理體系 ISMS 設定信息安全的方向和目標 ，定義管理層承諾的策略 確定安全需求 根據(jù)需求采取措施消減風險 ， 以實現(xiàn)既定安全目標 信息安全概述 必須明確的內(nèi)容 要保護的資產(chǎn) 控制目標和控制措施 需要保證的程度 風險管理的途徑 信息安全概述 實施的過程 ? 定義的范圍 ? 定義策略 ? 定義一個系統(tǒng)化的風險管理途徑 ? 識別風險 ? 評估風險 ? 識別并評價風險處理的可選方案 ? 選擇控制目標和控制措施，以便處理風險 ? 準備適用性聲明（） ? 獲得管理層批準 信息安全概述 是一個文檔化的體系 ? 對管理框架的概括 ? 包括策略、控制目標、已實施的控制措施、適用性聲明（） ? 各種程序文件 ? 實施控制措施并描述責任和活動的程序文件 ? 覆蓋了管理和運行的程序文件 ? 證據(jù) ? 能夠表明組織按照 7799要求采取相應步驟而建立了管理框架 ? 各種：在操作過程當中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性 信息安全概述 實施的關(guān)鍵成功因素（） ? 安全策略、目標和活動應該反映業(yè)務目標 ? 有一種與組織文化保持一致的實施、維護、監(jiān)督和改進信息安全的途徑 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風險評估和風險管理 ? 向所有管理者和員工有效地推廣安全意識 ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標準 ? 為信息安全管理活動提供資金支持 ? 提供適當?shù)呐嘤柡徒逃? ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認證之道 ? 第二部分 ? 風險評估與管理過程及方法 ? 1－信息安全管理實施細則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 英國標準協(xié)會（） ? 英國標準學會（ ，） ? 著名的 9000、 14000、 177997799等標準的編寫機構(gòu) ? 英國標準學會（）是世界上最早的全國性標準化機構(gòu)，它受政府控制但得到了政府的大力支持。 ? 2023年 9月 —— 對 77992進行了改版，用來替代原標準（ 77992:1999）使用?？蚣荏w系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維護 Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產(chǎn)管理 Asset management 訪問控制 Access control 信息安全事件管理 Information security incident management 業(yè)務連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡介 新版本的變化特點 ? 17799:2023 ? 從 10個域變到 11個域，增加了“信息安全事件管理” ? 去掉了 9項控制，增加了 17項控制，一共有 133項控制 ? 加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來的條款 6（管理評審）分成現(xiàn)在的 6（內(nèi)審）、 7（管理評審）兩個部分 ? 17799:2023 19716:2023 7799簡介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結(jié)果 7799簡介 其他類似或相關(guān)的標準規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結(jié)構(gòu)》，該標準對安全服務及相關(guān)機制進行了一般描述 ? 15408（ 18336,2023，即標準） ? 1993年 6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了標準，最終將其推進到國際標準。 ? 威脅（） —— 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）。因此，還需要通過進一步的指導方針來補充此文，組織可以將其作為基礎，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 17799:2023 信息安全管理實施細則 在第三方協(xié)議中體現(xiàn)安全 ? 信息安全方針 ? 用來保護資產(chǎn)的各種控制措施 ? 描述將被提供的產(chǎn)品和服務 ? 確保用戶意識到信息安全責任 ? 對人員調(diào)換做出規(guī)定 ? 硬件和軟件安裝及維護的責任 ? 清晰的結(jié)構(gòu)和格式 ? 變更管理流程 ? 任何必要的物理保護措施和機制 ? 訪問控制策略： ? 允許的訪問方法，授權(quán)流程，禁止聲明 ? 信息安全事件及問題處理機制 ? 期望的及監(jiān)督報告機制 ? 監(jiān)督、撤銷等權(quán)利，審計責任約定 ? 法律責任 ? 知識產(chǎn)權(quán)保護 ? 中止或重新協(xié)商協(xié)議的條件 17799:2023 信息安全管理實施細則 7 資產(chǎn)管理 資產(chǎn)責任 資產(chǎn)清單 資產(chǎn)屬主 對資產(chǎn)的可接受使用 目標：保持對組織資產(chǎn)的恰當?shù)谋Ｗo。 17799:2023 信息安全管理實施細則 增強全員的安全意識 ? 安全意識（ ），泛指組織員工對安全和安全控制重要性的一般性的、集體的意識。 11 訪問控制 訪問控制的業(yè)務需求 訪問控制策略 用戶訪問的管理 用戶注冊 特權(quán)管理 用戶口令管理 用戶訪問權(quán)限的復審 目標： 確保授權(quán)用戶的訪問， 防止非授權(quán)訪問信息系統(tǒng)。 17799:2023 信息安全管理實施細則 系統(tǒng)開發(fā)安全性的重要提示 ? 建立安全的軟件開發(fā)過程和編碼規(guī)范 ? 開發(fā)一個有關(guān)如何利用加密控制對信息進行保護的策略（哪些信息要加密，加密的強度如何，移動介質(zhì)或傳輸中的加密，密鑰管理，角色和責任，法律法規(guī)限制等） ? 對密碼技術(shù)的應用，其關(guān)鍵在于密鑰管理： ? 生成，分發(fā)和傳輸 ? 使用和驗證 ? 保存，消除和恢復 ? 對正式上線的運營系統(tǒng)應嚴加控制，做好軟件開發(fā)的變更控制和管理 ? 不將運營系統(tǒng)上的敏感信息直接用作測試系統(tǒng) ? 需要對外包開發(fā)提高警惕（代碼所屬權(quán)，知識產(chǎn)權(quán)，資格認定，第三方保證，合同中對質(zhì)量和安全功能的要求，中間審計，安裝前測試） 17799:2023 信息安全管理實施細則 關(guān)于漏洞管理 ? 為了實施有效的漏洞管理，必須先有一個完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當前部署狀況、軟件的責任人等信息 ? 應該建立漏洞管理相關(guān)角色和責任：漏洞監(jiān)視，漏洞評估，補丁跟蹤 ? 定義新漏洞發(fā)現(xiàn)時的通知時限 ? 對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個子集 ? 補丁安裝前必須做相關(guān)風險評估和測試 ?