【正文】 分析對業(yè)務(wù)連續(xù)性的潛在影響 編寫，實施，測試和維護(hù)業(yè)務(wù)連續(xù)性計劃 建立計劃框架 業(yè)務(wù)連續(xù)性管理過程 ? 理解組織面臨的風(fēng)險，識別關(guān)鍵業(yè)務(wù)活動和優(yōu)先次序。 網(wǎng)絡(luò)訪問控制 網(wǎng)絡(luò)服務(wù)使用策略 對外部連接用戶進(jìn)行身份認(rèn)證 識別網(wǎng)絡(luò)中的設(shè)備 遠(yuǎn)程診斷和配置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 網(wǎng)絡(luò)路由控制 操作系統(tǒng)訪問控制 安全的登錄程序 用戶身份識別與認(rèn)證 口令管理系統(tǒng) 系統(tǒng)工具的使用 會話超時 限制連接時間 目標(biāo)： 防止對信息系統(tǒng)的非授權(quán)訪問。 設(shè)備安全 設(shè)備的安置與保護(hù) 供電 電纜安全 設(shè)備維護(hù) 場外設(shè)備的安全 設(shè)備報廢或重用時的安全 財物遷移 . 17799:2023 信息安全管理實施細(xì)則 物理安全要點提示 ? 清晰劃定安全區(qū)域邊界 ? 圍墻、門鎖、照明、告警、監(jiān)視系統(tǒng) ? 專門設(shè)立接待區(qū)，限制物理訪問 ? 外來人員登記及陪同 ? 定期檢查訪問記錄 ? 關(guān)鍵設(shè)施不要放置在公共區(qū)域 ? 關(guān)鍵區(qū)域不做顯眼標(biāo)記 ? 防止火災(zāi)、水災(zāi)、地震、爆炸等自然或人為災(zāi)難 ? 安全區(qū)域內(nèi)工作，禁止攝影攝像，加強監(jiān)督 ? 一定要注意那些不在視野范圍內(nèi)的東西 17799:2023 信息安全管理實施細(xì)則 注意你的身邊！ 注意最細(xì)微的地方！ 17799:2023 信息安全管理實施細(xì)則 我們來看一個可怕的案例 您肯定用過銀行的機，您插入銀行卡，然后輸入密碼，然后取錢，然后拔卡，然后離開，您也許注意到您的旁邊沒有別人，您很小心，可是，您真的足夠小心嗎？ ?? 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 17799:2023 信息安全管理實施細(xì)則 關(guān)于場外設(shè)備使用的提示 ? 無論是誰，信息處理設(shè)施要帶到組織邊界外使用，必須得到相關(guān)授權(quán) ? 場外設(shè)備或介質(zhì)不應(yīng)該單獨置于公共區(qū)域，筆記本電腦應(yīng)該放在不顯眼的包里 ? 注意設(shè)備防暴、防磁、防熱、防水、防震 ? 家庭辦公時，遵守設(shè)備加鎖保存、桌面凈空、計算機訪問控制及安全通信策略 ? 可以考慮購買適當(dāng)?shù)谋ｋU 17799:2023 信息安全管理實施細(xì)則 目標(biāo)：確保正確并安全地操作信息處理設(shè)施。 ? 組織可以根據(jù)業(yè)務(wù)運作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識別信息資產(chǎn)。 17799:2023 信息安全管理實施細(xì)則 信息安全策略的定義 ? 信息安全策略（或者方針）是由組織的最高管理者正式制訂和發(fā)布的信息安全目標(biāo)和方向，用于指導(dǎo)信息安全管理體系的建立和實施過程。 ? 可能性（） —— 對威脅發(fā)生幾率（）或頻率（）的定性描述。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于領(lǐng)域，并不用于審計和認(rèn)證 7799簡介 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理體系認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 選擇認(rèn)證機構(gòu) 信息安全管理體系認(rèn)證 明確認(rèn)證的范圍 ? 定義認(rèn)證范圍是讓認(rèn)證機構(gòu)和審核員確定評估程序的基礎(chǔ)。 7799簡介 7799的發(fā)展現(xiàn)狀 ? 7799技術(shù)委員會是 2，成員包括： ? 金融服務(wù)：英國保險協(xié)會，渣打會計協(xié)會，匯豐銀行等 ? 通信行業(yè)：大英電訊公司等 ? 零售業(yè)： ? 國際組織：殼牌，聯(lián)合利華，畢馬威（）等 ? 目前除英國之外，國際上已有荷蘭（ 20233）、丹麥和瑞典（ 627799）、挪威、芬蘭、澳大利亞和新西蘭（ 4444）、南非、巴西、日本（ X 5080）等國采用 7799。 ? 隨著國際貿(mào)易的發(fā)展，對國際標(biāo)準(zhǔn)的要求日益提高，的作用也日趨擴大，世界上許多國家對也越加重視。 ? 現(xiàn)實世界里大多數(shù)安全事件的發(fā)生和安全隱患的存在，與其說是技術(shù)上的原因，不如說是管理不善造成的，理解并重視管理對于信息安全的關(guān)鍵作用，對于真正實現(xiàn)信息安全目標(biāo)來說尤其重要。衷心祝愿您在整個課程過程中與我們度過緊湊而富有成效的美好時光。 ? 安全技術(shù)是信息安全的構(gòu)筑材料，安全管理是真正的粘合劑和催化劑。 信息安全概述 7799定義的信息安全管理體系 建立一個信息安全管理框架 評估安全風(fēng)險 選擇并實施控制 信息安全管理體系 ISMS 設(shè)定信息安全的方向和目標(biāo) ，定義管理層承諾的策略 確定安全需求 根據(jù)需求采取措施消減風(fēng)險 ， 以實現(xiàn)既定安全目標(biāo) 信息安全概述 必須明確的內(nèi)容 要保護(hù)的資產(chǎn) 控制目標(biāo)和控制措施 需要保證的程度 風(fēng)險管理的途徑 信息安全概述 實施的過程 ? 定義的范圍 ? 定義策略 ? 定義一個系統(tǒng)化的風(fēng)險管理途徑 ? 識別風(fēng)險 ? 評估風(fēng)險 ? 識別并評價風(fēng)險處理的可選方案 ? 選擇控制目標(biāo)和控制措施，以便處理風(fēng)險 ? 準(zhǔn)備適用性聲明（） ? 獲得管理層批準(zhǔn) 信息安全概述 是一個文檔化的體系 ? 對管理框架的概括 ? 包括策略、控制目標(biāo)、已實施的控制措施、適用性聲明（） ? 各種程序文件 ? 實施控制措施并描述責(zé)任和活動的程序文件 ? 覆蓋了管理和運行的程序文件 ? 證據(jù) ? 能夠表明組織按照 7799要求采取相應(yīng)步驟而建立了管理框架 ? 各種：在操作過程當(dāng)中自然產(chǎn)生的證據(jù)，可識別過程并顯現(xiàn)符合性 信息安全概述 實施的關(guān)鍵成功因素（） ? 安全策略、目標(biāo)和活動應(yīng)該反映業(yè)務(wù)目標(biāo) ? 有一種與組織文化保持一致的實施、維護(hù)、監(jiān)督和改進(jìn)信息安全的途徑 ? 來自高級管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險評估和風(fēng)險管理 ? 向所有管理者和員工有效地推廣安全意識 ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來評估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險評估與管理過程及方法 ? 1－信息安全管理實施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 英國標(biāo)準(zhǔn)協(xié)會（） ? 英國標(biāo)準(zhǔn)學(xué)會（ ，） ? 著名的 9000、 14000、 177997799等標(biāo)準(zhǔn)的編寫機構(gòu) ? 英國標(biāo)準(zhǔn)學(xué)會（）是世界上最早的全國性標(biāo)準(zhǔn)化機構(gòu)，它受政府控制但得到了政府的大力支持。 ? 2023年 9月 —— 對 77992進(jìn)行了改版，用來替代原標(biāo)準(zhǔn)（ 77992:1999）使用?？蚣荏w系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維護(hù) Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產(chǎn)管理 Asset management 訪問控制 Access control 信息安全事件管理 Information security incident management 業(yè)務(wù)連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡介 新版本的變化特點 ? 17799:2023 ? 從 10個域變到 11個域，增加了“信息安全事件管理” ? 去掉了 9項控制，增加了 17項控制，一共有 133項控制 ? 加強了對人員離職、移動通信、軟件漏洞和補丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來的條款 6（管理評審）分成現(xiàn)在的 6（內(nèi)審）、 7（管理評審）兩個部分 ? 17799:2023 19716:2023 7799簡介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結(jié)果 7799簡介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結(jié)構(gòu)》，該標(biāo)準(zhǔn)對安全服務(wù)及相關(guān)機制進(jìn)行了一般描述 ? 15408（ 18336,2023，即標(biāo)準(zhǔn)） ? 1993年 6月，美國、加拿大及歐洲四國共同協(xié)商并起草通過了標(biāo)準(zhǔn)，最終將其推進(jìn)到國際標(biāo)準(zhǔn)。 ? 威脅（） —— 可能對資產(chǎn)或組織造成損害的某種安全事件發(fā)生的潛在原因，通常需要識別出威脅源（ ）或威脅代理（ ）。因此，還需要通過進(jìn)一步的指導(dǎo)方針來補充此文，組織可以將其作為基礎(chǔ)，繼而開發(fā)自己的策略或者公司間貿(mào)易協(xié)議。 17799:2023 信息安全管理實施細(xì)則 在第三方協(xié)議中體現(xiàn)安全 ? 信息安全方針 ? 用來保護(hù)資產(chǎn)的各種控制措施 ? 描述將被提供的產(chǎn)品和服務(wù) ? 確保用戶意識到信息安全責(zé)任 ? 對人員調(diào)換做出規(guī)定 ? 硬件和軟件安裝及維護(hù)的責(zé)任 ? 清晰的結(jié)構(gòu)和格式 ? 變更管理流程 ? 任何必要的物理保護(hù)措施和機制 ? 訪問控制策略： ? 允許的訪問方法，授權(quán)流程，禁止聲明 ? 信息安全事件及問題處理機制 ? 期望的及監(jiān)督報告機制 ? 監(jiān)督、撤銷等權(quán)利，審計責(zé)任約定 ? 法律責(zé)任 ? 知識產(chǎn)權(quán)保護(hù) ? 中止或重新協(xié)商協(xié)議的條件 17799:2023 信息安全管理實施細(xì)則 7 資產(chǎn)管理 資產(chǎn)責(zé)任 資產(chǎn)清單 資產(chǎn)屬主 對資產(chǎn)的可接受使用 目標(biāo)：保持對組織資產(chǎn)的恰當(dāng)?shù)谋Ｗo(hù)。 17799:2023 信息安全管理實施細(xì)則 增強全員的安全意識 ? 安全意識（ ），泛指組織員工對安全和安全控制重要性的一般性的、集體的意識。 11 訪問控制 訪問控制的業(yè)務(wù)需求 訪問控制策略 用戶訪問的管理 用戶注冊 特權(quán)管理 用戶口令管理 用戶訪問權(quán)限的復(fù)審 目標(biāo)： 確保授權(quán)用戶的訪問， 防止非授權(quán)訪問信息系統(tǒng)。 17799:2023 信息安全管理實施細(xì)則 系統(tǒng)開發(fā)安全性的重要提示 ? 建立安全的軟件開發(fā)過程和編碼規(guī)范 ? 開發(fā)一個有關(guān)如何利用加密控制對信息進(jìn)行保護(hù)的策略（哪些信息要加密，加密的強度如何，移動介質(zhì)或傳輸中的加密，密鑰管理，角色和責(zé)任，法律法規(guī)限制等） ? 對密碼技術(shù)的應(yīng)用，其關(guān)鍵在于密鑰管理： ? 生成，分發(fā)和傳輸 ? 使用和驗證 ? 保存，消除和恢復(fù) ? 對正式上線的運營系統(tǒng)應(yīng)嚴(yán)加控制，做好軟件開發(fā)的變更控制和管理 ? 不將運營系統(tǒng)上的敏感信息直接用作測試系統(tǒng) ? 需要對外包開發(fā)提高警惕（代碼所屬權(quán)，知識產(chǎn)權(quán)，資格認(rèn)定，第三方保證，合同中對質(zhì)量和安全功能的要求，中間審計，安裝前測試） 17799:2023 信息安全管理實施細(xì)則 關(guān)于漏洞管理 ? 為了實施有效的漏洞管理，必須先有一個完整的資產(chǎn)列表，并且需要知道軟件廠商、版本號、當(dāng)前部署狀況、軟件的責(zé)任人等信息 ? 應(yīng)該建立漏洞管理相關(guān)角色和責(zé)任：漏洞監(jiān)視，漏洞評估，補丁跟蹤 ? 定義新漏洞發(fā)現(xiàn)時的通知時限 ? 對發(fā)現(xiàn)漏洞的處理，與變更管理、信息安全事件管理等相關(guān)，漏洞管理可以看作是變更管理的一個子集 ? 補丁安裝前必須做相關(guān)風(fēng)險評估和測試 ?