【正文】 當(dāng)?shù)乃? ?包含的 內(nèi)容 ? 組織可以根據(jù)業(yè)務(wù)運(yùn)作流程和信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)來識(shí)別信息資產(chǎn) ? 按照信息資產(chǎn)所屬系統(tǒng)或所在部門列出資產(chǎn)清單 ? 所有的信息資產(chǎn)都應(yīng)該具有指定的屬主并且可以被追溯責(zé)任 ? 信息應(yīng)該被分類，以標(biāo)明其需求、優(yōu)先級(jí)和保護(hù)程度 ? 根據(jù)組織采用的分類方案，為信息標(biāo)注和處理定義一套合適的程序 48 資產(chǎn)管理 ?信息安全管理工作的根本目的是保護(hù)系統(tǒng)中的資產(chǎn) ?資產(chǎn)包括 ? 信息 資產(chǎn) ： 業(yè)務(wù)數(shù)據(jù)、合同協(xié)議、科研材料、操作手冊、系統(tǒng)配置、審計(jì)記錄、制度流程等 ? 軟件資產(chǎn)： 應(yīng)用軟件、系統(tǒng)軟件、開發(fā) 工具等 ? 物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、存儲(chǔ)介質(zhì)等 ? 服務(wù)：通信 服務(wù) 、公用設(shè)施（供暖 、照明、 能源）等 ? 人員：他們的資格、技能和經(jīng)驗(yàn) ? 無形 資產(chǎn)：品牌 、聲譽(yù)和形象 49 資產(chǎn)管理控制目標(biāo) ?控制目標(biāo) ? 對(duì)資產(chǎn)負(fù)責(zé) ? 信息分類 50 控制措施 —— 對(duì)資產(chǎn)負(fù)責(zé) ?對(duì)資產(chǎn)負(fù)責(zé) ? 列出資產(chǎn)清單，明確保護(hù)對(duì)象 ? 準(zhǔn)確 識(shí)別資產(chǎn) ， 編制清單，形成文件 ? 括 資產(chǎn)類型 、位置 、備份 信息和 業(yè)務(wù)價(jià)值等內(nèi)容 ? 為 資產(chǎn)指定 責(zé)任人，明確安全負(fù)責(zé) ? “ 責(zé)任人 ” 不一定是指具有資產(chǎn)所有權(quán)的人，而是指具有控制生產(chǎn)、開發(fā)、使用和保護(hù)資產(chǎn)權(quán)限的個(gè)人或?qū)嶓w ? 確定資產(chǎn)的使用限制 條件 ,合法使用 51 資產(chǎn)管理是信息安全管理的重要 內(nèi)容 控制措施 —— 信息分類 ?信息分類 ? 分類 指南 ? 根據(jù) 信息的價(jià)值 、 法律要求 和對(duì) 組織的敏感程度和關(guān)鍵性 進(jìn)行分類 ? 信息 標(biāo)記和 處理 ? 信息類別標(biāo)記， 設(shè)置合適的分類 說明 ? 如 表明文件的密級(jí)、存儲(chǔ)介質(zhì)分類的標(biāo)簽 ? 規(guī)定重要敏感信息的安全處理、存儲(chǔ)、傳輸、刪除和銷毀的程序 52 對(duì) 信息分類是使信息受到適當(dāng)級(jí)別的保護(hù)，在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度 關(guān)鍵點(diǎn) 建議分類方法不宜復(fù)雜，否則容易造成混亂 每種分類應(yīng)唯一區(qū)別于其它分類，同時(shí)不能有任何重疊 分類過程還應(yīng)簡單說明如何在其生命周期內(nèi)控制并處理 53 舉例 —— 商業(yè)公司和軍事機(jī)構(gòu)信息分類 組織 分類類別 定義 實(shí)例 商業(yè)公司 公共 即使泄漏不會(huì)給公司或個(gè) 人造成不利影響 有多少人完成某個(gè)項(xiàng) 私有 可能給公司或個(gè)人帶來不 利影響 人事資源信息 軍事機(jī)構(gòu) 絕密 如果泄漏會(huì)給國家安全帶 來毀滅性破壞 新型戰(zhàn)時(shí)武器設(shè)計(jì)圖 秘密 給國家安全造成重大威脅 部隊(duì)分布及部署 不保密 非保密信息 計(jì)算機(jī)通用學(xué)習(xí)手冊 54 55 Why? ?那些曾經(jīng)發(fā)生過的事 ? 案例一 ? 2023年 3月中旬，匯豐控股發(fā)布公告，其旗下匯豐私人銀行(瑞士 )的一名 IT員工，曾于三年前竊取了銀行客戶的資料，失竊的資料涉及 2023年 10月前在瑞士開戶的現(xiàn)有客戶。 ” ? 案例 2 ? 據(jù)說作為管理人員要把個(gè)人計(jì)算機(jī)的登錄口令設(shè)置好，怎么設(shè)置才符合要求呢？ 這些問題 需要 先 在“ 安全方針 ” 中尋找答案 28 安全方針控制目標(biāo) ?控制 目標(biāo) ? 制定信息安全方針 ? 評(píng)審信息安全方針 ?信息安全方針應(yīng)該做到 ? 對(duì)信息安全加以定義 ? 陳述管理層的意圖 ? 分派責(zé)任 ? 約定信息安全管理的范圍 ? 對(duì)特定的原則、標(biāo)準(zhǔn)和遵守要求進(jìn)行說明 ? 對(duì)報(bào)告可疑安全事件的過程進(jìn)行說明 ? 定義用以維護(hù)策略的復(fù)查過程 29 具體解釋 ?信息安全方針是陳述管理者的管理意圖，說明信息安全工作目標(biāo)和原則的文件 ?信息安全方針文件的作用是說明業(yè)務(wù)要求和法律法規(guī)對(duì)于信息安全的要求，為安全管理工作提供指導(dǎo)和支持 信息安全方針應(yīng)當(dāng) 說明以下問題： 本單位信息安全的整體目標(biāo)、范圍以及重要性； 信息安全工作的基本原則； 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制措施的架構(gòu)； 需要遵守的法規(guī)和制度； 信息安全責(zé)任分配； 信息系統(tǒng)用戶和運(yùn)行維護(hù)人員應(yīng)該遵守的規(guī)則 30 關(guān)鍵點(diǎn) 主要內(nèi)容一般包括信息安全的整體目標(biāo)、范圍、原則、控制措施的框架、重要安全策略和需要遵守的各項(xiàng)規(guī)定等 信息安全方針文件應(yīng)由高層管理者審批后，作為正式文件發(fā)布，并有效傳達(dá)給所有員工 信息安全方針不是 一成不變的，要根據(jù)安全環(huán)境的變化以及執(zhí)行過程中發(fā)現(xiàn)的策略本身的問題及時(shí)進(jìn)行更新調(diào)整 31 舉例 —— 《 XX系統(tǒng)信息安全總體策略 》 ?安全方針概述 ? XX系統(tǒng)相關(guān)信息和支撐系統(tǒng)、程序等，不論它們以何種形式存在，均是 XX系統(tǒng)的關(guān)鍵資產(chǎn) ? 信息的可用性、完整性和保密性是信息安全的基本要素，關(guān)系到 XX機(jī)關(guān)的形象和業(yè)務(wù)的持續(xù)運(yùn)行。 2023年 1月 23日星期一 下午 8時(shí) 25分 13秒 20:25: 1比不了得就不比，得不到的就不要。 20:25:1320:25:1320:25Monday, January 23, 2023 1知人者智，自知者明。 下午 8時(shí) 25分 13秒 下午 8時(shí) 25分 20:25: 楊柳散和風(fēng)，青山澹吾慮。 20:25:1320:25:1320:251/23/2023 8:25:13 PM 1以我獨(dú)沈久，愧君相見頻。 信息安全管理體系文檔要求 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的歷史沿革 ? 1990年代初 —— 英國貿(mào)工部（ DTI）成立工作組，立項(xiàng)開發(fā)一套可供開發(fā)、實(shí)施和測量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用 框架 ? 1993年 9月 —— 頒布 《 信息安全管理實(shí)施細(xì)則 》 ，形成 BS 7799的 基礎(chǔ) ? 1995年 2月 —— 首次出版 BS 77991:1995《 信息安全管理實(shí)用規(guī)則 》 ? 1998年 2月 —— 英國公布 BS 77992:《 信息安全管理體系要求 》 ,1999年 4月修訂 ? 2023年 12月 —— 國際標(biāo)準(zhǔn)組織 ISO/IEC JTC 1/SC27工作組認(rèn)可通過 BS 77991，頒布 ISO/IEC 17799:2023《 信息安全管理實(shí)用規(guī)則 》 ? 2023年 9月 —— BSI對(duì) BS 77992進(jìn)行了 改版 ? 2023年 6月 —— ISO 17799:2023改版， 成為 ISO/IEC 17799:2023 ? 2023年 10月 —— ISO正式采用 BS 77992:2023，命名 為 ISO/IEC 27001:2023 ? 2023年 7月 —— ISO 17799:2023歸入 ISO 27000系列，命名 為 ISO/IEC 27002:2023 ? 2023年 6月 中國等同 采用 ISO 27001:2023, 命名為 GB/T 220802023 中國等同 采用 ISO 27002:2023, 命名為 GB/T 220812023 ? 2023年 10月 —— ISO正式發(fā)布 ISO/IEC 27001:2023和 ISO/IEC 27002:2023 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 17 BS7799 BS77991 BS77992 ISO17799 ISO27002 GB/T22081 ISO27001 GB/T22080 ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 BS779 ISO1779 ISO2700 ISO2700 GB/T22080、 GB/T22081的對(duì)應(yīng)關(guān)系 18 19 ?ISO/IEC 27000系列 ? 已經(jīng)制定標(biāo)準(zhǔn)： 21個(gè) ? 正在制定標(biāo)準(zhǔn)： 11個(gè) ISO/IEC 27000標(biāo)準(zhǔn)簇介紹 2 7 0 0 02 7 0 0 52 7 0 0 42 7 0 0 32 7 0 0 22 7 0 0 1? ?2